home *** CD-ROM | disk | FTP | other *** search
/ Amiga Format CD 46 / Amiga Format CD46 (1999-10-20)(Future Publishing)(GB)[!][issue 1999-12].iso / -serious- / virus / vttest3 / schutz / vt3.16d-kurz < prev    next >
Text File  |  1999-09-06  |  7KB  |  157 lines
  1.  
  2.    Heiner Schneegold
  3.    Am Steinert 8
  4.    97246 Eibelstadt
  5.    (Deutschland)
  6.  
  7.    Tel: 09303/99104
  8.    (19.00 - 20.00 Uhr)
  9.    EMail: Heiner.Schneegold@t-online.de
  10.  
  11.   letzte Aenderung: 99-08-16
  12.  
  13.   Aenderungen seit VT3.15    VT-Laenge: 388604 Bytes
  14.  
  15.    WICHTIG !!!!!
  16.       Um Linkviren SICHER zu finden, die sich HINTER
  17.       den 1.Hunk linken, MUESSEN Sie FileTest auf-
  18.       rufen !!!
  19.  
  20.     - zakapior-Fake                         99-07-14
  21.  
  22.     - Fehlerbehebung: Ich habe an mehreren  99-06-17
  23.       Stellen bei RPort-Operationen A1 nicht
  24.       gesichert. Danke fuer die Dokumentation
  25.  
  26.     - LOBOhardc0re-Virus                    99-04-26/27/28
  27.  
  28.     - MUI40-Fake                            99-04-06
  29.  
  30.  
  31.   ------ bitte die Texte in VT.kennt.A-Z einfuegen --------
  32.  
  33.  
  34.     - LOBOhardc0re-Virus     Linkvirus
  35.        Namensbegruendung:
  36.         Im decodierten und entpackten Linkteil ist zu lesen:
  37.           203e4c4f 424f2068 61726463 3072653c  >LOBO hardc0re<
  38.           20627920 4d415a45 27393920 28342050  by MAZE'99 (4 P
  39.           796d6129 21204d69 6c6c656e 69756d20 yma)! Millenium
  40.           67726565 74696e67 7320746f 20616c6c greetings to all
  41.           20416d69 67612075 73657273 2e200000  Amiga users. ..
  42.       Fileverlaengerung: mind. #5000 Bytes
  43.       Nicht Resetfest
  44.       Verbogene Vektoren: LoadSeg und TRAP (variabel)
  45.       Speicherverankerung:
  46.            - "c0re" wird nicht gefunden
  47.            - powerpacker.library kann geoeffnet werden
  48.            - Loadseg wird verbogen und zwar ins ROM (s.b. LOBO)
  49.            - im ROM wird der TRAP-Befehl gesucht. Der Trap soll
  50.              variabel sein. 
  51.            - es soll also ab $80 oder VBR+$80 variabel verbogen werden.
  52.       Linkvorgang:
  53.            - mit LoadSeg und TRAP (0-F)
  54.            - File ausfuehrbar $3F3
  55.            - $3E9 wird genau gefunden (also kein 3F1 usw.)
  56.            - File groesser   #15360 Bytes
  57.            - File kleiner   #307200 Bytes
  58.            - 1.Hunk des Ursprungfiles groesser #10240 Bytes
  59.            - Medium validated
  60.            - keine Disk (mind. #91978 Bloecke)
  61.            - mind. #100 Block frei
  62.            - Filename enthaelt nicht ".", "-", "!", "V" oder "v"
  63.            - Das Virusteil codiert sich immer neu mit $DFF006
  64.            - Es entstehen immer verseuchte Files mit 2 Hunks
  65.              Der 1. Hunk enthaelt das Virusteil. Ein Teil dieses Hunks
  66.              ist jetzt mit PP.lib gepackt.
  67.              Der 2.Hunk ist das ganze Orginalfile. Leider kann man den
  68.              2.Hunk nicht einfach zurueckschreiben, da 8 Bytes im Ursprungs-
  69.              file codiert werden. Es muss im Virusteil das Codier-Langwort
  70.              gesucht werden. Dieses LW aendert sich immer in Abhaengigkeit
  71.              von $DFF006.
  72.        Hinweis: Bei Tests sind defekte Files (rund 1/4) entstanden. Bei
  73.        Aufruf eines defekten Prgs immer GURU. Da es so viele defekte Files
  74.        sind, versucht VT auch hier einen Ausbau. ABER Sie MUESSEN beim
  75.        Ausbauversuch mit einem Guru rechnen. Es bleibt Ihnen dann nur
  76.        Loeschen des Files uebrig.
  77.        Hinweis2: Es koennte zu Fehlerkennungen kommen. Bitte melden
  78.        Sie sich dann mit einem Beispielfile. VT findet das Teil
  79.        NUR !!!! bei Filetest.
  80.  
