home *** CD-ROM | disk | FTP | other *** search
| Text File | 1994-04-05 | 216.5 KB | 6,430 lines |
-
- AntiCicloVir V2.1 -Dokumentation
- Erstellungsdatum: 04.03.1994
-
- (C) 1992-1994
-
- by
-
- Matthias Gutt
- Kantstr.16
- 21335 Lüneburg
- Tel.:04131/49624
- ( 20.30 - 21.30 Uhr )
-
- Beta-Spreading
-
- 1992-1994
-
- by
-
- Daniel Lars Reuß
- Eschenweg 10
- 63654 Büdingen-Lorbach
-
-
- Beta-Testing
-
- 1993-1994
-
- by
-
- Juergen Dieterich
- Rehhaldenweg 156
- 73614 Schorndorf
-
-
- Inhalt:
-
- 1.0 Nutzungshinweise
-
- 2.0 Funktionen von AntiCicloVir V2.1
-
- 2.1 Speichertest
-
- 2.2 Bootsectortest
-
- 2.3 Disk-Validatortest
-
- 2.4 Dateitest
-
- 3.0 Benutzung des Viruskillers
-
- 4.0 Programminformationen
-
- 5.0 Virus-Definitionen
-
- 1. `Bootblock`-Viren
- 2. `File`-Viren
- 3. `Link`-VIren
- 4. `Disk-Validator`-Viren
- 5. Trojanische Pferde
- 6. Bomben
-
- 6.0 Anhang A (Computerviren)
-
- 1. `Revenge of the Lamer Exterminator I+II`
- 2. `Lamer LoadWB`
- 3. `Lamer VirusX`
- 4. `Return Of The Lamer Exterminator`
- 5. `Amiga Knight`
- 6. `AntiChrist`
- 7. `Beethoven`
- 8. `Bestial Devastation`
- 9. `BGS9 I+II`
- 10. `Bluebox`
- 11. `Bret Hawnes`
- 12. `CCCP`
- 13. `Color (TURK V1.3)`
- 14. `CompuPhagozyte 1+2``
- 15. `CompuPhagozyte II` oder `CompuPhagozyte 3`
- 16. `CompuPhagozyte III A-C` oder `CompuPhagozyte 4a/b`
- 17. `CompuPhagozyte IV` oder `CompuPhagozyte 4c`
- 18. `Crime 2`
- 19. `Crime!++`
- 20. `D-Structure`
- 21 `Darth Vader 1.1`
- 22. `Disaster-Master V2`
- 23. `Disk Killer V1.0`
- 24. `Disktroyer V1.0`
- 25. `Disktroyer V2.0`
- 26. `DiskVal1234
- 27. `DM-Trash`
- 28. `DriveInfo V0.91`
- 29. `Excrement Creator`
- 30. `Freedom`
- 31. `Golden Rider`
- 32. `Gotcha Lamer`
- 33. `HARD oder HARDEX`
- 34. `Hochofen`
- 35. `Infiltrator`
- 36. `IRQ`
- 37. `JEFF Butonic V1.31`
- 38. `JEFF Butonic V3.00`
- 39. `LAME`
- 40. `Liberator v1.21`
- 41. `Liberator V3.0`
- 42. `Liberator V5.01`
- 43. `LOOOOM`
- 44. `MENEM`s REVENGE`
- 45. `Modemchecker`
- 46. `NANO`
- 47. `NANO II`
- 48. `NaST`
- 49. `No Guru V2.0`
- 50. `PP-BOMB`
- 51. `QRDL 1.1`
- 52. `Red October 1.7`
- 53. `RISC`
- 54. `SADDAM`
- 55. `Sepultura`
- 56. `ShowSysop`
- 57. `Smily Cancer I+II`
- 58. `SnoopDos1.6`
- 59. `Telecom`
- 60. `Terrorists`
- 61. `T.F.C. Revenge LoadWB`
- 62. `Time Bomb V0.9`
- 63. `Traveling Jack 1+2`
- 64. `Virus Construction Set`
- 65. `Xeno`
- 66. `xprzspeed V3.2`
-
-
-
-
-
-
-
-
-
-
-
-
-
- 7.0 Anhang B (Bootblock-Viren)
-
- 1. `16 Bit Crew`
- 2. `2001`
- 3. `AEK`
- 4. `AIDS`
- 5. `AIDS2`
- 6. `Alien New Beat V1.0`
- 7. `Amiga Freak`
- 8. `Amiga Master`
- 9. `ASV V0.000123`
- 10. `Australian Parasite`
- 11. `Bamiga Sector One`
- 12. `Big Boss`
- 13. `Blackflash V2.0`
- 14. `Blade Runners`
- 15. `BLF`
- 16. `BlizzPro V3.1`
- 17. `BlizzPro V3.3`
- 18. `Blow Job`
- 19. `Butonic 1.1`
- 20. `Byte Bandit`
- 21. `Byte Bandit +`
- 22. `Byte Bandit 2`
- 23. `Byte Bandit turbo`
- 24. `Byte Voyager`
- 25. `Byte Voyager II`
- 26. `Byte Warrior`
- 27. `CCCP`
- 28. `Clonk`
- 29. `Coders Nightmare`
- 30. `DAG`
- 31. `DAT`89`
- 32. `Destructor V1.2`
- 33. `Digital Emotions`
- 34. `Disk-Doktors`
- 35. `Disk Herpes`
- 36. `Diskguard V1.0`
- 37. `Divina Exterminator I`
- 38. `Dotty`
- 39. `DUMDUM`
- 40. `Extreme`
- 41. `F.A.S.T.`
- 42. `F.I.C.A.`
- 43. `Forpib`
- 44. `Frity`
- 45. `Gadaffi`
- 46. `Glasnost`
- 47. `Graffiti`
- 48. `Gremlin`
- 49. `GX.Team`
- 50. `H.C.S.`
- 51. `H.C.S. II`
- 52. `Hilly`
- 53. `HODEN V33.17`
- 54. `Ice`
- 55. `Incognito`
- 56. `Inger IQ`
- 57. `Ingo`
- 58. `JITR`
- 59. `Joshua`
- 60. `Joshua 2`
- 61. `Julie`
- 62. `Kauki`
- 63. `Kefrens`
- 64. `L.A.D.S`
- 65. `LAMER Exterminator (alt)`
- 66. `LAMER Exterminator (neu)`
- 67. `LAMER Exterminator I`
- 68. `LAMER Exterminator II`
- 69. `LAMER Exterminator III`
- 70. `LAMER Exterminator IV`
- 71. `LAMER Exterminator V`
- 72. `LAMER Exterminator VI`
- 73. `LAMER Exterminator VII`
- 74. `LAMER Exterminator VIII`
- 75. `Loverboy & Sexmachine`
- 76. `LSD`
- 77. `MAD`
- 78. `MAD II`
- 79. `MEXX`
- 80. `MGM 89`
- 81. `Microsystems`
- 82. `MOSH`
- 83. `Nasty-Nasty`
- 84. `North Star`
- 85. `North Star II`
- 86. `Obelisk`
- 87. `Obelisk 2`
- 88. `OPAPA`
- 89. `PARATAX`
- 90. `PARATAX II`
- 91. `PARATAX III`
- 92. `Pentagon-Slayer`
- 93. `Pentagon-Slayer 2`
- 94. `Pentagon-Slayer 3`
- 95. `Plastique`
- 96. `Revenge`
- 97. `Revenge Bootloader`
- 98. `SACHSEN No. 1`
- 99. `SADDAM HUSSEIN`
- 100. `SCA`
- 101. `SCARFACE`
- 102. `Sendarion #1`
- 103. `Sherlock2.0`
- 104. `SS`
- 105. `SS II`
- 106. `Supply Team`
- 107. `Target`
- 108. `Telstar`
- 109. `Termigator`
- 110. `T.F.C. Revenge``
- 111. `TimeBomb`
- 112. `TNK`
- 113. `Tomates Gentechnic`
- 114. `TURK V1.3`
- 115. `U.K. Lamer Style`
- 116. `Ultrafox`
- 117. `Virus Slayer V1.0`
- 118. `Virus V1`
- 119. `Warhawk`
- 120. `Warsaw Avenger`
- 121. `Z.E.S.T.`
- 122. `ZACCESS V1.0`
- 123. `ZACCESS V2.0`
- 124. `ZACCESS V3.0`
- 125. `ZLX`
- 126. `Zombi I`
-
-
- 8.0 Anhang D ( Seriöse Programme )
-
- 1. `ASS Virusprotector V1.0`
- 2. `SystemZ V3.0`
- 3. `SystemZ V4.0`
- 4. `SystemZ V5.0
- 5. `SystemZ V5.1
- 6. `SystemZ V5.3`
- 7. `SystemZ V5.4`
- 8. `SystemZ V6.1`
- 9. `SystemZ V6.4`
- 10. `SystemZ V6.5`
- 11. `ALF-2 HD`
-
-
- 1.0 Nutzungshinweise
-
- Entgegen allen anderslautenden Meldungen, ist AntiCicloVir KEINE SHAREWARE,
- sondern eher eine Mischung aus PD und FREEWARE !!!
- Dieses Programmpaket, stellt eine Sammlung verschiedenster Routinen
- dar, die den Anwender unterstuetzen sollen, die Ausbreitung von
- AMIGA-Viren in seinem System zu unterbinden.
- Allerdings bin ich etwaigen Spenden gegenueber nicht abgeneigt, wie
- beispielsweise Geld, Programmierhandbuecher, Computerzubehoer,
- Quelltexte in C oder ASSEMBLER, Hilfsprogramme oder Compiler oder
- einfach Fehlerberichte oder neue AMIGA-Viren !
- Uebrigens suche ich immer noch einem guenstigen Assembler fuer MS-DOS
- oder einen Compiler fuer C, Ada, LISP oder PROLOG !
- Was die Rechte am Beitrag AntiCicloVir selbst anbelangt, so ist es eher
- FREEWARE !
- Denn jeder kann das Programm nutzen wie er will, solange er keine
- Aenderungen am Binaerkodex des Programmes, dessen ASCII-Texten oder
- der Dokumentation vornimmt !
- Nur Aenderungen, die im Rahmen der Nutzung von Archivierungs- oder
- Komprimierungsprogrammen fuer AntiCicloVir entstehen, sind erlaubt !
- Auch nach Rueckgaengigmachung einer Aenderung darf AntiCicloVir
- nicht mehr verbreitet werden !
- Das Uebernehmen von Informationen oder gar ganzen Kapiteln aus
- der AntiCicloVir-Dokumentation ist ausdruecklich erlaubt, ja sogar
- erwuenscht, wenn es sich um die Beschreibung von AMIGA-Viren handelt.
- Allerdings muss dann immer eine Quellenangabe zu finden sein !
- Die Kopierrechte an AntiCicloVir sind sozusagen PD !
- Denn das Programm kann einzeln oder zusammen mit den beiden
- Dokumentationen in jeder PD-Serie und in jedem Diskettenmagazin
- erscheinen.
- Es darf auch auf jeder Diskette, beispielsweise als Aufruf von der
- `Startup-Sequence` , zum Schutz veroeffentlicht werden.
- AntiCicloVir darf entgeltlich oder unentgeltlich auf jeder Antivirus-
- diskette veroeffentlicht werden.
- Fuer moegliche Schaeden, die bei der Benutzung von AntiCicloVir,
- entweder direkt, durch fehlerhafte Befehle oder indirekt, durch
- das unvollstaendige Entfernen von schaedlichen AMIGA-Viren, ent-
- stehen, uebernehme ich KEINE Haftung !
- Ich moechte aber schon jetzt erwaehnen, dass direkte Schaeden durch
- AntiCicloVir ausgeschlossen sein sollten !!!
- AntiCicloVir erscheint bisher in folgenden PD-Serien:
-
- - AmigaLibraryDisks
- - Amiga Szene
- - FRANZ_PD
- - GPD
- - GSF_PD
- - Kick_PD
- - Schneider Verlag
- - TAIFUN
- - TIME
-
- An dieser Stelle möchte ich mich noch bei Michael Petrikowski von der PD-
- Serie Amiga Szene, für die freundliche Unterstützung, in meinem unermüdlichen
- Kampf gegen Programmierfehler in `AntiCicloVir`, bedanken !
- Die neuesten `AntiCicloVir`-Versionen können auch über Daniel Lars Reuß
- oder dem TPDS ( Jürgen Dieterich, Rehhaldenweg 156, 73614 Schorndorf )
- bezogen werden !
- Als Dank fuer Juergen Dieterich`s Bemuehungen, `AntiCicloVir` populaerer zu machen,
-
- habe ich mich entschlossen, an dieser Stelle einen kleinen Infotext ueber den
-
- TPDS zu veroeffentlichen:
-
-
-
- T h e P D - S w a p p e r s - I n f o - D i s k
- -----------------------------------------------------
-
- Lieber PD-Freund...
-
- Kennen Sie schon die "The PD-Swappers - Info-Disk"?
-
- Auf dieser Disk finden Sie topaktuelle PD-Listen von privaten PD-Initiativen,
- von Clubs und sonstigen PD-Freunden, die Ihre PD-Disks an interessierte
- Amiga-User weitergeben möchten.
-
- Wenn auch Sie im Besitz von PD-Disks sind (die Anzahl der Disks spielt dabei
- überhaupt keine Rolle) und diese an interessierte Amiga-User weitergeben
- möchten (entweder Verkauf zu günstigen Preisen oder Tausch), dann schicken Sie
- mir Ihre aktuelle PD-Liste zu (bitte als ASCII-Text auf einer 3,5"-Disk) und
- ich übernehme diese dann auf die "The PD-Swappers - Info-Disk". Wenn Sie
- Rückporto beilegen, kopiere ich Ihnen auf Ihre Disk die aktuelle
- "The PD-Swappers - Info-Disk" und schicke sie Ihnen zurück.
-
- Durch die Veröffentlichung Ihrer PD-Liste auf der "The PD-Swappers - Info-Disk"
- werden Sie automatisch Mitglied im "The PD-Swappers - Club", wodurch sich für
- Sie verschiedene Vorteile ergeben, z.B. können Sie auf der "The PD-Swappers -
- Info-Disk" kostenlose Kleinanzeigen veröffentlichen. Natürlich ist diese
- Mitgliedschaft für Sie kostenlos und unverbindlich. Und natürlich können Sie
- auch Mitglied werden, ohne Ihre PD-Liste für die "The PD-Swappers - Info-Disk"
- zu schicken, indem Sie mir einfach Ihren Namen und Ihre Adresse schreiben.
- Sofern Sie nichts dagegen haben, nehme ich Sie dann in die Mitglieder-Liste auf
- der "The PD-Swappers - Info-Disk" auf.
-
- Meine Adresse:
-
- Jürgen Dieterich
- Rehhaldenweg 156
- 73614 Schorndorf
-
- Wenn Sie mir Ihre PD-Liste für die "The PD-Swappers - Info-Disk" zuschicken,
- sollten Sie mir daraufhin regelmäßig (z.B. einmal im Monat) Ihre aktuelle
- PD-Liste schicken, damit auf der "The PD-Swappers - Info-Disk" keine
- veralteten PD-Listen enthalten sind.
-
- Erhältlich ist die "The PD-Swappers - Info-Disk" bei mir für 3 DM inkl.
- 3,5"-Disk und Versandkosten oder gegen Leerdisk und Rückporto.
-
-
-
-
-
-
-
- 2.0 Funktionen von AntiCicloVir Virus-Statikum V2.1
-
-
-
- Das Programm AntiCicloVir ist ein recht einfach zu bedienender
- Viruskiller.
- Es wird wie ein `CLI`-Befehl vom AmigaDOS aus gestartet.
- Das ist besonders für Anfänger nützlich, die keine Zeit haben
- komplizierte Viruskiller-Anleitungen durchzuarbeiten !
- Beim CLI-Start MUESSEN entweder der Pfadname des zu untersuchenden
- Verzeichnisses oder einer der folgenden drei CLI-Paramater angegeben
- werden:
-
- AntiCicloVir -m ;Hauptfunktion
- AntiCicloVir -n ;Hauptfunktion ohne Colorcycling
- AntiCicloVir -c ;Check-Option
-
- Die Option `-m` kommt dabei einem Workbench-Aufruf gleich !
- Es handelt sich dabei um die Hauptfunktion.
- In der Hauptfunktion zeigt `AntiCicloVir` den Zustand von 26 `strategisch
- wichtigen Systemvektoren` an, aus der `ExecBase`-Struktur, der `exec.library`,
- der `dos.library`, der `intuition.library` und dem `trackdisk.device`, sowie dem `keyboard.device` !
- Näheres dazu erfahren Sie im anschließendem Kapitel.
- Hiernach wird der Speicher auf AMIGA-Viren ueberprueft und eine
- Fensterleiste installiert.
- Nun koennen Bootsectoren & Disk-Validator jeder eingelegte Diskette
- ueberwacht werden, bis die Fensterleiste wieder geschlossen wird.
- Nach dem Schliessen der Fensterleiste wird noch eine eigene Reset-
- Routine installiert !
- Die Option `-n` hat die gleiche Wirkung wie `-m`, bloss das hierbei das
- Colorcycling zu Beginn entfaellt.
- Die Option `-c` eignet sich gut, fuer den Aufruf von der `Startup-
- Sequence` aus, da hierbei keine Fensterleiste und keine Reset-Routine
- installiert werden.
- Bei Angabe eines Pfadnamens anstelle einer Option, wird das ausge-
- waehlte Verzeichnis auf Link-, File- & Disk-Validator-Viren, sowie
- Trojanischen Pferden, Bomben & unsichtbaren Dateinamen untersucht.
- Der Viruskiller erkennt 126 Bootblock-Viren, 17 Linkviren, 28 Fileviren,
- 7 Disk-Validator-Viren, 14 Trojanische Pferde und 8 Bomben !
- Damit wären auch schon alle Aufgaben dieses Viruskillers im
- Wesentlichen genannt !
-
-
-
-
- 2.1 Virus-Check im Speicher
-
-
- Wenn Sie dieses Programm vom `CLI` aus unter Angabe der Option `-m` starten,
- dann wird nur ein Virus-Check im Speicher ausgeführt !
- Sobald ein Virus im Speicher entdeckt wurde, wird eine Warnung
- ausgegeben und das Virus automatisch gelöscht.
- Wenn Sie dieses Programm gestartet haben, verändern sich zuerst
- die Bildschirmfarben .
- Dies deutet immer daraufhin, daß das Programm aktiviert wurde und
- noch funktioniert.
- Hierauf erscheint die `System-Vektoren-Tabelle` !
- Im Fenstertitel wird die Versionsnr. des Betriebssystems Ihres Rechners
- angegeben, falls diese erkannt wurde !
- Da es immer mehr neue Betriebssysteme und AMIGA-Modelle gibt, wird dort in
- nicht wenigen Fällen `unknown KickStart` stehen ...
- Die Erkennung der Versionsnr. ist wichtig für`s Löschen von Viren aus dem
- Speicher !!!
- Ansonsten können Viren im Speicher zwar angezeigt, müßen aber in vielen
- Fällen durch einen Reset gelöscht werden.
- `AntiCicloVir` gibt Ihnen im Einzelfall die jeweilige Empfehlung aus !!!
- Diese Methode soll ein absturzsicheres Arbeiten auch mit ganz neuen Betriebs-
- systemen und AMIGA-Modellen gewährleisten !
- Nun zur Auswertung der `Systemvektoren-Tabelle` !
- Es werden 26 Adreßzeiger aus der `ExecBase`-Struktur, der `exec.library`,
- der `dos.library`, der `intuition.library` und dem `trackdisk.device`,
- sowie dem `keyboard.device` angezeigt.
- Das sind, die meiner Meinung nach, wichtigsten Vektoren !
- Hiermit lassen sich etwa 95% aller neuen Computerviren aufspüren !
-
- Kommen wir als erstes zur `ExecBase`-Struktur.
- Dies ist die Grundstruktur Ihres Rechners und beinhaltet zugleich auch die
- sieben wichtigsten Systemvektoren:
-
- - ColdCapture *
- - CoolCapture *
- - WarmCapture *
- - ChkSum
- - KickMemPtr *
- - KickTagPtr *
- - KickCheckSum *
- - RasterBeamInterrupt
-
- Hierbei handelt es sich um die Resetvektoren.
- So lange diese auf `$00000000` zeigen, kann sich kein resetfestes Programm
- im Speicher befinden !!!
- So ziemlich alle AMIGA-Viren, außer ein paar `File`- und `Linkviren` sind
- resetfest.
- Deshalb lassen sich AMIGA-Viren auch am leichtesten über diese Vektoren auf-
- spüren.
- Allerdings gibt es auch viele seriöse Programme, die resetfest sind !
-
- Die `Capture`-Vektoren dienen zum Einbinden von Routinen, die der AMIGA
- zwischen der Resetphase durchlaufen soll.
- Es handelt sich hierbei also nicht um vollständige Programme, sondern nur um
- Routinen, die während des `Reset`s einige `Job`s erledigen sollen.
- Viren benutzen sie, um in der Aufbauphase des System`s aktiv zu werden, damit
- sie ihren Speicherbereich sichern, weitere Vektoren verbiegen und ggf. einige
- Texte oder Grafiken zu diesem Zeitpunkt ausgeben können.
-
- Der ColdCapture *-Vektor wird relativ selten genutzt.
- Er wird am frühesten angesprungen.
- Zu diesem Zeitpunkt ist die `exec.library` noch nicht initialisiert, die
- Interrupt-Handler stehen noch nicht zur Verfügung, der `Stack` existiert noch
- nicht, weshalb keine Sprünge innerhalb einer `Reset`-Routine möglich sind -
- alles muß sequentiel abgearbeitet werden - und auf den Speicher kann auch
- noch nicht zugegriffen werden.
-
- CoolCapture * ist da für Virusprogrammierer weitaus interessanter und dem zu
- Folge wird dieser Resetvektor am meisten genutzt.
- Er wird später angesprungen als ColdCapture *, weshalb nun auch die `exec.library`,
- die `Interrupt`-Handler, der `Stack` und der Speicher zur Verfügung stehen.
- Deshalb sind innerhalb dieser `Reset`-Routine auch wieder Sprünge möglich !
- Die meisten Viren benutzen CoolCapture *
-
- WarmCapture * hingegen, hat keine praktische Bedeutung, da er nur bei einem
- Fehler beim Aufbau der `dos.library` angesprungen wird.
-
- In `ChkSum` steht immer eine Pruefsumme ueber den unteren Bereich der `ExecBase`-
- Struktur, welche beim Reset vom Betriebssystem ueberprueft wird !
- Ist diese Pruefsumme falsch, so wird die `ExecBase`-Struktur neu aufgebaut und
- alle `Capture`-Vektoren geloescht !
- Neue AMIGA-Viren koennen von vielen Viruskillern oft nicht komplett geloescht werden,
- da sie ueber eigene Interrupts staendig ihre Resetvektoren kontrollieren !
- Manche von ihnen vergessen jedoch die Pruefsumme in `ChkSum` ebenfalls zu ueberwachen,
- so dass hier durch ein Neuberechnen der `ChkSum` derartige AMIGA-Viren geloescht werden
- koennen !
-
- Schließlich gibt es noch eine zweite Art von `Reset`-Vektoren und das sind die
- `Resident-Pointer` oder auch `Kick-Pointer` genannt:
-
- - KickMemPtr *
- - KickTagPtr *
- - KickCheckSum *
-
- Diese Zeiger dienen zum Ablaufen eines richtigen `Reset`-Programmes, während der
- `Resetphase`.
- Programme , die über diese Zeiger angesprungen werden, haben weitaus mehr
- Zugriffsmöglichkeiten, als die `Reset`-Routinen, die über die `Capture`-Vektoren
- gestartet werden !
- Bis auf die `dos.library`, einigen `devices` und `resources`, kann hier schon
- ein großer Teil des Betriebssystems genutzt werden, da diese Zeiger so ziemlich
- zum Schluß der Aufbauphase angesprungen werden.
