home *** CD-ROM | disk | FTP | other *** search

---

/ Kosovo Orphans' Appeal Charity CD / KosovoOrphansAppeal.iso / utilities / _vzap / docs / viruses

< prev

Wrap

Text File  |  1998-08-24  |  11KB  |  232 lines

---

1. VIRUSES
2. ~~~~~~~
3. VZap v1.33 - This version currently copes with around 120 viruses and/or
4. variants of virus.
5.  
6.  
7. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
8. The following information is provided for reference and is aimed at the
9. more technical reader. It is by no means exhaustive and not all viruses
10. detected by !VZap are listed. However, if you think you've found a 
11. new virus, or a strain of existing virus that you don't think !VZap 
12. detects, please send it to me on a CLEARLY LABELLED disc, together with
13. the version number of !VZap you are using and a SAE.
14.  
15. I will then endeavour to modify and upgrade !VZap accordingly and send
16. you back your disc with the latest version of !VZap. Again, this service
17. is FREE OF CHARGE (on receipt of disc and SAE) to registered users.
18.  
19. N.B. Please do not try to disable and/or make viruses inoperative, as this
20. can lead to problems in reactivating them. Just send me them 'as they are',
21. on a clearly labelled disc.
22.  
23. In alphabetical order:-
24.  
25. All New ID virus (also known as 'Options' virus)
26.    Seems similar to the icon virus in that !Boot files have a couple of
27.    lines added to them to run a basic program called 'Options'. This
28.    doesn't appear to have any side-effects other than taking up memory in
29.    the computer and being unable to Quit, so seems reasonably harmless.
30.    !VZap detects it's presence and deletes it.
31.  
32. ArchieVirus (also known as &FF8 virus) - possibly similar to 'Jester'
33.    This affects files with the filetype 'Absolute' (hence FF8) by adding
34.    code to the end and then calling this new code.
35.    I haven't actually seen this virus so !VZap detects it but does not
36.    destroy it. Please let me know if you locate it.
37.    
38. BBCEconet (affects 'absolute' files)
39.    Adds virus code onto the end of 'absolute' filetypes and also installs
40.    a modified 'BBCEconet' module.
41.    
42. BigFoot (detection added at v1.33)
43.    A quite tricky one to track down because it generates a random filename
44.    to save the virus code as, and amend the !Boot file.
45.    It gives various error messages depending whether it's 25th Dec, 5th Nov,
46.    4th Jul or 15th Mar.
47.  
48. Breakfast (various different variations)
49.    This virus affects Absolute (&FF8) filetypes by adding around 6.5k onto
50.    the end of the file, then changing the first few instructions to jump to
51.    the virus code at the end. This is quite a nasty one to detect as the 
52.    virus code itself is EOR encoded, using random codes. It also scrambles
53.    bytes &18 to &94 of the original file.
54.    !VZap will detect and restore affected files to their original condition
55.    by deleting the virus code and amending the beginning of the file to
56.    the original instructions. This virus quite often hides in the Squeeze
57.    utility (if you have it in your library directory)
58.  
59. Datadqm (also known as Vigay virus)
60.    This virus seems to be linked to me for some reason, presumably because
61.    being written in BASIC it can be modified easily by people. Therefore 
62.    there could be variations of this one around, some with my name added to
63.    them - possibly by competitive virus killer authors.
64.    It doesn't seem to be a virus as such, merely a desktop 'silly' capable of
65.    replicating itself into any application without a !Boot file.
66.    Note, it does not delete or change any data, so is harmless. The program
67.    itself flickers the screen occasionally to make it look as though you have
68.    a loose monitor connection. However, as it can be easily altered, other
69.    variations could do other effects.
70.    !VZap kills both the new !Boot file and the 'Datadqm' file.
71.    IF ANY COMPANY SELLING A COMMERCIAL VIRUS KILLER CLAIMS THAT I HAVE WRITTEN
