home *** CD-ROM | disk | FTP | other *** search
/ World of A1200 / World_Of_A1200.iso / programs / disk / antivirus_utils / anticiclovir / anticiclovir.doc < prev    next >
Text File  |  1995-02-27  |  24KB  |  643 lines

  1.  
  2.         Documentation of AntiCicloVir V2.3a:        18.09.1994
  3.         ===================================        ==========
  4.  
  5.  
  6. Table of Contents:
  7.  
  8. 1. Copyright
  9.  
  10. 2. How to use AntiCicloVir
  11.  
  12. 3. Scan memory for viruses
  13.  
  14. 4. Scan directories for viruses
  15.  
  16. 5. Scan bootsectors for viruses
  17.  
  18. 6. Scan disk-validators for viruses
  19.  
  20. 7. Description of some well-known viruses:
  21.  
  22.     - SCA
  23.  
  24.     - BGS9
  25.     - Bret Hawnes
  26.     - Disaster-Master
  27.  
  28.     - IRQ
  29.     - Golden Rider
  30.     
  31.     - SADDAM
  32.  
  33. 8. Mail
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.             Copyright
  45.  
  46. AntiCicloVir is now Public Domain Software and that means, you can use this
  47. viruskiller for personal or commercial work !
  48. You can use this program for scanning in your own system for viruses, or you can
  49. install it on your own Public Domain disks, or sell it to anyone to any prices.
  50. You may read the assembly-language source code, put some routines out from it
  51. into your own program, or change some parts of or add new parts to the source
  52. code.
  53. If you`re programming in assembly-language, then you will see, that it is very
  54. simple, to update the viruskiller, so that he will detect new viruses in memory,
  55. files and on disk !
  56. You may use the source code of AntiCicloVir as base for a new own viruskiller !
  57. But there are some limits !!!!!!
  58. You may not spread such a changed program by using the name `AntiCicloVir`,
  59. because I will write more (& better) versions of AntiCicloVir in the future,
  60. and I think, it won`t be useful, if there exists more than one program using the
  61. same name !!!!!!
  62. Further it is not allowed, to change any part of this documentation or of the
  63. file VIRUSLIST.DOC !!!
  64.  
  65. Well, I hope there doesn`t exist any serious, nasty ugly bugs in the assembly-
  66. source code of AntiCicloVir, but I think, it doesn`t exist any program without
  67. any bug, so that I can`t give any guarantee for the error-free work of the
  68. viruskiller AntiCicloVir ...
  69. I can`t take the responsiblity for any damage, directly or indirectly caused 
  70. by the correctly or uncorrectly use of AntiCicloVir !
  71. That means for example too, if you`re hardware or software were damaged by a
  72. virus, which AntiCicloVir didn`t detect, I will not take the responsibility for
  73. that !
  74. But I hope, that something like the above mentioned will not happen.
  75.  
  76.  
  77.  
  78.  
  79.  
  80. And now a message from our sponsors:
  81.  
  82. ---------------------------------------------------------------------------
  83.  
  84. ABOUT SAFE HEX INTERNATIONAL
  85. If  you   know  a  virus  programmer  you  can  get  a reward of $ 1000 for
  86. supplying  his  name  and  address.  The fact is that the law punishes data 
  87. crime very severely. (5 years in jail in most countries).
  88.  
  89. We  are an international group with more than 500 members  who have started 
  90. trying to stop the spread of virus. Let me give you some example:
  91.  
  92.         1. Our motto is: "Safe Hex", who dares do anything else today?".
  93.         2. A virus bank containing more than 1800 Amiga and PC viruses for
  94.            supporting good shareware antivirus programs.
  95.         3. We help people to get money back lost by virus infection.
  96.         4. We write articles about virus problems for about 20 computer 
  97.            magazines worldwide.
  98.         5. We release the newest and the best virus killers around from 
  99.            about 25 wellknown programmers worldwide.