- AMIGA-Viren, die diese Zeiger benutzen, brauchen ihren Speicher nicht mehr extra
- zu sichern, sondern haben nur noch die übrigen Vektoren zu retten und können
- ansonsten Grafiken, Texte etc. ausgeben !
-
- Der KickMemPtr * zeigt dabei auf eine Speicherbelegungsliste ( `MemList`-Struktur ),
- die dafür sorgt, daß diese Speicherbereiche auch nach einem `Reset` nicht mehr
- überschrieben werden können.
- So lassen sich Betriebssystem-Erweiterungen oder hilfreiche, vielbenötigte,
- Nutzprogramme auch nach einem `Reset` erhalten und können später bei Bedarf
- aufgerufen werden.
- Doch aktiviert werden diese Programme nach dem `Reset` nicht !
- Dafür dient ein anderer Zeiger, namens KickTagPtr *!
- Wie der Name schon sagt, zeigt dieser auf einen Teil aus dieser `MemList`-Struktur,
- die nach dem `Reset` aufgerufen werden soll.
- Im Zeiger KickCheckSum erwartet das Betriebssystem eine Prüfsumme aus den Werten
- von KickMemPtr * und KickTagPtr *, welche durch die SumKickData ()-Routine be-
- rechnet werden kann.
-
- Kommen wir nun zum letzten wichtigen Vektoren aus der `ExecBase`-Struktur !
- Hierbei handelt es sich um den Rasterstrahl-Interrupt.
- In Interrupt-Vektoren stehen Adressen von Programmen, die immer zu bestimmten
- Ereignissen angesprungen werden sollen, da sie für`s System oder für ein
- Programm wichtige Aufgaben zu erfüllen haben.
- $90 wird 50 x in der Sekunde (!) angesprungen, immer dann, wenn der Rasterstrahl
- die Zeile Null Ihres Monitors/Fernsehers erreicht hat !
- Für AMIGA-Viren ist dies deshalb interessant, weil sie so permanent aktiviert
- werden und Gelegenheit haben ihre Systemvektoren zu überwachen, falls diese
- von einem anderen Programm ( Viruskiller/Virus ) gelöscht worden sind und diese
- neu setzen können !
-
- Kommen wir nun zur `exec.library` !
- Aus dieser Systembibliothek, zeigt `AntiCicloVir` die Einsprungsvektoren zu den
- folgenden neun System-Routinen an:
-
- - DoIO ()
- - Alert ()
- - AllocMem ()
- - FreeMem ()
- - PutMsg ()
- - OldOpenLibrary ()
- - OpenDevice ()
- - OpenLibrary ()
- - SumKickData ()
-
- Die DoIO ()-Routine wird vom Betriebssystem, sowie von Anwenderprogrammen
- gleichermaßen häufig benutzt.
- Über DoIO () kann indirekt die BeginIO ()-Routine aus den verschiedenen
- `devices` gestartet werden.
- Wie der Name schon sagt, dient diese Routine zum Starten von Eingabe/Ausgabe-
- Prozessen oder kurz I/O-Prozessen.
- Diese I/O-Prozesse bzw. Kommunikation mit der `Hardware` erledigt der Prozessor
- des AMIGA`s über sogen. `devices`.
- Für jedes Gerät, gibt es ein `device`:
- ... für das Laufwerk das `trackdisk.device`, für die Tastatur das `keyboard.device`
- etc ...
- Will man also ein Gerät ansprechen, so tut man das üblicherweise, über das ent-
- sprechende `device`.
- Dabei muß in einer sogen. `IORequest`-Struktur definiert werden, welche Aufgabe
- das angewählte `device` erledigen soll, nachdem es geöffnet wurde.
- Soll diese Aufgabe ( `IORequest`-Struktur ) nun ausgeführt werden, so muß diese
- mittels der Routine BeginIO () des jeweiliegen `devices` gestartet werden.
- Über die Routine DoIO () aus der `exec.library` kann man nun die BeginIO ()-
- Routine ansprechen.
- Für AMIGA-Viren ist dies insbesondere deshalb so interessant, weil das Betriebs-
- system die DoIO ()-Routine benutzt, um beim Einlegen oder `Booten` einer
- Diskette, mittels des `trackdisk.devices`, auf diese zu zugreifen !
- Ein Virus, das DoIO () verbiegt, wird somit immer aktiv, wenn von einer
- Diskette `gebootet`, `geladen` oder auf ihr geschrieben wird oder wenn einfach
- nur eine neue Diskette eingelegt wird ... ideal für `Bootblock`-Viren
- DoIO () sollte immer auf einen Wert von $FCxxxx zeigen !
-
- Die Routine Alert () dient zum Ausgeben eigener (?) `GURU`-Meldungen !
- Jedoch wird sie bisher kaum benutzt ...
- Trotzdem gibt es einige AMIGA-Viren, die den Vektor dieser Routine verbiegen.
-
-
- Die Routinen AllocMem () & FreeMem () dienen dem Anwender zur Speicherverwaltung !
- Die verschiedensten Anwendungsmoeglichkeiten sind hier denkbar.
- Mit der Routine AllocMem () wird ein Speicherbereich mit den vorgegebenen
- Attributen fuer die jeweilige Anwendung reserviert.
- Die Routine FreeMem () ist das Gegenstueck zur AllocMem ()-Routine und dient
- zum Freigeben eben dieser Speicherbereiche.
- Auch diese Vektoren werden zunehmend von Computerviren verbogen,
- da die Viren dadurch die Moeglichkeit haben haeufiger aktiviert zu werden !
- Also praktisch immer dann, wenn Speicherbereiche verwaltet werden muessen und
- das ist bei allen komplexeren Programmen der Fall !
-
-
- Die Routine PutMsg () dient zum Absenden von `Messages`.
- Auch der Vektor dieser Routine wird immer haeufiger von
- AMIGA-Viren verbogen !!!
-
- Die Routinen OpenLibrary () & OldOpenLibrary () gehören eigentlich zusammen.
- Sie werden immer dann angesprungen, wenn ein Programm eine Systembibliothek
- öffnet, um mit ihr arbeiten zu können.
- Zweckmäßigerweise geschieht dies immer beim Programmstart.
- Wenn Sie also ein Programm von der Diskette laden, dann werden, während das
- Laufwerk noch läuft, schon die ersten Systembibliotheken geöffnet !
- Wenn sich jetzt ein Virus auf die Diskette kopiert, dann würden Sie`s bestimmt
- nicht merken, oder ?
- Deshalb verbiegen `Link`- & `Fileviren` diese Vektoren auf ihre Adresse, um
- beim noch laufenden Laufwerk, sich unbemerkt auf die Diskette kopieren zu
- können.
- OldOpenLibrary () ist die Vorgängerin von OpenLibrary unter `KickStart V1.0`.
- Da es aber noch viele Programme gibt, die OldOpenLibrary () benutzen, wurde
- diese Routine unter allen neuen Betriebssystemen implementiert !
- Beide zeigen gewöhnlich auf `ROM`-Adressen.
-
- Die Routine OpenDevice () hat eine aehnliche Bedeutung wie OldOpenLibrary () &
- OpenLibrary () sie haben!
- Im Gegensatz zu diesen Routinen, dient OpenDevice () nicht zum Oeffnen von System-
- bibliotheken, sondern zum Oeffnen von `Geraeten` wie beispielsweise dem `trackdisk.device`.
- Dieser Vektor ist besonders fuer `Bootblock`-Viren interessant,
- da sie so Gelegenheit finden, beim Ansteuern des `trackdisk.devices` aktiviert
- zu werden !
-
-
- Als Letztes bleibt noch, die schon vorhin erwähnte, Routine SumKickData ()
- Diese dient zum Berechnen der KickCheckSum * für `Reset`-Programme.
- Der aus der Asche auferstandene Phoenix, stand einigen Virusprogrammierern,
- bei der Entdeckung dieses `Gag`s, wohl Pate.
- Wenn nämlich ein anderes Virus oder ein Viruskiller ein derartiges Virus ge-
- löscht hat, um anschließend sich selbst zu installieren, wobei es ja, mittels
- der SumKickData ()-Routine , seine KickCheckSum * berechnen muß, dann erweckt
- es unwissend seinen Vorgänger zu neuenm Leben und haucht damit sein eigenes
- aus ...
- SumKickData () sollte immer auf eine `ROM`-Adresse im Bereich von $FCxxxx
- zeigen !
-
- So und nun noch einmal zum `trackdisk.device` !
- Welche Bewandniss es damit auf sich hat, habe ich ja vorhin schon erwähnt ...
- BeginIO () dient immer dazu, um einen `I/O`-Prozess des `trackdisk.device`
- zu starten.
- Vor allem `Bootblock`-Viren nutzen diesen Vektor gerne ...
- Jedesmal, wenn das Laufwerk über`s `trackdisk.device` angesprochen wird, kann
- ein solches Virus sich aktivieren und nun die Diskette infizieren - also beim
- `Booten`, Laden, Abspeichern oder beim Diskettenwechsel !
- Die Routine Close () aus dem `trackdisk.device` dient zum Beenden eines `I/O`-
- Prozesses und wird neuerdings auch von AMIGA-Viren verbogen !
-
- An dieser Stelle moechte ich auch gleich die Bedeutung des Vektoren BeginIO ()
- aus dem `keyboard.device` erwaehnen !
- Das `keyboard.device` dient dem System zur Zusammenarbeit des Prozessors
- mit dem Eingabegeraet `Tastatur`.
- Es ermoeglicht das direkte Einlesen von Tastatur-Daten in eigene Programme.
- Ausserdem soll es moeglich sein, mithilfe dieses `devices` eigene Reset-Routinen
- in`s System einzubinden - ein Leckerbissen fuer Virusprogrammierer !!!
- Und es gibt auch schon einige AMIGA-Viren, die den BeginIO ()-Vektoren dieses
- `devices` verbiegen !
-
-
- Kommen wir nun zur `dos.library` !
- Hier interessieren uns vier Vektoren:
-
- - Open ()
- - Write ()
- - Lock ()
- - LoadSeg ()
-
- Die Routine Open () wird von Programmen immer dann angesteuert, wenn irgend-
- etwas geöffnet werden soll.
- `File`- & `Linkviren` gehen hierbei von Dateien aus.
- Wenn also ein Programm eine Datei öffnet, um aus ihr etwas zu lesen oder in ihr
- etwas zu schreiben, dann kann ein `Linkvirus` sich selbst gleich mit hinein-
- schreiben ...
- Allerdings können mit Open () auch viele andere Eingabe/Ausgabe-Kanäle geöffnet
- werden: Dateien, DOS-Fenster, Druckerausgabe etc ...
-
- Sehr wichtig fuer AMIGA-Viren ist die Routine Write (), denn sonst koennten sich
- File- & Linkviren ja nicht auf Diskette abspeichern !
- Neu ist allerdings, dass derartige Viren selbst diesen Vektor verbiegen ...
- Wie bereits erwaehnt, dient diese Routine zum Abspeichern von Dateien auf Diskette.
- Allerdings koennen mit ihr auch Texte in DOS-Fenster geschrieben, ueber Drucker
- ausgegeben oder ueber Modems gesendet werden.
- File- & Linkviren dient das Verbiegen dieses Vektors wohl zur eigenen Vermehrung !
-
-
- Mit der Routine Lock () arbeitet vor allem auch das AmigaDOS sehr intensiv.
- Immer dann, wenn Dateien angewaehlt, Unterverzeichnisse geoeffnet werden,
- geschieht dies ueber einen sogen. Lock !
- Derartige `Lock`s sind sozusagen Schloesser, mit denen sich ein Programm den
- Zugriff auf eine Datei oder ein Verzeichnis sichern kann.
- Die Workbench z.B. verwendet derartige `Lock`s.
- Besorgt werden diese `Lock`s immer ueber die DOS-Routine Lock () !
- AMIGA-Viren, die diesen Vektoren verbiegen, werden sehr haeufig aktiv !
- So reicht z.B. schon das Einlegen einer Diskette von der Workbench aus aus,
- um diese mit einem Virus, welches diesen Vektoren verbiegt zu infizieren !
-
- Diesen Vektoren verbiegen AMIGA-Viren also, um sich selbst weiter zu kopieren !
-
-
- Die Routine LoadSeg () wird i.d.R. von interaktiven Benutzeroberflaechen, wie z.B.
- der Workbench genutzt, um ausfuehrbare Programmdateien in einen Datenpuffer zu
- laden, damit sie später als Programme gestartet werden sollen.
- Wie dies im Einzelnen funktioniert, soll uns an dieser Stelle nicht interessieren
- - nur die Tatsache, daß beim Aufrufen eines Programmes von der `WB` oder
- durch ein anderes, dieser Vektor angelaufen wird !
- Dies ist für `File`- & `Linkviren` sehr interessant, da sie jedesmal, wenn ein
- Programm gestartet wird, sich unauffällig auf die Diskette kopieren und dieses
- Programm möglicherweise gleich mitinfizieren können !
- Es gibt neuerdings auch einige Nutzprogramme, die diesen Vektor auf ihre
- eigene Adresse verbiegen.
-
- Ganz zum Schluß kommen wir noch zur `intuition.library`.
- Aus dieser Systembibliothek interessieren nur der OpenWindow ()-Vektor
- und der DisplayAlert ()-Vektor.
- Die Routine OpenWindow () dient zum Öffnen eines `Intuition`-Fensters und wird vom
- Betriebssystem, wie Anwenderprogrammen gleichermaßen benutzt.
- Er ist vor allem für einige `Fileviren` interessant, da diese sich nur beim
- `Booten` einer Diskette, zu einem bestimmten Zeitpunkt, auf diese kopieren
- können !
- Deshalb hilft auch hier das Betriebssystem weiter ...
- Jedesmal nach dem `Boot`-Vorgang, - vorm Abarbeiten der `s/startup-sequence` -
- wird das `AmigaDOS`-Fenster für`s `CLI` geöffnet.
- Dabei benutzt das Betriebssystem die OpenWindow ()-Routine.
- Derartige `Fileviren` verbiegen diesen Vektor und werden so zur rechten Zeit
- aktiv und können sich vermehren oder einen Text bzw. Grafik ausgeben !
- Allerdings ist es bei all` den AMIGA-Viren aus meiner Sammlung so, daß sie
- diesen Vektor kurz nach dem Benutzen wieder auf die `ROM`-Adresse setzen, so
- daß man mit `AntiCicloVir`, hier keinen verbogenen Vektor mehr wird erkennen
- können !
-
- Die Routine DisplayAlert (), dient zum Ausgeben von sogen. `Alert`-Meldungen.
- Manche Viruskiller benutzen sie, um den Anwender, so vor einem Virus im System
- zu warnen.
- AMIGA-Viren, die diesen Vektoren verbiegen, wollen den Viruskiller austricksen,
- indem sie sich nach der Ausgabe der `Alert`-Meldung erneut installieren ...
-
-
-
- Anschließend wird ein Virus-Check des Speichers durchgeführt.
- Aber auch dann, wenn kein Virus im Speicher gefunden wurde,
- ueberwacht `AntiCicloVir` automatisch die Vektoren ColdCapture *,
- CoolCapture * und KickTagPtr *.
- Ueber einen Requester koennen Sie dann selbst entscheiden, ob `AntiCicloVir`, den
- verbogenen Vektoren wieder zuruecksetzen soll.
- Das automatische Loeschen dieser Vektoren hat sich als stoerend erwiesen,
- da es immer mehr WICHTIGE Programme gibt ( `SetPatch` unter KS1.3) oder resetfeste
- `RAM-Disks`, die diese Vektoren benuzten.
- Wenn Sie dieses Farbsignal lästig finden oder wenn es unter Ihrem
- Betriebssystem ( `KickStart 2.04` ??? ) evtl. einen Systemabsturz
- verursacht, dann können Sie als Option `-n` beim Aufrufen angeben,
- damit das Farbsignal unterdrückt wird !
- Mit der Option `-c` wird bewirkt, daß keine Fensterleiste mehr erscheint
- und keine Resetroutine mehr installiert wird !
- Nachdem der Virus-Check beendet worden ist, werden Sie nach einem
- erneuten Start von `AntiCicloVir` feststellen, daß der CoolCapture *-
- Vektor verbogen worden ist !
- Dabei handelt es sich nicht etwa um ein neues Virus, sondern um die
- Reset-Routine von `AntiCicloVir` !
- Diese Routine steht immer ab $7E000 über CoolCapture * resetfest im
- Speicher und erzeugt nach dem Reset ein Farbsignal !
- Außerdem wird SumKickData () auf $7E224 verbogen !
- Solange dieses Farbsignal erscheint, bedeutet dies, daß `AntiCicloVir`
- resetfest im Speicher steht und keine weitere Reset-Routine ( Virus )
- mehr aktiv ist !
- Diese Routine überwacht nach jedem Reset die System-Vektoren auf
- Veränderungen.
- Zeigt ein Vektor nicht mehr auf null oder CoolCapture * nicht mehr
- auf $7E000, so werden die Vektoren gelöscht und ein zweiter Reset
- wird ausgeführt !
- Erscheint das Farbsignal nach dem Reset nicht mehr, obwohl `AntiCicloVir`
- ordnungsgemäß installiert wurde, so bedeutet dies, daß sich
- möglicherweise ein Virus im Speicher befindet und `AntiCicloVir` ge-
- löscht hat !
- Wird kurz nach dem Farbsignal ein Reset von Seiten der Reset-Routine
- ausgeführt, so deutet dies auf die Anwesenheit eines Viruses hin, welches
- jedoch erfolgreich von `AntiCicloVir` gelöscht wurde.
- Da die Reset-Routine die Viren nicht namentlich erkennt, sollten Sie
- anschließend mit dem Hauptprogramm, von der Diskette aus, den Speicher
- auf Viren untersuchen !
- Denn `AntiCicloVir` kann auch noch einige Viren im Speicher erkennen,
- nachdem sie gelöscht wurden.
- Wenn Sie während des `Reset` die linke Maustaste gedrückt halten - bis zum
- Beenden des Farbsignals - dann löscht sich die `Reset`-Routine selbst !
- Bevor Sie unter AmigaDOS mit Files arbeiten oder mit einem Link-
- viruskiller Disketten durchchecken, sollten Sie vorher immer den
- Speicher überprüfen !
- Denn manche Linkviren können sich schon beim Diskettenwechsel
- weiterkopieren, während Sie Ihre Disketten auf Linkviren checken.
- Es gibt einige Linkviruskiller, die Viren nur auf der Disk als
- File erkennen können, aber gerade dies hat den Nachteil, daß diese
- Viren nicht effektiv entfernt werden können.
- Denn stellen Sie sich beispielsweise vor, daß Sie gerade Ihre komplette
- Disketten-Sammlung auf Linkviren mit einem derartigen Viruskiller
- überprüfen, während sich ein Linkvirus im Speicher befindet !!
- Das Ergebnis wäre, daß womöglich nun Ihre komplette Disketten-
- Sammlung mit Linkviren verseucht wäre !!
- Der sicherste Schutz gegen Linkviren bleibt jedoch immer noch
- der Schreibschutz !
- Denn es wird nie einen Viruskiller geben, der alle aktuellen Viren
- erkennen kann.
- Dafür gibt es einfach zu viele Virus-Programmierer !
-
-
-
-
-
- 2.2 Bootsectortest
-
- An den Bootsectortest gelangen Sie ueber die Hauptfunktion, welche
- durch die Option `-m` erreicht werden kann !
- Zuerst wird der bereits beschriebene Speichertest durchgefuehrt und
- hiernach eine Fensterleiste installiert.
- Nun wird jede Diskette, die in`s interne Laufwerk eingelegt wird,
- automatisch auf Bootblock-Viren geprueft !
- Die Betonung liegt auf `INTERNES LAUFWERK` !!!
- Disketten in anderen Laufwerk koennen noch nicht geprueft werden !!!
- Dabei werden die Boot-Sektoren auf bekannte Bootblock-Viren hin ueber-
- prueft.
- Wurde ein bekanntes Bootblock-Virus entdeckt, bietet AntiCicloVir ihnen
- die Moeglichkeit einen `AntiCicloVir-Standard-Bootblock` zu installieren.
- Achten Sie bitte darauf, dass der Schreibschutz entfernt wurde, da sonst
- das Virus nicht geloescht werden kann !!!
- Um den Bootsectortest und damit auch AntiCicloVir zu beenden, brauchen
- Sie nur das Schliessymbol aus der Fensterleiste anzuklicken.
-
-
-
-
-
-
-
-
-
-
- 2.3 Disk-Validatortest
-
- Hierbei handelt es sich um einen Virustest, der speziell zur Bekaempfung
- von Disk-Validator-Viren bestimmt ist.
- Sie erreichen diesen Test ebenfalls ueber die Hauptfunktion von
- AntiCicloVir, indem Sie beim Aufruf des Programmes die Option `-m`
- angeben oder es einfach von der Workbench aus starten.
- Zuerst wird der bereits beschriebene Speichertest durchgefuehrt und
- anschliessend eine Fensterleiste installiert.
- Der Disk-Validatortest laeuft nun parallel zum Bootectortest !
- D.h., wenn Sie eine neue Diskette, bei installierter Fensterleiste,
- in`s Laufwerk legen, so wird diese automatisch auf Disk-Validator-
- Viren geprueft.
- Im Gegensatz zum Bootsectortest, koennen Disk-Validator-Viren in jedem
- angeschlossenen Laufwerk, aufgespuert werden !!!
- Zur Zeit werden die Disk-Validator-Viren `Return of the Lamer Exterminator`,
- `SADDAM` & `DiskVal1234` erkannt.
- Zur genaueren Information lesen Sie bitte im Kapitel `Virus-Definitionen`
- und im Anhang A dieser Dokumentation nach !
- Die Disk-Validator-Viren koennen dann sofort von der Diskette entfernt
- werden ...
- ALLERDINGS kopieren sie sich ja schon beim Einlegen einer infizierten
- Diskette in den Speicher und koennen hiernach neue Disketten infizieren.
- Deshalb sollten Sie, nachdem Sie mit dem Disk-Validatortest ein Virus von
- der Diskette geloescht haben, AntiCicloVir anschliessend erneut starten,
- um den Speichertest zu starten und das Virus zu entfernen.
- Ich bin sehr zuversichtlich, dass mit diesem Test ALLE Disk-Validator-Viren
- aufgespuert werden koennen !!!
- Denn alle AMIGA-Viren dieser Spezies sind miteinander verwandt und neuere
- stellen oft nur eine simple ASCII-Text-Mutation dar und werden deshalb
- entweder als `Return of the Lamer Exterminator`- oder `SADDAM`-Virus
- erkannt !
- Im uebrigen funktionieren die Disk-Validator-Viren auch nur noch mit
- den Betriebssystemen KickStart V1.2/1.3 !
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 2.4 Dateitest
-
-
- Wenn Sie Ihre Disketten auf Linkviren checken wollen, dann müßen
- Sie zusätzlich zum Namen, unter dem Sie `AntiCicloVir` vom `CLI`
- aus aufrufen, auch noch das entsprechende Laufwerk oder Verzeichnis
- angeben !
- Dabei erscheint im Übrigen kein Grafik-Signal mehr, sondern die
- entsprechende Diskette wird sofort gecheckt !
- Doch auch bei dieser Funktion wird vorher noch der Speicher auf
- Linkviren überprüft !
- Wird ein Virus auf der Diskette gefunden, dann wird eine Warnung
- ausgegeben und das Virus gelöscht !
- Um Verzeichnisse zu Checken, rufen Sie `AntiCicloVir` vom `CLI` aus auf und geben
- anstelle einer Option einen Pfadnamen für das Verzeichnis an !
- Wenn hinter `AntiCicloVir` keine Option steht, dann wird jedes andere Zeichen
- als Verzeichnisname interpretiert !!!
