home *** CD-ROM | disk | FTP | other *** search
/ System Booster / System Booster.iso / Virushunter / AntiCicloVir V2.4 / AntiCicloVir.DOK < prev    next >
Text File  |  1996-09-26  |  37KB  |  933 lines
  1.  
  2.         Dokumentation von AntiCicloVir V2.4        28.10.1994
  3.         ===================================        ==========
  4.  
  5.  
  6. Inhaltsverzeichnis:
  7.  
  8. 1. Copyright
  9.  
  10. 2. Wie benutze ich AntiCicloVir ?
  11.  
  12. 3. Wie teste ich den Speicher auf Viren ?
  13.  
  14. 4. Wie teste ich Dateiverzeichnisse auf Viren ?
  15.  
  16. 5. Wie gehe ich mit Packern um ?
  17.  
  18. 6. Wie teste ich die Boot-Sektoren auf Viren ?
  19.  
  20. 7. Wie teste ich den Disk-Validator auf Viren ?
  21.  
  22. 8. Beschreibung einiger repraesentativer AMIGA-Viren:
  23.  
  24.     - SCA
  25.  
  26.     - BGS 9
  27.     - Bret Hawnes
  28.     - Disaster-Master
  29.  
  30.     - IRQ
  31.     - Golden Rider
  32.  
  33.     - SADDAM
  34.  
  35. 9. Post
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.                 
  47.  
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56. =====================Mitteilung in eigener Sache===========================
  57.  
  58. In letzter Zeit erreichen mich immer haeufiger Anfragen von verzweifelten
  59. AMIGA-Anwendern, wo es denn bitte schoen die neuesten Versionen von 
  60. AntiCicloVir gaebe ???
  61. Diese Anwender verwenden meist` noch Versionen aus der "AntiCicloVir-Steinzeit"
  62. (V1.0-1.3 ...) !!!
  63. Dazu kann ich nur schreiben, dass ich den Serien Amiga-Szene, A.U.G.E. 4000, 
  64. FRANZ, Fresh Fish, German, GPD und TIME sowie der SHI immer die neuesten
  65. Versionen zusende, doch nicht alle Briefe werden beantwortet !!!
  66. (Gibt es die FRANZ_PD ueberhaupt noch ???????)
  67. Wenn Sie also immer die neueste Version von AntiCicloVir erhalten wollen,
  68. dann wenden Sie sich bitte an eine der o.g. PD-Serienhersteller und nur im
  69. Falle von Virenproblemen an mich !
  70. Bohren Sie solange nach und loechern die PD-Serienhersteller, die AntiCicloVir
  71. einfach nicht vertreiben wollen, bis sie von selbst einsehen, dass es zwecklos
  72. ist, auf Dauer gegen den (Daten-)Strom der Zeit zu schwimmen ...
  73. An dieser Stelle moechte ich auch noch einmal alle AMIGA-PD-Vertreiber, die
  74. an einem AntiCicloVir-UpDate-Service interessiert sind, bitten, mit mir
  75. Kontakt aufzunehmen - gleiches gilt fuer PD-Serienhersteller, die mir noch
  76. unbekannt sind !
  77.  
  78. =============================================================M.Gutt==========
  79.  
  80.  
  81.  
  82.  
  83.  
  84.  
  85.  
  86.  
  87.  
  88.  
  89.  
  90.  
  91.  
  92.  
  93.  
  94.  
  95.  
  96.  
  97.  
  98.              
  99.  
  100.                 Copyright
  101.  
  102. AntiCicloVir ist nun Public Domain-Software und das bedeutet, dass Sie
  103. AntiCicloVir jetzt sowohl zum privaten Gebrauch als auch zum kommerziellen
  104. Gebrauch verwenden koennen !
  105. Sie koennen mit AntiCicloVir Ihre eigenen Disketten auf Viren testen, es zum
  106. Schutz auf einer eigenen PD-Serie verwenden und es jedermann zu jedem Preis
  107. weitergeben.
  108. Sie duerfen den Assembler-Quelltext dieses Programmes lesen, jede beliebige
  109. Routine aus dem Quelltext fuer eigene Programme verwenden oder auch Teile
  110. des Assembler-Quelltextes aendern oder ergaenzen.
  111. Wenn Sie selbst ueber Assembler-Sprachkenntnisse verfuegen, dann werden Sie
  112. schnell bemerken, wie simpel es ist, diesen Viruskiller so zu erweitern, dass
  113. er neue Viren im Speicher und auf Diskette erkennt !
  114. Sie duerfen den Quelltext von AntiCicloVir auch als Basis fuer die 
  115. Programmierung eines eigenen Virenkillers verwenden !
  116. Doch es bestehen einige Beschraenkungen:
  117. Sie duerfen jedoch ein derartig veraendertes Programm nicht mehr unter dem
  118. Namen `AntiCicloVir` verbreiten, weil ich in Zukunft weitere (und bessere)
  119. Versionen von AntiCicloVir schreiben werde und denke, dass es nicht besonders
  120. nuetzlich sein duerfte, wenn dann mehrere Programme unter dem selben Namen
  121. existieren !!!!!!
  122. Weiterhin ist jegliche Aenderung am Inhalt dieser Dokumentation sowie am
  123. Inhalt der Datei `VIRUSLIST.DOC` untersagt !!!
  124.  
  125. Nun ja, ich hoffe, dass im Assembler-Quelltext von AntiCicloVir keine 
  126. ernsthaften, widerlichen, ekelhaften Bugs (Fehler) existieren, doch ich 
  127. glaube, dass es kein Programm (sowie auch kein Schiff) ohne Bug gibt, 
  128. so dass ich auch KEINE Garantie fuer die fehlerfreie Arbeit von AntiCicloVir 
  129. geben kann ...
  130. Ich werde nicht die Verantwortung fuer irgendwelche Schaeden uebernehmen, die
  131. direkt oder indirekt bei fehlerfreier oder fehlerhafter Benutzung von 
  132. AntiCicloVir entstanden sind !
  133. Das bedeutet beispielsweise fuer den Fall, dass Ihnen Hardware- oder Software-
  134. schaeden entstanden sind, welche durch ein Virus verursacht wurden, welches
  135. AntiCicloVir nicht erkannt hat, dass ich dafuer nicht die Verantwortung
  136. uebernehmen werde !
  137. Aber ich hoffe, dass derartige Dinge nicht geschehen werden.
  138.  
  139.  
  140.  
  141.  
  142.  
  143.  
  144.  
  145.  
  146.  
  147.  
  148.  
  149.  
  150.  
  151.  
  152.  
  153.  
  154.  
  155.             Wie verwende ich AntiCicloVir ?
  156.  
