home *** CD-ROM | disk | FTP | other *** search

---

/ Amiga Plus 2002 #11 / Amiga Plus CD - 2002 - No. 11.iso / Tools / Virus / xvs / HISTORY

< prev

next >

Wrap

Text File  |  2002-05-15  |  21KB  |  459 lines

---

1. ============================================================================
2. ==            xvs.library - The eXternal Virus Scanner Library            ==
3. ============================================================================
4. ==            Copyright © 1997-1999/2001-2002 by Georg Hörmann            ==
5. ==                 Copyright © 1999-2001 by Alex van Niel                 ==
6. ==                  Copyright © 2001 by Jan Erik Olausen                  ==
7. ============================================================================
8.  
9. TO DO:
10. ------
11. - Add some code to close TCP ports opened by several trojans.
12. - Add Neurotic Death 1-5 linkviruses. These are highly polymorphic, but
13.   crash on my system if I try to infect some test files. I have received
14.   several infected files already from other persons and will try to find
15.   some solution for these viruses in the near future.
16. - Try to get and add the old GlobVec linkvirus. The only ones who have it
17.   are Heiner Schneegold (VT-Schutz) and Sönke Freitag (VTC Hamburg), but
18.   both of them currently cannot find it on their old backups :(
19.  
20. ============================================================================
21.  
22.    xvs.library 33.38 (size: 59.040 bytes)
23.     - Just had to fix two problems with the security code:
24.       a. Timing has been improved to avoid interference with some music
25.          software. Thanks to Paracels/PCB for the report and testing.
26.       b. Expunge of library caused access to deallocated memory in some
27.          rare cases. Thanks to Mikolaj Calusinski for the report and
28.          the excessive beta-testing ;)
29.     - Fixed (hopefully all) MuGuardianAngel hits in the SurveyMemory()
30.       routine. If anyone detects some more, please send me the logs.
31.       Thanks to Thomas Richter for his suggestions about mmu.library,
32.       but I finally found an other solution. And thanks to Sensei for
33.       reporting all his hits.
34.     - Improved speed of SurveyMemory() drastically by skipping similar
35.       recognition routines in just one step if their common requirements
36.       are not available.
37.  
38.    xvs.library 33.37 (size: 58.832 bytes)
39.     - Once more added some new security features to the library. It will
40.       now try to self-defend after alien attacks, only if these efforts
41.       fail, the library gets disabled.
42.     - Added recognition for 2 demo files that I call 'Anti-UAE Trojan'.
43.       Their code checks for UAE systems and in case it finds one will
44.       delete important files. Thanks to Jan Andersen for sending the
45.       demos to me.
46.     - Added recognition for a MS-DOS strain of 'Bastard Installer'.
47.       Thanks to Jan Andersen for the file.
48.     - Added recognition and repair code for 'Bobek 3' linkvirus.
49.       Thanks to Zeeball for sending me an infected file, even though
50.       it was accidentally :-)
51.  
52.    xvs.library 33.36 (size: 57.972 bytes)
53.     - After several years on a journey the sourcecodes finally came
54.       back home;-) Yes, it's me (Georg Hörmann) again, still alive
55.       and kicking virus asses... Thanks must go to Alex van Niel and
56.       Jan Erik Olausen for keeping the project alive!
57.       This update was done by me alone, but in the future, Jan Erik
58.       and I will keep the library up-to-date together.
59.     - Rearranged and enhanced the security stuff inside the library
60.       for 100% detection of any (illegal) function patches. Programs
61.       like 'ZeebsVS' will no longer work with this version. Thanks
62.       must go to Zeeball for his demonstration of security gaps in
63.       the older versions.
64.     - Added support for 'IOZ (512 Bytes)' linkvirus. Thanks go to
65.       Zeeball for sending it.
66.     - Added support for 'Rexxfunc' trojan. Thanks must go to Zeeball
67.       and Jan Andersen for sending it.
68.     - Totally redesigned the scanner for virus tasks/processes. The
69.       new code scans all tasks/processes for every known virus in just
70.       one step and can even handle several running copies of one virus
71.       correctly (thanks Zeeball for the hint).
