Alles begann mit einer Fernsehübertragung. Die deutsche Firma Channel Videodat benutzt die Frequenz des Fernsehsenders Pro7, um gleichzeitig zum normalen Fernsehbild auch Computerdaten zu übertragen. Diese Daten können dann mit einem bestimmten Dekoder für den Computer wieder lesbar gemacht werden. Ungefähr 60.000 Anwender waren im Mai 1995 in der Lage, die über Pro7 verschickten Daten zu empfangen.
Knapp eine Woche nach der verhaengnissvollen Übertragung benachrichtigte das Micro-BIT Center in Karlsruhe die Firma. Channel Videodat dementierte zunächst diese Mitteilungen. Jedoch knapp eineinhalb Wohen darauf schichte Channel Videodat Warnungen und Antiviren-Software mehrmals täglich über den Sender. Doch die Verbreitung von Tremor war zu diesem Zeitpunkt nicht mehr zu stoppen - obwohl das Virus nur auf einem einzigen Weg von Computer zu Computer gelangen kann (mehr dazu später).
Tremor verbreitete sich in der PKUNZIP.EXE, die zusammen mit einer geZIPten Antiviren-Software verschickt wurde. Das Programm selber war Virenfrei, jedoch nicht in der Lage, Tremor zu identifizieren. Offensichtlich wurde die PKUNZIP.EXE in einem Softwareshop in Düsseldorf, der bis dahin Hauptlieferant für die über Pro7 verbreitete Software war, infiziert.
Tremor ist ein Retrovirus, speziell dazu entworfen, verschiedene Arbeitsmethoden von Anti-Virus-Software zu attackieren. Es ist ein selbst-verschlüsselndes Virus mit ausgeprägten polymorphen Fähigkeiten, die es ihm möglich machen, Milliarden unterschiedlicher Kopien von sich selber anzufertigen. Durch die Verwendung reiner Zufallszahlen, kann sich Tremor andere Computerdaten zunutze machen, wenn diese ihren Code ändern. Diese Arbeitsmethoden machen das Virus sehr schwer zu entdecken. Da Tremor also auf jedem Computer anders aussieht, war es für Anti-Virus-Experten beinahe unmöglich, ein gutes Beispiel von Tremor für ein Anti-Tremor aufzutreiben.
Ebenso schwer ist es, Tremor im Speicher des Computers aufzufinden, da er komplexe stealth-techniken verwendet. Er ist daher in der Lage, beinahe jeder Software vorzutäuschen, sein im Speicher befindlicher Code wäre lediglich ein Teil eines anderen Speicerresidenten Programmes. Und falls ein Programm immer noch "misstrauisch" ist, entfernt sich Tremor ganz einfach dezent.
Wird ein Tremor-Infiziertes Programm aufgerufen, entschlüsselt sich das Virus und überprüft zunächst das Systemdatum. Sind mehr als drei Monate nach der Infizierung des Gast-Programmes vergangen, wird es aktiv. Falls nicht , überprüft Tremor als nächstes die Versionsnummer des laufenden Betriebssystemes. Ist die Versionsnummer 3.30 oder kleiner, läuft das Gastprogramm normal weiter.
Ist die Versionsnummer grösser als 3.30, sucht Tremor nach Speicherresidenten Programmen, die die Funktion 30h des Interrupts 01h verwenden. Wird ein solches Programm gefunden, deaktiviert sich Tremor wieder. Da viele speicherresidente Antivirus-Programme diesen Interrupt verwenden, geht ihnen hier Tremor praktisch "durch die Lappen"
Wird ein solches Programm nicht gefunden, wird Tremor speicherresident; vorzugsweise im erweiterten Speicherbereich; jedoch genügt Tremor auch der obere Bereich des Konventionellen Speichers, wenn kein erweiterter Speicher zur Verfügung steht. Zur Sicherheit infiziert Tremor nun noch den Kommandointerpreter, wie er in der COMPSPEC-Variable festgelegt ist, um somit beim nächsten Systemstart vor allen anderen Programmen in den Speicher zu gelangen. Im Speicher ist Tremor in der Lage, viele Anti-Viren-Programme auszuschalten. Bei bestimmten Speicherüberpruefungen blockiert Tremor den tatsächlichen Test und gibt den Programmen fehlerhafte Daten - so dass sie eine erfolgreiche Ueberprüfung melden. Besonders einfach hat es Central Point Anti-Virus und Microsoft Anti-Virus Tremor gemacht; hier werden die Speicherresidenten Teile einfach abgeschaltet.
Weiterhin kontrolliert Tremor reguläre DOS-Kommandos, wie z. B. das kopieren von Dateien. Um nicht zu komplex zu werden, ändert Tremor bei allen infizierten Files das Dateidatum - genau 100 Jahre werden zum ursprünglichen Datum hinzuaddiert. Da die wenigsten Programme das volle Datum ausgeben, sondern lediglich die letzten zwei Ziffern der Jahreszahl, ist Tremors einzige offene Schwachstelle hier ziemlich sicher. Durch diese relativ einfache Überpruefung wird der Quellcode von Tremor ein ganzes Stueck kleiner, trotzdem läuft er nicht gefahr, eine Datei mehrmals zu infizieren. Bemerkt das speicherresidente Tremor-Virus den Startversuch eines so infizierten Programmes, löscht er seinen Programmcode aus der infizierten Datei und ändert das Datum wieder auf den Ursprungswert. Erst danach wird das Programm ausgefürht. Ist Tremor also auf einem Computer im Speicher aktiv, so sind alle kopierten Dateien - ob sie übers Netzwerk oder auf Disketten kopiert werden - frei von Tremor. Die einzige Moeglichkeit, ein anderes System mit Tremor zu infizieren ist die, auf einer nicht schreibgeschützten Diskette ein Programm auszuführen. Aus diesem Grund verbreitet sich Tremor sehr langsam von Computer zu Computer.
Kommen wir nun zu etwas völlig anderen ...
Ist Tremor auf einem System schon mehr als 3 Monate "beheimatet", wird eine von zwei verschiedenen Routinen aktiviert. Die erste schüttelt das Bild auf dem Monitor einen kurzen Moment, bevor der Computer "eingefroren" wird. Jedoch wird diese Routine sehr selten ausgefuehrt.
Die zweite Routine verwendet den Interrupt 15h. Dieser wird von vielen Progammen verwendet, um den Prozessor in den protected Mode zu schalten. Bei einem solchen Aufruf löscht Tremor den Bildschirm und zeigt folgenden Text:
T.R.E.M.O.R. was done by NEUROBASHER / May-June '92, Germany, -MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE
Der Satz "Moment of terror is the beginning of life" steht auf der Innenseite des Front-By-Front Albums der belgischen Technogruppe FRONT 242. Neurobasher ist eines der Lieder.
Tremor war das erste bekannte polymorphe Virus mit stealth-Eigenschaften. Nach Tremor tauchten ähnliche Viren wie z. B. Uruguay, Natas oder Neuroquila auf, die ähnliche Techniken verwenden.