- Beispielsweise: `AntiCicloVir Df0:`
- Einzelne Dateien können nicht unterucht werden, sondern immer nur ganze
- Verzeichnisse !!!
- Deshalb sollten Sie NIE (!) einen Dateinamen angeben !
- Hiernach werden die Verzeichniseinträge aufgelistet und auf Virenbefall über-
- prüft.
- Im Normalfall steht dann hinter jeder Datei: `OK` ( = kein Virus gefunden ) !
- Ausserdem werden zu jedem Eintrag auch noch die Zustaende der `Protection-Bits`
- angezeigt, welche Auskunft darueber geben, ob die Datei gegen entsprechende
- Zugriffe geschuetzt ist !
- Dabei stehen folgende Zeichen fuer:
-
- r = nicht lesegeschuetzt
- w = nicht schreibgeschuetzt
- e = Programm darf ausgefuehrt werden
- d = nicht loeschgeschuetzt
-
- Neuerdings gibt es naemlich Fileviren, die sich mit gesetzten `Protection-Bits`
- abspeichern und nur durch Loeschen dieser Bits entfernt werden koennen.
- Aber natuerlich entfernt AntiCicloVir automatisch und ohne Rueckfrage
- diese Bits, wenn Sie sich fuer`s Loeschen eines Fileviruses entschieden
- haben !
- Hinter diesem Eintrag gibt AntiCicloVir schliesslich noch die Dateilaenge,
- sowie einen moeglichen Kommentar zur untersuchten Datei an.
- Ausserdem wird geprueft, ob es sich bei der Datei, um ein ausfuehrbres
- Programm oder nur um Daten handelt.
- Denn Linkviren koennen sich nur von ausfuehrbaren Programmen aus auf-
- rufen !
-
- AntiCicloVir untersucht nun auch die Dateinamen des angewaehlten Verzeichnisses
- nach unsichtbaren Zeichen und gibt ggf. eine Wanung aus !
- Ca. 90 % der Fileviren kopieren sich als unsichtbare Datei weiter.
- Mit dieser Routine koennen also ca. 90 % der zukuenftigen Fileviren
- enttarnt werden !!!
- AntiCicloVir fragt Sie nun, ob es die Datei umbenennen soll.
- Haben Sie sich dafuer entschieden, so wird die unsichtbare Datei in
- `CRITICAL-Virus` umbenannt und sie koennen sie loeschen, sie sich an-
- schauen oder auf eine andere Diskette abspeichern ...
- Natuerlich wuerde ich mich freuen, wenn Sie mir dieses vermeintlich neue
- Filevirus zusenden wuerden !
-
-
-
-
-
-
-
-
-
- 3.0 Benutzung von AntiCicloVir V2.1
-
- Sie sollten sich AntiCicloVir auf jeder Diskette installieren, von der
- aus sie haeufig booten.
- Kopieren Sie sich dazu AntiCicloVir in`s Unterverzeichnis `c` und tragen
- Sie den Aufruf `:c/AntiCicloVir -c` in die `Startup-Sequence`, der
- jeweiligen Diskette, ein !
- Die Option `-c` bewirkt nun, dass AntiCicloVir einen Speichertest durch-
- fuehrt ohne dabei eine Fensterleiste zu installieren, so dass es nach dem
- Test in der `Startup-Sequence` gleich weiter geht.
- Durch diesen Test koennen Sie immer versichert sein, das keines der
- in dieser Dokumentation erwaehnten AMIGA-Viren, sich im Speicher befindet.
- Die Systemvektorentabelle gibt Ihnen 95 %ige Sicherheit, falls Sie ueber
- genuegend Kenntnisse verfuegen, sie auszuwerten !
- Allerdings werden die Resetvektoren ColdCapture, CoolCapture & KickTagPointer
- auch eigenstaendig von AntiCicloVir ueberwacht !
- Um sicher zu sein, dass sich keine AMIGA-Viren in Ihr System einschleichen
- koennen, sollten Sie natuerlich auch Disketten-Neuzugaenge mit AntiCicloVir
- ueberwachen !
- Benuzten Sie dazu den Bootsector- & Disk-Validatortest !
- Diese Tests erreichen Sie ueber die Hauptfunktion, indem Sie AntiCicloVir
- mit der Option `-m` oder ueber die Workbench starten.
- Legen Sie nun bei installierter Fensterleiste jede zu untersuchende
- Diskette in`s INTERNE Laufwerk ein !
- Abschliessend ist es noch anzuraten, die Diskette, auf die immer
- haeufiger vorkommenden Link-, & Fileviren zu untersuchen !
- Gehen Sie dazu in`s `CLI` oder die `Shell` und starten AntiCicloVir
- mit dem Pfadnamen, fuer die zu untersuchende Diskette !
- Neben dem Hauptverzeichnis sollten Sie dann auch noch die Unterverzeichnisse
- `c`, `l` & `libs` auf Link-, & Fileviren testen.
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 4.0 Programminformationen
-
- Natürlich bin ich immer an neuen AMIGA-Viren interessiert !
- Sollten Sie selbst neue Viren haben, dann können Sie sie an meine
- Adresse mit einem entsprechenden Vermerk gekennzeichnet schicken !
- Ich werde Ihnen dann die neueste Version von `AntiCicloVir` zuschicken
- und Sie in meiner `Dokumentation` erwähnen !
- Ich möchte noch einmal darauf hinweisen, daß ich für die volle Fehler-
- freiheit von `AntiCicloVir` nicht garantieren kann.
- Allerdings habe ich unzählige Male alle Routinen in verschiedensten
- Situationen getestet und mir ist nie ein Fehler aufgefallen !
- AntiCicloVir wurde mit dem `masterseka v1.51` in ASSEMBLER geschrieben und müßte unter
- allen gängigen `KickStart`s laufen.
- Es werden keine bestimmten System-Bibliotheks-Versionen beansprucht
- und das Programm benötigt auch keine festen ROM-Adressen !
- Ich habe dieses Programm extra so programmiert, daß es unter allen
- gängigen und hoffentlich auch zukünftigen KickStart-Versionen
- funktionieren müßte !
- Getestet wird AntiCicloVir unter KickStart V1.2, V2.04 & OS3.0!
- Auch mit KickStart V1.3 sollte es voll zusammenarbeiten !
- Ausser unter KickStart V1.0 muesste AntiCicloVir jedoch mit allen
- Betriebsssystemsversionen zusammenarbeiten ...
- Nur die ROM-Adressen koennen, unter noch unbekannten KickStart-Versionen
- ,nicht zurueckgesetzt werden, so dass AMIGA-Viren im Speicher nur ange-
- zeigt werden oder durch einen Reset geloescht werden koennen.
- AntiCicloVir gibt Ihnen dann in jedem Einzelfall die entsprechenden
- Hinweise aus, was zu tun ist.
-
- Das Programm benötigt die Datenregister : d0-d7
- " " " " Adressregister: a0--a6
- Das Programm benötigt die
- Systembibliotheken: `exec.library ( keine Version bevorzugt. )
- `dos.library` ( keine Version bevorzugt )
- " " " " `intuition.library` ( keine Version bevorzugt )
- Geraetetreiber : `trackdisk.device`
-
- Bibliotheksfunktionen: AddPort ()
- AllocAbs ()
- AllocMem ()
- AllocSignal ()
- AutoRequest ()
- Close ()
- CloseDevice ()
- CloseLibrary ()
- CloseWindow ()
- CopyMem ()
- CurrentDir ()
- Delay ()
- DeleteFile ()
- DoIO ()
- Examine ()
- ExNext ()
- FreeMem ()
- FreeSignal ()
- FindSignal ()
- FindTask ()
- GetMsg ()
- Lock ()
- Open ()
- OpenDevice ()
- OpenLibrary ()
- OpenWindow ()
- Read ()
- RemPort ()
- Rename ()
- SetProtection ()
- UnLock ()
- WaitIO ()
- WaitPort ()
- Write ()
-
-
- In dieser Version wurde AntiCicloVir noch einmal ueberarbeitet und der
- gesamte Quelltext optimiert.
- Ein Fehler in der Dateitest-Routine, der noch unter V2.0 dazu fuehren
- konnte, dass AntiCicloVir, beim Testen von nicht ausfuehrbaren Dateien,
- `haengen blieb`, wurde behoben.
- Ebenfalls korrigiert wurde der Ruecksprung aus der Boot-Sektor-Lese-Routine
- infolge Speichermangels, der noch unter der V2.0 zum Systemabsturz fuehrte.
- Ausserdem wurde eine Boot-Sektor-Schreib-Routine integriert, die nun auch
- das Loeschen von Bootblock-Viren erlaubt !
- Weitere Korrekturen fanden an einer fehlerhaften Installationsroutine fuer
- eine Interrupt-Struktur zum Loeschen von Viren statt, welche unter der V2.0
- evenfalls zum Systemabsturz fuehrte.
- Mittlerweile werden auch die Resident-Pointer richtig zurueckgesetzt und
- nicht nur einfach geloescht, wie bisher !
- Die ROM-Erkennung wurde auf die Betriebssysteme `KickStart V1.4 & V2.0`
- ausgedehnt, sowie saemtliche OS3.0 ROM-Adressen uebernommen ...
- Mittlerweile ueberschreibt AntiCicloVir die `Startup-Sequence` auch nicht
- mehr mit einem eigenen ASCII-Text, was heissen soll, dass Sie nach dem
- Loeschen eines `Fileviruses`, dieses selbst erledigen muessen !
- Dass Ueberschreiben der ersten Zeilen der `Startup-Sequence` hatte sich
- eher als laestig & schaedlich erwiesen, denn als sinnvoll !
- Und natuerlich werden wieder jede Menge neue AMIGA-Viren erkannt !!!
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 5.0 Virus-Definitionen
-
- An dieser Stelle möchte ich ( vor allem für Anfänger ) noch einmal kurz be-
- schreiben was Computerviren eigentlich genau sind, welche Kriterien erfüllt
- sein müßen, damit wir von einem Computervirus sprechen können und welche Arten
- es momentan gibt !
- Man definiert ein Computervirus eigentlich als ein Programm, welches folgende
- Eigenschaften erfüllt:
-
- 1. Reproduktionsfähigkeit
- 2. Funktionalität
-
- Die Reproduktionsfähigkeit ist eigentlich die wichtigste Eigenschaft, die für
- sich allein schon ausreicht, um von einem Computervirus sprechen zu können.
- Ein Programm, das sich selbst weiterkopiert ist in jedem Falle ein Virus.
- Man hat die Bezeichnung `Virus` aus der Biologie übernommen, wo ja ebenfalls
- kleinste Eiweiß-Moleküle ihren Wirtorganismen nicht selten arg beisetzen.
- ( Virus lat. = Gift )
- Bei der Funktionalität handelt es sich um die spezifische Eigenschaft eines
- Viruses.
- Dies können Textausgaben, Grafiken, Störungen, Systemabstürze, Datenverluste
- ja sogar in einigen wenigen Fällen `Hardware`-Schäden sein.
- Man könnte sagen, daß der Teil eines Viruses, der für die Reproduktions-
- fähigkeit sorgt, sozusagen der Informationsträger ist und die Eigenschaft,
- die Information, die der Virusprogrammierer uns so zukommen lassen möchte.
- Und dies können eben Grüße an bestimmte Personen oder Gruppen sein oder eben
- als Ausdruck von Zerstörungswut: `Software`-Schäden !
- Man muß aber auch noch erwähnen, daß zu der gewollten Funktionalität eine un-
- gewollte kommen kann, die durch Programmierfehler entsteht.
- Diese macht Viren ebenfalls gefährlich !!!
-
- Sie werden vielleicht bemerkt haben, daß in meiner Sammlung einige Viren nicht
- vorhanden sind, die schon fast jeder andere Antivirus-Programmierer besitzt.
- Dabei handelt es sich i.d.R. um sogen. `Möchtegern`-Viren, die von Anfängern
- programmiert worden sind.
- Diese Programme bringen es meistens nicht weiter als bis zum `GURU` und sind
- deshalb nicht gefährlicher als ein fehlerhaftes PD-Programm ...
-
-
-
-
-
-
- 1.0 `Bootblock`-Viren
-
- Der `Bootblock` des AMIGA`s war eigentlich für spezielle Laderoutinen oder
- `Intro`s gedacht, wurde jedoch das erste Opfer der Virusprogrammierer.
- Das `SCA`-Virus war das erste seiner Art, welches auf dem AMIGA erschien.
- Die Blöcke 0 und 1 auf der äußeren Spur einer Diskette stellen den `Bootblock`
- dar.
- In diesem erwartet das Betriebssystem die Kennung `DOS0`, eine Prüfsumme (
- die `BootCheckSum` ), einen Zeiger auf den `Rootblock`, eine Routine zum
- Initialisieren der `dos.library` und evtl. ein ausführbares Programm.
- Jedesmal wenn Sie nach einem `Reset` eine Diskette einlegen, wird ein der-
- artiges Programm im `Bootblock` gestartet - also eine ideale Bedingung für
- Viren.
- Diese `Bootblock`-Viren brauchen sich, nach dem Durchführen der `Boot`-Prozedur
- nur noch in den Speicher zu kopieren und zu installieren und zu warten
- bis sie dort aktiviert werden ...
- Die meisten AMIGA-Viren sind `Bootblock`-Viren !
-
-
-
-
-
-
-
-
- 2.0 `File`-Viren
-
- Die `Fileviren` sind die am leichtesten zu programmierende Virusart.
- Sie stehen wie ein normales Programm auf der Diskette und sind durch den
- Aufruf ihres Namens ausführbar.
- Das erste `Filevirus`, war das `BGS 9`-Virus, welches die `Startup-Sequence`
- nach dem ersten ausführbaren Programm durchsucht, es unter einem unsichtbaren
- Namen im Verzeichnis `DEVS:` abspeichert und sich selbst anstelle des ersten
- Programmes kopiert !
- Nach jedem Abarbeiten der `Startup-Sequence` wird als erstes das `BGS 9`-Virus
- aktiv und läßt das Original-Programm ausführen.
- Diese Methode hat sich allerdings nicht durchsetzen können ...
- Beliebter ist folgendes Prinzip !
- Das Virus kopiert sich unter einem unsichtbaren Namen oder einem Tarnnamen
- auf die Diskette und trägt diesen in die `Startup-Sequence` ein.
- Nach jedem Abarbeiten der `Startup-Sequence` wird es aktiv und kopiert sich in den
- Speicher und installiert sich im System !
-
-
-
-
-
-
-
-
-
-
-
- 3.0 `Link`-Viren
-
- Das erste `Linkvirus` war das `IRQ`-Virus !
- Lange Zeit gab es wenige `Linkviren`, da sie als schwer programmierbar galten.
- Ein `Linkvirus` befällt immer ein Original-Programm und verlängert es um seinen
- eigenen Code.
- Das `IRQ`-Virus beispielsweise sucht in der `Startup-Sequence` nach dem ersten
- ausführbaren Programm und infiziert es, ansonsten infiziert es den `CLI`-Befehl
- `DIR` !
- Das Infizieren ist die schwierigste Phase !
- Eine Programmdatei besteht immer aus mindestens einem `Hunk` ( Brocken/Paket ).
- Diese `Hunk`s sind die eigentlichen Programme und werden erst beim `Linken`
- ( verbinden ) zu einer Programmdatei erstellt.
- Wenn Sie z. B. mit einem Compiler mehrere Programme und `Include`-Dateien zu
- einem ausführbaren Programm machen wollen, dann müßen diese von einem `Linker`
- verbunden werden.
- So ein Verbund ist eine Programmdatei, in der die einzelnen Programme in
- Form von `Hunk`s enthalten sind.
- Diese `Hunk`s müßen natürlich noch durch eine Struktur organisiert werden und
- das ist der `Hunk-Header` oder die `Hunk-Table` !
- In dieser Tabelle steht, daß es sich um eine ausführbare Programmdatei handelt,
- die Anzahl der `Hunk`s, deren Längen, evtl. Namen, `Reloc`-Werte für die Adreß-
- korrektur im Speicher etc ...
- Ein `Linkvirus` vom Type `IRQ` kopiert sich selbst als zusätzlicher `Hunk`
- in diese Programmdatei und führt die Berechnung sämtlicher o.g. Werte durch,
- was relativ kompliziert ist ...
- Doch mit dem Auftauchen von `Linkviren` wie `Golden Rider` oder `LZ`, hat sich
- einiges geändert !
- Diese `Linkviren` kopieren sich an das Ende eines `Hunk`s aus einer Programm-
- datei und brauchen so nur ihre Länge, zu der des Original-`Hunk`s zu addieren.
- Also eine weitaus einfacherer Berechnungsmethode ...
- Deshalb ist die Zahl der `Linkviren` in letzter Zeit wieder am Zunehmen ...
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 4.0 `Disk-Validator`-Viren
-
- Eine Besonderheit des AMIGA`s stellen die `Disk-Validator`-Viren dar, da sie
- eine Eigenart dieses Betriebssystems ausnutzten, um sich zu vermehren.
- Das erste `Disk-Validator`-Virus war `Return of the Lamer Exterminator` !
- Nun aber zur Problematik dieser Virusart !
- Wenn Informationen auf Disketten abgespeichert werden sollen, dann geschieht
- dies zweckmäßigerweise in Form von Datenblöcken.
- Beim AMIGA werden die Datenblöcke durch noch weitere Blöcke, die nur Disketten-
- Interne Informationen enthalten, verwaltet.
- Dabei stehen im sogen. `BitMapBlock` oder `BAM` ( `Block Allocation Map` )
- die Adressen der belegten und freien Datenblöcke !
- Dies ist für`s Betriebssystem wichtig, da es sonst beim Abspeichern von Daten
- auf Diskette nicht wüßte, wo noch Platz ist und welche Blöcke schon belegt
- sind !
- Ist dieser `BitMapBlock` ungültig oder unauffindbar, so hat die Diskette einen
- `Disk-Validating Error` und es können keine Informationen auf ihr mehr abge-
- speichert, wohl aber von ihr gelesen werden !
- Um doch noch Informationen auf diese Diskette abspeichern zu können, hat
- `Commodore` den `Disk-Validator` programmieren lassen !
- Dieses kurze Programm steht im Verzeichnis `L:` und hat die Aufgabe, alle
- Adressen von belegten und freien Blöcken einzulesen und in einer provisorischen
- `BitMap` im Speicher abzulegen !
- Für diesen Zeitraum kann mit der Diskette wieder normal gearbeitet werden.
- Die `Disk-Validator`-Routine wird automatisch vom Betriebssystem von der
- Diskette gestartet, ohne daß der Anwender Einfluß darauf hat ...
- Die `Disk-Validator`-Viren kopieren sich selbst als `Disk-Validator` auf
- die `Diskette` in`s Verzeichnis `L:` und verbiegen anschließend den Zeiger
- auf den `BitMapBlock` im `RootBlock` auf eine sinnlose Adresse, so daß die
- Diskette einen `Disk-Validating Error` hat.
- Wird diese Diskette nun in`s Laufwerk gelegt, so lädt `AmigaDOS` automatisch
- das `Disk-Validator`-Virus nach und dieses kann sich so im Speicher installieren.
- Diese Viren sind die einzige Art, die schon durch das bloße Einlegen einer
- infizierten Diskette aktiv werden.
- Ab `KickStart 2.0` befindet sich die `Disk-Validator`-Routine jedoch im
- `ROM`, so daß diese Viren nur unter `KickStart 1.2 & 1.3` funktionieren.
-
-
-
-
-
-
-
-
-
- 5.0 Trojanische Pferde
-
- Als Trojanische Pferde werden Programme bezeichnet, die den Anwender durch
- eine sinnvolle Funktion täuschen oder selbst ein Anwendungsprogramm simulieren
- und in Wahrheit irgendwelche unerlaubten Sachen anstellen ...
- Anfangs waren Trojanische Pferde vor allem in der Datenfernübertragung ver-
- breitet, wo sie genutzt wurden, um `SYSOP`s durch nützliche Utilities zu
- betören, die gleichzeitig Bandwurm-Programme installierten.
- Diese Bandwürmer dienten `Hacker`n dazu, um auf illegalem Wege, an Paßwörter
- für nicht öffentliche Datenbanken zu gelangen ...
- Aber so viel nur am Rande ...
- In der Virusprogrammierung spielen Trojanische Pferde vor allem als
- Installationsprogramme für Viren eine wichtige Rolle.
- Sie simulieren entweder simple `CLI`-Befehle oder durchaus nützliche An-
- wendungen und haben in Wahrheit, nur die Aufgabe Viren zu verbreiten ...
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 6.0 Bomben
-
- Als Bomben bezeichnet man in der Informatik Programme, die sich für eine
- gewisse Zeit im System verstecken und schließlich beim Eintreten einer
- bestimmten Bedingung ( Datum, Diskette einlegen, Programm starten etc ...)
- losschlagen ...
- Meist` kommt es zu einem verheerenden Zwischenfall:
- Alle Disketten in allen angeschlossenen Laufwerken werden formatiert etc ...
- Diese Bomben können als Programm im Verzeichnis-System oder auch als
- `Bootblock` auf Diskette stehen !
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- Anhang A
-
- In diesem Anhang werden noch einmal die Computerviren beschrieben,
- die `AntiCicloVir` erkennt.
-
-
-
-
-
- `Revenge Of The LAMER Exterminator`
-
- Von diesem Virus erkennt `AntiCicloVir` die beiden Varianten des
- `Revenge of the Lamer-Exterminator`-Viruses 1 und das `Revenge of
- the Lamer-Exterminator`-Virus 2.
- Über diese Viren wurde schon oft viel geschrieben.
- Momentan gibt es acht verschiedene Bootblock-Viren, des Types `LAMER
- Exterminator` und das `U.K. LAMER Style`-Bootblock-Virus, sowie zwei
- verschiedene Fileviren dieser Art:
- `Revenge of the Lamer-Exterminator 1`,`Revenge of the Lamer-Exterminator 2`,
- Außerdem gibt es noch zwei Trojanische Pferde ( `LAMER LoadWB` & `LAMER
- VirusX` ), sowie ein `Disk-Validator`-Virus: `Return of the Lamer Exterminator`.
- Davon erkennt zur Zeit `AntiCicloVir` alle `File-`, `Disk-Validator-`,
- `Bootblock`-Viren und Trojanische Pferde !
- Das `Return of the LAMER Exterminator`-Virus ist das derzeit aktuellste
- Virus der `LAMER Exterminators` und ich vermute wohl auch letzte,
- da ich schon lange von diesen Programmierern nichts mehr gelesen habe !
- Die `Ideologie` der Programmierer der `Lamer Exterminator`-Viren ist es,
- alle Anfänger bzw. Leute, die den Amiga nur zum `Daddeln` brauchen zu
- frustrieren, damit sie den Amiga aufgeben.
- Nach deren Meinung schaden diese Leute nur dem Image des Amiga`s und
- trugen zum erheblichen Teil dazu bei, daß dieser Rechner zum `Spiele-
- computer` verschrien wurde.
- Sie gehen davon aus, daß es sich bei diesen `LAMER`n ( bedeutet so viel,
- wie `Anfänger` oder `Versager`) um Leute handelt, die entweder
- nicht genügend Ahnung von ihrem Rechner haben ( und auch nicht
- haben wollen ) oder daß diese Leute sowieso `unintelligent` sind.
- Diese Viren sind somit auch gewisse `LAMER-Tests`, denn nach der
- Meinung der Programmierer können nur Anfänger auf derartige Programme
- hereinfallen und gerade die sollen ja mit diesen Programmen wohl
- auch getroffen werden.
- Sie erhoffen sich davon, daß ständiges Formatieren und Zerstören von
- Disketten ihnen den Spaß am Amiga verdirbt ...
-
- `AntiCicloVir` erkennt die beiden Varianten des `Revenge of the
- Lamer-Exterminator`-Viruses, sowie das `Revenge of the Lamer-Exterminator`-
- Virus 2 !