  157. AntiCicloVir ist ein einfach zu handhabender aber leistungsstarker 
  158. Viruskiller, wie einst VirusX.
  159.  
  160. Es ist nicht schwer, mit AntiCicloVir zu arbeiten !
  161. Heutzutage erscheinen immer mehr Superviruskiller, doch immer mehr Anfaenger
  162. haben Schwierigkeiten, diese Superviruskiller auch zu 100 Prozent effizient
  163. auszunutzen, weil diese Programme mit der Zeit so komplex geworden sind, dass
  164. man zuerst, Giga-Bytes von Dokumentationsdateien zu lesen hat, bevor man weiss,
  165. wie man solch` einen Superviruskiller am sinnvollsten einsetzt ...
  166.  
  167. Jeder, der sich intensiv mit seinem Computer beschaeftigt, weiss, dass einzelne
  168. Teilbereiche der Informatik mittlerweile so komplex und umfangreich geworden
  169. sind, dass man wirklich kaum noch Zeit hat, sich intensiv mit anderen Teil-
  170. bereichen auseinanderzusetzen ...
  171. Jemand, der sich beispielsweise fuer Grafikprogrammierung interessiert, hat
  172. weder Zeit noch Lust, sich auch mit Computer-Viren und Antivirusprogrammierung
  173. auseinanderzusetzen, doch er wird nicht drumrumkommen ...
  174. Leider scheint sich nun aber auch im AMIGA-Bereich immer mehr der Trend, in
  175. Richtung komplexerer Programme durchzusetzen, wie bereits im PC-Bereich ...
  176. Hier muss man erst tausendseitige Buecher waelzen oder Giga-Bytes an Daten aus
  177. Dokumentationsdateien konsumieren, bevor man ueberhaupt weiss, welche 
  178. Funktionnen einem mit einem bestimmten Programm zur Verfuegung stehen 
  179. - Funktionen, von denen  - wie die Praxis lehrt - i.d.R. ohnehin nur die 
  180. wenigsten im konkreten Anwendungsfall sinnvoll sind ...
  181.  
  182. Mit der Programmierung von AntiCicloVir wird das Ziel verfolgt, einen 
  183. Viruskiller zu entwickeln, der es dem Anwender ermoeglicht, sich ueberhaupt 
  184. nicht mehr mit dem Thema Computer-Viren auseinandersetzen zu muessen und 
  185. gleichzeitig ein Maximum an Sicherheit gewaehrleistet !
  186. Erreicht werden soll dies durch eine optimale Hierarchie und Struktur der
  187. Viruskiller-Funktionen, die es jedem ohne umfangreiche Kenntnisse ermoeglichen
  188. soll, den Viruskiller am sinnvollsten einzusetzen.
  189. Dieses Ziel ist gewiss nocht nicht erreicht !
  190.  
  191. Wenn Sie AntiCicloVir benutzen wollen, dann brauchen Sie nur, diese kurze 
  192. Dokumentation zu lesen, und folgende Dinge zu wissen:
  193.  
  194. AntiCicloVir ist momentan eher ein Virenjaeger als ein Virenkiller !
  195. Es kann zwar Viren im Speicher erkennen, aber sie nicht aus demselben entfernen,
  196. da es keine Vektoren veraendert !
  197. Momentan habe ich naemlich nicht die Original-Adressen aller Systemvektoren
  198. aller Betriebssysteme, da ich leider nicht so viel Geld habe, wie einige
  199. Antivirus-Freaks, um mir alle AMIGA-Modelle zu kaufen, die Commodore `mal auf
  200. den Markt gebracht hat ...
  201.  
  202. In manchen Faellen duerfte es aber auch ausreichen, die Resetvektoren durch
  203. AntiCicloVir ruecksetzen zu lassen, um ein Virus aus dem Speicher zu entfernen.
  204. Danach sollten Sie aber einen Reset ausfuehren, damit das Virus dann endgueltig
  205. aus dem Speicher fliegt, falls es den Reset nicht ueberlebt haben sollte !!!
  206.  
  207. Wegen der geringen Dateilaenge von nur 27 KB eignet sich AntiCicloVir besonders
  208. gut zum Einbinden in die Startup-Sequence.
  209. Kopieren Sie AntiCicloVir in`s Unterverzeichnis c und rufen Sie es von der
  210. Startup-Sequence unter Verwendung der option `-c` fuer den schnellen Speicher-
  211. test auf !
  212. Jedesmal wenn Sie von dieser Diskette booten, zeigt AntiCicloVir ihnen die
  213. Adressen einiger wichtiger Systemvektoren und sucht im Speicher nach bekannten
  214. Viren.
  215.  
  216. Falls AntiCicloVir ein Virus im Speicher gefunden haben sollte, dann befehlen
  217. Sie AntiCicloVir, den Resetvektoren zu loeschen und loesen Sie einen Reset aus !
  218. Nachdem Sie von einer `sauberen` Diskette gebootet haben, sollten Sie 
  219. AntiCicloVir ein zweites Mal starten, um zu sehen, ob das Virus noch im
  220. Speicher steht !
  221.  
  222. Um die Boot-Sektoren der Disketten mit AntiCicloVir auf Virenbefall zu testen,
  223. starten Sie AntiCicloVir unter Angabe der Option `-m` von der Shell oder von
  224. der Workbench-Oberflaeche aus.
  225. AntiCicloVir testet jede Diskette in allen angeschlossenen Laufwerken, sobald
  226. Sie eine in`s Laufwerk eingelegt haben.
  227. AntiCicloVir testet nicht nur die Boot-Sektoren von eingelegten Disketten, 
  228. sondern auch gleichzeitig deren Disk-Validatoren.
  229.  
  230. Wenn Sie Ihre Disketten auch auf Datei- und Linkviren hin testen wollen, dann
  231. benutzen Sie AntiCicloVir bitte von der Shell aus:
  232.  
  233. Geben Sie den Dateinamen von AntiCicloVir gefolgt vom Namen des zu 
  234. untersuchenden Verzeichnisses oder Unterverzeichnisses an !
  235.  
  236. Sie sehen, es ist sehr einfach, AntiCicloVir zu verwenden !!!
  237.  
  238. Aber AntiCicloVir ist noch lange nicht am Ende ...
  239.  
  240. Wenn Sie AntiCicloVir zusammen mit den Antivirus-Libraries der SHI (Safe Hex
  241. International [Adresse steht im englischsprachigen DOC]) verwenden, dann
  242. ist der Viruskiller weitaus leistungsstaerker als in der Grundform !!!
  243. Diese Antivirus-Bibliotheken werden zwar nicht benoetigt, um AntiCicloVir
  244. zu starten (Sie koennen auf deren Nutzung also auch verzichten), aber dafuer
  245. erweitern Sie die Moeglichkeiten des Virenkillers in einigen wichtigen
  246. Punkten betraechtlich (Sie sollten auf deren Nutzung also lieber doch nicht
  247. verzichten !!!)...
