home *** CD-ROM | disk | FTP | other *** search
/ Amiga Plus 1995 #3 & #4 / Amiga Plus CD - 1995 - No. 3 and 4.iso / pd / anti-virus / vib / virus / p / polyzygotronifikator < prev    next >
Text File  |  1995-07-20  |  4KB  |  128 lines
  1.      Name         : Polyzygotronifikator
  2.  
  3.      Aliases      : No Aliases
  4.  
  5.      Type/Size    : Link/1236 +/- ca.300 bytes (? VARIES!!!!)
  6.  
  7.      Clones       : No Clones 
  8.  
  9.      Symptoms     : No Symptoms
  10.  
  11.      Discovered   : 03-08-94
  12.  
  13.      Way to infect: Link infection
  14.  
  15.      Rating       : Less Dangerous
  16.  
  17.      Kickstarts   : 2.0 and higher
  18.  
  19.      Damage       : Some file can be defective.
  20.  
  21.      Removal      : Use good Viruskiller.
  22.  
  23.      Comments     : Here it is...... the first REAL POLYMORPHING linkvirus
  24.                     for  the  AMIGA.  The  Polyzygotronifikator Virus is a
  25.                     tricky virus and well coded. It crypts the whole virus
  26.                     and  the  location of decrypt routine varies, the byte
  27.                     lenght  of  the virus varies and the decrypt registers
  28.                     always varies. 
  29.  
  30.  
  31.                     The  virus patches the LoadSeg()-Vector from the dos.-
  32.                     library  so it can infect all executed files. But only
  33.                     if this link-conditions are met:
  34.  
  35.                   - In filename NO "." and NO "-"
  36.                     That means NO infection of libraries and Handlers
  37.  
  38.                   - Only HD will be infected NO Disks. (Test of
  39.                       8000 blocks)
  40.  
  41.                   - 10 blocks free.
  42.  
  43.                   - File Executable.
  44.  
  45.                   - Device validated.
  46.  
  47.                     The  virus  loads  an executed file and searches for a
  48.                     special  assembler-command from the beginning of file.
  49.  
  50.  
  51.                     FOR ASSEMBLERS:  Move.l 4,a6  or Move.l 4.w,a6).  This
  52.                     command  will be replaced by another assembler command
  53.                     which  will  FIRST jumps to the virus and then back to
  54.                     the normal programm. (For assemblers: BSR.L) This is a
  55.                     new method of link-infection. 
  56.  
  57.                     The  whole  virus is crypted depending of DFF006.  The
  58.                     virus  can`t  be linked twice on the same file because
  59.                     it  tests  for $1994 at the end of the first hunk. The
  60.                     memory  self-check  will  be  done  with  the longword
  61.                     "1994". 
  62.  
  63.                     It`s  very difficult to indentify this virus. You have
  64.                     a little chance by checking the last word of every 1st
  65.                     CODE-HUNK for $1994. 
  66.  
  67.  
  68.  
  69.                     This  virus  was  probably done by a very professional
  70.                     assembler-coder  (?!?!). I infected 3 SAME files (CLS)
  71.                     and the result was:
  72.  
  73.                     Cls Normal             =  148 bytes
  74.  
  75.                     Cls Infected           = 1434 bytes
  76.  
  77.                     Cls again Infected     = 1430 bytes
  78.  
  79.                     Cls and again infected = 1420 bytes
  80.  
  81.                     As  you  can  see the lenght of the virus varies every
  82.                     time.  And the decrunch routine changes every time. An
  83.                     example (For Assember-FEAKS):
  84.  
  85.                     First:
  86.                     Movem.l d0-d7/a0-a6,-(a7)
  87.                     bra.s    _1
  88.                     *BETWEEN here 16 bytes GABRAGE
  89. _1:
  90.                     lea    virus(pc),a1
  91.                     bra.s    _2
  92.                     *BETWEEN here 8 bytes GABRAGE
  93. _2:
  94.                     move.l  #XXX,d0
  95.                     *BETWEEN here 20 bytes GABRAGE
  96.                     .
  97.                     .
  98.                     .
  99.  
  100.                     After another infection the same area again:
  101.  
  102.                     Movem.l d0-d7/a0-a6,-(a7)
  103.                     bra.s    _1
  104.                     *BETWEEN here 8 bytes GABRAGE
  105. _1:
  106.                     lea    virus(pc),a5
  107.                     bra.s    _2
  108.                     *BETWEEN here 16 bytes GABRAGE
  109. _2:
  110.                     move.l  #XXX,d2
  111.                     *BETWEEN here 32 bytes GABRAGE
  112.                     .
  113.                     .
  114.                     .
  115.  
  116.                     And so on and so on .....
  117.                     As  you  can  see  NOT only  the  distance between the
  118.                     different  commands  varies the register numbers, too.
  119.                     In the decoded virus you can read:
  120.  
  121.  
  122.                     "Don`t think about it! You`re simply infected"
  123.                     "with the Polyzygotronifikator... (Polymorphing 
  124.                     version)"
  125.  
  126.  
  127. A.D 08-94
  128.