home *** CD-ROM | disk | FTP | other *** search
/ Aminet 16 / Aminet 16 (1996)(GTI - Schatztruhe)[!][Dec 1996].iso / Aminet / util / virus / AntiBeol_1_1.lha / AntiBeol.readme < prev   
Text File  |  1996-10-17  |  6KB  |  145 lines
  1. Short:    Mem viruskiller for the new Packetviruses
  2. Uploader: gzenz@ernie.mi.uni-koeln.de (Gideon Zenz)
  3. Author:   gzenz@ernie.mi.uni-koeln.de (Gideon Zenz)
  4. Type:     util/virus
  5.  
  6. -----BEGIN PGP SIGNED MESSAGE-----
  7.  
  8. PURPOSE
  9.         As  probably  some  of  you  know,  a crazy guy postet the source of a
  10.         really  dangerous  stealth-virus  (Beol3) to the usenet.  I decided to
  11.         debug  this piece in order to protect myself from it, as the danger of
  12.         clones  with  destructive  routines  seemed  to  be pretty high.  When
  13.         testing  it, I had to make sure not to infect myself, and to clean the
  14.         memory from the virus when I finished.  So AntiBeol was born, in order
  15.         to clean the memory from all viruses working like this one.
  16.  
  17.         I got in contact with Markus Schmall (Virus Workshop) so I could maybe
  18.         help  him  a  bit,  and he encouraged me to improve AntiBeol, as other
  19.         peoples  might  find such a tool handy.  He sent me some more viri, so
  20.         it`s now able to detect and clear the most important one.
  21.  
  22.         The  difference  to  probably  the  most viruskillers is that this one
  23.         doesn`t  only notify you when it encounters a known virus, but also if
  24.         it  detects  some  abnormal  changes, so it can (hopefully) detect new
  25.         viri.
  26.  
  27.         All  in  all, it doesn`t replace a good background checker like VirusZ
  28.         is, but it gives you additionally help on this comming-up packetviri.
  29.  
  30.  
  31. USAGE
  32.         It`s  pretty  easy to use.  Just put it somewhere in your User-Startup
  33.         with a run, e.g.:
  34.  
  35.         Run <>NIL: C:AntiBeol
  36.  
  37.         You won`t notice anything on normal work, but if it detects something,
  38.         a  reqtools  requester  will  pop  up  and  inform  you about it.  The
  39.         following  viri are detected untill now:  Beol 3, Beol 2, Beol 96, and
  40.         SMEG.
  41.  
  42.         But  you  can  get  another  ones,  which  are:   Dospacket  virus and
  43.         Volumelauncher  virus.   NOTE:   These ones mean that AntiBeol found a
  44.         program  that  used  some techniques NORMALY only viri (like the above
  45.         mentioned)  use.   It  DOESN`T  need  to  be  a  virus, but it can be.
  46.         Programs like ArcHandler or DiskExpaner can cause such things, in this
  47.         case just press "Leave It" and it won`t be touched.  So IF you start a
  48.         program  you  100% KNOW about it`s virus-free (and it crashes), please
  49.         mail me, and try using the NOSTRICT option.
  50.  
  51.  
  52.  
  53. TECHNICAL
  54.         This  paragraph  is  for advanced users only, so don`t get mad because
  55.         you don`t understand a word :)
  56.  
  57.         So  how  does  this  thingie  work?  Basically quite easy:  Every five
  58.         seconds,  it  checks  some  vectors  of  the system (pr_WaitPkt of all
  59.         Volumes,  Processes,  and TC_LAUNCH of every task), as they`re used by
  60.         the  above  mentioned  viruses.   If such a virus is detected, or some
  61.         other  program  is  found there (these vectors are normaly not used by
  62.         any program I could find) they`ll get cleared, the suspicious piece of
  63.         code  get`s  disabled  and you`ll get notified.  For the curious ones:
  64.         AntiBeol  also changes it`s name randomly every 5 seks, so don`t get a
  65.         heart attack if you see a process like "CLI(15):r7a9wOeci".  This will
  66.         prevent the FindTask("SnoopDos")-trick.
  67.  
  68.         So  what do these "future-viri" requesters mean?  Dospacket means that
  69.         someone  hooked  up  in  pr_WaitPkt, either in the Processes or in the
  70.         Volumes,  and  Volumelauncher means someone hooked up in the TC_LAUNCH
  71.         field  of the Volumes` tasks.  As additionaly help you get the address
  72.         of  the  suspicious  vector.   This is a pointer to the dos structure,
  73.         e.g.  pr_WaitPkt.
  74.  
  75. LAST WORDS
  76.         I really do have to thank Markus Schmall for his help and providing of
  77.         viri!   Without  him I wouldn`t even have thought about releasing this
  78.         program!