  248. Diese drei Antivirus-Bibliotheken befinden sich im Unterverzeichnis libs,
  249. welches sich wiederum im selben Unterverzeichnis befindet wie AntiCicloVir.
  250. Kopieren Sie die Bibliotheken aus diesem Unterverzeichnis in das Unterver-
  251. zeichnis libs Ihrer Workbench-Diskette, wenn Sie diese zusammen mit 
  252. AntiCicloVir verwenden wollen !
  253. Dann sollten Sie aber ebenfalls den Inhalt des Unterverzeichnisses l aus dem
  254. Unterverzeichnis, in dem sich AntiCicloVir befindet, in das Unterverzeichnis
  255. l Ihrer Workbench-Diskette kopieren !
  256.  
  257. Diese drei Antivirus-Bibliotheken erweitern AntiCicloVir in den folgenden
  258. Punkten:
  259.  
  260. - Die Bootblock.library unterstuetzt den BootSector-Test von AntiCicloVir,
  261.   so dass der Viruskiller jetzt zusaetzlich zu den 188 Bootblock-Viren, die
  262.   er selbst kennt, noch jene erkennt, die der Bootblock.library bekannt sind -
  263.   und das sind NICHT WENIGE !!!
  264.   Ein grosses Dankeschoen fuer diese exzellente Arbeit geht deshalb an:
  265.  
  266.         Johan Eliasson
  267.         Baeckgatan 6
  268.         60358 Norrkoeping
  269.         Sweden
  270.  
  271. - Die removelink.library unterstuetzt den Verzeichnistest von AntiCicloVir,
  272.   so dass der Viruskiller jetzt zusaetzlich zu den 78 Datei-, Link- und
  273.   Disk-Validator-Viren & Trojanischen Pferden und Bomben, die er selbst kennt,
  274.   noch jene erkennt, die der removelink.library bekannt sind !!!
  275.   Ein grosses Dankeschoen fuer diese exzellente Arbeit geht deshalb an:
  276.  
  277.         Johan Oehman
  278.         Matematikgrand 13B
  279.         90733 Umea¢
  280.         Sweden
  281.  
  282. - Die unpack.library ermoeglicht es AntiCicloVir nun auch, Archive, gecrunchte
  283.   und gepackte Dateien zu entpacken und, auf Viren zu testen !!!
  284.   Ohne der unpack.library ist AntiCicloVir lediglich in der Lage, einige
  285.   Archive, Cruncher und Packer zu erkennen, allerdings nicht, gepackte Dateien
  286.   zu entpacken und deren Inhalt dann, auf Datei-, Link- und Disk-Validator-
  287.   Viren & Trojanischen Pferden und Bomben zu untersuchen !!!
  288.   Ein grosses Dankeschoen fuer diese exzellente Arbeit geht deshalb an:
  289.  
  290.         Thomas Neumann 
  291.         Kongensgade 78
  292.         3550 Slangerup
  293.         Denmark
  294.  
  295. Mit diesen Antivirus-Bibliotheken haben Sie nun die Moeglichkeit, AntiCicloVir
  296. selbst "upzudaten", selbst dann, wenn ich vielleicht einmal die Weiterent-
  297. wicklung von AntiCicloVir eingestellt haben sollte :( , indem Sie sich einfach
  298. die neuen SHI-Antivirus-Bibliotheken von der SHI besorgen !!!
  299. Ein Megadankeschoen geht deshalb an dieser Stelle an Safe Hex International !!!
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.             Wie teste ich den Speicher auf Viren ?
  319.  
  320. Wenn Sie AntiCicloVir unter Verwendung der Option `-m` oder von der Workbench-
  321. Oberflaeche aus starten, so wird es Ihnen zuerst die ROM-Adressen der 
  322. wichtigsten Systemvektoren anzeigen.
  323. Wenn einer der Resetvektoren ColdCapture, CoolCapture, KickTagPtr nicht mehr
  324. auf Null zeigt, wird AntiCicloVir einen Requester erzeugen, mit dem es Sie 
  325. fragt, ob es diese veraenderten Resetvektoren wieder zuruecksetzen soll.
  326. Die anderen Resetvektoren WarmCapture, KickMemPtr und KickCheckSum koennen
  327. allein ohne die oben erwaehnten Vektoren von Viren nicht verwendet werden.
  328.  
  329. AntiCicloVir ueberprueft nicht die Adressen der ROM-Vektoren und kann sie auch
  330. nicht auf ihre Original-ROM-Adressen zuruecksetzen, falls sie veraendert worden
  331. sind !
  332. Aber jedes Virus haengt ueber einen der oben erwaehnten Resetvektoren im
  333. Speicher herum, und das ist der Punkt, an dem AntiCicloVir jedes neue unbekannte
  334. Virus erkennen wird !
  335.  
  336. AntiCicloVir zeigt Ihnen die wichtigsten Adressen der ROM-Vektoren aus der
  337. Exec-Basis-Struktur, der exec.library, der intuition.library, der dos.library,
  338. dem trackdisk.device und dem keyboard.device.
  339.  
  340. Wenn Sie AntiCicloVir mit der Option `-c` gestartet haben, dann wird 
  341. AntiCicloVir einen schnellen Speichertest durchfuehren.
  342.  
  343. Wenn AntiCicloVir ein bekanntes Virus im Speicher gefunden hat, wird es einen
  344. Requester erzeugen, um Sie zu warnen.
  345. Aber es kann kein Virus aus dem Speicher entfernen, weil es keine Original-ROM-
  346. Adressen zuruecksetzt !!!
  347. Bitte setzen Sie mittels AntiCicloVir die Resetvektoren zurueck und fuehren
  348. einen Reset aus, um das Vius aus dem Speicher zu schmeissen, oder schalten Sie
  349. den AMIGA aus !
  350. Nachdem AntiCicloVir die Resetvektoren zurueckgesetzt und Sie einen Reset
  351. ausgeloest haben, booten Sie bitte von einer `sauberen` Diskette und starten
  352. AntiCicloVir ein zweites Mal, um zu sehen, ob das Virus noch immer im Speicher
  353. steht oder nicht ...
  354. Bitte benutzen Sie auch die removelink.library, um den Speichertest zu unter-
  355. stuetzen !
  356.  
  357.  
  358.  
  359.  
  360.  
  361.  
  362.  
  363.  
  364.  
  365.  
  366.  
  367.  
  368.  
  369.  
  370.  
  371.  
  372.  
  373.             Wie teste ich Dateiverzeichnisse auf Viren ?
  374.  