72.    MANY VIRUSES THEY ARE LYING AND I WOULD LIKE TO BE INFORMED - BEFORE TAKING
73.    LEGAL ACTION.
74.    
75. Die Hard (seems to be a variation on the Icon virus)
76.    This virus adds a line to the !Boot file and saves itself under the
77.    filename 'setup'.
78.    It is capable of killing the Vprotect virus killer module and will
79.    delete the 'Killer' virus killer. It seems incapable of deleting
80.    !VZap.
81.    !VZap restores the !Boot file and deletes the relevant virus program.
82.    
83. Extend (also known as MonitorRM, ColourRM, FastMod, CheckMod, ExtendRM,
84.         OSExtend, CodeRM or MemRM)
85.    Again, this virus doesn't seem to be that harmful but will waste memory
86.    and occasionally crash modules with the 'Address exception' error.
87.    Extend is incapable of loading when !VZap is already installed, as
88.    !VZap will delete it as soon as it tries to load. !VZap will also
89.    inform you if it's already in memory when you load !VZap.
90.    !VZap removes the offending lines from the !Boot file and deletes the
91.    additional virus module. !VZap also amends the !Boot file so that
92.    the Extend virus thinks it's already been infected and won't infect it
93.    again. This gives increased protection against repeated attack.
94.    Some variants call themselves Amiga!, andrew or more tasteless names.
95.    
96. Extent
97.    Seems to be a variation on the Extend virus (above). VZap recognises and
98.    zaps a number of different versions.
99.    
100. Icon (also known as Filer, Icon-A, Poison, Splodge or NewVirus)
101.    This is a short BASIC program that is filetyped as a sprite and named
102.    'Icon'.
103.    This is another virus with a number of variations floating around, 
104.    again presumably because it is written in BASIC. VZap will attempt to
105.    detect possibly new variations of this virus, but if you ever have any
106.    doubts about a particular file, you are always welcome to contact me for
107.    more information.
108.    !VZap restores the !Boot file and deletes the 'Icon' file.
109.    Versions 1.03 upwards also eliminate the Icon5574 variation.
110.    Versions 1.28 also scan all sprite files to verify that they are indeed
111.    sprite files.
112.  
113. Image
114.    No specific data available on this one. !VZap simply detects it's
115.    presence. Please contact me if you suspect you are infected.
116.    
117. IRQfix (also known as RiscExtRM, WimpPoll, OSSystem, MiscUtil, FastRom,
118.         or AppRM)
119.    Works in a similar way to the Extend virus but using one of the names
120.    above.
121.    !VZap restores the !Boot file and deletes the relevant virus module.
122.  
123. Honey Monster (detection added at v1.32)
124.    Adds a !Boot file which in turn loads a file called "Bab", which is
125.    written in BASIC and gives a 'dripping' screen effect if the date is
126.    Fri 13th. Note, that this virus can replicate itself.
127.    !VZap deletes the virus loading lines from the !Boot file and deletes the
128.    BASIC "Bab" file.
129.    
130. Jester (detection added at v1.14) (could be a variation to the ArchieVirus!)
131.    Affects 'absolute' (&FF8) files by adding virus code onto the end of the
132.    application code and then adjusting the original execution address to call
133.    the new virus code. Once loaded, Jester installs a module called 'Filer'
134.    which contains it's reproduction code. It can be detected from the
135.    RISC OS Filer because of an additional hard space, CHR$(160), at the
136.    end of the module name.
137.    There currently seem to be two variations; one affecting files which start
138.    with a BL instruction and another for the B instruction.
139.    !VZap deletes the virus code and restores affected files. It will also
140.    detect this virus loading into memory and give you the option to
141.    remove it.
142.    
143. Link (detection added at v1.33) also known as BSToDel.
144.    Seems to be a variation of the Extend virus.
145.    
146. Module
