home *** CD-ROM | disk | FTP | other *** search
/ Amiga Plus 1995 #3 & #4 / Amiga Plus CD - 1995 - No. 3 and 4.iso / pd / anti-virus / vib / virus / g / genestealer < prev    next >
Text File  |  1995-07-20  |  2KB  |  59 lines
  1.      Name         : Genestealer
  2.  
  3.      Aliases      : No Aliases
  4.  
  5.      Type/Size    : Boot/1024
  6.  
  7.      Clones       : No Clones 
  8.  
  9.      Symptoms     : Like it is a  KS 1.3 with NTSC specifications?
  10.  
  11.      Discovered   : 23-04-92
  12.  
  13.      Way to infect: Boot infection
  14.  
  15.      Rating       : Dangerous
  16.  
  17.      Kickstarts   : 1.2/1.3/2.0
  18.  
  19.      Damage       : Overwrites boot + Rootblock.
  20.  
  21.      Removal      : Install boot.
  22.  
  23.      Comments     : Infects  every  none write-protected disk  inserted in
  24.                     any  drive.  Can  probably  DAMAGE  harddisks.
  25.  
  26.  
  27.                     The  virus tests the frequency on the El-net.  In this
  28.                     way  the Amiga system  distinguishes between  American
  29.                     and  European  (NTSC/PAL)  systems  and  if  it  isn't
  30.                     American   the  Rootblock  can  probably  be  damaged.
  31.                     Sometimes  the  Amiga  can't detect either it works in
  32.                     Europe or  in the US under Sys-1.3.  It will then open
  33.                     its initial  screen in NTSC in  Europe.
  34.  
  35.                     Most  likely  the virus will behave that way, too, and
  36.                     that's no good.
  37.  
  38.  
  39.                     The Genestealer-Virus copies itself always to the same
  40.                     memory-address  =>  $7EC00. It uses the CoolCapture to
  41.                     stay  resident  in  memory . For  infection  the virus
  42.                     patches the DoIO()-Vector from the exec.library.
  43.  
  44.  
  45.                     When  the  virus  is active it pretends to be a normal
  46.                     DOS-Bootblock.  The  virus  checks  for a value in the
  47.                     Vertikal-Blank-Int.  If  this value isn`t 50 the virus
  48.                     destroys  the  rootblock  (Only DD-Disks!). If you are
  49.                     pressing  the  left mouse-button while you are booting
  50.                     the  virus executes an endless-loop by showing a green
  51.                     screen.
  52.  
  53.  
  54.                     In the end of the Bootblock you can read:
  55.  
  56.                     "GENESTEALER VIRUS!!! by someone..."
  57.  
  58. A.D 05-94 & TBH 04-94
  59.