  100.         6. We have more than 35 PC and Amiga "Virus Centers" worldwide 
  101.            where you can get free virus help by phoning our "Hotline", and 
  102.            the newest killers translated in your own language at very 
  103.            little cost.
  104.  
  105. For more information contact:
  106.  
  107.         SAFE HEX INTERNATIONAL            (Please send 2 "Coupon-Response 
  108.         Erik Loevendahl Soerensen         International" and a self addres-
  109.         Snaphanevej 10                    sed envelope, if you want infor-
  110.         DK-4720 Praestoe                  mation about SHI by letter).
  111.         Denmark                             
  112.         Phone: + 45 55 99 25 12
  113.         Fax  : + 45 55 99 34 98
  114.  
  115. ---------------------------------------------------------------------------
  116.  
  117.  
  118.  
  119.  
  120.  
  121.  
  122.  
  123.  
  124.  
  125.  
  126.  
  127.  
  128.  
  129.  
  130.  
  131.  
  132.  
  133.  
  134.             How to use AntiCicloVir
  135.  
  136. AntiCicloVir is a small but smart viruskiller, who shall be simple to use like
  137. VirusX.
  138. It isn`t hard to deal with AntiCicloVir.
  139. Today there appears more and more superviruskillers, but more and more novices
  140. have problems, to use this killers efficiencly, because with the time they became
  141. so complicate, so that you at first have to read Gigabytes of DOC-files, if you
  142. want to know, how to use this superviruskiller most efficiencly ...
  143. If you want to use AntiCicloVir, you have only to read this small DOC-File and
  144. to know some things:
  145.  
  146. AntiCicloVir is more a virushunter than a viruskiller !
  147. It can detect viruses in memory, but it won`t remove them from memory, because
  148. it doesn`t change any vectors !
  149. Today I have not the ROM addresses of all vectors from all ROM versions, because
  150. I have not so many money like some antivirus-freaks, to buy all AMIGA models
  151. selled by Commodore ...
  152.  
  153. In some cases it will be enough, if you let restore some reset-vectors by
  154. AntiCicloVir, to remove a virus from memory !!!
  155. After that it`s better, to cause a reset, so that the whole virus will be removed
  156. from system, if it doesn`t can survive the reset !!!
  157.  
  158. Because the small length of AntiCicloVir (22 kB) it will be useful, to call it
  159. up from your startup-sequence.
  160. Copy AntiCicloVir into your subdirectory c, and call it up from your startup-
  161. sequence by using the option `-c` for fast memory-check.
  162. Now, while you reboot from this disk, AntiCicloVir will be started and shows the
  163. addresses of some important ROM vectors to you and checks the memory for all
  164. known viruses.
  165.  
  166. If AntiCicloVir has found any virus in memory, then order the viruskiller, to
  167. restore the reset-vector and cause a reset by yourself !
  168. After one reboot from a clean disk, run AntiCicloVir again, to see, if the virus
  169. is still standing in memory !
  170.  
  171. To scan bootsectors of disk for viruses, please start AntiCicloVir by using
  172. the option `-m` from the Shell or calling it from the Workbench.
  173. AntiCicloVir will check every disk in all connected  floppydrives, if you 
  174. have insert one !.
  175. AntiCicloVir will not only check the bootsectors of every disk, but the disk-
  176. validator of the inserted disk, too.
  177.  
  178. If you want to scan your disks for file- and linkviruses, please use AntiCicloVir
  179. from the Shell:
  180. Enter the name of AntiCicloVir and add the pathname of the directory, you want
  181. to scan for viruses !
  182.  
  183. You see, it is very simple, to use AntiCicloVir !!!
  184.  
  185.  
  186.  
  187.  
  188.  
  189.  
  190.  
  191.  
  192.  
  193.  
  194.  
  195.  
  196.  
  197.  
  198.  
  199.  
  200.             Scan Memory for viruses
  201.  