  375. Wenn Sie das Haupt- oder ein Unterverzeichnis einer Diskette auf Viren testen
  376. wollen, so muessen Sie zuerst in die Shell wechseln, um AntiCicloVir gefolgt
  377. vom Pfadnamen des zu testenden Verzeichnisses zu starten.
  378. Wollen Sie jedoch nur eine einzelne Datei untersuchen, so geben Sie bitte den
  379. korrekten Pfadnamen des Verzeichnisses, in dem sich die Datei befindet, an.
  380.  
  381. AntiCicloVir zeigt jeden Eintrag (Dateiname) eines Verzeichnisses an und dessen
  382. Schutz-Status (Protection-Bits), dessen Dateilaenge und falls vorhanden
  383. Kommentar.
  384. Ausserdem kann es den Inhalt der Dateien nach ausfuehrbarem Code und Code
  385. von Archiven, Crunchern und Packern sowie Programmcode von Datei-, Link-, 
  386. und Disk-Validator-Viren sowie nach dem von Trojanischen Pferden und Bomben 
  387. hin untersuchen !
  388. Wenn etwas von dem oben erwaehnten widerlichen  Muell in einer Datei gefunden 
  389. wurde, dann haengt AntiCicloVir eine kurze Meldung an den Dateinamen `ran 
  390. und erzeugt einen Requester, um Ihnen die Moeglichkeit zu geben, dieses Virus 
  391. zu loeschen.
  392.  
  393. Wollen Sie ein ganzes Verzeichnis samt allen Unter-, Unter-Unter, Unter-Unter-
  394. Unter-Verzeichnissen etc ... checken, dann verwenden Sie zum Pfadnamen bitte
  395. die Option `-all` !
  396. Zwei Beispiele sollen Ihnen die Verwendung dieser Option illustrieren:
  397.  
  398. 1. AntiCicloVir df0: -all (untersucht alle Verzeichnisse und Unter-
  399.                verzeichnisse in DF0:)
  400. 2. AntiCicloVir "Workbench Disk:"-all (untersucht alle Verzeichnisse und
  401.                        Unterverzeichnisse von "Workbench 
  402.                        Disk")
  403.  
  404.  
  405. AntiCicloVir kann keine unsichtbaren Dateinamen aus der Startup-Sequence ent-
  406. fernen !
  407. Wenn Sie mithilfe von AntiCicloVir ein Dateivirus entfernt haben, dann schauen
  408. Sie mittels eines Dateimonitors oder beispielsweise des Shell-Kommandos TYPE
  409. in Ihrer Startup-Sequence nach unsichtbaren Zeichen, welche Dateiviren
  410. verwenden, um sich selbst aufzurufen ...
  411. Sie muessen diese unsichtbaren Zeichen unter Verwendung der Backspace-Taste
  412. loeschen, oder Sie werden nach jedem Reboot von dieser Diskette die Fehler-
  413. meldung `unknown command` erhalten !
  414.  
  415. Da AntiCicloVir in jedem Verzeichnis nach Dateinamen, welche unsichtbare 
  416. Zeichen enthalten, sucht, kann es auch komplett neue Dateiviren aufspueren, 
  417. welche es bis zu diesem Zeitpunkt noch nicht kannte !!!
  418. Das ist sehr sinnvoll ...
  419. Bitte senden Sie neue unsichtbare Dateien an meine Adresse !
  420. Danke !
  421.  
  422.  
  423.  
  424.  
  425.  
  426.  
  427.  
  428.  
  429.  
  430.  
  431.  
  432.  
  433.  
  434.  
  435.  
  436.  
  437.             Wie gehe ich mit Packern um ?
  438.  
  439. Mittlerweile gibt es ja etliche sogen. Archive, Cruncher und Packer in der
  440. AMIGA Public Domain-Szene, die es dem Anwender ermoeglichen, seine Programme
  441. so platzsparend zu kompressieren, dass er fuer deren Speicherung erheblich
  442. weniger Speicherplatz auf einem Datentraeger benoetigt, als dies ohne der-
  443. artige Programme der Fall gewesen waere ...
  444. Doch so sinnvoll wie diese Programme auch sind, so gefaehrlich sind sie auch
  445. fuer AMIGA-Anwender, die ihr System vor Computerviren schuetzen wollen ...
  446. Denn ein Linkvirus, das sich in einer gepackten Datei befindet, kann von
  447. einem normalen Virenkiller normalerweise nicht mehr erkannt werden, da beim
  448. Archivieren, Crunchen und Packen der Originalzustand der Datei ja soweit
  449. veraendert wird, dass die Testlangworte vom Virenkiller nicht mehr gefunden
  450. werden, es sei denn, der Virenkiller erkennt das Archiv/den Cruncher/Packer,
  451. entpackt diese Datei und fuehrt dann den Virustest durch ...
  452. Da jedoch kein Viruskiller alle Archive, Cruncher und Packer, die es fuer
  453. den AMIGA gibt, sofort kennen kann, da es ja staendig Neuerscheinungen gibt,
  454. bleiben derartige Programme ein "Sicherheits-Risiko" !
  455. Normalerweise koennen sich Viren im gepackten Zustand nicht weiterkopieren,
  456. so dass jede Virus-Kopie wieder im entpackten Zustand in Erscheinung tritt,
  457. aber die Quelle dieser Virus-Kopien koennte demzufolge ein normaler Viruskiller
  458. nicht orten, so dass staendig neue Viren gestreut werden wuerden !!!
  459. Und leider gibt es auch schon mindestens ein Dateivirus (Darth Vader), das
  460. sich wenigstens theorhetisch auch im gepackten Zustand weiterkopieren kann !!!
  461. Was AntiCicloVir und Archive, Cruncher und Packer betrifft, so gibt es eine
  462. gute und eine schlechte Nachricht:
  463.  
  464.  Zuerst die schlechte: AntiCicloVir erkennt nur wenige Archive, Cruncher und
  465.                Packer und kann gepackte Dateien nur anzeigen, sie aber
  466.                nicht entpacken !!!!
  467.  
  468.  ... und nun die gute: Wenn Sie AntiCicloVir zusammen mit der unpack.library
  469.                von Thomas Neumann verwenden, die sich ebenfalls im
  470.                Unterverzeichnis libs befindet, welches sich im 
  471.                selben Unterverzeichnis wie AntiCicloVir befindet, 
  472.                dann ist AntiCicloVir auch in der Lage, 
  473.                Archive, gecrunchte und gepackte Dateien zu erkennen,
  474.                zu entpacken und auf Datei-, Link- und Disk-
  475.                Validator-Viren & Trojanischen Pferden und Bomben 
  476.                zu testen !!!
  477.  
  478.  
  479.  
  480.  
  481.  