- Im Folgenden werde ich hauptsächlich nur das `R.L.E.`-Virus Nr. 1
- beschreiben.
- Von diesem gibt es zwei Varianten:
- Die eine (mir unbekannte) Variante tarnt sich als `Dos-Speedup`-Programm
- unter dem Namen `DosSpeed` auf Diskette und kann somit wohl nur durch einen
- ahnungslosen Anwender aktiviert werden ...
- Die viel weiter verbreitete Variante steht immer unter einem unsichtbaren
- Dateinamen ($A0A0A0A0A0) im Hauptverzeichnis der infizierten Diskette und
- traegt ihren Namen an erster Stelle in der `Startup-Sequence` ein.
- Der Dateiname $A0A0A0A0A0 kann durch Eingabe der Tastenkombination
- CTRL+Shift+Alt+5 x Space in Anfuehrungszeichen erreicht werden !
- Bei jedem Booten und anschliessendem Abarbeiten der `Startup-Sequence`
- der infizierten Diskette, wird das `Revenge of the Lamer Exterminator`-Virus
- somit aktiviert !
- Je nach Speicherlage bestimmt es einen Speicherbereich, in dem es sich
- installiert.
- Das `Filevirus` ist resetfest ueber die `Resident`-Strukturen - also ueber
- KickTagPtr.
- Es scheint einige Fehler zu haben, denn beim Abarbeiten der `Startup-Sequence`
- unter KS1.2, traten leichte Bildstoerungen auf !!!
- Ausserdem werden auch einige Verzeichnisinhalte von der WB aus nicht richtig
- angezeigt !!!
- Interessanterweise erscheint der unsichtbare Dateiname nicht im Verzeichnis,
- trotzdem kann auf die Datei zugegriffen werden - beispielsweise mit den
- CLI-Befehlen `TYPE` oder `DELETE` ...
- Befindet sich das `Filevirus` jedoch im Speicher, so kann es nicht auf der
- Diskette erkannt werden !
- Wuerden Sie sich nun die `Startup-Sequence` mit `TYPE :S/Startup-Sequence opt h`
- anschauen wollen, so wuerden Sie dort an erster Stelle keine unsichtbaren
- Zeichen des Dateinamens entdecken koennen - ja sogar selbst die unsichtbare
- Datei scheint nicht mehr zu existieren ...
- Offenbar verfuegt das `Revenge of the Lamer-Exterminator`-Virus ueber Routinen,
- mit denen es die unsichtbare Datei auf Disk ausblenden kann, solang` es im
- Speicher steht !
- Deshalb kann diese `Filevirus` nur dann auf Disketten erkannt werden, wenn es
- zuvor aus dem Speicher entfernt wurde !!!
-
- Schlimm an diesem Virus ist, dass es nach ca. 8-10 Minuten oder 6 Resets Ihre
- Disketten mit dem Wort `LAMER!` formatiert, wodurch es zum totalen Datenver-
- lust kommt und anschliessend folgen `Alert` ausgibt :
-
-
-
-
- Revenge Of The Lamer-Exterminator
-
- RED ALERT:
-
- `It has come to my attention that the person using this computer
- is a LAMER. (+)
- We the people, who are responsible for the "Revenge of the LAMER
- Exterminator" Virus, believe that only intelligent folk are fit
- to use the AMIGA Personal Computer.
- Since you were apparently not smart enough to prevent infection of
- your computer and software by this virus
- ( You should have used a condom )
- we must assume that you are a LAMER ( a.k.a. LOSER ) and therefore
- we had no alternative but to erase your floppy disk(s) in order
- to get your attention.
-
- - Press Any Mousebutton -
-
- We are eagerly looking forward to the first Amiga magazine that
- explains the inner workings of this brilliant ( at least we think
- so ) virus.
- However, we are not very confident, since the three versions of
- the original LAMER Exterminator Virus have never really been
- properly analysed in any Amiga magazine.
-
- We have made this virus a little bit more aggressive so that more
- people will recognize it and hopefully will learn something so as
- to overcome the dreadful disease of LAMERism.
-
- By the way , the A in LAMER is pronounced like the A in DAY ( LAMER
- people do not know proper English in our experience )
-
- - Press Any Mousebutton -
-
-
- Signed
-
- Foundation for the Extermination of LAMERS. ( ++ )
-
- (+) You can recognize a LAMER or LOSER as someone who can only
- use the Ctrl-Amiga-Amiga keys on his Amiga, and might even know
- how to load X-Copy ...
-
- (++) Due to the primitive and violent nature of some LAMERS,
- we have decided against revealing our real identities, so as
- to prevent unnecessary visits to the local hospital on our part !`
-
- Coming soon to a theatre near
- you:
-
- +++ The Lamer Exterminator -
- A new Beginning +++
-
- Rated PG
-
- - Press Any Mousebutton To Continue Being A LAMER -
-
-
- Das `Revenge of the Lamer-Exterminator`-Virus 2 funktioniert so ähnlich
- wie sein `Vorgänger` !
-
- `AntiCicloVir` kann das `Revenge of the Lamer-Exterminator`-Virus nur durch
- einen Reset aus dem Speicher entfernen !!!
- Deshalb denken Sie bitte immer daran, einen Reset auszufuehren, sobald
- `AntiCicloVir` dieses `Filevirus` im Speicher erkannt hat !!!
- `AntiCicloVir` entfernt es nur aus der `Resident`-Struktur, durch Ruecksetzen
- von KickTagPtr, so dass das Virus nach einem Reset nicht mehr im Speicher
- steht !
- WICHTIG ist es noch zu wissen, dass `AntiCicloVir`, solange `Revenge of the
- Lamer Exterminator` im Speicher steht, beim Dateitest, die unsichtbare Datei
- ($A0A0A0A0A0) auf Disk nicht erkannen kann -> fuehren Sie also bitte zuvor
- einen Reset aus !!!
- Ausserdem muessen Sie noch den unsichtbaren Dateinamen aus der `Startup-Sequence`
- entfernen, nachdem `AntiCicloVir` die unsichtbare Datei geloescht hat !
-
-
-
-
-
-
-
-
-
-
-
- `Lamer LoadWB`
-
-
- Bei diesem 4172 Bytes großen Trojanischem Pferd handelt es sich um ein Programm,
- welches sich im `c`- oder Hauptverzeichnis als `CLI`-Befehl
- `LoadWB` tarnt !
- Gleich nach seinem Aufruf erzeugt es allerdings das alte `LAMER
- Exterminator`-Bootblock-Virus im Speicher und lädt anschließend die
- `Workbench` !
- Das `LAMER Exterminator`-Virus ist hiernach sofort aktiv und kann alle
- ungeschützten Disketten infizieren, indem es sich in den `Bootblock`,
- der jeweiligen Disketten kopiert !
- Das `LoadWB`-Programm kann sich jedoch selbst nicht weiterkopieren !
- Bei diesem Programm handelt es sich auch noch um ein sehr altes
- Exemplar, aus der Phase der `LAMER Exterminator`-Programmierung !
- Der ASCII-Text `The LAMER Exterminator ...` im Programm `LoadWB`
- ist beispielsweise nicht kodiert und kann so leicht als Virus
- identifiziert werden !
- `AntiCicloVir` kann das `Bootblock`-Virus `LAMER Exterminator`
- im Speicher löschen ! ( Bitte lesen Sie dazu auch `LAMER Exterminator (alt) `
- im `Anhang B` ! )
- Mein Viruskiller erkennt dieses Trojanische Pferd auf der Diskette und
- löscht es, sobald er es auf der Diskette gefunden hat.
- Da es sich selbst nicht weiterkopiert, kann es sich nur auf Disketten
- befinden, auf die es jemand mit oder ohne Absicht kopiert hat !
- Es wird also nicht weit verbreitet sein !
-
-
-
-
-
-
-
-
-
-
-
- `Lamer VirusX`
-
- Dieses 13192 Bytes große Trojanische Pferd tarnt sich als `VirusX 3.10` von Steve Tibbett !
- Entgegen meinen früheren Behauptungen erzeugt dieses `VirusX 3.10` nicht
- das alte `LAMER Exterminator`-Virus im Speicher, sondern das Virus
- `LAMER Exterminator VIII` !
- Selbstverständlich erkennt das `Lamer VirusX`-Virus das `LAMER Exterminator`-
- Bootblock-Virus nicht im Speicher !
- Dafür kann es anscheinend die `Bootblock`-Viren `Obelisk`,`North Star`,
- `SCA`,`Byte Bandit`,`Byte Warrior`,`Revenge`,`Pentagon-Slayer` und
- `SystemZ`, sowie das `IRQ`-Linkvirus erkennen !
- `AntiCicloVir` löscht `Lamer VirusX` sobald er es gefunden hat !
-
-
-
-
-
-
-
-
-
-
- `Return of the Lamer Exterminator`
-
-
- Dieses 1848 Bytes große `Disk-Validator`-Virus ist meiner Meinung nach das gefährlichste
- Programmvirus ,das in dieser Dokumentation beschrieben wird !
- Dieses Disk-Validator-Virus ist sozusagen der `Urgrossvater` aller
- Disk-Validator-Viren !
- ALLE Disk-Validator-Viren enthalten den Code von `Return of the Lamer
- Exterminator` !
- Man kann folgende Einteilung vornehmen !
- Die erste Generation wird vom `Return of the Lamer Exterminator`-Virus
- gebildet, die zweite vom `SADDAM`-Virus und die dritte von seinen
- Mutationen und `DiskVal1234` !
- Das `SADDAM`-Virus war eine sehr professionelle Mutation des `Return
- of the Lamer Exterminator`-Viruses !
- Da es erheblich verbessert wurde, konnte es sich viel schneller verbreiten,
- als das `Return of the Lamer Exterminator`-Virus selbst und es so in den
- Schatten stellen.
- Das `Return of the Lamer Exterminator`-Virus ist wie sonst alle Viren
- nur mithilfe des Befehls `SetPatch r` resetfest unter KickStart V1.3,
- waehrend das `SADDAM`-Virus eine spezielle Reset-Routine besitzt, die
- es ihm ermoeglicht, unter KS 1.3 auch einen Reset ohne `SetPatch r` zu
- ueberleben !
- Dadurch konnte es sich schneller vermehren als das `Return of the Lamer
- Exterminator`-Virus !
- Ausserdem kopiert sich das `Return of the Lamer Exterminator`-Virus nur
- beim Booten als `Disk-Validator` auf die Diskette, waehrend sich das
- `SADDAM`-Virus schon beim Einlegen einer Diskette, auf diese kopieren
- kann !
- Von entscheidendem Vorteil war aber auch die Faehigkeit, selbst das
- Unterverzeichnis `L` anzulegen, in dem sich der `Disk-Validator` befindet,
- so dass das `SADDAM`-Virus praktisch JEDE Diskette infizieren kann !
- ALLE neuen Disk-Validator-Viren sind Mutationen des `SADDAM`-Viruses,
- genauso wie `DiskVal1234` !
- Wie bereits erwähnt, tarnt sich das `Return of the Lamer Exterminator`-Virus
- als `Disk-Validator` im Verzeichnis `L` einer infizierten Diskette !
- Im Gegensatz zum echten `Disk-Validator`, beinhaltet es keinen `ASCII`-Text.
- Es kopiert sich nur auf Disketten, die selbst ein `L`-Verzeichnis besitzen
- und kann also kein eigenes Verzeichnis anlegen !
- Nachdem es eine Diskette infiziert hat, setzt es den BitMap-Zeiger der
- BAM ( Block Allocation Map ) aus dem Rootblock auf eine sinnlose
- Adresse, wo natuerlich keine gueltige BAM steht.
- Diese ungültige `BAM` veranlaßt das Betriebssystem Ihres Rechners, schon
- beim Einlegen einer infizierten Diskette, den `Disk-Validator` zu starten.
- Dadurch wird das Virus automatisch aktiviert !!!
- In der `BAM` jeder Diskette stehen die Angaben über die bereits belegten
- Datenblöcke einer Diskette.
- Diese Angaben sind für AmigaDOS wichtig, damit es beim späteren Abspeichern
- von Programmen weiß, welche Blöcke nicht mehr überschrieben werden können !
- Ist diese `BAM` ungültig, so hat die Diskette einen `Disk Validating Error`
- und muß `validiert` werden !
- Das Betriebssystem startet dafür die Routine `Disk-Validator` im Verzeichnis
- `L`, um alle Block-Angaben in den Speicher zu lesen, damit die Diskette
- doch noch beschrieben werden kann !
- Nur die Betriebssysteme `KickStart V1.2 & V1.3` rufen den `Disk-Validator`
- von der Diskette auf !
- Höhere Versionen beinhalten in bereits im ROM !!!
- Beachten Sie bei diesem Virus auch, daß es schon beim Einlegen einer
- infizierten Diskette als Virus im Speicher steht !
- Im Speicher verbiegt es die Vektoren KickTagPtr * und KickCheckSum * auf
- sein eigenes Resetprogramm.
- Ausserdem verbiegt es noch die Vektoren InitCode (), OpenWindow (),
- BeginIO () & Close () aus dem `trackdisk.device` und BeginIO () aus
- dem `keybord.device`, sowie den RasterBeam-Interrupt !
- Das Virus kopiert sich also beim beim Booten weiter, sofern diese Disketten
- ein `L`-Verzeichnis besitzen !
- Besonders gemein an diesem Virus ist, daß man es nicht von der Diskette
- löschen kann, wenn es schon im Speicher steht !
- Aber nun die zweite schlechte Nachricht:
- JEDESMAL WENN MAN EINE INFIZIERTE DISKETTE IN`S LAUFWERK LEGT, KOPIERT
- SICH DAS VIRUS SCHON IN DEN SPEICHER !!!
-
- Löschen kann man den Virus-`Disk-Validator` deshalb nicht, weil bei jedem
- Versuch, wenn das `Return of the Lamer Exterminator`-Virus schon im Speicher
- steht, die Fehlermeldung `object in use` erscheint !
- Dies liegt daran, daß dieses Virus einen `Lock` auf die Datei `:L/Disk-
- Validator` behält.
- Man kann das Virus zwar nicht löschen, dafür kann man es aber mittels
- des `CLI`-Befehls `Rename` umbenennen und gefährlich ist dieses Virus
- nur dann, wenn es als `Disk-Validator` im Verzeichnis `L` steht !
-
- Nun zu den Zerstörungen !
- Das `Return of the Lamer Exterminator`-Virus schreibt nach einiger Zeit
- das Wort `LAMER` in einige Datenblöcke und zerstört so die Informationen
- in den Programmdateien !!!
- Das Virus ist auch in der Lage die Disketten in allen Laufwerken zu
- zerstören, indem es deren `Rootblöcke` mit dem Wort `LAMER` formatiert !
- Dabei gibt es gleichzeitig einen `Alert` aus :
- `Return of the Lamer Exterminator`
-
- `AntiCicloVir` kann das `Return of the Lamer Exterminator`-Virus
- jetzt auch im Speicher erkennen.
- Allerdings kann es nicht gelöscht werden, da zu viele Vektoren zurück-
- gesetzt werden müßten, die unter anderen `KickStart`s wieder andere
- Adressen beinhalten !
- Da mein Viruskiller dieses Virus nicht löschen kann, wenn es im
- Speicher steht, benennt er es einfach in `:L/LAMER-Virus` um !
-
- Zwar wird das `Return of the Lamer Exterminator`-Virus nicht aus dem
- Speicher gelöscht, doch das ist kein so großes Problem !
- Wenn Sie die Disketten auf dieses Virus hin überprüfen wollen, dann verwenden
- Sie bitte jedes Mal den Schreibschutz.
- Andernfalls könnte sich das Virus von einer infizierten Diskette aus in
- den Speicher kopieren und nun jede `cleane` Disk ebenfalls befallen.
- Haben Sie alle Disketten auf dieses Virus geprüft, so schalten Sie bitte
- den Amiga ab, damit es aus dem Speicher gelöscht wird !
- Nach dem Einschalten sollten Sie von einer virusfreien Diskette `booten`
- und `AntiCicloVir` und die `CLI`-Befehle in`s `RAM:` kopieren !
- Jetzt können Sie alle infizierten Disketten nacheinander in`s Laufwerk
- legen und mit `AntiCicloVir` desinfizieren !
- Nachdem Sie ein `Return of the Lamer Exterminator`-Virus auf einer
- Diskette umbenannt haben, kopiert sich das Virus nicht anschließend
- wieder neu auf die Diskette !
- Sollten Sie alle Disketten desinfiziert haben, so müßen Sie den Rechner
- unbedingt ein zweites Mal ausschalten, damit das `Return of the Lamer
- Exterminator`-Virus auch aus den Speicher gelöscht wird !
- Schalten Sie nun wieder den Amiga ein, so können Sie behaupten, daß Ihr
- Rechner das `Lamer Exterminator Fieber` überstanden hat und wieder
- wohlauf ist ...
-
- Leider werden die desinfizierten Disketten nun noch einen `Disk Validating
- Error` haben, an dem aber nicht `AntiCicloVir`, sondern das
- Virus schuld ist.
- Um eine gültige `BAM` wieder herzustellen, sollten Sie diese Disketten
- `validiern` !
- Gehen Sie dabei wie folgt vor !
- `Booten` Sie als erstes von einer Diskette mit echtem `Disk-Validator` !
- Kopieren Sie sich bitte die `CLI`-Befehle von der `Workbench`-Diskette
- in`s `RAM` !
- Legen Sie nun diese `fehlerhaften` Disketten ein !
- Das Betriebssystem wird nun einen `Disk Validating Error` melden und nach
- der Boot-Diskette verlangen.
- Anschließend wird es wieder nach der `fehlerhaften` Diskette verlangen,
- um sie zu `validieren`.
- Ist diese Diskette `validiert`, so können vorläufig wieder Schreibzugriffe
- auf ihr ausgeführt werden.
- Löschen Sie beispielsweise eine unwichtige Datei ( `:L/LAMER-Virus` ),
- damit die Diskette nach diesem Schreibzugriff vom Betriebssystem wieder
- eine gültige `BAM` erhält !
- Jetzt ist die Diskette wieder o.k. !
-
- Daten auf Disketten, die das `Return of the Lamer Exterminator`-Virus
- formatiert hat sind unwiederruflich verloren !!!
-
-
-
-
-
-
-
-
-
-
- `Amiga Knight`
-
- Dieses 6048 Bytes grosse Filevirus gehoert zu den aelteren seiner Spezies.
- Es steht unter dem Namen `initial_cli` auf der infizierten Diskette und ver-
- sucht so eine sinnvolle Funktion vorzutaeuschen !
- Sobald es aufgerufen wird, laesst es sich einen Speicherbereich im CHIP-RAM
- zuteilen und installiert sich ueber die Residents, indem es die Vektoren
- KickTagPtr * & KickCheckSum* benutzt, resetfest.
- Ausserdem verbiegt es noch den Vektoren DoIO () !
- Nach fuenf Resets erscheint dann ein Vektordemo in roter Farbe !
- Im oberen Bildschirmbereich ist dabei folgender Text zu lesen:
-
- `YEAH, THE INVASION HAS STARTED !
- YOUR TIME HAS RUN OUT AND SOON WE WILL BE
- EVERYWHERE !`
-
- In der Bildschirmmitte (Vektordemo) erscheinen nacheinander die Worte:
- `Toco`, `THE`, `AMIGAKNIGHTS`
-
- Am unteren Bildschirmrand ist dann zu lesen:
-
- `THIS IS THE GENERATION 0039 OF THE EVIL
- AMIGAKNIGHTVIRUS
- GREETINGS TO DUFTY, DWARF, ACID CUCUMBER,
- ASTERIX, ANDY AND ALL AMIGIANS I KNOW !`
-
- Sobald die Routine DoIO () vom Betriebssystem aufgerufen wird, wird das
- Filevirus wieder aktiv und infiziert jede neue eingelegte Diskette, wenn
- diese eine `startup-sequence` enthaelt !
- Dabei schreibt es sich unter seinem Tarnnamen auf die Diskette und traegt
- diesen in die `Startup-Sequence` ein.
- Dieses Filevirus benutzt das `trackdisk.device', scheint allerdings keine
- Schaeden anzurichten.
- `AntiCicloVir` kann es auf Diskette & im Speicher erkennen und entfernen.
- Bitte entfernen Sie nach dem Loeschen auch noch den Aufruf `initial_cli`
- aus Ihrer `Startup-Sequence` !
- Dieses Filevirus wurde mir von Erik Loevndahl Soerensen, Snaphanevej 10,
- 4720 Praestoe, Daenemark, von der SHI (Safe Hex International) zugesandt.
-
-
-
-
-
-
-
-
-
-
-
-
- `AntiChrist`
-
- Hierbei handelt es sich wieder einmal um eine Mutation - in diesem Falle
- um eine Mutation des `Traveling Jack`-Linkviruses Nr. 2.
- Der ASCII-Text im Virus wurde in `The AntiChrist 3/4/92` umgeaendert und
- es wird nun eine Textdatei mit dem Namen `AntiChrist.X` erzeugt, die den
- Text `The AntiChrist is back` enthaelt.
- Sie koennen also alle Informationen zu diesem Virus unter `Traveling Jack 1+2`
- nachlesen.
- `AntiCicloVir` erkennt `AntiChrist` im Speicher, zeigt beim Dateitest aber
- weiterhin `Traveling Jack 2` an !
-
-
-
-
-
-
-
-
-
- `Beethoven`
-
- Dieses `Filevirus` mit einer Laenge von 2608 Bytes ist eine Mutation des
- `Bret Hawnes`-Fileviruses.
- Sie koennen also alle Informationen ueber dieses unter `Bret Hawnes` nach-
- lesen !
- Folgende Aenderungen zum Original-Virus wurden vorgenommen:
-
- a) Der Virencode steht nun nicht mehr ab $7F000 im Speicher, sondern er
- wurde auf $7EF00 verschoben - wahrscheinlich, um eine Erkennung als
- `Bret Hawnes` durch andere Viruskiller zu verhindern !
-
- b) Die Diskettenzerstoerungsroutine wurde gegen eine `DisplayAlert`-Routine
- ausgetauscht, die nun mehrere Texte in einem `Alert`-Kasten ausgibt, wie
- beispielsweise diesen:
-
- ` ICH BIN ZURUECK !!!!!!!!!
- -=> LUDWIG VAN BEETHOVEN <=
- ICH MACHE MICH JETZT AUF DEM AMIGA BREIT !!!!
- DAS HIER IST
- BRIDGES MEIN NEUER VIRUS
- HE HE HE HE HE HE HE
- VIEL SPASS NOCH
-
- P.S.: MEINE MUSIK WAR SCHEISSE
- - ABER MEINE VIREN SIND GEIL !!
-
- SUCK MY DICK
-
- BITTE COMPUTER AUSSCHALTEN`
-
- Nachdem `AntiCicloVir` dieses `Filevirus` geloescht hat, muessen Sie noch den
- Namen aus Ihrer `Startup-Sequence` entfernen !
-
-
-
-
-
-
-
-
-
-
-
- `BESTIAL DEVASTATION`
-
- Auch hierbei handelt es sich wieder einmal um eine Mutation des `Xeno`-
- Linkviruses.
- Sie koennen also alle Informationen ueber dieses `Linkvirus` unter `Xeno`
- nachlesen !
- Im Gegensatz zum Original-Virus wird jetzt nur der Open ()-Vektor verbogen
- und nicht mehr Lock () & LoadSeg () !
- Beim Dateitest jedoch wird `Bestial Devastation` als `Traveling Jack 2` er-
- kannt !
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `BGS 9`
-
-
- Nicht ganz so gefährlich, aber dennoch lästig ist das `BGS 9`-Virus !
- Es sucht sich das erste ausführbare Programm aus der `Startup-Sequence`
- und verschiebt es unter dem unsichtbaren Namen $A0A0A0202020A0202020A0 in`s
- Verzeichnis `DEVS:` !