  202. If you run AntiCicloVir by using the option `-m` or calling it up from the
  203. Workbench, the viruskiller at first will display you the addresses of some
  204. important system-vectors.
  205. If one of the reset-vectors ColdCapture, CoolCapture or KickTagPtr isn`t
  206. pointing to zero, AntiCicloVir will bring up a requester, to ask you, if it
  207. shall restore this changed vector.
  208. The other reset-vectors WarmCapture, KickMemPtr and KickCheckSum can`t be
  209. used alone, without the above mentioned vectors, by a virus !
  210.  
  211. AntiCicloVir does not check the addresses of the ROM vectors and can not reset
  212. them to their orign addresses !
  213. But every virus is hanging around by one of the above mentioned reset-vectors,
  214. to survive the reset, and that`s the point, where AntiCicloVir will detect every
  215. new unknown virus !
  216.  
  217. AntiCicloVir shows you the addresses from some important vectors of the Exec-
  218. Base-structure, the exec.library, the dos.library, the intuition.library, the
  219. trackdisk. & keyboard.device.
  220.  
  221. If you have started AntiCicloVir by using the option `-c`, AntiCicloVir will
  222. run a fast memory-check.
  223.  
  224. If AntiCicloVir has found one known virus in memory, it will bring up a requester,
  225. to warn you.
  226. But it can`t remove a virus from memory, because AntiCicloVir doesn`t reset any
  227. origin ROM addresses !!!
  228. Please restore the reset-vectors by using AntiCicloVir, and cause a reset, to
  229. wipe out one virus from memory, or turn off your AMIGA !
  230. If you have restored the reset-vectors and caused a reset, please reboot from
  231. a clean disk, and check the memory again with AntiCicloVir, if the virus is or
  232. is not still standing in memory ...
  233.  
  234.  
  235.  
  236.  
  237.  
  238.  
  239.  
  240.  
  241.  
  242.  
  243.  
  244.             Scan Directories for viruses
  245.  
  246. If you wish to scan the main- or some sub-directories of your disks, you have
  247. at first, to change into the Shell, to start AntiCicloVir by its name, followed by
  248. the pathname of the directory, you wish to scan.
  249. But, if you want, you can scan only one file, if you add the pathname of one
  250. file to the filename of AntiCicloVir.
  251.  
  252. AntiCicloVir displays all filenames of one subdirectory, the setting of their
  253. Protection-Bits, the filelength and, if available, one comment to this file.
  254. Further it can check the contents of the files for executable code and code
  255. of file-,link-, Disk-Validator-viruses and Bombs & Trojan Horses !
  256. If one of this above mentioned nasty dump was found in a file, AntiCicloVir
  257. will add a message to the filename and bring up a Requester, to give you the
  258. choice, to kill this virus or not.
  259.  
  260. AntiCicloVir can not remove invisible commands from the startup-sequence !
  261. If you have removed one filevirus by using AntiCicloVir, please look in your
  262. startup-sequence by using a file-monitor or for example the Shell command
  263. Type for invisible signs, which fileviruses use, to callup themselves ...
  264. You have to delete this invisible signs by using the backspace-key, or you will
  265. get the error unknown command, every time you boot from this disk !
  266.  
  267. Further AntiCicloVir will scan in every called directory every filename for
  268. invisible signs, so that it will detect complete new fileviruses, which it didn`t
  269. know at this time !!!
  270. This is very useful ...
  271. Please send every new invisible file to my address !
  272. Thanx !
  273.  
  274.  
  275.  
  276.  
  277.  
  278.  
  279.  
  280.  
  281.  
  282.  
  283.  
  284.  
  285.  
  286.             Scan Bootsectors for viruses
  287.  
  288. To scan the bootsectors of your disks for bootblock-viruses, you have to start
  289. AntiCicloVir by given the option `-m` to the Shell name or by running it up
  290. from the workbench.