  482.  
  483.  
  484.  
  485.  
  486.  
  487.  
  488.  
  489.  
  490.  
  491.  
  492.  
  493.             Wie teste ich Boot-Sektoren auf Viren ?
  494.  
  495. Um die Boot-Sektoren mit AntiCicloVir auf Viren zu testen, muessen Sie 
  496. AntiCicloVir von der Shell unter Angabe der Option `-m` oder von der 
  497. Workbench-Oberflaeche aus starten.
  498. Nachdem Zeigen der Adressen der wichtigsten ROM-Vektoren und Passieren des
  499. Speichertests, installiert AntiCicloVir eine Intuition-Fensterleiste am oberen
  500. Rand des aktuellen Fensters und wartet nun so lange, bis Sie irgendeine Diskette
  501. in`s Laufwerk eingelegt haben.
  502. AntiCicloVir untersucht die Boot-Sektoren aller Disketten in allen 
  503. angeschlossenen Laufwerken, sobald Sie irgendeine Diskette in irgendein
  504. Laufwerk eingelegt haben !!!
  505. Wenn AntiCicloVir ein bekanntes Bootblock-Virus gefunden hat, dann wird es 
  506. einen Requester erzeugen, um Sie zu fragen, ob es dieses Bootblock-Virus durch
  507. Ueberschreiben mit einem Standard-Bootblock loeschen soll.
  508.  
  509.  
  510.  
  511.  
  512.  
  513.  
  514.  
  515.  
  516.  
  517.  
  518.  
  519.  
  520.  
  521.  
  522.  
  523.  
  524.  
  525.             Wie teste ich den Disk-Validator auf Viren ?
  526.  
  527. Um den Disk-Validator Ihrer Disketten auf Disk-Validator-Viren zu testen,
  528. muessen Sie AntiCicloVir unter Angabe der Option `-m` von der Shell oder
  529. von der Workbench-Oberflaeche aus starten.
  530. Nachdem Zeigen der wichtigsten ROM-Adressen und dem Passieren des Speichertests,
  531. installiert AntiCicloVir eine Intuition-Fensterleiste am oberen Rand des
  532. aktuellen Fensters und wartet so lange, bis Sie irgendeine Diskette in`s 
  533. Laufwerk gelegt haben.
  534. Wenn irgendein Disk-Validator-Virus auf der Diskette gefunden wurde, dann er-
  535. zeugt AntiCicloVir einen Requester und ueberlaesst Ihnen die Wahl, dieses 
  536. Virus zu loeschen oder nicht zu loeschen.
  537.  
  538.  
  539.  
  540.  
  541.  
  542.  
  543.  
  544.  
  545.  
  546.  
  547.         Beschreibung einiger repraesentativer AMIGA-Viren:
  548.  
  549. - SCA:
  550.  
  551.     Dieses war das erste Virus fuer den AMIGA.
  552.     Es lebt in den ersten beiden Sektoren der Spur 0 einer Diskette -
  553.     genannt der Bootblock.
  554.     Jedesmal wenn Sie von solch` einer infizierten Diskette booten, kopiert
  555.     sich das SCA-Virus absolut in`s CHIP-RAM an die Speicherposition $7EC00.
  556.     Danach kontrolliert es, ob die dos.library resident ist und stoppt so
  557.     lange, bis die dos.library wirklich resident ist.
  558.     Das SCA-Virus setzt den Resetvektoren CoolCapture auf seine eigene
  559.     Adresse, welche $7EC3E lautet, und schlaeft nun so lange, bis Sie
  560.     einen Reset ausfuehren...
  561.     Ausserdem berechnet es eine neue Pruefsumme fuer die Exec-Basis-
  562.         Struktur.
  563.     Sobald Sie Ihren Computer rebooten, entfernt das SCA-Virus die ROM-
  564.         Adresse des Vektoren der DoIO ()-Routine und setzt dort die Adresse 
  565.         einer eigenen Routine ein.
  566.     Wenn nun der AMIGA versucht, seinen eigenen IORequest zu starten
  567.     unter Verwendung der ROM-Routine DoIO (), um von einer Diskette zu
  568.     booten,    wird das SCA-Virus aktiviert und aendert den IORequest fuer
  569.     seinen eigenen Verwendungszweck, um den Code von der Speicherposition
  570.     $7EC00 in die ersten beiden Sektoren der Spur 0 einer Diskette - ge-
  571.     nannt Bootblock - zu schreiben ...
  572.     Danach setzt es die Original-ROM-Adresse in den Vektoren der Routine
  573.     DoIO ().
  574.     Das SCA-Virus verursacht keine Schaeden, aber es gibt die folgende
  575.     Mitteilung aus:
  576.  
  577.     `Something wonderful has happened.
  578.      Your AMIGA is alive !!!
  579.      and, even better ...
  580.      some of your disks are infected by a VIRUS
  581.      Another masterpiece of The Mega-Mighty SCA !!!`
  582.  
  583.     Viren wie SCA nennen wir Bootblock-Viren !
  584.  
  585.  
  586.  
  587. - BGS9:
  588.  
  589. Nicht ganz so gefährlich, aber dennoch lästig ist das BGS 9-Virus !
  590. Es sucht sich das erste ausführbare Programm aus der Startup-Sequence
  591. und verschiebt es unter dem unsichtbaren Namen $A0A0A0202020A0202020A0 in`s
  592. Verzeichnis `DEVS:` !
  593. Das Dateivirus selbst kopiert sich anstelle des Original-Programmes.
  594. Nach jedem Abarbeiten der Startup-Sequence, wird es aktiviert !
  595. Mittlerweile gibt es zwei Versionen dieses Dateiviruses !
  596. Nachdem dieses Virus gestartet wurde, schreibt es sich als `MemList`-Struktur
  597. in den Speicher und gibt in KickMemPtr einen Zeiger darauf zurück !
  598. In den KickTagPtr wird die Adresse für das Resetprogramm eingetragen und
  599. mit SumKickData () die KickCheckSum berechnet und ebenfalls eingetragen.
  600. Nach jedem Reset verbiegt das Resetprogramm den OpenWindow ()-Vektor auf
  601. eine Vermehrungsroutine, welche beim Rücksprung diesen Vektor wieder
  602. auf die ROM-Adresse setzt !
  603. Nach vier Resets wird folgender Text ausgegeben:
  604.  
  605.  
  606. `                       A COMPUTER VIRUS IS A
  607.                              DISEASE
  608.  
  609.                           TERRORISM IS A
  610.                            TRANSGRESSION
  611.  
  612.                          SOFTWARE PIRACY IS A
  613.                                CRIME
  614.  
  615.                           THIS IS THE CURE
  616.  