72.     - Checked ALL the stuff that has been added in my absence since
73.       xvs.library 33.18. See below for what I have changed/fixed.
74.       Thanks must go to Jan Andersen, Jan Erik Olausen and Zeeball
75.       for sending me the missing viruses and lots of other stuff.
76.       Special thanks to Zeeball for the ZeebsVS sourcecodes!
77.     - Fixed file recognition for 'Bastard Installer 1'.
78.     - Renamed 'Miami 4.0 Fake Installer' to 'MUI 4.0 Fake Installer',
79.       because that's what it really is.
80.     - Renamed 'CCCP Clone' bootvirus to 'Anal Rapes' (its real name),
81.       fixed its memory recognition and added it to linkvirus brain.
82.     - Removed recognition for 'Doubledensity' bootblock, this is just
83.       an intro boot.
84.     - Fixed longword access to odd address in 'Jode Capullos 2' file
85.       recognition. This caused crashes on 68000 systems.
86.     - Fixed memory removal code for 'Zakahackandpatch' and 'Zakapior'.
87.       The processes of these viruses might stay in memory up to one
88.       minute after they have been detected, that's not a bug, but
89.       their own call to Delay() that we have to wait for.
90.     - Fixed recognition for 'Hitch-Hiker 5.00 Installers' and added
91.       the plain version created by xfdmaster.library 39.13.
92.     - Renamed 'MadRoger Short' to 'NoName (248 Bytes)' to follow the
93.       guidelines of VTC Hamburg (idea by Jan Andersen).
94.     - Renamed '212 Bytes Link' linkvirus to 'NoName (212 Bytes)' and
95.       fixed its memory removal code.
96.     - Renamed 'Explode Trojan' linkvirus to 'Port 9876' and removed
97.       the repair code, we can use 'Fungus' code instead.
98.     - Renamed 'Explode Trigger' filevirus to 'Port 9876 Trigger'.
99.     - Renamed 'Port 4097 Installer' to 'Port 4097' and added memory
100.       removal code for the trojan's process. The process will stay
101.       in memory for a while without doing any harm, see explanation
102.       at 'Zaka...' above.
103.     - Fixed 'Hitch-Hiker 5.00' memory removal code. The process gets
104.       killed immediately, the patched stack addresses will disappear
105.       one by one after a while without doing harm.
106.     - Fixed memory and file recognition and the repair code for
107.       'Motaba 3' linkvirus. Now it restores the correct library jumps
108.       and can repair even files that have been damaged by the virus
109.       (bad branch offsets!).
110.     - Fixed memory and file recognition and the repair code for
111.       'Bastard' linkvirus. Now restores all patched functions (inside
112.       asl.library and VirusCheckerII) and repairs even big files with
113.       bad branch offsets.
114.     - File recognition for 'Bastard Installer 2' will now only detect
115.       the plain, uncrunched virus as xfdmaster.library unpacks this
116.       file correctly.
117.     - Fixed brain entry of 'Port 2421' linkvirus (wrong virus length)
118.       and added memory recognition. Moved 'Port 2421 Installer' from
119.       linkvirus to filevirus brain as it cannot reproduce itself.
120.     - Fixed 'Smeg 2a' and 'Smeg 2b' memory removal code. The processes
121.       get killed immediately and the patched stack addresses disappear
122.       one by one after a while without doing harm.
123.     - Fixed repair code for 'Penetrator 2001' linkvirus to handle both
124.       ways of infection and added memory removal code (removes the task
125.       and 2 of 3 processes, the other one usually should already have
126.       been run out or crashed because of bad coding!).
127.     - Fixed memory recognition for 'Bobek 2' linkvirus and tuned the
128.       file recognition/repair code. Thanks to Jan Erik Olausen for his
129.       bug report about the beta-release of this code.
130.  
131.    xvs.library 33.35 (size: 58.512 bytes)
132.     - Added Bobek 2 Installer 1 datavirus.
133.       Thanks to Rafal Mania for sending me this file.
134.  
135.    xvs.library 33.34 (size: 58.424 bytes)
136.     - Replaced the Hitch-Hiker 5.00 detection/removal code.
137.       Thanks to Georg Hörmann for writing a better code ;)
138.     - Cleaned up some code. Got some tips from Georg.