  79.  
  80. HISTORY
  81.         v1.0 (24-Sep-96)
  82.          - initial release
  83.  
  84.         v1.1 (17-Oct-96)
  85.          - Now works on 68000 machines (thx to Danny Lade)
  86.          - Recognizes DiskExpander (thx to Martin Imlau)
  87.          - Finally works with ArcHandler under every condition
  88.          - Improved the Warning requester, shows memory and you can decide
  89.            wether to kill or not to kill the suspicious code.
  90.  
  91. DISCLAIMER
  92.         This  software  is subject to the "Standard Amiga FD-Software Copyright
  93.         Note"  It is Freeware as defined in paragraph 4a.  For more information
  94.         please read "AFD-COPYRIGHT" (Version 1 or higher).
  95.  
  96. AUTHOR
  97.         If you have some comments, please don`t hesitate to contactme!
  98.  
  99.         Gideon Zenz
  100.         Giersbergstr. 41
  101.         53229 Bonn
  102.         GERMANY
  103.  
  104.         EMail: gzenz@ernie.mi.uni-koeln.de
  105.  
  106.         -Gideon Zenz, 17-Oct-96
  107.  
  108.  
  109. SECURITY
  110.         If  you  want  to  be shure you have the original programs, check with
  111.         "md5sum -c AntiBeol.readme".  (md5sum is part of the PGP package), and
  112.         of cause check the integrity of this readme with PGP!
  113.  
  114. f988ea4a7a5b12bba6d12211b7ddb9af *AntiBeol
  115.  
  116. - -----BEGIN PGP PUBLIC KEY BLOCK-----
  117. Version: 2.6.3ia
  118.  
  119. mQCNAi3izr8AAAEEAMi+7o+iKDG26t8EuoX0NJ92iwhkviRC3GdJ1Uvef4+xJA3V
  120. ey20ZnzBg/OokPdo0a3VxhwyjD2auyFmp7DLupQTko7Wx2zLk19EzVBxI6NggUev
  121. ep+eaVvAi8V/YosYh0Xg4/dScOq391irO6k9+BPqkQPH+bRNCUBgnhXGkfElAAUR
  122. tClHaWRlb24gWmVueiA8Z3plbnpARXJuaWUuTUkuVW5pLUtvZWxuLkRFPokBFQMF
  123. EDH2trkAYAKC86RPCQEBgTUH/A8KTc/9NKi/mbzkPGUyywI3krp/HqGDAQVN89QF
  124. ynq5PtTSuKy5Q4DAmJwQ4gna9GJQytme1YbaXKjNNxMi2b33Rhd9aj5HKVHx6bRg
  125. uJ7LpgAotz6FuI6Ny76V1ccwQQnbxroy+EKOR2uOnOh/Gr4NbVz1QTVqksYyp/T5
  126. rwI1esgJlTKxow6Y9BAutyC4M3n9Snc6sViGQwZsH9Xxts9c9meI7LRjleWjSFcl
  127. 7LuZVyf6LFFuzo9jQQTt+Ak69wCeN4Qq5oTzLJQa9KzgQaxj70oP9LyTPBkdYPWH
  128. a+JYPCxgyBojY8igq7PmSRiMnJKhWkQx+uRQbnpuDHPgvgSJAJUDBRAx0dc3QGCe
  129. FcaR8SUBAciDA/4qaRFv5KZGlIbAeGphlR33+aBjMZDf1MlC1QcIk2yPY9tTMIis
  130. z06IckZw7Oq+RVBmJOvOZtJJJuVCuufyHKSg3+HRj6YE4lQ7/ojCU7yPcrdfny4o
  131. LKEpehRB/F89Mzan7cjyLI9qH07I2wq7a9wCwP4BDpa0lxMAQd9Uk+UN6g==
  132. =qm/Q
  133. - -----END PGP PUBLIC KEY BLOCK-----
  134.  
  135. -----BEGIN PGP SIGNATURE-----
  136. Version: 2.6.3ia
  137. Charset: latin1
  138.  
  139. iQCVAwUBMmZryUBgnhXGkfElAQHMEQP+N56UvXcEOByJNrhr3xfmLAPfR0nLjFEg
  140. 6rjzM1VhNYL1mhn8L1ibCPAu1al68z6eaWbR3rZw4VrWs6pSMK7zv+7oNssXA+Xv
  141. e3S8iWFl6kDSHT+5j644a36m9ReOIcDxo+0u9SRi6T/kR8zZ2N7pgfrXIOr3H1sI
  142. Z2+P3bgEv2M=
  143. =qtdV
  144. -----END PGP SIGNATURE-----
  145.