  617. BBB      GGGGGG    SSSS    99999            
  618. B  B     G        S        9   9         
  619. B  B     G          S      9   9             
  620. BBB      G           S     99999              Bundesgrenzschutz Sektion 9
  621. B  B     G GGGG       S        9              Sonderkommando "EDV"
  622. B  B     G    G        S       9
  623. BBB      GGGGGG    SSSS    99999`
  624.  
  625.  
  626. Außerdem werden auch beide Viren im Speicher erkannt !
  627. Doch leider können die Viren BGS 9 und BGS 9 II im Speicher
  628. nicht voneinander unterschieden werden !
  629. Sie sind nahezu identisch und unterscheiden sich nur in zwei Details
  630. voneinander !
  631. Zum Einen wurde ein Byte im unsichtbaren Namen des BGS9-Viruses auf
  632. der Diskette geändert und zum Anderen wurde ein Byte in der Kodierung
  633. des ASCII-Textes im Speicher geändert !
  634. Ich vermute, daß diese Änderungen nur vorgenommen wurden, um einen
  635. bestimmten Viruskiller zu täuschen !
  636. Die BGS 9-Viren funktionieren auch unter OS 3.01 !
  637.  
  638.  
  639.  
  640. - Bret Hawnes:
  641.  
  642. Dieses 2608 Bytes große Dateivirus tarnt sich als unsichtbares Programm
  643. im Hauptverzeichnis jeder infizierten Diskette und schreibt seinen
  644. Aufruf in die s/startup-sequence !
  645. Somit hat das Bret Hawnes-Virus gewisse Ähnlichkeiten mit den Revenge
  646. of the Lamer Exterminator-Viren, obwohl ich schreiben muß, daß diese
  647. weitaus professioneller programmiert worden sind !
  648. Es steht als unsichtbare Datei auf der Diskette, die dem Hexadezimal-Wert:
  649. $C0A0E0A0C0 entspricht !
  650. Dieses Dateivirus kopiert sich absolut nach $7F000 in den Speicher und
  651. setzt KickTagPtr & KickCheckSum auf sein Resetprogramm.
  652. Der Interrupt-Vektor 3 wird auf eine eigene Adresse für die Textausgabe
  653. verbogen.
  654. Waehrend des Resets werden noch die Vektoren der Routinen OpenLibrary () und
  655. OpenWindow () verbogen und wieder zurueckgesetzt !
  656. Der Vektor OpenLibrary () wird verbogen, damit das Virus immer beim
  657. Oeffnen einer Systembibliothek nach dem Reset aktiviert wird und warten kann,
  658. bis die intuition.library geoffnet wird !
  659. Ist dies geschehen, wird OpenLibrary () wieder auf die ROM-Adresse gesetzt
  660. und nun OpenWindow () verbogen.
  661. Jetzt wartet Bret Hawnes so lange, bis AmigaDOS das CLI-Fenster 
  662. oeffnet und schreibt sich bei dieser Gelegenheit auf die Diskette !
  663. Nach neun Vermehrungen zerstört dieses Virus Disketten und ueberschreibt
  664. den Bootblock !
  665. Sind zwanzig Minuten vergangen, so wird folgender Text ausgegeben:
  666.  
  667. `GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN
  668.  I`VE TAKEN THE CONTROL OVER YOUR AMIGA !!!
  669.  THERE IS ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! `
  670.  
  671. Das Virus löscht den Zeiger CoolCapture.
  672.  
  673.  
  674.  
  675. - DISASTER-MASTER:
  676.  
  677.  
  678. Dieses 1740 Bytes große Virus tarnt sich als `Clear Screen`-Befehl
  679. unter dem Namen `cls` im `c`-Verzeichnis und schreibt einen eigenen
  680. Aufruf in die s/startup-sequence: `cls *` !
  681. Das Virus kann entweder von einem unwissenden Anwender aktiviert werden,
  682. der es aus dem `c`-Verzeichnis als `cls` startet !
  683. Dabei wird der Bildschirm gelöscht und das Virus in den Speicher kopiert.
  684. Wenn es von der startup-sequence aus gestartet wird, dann benutzt es
  685. die Option `*`.
  686. Dabei wird der sichtbare Bildschirm nicht gelöscht und das Virus
  687. bleibt so unbemerkt und kann sich in den Speicher kopieren !
  688. Im Speicher setzt das Dateivirus die Vektoren KickTagPtr & 
  689. KickCheckSum auf seine Adresse.
  690. Waehrend der Resetphase verbiegt das Virus den Vektoren DoIO () auf eine
  691. eigene Routine, welche auf den Zeitpunkt wartet, zu dem die `intuition.library`
  692. verfuegbar ist.
  693. Ist dies der Fall, so wird der Vektor OpenWindow () aus der `intuition.library`
  694. auf eine viruseigene Adresse verbogen und DoIO () wieder auf die ROM-Adresse
  695. gesetzt.
  696. Ueber OpenWindow () findet nun die Vermehrung statt, sobald das 
  697. Betriebssystem das AmigaDOS-Fenster oeffnet !
  698. Anschliessend wird auch OpenWindow () wieder auf die ROM-Adresse gesetzt.
  699. So ist es nach jedem Reset aktiv und kopiert sich als `cls` in`s
  700. `c`-Verzeichnis neuer Disketten und schreibt den Befehl `cls *` in
  701. die s/startup-sequence !
  702. Dieses Virus wird auch vom T.C.R. Intromaker erzeugt, der in
  703. einigen PD-Serien erschienen ist !
  704. Wenn sich dieses Virus im Speicher befindet, kann manchmal die
  705. AmigaDOS-Anzeige am linken oberem Bildschirmrand verschwinden !
  706. Dieses Virus scheint aber noch ein paar Gag`s mehr `drauf zu haben,
  707. als ich in meiner letzten Dokumtation beschrieben habe !
  708. So kann es beispielsweise nach dem Booten von der Systemdiskette
  709. das übliche AmigaDOS-Fenster in einen Screen umwandeln, wie man
  710. ihn beispielsweise von der Workbench-Oberfläche oder einigen 
  711. Textanzeigeprogrammen her kennt !
  712. Das Disaster Master-Virus kann auch eine `Guru-Meditation` aus-
  713. lösen, wobei die Fehlernr. dem Herstellungsdatum dieses Viruses
  714. entspricht !
  715. Mit dieser Fehlermeldung stellt sich Ihnen das Dateivirus vor und bietet
  716. die Moeglichkeit, es zu loeschen an
  717. Im Virencode befindet sich auch eine Routine zum Zerstoeren von Disketten,
  718. von der ich allerdings nicht weiss, ob diese je erreicht wird ...
  719. Moeglicherweise wird diese Routine nach einer bestimmten Anzahl von
  720. Vermehrungen angesprungen.
  721.  