- Das `Filevirus` selbst kopiert sich anstelle des Original-Programmes.
- Nach jedem Abarbeiten der `Startup-Sequence` wird es aktiviert !
- Mittlerweile gibt es zwei Versionen dieses Fileviruses !
- Nachdem dieses Virus gestartet wurde schreibt es sich als `MemList`-Struktur
- in den Speicher und gibt in KickMemPtr * einen Zeiger darauf zurück !
- In den KickTagPtr * wird die Adresse für das Resetprogramm eingetragen und
- mit SumKickData () die KickCheckSum * berechnet und ebenfalls eingetragen.
- Nach jedem Reset verbiegt das Resetprogramm den OpenWindow ()-Vektor auf
- eine Vermehrungsroutine, welche beim Rücksprung diesen Vektor wieder
- auf die ROM-Adresse setzt !
- Nach vier Resets wird folgender Text ausgegeben:
-
-
- ` A COMPUTER VIRUS IS A
- DISEASE
-
- TERRORISM IS A
- TRANSGRESSION
-
- SOFTWARE PIRACY IS A
- CRIME
-
- THIS IS THE CURE
-
- BBB GGGGGG SSSS 99999
- B B G S 9 9
- B B G S 9 9
- BBB G S 99999 Bundesgrenzschutz Sektion 9
- B B G GGGG S 9 Sonderkommando "EDV"
- B B G G S 9
- BBB GGGGGG SSSS 99999`
-
-
- `AntiCicloVir` erkennt beide Computerviren ( `BGS 9` und `BGS 9 II` )
- auf der Diskette und löscht sie !
- Dabei schreibt es nun auch die vom den Fileviren verschobene Original-Datei,
- an ihre urspruengliche Position zurueck !
-
- Außerdem werden auch beide Viren im Speicher erkannt !
- Doch leider können die Viren `BGS 9` und `BGS 9 II` im Speicher
- nicht voneinander unterschieden werden !
- Sie sind nahezu identisch und unterscheiden sich nur in zwei Details
- voneinander !
- Zum Einen wurde ein Byte im unsichtbaren Namen des `BGS9`-Viruses auf
- der Diskette geändert und zum Anderen wurde ein Byte in der Kodierung
- des ASCII-Textes im Speicher geändert !
- Ich vermute, daß diese Änderungen nur vorgenommen wurden, um einen
- bestimmten Viruskiller zu täuschen !
- Die `BGS 9`-Viren funktionieren auch unter `KickStart 2.04` !
-
-
-
-
-
-
-
-
-
-
- `Bluebox`
-
- Von diesem Programm besitze ich leider nur einen Teil.
- Ich bin mir auch nicht sicher, um was fuer eine Art Programm es sich hierbei
- handelt !
- Auch scheinen andere Antivirusprogrammierer, den Zweck von `Bluebox` nicht
- zu kennen !
- `Bluebox` ist ein Programm, welches eine Tonfolge ueber die Zehnertastatur
- erzeugen kann.
- Es ist speziell fuer den Bereich Datenfernuebertragung ausgelegt und soll wohl
- diese Anwendergruppe taeuschen.
- Denn in Wahrheit, kopiert dieses 5608 Bytes grosse Programm, eine eigene
- `icon.library` auf die Diskette oder Festplatte und setzt fuer diese sogar
- die Protectionbits.
- Und diese `icon.library` hat es im wahrsten Sinne des Wortes in sich ...
- Wurde sie aktiviert, so kann sie einen Prozess mit dem Namen `input. device `
- starten, welcher auf den seriellen Port ( Anschlussmoeglichkeit fuer Modems )
- zugreift.
- Diese `icon.library` hat eine Laenge von 6680 Bytes.
- Ausserdem kann auch noch eine unsichtbare Datei im Hauptverzeichnis erzeugt
- werden, welche in hexadezimal den Namen $A0 traegt.
- Ich besitze nur diese `icon.library` und nicht `Bluebox` selbst.
- Deshalb bin ich an der Zusendung von `Bluebox` sehr interessiert !!!
- Nur so kann ich eine abschliessende Analyse wagen !!!
- Fuer den jetzigen Zeitpunkt bleiben nur Spekulationen ...
-
- ... moeglicherweise kann es sich bei diesem Programm um ein `Bandwurm`-
- Programm handeln, welches zum illegalen Umgehen der Passwortabfrage ver-
- wendet wird !
- Denn schliesslich sind Modem- & Mailboxbesitzer die Hauptzielgruppe von
- `Bluebox` !
- Das Taeuschprogramm `Bluebox`, welches die Tonfolge ueber die Zehnertastatur
- ausgibt, ist wohl eine Art Trojanisches Pferd, um Mailboxbetreiber zu taeuschen.
- Nutzen diese dieses Programm, so installiert es die eigene `icon.library`,
- welche nun automatisch beim Betreiben der Mailbox aktiviert wird.
- Diese `icon.library` installiert einen Prozess namens `input.device `, welcher
- sich nun das Passwort, desjenigen eingetragenen Benutzers merkt, welcher
- sich in die Mailbox einloggt.
- Wahrscheinlich werden alle Passworte, die sich dieser Prozess merken konnte, in
- diese unsichtbare Datei im Hauptverzeichnis abgespeichert ...
- Der Programmierer dieses `Bandwurm`-Programmes, kann sich nun durch Auslesen
- dieser Datei, illegal Zutritt zu dieser Mailbox verschaffen und dabei jedes
- Privileg ausnutzen ...
-
- Aber wie gesagt -> NUR SPEKULATIONEN !!!
-
- Auf jedem Fall handelt es sich hierbei um KEIN VIRUS und es werden sehr wahr-
- scheinlich auch keine Daten zerstoert ...
- Vektoren werden ebenfalls nicht verbogen und es ist auch nicht resetfest !
- Fuer `normale` AMIGA-Besitzer ist es also harmlos !
- Eine genauere Analyse wird noch folgen ...
- `AntiCicloVir` kann bisher nur diese `icon.library` auf der Diskette erkennen.
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `Bret Hawnes`
-
- Dieses 2608 Bytes große `Filevirus` tarnt sich als unsichtbares Programm
- im Hauptverzeichnis jeder infizierten Diskette und schreibt seinen
- Aufruf in die `s/startup-sequence` !
- Somit hat das `Bret Hawnes`-Virus gewisse Ähnlichkeiten mit den `Revenge
- of the Lamer Exterminator`-Viren, obwohl ich schreiben muß, daß diese
- weit aus professioneller programmiert worden sind !
- Es steht als unsichtbare Datei auf der Diskette, die dem Hexadezimal-Wert:
- $C0A0E0A0C0 entspricht !
- Dieses `Filevirus` kopiert sich absolut nach $7F000 in den Speicher und
- setzt KickTagPtr * & KickCheckSum * auf sein Resetprogramm.
- Der `Interrupt`-Vektor 3 wird auf eine eigene Adresse für die Textausgabe
- verbogen.
- Waehrend des Resets werden noch die Vektoren der Routinen OpenLibrary (),
- OpenWindow () verbogen und wieder zurueckgesetzt !
- Der Vektor OpenLibrary () wird verbogen, damit das Virus immer beim
- Oeffnen einer Systembibliothek nach dem Reset aktiviert wird und warten kann,
- bis die `intuition.library` geoffnet wird !
- Ist dies geschehen wird OpenLibrary () wieder auf die ROM-Adresse gesetzt
- und nun OpenWindow () verbogen.
- Jetzt wartet `Bret Hawnes` so lange, bis AmigaDOS das `CLI`-Fenster
- oeffnet und schreibt sich bei dieser Gelegenheit auf die Diskette !
- Nach neun Vermehrungen zerstört dieses Virus Disketten und ueberschreibt
- den Bootblock !
- Sind zwanzig Minuten vergangen, so wird folgender Text ausgegeben:
-
- `GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN
- I`VE TAKEN THE CONTROL OVER YOUR AMIGA !!!
- THERE IS ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! `
-
- Das Virus löscht den Zeiger CoolCapture *
- `AntiCicloVir` erkennt das Virus auf der Diskette und löscht es !
- Im Speicher löscht es die Zeiger KickTagPtr * und KickCheckSum * und `Interrupt 3` !
- Bitte korrigieren Sie nach dem Loeschen der unsichtbaren Datei auch Ihre
- `Startup-Sequence` !
-
-
-
-
-
-
-
- `CCCP`
-
- Das `CCCP`-Virus,mit einer Länge von 1044 Bytes, war das erste,
- welches sich sowohl als `Bootblock`- als auch als `Linkvirus`
- weiterkopieren konnte !
- Es kopiert sich nach jedem Reset in den `Bootblock` nicht schreibgeschützter
- Disketten und schreibt sich als `Hunk` in das erste ausführbare
- Programm, das es im `Rootblock` findet !
- Im Speicher setzt es den `CoolCapture`-Vektoren auf seine eigene Adresse
- und verbiegt den `Interrupt-3`-Vektoren auf eine eigene Interrupt-Struktur.
- Diese Interrupt-Struktur überwacht nun 50 (!) mal in der Sekunde den
- `CoolCapture`-Vektoren und schreibt die viruseigene Adresse dort wieder
- hinein, sobald sie gelöscht wurde.
- Einmaliges Löschen des `CoolCapture`-Vektoren reicht also nicht aus, um
- die Reset-Routine des `CCCP`-Viruses zu entfernen !
- Vorher müßte unbedingt der `Interrupt-3`-Vektor auf die jeweilige ROM-
- Adresse wieder zurückgesetzt werden.
- Nachdem `RESET` werden noch drei weitere Vektoren verbogen !
- Einmal wird DoIO () verbogen, um beim Zugriff des Betriebssystem`s nach
- dem `Reset` auf die Diskette, das `CCCP`-Virus zu starten, damit es sich
- als `Bootblock` installieren kann.
- Anschließend wird dieser Vektor wieder auf`s ROM gesetzt.
- Dann wird OpenLibrary () auf die viruseigene Adresse verbogen und geprüft,
- wann die `intuition.library` verfügbar ist.
- Ist dies der Fall, wird OpenLibrary () wieder auf die ROM-Adresse gesetzt
- und OpenWindow () verbogen.
- Sobald nun das AmigaDOS-Fenster geöffnet wird, kopiert sich `CCCP` als `Link-
- virus` auf die Diskette und setzt den OpenWindow ()-Vektor wieder auf
- die ROM-Adresse.
- Mein Viruskiller kann das `CCCP`-Virus im Speicher & Bootblock erkennen & loeschen,
- in infizierten Dateien jedoch nur anzeigen !
-
- Benutzen Sie solch` eine infizierte Datei vorerst nicht mehr !
-
- Desinfizieren Sie sie mit einem anderen Linkviruskiller oder kopieren Sie die Original-
-
- Datei `drueber - das ist immer die sicherste Methode ...
-
- Schäden richtet das `CCCP`-Virus keine an und ist sonst auch ziemlich
- unauffällig.
-
-
-
-
-
-
-
-
-
-
-
- `Color(TURK V1.3)`
-
-
- Dieses Trojanische Pferd tarnt sich als simples `Grafik-Demo` auf einer Diskette,
- welches drei farbige Balken auf dunklem Hintergrund erzeugt !
- Es ist 2196 Bytes lang.
- Nachdem Sie sich dieses Demo angeschaut und das Programm beendet
- haben, wird das `Color`-Programm ab $70000 und das `TURK V1.3`-Bootblock-
- Virus ab $7F000 im Speicher installiert !
- Der DoIO ()-Vektor wird auf die Adresse des `Color`-Programmes im Speicher
- und der CoolCapture *-Vektor auf eine scheinbar sinnlose Adresse
- verbogen !
- Bei jedem Diskettenwechsel schreibt das `Color`-Programm den Virus-Bootblock
- `TURK V1.3` auf die betroffene Diskette !
- Nachdem dieses Programm im Speicher stand, hat es übrigens sinnlos einen
- Speicherbereich von 60 - 80 kB belegt !
- Bei einem Reset stürzt der Rechner allerdings ab, da der Wert im
- CoolCapture *-Vektoren auf eine Adresse zeigt, die weder die des
- `Color`- noch die des `TURK`-Viruses ist.
- Ich habe aber gelesen, daß dies wohl absichtlich so sein soll.
- `AntiCicloVir` erkennt das `Color`-Programm nachdem es aktiviert
- wurde im Speicher und auf Diskette und löscht es.
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `CompuPhagozyte 1+2`
-
- Die beiden `CompuPhagozyte`-Viren sind `Fileviren`, die sich selbst als
- `Viruskiller` tarnen !
- Allerdings könnte man diese Programme auch als Trojanische Pferde bezeichnen,
- da sie ja einen Viruskiller vortäuschen ...
- Das `CompuPhagozyte`-Virus tarnt sich als `Virus-Checker V4.0` mit einer
- Bytelänge von 1452 Bytes und das `CompuPhagozyte_2`-Virus tarnt sich
- als `VirusX 5.0` mit einer Bytelänge von 1148 Bytes !
- Beide Programme verbiegen keine Vektoren !
- Sie stehen immer im Verzeichnis `c` unter den Namen `Virus-Checker` oder
- `VirusX` !
- Werden Sie von einem unwissenden Anwender gestartet, um beispielsweise
- Disketten auf Viren zu untersuchen, dann kopieren die Programme zuerst
- eine Datei unter ihrem Namen aus dem `c`-Verzeichnis in den Speicher
- ab der Stelle $7C000 !
- Wird nun bei einem aktiviertem `Viruskiller` dieser Art eine neue Diskette
- zum Checken eingelegt, dann schreibt das Virus seinen eigenen Maschinen-
- sprachekodex aus dem Speicher in eine Datei in`s `c`-Verzeichnis unter
- dem Tarnnamen des Viruses !
- Wird mal eine Diskette eingelegt, auf der sich kein `c`-Verzeichnis befindet,
- dann starten die Viren eine Zerstörungsroutine !
- Die Diskette, die diese Routine ausgelöst hat, bleibt relativ verschont,
- da auf ihr nur ein paar Daten abgespeichert werden, die allerdings keinen
- Schaden anzurichten scheinen !
- Jede nachfolgende eingelegte Diskette wird jedoch komplett zerstört:
- `DF0:BAD` !!!
- `AntiCicloVir` erkennt diese Viren auf der Diskette und löscht sie.
- Auch im Speicher kann `AntiCicloVir` erkennen, ob diese Viren vor
- einiger Zeit aktiviert wurden und Sie warnen !
-
-
-
-
-
-
-
-
-
-
-
-
-
- `COMPUPhagozyte II`
-
- Diese 568 Bytes große Bombe tarnt sich als CLI-Befehl `cls` auf
- Disketten !
- Im Gegensatz zu üblichen `cls`-Befehlen löscht sie den Bildschirm nicht
- über eine spezielle ROM-Routine, sondern durch 30 Returncodes !
- Sie steht resetfest ab $7C000 über CoolCapture * im Speicher und verbiegt
- keine weiteren Vektoren !
- Die Bombe ist wahrscheinlich die harmloseste in meiner ganzen Sammlung.
- Es werden lediglich einige Reset-Vektoren gelöscht.
- Die Folge ist, daß nun ein mögliches resetfestes Programm nach dem Reset
- verloren geht !
- Sonst passiert nichts.
- `AntiCicloVir` sucht im Speicher und auf Diskette nach dieser Bombe
- und löscht sie !
- `COMPUPhagozyte II` aus meiner Dokumentation ist identisch mit
- `COMPUPhagozyte 3` aus `VT.kennt` !
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `COMPUPhagozyte III A-C`
-
- Von diesem `Filevirus` gibt es drei verschiedene Typen, die sich in einigen
- Details unterschieden und deshalb alphabetisch geordnet worden sind.
- Alle drei Virustypen haben folgende Eigenschaften !
- Sie stehen immer als unsichtbare Datei unter dem Namen $A0A0A0A0 im Hauptver-
- zeichnis einer infizierten Diskette und rufen sich über die `Startup-Sequence`
- auf.
- Sobald sie gestartet wurden, reservieren sie jeweils drei Speicherbereiche und
- kopieren nach $7C000 die ganze Programmdatei ( $A0A0A0A0 ) von der Diskette,
- nach $7C600 die `Reset`-Routine und nach $7E000 die Vermehrungsroutine.
- Dies ist auch der Grund, weshalb diese `Fileviren` sich nur dann im Speicher
- installieren können, wenn sie unter dem Namen $A0A0A0A0 auf der Diskette
- standen !
- CoolCapture * wird auf die `Reset`-Routine ( $7C600 ) gesetzt und OldOpen-
- Library () auf die Vermehrungsroutine ( $7E000 ).
- Das `Filevirus` kopiert sich, nach dem Aufruf von OldOpenLibrary () durch
- ein Anwenderprogramm, als unsichtbare Datei auf die Diskette und überschreibt
- die ersten vier Bytes der `Startup-Sequence` mit seinem Namen !
- Dadurch wird der erste Eintrag der `Startup-Sequence` meistens halb gelöscht,
- was beim Abarbeiten dieser zum Fehler `unknown command` führt !
- Das installierte `Filevirus` wird jedoch vorher immer (!) noch aktiv und kann
- sich so vermehren !!!
- Allerdings verrät es sich durch diesen kleinen Fehler selbst ...
- Nur wenn der erste Eintrag der `Startup-Sequence` aus vier Zeichen bestand,
- werden diese überschrieben und es kommt zu keiner Fehlermeldung beim Abarbeiten
- der `Startup-Sequence !
- Die Virustypen B und C unterscheiden sich nur darin voneinander, daß Typ C
- 8 Bytes länger ist als B.
- Ansonsten sind sie gleich und werden hier daher gemeinsam erwähnt.
- Typ A kann sich im Gegensatz zu Typ B/C nur nach `DF0:` kopieren.
- Außerdem hat Typ A einige kleinere Programmierfehler, die beim Aufruf von ca.
- 2/3 aller Programme, die OldOpenLibrary () benutzen, zum `GURU` führen ...
- Allerdings konnte sich das Virus auch in diesen Fällen vorher erfolgreich
- vermehren !
- Typ A überprüft vorm installieren immer den Vektor der OldOpenLibrary ()-
- Routine auf `KickStart 1.2` und installiert die Vermehrungsroutine sonst
- nicht !!!
- Allerdings hat es vorher immer schon die `Reset`-Routine installiert, die ja
- nach jedem `Reset` den Vektor von OldOpenLibrary () auf die eigene Adresse
- setzt, die ja beim Fehlen von `KickStart 1.2` nicht gesetzt wurde.
- Da nun OldOpenLibrary () auf einen leeren Speicherbereich zeigt, kommt es
- beim Aufruf dieser Routine durch ein Anwenderprogramm nach dem Reset zum
- `GURU` !
- Alle drei Virustypen sind relativ harmlos und richten keine Schäden an.
- `File`-Längen:
-
- Typ A: 916 Bytes
- Typ B: 892 Bytes
- Typ C: 900 Bytes
-
- `AntiCicloVir` erkennt alle Typen dieses `Fileviruses` im Speicher und auf
- Diskette und löscht sie !
- Der `VT` bezeichnet diese Virustypen etwas anders:
-
- `COMPUPhagoyzte III A` = `COMPUPhagozyte 4`
- `COMPUPhagozyte III B` = `COMPUPhagozyte 4a`
- `COMPUPhagozyte III C` = `COMPUPhagozyte 4b`
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `COMPUPhagozyte IV`
-
- Dieses 1048 Bytes große `Filevirus`, tarnt sich unter dem unsichtbaren
- Namen $A0A0A0A0 als `CompuPhagozyte Protection File`, auf einer infizierten
- Diskette !
- Es versucht also als Schutzdatei gegen die o.g. Virustypen zu täuschen ...
- Allerdings ist es selbst ein `Filevirus` !
- Es kopiert sich nach seinem Aufruf nach $7C000 in den Speicher und verbiegt
- die Vektoren CoolCapture *, OldOpenLibrary ( Vermehrung ) und SumKickData
- ( Überwachen der übrigen Vektoren ) auf seine eigene Adresse !
- Nach jedem Aufruf von OldOpenLibrary () findet eine Vermehrung statt.
- Dabei wird die unsichtbare Datei auf die Diskette kopiert und ihr Name in
- der `Startup-Sequence` eingetragen.
- Bei dieser Version werden keine Bytes in der `Startup-Sequence` mehr über-
- schrieben, wodurch es nicht mehr auffällt ...
- Da es auch keine Texte etc. ausgibt und auch sonst sich nicht meldet, kann es
- der Anwender lange Zeit nicht bemerken !
- Doch zum Glück ist dieses `Filevirus` vollkommen harmlos, da es keine Schäden
- anrichtet !
- Der `VT` bezeichnet es als `COMPUPhagozyte III c` !
- Doch dieser Namensgebung kann ich nicht zustimmen, da der programmiertechnische
- Unterschied zu den Typen der Version III relativ groß ist !
- `AntiCicloVir` erkennt `COMPUPhagozyte IV` im Speicher und auf Diskette und
- entfernt es !
-
-
-
-
-
-
-
-
-
-
-
- `Crime 2`
-
- `Crime 2` ist ein `Linkvirus`, welches sich an`s Ende des ersten `Hunk`s
- eines ausfuehrbaren Programmes haengt !
- Es sucht am Ende einer ausfuehrbaren Programmdatei nach Ruecksprungbefehlen,
- wie z.B. $4E75 (`RTS`) und ersetzt diesen gegen $4E71 (`NOP`), um sich dann
- selbst dahinter zu kopieren !
- Anschliessend addiert es die eigene Programmlaenge (1000 Bytes)
- in Langworten zu der `Hunk`-Laenge, die im `Hunk`-Header und im `Hunk`-
- Beginn vermerkt ist.
- Sobald solch ein infiziertes Programm aktiviert wird, kopiert sich das
- `Crime`-Virus in den Speicher und verbiegt folgende Vektoren: CoolCapture,
- AllocMem (), Open (), LoadSeg () & einen Vektor aus einer sogen. Privaten
- Struktur - naemlich der DOS-Basis-Struktur !
- Und das ist auch der Grund, weshalb das `Crime`-Linkvirus nur unter KS1.2/1.3
- laeuft und mit hoeheren KickStart-Versionen sofort einen Systemabsturz aus-
- loest !
- Schaeden richtet dieses `Linkvirus` nicht an und meldet sich auch nicht !
- `AntiCicloVir` kann es nur im Speicher erkennen und loeschen - jedoch nicht
- auf der Diskette !
-
-
-
-
-
-
-
-
-
-
-
-
- `Crime!++`
-
- Dieses `Linkvirus` ist sozusagen der Nachfolger von `Crime 2` !
- Es hat eine Laenge von 872 Bytes und verbiegt nun nur noch die Vektoren
- CoolCapture, Wait () und einen Zeiger in der DOS-Basis-Struktur.
- Wegen dem letzten Zeiger hat es in Bezug auf`s Betriebssystem die gleichen
- Probleme wie sein Vorgaenger ...
- Auch dieses `Linkvirus` kann `AntiCicloVir` nur im Speicher erkennen & loeschen,
- jedoch nicht auf der Diskette !
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `D-Structure`
-
- Bei diesem nur 464 Bytes großen `Filevirus` handelt es sich, um das bisher
- kleinste vermehrungsfähige Programm auf dem AMIGA !
- Im Gegensatz zu allen bisherigen Typen von `Fileviren`, kann sich dieses
- Virus unter jedem beliebigen Namen auf die Diskette kopieren ...
- Deshalb macht es keinen Sinn, es unter einem möglichen unsichtbaren oder Tarn-
- namen zu suchen !
- Sobald es aufgerufen wird, kopiert es sich nach $7C000 in den Speicher und
- merkt sich die Original-ROM-Adresse von OldOpenLibrary (), bevor es sie auf
- seine eigene verbiegt.
- Jetzt befindet sich das Virus sozusagen im ersten Stadium ...
