home *** CD-ROM | disk | FTP | other *** search
/ Amiga Plus 1995 #3 & #4 / Amiga Plus CD - 1995 - No. 3 and 4.iso / pd / anti-virus / vib / virus / e / eleniv2.2 < prev    next >
Text File  |  1995-07-20  |  2KB  |  73 lines
  1.      Name         : ELENI VIRUS 
  2.  
  3.      Aliases      : Gremlin, FMFOJ
  4.  
  5.      Type/Size    : Boot/1024
  6.  
  7.      Clones       : No Clones
  8.  
  9.      Symptoms     : No Symptoms
  10.  
  11.      Discovered   : 10-04-94
  12.  
  13.      Way to infect: Boot infection
  14.  
  15.      Rating       : Less Dangerous
  16.  
  17.      Kickstarts   : 2.0 & higher
  18.  
  19.      Damage       : Overwrites boot, creates new c/Mount on disk.
  20.  
  21.      Removal      : Install boot, Delete files c/Mount & c/d.
  22.  
  23.      Comments     : If you are booting with an infected disk the
  24.                     virus copies itself to the adress $FE000 or
  25.                     $7F400. After that it changes the CoolCpature
  26.                     Vector to stay resident. Furthermore it 
  27.                     patches the DoIO()-Vector and the KickChkSum()-
  28.                     vector from the exec.library to infect other
  29.                     disks. 
  30.                     But now it comes:
  31.                     Imagine you are now booting with your HD. Now the
  32.                     virus creates two new files called 
  33.                     
  34.                     c/Mount = 208 bytes (read ELENIV2.2_inst, too!)
  35.                     
  36.                     and
  37.                     
  38.                     c/D     = 1024 bytes
  39.  
  40.                     The Datafile c/D is the virus itself.
  41.                     The executeable file c/Mount is the virusinstaller.
  42.                     If you are now starting the file c/Mount the program
  43.                     does the follwing:
  44.  
  45.                       1) Opens the file c/D (Virus)
  46.                       2) Loads it into a adress
  47.                       3) starts it & returns.
  48.  
  49.                     To remove the virus you must delete the Mount-fake
  50.                     and the virusfile c/D. AND! Don`t forget to install
  51.                     your disks.
  52.                     In the Bootblock you can read:
  53.         
  54.                     "FMFOJ XJSVT V2.2"
  55.  
  56.                     Decrypted with "sub.b #1,(a0)+":
  57.                     (Routine not in BB)
  58.                     
  59.                     "ELENI WIRUS V2.2"
  60.                            ^
  61.                     The programmer was urely a LAMER
  62.  
  63.                     No Textoutput-routine was found in the virus.
  64.  
  65.                     
  66.                     ATTENTION: A FAKE X-COPY 8.5 VERSION IS GOING AROUND 
  67.                     WHICH INSTALLS THIS DEVIL.  For further information 
  68.                     read about the X-Copy 8.5 trojan.
  69.               
  70.                     NOTE: Why must people write such SHIT! ohhh gooood.
  71.  
  72. A.D 04-94
  73.