home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
CU Amiga Super CD-ROM 26
/
CU Amiga Magazine's Super CD-ROM 26 (1998)(EMAP Images)(GB)[!][issue 1998-09].iso
/
CUCD
/
Utilities
/
VT
/
Schutz
/
VT3.09d-kurz
< prev
next >
Wrap
Text File
|
1998-07-02
|
10KB
|
230 lines
Heiner Schneegold
Am Steinert 8
97246 Eibelstadt
(Deutschland)
Tel: 09303/99104
(19.00 - 20.00 Uhr)
EMail: Heiner.Schneegold@t-online.de
letzte Aenderung: 98-07-02
Aenderungen seit VT3.08 VT-Laenge: 370660 Bytes
WICHTIG !!!!!
Um Linkviren SICHER zu finden, die sich HINTER
den 1.Hunk linken, MUESSEN Sie FileTest auf-
rufen !!!
- Sepultura-BB-Virus 98-03-31
- WAWE-Trojan (ueberschreibt user.data) 98-05-03
- Disnomia-Installer 98-05-04
- Disnomia-LVirus 98-05-05/06
- Copy-SAVE-Installer 98-05-31
- NeuroticDeath 5 (Linkvirus) 98-Juni
- Maxsafe-Trojan (Rigid-Bereich) 98-06-30
------ bitte die Texte in VT.kennt.A-Z einfuegen --------
- Copy-SAVE-Installer
Name frueher Copy_LX Trojan
Der Installvorgang konnte mit lx103 nie nachvollzogen werden.
Jetzt ist ein CrunchMania-File 1.91 aufgetaucht, das copy
veraendert.
CrunchMania-Filelaenge : 46656 Bytes
Dieses Teil erzeugt das veraenderte copy-File (s.u.) wirklich.
Keine verbogenen Vektoren
- Disnomia-Inst. Installer
Filelaenge: 1108 Bytes
verbogene Vektoren: LoadSeg, Newloadseg
Vor das UNCODIERTE Linkteil wurden einige Bytes fuer den Start
gestellt.
- Disnomia-LVirus Linkvirus
vgl. auch Elbereth3
Namensbegruendung:
Im decodierten LinkTeil ist zu lesen:
00bfd100 60ce3d3d 3d202121 21204469 ....`.=== !!! Di
736e6f6d 69412021 2121203d 3d3d20a9 snomiA !!! === .
202a204d 61442072 6f474572 20313939 * MaD roGEr 199
37202a20 506f6c61 6e640054 68697320 7 * Poland.This
Fileverlaengerung: #1060 Bytes
Nicht Resetfest
Verbogene Vektoren: LoadSeg NewLoadSeg
Speicherverankerung:
- Test ob schon im Speicher ($2F01)
- Loadseg und NewloadSeg wird verbogen
- Testet spaeter geladene Filenamen auf "v" oder "V".
Es ist deshalb sinnvoll ihr Antivirusprogramm fuer den
privaten !!!! Gebrauch umzubenennen, sonst koennten Sie
meinen Ihr System sei sauber, da sich das Teil bei "v"
oder "V" aus dem Speicher entfernt.
Linkvorgang:
- mit LoadSeg und NewLoadSeg
- File noch nicht verseucht (Datum)
Wenn Sie also ein verseuchtes File kopieren und das File-
Datum nicht mitnehmen, kann es zu einer Mehrfachverseuchung
kommen.
- Medium validated
- 4 Block frei
- File ausfuehrbar ($3F3)
- CodeHunk wird gefunden ($3E9)
- File groesser #2120 Bytes
- File kleiner #282286 Bytes
- 1. Hunk kleiner $1fff x 4 = #32764 Bytes
- Gesucht wird im 1.Hunks in einem Bereich von
#32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz)
oder jsr -xy(a6) ($4EAE wxyz)
- Dieses LW wird durch bsr Virus ($6100wxyz)
ersetzt.
- das Teil codiert sich immer neu mit $DFF007
Zerstoerung:
Falls der Wert $AA in D7 erreicht wird, soll eine
"Floppy-Musik" ausgeloest werden. Ihr Disklaufwerk wird
also durch Endanschlaege Schaden nehmen, wenn Sie nicht
schnell reagieren.
- Maxsafe Trojan
Verbogene Vektoren: keine
Nicht Resetfest
Archivname: MAXSAFE.LHA 13065 Bytes
Filename: maxsafe 5008 Bytes
nach readme:
Max door control is a program I wrote about a year ago to help
me sort out bugs in max, It uses the maxpacker.library and monitors
all functions called by max, It creates an out put text file
showing you any possible problems with any function 34 door.
Notwendige libs: hbasic2.lib, hisoftbasic.lib und maxpacker.lib
(die wird mitgeliefert und ist in Wirklichkeit eine pp.lib)
Ohne diese Libs Abbruch ohne Schadensfunktion.
Ablauf:
In Ram: werden vier Files erzeugt:
runit 9012 Bytes
runit.info 338 Bytes
YES 1 Byte
YES.info 338 Bytes
Hinweis: runit ist in Wirklichkeit ein Nutzprg. (ReadRDB v05.)
und wird hier nur fuer eine Zerstoerungsfunktion miss-
braucht.
Weiterhin wird s/startup-sequence geoeffnet.
Nach einigen Sekunden wird OHNE Reset ausgefuehrt:
execute ram:runit < ram:yes d scsi.device
Dies ist die eigentliche Schadensfunktion.
Der Inhalt der startup-sequence wird ab Block 0 in den Rigid-
Bereich der Unit 0 geschrieben. Der Rest des Rigid-Bereichs
wurde bei mir mit Nullen aufgefuellt.