- Es ist übrigens nicht resetfest !
- Über OldOpenLibrary () versucht es nun herauszufinden, welche Bibliothek vom
- Anwenderprogramm geöffnet werden soll.
- Handelt es sich dabei um die `dos.library`, so wird OldOpenLibrary () wieder
- auf die ROM-Adresse gesetzt und das Virus merkt sich die `DosBase`-Adresse
- und die Adresse der Routine Write () aus der `dos.library` !
- Hiernach wird Write () auf die eigene Adresse verbogen und eine Zählstelle
- aktiviert.
- Nach jedem fünften Aufruf der Routine Write (), manipuliert `D-Structure` die
- Datenregister !
- Das Datenregister D2, welches die Adresse des zu schreibenden Textes/Code
- beinhaltet, wird auf die viruseigene Adresse verbogen und der Wert in D3,
- welcher die Länge enthält, wird durch den Wert der Viruslänge ersetzt !
- Nun wird anstelle des Gewünschten, das `Filevirus` auf Diskette kopiert !
- Da sich `D-Structure` in bereits bestehende Schreibprozesse einbaut, kann es sich
- überall hin kopieren ...
- Es kann nicht nur als ausführbare Datei auf Diskette, sondern auch als Daten-
- block, dort stehen, wobei es jedoch zu `Read/Write Errors` kommen dürfte !
- Da auch Texte auf den Bildschirm mit Write () ausgegeben werden, kann der
- Viruscode, anstelle eines geladenen Textes, über den Bildschirm flimmern !
- Und selbst über den Drucker und sogar über die serielle Schnittstelle kann
- es sich weitergeben, wobei natürlich keine Vermehrung stattfindet !
- Neu an diesem Typ Virus ist, da es fast keine eigenen Routinen beinhaltet
- und sich allein, durch das Manipulieren von Registern, vermehren kann -
- was nach meinen Erkenntnissen eine neue Methode sein dürfte ...
- Es ruft selbst keine Bibliothek auf, hat keine eigene Schreibroutine etc.
- Es gibt von `D-Structure` noch eine Mutation, die sich jedoch nicht vermehren
- kann, da sie ein kleineres `Filevirus` erzeugt, das immer zum Absturz führt.
- `AntiCicloVir` erkennt `D-Structure` im Speicher und auf Diskette und entfernt
- es !
-
-
-
-
-
-
-
-
-
-
-
- `Darth Vader 1.1`
-
- Bei diesem 784 Bytes kurzen Programm, handelt es sich um ein aeusserst simples
- Filevirus.
- Es steht unter dem unsichtbaren Namen $A0 auf der Diskette und funktioniert
- auch nur dann, wenn es unter diesem Namen abgespeichert worden ist !
- Denn es kopiert diese Programmdatei in den Speicher und benutzt sie als Vor-
- lage zum Erzeugen neuer Virus-Kopien.
- Wird es unter einem anderen Namen abgespeichert und aufgerufen, so kann es sich
- nicht installieren und da die Installationsroutine den Ladevorgang nicht
- auf Erfolg oder Misserfolg ueberprueft, kommt es zum Absturz des AMIGA`s !
- Ausser der Programmdatei wird auch der Viruscode im Speicher abgelegt.
- Dabei muessen Programmdatei und Viruscode nicht im selben Speicherbereich
- zu finden sein, sondern befinden sich meistens an verschiedenen Positionen.
- `Darth Vader` ist resetfest ueber CoolCapture *.
- Nach dem Reset sichert es beide Speicherbereiche und verbiegt den Vektor der
- Routine OldOpenLibrary () auf die eigene Adresse.
- Im Gegensatz zu den anderen Viren, verbiegt es den Vektor nicht `per Hand`,
- sondern benutzt dazu die Routine SetFunction () aus dem Betriebssystem, was
- zwar den Programmierern des AMIGA-Betriebssystems gefallen wird, jedoch
- programmiertechnisch zu umstaendlich ist, da es `per Hand` viel einfacher
- geht !
- Wird nun die Routine OldOpenLibrary () von einem Programm genutzt, so versucht
- es seinen unsichtbaren Namen in die `Startup-Sequence` der Diskette einzutragen
- und die Virusdatei aus dem Speicher unsichtbar auf die Diskette zu schreiben.
- Nach einiger Zeit gibt `Darth Vader` folgenden Text in`s aktuelle Fenster
- aus:
-
- `VIRUS (1.1) by DARTH VADER`
-
- Dieses Filevirus richtet keine Schaeden an.
- Zugesandt wurde es mir von Erik Loevendahl Soerensen, Snaphanevej 10, 4720
- Praestoe , Daenemark, von der SHI (Safe Hex International ).
- `AntiCicloVir` kann es von der Diskette und aus dem Speicher entfernen.
-
-
-
-
-
-
-
-
-
-
- `DAG Creator`
-
- Dieses 7000 Bytes große Programm ist kein Virus !
- Hierbei handelt es sich viemehr um einen `Virusmaker`, der jedem
- Anwender klar zu verstehen gibt, wozu er programmiert wurde !
- Das Programm kopiert sich also nicht heimlich weiter und zerstört auch
- keine Disketten !
- Es erzeugt auf Wunsch auf der Diskette im Laufwerk `DF1` ein `Bootblock`-
- Virus namens `DAG`.
- Dieses `Bootblock`-Virus ist allerdings eine äußerst primitive `SCA`-
- Mutation, bei der nicht einmal der `SCA`-Text komplett entfernt wurde.
- Lesen Sie hierzu auch bitte das Kapitel `DAG` aus Anhang B !
- `AntiCicloVir` löscht den `DAG Creator`, sobald er ihn auf Diskette findet !
-
-
-
-
-
-
-
-
-
- `DISASTER-MASTER V2`
-
-
- Dieses 1740 Bytes große Virus tarnt sich als `Clear Screen`-Befehl
- unter dem Namen `cls` im `c`-Verzeichnis und schreibt einen eigenen
- Aufruf in die `s/startup-sequence`: `cls *` !
- Das Virus kann entweder von einem unwissenden Anwender aktiviert werden,
- der es aus dem `c`-Verzeichnis als `cls` startet !
- Dabei wird der Bildschirm gelöscht und das Virus in den Speicher kopiert.
- Wenn es von der `startup-sequence` aus gestartet wird, dann benutzt es
- die Option `*`.
- Dabei wird der sichtbare Bildschirm nicht gelöscht und das Virus
- bleibt so unbemerkt und kann sich in den Speicher kopieren !
- Im Speicher setzt das `Filevirus` die Vektoren KickTagPtr * &
- KickCheckSum * auf seine Adresse.
- Waehrend der Resetphase verbiegt das Virus den Vektoren DoIO () auf eine
- eigene Routine, welche auf den Zeitpunkt wartet, zu dem die `intuition.library`
- verfuegbar ist.
- Ist dies der Fall, so wird der Vektor OpenWindow () aus der `intuition.library`
- auf eine viruseigene Adresse verbogen und DoIO () wieder auf die ROM-Adresse
- gesetzt.
- Ueber OpenWindow () findet nun die Vermehrung statt, sobald das
- Betriebssystem das AmigaDOS-Fenster oeffnet !
- Anschliessend wird auch OpenWindow () wieder auf die ROM-Adresse gesetzt.
- So ist es nach jedem Reset aktiv und kopiert sich als `cls` in`s
- `c`-Verzeichnis neuer Disketten und schreibt den Befehl `cls *` in
- die `s/startup-sequence` !
- Dieses Virus wird auch vom `T.C.R. Intromaker` erzeugt, der in
- einigen PD-Serien erschienen ist !
- `AntiCicloVir` kann dieses Virus von der Diskette und aus
- dem Speicher löschen, sobald es es erkannt hat !
- Wenn sich dieses Virus im Speicher befindet, kann manchmal die
- `AmigaDOS`-Anzeige am linken oberem Bildschirmrand verschwinden !
- Dieses Virus scheint aber noch ein paar `Gag`s mehr `drauf zu haben,
- als ich in meiner letzten Dokumtation beschrieben habe !
- So kann es beispielsweise nach dem `Booten` von der `Systemdiskette`,
- das übliche `AmigaDOS`-Fenster in einen `Screen` umwandeln, wie man
- ihn beispielsweise von der `Workbench`-Oberfläche oder einigen
- `Textanzeigeprogrammen` her kennt !
- Das `Disaster Master V2`-Virus kann auch eine `Guru-Meditation` aus-
- lösen, wobei die Fehlernr. dem Herstellungsdatum dieses Viruses
- entspricht !
- Mit dieser Fehlermeldung stellt sich Ihnen das `Filevirus` vor und bietet
- die Moeglichkeit es zu loeschen an
- Im Virencode befindet sich auch eine Routine zum Zerstoeren von Disketten,
- von der ich allerdings nicht weiss, ob diese je erreicht wird ...
- Moeglicherweise wird diese Routine nach einer bestimmten Anzahl von
- Vermehrungen angesprungen.
-
-
-
-
-
-
-
-
-
-
-
- `Disk Killer V1.0`
-
- Diese 1368 Bytes lange Programmdatei ist ein reines Zerstoerungsprogramm,
- welche sich nicht in den Speicher kopiert, keine Vektoren verbiegt und
- sich auch nicht weiterkopieren kann.
- Aber (!) dafuer beinhaltet es eine Zerstoerungsroutine, die die Disketten
- in allen angeschlossenen Laufwerken unbrauchbar macht, nachdem folgender
- Text ausgegeben wurde:
-
- DISK-KILLER V1.0
- HEY YOU IN FRONT OF THE SCREEN !
- YOU ARE A LAMER !!!! HE HE HE
- WHY ????
- - BECAUSE YOU HAVE A VIRUS !!
- HE HE HE
- THIS WAS DONE IN TEN MINUTES
- BY THE MEGA-MIGHTY MAX
- BYE BYE DISK !!
- GREET ARE GOING TO:
- > LAMER EXTERMINATOR <
- SUFFER...`
-
- `AntiCicloVir` loescht dieses Programm beim Dateitest.
-
-
-
-
-
-
-
-
-
- `Disktroyer V1.0`
-
- Diese 804 Bytes große Bombe tarnt sich als `Clear Screen`-Befehl
- auf jeder Diskette: `cls` !
- Wird sie beispielsweise von der `s/startup-sequence` aktiviert, so verbiegt
- sie den Vektoren der `AllocMem`-Routine auf eine eigene Routine !
- Jedesmal wenn ein Programm versucht mit dieser Routine freien Speicher
- für eigene Zwecke zu allokieren, so wird automatisch die Bombe
- aktiviert !
- Der `Disktroyer V1.0` überprüft dann sofort den Schreibschutz
- aller Disketten in allen angeschlossenen Laufwerken !
- Sind die Disketten nicht geschützt, dann werden von ihnen alle Daten
- gelöscht und die Disketten sind zerstört !
- Anschließend wird eine `Alert`-Meldung ausgegeben !
- `Disktroyer V1.0` verbiegt außer dem `AllocMem`-Vektor keine weiteren Zeiger und ist
- auch nicht resetfest !
- Es ist sogar sehr wahrscheinlich, daß sich die Bombe selbst zerstört,
- wenn ein nachfolgendes Programm auf derselben Diskette die `AllocMem`-
- Routine benutzt !
- `AntiCicloVir` kann diese Bombe als `cls`-Befehl erkennen und
- löscht sie von der Diskette, sowie aus dem Speicher !
-
-
-
-
-
-
-
-
-
-
- `Disktroyer V2.0`
-
- Diese 812 Bytes lange Bombe ist fast nahezu identisch mit `Disktroyer V1.0` !
- Einziger Unterschied ist, dass nun anstelle von AllocMem (), der Vektor
- GetMsg () verbogen wird und die Zerstoerungsroutine gestartet wird, sobald
- die Zaehlzelle den Wert $22222222 erreicht hat.
- `AntiCicloVir` erkennt & loescht `Disktroyer V2.0` auf Diskette & im Speicher.
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `DiskVal1234`
-
- Bei diesem 1848 Bytes grossen Disk-Validator-Virus handelt es sich um eine
- Mutation des `SADDAM`-Viruses.
- Das `DiskVal1234`-Virus funktioniert im Speicher, auf der Diskette und auch
- bei der Vermehrung so, wie das `SADDAM`-Virus.
- Wenn Sie wissen wollen, wie derartige Disk-Validator-Viren genau funktionieren,
- welche Schaeden sie anrichten, wie man diese Viren & ihre Schaeden entfernen
- kann, dann empfehle ich Ihnen, sich das Kapitel `SADDAM`, aus dieser Dokumentation
- durchzulesen !
- Ich habe weder Lust noch Zeit alles doppelt zu schreiben, deshalb erwaehne ich
- hier nur die Unterschiede zum `SADDAM`-Virus, da der Rest identisch ist !
- Im Gegensatz zum Original-`SADDAM`-Virus, ist das Virus weder auf Disk noch
- im Speicher verschluesselt - allerdings traegt es auch keinen Namen mehr.
- Eine Vermehrung als `Disk-Validator`, wird jetzt auch nicht mehr im internen
- Laufwerk versucht, sondern in `DF1:` !
- Hintergrund ist wohl folgender Gedanke !
- Fast alle AMIGA-Besitzer haben mittlerweile mind. zwei Laufwerke.
- Disketten-Neuzugaenge werden daher meistens in `DF1:` eingelegt.
- Wenn das Virus Disketten im externen Laufwerk infiziert, hat es moeglicher-
- weise bessere Vermehrungschancen, als das Original-`SADDAM`-Virus !
- Die wesentliche Aenderung betrifft jedoch die Zerstoerungsroutine.
- Waehrend das alte `SADDAM`-Virus sich einen OFS oder FFS Datenblock aussuchte,
- ihm den Namen `IRAK` gab und den Inahlt verschluesselte, sucht sich `DiskVal1234`
- einen Datenblock aus, der mit 8 beginnt und veraendert ihn !
- Dabei wird nach $5a `1234` geschrieben und ab $64 dann jeweils 66 NOPpys, also
- ein Maschinensprachebefehl, der nichts weiter tut, als den Stack zu erhoehen.
- Dabei gehen jedoch die Programmdaten verloren !!!
- Wenn man bedenkt, dass schon das Aendern eines einzelnen Bytes zum Abstuerzen
- eines Programmes fuehren kann, dann kann man sich in etwa vorstellen, was
- passiert, wenn die o.g. Aenderung vorgenommen wird ...
- Programme deren Daten in solchen Bloecken lagen, duerften nicht mehr funktionieren.
- Dadurch soll wohl der Eindruck von Programmierfehlern in den betroffenen
- Programmen entstehen !
- Denn die Datenstruktur der Diskette wird nicht veraendert - es erscheinen
- also auch keine `read/write errors` oder dergleichen ...
- Die betroffenen Programme verhalten sich so, als waeren sie fehlerhaft programmiert.
- Jedoch ist ueber einen Disketten- oder `File`-Monitor eine Unterscheidung von
- `echten Programmierfehlern` moeglich.
- Diese veraenderten Programme koennen natuerlich NICHT mehr korrigiert werden !!!
- `AntiCicloVir` kann dieses Disk-Validator-Virus aus dem Speicher und von der
- Diskette entfernen !
- Zugesandt wurde es mir von Erik Loevendahl Soerensen, Snaphanevej 10, 4720
- Praestoe, Daenemark, von der SHI (Safe Hex International ).
-
-
-
-
-
-
-
-
-
-
-
-
-
- `DM-Trash`
-
- Bei diesem 4764 Bytes langen Programm handelt es sich um ein Einbruchswerk-
- zeug, welches gegen `AmiExpress` (Mailboxprogramm) gerichtet ist.
- Fuer `normale` AMIGA-Besitzer ist es also harmlos !
- Das Programm beinhaltet folgenden Text, um zu taeuschen:
- `New virus ... caused by the new FIXED(?) Version of DMS 1.11 Turbo !
- It is some kind of linkvirus and uses Devices like DH0:, LIBS:, and BBS: (!!) ...`
-
- Dieses Programm veraendert einige `AmiExpress`-Dateien, wie z.B.
- `bbs:config1`, `bbs:user.data` oder etwa `bbs:user.key` ...
- `AntiCicloVir` erkennt die `DM-Trash`-Datei im Dateitest und bietet Loeschen
- an.
-
-
-
-
-
-
- `DriveInfo V0.91`
-
- Dieses Programm mit einer Laenge von 1704 Bytes ist als Utility getarnt
- worden.
- Es versucht den ahnungslosen Anwender dadurch zu taeuschen, indem es nach
- seinem Aufruf einige Laufwerksdaten ausgibt.
- Dabei installiert es allerdings auch einen Interrupt namens `Install yeah!`
- Dieser Interrupt widerum, installiert seinerseits nach etwa einer Minute
- das Linkvirus `Crime!++` im Speicher, welches hiernach vollkommen aktiv
- ist und Ihre Dateien infizieren kann !
- `DriveInfo V0.91` ist also ein sogen. Trojanisches Pferd !
- `AntiCicloVir` erkennt dieses Programm im Dateitest und bietet Ihnen die
- Moeglichkeit es zu Loeschen an.
-
-
-
-
-
-
-
-
-
-
-
- `Excrement Creator`
-
- Dieses 1180 Bytes lange Programm erzeugt das `Excrement`-Bootblock-Virus
- im Speicher.
- Es handelt sich hierbei also, um ein Vireninstallationsprogramm !
- `AntiCicloVir` bietet im Dateitest Loeschen an.
-
-
-
-
-
- `Freedom`
-
- Dieses Programm mit einer Dateilaenge von 10876 Bytes stellt ein klassisches
- Zerstoerungsprogramm dar !
- Es ist nicht resetfest, verbiegt keine Vektoren, steht nicht im Speicher
- und kann sich erst recht nicht weiterkopieren.
- Dafuer taeuscht es durch folgenden Titel:
-
- Freedom! by Steve Tibbett
- Checking df0: for 126 viruses`
-
- Waehrenddessen wird abwechselnd `SADDAM-Virus removed` oder etwa `SMILY-
- CANCER-Virus removed` ausgegeben und leider auch jeder fuenfte Datenblock
- auf Diskette mit unterschiedlichem Speichermuell ueberschrieben !!!
- Diese Disketten sind dann leider nicht mehr zu retten !!!
- `AntiCicloVir` bietet Ihnen die Moeglichkeit, dieses Zerstoerungsprogramm
- beim Dateitest zu Loeschen.
-
-
-
-
-
-
- `Golden Rider`
-
-
- Das `Golden Rider`-Virus ist das zweite `echte Linkvirus` in meiner
- Dokumentation !
- Dieses Virus steht immer ab $7C000 über CoolCapture * resetfest im
- Speicher !
- Es verbiegt ansonsten noch die Vektoren DoIO () und Open () aus der `dos.
- library` !
- Dieses `Linkvirus` funktioniert, meiner Meinung nach anders, als übliche
- Linkviren !
- Während Linkviren wie `CCCP` oder `Smily Cancer` beispielsweise einen
- eigenen `Hunk` in ein infiziertes Programm schreiben und diesen in dessen
- `Hunk`-Tabelle eintragen, kopiert sich das `Golden Rider`-Virus selbst
- in den ersten Programm-`Hunk` !
- Dadurch kann man es nicht mehr über die `Hunk`-Tabelle erkennen, sondern
- muß den kompletten ersten `Hunk` eines Programmes auf dieses Virus
- checken !
- Das Virus ersetzt einfach den Befehl `RTS` am Ende des ersten `Hunk`s
- durch `NOP` und kopiert sich selbst dann hinter diese Stelle.
- Dadurch wird beim Beenden des ersten `Hunk`s nicht in die aufrufende
- Ebene zurückgesprungen, sondern nur der Programmzähler erhöht und
- anschließend das Virusprogramm ausgeführt !
- Das Virus zerstört keine Disketten und gibt auch keine Meldetexte aus.
- Momentan wird es von `AntiCicloVir` auch nur im Speicher erkannt.
- Dieses Virus ist ohnehin schwerer zu erkennen als andere Linkviren.
- Allerdings ist der Text: `>>> Golden Rider <<< by ABT` immer am Ende
- des ersten `Hunk`s lesbar !
-
-
-
-
-
-
-
- `Gotcha Lamer`
-
- Die `Gotcha Lamer`-Bombe scheint so eine Art Festplatten-Bombe zu sein.
- Denn diese, nur 372 Bytes große Bombe, hängt nur in einigen `CLI`-
- Befehlen im `c`-Verzeichnis der Festplatte !
- Ein `Reptil` namens `MINIDEMO.EXE` gilt als Erzeugerprogramm dieser Bombe !
- Nach seinem Aufruf wurde unter meinem `Amiga KickStart V1.2` zwar kein
- Demo erzeugt, dafür aber hat das Programm versucht die `Gotcha Lamer`-
- Bombe nach: `dh0:c/dir`,`dh0:c/run`,`dh0:c/cd` und `dh0:c/execute` zu
- kopieren !
- Im Speicher verbiegt die `Gotcha Lamer`-Bombe den DoIO ()-Vektoren auf ihre
- eigene Adresse.
- Die Bombe kann eine Zerstörungsroutine starten, wobei es auch den
- Text: `HAHAHE ... Gotcha LAMER !!!` ausgibt !
- Ob `Gotcha LAMER` als `Link` auf der Festplatte erkannt wird,
- konnte ich aus technischen Gruenden (habe keine Festplatte ) nicht nachpruefen !
-
- Im Speicher wird die `Gotcha LAMER`-Bombe erkannt und gelöscht.
- Dafür wird aber das Erzeugerprogramm `MINIDEMO.EXE` im Haupt- oder `c`-
- Verzeichnis erkannt und gelöscht, wenn es unter diesem Namen abgespeichert
- wurde.
-
-
-
-
-
-
-
-
- `HARD oder HARDEX`
-
- Hierbei handelt es sich wieder einmal um eine `SADDAM`-Mutation !
- Sie koennen also alle Informationen ueber diesen 1848 Bytes langen
- `Disk-Validator` unter `SADDAM` nachlesen ... aber nicht folgende:
- Ein Lamer hat versucht aus dem `SADDAM`-Disk-Validator-Virus ein Festplatten-
- virus zu machen ...(das konnte ja nicht gut gehen)
- Der Pfad `DF0:` im Virencode wurde nun auf `DH0:` abgeaendert und ausserdem
- die Zeichenkette `trackdisk.device` entfernt.
- Denn, so dachte der Lamer, wenn sich das Virus nur auf die Festplatte
- kopieren soll, so benoetigt es doch kein `trackdisk.device` ...
- Nun ja, das ist vom Prinzip her auch richtig, aber praktisch falsch !
- Denn merke Lamer:
- Das `SADDAM`-Virus benoetigt die Zeichenkette `trackdisk.device`, um nach
- diesem `Geraet` im System zu suchen, damit es dessen Vektoren BeginIO ()
- & Close () auf die eigene Vermehrungsroutine verbiegen kann !
- Ausserdem sollen doch noch die Datenbloecke verschluesselt und die Disketten
- formatiert werden !
- Deshalb haengt das `HARDEX`-Virus, nachdem es aktiviert wurde, auch nur im
- Speicher ueber ColdCapture herum und macht sonst nichts ...
- `AntiCicloVir` erkennt das `HARDEX`-Virus nur im Speicher namentlich, aber
- auf Disk wird es weiterhin als `SADDAM`-Virus erkannt.
-
-
-
-
-
-
-
-
-
-
-
-
- `Hochofen`
-
- Dieses 3000 Bytes lange Linkvirus ist nicht spreicherresident und verbiegt
- auch keine Vektoren.
- Es steht als erster `Hunk` in ausfuehrbaren Programmen und versucht sich
- gleich nach dem Aufruf zu vermehren.
- Dabei liest es das Verzeichnis der Diskette aus und baut sich in ausfuehr-
- bare Dateien ein.
- Es kann also nur Dateien infizieren, die sich auf derselben Diskette befinden.