139.       So the library is a bit smaller now...
140.     - For developers: Added XVSLIST_DATAVIRUSES to xvsCreateVirusList()
141.       so that you can view data viruses as well.
142.  
143.    xvs.library 33.33 (size: 59.756 bytes)
144.     - Fixed 2 bugs in Hitch-Hiker 5.00 removal + improved checking.
145.       Thanks to Thomas Klein for reporting the bugs.
146.     - Removed Sinister Syndicate 1/2 and French from the
147.       bootblock recog. They were harmless.
148.       Thanks to Dirk Stöcker for telling me.
149.  
150.    xvs.library 33.32 (size: 59.824 bytes)
151.     - Argh... Fixed major bug in Hitch-Hiker 5.00 removal.
152.       The virus was removed, but the file was not fixed.
153.       Thanks to Jean Holzammer for reporting this bug.
154.  
155.    xvs.library 33.31 (size: 59.824 bytes)
156.     - Improved the Hitch-Hiker 5.00 Link virus.
157.       Should be able to detect 99.9% of this virus now...
158.       Thanks to Jan Andersen and Treveur BRETAUDIERE for the files
159.     - Fixed bug in recog for Bastard Installer 1 File virus
160.     - Added recog for 'EICAR STANDARD AV-TEST FILE'
161.       This is not a virus, but a testfile that can be found on
162.       http://www.eicar.org/anti_virus_test_file.htm
163.       The purpose of this test file is to check that your favourite
164.       anti virus program really finds it! Deep inside arhcives etc...
165.       PS! This is a data file, so you might turn on the
166.       'data file checking' in your virus killer.
167.       Thanks to Sami Rautiainen for telling me about this file.
168.  
169.    xvs.library 33.30 (size: 58.140 bytes)
170.     - Added Jode Capullos 2 Trojan file virus
171.       Thanks to Fabrizio Bartoloni for the file
172.     - Renamed MKG to Jode Capullos 1
173.     - Added Hitch-Hiker 5.00 Installer file virus
174.       This is the same for all three link viruses
175.     - Added Hitch-Hiker 5.00 Link virus
176.       Added Hitch-Hiker 5.00a Link virus
177.       Added Hitch-Hiker 5.00b Link virus
178.       Thanks to Jan Andersen for the HH5 files.
179.  
180.    xvs.library 33.29 (size: 56.928 bytes)
181.     - Added MKG Trojan File virus
182.       Thanks to Golds for the file.
183.     - xvs.library has changed name...
184.       from: The eXternal Virus Support Library
185.         to: The eXternal Virus Scanner Library
186.  
187.    xvs.library 33.28 (size: 56.828 bytes)
188.     - Fixed bug in the memory check routine for Smeg2
189.       Thanks to Luca, Harry and Dirk for telling me about this
190.       bug. It will not happen again!
191.  
192.    xvs.library 33.27 (size: 56.828 bytes)
193.     - Added Penetrator 2001 Link virus
194.       Thanks to Krzysztof Duda for the files.
195.     - Added CCCP Clone Bootblock virus
196.       Thanx to Mr Yoard for sending me this bootblock
197.     - Fixed bug in recognition code for DKG-Blum file virus again!
198.       Thanks to Urban Mueller for reporting this.
199.     - Added Smeg2a Installer File virus
200.       Thanks to Antonio De Cicco for the file.
201.     - Added Smeg2a Link virus
202.     - Added Smeg2b Link virus
203.       Thanks to Zeeball for the files.
204.  
205.    xvs.library 33.26 (size: 55.700 bytes)
206.     - Added Bobek2 Link virus
207.       Thanks to Jan Andersen for the files.
208.       Thanks to Zeeball for the memory removal routines.
209.     - Added Expl0de Trojan Link virus
210.       Added Expl0de Trigger File virus
211.       Thanks to Jan Andersen for the files.
212.     - Renamed 8x8 Link to Motaba-3
213.  