  291. After showing to you the system-vectors and some important ROM addresses and
  292. passing the memory-check, AntiCicloVir will install an Intuition Window ledge
  293. at the top of the current screen and waits now for every new inserted disk !
  294. AntiCicloVir can check the bootsectors of every disks in all connected
  295. floppydrives !!!
  296. If AntiCicloVir had found a known bootblock-virus, it will create a requester
  297. and ask you, if it shall install a new bootblock, to kill this virus ...
  298.  
  299.  
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.             Scan Disk-Validator for viruses
  319.  
  320. To scan the disk-validator of your disks for disk-validator-viruses, you have
  321. to start AntiCicloVir by given the option `-m` to the Shell name or running it
  322. up from the workbench.
  323. After showing to you the system-vectors and some important ROM addresses and
  324. passing the memory-check, AntiCicloVir will install an Intuition Window ledge
  325. at the top of the current screen and waits now for every disk, you inserts into
  326. the current drive.
  327. If any disk-validator-virus was found on this disk, it will create a requester
  328. and give to you the choice, to kill this disk-validator-virus or not.
  329.  
  330.  
  331.  
  332.  
  333.  
  334.  
  335.  
  336.  
  337.  
  338.  
  339.             Description of some well-known viruses:
  340.  
  341. - SCA:
  342.  
  343.     This was the first virus on the AMIGA !!!
  344.     It stays in the first two sectors of a disk in track 0, called the
  345.     bootblock.
  346.     Every time you boot from such an infected disk, the SCA virus will
  347.     copy itself to an absolute memory-position in CHIP-RAM at $7EC00.
  348.     After that it checks if the dos.library is resident and stops the
  349.     program, until the dos.library is really resident.
  350.     The SCA virus sets the CoolCapture vector to its own address at
  351.     $7EC3E and sleeps as long as you reboot your machine ...
  352.     Further it calculates a new CheckSum for the ExecBase structure.
  353.     Now, if you reboot your computer, the virus will remove the address
  354.     of the ROM vector DoIO () and set its own address into this vector.
  355.     If the AMIGA tries, to start his own IORequest by using the ROM-routine
  356.     DoIO (), to boot from one disk, the SCA virus will be active and change
  357.     the IORequest for its own use, to write the code from the memory-
  358.     position $7EC00 to the first two sectors of track 0, called the boot-
  359.     block ...
  360.     After that it sets the orign ROM address into the vector of DoIO ().
  361.     The SCA virus causes no damage, but displays a message like that:
  362.  
  363.     `Something wonderful has happened.
  364.      Your AMIGA is alive !!!
  365.       and, even better ...`
  366.      some of your disks are infected by a VIRUS
  367.      Another masterpiece of The Mega-Mighty SCA !!`
  368.  
  369.     Viruses like SCA, we do call bootblock viruses !
  370.  
  371.  
  372.  
  373. - BGS 9 I+II
  374.  
  375. This filevirus possibly is a mutation of the filevirus Terrorists.
  376. This one stands upside the crowd, because all other fileviruses uses another
  377. mechanism, to spread itself ...
  378. The BGS9 virus looks for the first executable program from your startup-
  379. sequence and writes it from his real place to the subdirectory `DEVS:`, or if
  380. it can`t find this subdirectory to the main-directory and gives him an
  381. invisible name, which is called in hexadecimal $A0A0A0202020A0202020A0 !
  382. After executing the first program from the startup-sequence of an infected 
  383. disk, which is the BGS9 virus, the virus installs itself in memory and 
  384. executes the original program, which stands invisible in `DEVS:` !
  385. In memory the BGS9 virus uses the residents, to turn on itself after a reset !
  386. It sets KickMemPtr , KickTagPtr  & KickCheckSum .
  387. While every reset, it sets the vector OpenWindow () from the intuition.library
  388. to it`s own address. 
  389. After every using of OpenWindow (), the virus tries, to copy itself, like the
  390. above mentioned mechanism, onto the next disk or shows you after four resets the
  391. following message:
  392.  
