home *** CD-ROM | disk | FTP | other *** search
/ Amiga Plus Special 24 / AMIGAplus Sonderheft 24 (2000)(Falke)(DE)[!].iso / Updates / Virus / VTTest3 / Schutz / VT3.15d-kurz < prev    next >
Text File  |  1999-11-06  |  6KB  |  165 lines
  1.  
  2.    Heiner Schneegold
  3.    Am Steinert 8
  4.    97246 Eibelstadt
  5.    (Deutschland)
  6.  
  7.    Tel: 09303/99104
  8.    (19.00 - 20.00 Uhr)
  9.    EMail: Heiner.Schneegold@t-online.de
  10.  
  11.   letzte Aenderung: 99-02-11
  12.  
  13.   Aenderungen seit VT3.14    VT-Laenge: 386380 Bytes
  14.  
  15.    WICHTIG !!!!!
  16.       Um Linkviren SICHER zu finden, die sich HINTER
  17.       den 1.Hunk linken, MUESSEN Sie FileTest auf-
  18.       rufen !!!
  19.  
  20.     - STD-Crabs1-Install                    99-02-05  
  21.  
  22.     - STD-Vag1-Install                      99-02-08
  23.     - STD-Vag1-Trojan                       99-02-08
  24.  
  25.     - STD-Vag2-Install                      99-02-09
  26.     - STD-Vag2-Trojan                       99-02-09
  27.  
  28.     - STD-Vag3-Install                      99-02-10
  29.  
  30.   ------ bitte die Texte in VT.kennt.A-Z einfuegen --------
  31.  
  32.    - STD-Crabs1-Install  Installer
  33.       Archivename: mdlx09c.lha (Fremdaussage hab ich nicht)
  34.       Filename:   MiamiDx.beta 439724 Bytes
  35.       Warum Installer
  36.       - Zerstoerungs-NOP fehlt
  37.       - Linkteil ist kuerzer als nach Linkcode (mind. C1) moeglich
  38.       - Linkteil wird nicht ueber NOP erreicht, sondern mit BRA.L
  39.         gleich am Fileanfang angesprungen.
  40.       Loeschen Sie bitte das Teil
  41.       Rest siehe STD-Crabs1-LVirus
  42.       Nachtrag 99-02-09: Aktuell ist MiamiDx09d.beta
  43.  
  44.    - STD-Vag1-Install  Installer
  45.       Filename:  CED417 #169872 Bytes
  46.       Springt vom Fileanfang in das Linkteil
  47.       Linkteil ist mit EOR codiert
  48.       Linkteil soll an c:mount gelinkt werden (nur an dieses File)
  49.       Loeschen Sie bitte das CED417-File
  50.       Ein sauberer Ausbau ist NICHT moeglich, da der Originalzu-
  51.       stand am Fileanfang mir unbekannt ist.
  52.       Rest siehe STD-Vag1-Trojan
  53.  
  54.    - STD-Vag1-Trojan
  55.       Fileverlaengerung: immer #800 Bytes
  56.       Filename: nur c:mount
  57.       Nicht Resetfest
  58.       Ab KS2.04
  59.       Verbogene Vektoren: LoadSeg
  60.       Decodiert ist im Linkteil zu lesen:    
  61.                        536e 6f6f7044 6f732053       SnoopDos S
  62.           7570706f 72742050 726f6365 73730043 upport Process.C
  63.           3a4d6f75 6e740072 756e203e 4e494c3a :Mount.run >NIL:
  64.           206e6577 7368656c 6c205443 50003232  newshell TCP.22
  65.           32370000 53544420 70726573 656e7473 27..STD presents
  66.           202d2056 6167696e 69746973 20233120  - Vaginitis #1
  67.           2d2d2064 69727479 206d6f6c 6521     -- dirty mole!
  68.       Speicherverankerung:
  69.            - FindTask veraendert - Ende
  70.            - Examine veraendert - Ende
  71.            - SnoopDos im Speicher - CCR wird veraendert
  72.            - Loadseg wird verbogen
  73.       Linkvorgang:
  74.            - hinter den 1. Hunk von mount
  75.            - Codierung mit EOR
  76.            - Findtask nicht veraendert
  77.            - Examine nicht veraendert
  78.            - Suche nach RTS nur im letzten Langwort des 1.Hunks und
  79.              Ersetzen durch NOP (dadurch kein "100% richtiger" Aus-
  80.              bau moeglich vgl. auch Fungus)
  81.            - FileDate zurueckschreiben
  82.       Schaden:
  83.            - Suche TCP in DosList
  84.            - Setze hinter TCP (s.o.) einen Doppelpunkt
  85.            - DosExecute run >NIL: .....