  81.    - MUI40-Fake  (war kurz im Aminet)
  82.        Keine Vermehrung
  83.        Eine Nachricht soll verschickt werden
  84.        Mind. drei Files veraendert.
  85.        Empfehlung: Loeschen und sauberes Archiv neu aufspielen.
  86.  
  87.       Install  Fake-L: 27034
  88.        Es wurde eine Zeile eingefuegt:
  89.        ; $VER: Install-MUI 4.0 (01.04.99)
  90.        (set current_version "4.0")
  91.        (set current_libver  19)
  92.        (set lng @language)
  93.        (set #tmpdir "t:mui.inst")
  94.        (complete 0)
  95.        (run (cat "goodies/clickforcolors"))   <---- diese Zeile
  96.  
  97.       MUI     Fake-L: 7536
  98.        Datum geaendert und Text-Hunk angehaengt
  99.           4e752456 45523a20 4d554920 32312e31 Nu$VER: MUI 21.1
  100.           34202830 312e3034 2e393929 00000000 4 (01.04.99)....
  101.           ;......
  102.           00000000 000003f2 000003f1 0000000f ................
  103.           77616861 68616861 68616861 20417072 wahahahahaha Apr
  104.           696c2046 6f6f6c73 20796f75 20736f72 il Fools you sor
  105.           72792061 73736564 20486f70 6566756c ry assed Hopeful
  106.           204d6f74 68657266 75636b21 000003f2  Motherfuck!....
  107.  
  108.       ClickForColors Fake-L: 1340
  109.        Normal ein Txt-File jetzt ein PRG. (nicht codiert)
  110.           6e696d62 75732e73 75706572 696f722e nimbus.superior.
  111.           6e657400 62736473 6f636b65 742e6c69 net.bsdsocket.li
  112.           62726172 79004845 4c4f2073 6173672e brary.HELO sasg.
  113.           636f6d0d 0a004d41 494c2046 524f4d3a com...MAIL FROM:
  114.           3c706973 73656420 75736572 3e0d0a00 <pissed user>...
  115.           52435054 20544f3a 7374756e 747a4073 RCPT TO:stuntz@s
  116.           6173672e 636f6d0d 0a004441 54410d0a asg.com...DATA..
  117.           00005375 626a6563 743a204d 6f766520 ..Subject: Move
  118.           796f7572 206e617a 69206173 73207769 your nazi ass wi
  119.           7468206f 7572204d 55492075 70646174 th our MUI updat
  120.           65206375 6e74210d 0a0d0a2e 0d0a0000 e cunt!.........
  121.  
  122.    - zakapior-Fake
  123.       Bekannte Filenamen:   waren kurz im Aminet
  124.          cmq060      v1.5     1104 Bytes
  125.          cmq060move16         1080 Bytes
  126.          fastiprefs  v40.37  17428 Bytes
  127.          poolmem     v1.45    7672 Bytes
  128.       Name: nach process
  129.       Keine Vermehrung
  130.       Empfehlung: File loeschen und sauberes File neu aufspielen.
  131.       Alle Files liegen wieder "sauber" im Aminet (Stand: Aug.99)
  132.       Ablauf: Ein neuer Process = zakapior. Es sollen Emails ver-
  133.               schickt werden.
  134.       Decodiert mit EOR.w ist in den Files zu lesen:
  135.           62736473 6f636b65 742e6c69 62726172 bsdsocket.librar
  136.           79001002 0019c38f 38460000 00000000 y.......8F......
  137.           00010000 001e4845 4c4f0a00 4d41494c ......HELO..MAIL
  138.           2046524f 4d3a203c 583e0a00 52435054  FROM: <X>..RCPT
  139.           20544f3a 203c7072 65736964 656e7440  TO: <president@
  140.           616d6967 612e636f 6d3e0a00 44415441 amiga.com>..DATA
  141.           0a004672 6f6d3a20 416d6967 61204c6f ..From: Amiga Lo
  142.           76657220 3c3e0a00 5375626a 6563743a ver <>..Subject:
  143.           2046494c 54485920 43554e54 210a0a00  FILTHY CUNT!...
  144.           4655434b 2055204e 415a4920 43554e54 FUCK U NAZI CUNT
  145.           202d2044 49452041 4e442042 55524e20  - DIE AND BURN
  146.           494e2048 454c4c20 414d4947 41204b49 IN HELL AMIGA KI
  147.           4c4c494e 47205748 4f524521 0a000a0a LLING WHORE!....
  148.           2e0a0051 5549540a 00008000 03eb0000 ...QUIT.........
  149.           00008000 03f40000 00000000 00007a61 ..............za
  150.           6b617069 6f720000                   kapior.. 
  151.        Nachtrag Aug.99: Es soll ein Prg geben, das die Fake-Teile
  152.        abschaltet. Meine Empfehlung um Verwirrung zu vermeiden:
  153.        Spielen sie bitte die sauberen Files neu auf. Danke
  154.  
  155.  
  156.  
  157.