214.    xvs.library 33.25 (size: 54.168 bytes)
215.     - Added Zakahackandpatch File virus
216.       Thanks to Jan Andersen for the files.
217.     - Added Bobek! Link virus
218.       Thanks to Jan Andersen, Frank and Zeeball for the files.
219.     - Added Bastard Installer 1 Data virus
220.             Bastard Installer 2 File virus
221.             Bastard Link virus
222.       Thanks Jan Andersen and Zeeball for the files.
223.       Thanks to Zeeball for the info on this virus and for the decrypt
224.       and memory removal routines.
225.     - Added 212 Bytes Link virus
226.       Thanks to Jan Andersen for the file.
227.     - Fixed bug in recognition code for DKG-Blum file virus.
228.       Thanks to Jan Andersen for reporting this.
229.     - Added Bobek2 Installer File virus
230.       Thanks to Fabrizio Bartoloni for telling me about this file.
231.     - The library has changed programmer, although Georg does keep all
232.       copyrights and remains owner of the sources, I (Jan Erik Olausen)
233.       will continue developement. See the README file for my contact
234.       address.
235.       Thanks to Georg Hörmann and Dirk Stöcker for helping me out with
236.       fixing bugs in the source. I couldn't have done this without there
237.       help :o)
238.  
239.    xvs.library 33.24 (size: 52.916 bytes)
240.     - Added 4kIntro Trojan
241.       Thanks to Ryben Kozlak and Jan Andersen
242.     - Added Dkg-Blum Trojan
243.       Thanks to Peter Gordon, Urban Mueller and Jan Andersen
244.     NOTE:
245.       This trojan also replaces or adds a file called asi.library.
246.       XVS will not (yet) be able to detect this file because as far as
247.       I could analyze it, it looked like a normal VideoTracker file.
248.       If XVS would have to see this as a virus, more VideoTracker files
249.       will be fake detected. If you have problems or want this added
250.       anyway let me know.
251.  
252.    xvs.library 33.23 (size: 52.868 bytes)
253.     - Added Port 4097 Installer (LoadWB) virus
254.       Thanks to Zeeball for the files
255.       No memory infection found yet, might be added later if one
256.       is found.
257.     - Added Port 4097 Trojan (RexxFifo.Library) virus
258.       Thanks to Zeeball for the file
259.       No memory infection found yet, might be added later if one
260.       is found.
261.     - Added Port 2421 Installer virus (Jizzer)
262.       Thanks to Zeeball for the file
263.       No additional memory or file infection found yet, might be added
264.       later if one is found.
265.     - Added Port 2421 Trojan (Mount) virus
266.       No additional memory or file infection found yet, might be added
267.       later if one is found.
268.     These viruses create TCP/IP ports in memory. If a file infected with
269.     one or more of these viruses is found on your system, chances are
270.     that these ports are open already. For now, you should let the
271.     xvs.library remove the virus and then reset your Amiga. (Which is
272.     always a good idea after detecting a virus, but that aside of the
273.     subject) The ports should then be gone.
274.  
275.    xvs.library 33.22 (size: 52.732 bytes)
276.     - Added 8x8 Link virus.
277.       Thanks to Jan Andersen, Chill and Zeeball for the files.
278.       Thanks to Heiner Schneegold for the info on this virus.
279.  
280.    xvs.library 33.21
281.     - Added YamPPCpatch Trojan. When so called "patched" a file called
282.       "cedmacros" is put in your "S:". Aferwards, when you press
283.       specific buttons in CED ("a", "q", etc.) some lame text is placed
284.       in the text you are editing. Highly annoying. The library
285.       recognises the "patch" and it's installer. Thanks to Jan Andersen
286.       for supplying it to me. Thanks to Urban Mueller for reporting it
287.       to Jan Andersen.
288.     - Changed position of DoubleDensity bootblock virus in virus list.
289.       Wasn't sorted alphabetically properly.
290.     - Fixed MUI 4.0 (clickforcolors) entry to a smaller entry (too big
291.       a name for some virus killers)
292.  
293.    xvs.library 33.20
294.     - Quickly fixed the naming of the MUI 4.0 fake. I accidentally named
295.       it Miami 4.0 for some reason. Thanks for Dirk Stöcker for noticing
296.       this.
297.     - Placed the Amos Joshua trojans at the right place in the list for
298.       programs that don't sort the virus list before outputting to the
299.       user.
300.  