  722.  
  723.  
  724.  
  725. - IRQ:
  726.  
  727. Dieses 1096 Bytes große Linkvirus gilt als das älteste und erste Amiga-
  728. Linkvirus.
  729. Es kopiert sich als Hunk entweder in das erste ausführbare Programm aus
  730. der s/startup-sequence oder es infiziert den CLI-Befehl DIR, falls
  731. es kein anderes ausführbares Programm gefunden hat !
  732. Um resetfest zu bleiben, setzt es die Zeiger KickTagPtr & KickCheckSum 
  733. auf seine Adresse im Speicher.
  734. Zum Weiterkopieren wird der Vektor der Routine OldOpenLibrary () verbogen.
  735. Die OldOpenLibrary-Routine entstammt dem KickStart V1.0 und sollte von
  736. neueren Programmen nicht mehr verwendet werden, da es mittlerweile eine
  737. bessere Routine namens OpenLibrary () gibt !
  738. Die OldOpenLibrary-Routine wurde unter den neuen Betriebssystem-Versionen
  739. nur deshalb erhalten, damit ältere Programme auf den neueren Amiga-Modellen
  740. auch noch laufen !
  741. Die OpenLibrary-Routinen werden von Programmen benutzt, um die System-
  742. bibliotheken zu öffnen !
  743. Denn sämtliche für Programme wichtige Routinen sind schon im Betriebssystem
  744. enthalten und können somit von Programmen genutzt werden !
  745. Das IRQ-Virus richtet keine Schäden an, kann aber durch Texte in der
  746. Fensterleiste wie folgende recht nerven: `AmigaDOS presents a new virus by
  747. the IRQ-Team V41.0`. 
  748. Das IRQ-Linkvirus arbeitet nur mit KickStart V1.2 zusammen und erzeugt
  749. bei hoeheren ROM-Versionen gleich nach dem Start Systemabstuerze.
  750.  
  751.  
  752.  
  753. - Golden Rider:
  754.  
  755.  
  756. Das Golden Rider-Virus ist das zweite `echte Linkvirus` in meiner
  757. Dokumentation !
  758. Dieses Virus steht immer ab $7C000 über CoolCapture resetfest im
  759. Speicher !
  760. Es verbiegt ansonsten noch die Vektoren DoIO () und Open () aus der `dos.
  761. library` !
  762. Dieses Linkvirus funktioniert, meiner Meinung nach, anders als übliche
  763. Linkviren !
  764. Während Linkviren wie CCCP oder Smily Cancer beispielsweise einen
  765. eigenen Hunk in ein infiziertes Programm schreiben und diesen in dessen
  766. Hunk-Tabelle eintragen, kopiert sich das Golden Rider-Virus selbst
  767. in den ersten Programm-Hunk !
  768. Dadurch kann man es nicht mehr über die Hunk-Tabelle erkennen, sondern
  769. muß den kompletten ersten Hunk eines Programmes auf dieses Virus
  770. checken !
  771. Das Virus ersetzt einfach den Befehl `RTS` am Ende des ersten Hunk`s
  772. durch `NOP` und kopiert sich selbst dann hinter diese Stelle.
  773. Dadurch wird beim Beenden des ersten Hunk`s nicht in die aufrufende
  774. Ebene zurückgesprungen, sondern nur der Programmzähler erhöht und
  775. anschließend das Virusprogramm ausgeführt !
  776. Das Virus zerstört keine Disketten und gibt auch keine Meldetexte aus.
  777. Allerdings ist der Text: `>>> Golden Rider <<< by ABT` immer am Ende
  778. des ersten Hunk`s lesbar !
  779.  
  780.  
  781.  
  782.  
  783. - SADDAM: 
  784.  
  785. Dieses 1848 Bytes große Virus tarnt sich als Disk-Validator im Verzeichnis
  786. `L` auf infizierten Disketten !
  787. Jede mit einem SADDAM-Virus infizierte Diskette hat einen
  788. Disk-Validating Error, den das SADDAM-Virus selbst angelegt hat.
  789. Dieses Virus ist das erste, welches sich unter AmigaDOS selbst
  790. aufrufen kann, ohne daß es vom Anwender durch Booten oder Starten eines
  791. verseuchten Programmes etwa aktiviert  wurde !!!!!!
  792. Das Einlegen einer mit einem SADDAM-Virus infizierten Diskette reicht
  793. aus, damit sich das Virus in den Speicher kopieren kann !
  794. Es simuliert einen echten Disk-Validator und hat auch diesselbe Größe
  795. des Original-Disk-Validators, doch im Gegensatz zu diesem, ist es
  796. bis auf das Wort BitMap CheckSum Error total kodiert und kann so
  797. von Anfängern schwer unterschieden werden !
  798. Es kopiert sich auf jede nicht schreibgeschützte Diskette im Laufwerk
  799. DF0: als Disk-Validator !
  800. Wenn es kein `L`-Verzeichnis auf einer Diskette findet, dann kann es
  801. dieses Verzeichnis selbst anlegen !
  802. Bei bereits vorhandenem Disk-Validator kopiert sich das Virus einfach
  803. `drüber !! 
  804. Der Disk-Validator ist eine Art `externe Betriebssystem-Routine`, die
  805. von AmigaDOS immer dann aufgerufen wird, wenn es auf eine Diskette
  806. mit ungültiger BAM ( Block Allocation Map ) trifft !
  807. In der BAM jeder Diskette steht zum Beispiel, wieviele und welche
  808. Blöcke schon belegt sind.
  809. Ist diese BAM ungültig, so hat die Diskette einen Disk-Validating Error,
  810. und das Betriebssystem muß mit Hilfe einer Routine die entsprechenden
  811. Block-Angaben selbst herausfinden !
  812. Diese Routine ist der Disk-Validator im Verzeichnis `L` !
  813. Mit dessen Hilfe wird herausgefunden, wieviele und welche Blöcke
  814. einer Diskette schon belegt sind.
  815. Das SADDAM-Virus beinhaltet ebenfalls die Routine eines Disk-Validators
  816. und wird auch vom Betriebssystem bei ungültiger BAM aufgerufen.
  817. Dieses Virus setzt den BitMap-Zeiger im Rootblock der Diskette, auf der es 
  818. sich kopiert, auf eine sinnlose Adresse, was das Betriebssystem später 
  819. ständig beim Einlegen dieser Diskette zwingen wird, den :L/Disk-Validator - 
  820. also das SADDAM-Virus - zu starten !
  821. Das SADDAM-Virus setzt den Zeiger ColdCapture auf seine Speicher-
  822. adresse und kann so auch unter KickStart 1.3 ohne SetPatch r 
  823. den Reset ueberleben !
