home *** CD-ROM | disk | FTP | other *** search
/ Amiga CD-ROM Collection / Amiga CD-ROM Collection - Auge 4000 and Cactus and Demo Util.iso / cactus / 30 / viruswarnung.txt < prev    next >
Text File  |  1989-05-17  |  9KB  |  235 lines
  1.  
  2.  Liebe AMIGA - Zeitschriften, vielleicht haben Sie noch etwas Platz und
  3.  können untenstehenden Artikel bzw. Bericht abdrucken.
  4.  
  5.  
  6.  ----------------------------------------------------------------------------
  7.  » Text mit Maus auf und abrollen !
  8.  
  9.  
  10.  
  11.  VIRUS - WARNUNG an alle AMIGA User !!!! ¡¡¡¡
  12.  
  13.          VIRUS - WARNUNG an alle AMIGA User !!!! ¡¡¡¡
  14.  
  15.  
  16.  oder mein fast aussichtsloser Kampf gegen einen Virus mit Tarnkappe !
  17.  
  18.  ----------------------------------------------------------------------------
  19.  
  20.  Nachdem sich wohl kaum noch jemand über Bootblockviren aufregt und die
  21.  Dinger mehr oder weniger als harmlos eingestuft werden, auch in den
  22.  AMIGA Heften wird nicht allzuviel darüber geschrieben; Hangviren sind
  23.  jetzt in; hat das Grauen und die Intelligenz der Bootviren einen neuen
  24.  Maßstab bekommen:
  25.  
  26.  
  27.                            THE LAMER EXTERMINATOR
  28.  
  29.  
  30.  Dieser neue Bootvirus, von dem ich auch noch nichts gelesen habe, war auf
  31.  einer meiner zuletzt bestellten PD-Disketten.
  32.  
  33.  Der Lamer! Virus kann nur auf dieser Disk gewesen sein, weil ich sonst
  34.  keine anderen neuen Disketten in den letzten Wochen reingeschoben habe,
  35.  und ca. 1 Stunde später haben dann auch meine ersten Bootbilder (Kein
  36.  Virus im Bootblock) gefehlt, z.B. auf meiner Workbench; starte ich immer
  37.  ohne Schreibschutz und alles was sich dann statt dem Bootgirlblock dort
  38.  befindet, ist ein Bootvirus.
  39.  
  40.  Daß der Lamer! Virus auf einer PD - Disk war, tut meiner Bestellwut keinen
  41.  Abbruch, habe auch schon den SCA - Virus samt Original im Laden gekauft,
  42.  hat auch nicht mehr gekostet.
  43.  
  44.  Natürlich habe ich auch bei obiger Disk vor dem ersten Starten erstmal mit
  45.  einem Diskettenmonitor den Bootblock besichtigt, Rechner sogar vorher
  46.  ausgeschaltet, und konnte im Bootblock auch nichts verdächtiges erkennen.
  47.  
  48.  Im Block null war die normale dos - Installroutine, Rest mit Nullen
  49.  aufgefüllt und Block 1 ebenfalls mit Nullen aufgefüllt. Sehr schön, dachte
  50.  ich, alles sauber installiert, ohne irgendsoein Kruscht, wie er als
  51.  mit dem Install Befehl mitgeschrieben wird.
  52.  
  53.  Ja Potz Blitz, und was sehe ich da jetzt auf meiner Workbench ?
  54.  
  55.  Genau dasgleiche ! Mein Bootgirlblock 0 und 1 wurde einfach sauber
  56.  weginstallt (mit Nullen).
  57.  
  58.  Das konnte doch unmöglich ein Bootvirus sein ?!!! Genau die gleichen
  59.  Hexzahlen wie beim Install Befehl, und auch der Text dos.library steht
  60.  am richtigen Platz ! Danach die Nullen, und Nullen können kein Programm
  61.  sein.
  62.  
  63.  Also Testdiskette reingeschoben um zu sehen ob sich`s vermehrt, wieder
  64.  das gleiche, alles sauber weginstallt.
  65.  
  66.  Muß also ein moderner Hangvirus sein. Habe dann alle Files auf Ihre
  67.  Länge überprüft, nichts gefunden, war nichts länger.
  68.  
  69.  Aha ! Der Hangvirus fälscht also auch den Eintrag bei der Filelänge.
  70.  Habe dann alle Files im ASCII Code durchgesehen, ob sich irgendwo etwas
  71.  davor, dran oder zwischenrein gehängt hat und ein verräterischer Text
  72.  zu lesen war.
  73.  
  74.  Ergebnis: Außer ein paar Read/Write Errors, nichts !
  75.  
