home *** CD-ROM | disk | FTP | other *** search
/ Excalibur 58 / Excalibur_58_cd.bin / amiga / util / virus / antibeol.lha / AntiBeol.readme < prev   
Text File  |  1996-09-24  |  7KB  |  149 lines
  1. Short:    Mem viruskiller for the new Packetviruses
  2. Uploader: gzenz@ernie.mi.uni-koeln.de (Gideon Zenz)
  3. Author:   gzenz@ernie.mi.uni-koeln.de (Gideon Zenz)
  4. Type:     util/virus
  5.  
  6. -----BEGIN PGP SIGNED MESSAGE-----
  7.  
  8. PURPOSE
  9.         As  probably  some  of  you  know,  a crazy guy postet the source of a
  10.         really  dangerous  stealth-virus  (Beol3) to the usenet.  I decided to
  11.         debug  this piece in order to protect myself from it, as the danger of
  12.         clones  with  destructive  routines  seemed  to  be pretty high.  When
  13.         testing  it, I had to make sure not to infect myself, and to clean the
  14.         memory from the virus when I finished.  So AntiBeol was born, in order
  15.         to clean the memory from all viruses working like this one.
  16.  
  17.         I got in contact with Markus Schmall (Virus Workshop) so I could maybe
  18.         help  him  a  bit,  and he encouraged me to improve AntiBeol, as other
  19.         peoples  might  find such a tool handy.  He sent me some more viri, so
  20.         it`s now able to detect and clear the most important one.
  21.  
  22.         The  difference  to  probably  the  most viruskillers is that this one
  23.         doesn`t  only notify you when it encounters a known virus, but also if
  24.         it  detects  some  abnormal  changes, so it can (hopefully) detect new
  25.         viri.
  26.  
  27.         All  in  all, it doesn`t replace a good background checker like VirusZ
  28.         is, but it gives you additionally help on this comming-up packetviri.
  29.  
  30.  
  31. USAGE
  32.         It`s  pretty  easy to use.  Just put it somewhere in your User-Startup
  33.         with a run, e.g.:
  34.  
  35.         Run <>NIL: C:AntiBeol
  36.  
  37.         You won`t notice anything on normal work, but if it detects something,
  38.         a  reqtools  requester  will  pop  up  and  inform  you about it.  The
  39.         following  viri are detected untill now:  Beol 3, Beol 2, Beol 96, and
  40.         SMEG.
  41.  
  42.         But  you  can  get  another  ones,  which  are:   Dospacket  virus and
  43.         Volumelauncher  virus.   NOTE:   These ones mean that AntiBeol found a
  44.         program  that  used  some techniques NORMALY only viri (like the above
  45.         mentioned)  use.   It  DOESN`T need to be a virus, but it probably is.
  46.         So  IF you start a program you 100% KNOW about it`s virus-free (and it
  47.         crashes), please mail me, and try using the NOSTRICT option.
  48.  
  49. TECHNICAL
  50.         This  paragraph  is  for advanced users only, so don`t get mad because
  51.         you don`t understand a word :)
  52.  
  53.         So  how  does  this  thingie  work?  Basically quite easy:  Every five
  54.         seconds,  it  checks  some  vectors  of  the system (pr_WaitPkt of all
  55.         Volumes,  Processes,  and TC_LAUNCH of every task), as they`re used by
  56.         the  above  mentioned  viruses.   If such a virus is detected, or some
  57.         other  program  is  found there (these vectors are normaly not used by
  58.         any program I could find) they`ll get cleared, the suspicious piece of
  59.         code  get`s  disabled  and you`ll get notified.  For the curious ones:
  60.         AntiBeol  also changes it`s name randomly every 5 seks, so don`t get a
  61.         heart attack if you see a process like "CLI(15):r7a9wOeci".  This will
  62.         prevent the FindTask("SnoopDos")-trick.
  63.  