  824. Außerdem werden verbogen InitCode (), OpenWindow (), BeginIO (), 
  825. Close (trackdisk.device) & Rasterbeam !
  826. Es ist nach jedem Reset und nach jedem Diskettenwechsel aktiv und
  827. kopiert sich auf die aktuelle Diskette !
  828. Das SADDAM-Virus zerstört die Disketten, indem es nach einiger Zeit
  829. einige Blöcke in IRAK umbenennt und deren Inhalt mit einem bestimmten
  830. Wert kodiert !
  831. Diese kodierten Datenblöcke werden von AmigaDOS nicht mehr anerkannt
  832. und lösen so Read/Write Errors aus !
  833. Solange sich das SADDAM-Virus jedoch aktiv im Speicher befindet, dekodiert
  834. es die IRAK-Datenbloecke und unterdrueckt so derartige Fehlermeldungen !
  835. Erst wenn es aus dem Speicher entfernt wurde, kommt es zu read/write
  836. errors !!!
  837. Mir ist aufgefallen, daß sich das SADDAM-Virus nicht auf Disketten
  838. kopieren kann, wenn man ihnen die Namen` DF1`,`DF2` oder `DF3` gibt !!!
  839.  
  840. Da die Gefahr besteht, daß sich schon beim Durchchecken Ihrer Sammlung
  841. ein mögliches SADDAM-Virus in den Speicher kopiert, empfiehlt es
  842. sich, zuerst alle Disketten mit aktiviertem Schreibschutz zu testen !
  843. Anschließend sollten die mit einem SADDAM-Virus infizierten Disketten
  844. aussortiert und der Amiga ausgeschaltet werden.
  845. Danach können Sie den Amiga wieder einschalten, und mit AntiCicloVir
  846. die SADDAM-Viren von den befallenen Disketten löschen !
  847. Zwar kopiert sich das Virus wieder in den Speicher, aber dafür wird
  848. es nur beim Diskettenwechsel aktiv !
  849. Wenn das SADDAM-Virus von einer infizierten Diskette gelöscht wurde,
  850. kopiert es sich erst wieder auf diese, wenn sie zum zweiten Mal einge-
  851. legt wird ( und das sollten Sie vermeiden !!! ) !
  852. Nachdem Sie alle Disketten vom SADDAM-Virus befreit haben, werden Sie
  853. merken, daß alle einen Disk-Validating Error haben, an dem aber nicht
  854. AntiCicloVir, sondern das Virus, schuld ist.
  855. Gewiß kann man in komplizierter Weise diesen Fehler auch mit einem
  856. Diskettenmonitor entfernen, aber es geht auch viel einfacher mit Hilfe
  857. des Betriebssystems !
  858. Benutzt man einen Disketteneditor, so muss man zuerst die Original-Adresse
  859. des BitMap-Blocks suchen, die das SADDAM-Virus immer auf der betroffenen
  860. Diskette abspeichert.
  861. Anschliessend muss diese Adresse im BitMap-Zeiger des Rootblockes
  862. eingetragen werden.
  863. Dieser Disk-Validating Error ist zwar harmlos, aber lästig, da man
  864. auf derartigen Disketten keine Programme oder Dateien mehr abspeichern
  865. kann !
  866. Legen Sie also einfach die Workbench-Diskette ein, auf der sich
  867. hoffentlich der echte Disk-Validator befindet und booten Sie von
  868. ihr !
  869. Nachdem Sie sich im CLI und die CLI-Befehle im RAM befinden,
  870. sollten Sie nun eine Diskette mit dem Disk-Validating Error einlegen !
  871. Daraufhin wird das Betriebssystem den Disk-Validating Error melden
  872. und nach der Workbench-Diskette verlangen, auf der sich ja der
  873. Disk-Validator befindet.
  874. Mit Hilfe dieses Disk-Validator`s werden nun die Anzahl und Adressen
  875. der belegten Blöcke auf der fehlerhaften Diskette in den Speicher
  876. kopiert und somit ist die Diskette für AmigaDOS vorerst wieder gültig.
  877. Jetzt können Sie vorläufig wieder Schreibzugriffe auf diese Diskette
  878. ausüben und das sollten Sie auch tun !
  879. Denn bei jedem Schreibzugriff auf einer Diskette wird eine neue gültige
  880. BAM angelegt und die Diskette hat somit keinen Disk-Validating Error
  881. mehr !!!
  882. Löschen Sie nun also irgendeine unwichtige oder schreiben Sie eine
  883. wichtige Datei auf diese Disk, damit die BAM wieder stimmt !!
  884. Sie können beispielsweise .info löschen !
  885.  
  886. Schwieriger ist es mit den Disketten, auf denen das SADDAM-Virus
  887. schon einzelne Datenblöcke kodiert hat !
  888. Wenn Sie die vorerst verloren gegangenen Daten nicht mehr brauchen,
  889. mit der Diskette aber sinnvoll weiterarbeiten wollen, dann können
  890. Sie auch das Programm DiskDoctor benutzen, um die Read/Write Errors
  891. zu beseitigen !
  892. Lesen Sie dazu bitte auch das Amiga-Benutzerhandbuch von Commodore !
  893.  
  894. Das SADDAM-Virus wurde mir von Gregory Sapsford ,Fohlenkamp 33,
  895. W-4600 Dortmund 13 zugesandt !
  896.  
  897.  
  898.  
  899.  
  900.  
  901.  
  902.  
  903.  
  904.  
  905.  
  906.  
  907.  
  908.  
  909.  
  910.  
  911.         Post
  912.  
  913. Sollten Sie neue AMIGA-Viren, Bootbloecke, Komprimierungsprogramme oder
  914. residente Programme erhalten haben, dann bitte ich Sie, mir dieses Material
  915. zu zusenden !
  916. Ich bin an jedem Fehlerbericht ueber AntiCicloVir interessiert !
  917. Sollten Sie irgendwelche Fragen, Tips oder Anregungen zum Assembler-Quelltext
  918. von AntiCicloVir haben, so senden Sie Ihre Briefe bitte an die Adresse, die am
  919. Ende dieser Datei erscheint !
  920. ... aber Sie koennen diese Adresse auch nutzen, wenn Sie Assembler-Programmierer
  921. sind und einfach nur Quelltexte mit mir austauschen wollen ...
  922.  
  923. Mit dieser Dokumentationsdatei duerfte dann wohl der endgueltige Beweis fuer
  924. die Aussage erbracht worden sein, die an gleicher Position am Ende der
  925. englisch-sprachigen Dokumentation gemacht wurde ...
  926.  
  927. Matthias Gutt
  928. (Member of SHI)
  929. Kantstr. 16
  930. 21335 Lueneburg
  931.  
  932. Germany
  933.