home *** CD-ROM | disk | FTP | other *** search
/ Amiga Plus 1995 #3 & #4 / Amiga Plus CD - 1995 - No. 3 and 4.iso / pd / anti-virus / vib / virus / t / the curse of little sven < prev    next >
Text File  |  1995-07-20  |  5KB  |  108 lines
  1.      Name         : Little Sven
  2.  
  3.      Aliases      : Cameleon
  4.  
  5.      Type/Size    : Boot/2048
  6.  
  7.      Clones       : No Clones 
  8.  
  9.      Symptoms     : No Symptoms
  10.  
  11.      Discovered   : 03-05-92
  12.  
  13.      Way to infect: Boot infection
  14.  
  15.      Rating       : Very Dangerous
  16.  
  17.      Kickstarts   : 1.2/1.3 not properly with 2.0, but it works.
  18.  
  19.      Damage       : Overwrites block 3 & 4 + crypts blocks.
  20.  
  21.      Removal      : Use good Viruskiller.
  22.  
  23.      Comments     : The Little Sven-Virus is a very dangerous one. The
  24.                     length of the virus is 2048 byte. The virus saves
  25.                     the original bootblock of every infected disk in
  26.                     block 2, 3 so this bootblock will executed even 
  27.                     when the disk is infected. If you are starting a
  28.                     Little Sven infected disk the virus makes itself
  29.                     resident by changing the CoolCapture-Vector. After
  30.                     that the virus loads the OriginalBB from block 2 & 3
  31.                     To infect other disks the virus uses the BeginIO()
  32.                     vector from the trackdisk.device. Additionally the
  33.                     virus patches the DisplayAlert()-Vector from the
  34.                     intuition.library and the Supervisor()-Vector from
  35.                     the exec.library. After initialising all this virus
  36.                     routines the originalBB will be executed.
  37.  
  38.                     DisplayAlert-Patch:
  39.                     -This patch forbids all alerts. That means no alerts
  40.                      will be shown anymore.
  41.  
  42.                     Supervisor-Patch:
  43.                     -This patch sets the CoolCapture to the virusvalue.
  44.  
  45.                     BeginIO-Patch (Infections-Patch):
  46.                     Case 1: You are insetring a unprotected disk.
  47.  
  48.                      1) The virus checks if the disk is already infected
  49.                         If Yes: The virus checks if the bb-access was
  50.                                 a read-access.
  51.  
  52.                                 -> Yes: the virus loads the OriginalBB
  53.                                         from block 2, 3.
  54.                                         That Means if you want to see
  55.                                         the booblock of an infected disk
  56.                                         the virus shows you always the
  57.                                         original one.
  58.                                 ->  No: End.
  59.  
  60.                         If  No: The virus checks if this is the 3rd 
  61.                                 infection.
  62.                                 -> Yes: The virus will execute a 
  63.                                         routine which writes data on
  64.                                         your disk. -> DAMAGED!!!
  65.                                 ->  No: The virus loads the OriginalBB
  66.                                         of the disk, copies it to block
  67.                                         2, 3 and infect the disk.
  68.  
  69.                         Block 2, 3 are now damaged. No salvage possible.
  70.                         The Bootblock AND the original bootblock are 
  71.                         crypted. (The virusbb is crypted depending of
  72.                         $DFF007)
  73.  
  74.                     BeginIO()-Patch (Infections-Patch):
  75.                     Case 2: A block will be loaded from an unprotected
  76.                             disk.
  77.  
  78.                      1) The virus will check the actual block for a
  79.                         byte-mark ($ABCD).
  80.  
  81.                         If Yes: The block was already crypted, so
  82.                                 decrypt.
  83.  
  84.                         If  No: The virus checks for the value 8 in the
  85.                                 1st longword (= DATA)
  86.  
  87.                                 -> Yes: Inserts the byte-mark $ABCD and
  88.                                         crypts the block.
  89.                                 ->  No: End.
  90.  
  91.                     That means you can read such blocks just when the
  92.                     virus is active in memory. But now imagine you have
  93.                     an infected disk with crypted blocks on it. Now you
  94.                     copy a normal DOS-BB on this disk and you are 
  95.                     booting with it.
  96.                     ----> YOU WILL GET A READ/WRITE ERROR or A CHECKSUM
  97.                           ERROR.
  98.  
  99.                     So please use a good viruskiller which can also 
  100.                     decrypt such blocks. E.G. VT or VirusWorkshop.
  101.                     In the end of the decrypted bootblock you can read:
  102.  
  103.                     "The Curse of Little Sven!"
  104.  
  105.                     -> See also Xcopy5.6-Trojan which installs this
  106.                        virus...
  107. A.D 05-94
  108.