  64.         So  what do these "future-viri" requesters mean?  Dospacket means that
  65.         someone  hooked  up  in  pr_WaitPkt, either in the Processes or in the
  66.         Volumes,  and  Volumelauncher means someone hooked up in the TC_LAUNCH
  67.         field of the Volumes` tasks.  This will hopefully help you to debug.
  68.  
  69. LAST WORDS
  70.         I really do have to thank Markus Schmall for his help and providing of
  71.         viri!   Without  him I wouldn`t even have thought about releasing this
  72.         program!
  73.  
  74. DISCLAIMER
  75.         This  software  is subject to the "Standard Amiga FD-Software Copyright
  76.         Note"  It is Freeware as defined in paragraph 4a.  For more information
  77.         please read "AFD-COPYRIGHT" (Version 1 or higher).
  78.  
  79. AUTHOR
  80.         If you have some comments, please don`t hesitate to contactme!
  81.  
  82.         Gideon Zenz
  83.         Giersbergstr. 41
  84.         53229 Bonn
  85.         GERMANY
  86.  
  87.         EMail: gzenz@ernie.mi.uni-koeln.de
  88.  
  89.         -Gideon Zenz, 23-Sep-96
  90.  
  91.  
  92. SECURITY
  93.         If  you  want  to  be shure you have the original programs, check with
  94.         "md5sum -c AntiBeol.readme".  (md5sum is part of the PGP package), and
  95.         of cause check the integrity of this readme with PGP!
  96.  
  97. cfdcc7e7e813213b51d72fc4917efe76 *AntiBeol
  98. dfdf15f58f042ffa0f018ba8277124f7  AFD-COPYRIGHT
  99.  
  100. - -----BEGIN PGP PUBLIC KEY BLOCK-----
  101. Version: 2.6.3ia
  102.  
  103. mQCNAi3izr8AAAEEAMi+7o+iKDG26t8EuoX0NJ92iwhkviRC3GdJ1Uvef4+xJA3V
  104. ey20ZnzBg/OokPdo0a3VxhwyjD2auyFmp7DLupQTko7Wx2zLk19EzVBxI6NggUev
  105. ep+eaVvAi8V/YosYh0Xg4/dScOq391irO6k9+BPqkQPH+bRNCUBgnhXGkfElAAUR
  106. tClHaWRlb24gWmVueiA8Z3plbnpARXJuaWUuTUkuVW5pLUtvZWxuLkRFPokBFQMF
  107. EDH2trkAYAKC86RPCQEBgTUH/A8KTc/9NKi/mbzkPGUyywI3krp/HqGDAQVN89QF
  108. ynq5PtTSuKy5Q4DAmJwQ4gna9GJQytme1YbaXKjNNxMi2b33Rhd9aj5HKVHx6bRg
  109. uJ7LpgAotz6FuI6Ny76V1ccwQQnbxroy+EKOR2uOnOh/Gr4NbVz1QTVqksYyp/T5
  110. rwI1esgJlTKxow6Y9BAutyC4M3n9Snc6sViGQwZsH9Xxts9c9meI7LRjleWjSFcl