301.    xvs.library 33.19
302.     - Added Zakapior trojan virus and it's Dropper, thanks to Jan
303.       Andersen for sending them.
304.     - Added Amos Joshua trojan virus and it's Dropper, thanks to
305.       Jan Andersen for sending them.
306.     - Added Amos Joshua Clone virus and it's Dropper, thanks to
307.       Jan Andersen for sending them.
308.     - Added MUI 4.0 trojan virus and installer, thanks to Jan Andersen
309.       for sending them.
310.     - Added AmigaE modules to archive, including a small example.
311.       The modules and example were created by Andrew Cashmore
312.       (aj.cashmore@ukonline.co.uk)
313.     - The library has changed programmer, although Georg does keep all
314.       copyrights and remains owner of the sources, I (Alex van Niel)
315.       will continue developement. See the README file for my contact
316.       address.
317.  
318.    xvs.library 33.18
319.     - Fixed bug in recognition code for Elbereth 1 - 4 and Disnomia
320.       linkviruses. Some copies have not been detected correctly.
321.       Thanks to Dran/Chew-Z for the report and the testfiles.
322.     - Added additional verification code for pseudo-executables like
323.       'Scalos.key' starting with $3f3 even if they are datafiles.
324.       Thanks to Ramon for the report.
325.  
326.    xvs.library 33.17
327.     - Added 'STD Crabs #1' linkvirus and its Dropper. Thanks to Jan
328.       Andersen and David Knell for sending them.
329.     - Added 'STD Vaginitis #1' linkvirus and its Dropper. Thanks to
330.       Jan Andersen for sending them.
331.     - Added 'STD Vaginitis #2' linkvirus, its Dropper and
332.       'STD Vaginitis #3' filevirus. Thanks to Jan Andersen and
333.       Jesper Svennevid for sending them.
334.  
335.    xvs.library 33.16
336.     - Added another security mechanism that should bring up an alert
337.       if xvs.library has been modified in length (what usually all
338.       viruses do). If such an alert pops up on your computer, please
339.       perform a file check with VirusZ on 'xvs.library' in your libs:
340.       drawer. The library will therefore no longer refuse to work when
341.       it's (possibly) infected.
342.     - Oh my god, why am I such an idiot? While analyzing Polish Power
343.       linkvirus, it suddenly came to my mind: The polymorphic code
344.       of Polish Power is exactly the same as the one Antonio uses.
345.       I just had to fix some small routines in the repair code, and
346.       now both dangerous linkviruses will be recognized :-)
347.  
348.    xvs.library 33.15
349.     - My Christmas gift for you: Recognition and repair code for the
350.       'Antonio' linkvirus (that's how I call it!). It uses the ugliest
351.       polymorphism I have seen so far, but I nevertheless did it in
352.       just 2 days. If there appear infected files that cause problems,
353.       please send them to me immediately (by email if possible).
354.       Thanks to Jan Andersen for sending me this virus so quickly.
355.  
356.    xvs.library 33.14
357.     - Added 'Datatypes.Library Trojan'. Thanks to Jan Andersen for
358.       sending this Miami backdoor.
359.     - Please note my new email address in the README file.
360.  
361.    xvs.library 33.13
362.     - Added Mad_Roger Short linkvirus.
363.     - Added Robby bootvirus. Thanks to Peter Lindberg for this really
364.       old stuff. It's from 1988 and I've never seen it before!!!
365.     - Added 'C' developper files. Thanks to Dirk Stöcker for creating
366.       them.
367.  
368.    xvs.library 33.12
369.     - Added new linkvirus: Fungus/LSD. Thanks to Jan Andersen for
370.       sending this stuff.
371.  
372.    xvs.library 33.11
373.     - Added new viruses: UnpackJPEG Trojan, LOBO Simple, LOBO Weird
374.       and its Installer. Thanks to Jan Andersen for sending the viruses
375.       and Dran/Chew-Z for sending them to Jan.
376.     - Finally released the developper files (include, autodoc, fd etc.)
377.       to the public. It's time now to give other skilled coders the
378.       opportunity to develop their own viruskillers...
379.  