  76.  Nächster Schritt: Mit dem Diskmonitor alle 1759 Blocks der Workbench
  77.  im ASCII Code durchgesehen und tatsächlich, da hat doch irgendwas
  78.  in verschiedene Blocks den Block vollgeschrieben mit dem Text
  79.  
  80.  LAMER!LAMER!... usw. ca. 80 mal.
  81.  
  82.  Die Files die da vorher durchgingen, waren natürlich zerstört !
  83.  
  84.  Das gleiche fand ich dann bei der Wizards of Sound Disk im File
  85.  Becken Schublade Instruments hat Block Nr. 276 ebenfalls nur noch
  86.  den Text Lamer!Lamer!.... usw.
  87.  
  88.  Also muß doch irgendwo ein Virus sein ! Aber wo!
  89.  
  90.  Ein Hangvirus konnte es nicht sein, da auch eine leere Testdiskette ohne
  91.  irgendein Programm oder .info File befallen wurde.
  92.  
  93.  Der Lamer! Virus  mußte also im Bootblock sein, obwohl es nicht so aussah.
  94.  
  95.  Oder war es vielleicht ein Hangbootvirus mit Kopf im Bootblock ? Oder hat
  96.  er sich vielleicht in den Tracklücken versteckt ? Oder auf Spur 80 - 81, wo
  97.  ich mit meinem Diskmonitor nicht hinkomme ?
  98.  
  99.  Nach ein paar Tagen war ich schon im Zweifel, ob ich überhaupt einen Virus
  100.  habe, oder vielleicht Intuition ausgerastet ist, oder bin ich jetzt
  101.  verrückt geworden und suche schon Viren, wo keine sind!
  102.  
  103.  Auf jedenfall konnte ich das Ding vernichten, durch install df1: von einer
  104.  sauberen Workbench aus und vorher ausgeschaltetem Rechner.
  105.  Der Infizierungseffekt war dann weg.
  106.  
  107.  Außerdem hat sich ein anderes Monitorprogramm dauernd beschwert, daß da
  108.  irgendein Kicktagptr besetzt wäre. Der war dann auch wieder frei nach
  109.  obigem install df1: also war die Disk wieder sauber.
  110.  
  111.  3 Dinge waren bis jetzt also sicher:
  112.  
  113.  1. Bootblock wird zerstört.
  114.  2. Die Lamer!... Blocks zerstören die Files.
  115.  3. Kicktagptr wird verbogen
  116.  
  117.  Aber wo is` er? Hab ja schon immer gewußt, daß im AMIGA ein Geist drin-
  118.  steckt, aber bei dem hier, kann man schon das Grauen kriegen.
  119.  
  120.  Nach ein paar weiteren Tagen grübeln bin ich dann ganz langsam dahinter-
  121.  gekommen.
  122.  
  123.  ---
  124.  
  125.  Der sauber installierte Bootblock der infizierten Diskette, den mir mein
  126.  
  127.  treuer Diskmonitor auf den Bildschirm bringt und ich dann sehe bzw.
  128.  
  129.  optisch mit den Augen wahrnehme, ist NICHT! dasselbe wie das, was sich
  130.  
  131.  MAGNETISCH auf der Diskscheibe befindet!
  132.  
  133.  ---
  134.  
  135.  Hoppla, jetzt geht`s aber los. Wenn das so ist, dann hat der LAMER! Virus
  136.  den perfekten Schutz gegen Besichtigung des Bootblocks und ist praktisch
  137.  unsichtbar auf der Disk (Tarnkappe).
  138.  
  139.  Und tatsächlich, so wars dann auch (1.Versteck- Streich)
  140.  
  141.  Angenommen ich habe jetzt zuerst den Diskmonitor im Speicher, und je nach
  142.  Arbeitsweise des Monitors beim Einlegen einer Diskette; bei manchen
  143.  läuft der Floppymonitor kurz an, bei anderen nicht; versucht der Virus
  144.  in der Speicher zu kommen, installiert sich über den Kicktagptr und
  145.  wird aktiv.
  146.  Wenn er aktiv ist gelingt es ihm  den falschen sauberen Bootblock
  147.  anzuzeigen und einem was vorzugaukeln.
  148.  
  149.  Bootblockverschleierung also gelungen.
  150.  
  151.  2. Versteckstreich
  152.  
  153.  Wenn der Virus beim Einlegen der Diskette nicht aktiv werden kann, dann
  154.  sehe ich einen anderen infizierten Bootblock, der auch wieder normal
  155.  aussieht bis auf eine kleine Kleinigkeit im Block 0 (5. Langwort anders
  156.  gegenüber normalem Install und nach dem text dos.library ca. 9.- 13.