- Ausserdem findet vorher auch kein Schreibschutz-Test statt.
- Das Virus richtet keine absichtlichen Schaeden an, kann aber Programmdateien
- fehlerhaft veraendern, da es viele `Hunk`-Typen nicht kennt !!!
- Diese Programmdateien koennen jedoch wieder korrigiert werden - nicht von
- `AntiCicloVir` - da keine Programmdaten zerstoert werden !
- Hiernach installiert es einen eigenen Prozess mit dem Namen `Greetings to
- Hochofen`.
- Dieser Prozess gibt nach einer Weile einen Requester mit dem Text
- `Fasten seat-belt` aus und erzeugt die Deutschlandflagge und spielt die
- Nationalhymmne.
- Eine Vermehrung ueber diesen Prozess ist nicht moeglich - auch werden keine
- Schaeden angerichtet !
- Beim Versuch diesen Prozess zu entfernen, erhielt ich leider Systemabstuerze,
- weshalb `AntiCicloVir` ihn nun im Speicher nur anzeigen, aber nicht ent-
- fernen, kann !
- Auf der Diskette wird das `Hochofen`-Linkvirus ebenfalls erkannt.
- Zugesandt wurde es mir von Erik Loevendahl Sorensen, Snaphanevej 10, 4720
- Praestoe, Daenemark, von der SHI ( Safe Hex International ).
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `Infiltrator`
-
- Dieses 1052 Bytes lange Linkvirus laeuft nicht mehr mit aelteren Betriebs-
- systemen, wie etwa KS1.2/1.3.
- Sobald es durch ein infiziertes Programm aktiviert wurde, prueft es die
- Hauptversionsnr. der `dos.library`.
- Ist diese kleiner als 36, so installiert es sich nicht im System - andern-
- falls verbiegt es den Vektoren LoadSeg () auf seine eigene Adresse.
- Es ist also nicht resetfest !
- Das Virus wird also durch die DOS-Routine LoadSeg () aktiviert.
- Dann uberprueft es das zu infizierende Programm daraufhin, ob es ausfuehrbar
- ist und sucht am Ende des ersten `Hunk`s nach Ruecksprungbefehlen, wie etwa
- $4E75 (`RTS`), um diese durch einen eigenen Befehl zu ersetzen und sich selbst
- dort hinter `dran zu haengen.
- Im Programm ist ein verschluesselter Textteil enthalten:
- `Howdy hacker ! This is the Infiltrator`
-
- Ausserdem versucht es noch die Datei `user.data` zu oeffnen, was heisst,
- dass es auch gegen `AmiExpress (Mailboxprogramm) gerichtet sein koennte
- und evtl. als eine Art Einbruchsprogramm dient ...
- Leider kann `AntiCicloVir` dieses `Linkvirus` nur im Speicher erkennen.
-
-
-
-
-
-
-
-
-
-
-
-
-
- `IRQ`
-
- Dieses 1096 Bytes große `Linkvirus`, gilt als das älteste und erste `Amiga-
- Linkvirus`.
- Es kopiert sich als `Hunk` entweder in das erste ausführbare Programm aus
- der `s/startup-sequence` oder es infiziert den `CLI`-Befehl `dir`, falls
- es kein anderes ausführbares Programm gefunden hat !
- Um resetfest zu bleiben setzt es die Zeiger KickTagPtr * & KickCheckSum *
- auf seine Adresse im Speicher.
- Zum Weiterkopieren wird der Vektor der Routine OldOpenLibrary () verbogen.
- Die `OldOpenLibrary`-Routine entstammt dem `KickStart V1.0` und sollte von
- neueren Programmen nicht mehr verwendet werden, da es mittlerweile eine
- bessere Routine namens OpenLibrary () gibt !
- Die `OldOpenLibrary`-Routine wurde unter den neuen Betriebssystem-Versionen
- nur deshalb erhalten, damit ältere Programme auf den neueren Amiga-Modellen
- auch noch laufen !
- Die `OpenLibrary`-Routinen werden von Programmen benutzt, um die System-
- bibliotheken zu öffnen !
- Denn sämtliche für Programme wichtige Routinen, sind schon im Betriebssystem
- enthalten und können somit von Programmen genutzt werden !
- Das `IRQ`-Virus richtet keine Schäden an, kann aber durch Texte in der
- Fensterleiste wie folgende recht nerven: `AmigaDOS presents a new virus by
- the IRQ-Team V41.0`.
- Das `IRQ`-Linkvirus arbietet nur mit KickStart V1.2 zusammen und erzeugt,
- bei hoeheren ROM-Versionen gleich nach dem Start Systemabstuerze.
- AntiCicloVir kann dieses `Linkvirus` auf Diskette anzeigen und im Speicher anzeigen & loeschen !
-
-
-
-
-
-
-
-
-
-
-
-
-
- `JEFF Butonic V1.31`
-
- Dieses `Filevirus steht immer als ausfuehrbares Programm auf der
- Diskette, welches von der `Startup-Sequence` aus aufgerufen wird.
- Es kopiert sich an eine relative Speicheradresse in`s CHIP-RAM und ist
- resetfest ueber die Vektoren KickTagPtr * & KickCheckSum * !
- Es verbiegt auch den Vektoren der Routine DoIO () auf seine eigene Adresse
- und setzt den Vektor $68 auf sich selbst.
- Ausserdem kann es auch die Vektoren ColdCapture * & CoolCapture * loeschen,
- wobei es auch die `ChkSum` neu berechnet ... (sehr gruendlich)
- Nach dem Reset gibt es hin und wieder folgenden `Alert`-Text aus:
-
-
- `Einen wunderschoenen guten Tag !
- I am JEFF - the new virus generation
- on Amiga *
- (w) by the genious BUTONIC dHV 1.31/
- 05.01.88 - Generation Nr. 00011
- Greetings to * Hackmack *,* Atlantic*,
- Wolfram, Frank, ...
- Miguel, Alex, Gerlach, and the whole
- Physik - LK from MPG !!`
-
- Ueber den verbogenen DoIO ()-Vektoren erfolgt die Vermehrung !
- Sobald eine Diskette eingelegt und diese nicht schreibgeschuetzt ist,
- wird sie infiziert !
- Dabei steht dem `Filevirus` ein Arsenal von Tarnnamen zur Verfuegung ...
- Unter folgenden Tarnnamen kann es in der `Startup-Sequence` erscheinen:
-
- - `AddBuffers 20`
- - `Add21K`
- - `break 1 D`
- - `changetaskpri 5`
- - `wait `
- - `Arthus`
- - `Helmar`
- - `Aloisius`
- - $A0A0A020
- - $2020
-
- Der Tarnname $2020 entspricht zwei Leerzeichen !
- Leerzeichen werden in der `Startup-Sequence` jedoch NICHT als Dateiname
- annerkannt, weshalb eine Vermehrung mit diesem Tarnnamen nicht moeglich sein duerfte ...
- Das `Filevirus` steht immer verschluesselt auf Diskette.
- Ausserdem werden die `Kick`-Pointer ueber die verbogene DoIO ()-Routine ueberwacht !
- ueber $68 gibt das `JEFF`-Virus folgende Texte fuer die Fensterleiste aus:
-
- - `Ich brauch jetzt`n Bier !`
- - `Stau auf Datenbus bei Speicherkilometer 128 !`
- - `Mehr Buszyklen fuer den Prozessor !`
- - `Ein dreifach MITLEID fuer Atari ST !`
- - `BUTONIC !`
- - `Schon die Steinzeitmenschen benutzten MS-DOS ... einige sogar heut` noch !`
-
- - `Schon mal den Sound von PS/2 gehoert ???`
- - `PC/XT - AT: Spendenkonto 004 ...`
- - `Unabhaengigkeit & Selbstbestimmung fuer den Tastaturprozessor !`
-
- - `Paula meint, Agnus sei viel zu dick.`
- - `IBM PC/XT: Ein Fall fuer den Antiquitaetenhaendler ...`
-
- - `Sag mir, ob du Assembler kannst, und ich sag dir wer du bist ...`
-
- `AntiCicloVir` loescht das `Filevirus` aus dem Speicher, wenn es es gefunden hat,
- indem es die Vektoren DoIO() & $68 auf ihre ROM-Adressen setzt & die `Kick`-Pointer loescht.
-
- Auch von der Diskette kann `AntiCicloVir` es loeschen, doch sollten Sie
- hiernach auch die `Startup-Sequence` korrigieren !
-
-
-
-
-
-
-
-
-
-
-
- `JEFF Butonic V3.00`
-
- Dieses 2916 Bytes große `Filevirus` kopiert sich unter einem unsichtbaren
- Namen, der in hexadezimal dem Wert $A0A0A0 entspricht, weiter !
- Damit funktioniert es ähnlich wie die `Fileviren` `Revenge Of The LAMER
- Exterminator` und `Bret Hawnes` !
- Außer seinen Namen schreibt dieses Virus auch noch einen Maschinensprache-
- befehl in die `s/startup-sequence`, so daß ein Editieren mit dem `CLI`-Befehl
- `ed` unmöglich ist ( `File contains binary !` ) !
- Sobald das `Filevirus` von der `s/startup-sequence` aus gestartet wurde,
- kopiert es sich in den Speicher und setzt die Zeiger KickTagPtr * und
- KickCheckSum * auf sein Resetprogramm !
- Außerdem wird noch der Vektor DoIO () verbogen, welcher jede eingelegte
- Diskette auf Schreibschutz überprüft und das Virus ansonsten `drauf-
- kopiert.
- Dieser Vektor überwacht auch die `Kick`-Vektoren und setzt sie nach
- jedem Löschen wieder neu, so daß auch DoIO () auf`s ROM gesetzt
- werden sollte, wenn das Virus aus dem Speicher entfernt wird !
- `AntiCicloVir` löscht das `Filevirus` im Speicher, falls es es gefunden
- hat.
- Auf der Diskette erkennt `AntiCicloVir` ebenfalls das `JEFF Butonic`-Virus
- V3.00 und löscht auch den Aufruf aus der `s/startup-sequence` !
- Das `JEFF Butonic`-Virus V3.00 zerstört keine Disketten.
- Es wird auch von einem Programm namens `*JEFF*VIRUSKILLER` erzeugt !
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `LAME`
-
- Auch hierbei handelt es sich wieder einmal um eine Mutation des `SADDAM`-
- Disk-Validator-Viruses !
- Sie koennen also alle Informationen zu diesem Virustyp unter `SADDAM` nach-
- lesen !
- Es wurde lediglich ein Langwort im Virencode geaendert- naemlich `IRAK`
- gegen `LAME` ausgetauscht ... sogar der alte Name `SADDAM Virus` wurde
- nicht geaendert.
- Dieses Langwort erhalten ja die, mit dem `SADDAM`-Virus verschluesselten,
- Datenbloecke als Kennung.
- Entweder war dies ein Taeuschungsversuch eines Anfaengers oder vielleicht
- ein Racheakt der `LAMER Exterminator` !?!?
-
-
-
-
-
-
-
-
-
-
-
-
- `Liberator v1.21/3.0`
-
- Diese beiden Programme sind von der Definition her eigentlich keine `echten
- Viren`.
- Denn die Programme `Liberator v1.21` ( 10936 Bytes ) & `Liberator V3.0`
- ( 10712 Bytes ) stehen nicht im Speicher, sind nicht resident und verbiegen
- auch keine Vektoren.
- Deshalb funktionieren sie auch unter `KickStart V2.04`.
- Sie versuchen dem Anwender ein Nutzprogramm - in diesem Falle einen Virus-
- killer - vorzutaeuschen !
- Sie stehen unter dem Namen `cv` auf der Diskette oder Festplatte.
- Das Virus `Liberator V3.0` taeuscht durch folgenden Text:
-
- `Check Vectors rev. 5.1 All Rights Reserved more TUPperware @ by Mike Hansell
- Reset vectors ok, Nothing resident, Trackdisk.device not intercepted, DoIO ok,
- VBlank ok, dos.library not intercepted.
- System appears to be free of viruses and trojans !`
-
- Gleichzeitig versucht `Liberator V3.0` auf der Festplatte die Datei `.fastdir `
- zu erzeugen, welche es spaeter als Zaehlstelle benutzt.
- `Liberator V3.0` kopiert sich unter seinem Tarnnamen nach `dh0:` und veraendert
- dort auch die `Startup-Sequence`:
-
- `execute s:startup-sequence 2`
- cv >NIL:
- endcli >NIL:`
-
- In `dh2:` sehen die Veraenderung wie folgt aus:
-
- `LoadWb
- cv >NIL:
- EndCLI >NIL:`
-
- Und in `dh3:`:
-
- `LoadWB -debug`
- cv >NIL:
- endcli >NIL:`
-
- Das Geraet `NIL:` ist ein wahres `Datengrab` - was einmal hier eingegeben
- wurde verschwindet auf `nimmer Wiedersehen` ...
- Damit soll bewirkt werden, dass das `Liberator`-Virus V3.0 sich bei der
- Arbeit, nicht durch seine eigene Tarnfunktion verraet - es erscheinen also
- keine Ausgabetexte mehr, wie etwa beim Start vom `AmigaDOS` aus !
- Bei jedem Durchlauf der `Startup-Sequence`, wird die Zaehlstelle in der
- Datei `.fastdir ` auf der Festplatte um eins erhoeht.
- Sobald der Wert 100 erreicht wird, wird folgender Text ausgegeben:
-
- `Congratulations your hard disk has been liberated of virus protection !!
- Hello from the liberator virus v3.0 -
- Digital Deviant
- The anti-anti-virus is here again !
- Lets play trash the hard disk
- and ram the disk heads
- Only hardcore belgian rove can
- truely liberate the mind
- The liberator 15/01/92`
-
- Es scheint sich hierbei also um ein `Festplattenvirus` zu handeln, welches
- sich jedoch nicht vermehren kann und offenbar auch keine Schaeden anrichtet.
- `Liberator V1.21/3.0` ist also ein recht harmloses Programm !
- `AntiCicloVir` kann es von der Diskette entfernen.
- Ob dies auch bei der Festplatte funktioniert, kann ich nicht bestaetigen,
- da ich keine Festplatte besitze.
- Zugesandt wurden mir diese beiden Viren von Erik Loevendahl Soerensen,
- Snaphanevej 10, 4720 Praestoe, Daenemark, von der SHI (Safe Hex International ).
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `Liberator V5.01`
-
- Dieses 16924 Bytes grosse Programm funktioniert aehnlich wie `Liberator V1.21/
- 3.0`.
- Allerdings infiziert es diesmal die Disketten und nicht mehr die Festplatten.
- Auch dieses Programm taeuscht einen Viruskiller vor:
-
- `PV (Protect Vectors)v1.02 by Peter Stuer July 22, 1992 FREEWARE
- Reset vectors ok, Nothing resident, Trackdisk.device not intercepted, DoIO ok,
- VBlank ok, low interrupts ok, dos.library not intercepted.
-
- monitoring vectors ...
- Fully KickStartV2.xx compatible, stops all viruses, checks disk-validators.
-
- Use run to push this programm into background.`
-
- Gleichzeitig kopiert sich `Liberator V5.01` nach `df1:` und zusaetzlich folgende
- weitere Programmdateien : `:c/run`, `:c/br`, `:c/sl.info ` !
- Ausserdem wird beim Kopieren immer der letzte Buchstabe von `:c/PV` geaendert -
- wohl um eine Erkennung zu erschweren ...
- Das `Liberator V5.01`-Virus befindet sich also in der Programmdatei `:c/PV`,
- und in `:c/sl.info ` befindet sich wieder einmal eine Zaehlstelle.
- Auch die `Startup-Sequence` wird geaendert:
-
- `br c:PV`
-
- Der Befehl `br` steht fuer `backrun`.
- Das Programm `PV` soll also als Hintergrundprozess laufen !
- Allerdings ist `Liberator V5.01` nicht resetfest und verbiegt auch keine Vektoren,
- kann sich aber durch diesen Mechanismus vermehren !
- Es beinhaltet den folgenden Ausgabetext:
-
- `Congratulations this disk has bean liberated of virus protection !!
-
- Hello from the Liberator virus v5.01 -
- Random Disaster
- The anti-anti-virus is here again !
- Lets play trash the hard disk
- and ram the disk heads
- The piracy curse
- Liberator V - The future is near.
- Look out for Liberator VI - The final nightmare ...
- coming soon from a lame swapper near you !
- Respect to the virus masters Lamer Exterminator,Crime & Contrast
- And remember be excellent to each other !
- The liberator 27/07/92
- Virus Generation:`
-
- Dieses Programm ist jedoch recht harmlos, da es keine Schaeden anrichtet.
- `AntiCicloVir` kann es auf der Diskette erkennen und entfernen.
- Zugesandt wurde mir dieses Virus von Erik Loevendahl Soerensen, Snaphanevej 10,
- 4720 Praestoe, Daenemark, von der `SHI` Safe Hex International ).
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `LOOOOM`
-
- Dieses 1848 Bytes lange Programm ist ein `Disk-Validator`-Virus.
- Es handelt sich hierbei jedoch um eine recht simple Mutation des `SADDAM`-
- Viruses, an der ausser dem Namen nichts geaendert wurde.
- Lesen Sie also bitte alle weiteren Informationen zu derartigen Viren unter
- dem Kapitel `SADDAM` nach !
- `AntiCicloVir` erkennt es namentlich im Speicher und entfernt es.
- Auf der Diskette wird es als `SADDAM`-Virus erkannt und entfernt, da es dort
- zu 100 % identisch mit diesem ist !
- Nur der verschluesselte Text lautet jetzt nicht mehr `SADDAM VIRUS`, sondern
- `LOOOOM VIRUS` !
- Zugesandt wurde es mir von Erik Loevendahl Soerensen, Snaphanevej 10, 4720
- Praestoe, Daenemark, von der `SHI` ( Safe Hex International ).
-
-
-
-
-
-
-
-
- `MENEM`s REVENGE`
-
- Dieses 3076 Bytes lange `Linkvirus` gehoert zu der neuen Generayion der-
- artiger AMIGA-Viren.
- Sobald es sich in den Speicher kopiert hat, verbiegt es den Vektor der
- Routine LoadSeg () auf seine eigene Adresse.
- Jedesmal, wenn diese Routine benutzt wird, wird das Virus nun aktiv.
- Starten Sie beispielsweise ein Programm von der `Workbench`-Oberflaeche
- aus, so wartet `MENEM`s REVENGE` so lange, bis ein zweites Programm gestartet
- wurde.
- Erst jetzt wird es aktiv und befaellt das zuerst aufgerufene Programm.
- Dabei benutzt es die von neueren `Linkviren` verwandte Methode.
- Es sucht im ersten `Hunk` der Datei nach dem Maschinensprachebefehl $4E75 = `rts`
- und ersetzt ihn durch $4E71 = `nop` und haengt sich selbst an`s Ende des
- ersten `Hunk`s.
- So wird es immer aktiviert, wenn das Ende des aufgerufenen Programmes erreicht
- wird.
- Ausserdem startet es einen Prozess mit dem Namen ` `,0, der nach einiger Zeit
- ueber einen `Alert` folgenden Text ausgibt:
-
- `MENEM`S REVENGE HAS ARRIVIED !!!`
- `ARGENTINIA STILL ALIVE`
-
- Es wurden keine Zerstoerungsroutinen im `Linkvirus` gefunden.
- `AntiCicloVir` kann es bisher nur im Speicher erkennen & entfernen, jedoch
- nicht auf der Diskette.
- Zugesandt wurde es mir von Erik Loevendahl Soerensen, Snaphanevej 10, 4720
- Praestoe, Daenemark, von der `SHI` ( Safe Hex International ).
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `Modemchecker`
-
- Beim `Modemchecker` handelt es sich um ein sogen. Trojanisches Pferd mit
- einer Laenge von 15516 Bytes.
- `Modemchecker` ist nicht resetfest, verbiegt keine Vektoren, steht nicht
- im Speicher und kann sich selbst auch nicht weiterkopieren - ist also kein
- Virus !
- Das Programm versucht eine sinnvolle Funktion vorzutaeuschen, indem es
- die Modemleitungen am seriellen Port testet.
- Doch waehrend es dies tut, installiert es einen 3604 Bytes langen `LoadWB`-
- Befehl auf der Diskette - hoppla noch ein Trojanisches Pferd !!!
- Und dieser Befehl hat es im wahrsten Sinne des Wortes in sich ...
- Er funktioniert jeeoch erst ab KS2.04, wodurch er, beim Versuch die `Workbench`
- zu laden, sich unter KS1.2/1.3 verraten duerfte !
- Dieser `LoadWB`-Befehl installiert nach einiger Zeit einen Prozess namens
- `Diskdriver.proc`.
- Nach einiger Zeit zerstoert dieser Prozess das jeweilige Speichermedium,
- indem er die Bloecke mit dem Wort `FUCK` auffuellt !
- Das duerfte dann zum totalen Datenverlust fuehren !
- `AntiCicloVir` erkennt das `Modemchecker`-Programm, sowie dessen `LoadWB`-
- Befehl im Dateitest und bietet Loeschen an.
- Ausserdem kann es Sie auch vor dem Prozess `Diskdriver.proc` warnen, ihn
- jedoch nicht entfernen !
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `NANO`
-
- Das 1484 Bytes große `Filevirus` namens `NANO`, tarnt sich immer unter dem
- unsichtbaren Namen $A0A0A0A0A0A0 im Hauptverzeichnis einer infizierten
- Diskette.
- Wenn es von der `Startup-Sequence` aufgerufen wird, kopiert es sich ab
- $7C000 in den Speicher und verbiegt die Vektoren CoolCapture *, OldOpenLibrary ()
- und SumKickData () !
- Außerdem werden zwei Zählstellen installiert !
- Bei jedem Aufruf der OldOpenLibrary ()-Routine durch ein Anwenderprogramm,
- versucht sich das Virus zu vermehren, indem es sich als unsichtbare Datei
- auf Diskette kopiert und seinen Namen an erster Stelle in die `Startup-Sequence`
- einträgt !
- Nach jedem sechsten Aufruf wird folgender `Alert`-Text ausgegeben:
-
- ` ... another masterpiece by N A N O !!!
-
- GREETINGS TO:
-
- Byte Bandit, Byte Warrior, DEF JAM, DiskDoktors,
- FANTASY, Foundation For The Extermination Of Lamers,
- I.R.Q. Team, Obelisk Softworks Crew, S.C.A., UNIT A ...`
-
- Nach jedem sechsten `Reset` wird mittels einer `Copper`-Grafik die Deutschland-
- flagge dargestellt.
- Beim Drücken der linken Maustaste, verschwindet die Grafik, der Bildschirm wird
- grün und die LED beginnt zu blinken ...
- Dadurch könnte bei einigen Anwendern der Eindruck entstehen, das Virus sei
- nun angestürzt und befinde sich nicht mehr im Speicher !
- Aber Vorsicht !!!
- Es ist danach noch weiterhin aktiv und kann sich vermehren !
- Bei Aufruf der SumKickData ()-Routine werden die viruseigenen Vektoren über-
- wacht und ggf. neu gesetzt und die übrigen evtl. verbogenen `Reset`-Vektoren
- gelöscht.
- Schäden richtet das `NANO`-Virus keine an.
- `AntiCicloVir` erkennt dieses Virus auf Diskette und im Speicher und löscht es.
-
-
-
-
-
-
-
-
- `NANO II`
-
- Dieses `Filevirus` mit einer Laenge von 1472 Bytes ist sozusagen der Nachfolger
- des alten `NANO`-Viruses, jedoch anders programmiert.
- Es steht ebenfalls unter einem unsichtbaren Dateinamen auf der Diskette -
- in diesem Falle unter $A0A0A0A0 - und traegt diesen an erster Stelle in
- die `Startup-Sequence` ein.