  86.            - Es soll also wahrscheinlich ein Fremdzugriff auf den
  87.              Rechner ermoeglicht werden
  88.       Vgl. auch alle anderen STD-Varianten und Fungus
  89.  
  90.    - STD-Vag2-Install  Installer
  91.       Filename:  rexxkuang11.library 0.36 L: #31172 Bytes
  92.       Springt im File mit BRA in das Linkteil
  93.       Linkteil ist mit EOR codiert
  94.       Linkteil soll an c:mount gelinkt werden (nur an dieses File)
  95.       Loeschen Sie bitte die Lib
  96.       Ein sauberer Ausbau ist NICHT moeglich, da der Originalzu-
  97.       stand des Files mir unbekannt ist.
  98.       Rest siehe STD-Vag2-Trojan
  99.  
  100.    - STD-Vag2-Trojan
  101.       Fileverlaengerung: immer #800 Bytes
  102.       Filename: nur c:mount
  103.       Nicht Resetfest
  104.       Ab KS2.04
  105.       Verbogene Vektoren: LoadSeg
  106.       Decodiert ist im Linkteil zu lesen: 
  107.                             536e6f6f 70446f73         SnoopDos
  108.           20537570 706f7274 2050726f 63657373  Support Process
  109.           00433a4d 6f756e74 0072756e 203e4e49 .C:Mount.run >NI
  110.           4c3a206e 65777368 656c6c20 54435000 L: newshell TCP.
  111.           32353531 00005354 44207072 6573656e 2551..STD presen
  112.           7473202d 20566167 696e6974 69732023 ts - Vaginitis #
  113.           32202d2d 2066696c 74687920 77686f72 2 -- filthy whor
  114.           6521                                e!
  115.       Speicherverankerung:
  116.            - FindTask veraendert - Ende
  117.            - Examine veraendert - Ende
  118.            - SnoopDos im Speicher - CCR wird veraendert
  119.            - Loadseg wird verbogen
  120.       Linkvorgang:
  121.            - hinter den 1. Hunk von mount
  122.            - Codierung mit EOR
  123.            - Findtask nicht veraendert
  124.            - Examine nicht veraendert
  125.            - Suche nach RTS nur im letzten Langwort des 1.Hunks und
  126.              Ersetzen durch NOP (dadurch kein "100% richtiger" Aus-
  127.              bau moeglich vgl. auch Fungus)
  128.            - FileDate zurueckschreiben
  129.       Schaden:
  130.            - Suche TCP in DosList
  131.            - Setze hinter TCP (s.o.) einen Doppelpunkt
  132.            - DosExecute run >NIL: .....
  133.            - Es soll also wahrscheinlich ein Fremdzugriff auf den
  134.              Rechner ermoeglicht werden
  135.       Vgl. auch alle anderen STD-Varianten und Fungus
  136.       Zum Nachdenken: eine neuere Trojanvariante (3) haengt an einer
  137.          aelteren Libversion (0.27) und umgekehrt ????
  138.              
  139.    - STD-Vag3-Trojan
  140.       Filename:  rexxkuang11.library 0.27 L: #26532 Bytes  
  141.       Nicht Resetfest
  142.       Ab KS2.04
  143.       Verbogene Vektoren: KEINE
  144.       Vermehrung: Nein  
  145.       Decodiert mit EOR ist im Trojanteil zu lesen:
  146.                    52554e20 3e4e494c 3a206e65     RUN >NIL: ne
  147.           77736865 6c6c2074 63703a32 33333300 wshell tcp:2333.
  148.              ;...
  149.                             53544420 70726573         STD pres
  150.           656e7473 20566167 696e6974 69732023 ents Vaginitis #
  151.           33202d2d 2d206469 6420796f 75206669 3 --- did you fi
  152.           6e642031 20616e64 20322079 65743f00 nd 1 and 2 yet?.
  153.       Springt im File mit BRA in das Trojanteil 
  154.       Schaden:
  155.            - Holt sich die DosBase wahrscheinlich aus einer Lib
  156.            - Suche TCP in DosList falls nein Ende
  157.            - DosExecute run >NIL: .....
  158.            - Es soll also wahrscheinlich ein Fremdzugriff auf den
  159.              Rechner ermoeglicht werden
  160.       Loeschen Sie bitte die Lib
  161.       Vgl. auch alle anderen STD-Varianten und Fungus
  162.       Zum Nachdenken: eine neuere Trojanvariante (3) haengt an einer
  163.          aelteren Libversion (0.27) und umgekehrt ????
  164.  
  165.