147.    Another quite common module virus.
148.    VZap detects and restores affected modules.
149.    
150. MonitorDAT (detection added at v1.33)
151.    Seems to be a variation on the DataDQM/Vigay virus. Some versions seem
152.    to have copyright messages to imply they were written by anti-virus
153.    authors. These names are no doubt added by people modifying them.
154.    VZap deletes the relevant !Boot and program files.
155.  
156. Net Manager
157.    No specific data available on this one. !VZap simply detects it's
158.    presence. Please contact me if you suspect you are infected.
159.    
160. NetStatus (also known as Arcuebus, GraphMdl, InfoFile, ModularR, ProgUtil,
161.            PureMath, Resource, SoundMdl or SystemRS)
162.    This is similar to the IRQfix virus, but replaces one of the modules
163.    already present in RiscOS - The NetStatus one.
164.    This virus is detectable because it's version number (3.07) is higher
165.    than that currently in RISC OS, yet it is dated 1988.
166.    !VZap restores the !Boot file and deletes the relevant virus module.
167.    
168. Nitemare (detection added at v1.33)
169.    Rather a nasty one which tends to copy loads of files with names " ..."
170.    etc into any <Obey$Dir> directories. The virus code is randomly
171.    generated, as are the lines added to !Boot and !Run files.
172.    VZap scans !Boot and !Run files amending them back to their original
173.    status as well as deleting any files referenced by lines in either !Run
174.    or !Boot.
175.    VZap also deletes any additional sprite files which are added.
176.    A tell tale sign of this virus is either lots of filenames with " "
177.    characters in them or lots of additional sprite files containing a single
178.    sprite called "file_394".
179.    
180. Pattern
181.    Seems to be a variation on the Extend virus (above). VZap recognises and
182.    zaps a number of different versions.
183.  
184. !Room
185.    Appears to be a Trojan which triggers itself when it receives a !Help 
186.    request (wimp message &502), when it kills VProtect and sets an Obey 
187.    command to run the file and then delete the directory containing the
188.    file.
189.    !VZap stops the module from loading whilst !VZap is loaded, and also
190.    detects and deletes the module from discs.
191.    
192. Simple (detection added at v1.33)
193.    No specific data on this one.
194.    It just has a message (C) 1994 The Dark Lord in it
195.    VZap deletes it.
196.    
197. Thunderpants (detection added at v1.33)
198.    VZap copes with about 20 variants of this virus.
199.    Some variations attempt to wipe <Killer$Dir> presumably in an attempt
200.    to delete copies of Pineapple's virus killer.
201.    Some try to rename the floppy disc in drive 0.
202.    Others are generally harmless, but again it's easy to modify.
203.  
204. VanDamme
205.    This is quite a nasty one to detect as it's name is chosen from a
206.    random assortment of letters and it affects either !Boot files or !Run
207.    files. One danger of this virus is that there is a slim (1 in 100000)
208.    chance of it re-formatting the disc in drive 0.
209.    !VZaps protection is two-fold. Firstly, it will restore affected
210.    !Boot files and delete the relevant virus program. Secondly, whilst
211.    !VZap is installed, it will detect the VanDamme virus attempting to
212.    load and bleep, opening the wimp watcher (status) window.
213.    
214. Other known viruses
215. ~~~~~~~~~~~~~~~~~~~
216. Cebit/Lord of Darkness/TlodMod
217. Link
218. Millennium
219. MyMod (fairly harmless)
220. Parasite (nasty one)
221. Sprite (also quite nasty)
222. Thanatos/RiscOSext/TaskAlloc (also nasty)
223. TrapHandler
224. Valid
225.  
226. These viruses seem to be very rare, as I have yet to be notified of any
227. actual infections 'in the field' so to speak. Please always feel free to
228. contact me if you suspect that your machine may be infected with a new or
229. unrecognised virus. I will then endeavour to help and update !VZap as
230. quickly as possible.
231.  
232. ⌐P.Vigay, 1997