  393.  
  394.  
  395.             A COMPUTER VIRUS IS A
  396.                    DISEASE
  397.  
  398.                TERRORISM IS A
  399.                       TRANSGRESSION
  400.  
  401.             SOFTWARE PIRACY IS A
  402.                 CRIME
  403.  
  404.              THIS IS THE CURE
  405.  
  406.  
  407. BBBBBB    GGGGGG    SSSSSS    999999
  408. B     B   G        S         9     9
  409. B     B   G        S         9     9      Bundesgrenzschutz Sektion 9
  410. B     B   G         S         999999      Sonderkommando "EDV"
  411. BBBBBB    G  GGG     SSS           9
  412. B     B   G    G        SS         9
  413. B     B   G    G          SS       9
  414. B     B   G    G           S       9
  415. BBBBBB    GGGGGG    SSSSSSS        9
  416.  
  417. The BGS9 virus sets the OpenWindow ()-vector to its ROM-address, while the
  418. first using of this routine !
  419. This virus is very harmless and causes no damage !
  420. It works from KickStart 1.2 to OS3.01 !
  421. The BGS9 virus II works in all points like the old BGS9 virus.
  422. It differs from the old one in a new coding of one ASCII-sign and in a new
  423. invisible name : $A0E0A0202020A0202020A0
  424.  
  425.     
  426.  
  427. - Bret Hawnes
  428.  
  429. This one is a classical form of a filevirus !
  430. It`s very easy to deal with that 2608 bytes long program.
  431. On infected disks you could find it as invisible file in the root-directory:
  432. $C0A0E0A0C0 !
  433. But it isn`t very invisible !
  434. Indeed you can`t see it in the startup-sequence, but if you list up the root-
  435. directory of an infected disk, you can see some irregulare signs ...
  436. The Bret Hawnes virus also copies itself as invisible file on every disk and
  437. writes its name in the startup-sequence.
  438. After every running of the startup-sequence, the Bret Hawnes virus will be activate !
  439. It stands every time at $7F000 in memory and sets the pointer KickTagPtr &
  440. KickCheckSum & $6c ( interrupt ).
  441. At every time you causes a reset, the Bret Hawnes virus will be activated by
  442. the Kick-pointer !  
  443. It sets the OpenLibrary ()-vector  on it`s own address and waits for the right time, when
  444. it can set the OpenWindow ()-vector.
  445. After that, it sets OpenLibrary () to its ROM address.
  446. Bret Hawnes now, tries about the first calling for OpenWindow () to get a chance
  447.  to copy itself from memory to disk !
  448. After that, it sets the OpenWindow ()-vector to it`s ROM address, too.
  449. Instead the tenth increasing, the virus destroys some tracks of your disks ...
  450. After twenty minutes, it shows the following message to you:
  451.  
  452.     GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS
  453.     YOUR SCREEN
  454.     I`VE TAKEN THE CONTROL OVER YOUR AMIGA!!!
  455.     THERE`S ONLY ONE CURE: POWER OFF AND REBOOT !
  456.  
  457. To find the right time-point for this message, the Bret Hawnes virus uses the
  458. interrupt at $6c, to calculate the twenty minutes ...
  459.  
  460.  
  461.  
  462.  
  463. - DISASTER-MASTER V2
  464.  
  465. This 1740 bytes long filevirus camouflaged itself as clear screen command in
  466. the subdirectory :c.
  467. Every time if you start it, it`ll clear your screen and set the cursor on the
  468. top of the new screen.
  469. But that`s not all ...
  470. It copies itself into AMIGA`s memory and sets the resident-pointer KickTagPtr 
  471.  & KickCheckSum  to an own resident-routine.
  472. After every reboot, it`ll set the vector DoIO () to its own address and waits
  473. as long as the intuition.library is available.
