home *** CD-ROM | disk | FTP | other *** search
/ Amiga Plus Special 26 / AMIGAplus Sonderheft 26 (2000)(Falke)(DE)(Track 1 of 2)[!].iso / Updates / Virus / Safe13.6 / AntiMotaba / Motaba-3.analyze < prev   
Text File  |  2000-07-18  |  2KB  |  68 lines
  1. ¬Motaba-3 linkvirus analyzes
  2.  
  3. -------------------------------------------------------------------
  4. Analyzer: Zbigniew Trzcionkowski
  5. Date:      19.6.2000
  6. Comment:  After quick analyzes I`ve prepared xfd slave with
  7.           recog routine for this virus. It only detects Motaba-3
  8.           in files, but can`t remove it.
  9.           More info in doc for this slave.
  10. -------------------------------------------------------------------
  11.  
  12. There appeared new link virus. In decoded virus You can read:
  13.  
  14. "MOTABA-3"
  15.  
  16. and
  17.  
  18. "Ask for more: motaba@xxxxxxx.pl"
  19.  
  20. This e-mail is just joke. The xxxxxxx is a polish portal and the
  21. person behind it can`t be seen as an author of this virus.
  22. Just the name is wellknown so such e-mail really exists...
  23. (As some of You know Motaba is a human virus
  24. that appeared in a wellknown movie).
  25.  
  26. In memory the virus patches LoadSeg vector and confuses VirusZ
  27. that this is Crm.library patch.
  28. Whole virus code is comparable to IOZ512/HNY99 virus.
  29. The changes since it are simply so this could mean
  30. that Motaba-3 is quite old I think.
  31.  
  32. The virus replaces in first code hunk all:
  33.  
  34.  jsr    -552(a6)    ;i.e. OpenLibrary
  35.  
  36.  to
  37.  
  38.  bsr.w BeginOfVirus
  39.  
  40.  
  41. Additionally one other jsr will be replaced and hidden inside
  42. virus probably to prevent disabling this virus in easy way
  43. like Fungus or Vaginitis viruses.
  44. This kind of infecting is very agressive - gives more
  45. successfully infected files than last RTS replacing viruses.
  46.  
  47. The another thing is that virus uses normal dos commands for infection
  48. (no packets), but the Open vector must be while
  49. infection in area: $fxxxxx.
  50. This is to be sure that nothing is watching the virus.
  51.  
  52. No built-in file detection, because double infections are impossible
  53. (all jsr -552(a6) instructions of hunk are replaced while first infecting).
  54. No built-in memory detection, because of $fxxxxx test for LoadSeg.
  55.  
  56. MinimalFileSize        -    2048
  57. MaximalFileSize        -    1024*100
  58.  
  59. The virus code is crypted in file just with EOR loop.
  60. The only interesting thing is the length polymorph :-)
  61. Just at the end of added code appears more or less garbage.
  62. When filename contains the `l` letter the length of block linked to next
  63. files is changing (virus len = ca. 880 bytes).
  64.  
  65. This virus don`t have any mission - no destroy code,
  66. file copiers, TCP shells or e-mail senders were found inside!
  67. This looks strange in year 2000 :-)
  68.