  157.  Langwort steht wieder irgendein Kruscht rum, der bis in Block 1 reicht.
  158.  Aber kein Text, nur wirre Zeichen, die auch nicht entfernt, wie ein
  159.  Maschinenprogramm aussehen.
  160.  
  161.  Trotzdem ist es eins, weil das 5. Langwort ein (JSR ein paar Bytes weiter
  162.  in den Kruscht bedeudet, der vielleicht irgendwie verknüpft ist)
  163.  Aus dem Kruscht geht`s später im Speicher wieder mit RTS zurück und die
  164.  Bootroutine wird normal beendet (Nachdem sich der Virus installiert hat.)
  165.  
  166.  Im Speicher steht das ganze dann entschlüsselt, disassemblierbar ab ca.
  167.  Speicherstelle $7eeae (Ohne Fastram oder abgeschaltet) und ab
  168.  Speicherstelle $7f238 der Text:
  169.  
  170.                        The Lamer Exterminator
  171.  
  172.  Außerdem habe ich jetzt noch festgestellt, daß sich der Virus jedesmal
  173.  wo anders im Speicher befindet (dauernd anderer Wert des KickTagPtr)
  174.  und sich beim Schreiben auch noch jedesmal anders verknüpft in den
  175.  Bootblock schreibt. 
  176.  
  177.  
  178.   Eines muß man dem "Erfinder" ja lassen, die Tarnung ist absolut
  179.   phantastisch, wenn nicht sogar ungeheuerlich, man sieht ihn und
  180.   sieht ihn doch nicht, und wenn man den Virus hat kann man es
  181.   immer noch nicht glauben, aber andererseits ist der Schaden der
  182.   verursacht wird noch um ein vielfaches höher durch die zerstörten
  183.   Files Blocks, und nicht nur die Bootblocks, die zur Not wieder
  184.   ersetzt werden können.
  185.  
  186.   Da er sich auch noch seelenruhig vermehrt ohne irgendwas von sich
  187.   zu geben, es wird nur vermehrt und zerstört, ist jetzt praktisch
  188.   jeder Programmierer bedroht, bzw. kann er seinen Quellcode verlieren
  189.   durch einen LAMER Block Einschlag irgendwo auf der Diskette.
  190.  
  191.   Also immer Sicherheitskopien machen! (Vor dem Einschlag)
  192.  
  193.   Falls Sie den Verdacht haben, daß bei Ihren Disketten irgendwas nicht
  194.   stimmt und "The Lamer Exterminator" dauernd Ihren Diskmonitor aus-
  195.   trickst, dann kopieren Sie einfach mal alle Files der Diskette probeweise
  196.   ins RAM oder auf eine andere Disk.
  197.   Wenn dabei (bei einer vollen Disk) kein Readerror aufgetreten ist, dann
  198.   dürfte alles ok sein. (Bei dem File bootgirl.data tritt immer ein
  199.   Readerror auf, da dieses nicht normal abgespeichert ist sondern als
  200.   Track geladen wird, geht schneller).
  201.  
  202.  
  203.   Inzwischen habe ich ein kleines Assemblerprogramm geschrieben, das die
  204.   mir bekannten 5 Resetvektoren auf Ihren Normalwert (Null) abfragt,
  205.  
  206.   CoolCapture =0
  207.   ColdCapture =0
  208.   WarmCapture =0
  209.   KickMemPtr  =0
  210.   KickTagPtr  =0
  211.  
  212.   und wenn einer verbogen ist, wird ein Alarm ausgegeben (DisplayAlert).
  213.   Sie können es auch leicht in Ihre eigenen startup-sequencen einbauen.
  214.   z.B. Worbench.
  215.  
  216.   Das Programm befindet sich auf dieser SuperLiga-Disk und heißt
  217.   RedAlert.asm.
  218.  
  219.   Falls es nicht mehr drauf ist, können Sie es auch von mir bekommen
  220.   mit dem Assembler Source Code und der neuesten Liste über die Reset-
  221.   vektoren von bis heute bekannten Viren. Disk für DM 10.-
  222.   
  223.   hoffe es hat noch nicht bei Ihnen eingeschlagen und verbleibe
  224.  
  225.   Mit freundlichen Grüßen
  226.  
  227.   Rolf Morlock
  228.   Bahnhofstr. 42
  229.  
  230.   6729 Jockgrim      Tel. 07271/5 13 44
  231.  
  232.  
  233.  
  234.   EXIT    »    click mousebutton
  235.