  474. From the intuition.library now, the virus will patch the vector of the routine
  475. OpenWindow () to its own address and reset DoIO () to the ROM address.
  476. If any task try to use OpenWindow (), the DISASTER MASTER virus tries to copy
  477. itself on disk by the name `cls` in subdirectory `:c`.
  478. Then it writes its name into the startup-sequence with one option:
  479.             cls *
  480. The option causes, that the virus, every time it`ll called from this startup-
  481. sequence, doesn`t clear the screen, therefore it can`t betray itself ...
  482. After one using of OpenWindow (), DISASTER-MASTER sets this vector on its ROM
  483. address, again !
  484. This filevirus can close the AmigaDOS window and create a screen like we
  485. know it from the workbench or it let disappear the AmigaDOS title or so on ...
  486. Be careful ! 
  487. This virus has a counter and will destroy your disks after you have ressetted
  488. x times ...
  489.  
  490.  
  491.  
  492.  
  493.  
  494. - IRQ 
  495.  
  496. This famous old linkvirus was the first one on the AMIGA !
  497. It looks in the startup-sequence for an executable file and tries, to infect
  498. it.
  499. If it can`t find the startup-sequence, it looks for the command DIR in the
  500. subdirectory :c and tries, to infect it.
  501. IRQ extented a file to 1096 bytes.
  502. The linkvirus writes its own hunk at the first position into that file.
  503. Then it calculates all worths for a new hunk-header and the reloc-worths.
  504. If you start an infected program, IRQ copies itself into memory and uses the
  505. residents by setting KickTagPtr & KickCheckSum.
  506. Further the virus sets the vector OldOpenLibrary () to its own address.
  507. Everytime, when one program starts the routine OldOpenLibrary (), the IRQ virus
  508. tries, to infect the next disk.
  509. It`s harmless, but disturbing, because it prints the following text:
  510. `AmigaDOS presents a new virus by the IRQ-Team V41.0`
  511. This old linkvirus works only with KickStart V1.2 !
  512. It makes no damges.
  513.  
  514.  
  515.  
  516.  
  517.  
  518. - Golden Rider
  519.  
  520. This one represents a new generation of linkviruses.
  521. Because it does not copy itself as own hunk into an infected file like old
  522. linkviruses did it, but it looks for the first hunk of an executable program
  523. and adds itself on it.
  524. Golden Rider changes the last command of this hunk ( mostly $4E75 = `rts` )
  525. to $4E71 ( `nop` ), which causes, that the processor thinks, if he run`s this
  526. code, that the first hunk of the program doesn`t end at this position.
  527. Behind this position Golden Rider can write his virus-code.
  528. Now, Golden Rider have, to add it`s own length to the two length worths in
  529. the hunk-header, and the link is complete !
  530. Every time you start one so infected program, the linkvirus can install itself
  531. in memory.
  532. But in not every case must that work !
  533. If Golden Rider hangs on a routine in the first hunk, which only will be
  534. called from the main-program, if an error was caused, then Golden Rider will
  535. probably never activated ...
  536. Golden Rider stands every time at $7C000 in memory and sets the vectors
  537. CoolCapture , DoIO () & Open () to its own address.
  538. After you reboot, Golden Rider will waked up by jumping in CoolCapture !
  539. Now it sets DoIO () to its own address and waits so long, if it can open
  540. the dos.library and set Open () to its own address.
  541. If you insert a new disk, Golden Rider tries, to copy itself from memory into
  542. one file of this disk.
  543. If any program uses Open (), Golden Rider tries, to infect new files, too.
  544. Golden Rider causes no damages and displays no alerts or so ...
  545.  
  546.  
  547.  
  548.  
  549.  
  550. - SADDAM
  551.  
  552. This one is called a Disk-Validator virus, because it uses the routine of
  553. a Disk-Validator for its own increase.
  554. SADDAM copies itself onto every disk you insert or boot from and overwrites
  555. the original Disk-Validator in subdirectory :L !