Es sind nur UNIT 0 (1 keine Veraenderung) und nur Festplatten,
die mit scsi.device angesprochen werden, betroffen (also z.B.
keine Zerstoerung bei gvpscsi.device).
vorher:
pZyl 0 Bl 0 RDSK-Bl ChS: ok
00: 5244534b 00000040 334d4846 00000007 RDSK...@3MHF....
10: 00000200 00000012 ffffffff 00000001 ................
nachher:
pZyl 0 Bl 0
00: 0a3b2053 74617274 75702d53 65717565 .; Startup-Seque
10: 6e636520 666f7220 68617264 20647269 nce for hard dri
Hinweis: Vielleicht sollten Sie doch einmal darueber nachdenken,
den Rigid-Bereich Ihrer Festplatte mit VT/zeigeZyl/backup oder
einem anderen Tool auf eine DISK (nur da ist es sinnvoll) zu
sichern. Kopieren sie dann bitte auch den mount-Befehl und ein
mountfile auf diese Disk.
- NEurOTiCDEatH-Virus Typ 5 Linkvirus
Name NICHT nachvollziehbar, sondern uebernommen
Im decodierten LinkTeil ist zu lesen:
8002ee58 32c04e75 00000002 00005b4d ...X2.Nu......[M
74675f33 415d0000 1bdf0000 00096100 tg_3A]........a.
Im Vergleich zu Typ 3 habe ich also keinen Neuro..-Text
gefunden
Fileverlaengerung: groesser #6000 Bytes und kleiner #8000 Bytes
(so war es bei meinen Tests)
Nicht Resetfest
Processor besser als 68000
Nicht alle Kickstart-Versionen
Verbogene Vektoren: LoadSeg NewLoadSeg DoIo
Das Virusteil soll ab 28. Dez. 96 aktiviert werden.
Speicherverankerung:
- Test ob schon im Speicher z.B. DebugData
- Test ob Antivirusprg.e aktiv (z.B Xtruder)
- Loadseg NewLoadSeg und DoIo werden verbogen
- Testet spaeter geladene Filenamen auf "v" oder "V".
Linkvorgang:
- Mit LoadSeg und NewLoadSeg
- Medium validated
- File ausfuehrbar ($3F3)
- CodeHunk wird gefunden ($3E9)
- Ueberlaeuft $3F1-Hunks
- Filelaenge groesser #32768
- File kleiner #286720
- Gesucht wird im 1.Hunks nach bcc ($6v00wxyz),
jsr xy ($4EBAwxyz) oder jsr -xy(a6) ($4EAEwxyz)
- Dieses LW wird durch bsr Virus ($6100wxyz) ersetzt
- das Teil codiert sich immer neu mit $DFF007
Meldung:
- KEINE
Zerstoerung:
- Mit DoIo Speichermuell schreiben
- zerstoere Zufalls-Block in Abhaengigkeit von $DFF006
- Zufallsblock immer groesser #63 ($7E00)
- VT kann so einen Block NICHT erkennen
- Dieser Block ist NICHT zu retten
VT versucht die Vektoren im Speicher zurueckzusetzen.
Falls es zu Fehlerkennungen am File kommt, schicken Sie mir
bitte solche Files.
- Sepultura-BB-Virus Bootblock
Verbogene Vektoren: Cool, DoIo, Forbid, DisplayAlert
Fordert trackdisk.device NICHT
Decodiert ist im BB zu lesen:
732e6c69 62726172 79000054 68652053 s.library..The S
6570756c 74757261 2d566972 75732120 epultura-Virus!
6d616465 20627920 4d617820 6f662053 made by Max of S
7461724c 69676874 2032342f 332f3933 tarLight 24/3/93
003e436f 70696573 3a303031 3c0048e7 .>Copies:001<.H.
Der BB wird immer neu in Abhaengigkeit von $DFF00A codiert.
Schaden:
Sobald eine Zaehlzelle den Wert $F erreicht hat, wird
ein Text (s.o.) in Block 880 geschrieben. Bei einer Disk
ist das der Rootblock (bei einer Festplatte kann es ein
Fileblock sein). Die Disk ist danach unbrauchbar.
Block 880 vorher Block 880 zerstoert
00: 00000002 00000000 ........ : 54686520 53657075 The Sepu
08: 00000000 00000048 .......H : 6c747572 612d5669 ltura-Vi
10: 00000000 00000000 ........ : 72757321 206d6164 rus! mad
18: 00000000 00000000 ........ : 65206279 204d6178 e by Max
20: 00000000 00000000 ........ : 206f6620 53746172 of Star
28: 00000037 00000000 ...7.... : 4c696768 74203234 Light 24
30: 00000000 00000000 ........ : 2f332f39 33004b09 /3/93.K.
- WAWE-Trojan
Ueberschreibt user.data
Keine verbogenen Vektoren
Wurde mit der HunkLab-Methode (s.o.) an MACK angehaengt.
Im File ist zu lesen:
00000003 57415745 22390000 00984eae ....WAWE"9....N.
ffdc224e 2c790000 00044eae fe62203c .."N,y....N..b <
00000000 4e754e75 00000000 75736572 ....NuNu....user
2e646174 6100646f 732e6c69 62726172 .data.dos.librar
Das Wort "WAWE" ergibt sich zufaellig durch zwei Befehle.
Zerstoerung:
Es wird nach user.data gesucht und dieses File dann mit
Speichermuell (Lage abhaengig von $DFF006) ueberschrieben.
Das File ist NICHT zu erkennen und kann auch NICHT gerettet
werden.
VT bietet Ausbau an und es sollte ein lauffaehiges MACK-
File uebrig bleiben.
