imported>InternetArchiveBot: InternetArchiveBot hat 1 Archivlink(s) ergänzt und 0 Link(s) als defekt/tot markiert.) #IABot (v2.0.9.5

2025-02-08T14:10:09Z

InternetArchiveBot hat 1 Archivlink(s) ergänzt und 0 Link(s) als defekt/tot markiert.) #IABot (v2.0.9.5

Neue Seite

{{Infobox Computervirus
| Name = Form
| Aliase = Form18, Forms, FORM.A
| Veröffentlichung = [[1990]]
| Fundort = [[Schweiz]]
| Virustyp = [[Bootsektorvirus]]
| Subtyp =
| Autoren =
| Dateigröße = 512 KByte
| Wirtsdateien = [[Bootsektor]]
| Verschlüsselung = nein
| Stealth = nein
| Speicherresident = ja
| System = [[MS-DOS]] ([[x86-Architektur|x86]]-[[IBM-PC-kompatibler Computer|PC]])
| Programmiersprache =
| Info = Infiziert nicht den [[Master Boot Record|MBR]]
}}
'''Form''' ist der Name einer Gruppe von [[Bootsektorvirus|Bootsektorviren]] für [[PC-kompatibles DOS|DOS]]-Rechner. Das originale [[Computervirus|Virus]] wurde erstmals im Juni 1990 auf einem [[Computer]] in der Schweiz entdeckt. Es wird vermutet, dass der Urheber aus dem [[Kanton Zug]] stammt.<ref name=vb>https://www.virusbulletin.com/uploads/pdf/magazine/1990/199008.pdf ''VirusBulletin Juni 1990'' (PDF-Download)</ref>

Form gehörte Anfang bis Mitte der 1990er Jahre zu den [[In-the-wild|verbreitetsten Computerviren weltweit]]. Die letzte Meldung war im Jahr 2006.<ref>{{Webarchiv|url=http://www.wildlist.org/WildList/200601.htm |wayback=20220308140916 |text=Archivierte Kopie |archiv-bot=2025-02-08 14:10:04 InternetArchiveBot }} WildList January 2006</ref><ref name = "fsecure">https://www.f-secure.com/v-descs/form.shtml F-Secure.com ''Form''</ref>

__TOC__

{{Absatz}}

== Varianten und Derivate ==
Aufgrund der Bekanntheit und der hohen Verbreitung des Virus gibt es mehrere bekannte Varianten. Als [[In-the-wild]]-Viren sind folgende Versionen bekannt:

* '''FORM.A''' oder meist einfach nur '''FORM''': Die vermutlich erste und mit Abstand häufigste Version.
* '''FORM.B''': Ein zu Beginn der 1990er ebenfalls häufiges Virus-Derivat, bei dem der Payload immer am 24. (statt dem 18.) eines jeden Monats aktiviert wird. Ab Mitte der 1990er wurden kaum mehr Infektionen gemeldet.
* '''FORM.C''': Der Payload wird nur im Monat Mai ausgelöst. Die C-Variante war ein eher seltenes Virus.
* '''FORM.D''': Der Viruscode ist direkt hinter der [[Partitionstabelle]] gespeichert. Diese Version ist nach der originalen die häufigste. Infektionen wurden bis 1998 regelmäßig gemeldet.<ref name = "fsecure" />
* '''FORM-II''' und '''FORM-Canada''' sind dokumentierte Varianten, über die keine Einzelheiten bekannt sind.

== Funktion ==
Der Programmcode enthält folgenden Text:<ref name = "fsecure" />

The FORM Virus sends greetings to everyone who's reading this text.
FORM doesn't destroy data! Don't panic! Fuckings go to Corinne.

:Übersetzung: ''Das FORM-Virus grüßt alle, die diesen Text lesen. FORM zerstört keine Daten! Keine Panik! Fick dich, Corinne.''<ref>{{Internetquelle |autor=Daniel Schurter |url=https://www.watson.ch/digital/malware/600662144-aids-trojaner-stoned-virus-und-co-die-schraegsten-pc-attacken-aller-zeiten |titel=Die schrägsten Computerviren aller Zeiten – AIDS-Trojaner, Stoned-Virus etc. |werk=watson.ch |datum=2017-05-27 |abruf=2024-03-07}}</ref>

=== Infektion ===
Beim Form-Virus handelt es sich um einen [[Bootvirus]], der sich über [[Diskette]]n verbreitet. Sobald eine infizierte Diskette in einen Computer gesteckt wird und von dieser gebootet wird, installiert sich das Virus selbstständig in den Arbeitsspeicher. Dabei werden vom [[DOS]]-Speicher 2 KB reserviert. Danach wird der [[Bootsektor]] der [[Harddisk]] infiziert, wobei der Originalinhalt in die letzten beiden Sektoren geschrieben wird. Zur Tarnung werden die Sektoren als beschädigt markiert. Dies hat zur Folge, dass das Virus nach jedem Neustart des Computers sofort wieder aktiviert wird, erst dann wird der ursprüngliche Bootsektor geladen. Von da an wird jede angesprochene, nicht schreibgeschützte Diskette infiziert, wobei der originale Bootsektor überschrieben wird.<ref name="vb" /> Im Gegensatz zu vielen anderen Bootsektorviren infiziert Form nicht den [[Master Boot Record|MBR]].<ref name = "fsecure" />

Bei der Infektion einer Festplatte mit NTFS-Dateisystem kann Form aufgrund unsauberer Infektion unter Umständen auch Datenverluste verursachen.

=== Payload ===
Am 18. Tag im Monat (Systemzeit) erzeugt das Virus bei jedem Tastenanschlag einen Klickton aus dem PC-Lautsprecher.<ref>{{Internetquelle |autor= |url=https://www.cio.de/g/die-geschichte-des-computer-virus,116570,3 |titel=Die Geschichte des Computer-Virus: 1990: Form |werk=cio.de |datum= |abruf=2024-03-07}}</ref><ref>{{Internetquelle |autor=David M. Chess, Jeffrey O. Kephart, Gregory B. Sorkin, Steve R. White |url=https://www.spektrum.de/magazin/kampf-den-computerviren/824537 |titel=Kampf den Computerviren - Spektrum der Wissenschaft |werk=spektrum.de |datum=1998-05-01 |abruf=2024-03-07}}</ref><ref name = "fsecure" />

Der damals häufig verwendete Tastaturtreiber <code>keyb.com</code> kann die Aktivierungs-Routine des Payload unterdrücken. Auf vielen zeitgemäßen Rechnern war daher kein Klicken zu hören.<ref name = "fsecure" />

== Erkennung und Beseitigung ==
* Bei der Infektion einer Festplatte mit NTFS-Dateisystem und Windows NT als Betriebssystem musste der Bootsektor mit einem speziellen Tool repariert werden.<ref name = "fsecure" />
* Da heutzutage nur noch selten Disketten benötigt werden, ist das Virus so gut wie ausgestorben.
* Moderne [[Basic Input Output System|BIOS]]-Varianten sind zusätzlich mit einem Schutz für das Überschreiben des Harddisk-MBR ausgerüstet.
* Antiviren-Programme erkennen das Virus bereits seit Anfang der 1990er.

== Einzelnachweise ==
<references />

[[Kategorie:Schadprogramm]]
[[Kategorie:Computervirus]]
[[Kategorie:Bootsektorvirus]]

Form (Computervirus) - Versionsgeschichte

imported>InternetArchiveBot: InternetArchiveBot hat 1 Archivlink(s) ergänzt und 0 Link(s) als defekt/tot markiert.) #IABot (v2.0.9.5