  556. If that disk doesn`t contain this subdirectory, SADDAM creats by itself this
  557. subdirectory !
  558. It can infect every disk !
  559. After that it sets the BitMap-pointer in the Root-Block to a senseless address,
  560. which will cause a Disk Validating Error !
  561. This will force in later times AmigaDOS, to startup the new Disk-Validator,
  562. which is in realaty the SADDAM virus !
  563. Only, to insert an infected disk reaches, to get this virus in memory.
  564. It is resident via ColdCapture .
  565. That means, that it`ll work with KickStart 1.3 too, if you make a reset,
  566. without installing SetPatch r !
  567. Because KickStart 1.3 has a bug in its system, will all other viruses wiped
  568. out from memory after a reset - not so the SADDAM virus !!!
  569. The virus sets the vectors BeginIO () & Close () from the trackdisk.device and
  570. comes so every time in action, if you insert a disk in your drive, or if you
  571. boot from a disk, or if you use in any other cases the trackdisk.device !
  572. Further the virus sets the vector of the Raster-Beam-interrupt on its own
  573. address !
  574. Now, it can control permanent the right address of ColdCapture and sets the
  575. vector again, if any other program had cleared it !
  576. Only in the resetphase, it patches the vectors InitCode () & OpenWindow ()
  577. for virus internal works ... 
  578. The SADDAM virus is very malignant and causes different damages !!!
  579. After a time it startes, to look for some OFS or FFS data blocks, gives them
  580. the name IRAK and coded the contents with a worth !
  581. The programs, standing in those data blocks, won`t longer work and the disk
  582. gets read/write errors !
  583. But if the SADDAM virus stands in memory, it`ll decode such a datablock,
  584. if AmigaDOS loads him and so can prevent a read/write error message!
  585. Another damage has likeness with the virus Return of the Lamer Exterminator !
  586. After a few time, the virus startes, to format disks in all connected drives !
  587. This disks are completely destroyed !!!
  588. And shows you an alert:
  589.             SADDAM Virus
  590.  
  591. AntiCicloVir can kill the SADDAM virus on disk, but not repair the damages !
  592. At first you have, to correct the Disk Validating Error !
  593. Please boot from one disk, which contains the original Disk-Validator and insert after
  594. that the disk, with the Disk-Validating Error !
  595. The original Disk-Validator creates a provisional BitMap in memory, so that
  596. AmigaDOS can work with those disk.
  597. To get a valid BitMap, you have to write/delete anything to/from this disk !
  598. Another possibility is, to use a diskmonitor, to look for the original
  599. BitMap of that disk and, to set the BitMap-Pointer from the Rootblock
  600. of the position of the original BitMap-Block !
  601. If you want health a disk with SADDAM damage, please use an universal virus-
  602. killer, which can check the blocks of a disk, too !
  603. You must uncode the coded data blocks, to get rid of the read/write errors !
  604. But you can`t health disks, which the virus has formated !
  605. I got this new virus from Gregory Sapsford, Fohlenkamp 33, W-4600 Dortmund 13,
  606. Germany.
  607.  
  608.  
  609.  
  610.  
  611.  
  612.  
  613.  
  614.  
  615.  
  616.  
  617.  
  618.  
  619.  
  620.  
  621.  
  622.  
  623.  
  624.  
  625.             Mail
  626.  
  627. If you have got new viruses, bootblocks, packers or resident programs, please
  628. send this stuff to my address !
  629. I`m interested in every bug report of AntiCicloVir !!!
  630. If you have some questions or suggestions about the assembly language source-
  631. code of AntiCicloVir, please write to my address ...
  632. ... or also, if you`re being an assembly language programmer and want to swap
  633. source-codes with me ...
  634. Please excuse my bad anglian grammar, but my german also isn`t better !
  635.  
  636. Matthias Gutt
  637. (Member of SHI)
  638. Kantstr. 16
  639. 21335 Lueneburg
  640.  
  641. Germany
  642.  
  643.