380.    xvs.library 33.10
381.     - Added the rest of the missing viruses from VTC (see below):
382.       666!-Trojan, Mosh 1.0, Promoter 1, Purge Dropper, Purge Trojan,
383.       TDTJ Trojan, SehrJung Dropper, SehrJung Trojan, Nibbler 1.0ß Link,
384.       Nibbler Installer, New Age (bad linkvirus, can only be deleted).
385.     - Added recognition for 666!-Trojan damages to sector check code.
386.     - Added recognition for files damaged by Cute Little Ponnies and
387.       Inspector X of A.L.F.
388.     - Added AmigaRAR.exe Fake, a packed version of Gathering '95 that
389.       cannot be decrunched by xfdmaster.library at the moment. I will
390.       add the cruncher as soon as possible to xfd.lib, then the extra
391.       recognition is no longer needed. Thanks to Jan Andersen for this
392.       packed trojan.
393.  
394.    xvs.library 33.9
395.     - Finally I contacted Soenke Freitag of VTC Hamburg and asked him to
396.       send me the old but still missing viruses from their test. I added
397.       the following viruses until now:
398.       AHM Keymaker 1.1, BBS Blieb6, Miami Fake, BBS MegaMon, DumDum 2,
399.       BBS CLP/InspectorX, BootX Updater, Buzz Bomb MKI, Hexer/Bea 1,
400.       Hexer/Bea 2, Hexer/Bea 3, Conman Format,  Compuphagozyte 13,
401.       Disk.info Bomb, Joshua 3 and Christmas Violator.
402.       There are still more to come, I will add them (hopefully) in the
403.       following 2 or 3 weeks.
404.       Special thanks go to Soenke Freitag for the good cooperation and
405.       all the work he had with sending me the virus collection.
406.       Thanks must go to Markus Schmall and Jan Andersen too for giving
407.       Soenke the permission to submit the viruses to me (most of them
408.       were NDA).
409.     - Added MaxDoorControl + Lib. Thanks to Jan Andersen for sending it.
410.  
411.    xvs.library 33.8
412.     - Added Mad Roger bootvirus and WAWE trojan. Thanks to Jan Andersen
413.       for sending the trojan.
414.  
415.    xvs.library 33.7
416.     - Did some internal reworking for better performance.
417.     - Added bootblock viruses: AHC, Gadaffi 2, Virus Slayer 6.12.
418.     - Added recognition for files damaged by Lisa FuckUp 2.0.
419.     - Fixed removal code for ZIB linkvirus. Now detects all files that
420.       have been infected by the installer directly.
421.     - Added recognition for Doom_CLX Trojan, CompuPhagoLink and
422.       X-Ripper 1.1.
423.  
424.     Special thanks for sending all the above mentioned viruses are going
425.     to Jan Andersen. VirusZ did not recognize these viruses at the time
426.     when the VTC-Test 1998 took place, therefore the ranking of VirusZ
427.     in this test would be even better right now.
428.  
429.    xvs.library 33.6
430.     - Added HappyNewYear 96/2 clone, HNY 96/3 clone + installer and
431.       Sepultura bootblock virus. Thanks to Jan Andersen for submitting
432.       them.
433.  
434.    xvs.library 33.5
435.     - Fixed bug in 'Smeg' recognition. Thanks to Thomas Richter for the
436.       tests and the report.
437.     - Added 'MKey.exe Fake' trojan. Thanks to Jan Andersen for sending
438.       it to me.
439.     - Added 'HANF' linkvirus. This nasty bastard took me a lot of time.
440.       Thanks to Ralph Bernecker and Jan Andersen for sending it to me.
441.  
442.    xvs.library 33.4
443.     - Added 'ReOrgIt Fake' trojan. Thanks to Jan Andersen for sending
444.       it to me.
445.  
446.    xvs.library 33.3
447.     - Added new viruses: 'Death To Maxs' 1-4 trojans. Thanks to Jan
448.       Andersen for sending them.
449.     - Rewritten some memory checking routines for safer execution.
450.  
451.    xvs.library 33.2
452.     - Just did a little fix in the memory checking code. Some strange
453.       patches haven't been accepted.
454.  
455.    xvs.library 33.1
456.     - Moved all virus recognition and removal code from VirusZ to
457.       this library. Several support routines have been rewritten
458.       or designed totally new.
459.