  111. 7LuZVyf6LFFuzo9jQQTt+Ak69wCeN4Qq5oTzLJQa9KzgQaxj70oP9LyTPBkdYPWH
  112. a+JYPCxgyBojY8igq7PmSRiMnJKhWkQx+uRQbnpuDHPgvgSJAJUDBRAx0dc3QGCe
  113. FcaR8SUBAciDA/4qaRFv5KZGlIbAeGphlR33+aBjMZDf1MlC1QcIk2yPY9tTMIis
  114. z06IckZw7Oq+RVBmJOvOZtJJJuVCuufyHKSg3+HRj6YE4lQ7/ojCU7yPcrdfny4o
  115. LKEpehRB/F89Mzan7cjyLI9qH07I2wq7a9wCwP4BDpa0lxMAQd9Uk+UN6rQpR2lk
  116. ZW9uIFplbnogPGd6ZW56QEVybmllLk1JLlVuaS1Lb2Vsbi5ERT6JARUDBRAx9ra5
  117. AGACgvOkTwkBAYE1B/wPCk3P/TSov5m85DxlMssCN5K6fx6hgwEFTfPUBcp6uT7U
  118. 0risuUOAwJicEOIJ2vRiUMrZntWG2lyozTcTItm990YXfWo+RylR8em0YLiey6YA
  119. KLc+hbiOjcu+ldXHMEEJ28a6MvhCjkdrjpzofxq+DW1c9UE1apLGMqf0+a8CNXrI
  120. CZUysaMOmPQQLrcguDN5/Up3OrFYhkMGbB/V8bbPXPZniOy0Y5Xlo0hXJey7mVcn
  121. +ixRbs6PY0EE7fgJOvcAnjeEKuaE8yyUGvSs4EGsY+9KD/S8kzwZHWD1h2viWDws
  122. YMgaI2PIoKuz5kkYjJySoVpEMfrkUG56bgxz4L4EiQCVAwUQMdHXN0BgnhXGkfEl
  123. AQHIgwP+KmkRb+SmRpSGwHhqYZUd9/mgYzGQ39TJQtUHCJNsj2PbUzCIrM9OiHJG
  124. cOzqvkVQZiTrzmbSSSblQrrn8hykoN/h0Y+mBOJUO/6IwlO8j3K3X58uKCyhKXoU
  125. QfxfPTM2p+3I8iyPah9OyNsKu2vcAsD+AQ6WtJcTAEHfVJPlDeq0KEdpZGVvbiBa
  126. ZW56IDxNYXJ2aW5AQmlnQmVuLmRzc2Quc3ViLm9yZz6JAJUDBRAwoAVgQGCeFcaR
  127. 8SUBAd82BACk9NcwWKnRyDaChZELL/S/oR5XIMKcWIe7RYqTuB4eQfPZLV6yIXzs
  128. p51w0+ZaGfvlmSddoYXNaRf9CfF2Hk+TcDJN3MNRGe7VYE3aWcuG5duYIrTyPesG
  129. 28urStmDYvwO+l/+uNNIHzpRd/jsyBH5ajDm+W3C8vU0QjUYAJgGmbQmR2lkZW9u
  130. IFplbnogPE1hcnZpbkBCSUdCRU4ud3diLnN1Yi5kZT6JAJUCBRAu6fGfKzgl0jY0
  131. OvkBAWw1BACOOk5H5ytBljxFe+JYa4norzTpuH2YIg5heZ+ZomWLZoQjaqlsto34
  132. rf3i6wrRzKeV4ZUUKQ58Br4nc9BMg49JMH7ynaZwA3Ym5lZHzl5QTokrJFT3oPxz
  133. foI2ArHK16UO4PgkDADqAb8KKqIQKvn2CdpobCuSkvqH6IwFBxhvDLQyTk9URTog
  134. TWFydmluQEJJR0JFTi53d2Iuc3ViLmRlIG5vdCB2YWxpZCBhbnkgbW9yZSG0FUdp
  135. ZGVvbiBaZW56IDI6MjQ0MC85OQ==
  136. =f1SE
  137. - -----END PGP PUBLIC KEY BLOCK-----
  138.  
  139. -----BEGIN PGP SIGNATURE-----
  140. Version: 2.6.3ia
  141. Charset: latin1
  142.  
  143. iQCVAwUBMkicn0BgnhXGkfElAQHFagP6Agrh1oG1KIF55NNWE663yeJiV1yYV7wc
  144. 7/AZrX3Cspm9qLENH6Q8TDVgodq8Jc/H6CcUSQLPKpsPoO/weljjqc5JJQ9kJxYu
  145. iNq3BXRFEz0FuzRTZ2wZbYUvrPMgElEeh5bfIPqYUd7eDEhMzDqzb5cBfYOHFGVA
  146. 0VcOsl8Vais=
  147. =8HOh
  148. -----END PGP SIGNATURE-----
  149.