- Dieses `Filevirus` ist nun wohl das erste, welches fuer seine eigene Datei
- & die `Startup-Sequence` die `Protection-Bits` setzt, welche vor einem
- Loeschversuch schuetzen !!!
- Sobald es beim Abarbeiten der `Startup-Sequence` aktiviert wurde, kopiert
- es sich nach $7C000 in den Speicher und verbiegt folgende Vektoren:
- CoolCapture, Interrupt 3,SumKickData (), DoIO (), Open (), Lock () & LoadSeg ().
- Ueber CoolCapture ist das Virus resetfest.
- Ueber SumKickData () ueberwacht das Virus nur seine Vektoren und setzt diese
- ggf. zurueck.
- Die Routine, die ueber den verbogenen Interrupt-Vektoren angesprungen wird,
- ueberwacht permanent alle Virus-Vektoren.
- DoIO () verbiegt das `NANO`-Virus, um die DOS-Vektoren zu verbiegen, sobald
- die `dos.library` nach dem Reset verfuegbar ist.
- Aber auch danach bleibt DoIO () auf eine Virus-Routine verbogen, welche
- permanent alle DOS-Vektoren ueberwacht.
- Die Vermehrung des `Fileviruses` findet schliesslich ueber die DOS-Vektoren
- Open (), Lock () & LoadSeg () statt.
- Das Virus meldet sich nie und richtet auch keine Schaeden an.
- Da die DOS-Vektoren unter KS1.2/1.3 auf eine GlobeVec-Struktur zeigen und unter
- KS2.04 auf`s ROM, sind sie folglich auch anders aufgebaut.
- D.h. das neue `NANO`-Virus duerfte nur unter KS1.2/1.3 funktionieren !
- Unter OS3.0 fuehrte es bei mir jedenfalls immer zum Absturz ...
- `AntiCicloVir` erkennt & loescht das `NANO`-Virus II im Speicher & auf Diskette.
- Bevor Sie den Virusnamen aus der `Startup-Sequence` loeschen, muessen Sie
- noch die `Protection-Bits` entfernen !
-
-
-
-
-
-
-
-
-
-
-
- `NaST`
-
- Dieses `Filevirus` mit einer Laenge von 2608 Bytes benutzt das gleiche Prinzip,
- wie die `Fileviren` des Types `BGS9/Terrorists`, um sich zu vermehren !
- Es verschiebt das Programm, welches als erstes von der `Startup-Sequence` aus
- aufgerufen wird, in`s Unterverzeichnis `:c` und gibt ihm den unsichtbaren
- Namen $A020A020A020202020A0202020A0.
- Anschliessend kopiert es sich selbst anstelle des Original-Programmes, welches
- ja verschoben wurde.
- Bei jedem Abarbeiten der `Startup-Sequence` wird nun anstelle des Original-
- Programmes das `NaST`-Virus aktiviert und ausgefuehrt !
- Es kopiert sich an eine freie Speicherposition und verbiegt dabei die
- Vektoren KickMemPtr, KickTagPtr, KickCheckSum, FindTask (), OldOpenLibrary (),
- OpenLibrary (), OpenWindow () & Interrupt 3 auf seine eigenen Adressen.
- Anschliessend laedt es mit der DOS-Routine LoadSeg () das Original-Programm
- aus dem Unterverzeichnis `:c` in eine Segmentliste und laesst es mit der
- DOS-Routine CreatProc () als Programm starten !
- Zum Schluss wird mit UnLoadSeg () die Segmentliste wieder freigegeben.
- Somit versucht das `NaST`-Virus den Anwender zu taeuschen !
- Resetfest ist es ueber die `Resident`-Strukturen.
- Dabei steht in KickMemPtr eine viruseigene `MemList`-Struktur und in KickTagPtr
- die Adresse auf das Resetprogramm des `NaST`-Viruses.
- Der Vektor OpenWindow () wird nur waehrend des Reset`s verbogen, damit sich
- das Virus weiterkopieren kann und anschliessend wieder auf die ROM-Adresse
- gesetzt.
- Aber auch ueber die verbogenen Vektoren der Routinen OldOpenLibrary () &
- OpenLibrary () kann sich das Virus weiterkopieren !
- Den Interrupt-Vektoren 3 verbiegt das `Filevirus` auf ein eigenes Interrupt-
- Programm, welches permanent die eigenen Vektoren ueberwacht !
- `AntiCicloVir` erkennt & loescht `NaST` im Speicher und auf Diskette und
- verschiebt auch das Original-Programm wieder an seinem urspruenglichen Platz
- auf der Diskette.
-
-
-
-
-
-
-
-
-
-
-
- `No Guru V2.0`
-
- Bei diesem Programm mit einer Laenge von 1224 Bytes, handelt es sich wieder
- einmal um ein Einbruchswerkzeug, welches gegen `AmiExpress`(Mailboxprogramm)
- gerichtet ist.
- Es ist fuer `normale` AMIGA-Besitzer also harmlos, da es weder resetfest ist,
- sich noch weiterkopiert.
- Allerdings steht es im Speicher und verbiegt die Vektoren Alert () & Auto-
- Request () !!!
- Nach dem Start versucht es eine sinnvolle Funktion vorzutaeuschen:
-
- `Making life with AmiExpress just that little bit easier ...`
-
- Dabei installiert es sich im Speicher und wird ueber die verbogenen Vektoren
- von Alert () & AutoRequest () aktiviert !
- Ist dies der Fall, so sucht es nach `bbs:user.data` und durchstoebert diese
- Datei nach den Worten `renegade`, `jock rockwell`, `spiral` etc. und manipuliert
- diese Inhalte !
- `AntiCicloVi` erkennt & loescht dieses Trojanische Pferd im Speicher und beim
- Dateitest.
-
-
-
-
-
-
-
-
-
-
-
-
-
- `PP-BOMB`
-
- Bei dieser 71308 Bytes großen Datei, handelt es sich um die original `power-
- packer.library` Version 3.0b, in welche eine Zerstörungsroutine eingebaut
- wurde !
- Natürlich stammt diese Routine nicht vom Programmierer der Bibliothek, sondern
- wohl von einer Cracker-Gruppe namens QUARTEX !
- `PP-BOMB` ist nicht resetfest, kann sich nicht weiterkopieren und verbiegt
- auch keine Vektoren, weshalb es nicht im Speicher gesucht werden braucht.
- Untersuchen Sie mit `AntiCicloVir` also das Verzeichnis `LIBS`, um diese
- Bombe zu finden !
- Ist `PP-BOMB` erst einmal aktiv geworden, so beginnt es damit nach dem Befehl
- `why` in dh0: und dh1: zu suchen, um ihn auf Null zu setzen, nach der Datei
- `AmiExpress` zu suchen, um sie ebenfalls zu verändern ...
- Sie sehen also, daß dieses Programm intensiv damit beschäftigt ist, einige
- Dateien auf Ihrer Festplatte zu verändern !
-
-
-
-
-
-
-
-
- `QRDL1.1`
-
- Dieses 2320 Bytes lange Programm stellt ein `Linkvirus` dar, welches sich
- als eigenstaendiger `Hunk` in infizierte Programme einbaut.
- Leider funktioniert es mit meinem Rechner nicht, da ich entweder `KickStart 1.2`
- besitze oder keine Speichererweiterung.
- Somit blieb eine genaue Auswertung des `Linkviruses` versagt ...
- Ich werde mich aber bemuehen, es fuer die naechste Version von `AntiCicloVir`
- genauer auszuwerten.
- Bisher kann es jedoch nur auf der Diskette erkannt werden und nicht im Speicher !
- Es benutzt die Vektoren CoolCapture*, DoIO (), OpenLibrary () & OpenWindow ().
- Folgenden ASCII-Text beinhaltet das `QRDL1.1`-Linkvirus:
-
- `(C)1992-04-16 QRDL. RELEASE 1.1
- `Born in Poland, Grt to Jack`
-
- Es kann Daten schaedigen, indem es alle Bloecke der `BAM` (Block Allocation Map)
- freigibt.
- In der `BAM` stehen die Adressen aller belegten Bloecke einer Diskette.
- Werden diese Bloecke wieder freigegeben, so behandelt das Betriebssystem sie
- wie leere Bloecke !
- D.h., wenn sie ein neues Programm auf solch` einer Diskette abspeichern, dann
- kann es sein, dass Datenbloecke von anderen Programmen, die ueber die `BitMap`
- freigegeben worden sind, ueberschrieben werden !!!
- Diese Programme sind dann unwiderruflich verloren !!!
- Dieses `Linkvirus` wurde mir von Erik Loevendahl Soerensen, Snaphanevej 10,
- 4720 Praestoe, Daenemark, von der `SHI` ( Safe Hex International ) zugesandt.
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `Red October 1.7`
-
- Dieses `Linkvirus` wird offenbar als PD weitergegeben, denn es existiert
- folgendes `DOC`-File hierfuer:
-
- `The Red October Virus 1.7 (901029)
-
- This virus program is for demonstration and testing purpose only.
-
- The Red October virus is a non-overwriting virus and was developed
- and tested under AmigaDOS 1.3.
-
- The following points influenced the development of the program:
-
- 1. The virus should infect other programs only when system clock
- seconds are evenly divisible by three.
-
- 2. All of the infected files should continue to work properly.
-
- 3. The manipulation task in the virus causes a system crash when
- the system clock seconds are 16, 32 or 48 (evenly divisible
- by sixteen).
-
- 4. The virus only infects files which are shorter than 50000
- bytes in the current directory.
-
- Delete the virus and the infected programs on the computer when
- you are done. WORK WITH COPIES ONLY.`
-
-
-
- Das `Red October 1.7`-Linkvirus steht nicht im Speicher, ist nicht resetfest
- und verbiegt auch keine Vektoren !
- Deshalb laeuft es auch mit `KickStart V2.04` !
- `Red October 1.7` arbeitet mit dem `timer.device`.
- Wenn die Anzahl der Sekunden durch drei geteilt werden kann, kommt es zu einer
- Vermehrung.
- Dabei haengt es sich vor den ersten `Hunk` in eine zu infizierende Programm-
- datei !
- Es durchsucht das ganze Verzeichnis einer Diskette nach Programmdateien und
- kann so innerhalb kurzer Zeit die komplette Disk verseuchen !!!
- Ueber diese Disk hinaus, ist jedoch keine Vermehrung mehr moeglich.
- Ausserdem koennen auch die infizierten Programme zu Systemabstuerzen fuehren,
- da sich das `Linkvirus` manchmal fehlerhaft in die Programmdateien einbaut !
- Dabei gehen aber keine Programmdaten verloren, sondern nur die `Hunk`-Werte
- werden falsch zusammengestellt, so dass derartige Programme wieder korrigiert
- werden koennen - jedoch nicht von `AntiCicloVir` !
- Wenn die Sekunden durch 16 geteilt werden koennen, fuehrt `Red October 1.7`
- einen RESET aus.
- `AntiCicloVir` erkennt dieses `Linkvirus` auf der Diskette.
- Dieses `Linkvirus` wurde mir von Erik Loevendahl Soerensen, Snaphanevej 10,
- 4720 Praestoe, Daenemark, von der `SHI` ( Safe Hex International ) zugesandt.
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `RISC`
-
- Dieses 1848 Bytes grosse `Disk-Validator`-Virus ist eine Mutation des
- `SADDAM`-Viruses.
- Deshalb bitte ich Sie alle weitergehenden Informationen zu diesem Virus-
- typ, unter dem Kapitel `SADDAM` nach zu lesen.
- Geaendert wurde nur der Name von `SADDAM VIRUS` in `RISC VIRUS`, sowie die
- Vermehrungsroutine, da sich das Virus nun nicht mehr ueber `DF0:`, sondern
- `DF1:` verbreiten kann.
- `AntiCicloVir` erkennt es im Speicher als `RISC`-Virus und loescht es, auf
- der Diskette wird es jedoch weiterhin als `SADDAM`-Virus erkannt, da dieses
- `neue` Virus dem Original auf`s Byte gleicht, ausser dem verschluesselten
- Text !
- Zugesandt wurde es mir von der `SHI` ( Safe Hex International ), Erik
- Loevendahl Soerensen, Snaphanevej 10, 4720 Praestoe, Daenemark.
-
-
-
-
-
-
-
-
-
-
-
-
- `SADDAM`
-
-
- Dieses 1848 Bytes große Virus tarnt sich als `Disk-Validator` im Verzeichnis
- `L` auf infizierten Disketten !
- Jede mit einem `SADDAM`-Virus infizierte Diskette hat einen
- `Disk-Validating Error`,den das `SADDAM`-Virus selbst angelegt hat.
- Dieses `Virus ist das erste, welches sich unter AmigaDOS selbst
- aufrufen kann, ohne daß es vom Anwender durch Booten oder Starten eines
- verseuchten Programmes etwa aktiviert wurde !!!!!!
- Das Einlegen, einer mit einem `SADDAM`-Virus infizierten Diskette, reicht
- aus, damit sich das Virus in den Speicher kopieren kann !
- Es simuliert einen echten `Disk-Validator` und hat auch diesselbe Größe
- des Original-`Disk-Validators`, doch im Gegensatz zu diesem, ist es
- bis auf das Wort `BitMap CheckSum Error` total kodiert und kann so
- von Anfängern schwer unterschieden werden !
- Es kopiert sich auf jede nicht schreibgeschützte Diskette im Laufwerk
- `DF0:` als `Disk-Validator` !
- Wenn es kein `L`-Verzeichnis auf einer Diskette findet, dann kann es
- dieses Verzeichnis selbst anlegen !
- Bei bereits vorhandenem `Disk-Validator`, kopiert sich das Virus einfach
- `drüber !!
- Der `Disk-Validator` ist eine Art `externe Betriebssystem-Routine`,die
- von `AmigaDOS` immer dann aufgerufen wird, wenn es auf eine Diskette
- mit ungültiger `BAM` ( `Block Allocation Map` ) trifft !
- In der `BAM` jeder Diskette steht zum Beispiel wieviele und welche
- Blöcke schon belegt sind.
- Ist diese `BAM` ungültig, so hat die Diskette einen `Disk-Validating Error`
- und das Betriebssystem muß mit Hilfe einer Routine die entsprechenden
- Block-Angaben selbst herausfinden !
- Diese Routine ist der `Disk-Validator` im Verzeichnis `L` !
- Mit dessen Hilfe wird herausgefunden, wieviele und welche Blöcke
- einer Diskette schon belegt sind.
- Das `SADDAM`-Virus beinhaltet ebenfalls die Routine eines `Disk-Validators`
- und wird auch vom Betriebssystem bei ungültiger `BAM` aufgerufen.
- Dieses Virus setzt den BitMap-Zeiger im Rootblock der Diskette , auf der es
- sich kopiert, auf eine sinnlose Adresse, was das Betriebssystem später ständig beim
- Einlegen dieser Diskette zwingen wird, den `L/Disk-Validator`- also das
- `SADDAM`-Virus-zu starten !
- Das `SADDAM`-Virus setzt den Zeiger ColdCapture * auf seine Speicher-
- adresse und kann so auch unter `KickStart 1.3` ohne `SetPatch r`
- den Reset ueberleben !
- Außerdem werden verbogen InitCode (), OpenWindow (), BeginIO (),
- Close (trackdisk.device) & Rasterbeam !
- Es ist nach jedem Reset und nach jedem Diskettenwechsel aktiv und
- kopiert sich auf die aktuelle Diskette !
- Das `SADDAM`-Virus zerstört die Disketten, indem es nach einiger Zeit
- einige Blöcke in `IRAK` umbenennt und deren Inhalt mit einem bestimmten
- Wert kodiert !
- Diese kodierten Datenblöcke werden von AmigaDOS nicht mehr anerkannt
- und lösen so `Read/Write Errors` aus !
- Solange sich das `SADDAM`-Virus jedoch aktiv im Speicher befindet, dekodiert
- es die `IRAK-Datenbloecke` und unterdrueckt so derartige Fehlermeldungen !
- Erst wenn es aus dem Speicher entfernt wurde, kommt es zu `read/write
- errors` !!!
- Mir ist aufgefallen, daß sich das `SADDAM`-Virus nicht auf Disketten
- kopieren kann, wenn man ihnen die Namen `DF1`,`DF2` oder `DF3` gibt !!!
- `AntiCicloVir` kann das `SADDAM`-Virus jetzt aus dem Speicher
- löschen.
- Auf der Diskette erkennt `AntiCicloVir` das `SADDAM`-Virus, warnt Sie
- und löscht es !
- Da die Gefahr besteht, daß sich schon beim Durchchecken Ihrer Sammlung,
- ein mögliches `SADDAM`-Virus in den Speicher kopiert, empfiehlt es
- sich, zuerst alle Disketten mit aktiviertem Schreibschutz zu testen !
- Anschließend sollten die mit einem `SADDAM`-Virus infizierten Disketten
- aussortiert und der Amiga ausgeschaltet werden.
- Danach können Sie den Amiga wieder einschalten und mit `AntiCicloVir`
- die `SADDAM`-Viren von den befallenen Disketten löschen !
- Zwar kopiert sich das Virus wieder in den Speicher, aber dafür wird
- es nur beim Diskettenwechsel aktiv !
- Wenn das `SADDAM`-Virus von einer infizierten Diskette gelöscht wurde,
- kopiert es sich erst wieder auf diese, wenn sie zum zweiten Mal einge-
- legt wird ( und das sollten Sie vermeiden !!! ) !
- Nachdem Sie alle Disketten vom `SADDAM`-Virus befreit haben, werden Sie
- merken, daß alle einen `Disk-Validating Error` haben, an dem aber nicht
- `AntiCicloVir`, sondern das Virus schuld ist.
- Gewiß kann man in komplizierter Weise diesen Fehler auch mit einem
- Diskettenmonitor entfernen, aber es geht auch viel einfacher mit Hilfe
- des Betriebssystems !
- Benutzt man einen Disketteneditor, so muss man zuerst die Original-Adresse
- des BitMap-Blocks suchen, die das `SADDAM`-Virus immer auf der betroffenen
- Diskette abspeichert.
- Anschliessend muss diese Adresse im BitMap-Zeiger des Rootblockes
- eingetragen werden.
- Dieser `Disk-Validating Error` ist zwar harmlos, aber lästig, da man
- auf derartigen Disketten keine Programme oder Dateien mehr abspeichern
- kann !
- Legen Sie also einfach die `Workbench`-Diskette ein, auf der sich
- hoffentlich der echte `Disk-Validator` befindet und booten Sie von
- ihr !
- Nachdem Sie sich im `CLI` und die `CLI`-Befehle im `RAM` befinden,
- sollten Sie nun eine Diskette mit dem `Disk-Validating Error` einlegen !
- Daraufhin wird das Betriebssystem den `Disk-Validating Error` melden
- und nach der `Workbench`-Diskette verlangen, auf der sich ja der
- `Disk-Validator` befindet.
- Mit Hilfe dieses `Disk-Validator`s` werden nun die Anzahl und Adressen
- der belegten Blöcke auf der fehlerhaften Diskette in den Speicher
- kopiert und somit ist die Diskette für AmigaDOS vorerst wieder gültig.
- Jetzt können Sie vorläufig wieder Schreibzugriffe auf diese Diskette
- ausüben und das sollten Sie auch tun !
- Denn bei jedem Schreibzugriff auf einer Diskette, wird eine neue gültige
- `BAM` angelegt und die Diskette hat somit keinen `Disk-Validating Error`
- mehr !!!
- Löschen Sie nun also irgendeine unwichtige oder schreiben Sie eine
- wichtige Datei auf diese Disk, damit die `BAM` wieder stimmt !!
- Sie können beispielsweise `.info` löschen !
-
- Schwieriger ist es mit den Disketten, auf denen das `SADDAM`-Virus
- schon einzelne Datenblöcke kodiert hat !
- Wenn Sie die vorerst verloren gegangenen Daten nicht mehr brauchen,
- mit der Diskette aber sinnvoll weiterarbeiten wollen, dann können
- Sie auch das Programm `DiskDoctor` benutzen, um die `Read/Write Errors`
- zu beseitigen !
- Lesen Sie dazu bitte auch das `Amiga-Benutzerhandbuch` von `Commodore` !
-
- Das `SADDAM`-Virus wurde mir von Gregory Sapsford ,Fohlenkamp 33,
- W-4600 Dortmund 13 zugesandt !
-
-
-
-
-
-
-
-
-
-
-
-
-
- `Sepultura`
-
- Dieses 1876 Bytes lange Programm stellt ein `Filevirus` dar.
- Es kopiert sich immer unter dem unsichtbaren Namen $A0A0A0A0 in`s Hauptver-
- zeichnis einer Diskette und auch nur, wenn diese in den Laufwerken `df0:`,
- `df1:` oder `df2:` liegt !
- Disketten im Laufwerk `df3:` oder etwa die RAM-Disk oder Festplatte koennen
- somit NICHT infiziert werden !
- Beim Infizieren schreibt das `Filevirus` dann immer die jeweilige `Endziffer`
- von `dfx:` im Pfadnamen um - also `mal mit 0,1 oder 2 !
- Ausserdem traegt es seinen Namen an erster Stelle in der `Startup-Sequence` ein
- und wird auch ueber diese aktiviert.
- Sobald es aktiviert wurde, verbiegt das `Filevirus` die Vektoren KickTagPtr,
- KickCheckSum, Findresident (), Open (), Lock (), Rename (), DeleteFile () &
- LoadSeg (), sowie Interrupt 3 auf seine eigenen Adressen.
- In KickTagPtr wird dabei die Adresse des eigenen Resetprogrammes eingetragen.
- Dieses Resetprogramm verbiegt beim Ruecksetzen des AMIGA`s die Vektoren
- Findresident () & Interrupt 3 !
- Ueber die Routine, die durch den verbogenen FindResident ()-Vektoren ange-
- sprungen wird, wartet das Virus nach dem Reset so lange, bis die `dos.library`
- verfuegbar ist.
- Dann setzt es die DOS-Vektoren Open (), Lock (), Rename (), DeleteFile () &
- LoadSeg () auf seine eigene Adresse.
- Die Vermehrung des `Fileviruses` findet auch ueber diese DOS-Vektoren statt !
- Der verbogene Vektor von Interrupt 3, zeigt auf eine viruseigene Routine, die
- nach einer bestimmten Zeit ueber DisplayAlert () folgenden `Alert`-Kasten
- ausgibt:
-
- `Hi Guyz !!
- SEPULTURA strikes back with their new VIRUS ...
- Look ...`
-
- Das `Filevirus` richtet keine Schaeden an und funktioniert auch nicht mehr
- unter KS2.04.
- Dann fuehrt es permanent zu einem GURU und Sie muessen den AMIGA abschalten !
- Ursache duerfte auch hier, wie bei `NANO II`, die veraenderte Sprungtabelle
- der `dos.library` sein:
- Bei KS1.2/1.3 wird ueber diese Tabelle in sogen. `GlobeVec`-Strukturen ge-
- sprungen und unter KS2.04 mittlerweile in`s ROM.
- Da die Sprungbefehle ab KS2.04 anders aufgebaut sind, fuehrt das Aendern,
- wie `Sepultura` es betreibt, zum GURU.
- Und da `Sepultura` immer waehrend des Reset`s ueber den verbogenen Findresident ()-
- Vektoren aktiviert wird, entsteht dieser Dauer-Reset ...
- `AntiCicloVir` erkennt & loescht dieses `Filevirus` im Speicher & auf Diskette.
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `ShowSysop`
-
- Bei `ShowSysop` handelt es sich um ein weiteres Einbruchsprogramm fuer
- MailBoxen ...
- `ShowSysop` ist nicht resetfest, verbiegt keine Vektoren und kann sich selbst
- auch nicht weiterkopieren.
- Damit ist es harmlos fuer `gewoehnliche` AMIGA-Anwender !
- `AntiCicloVir` erkennt dieses Programm im Dateitest und bietet Loeschen
- an.
-
-
-
-
-
-
-
- `Smily Cancer I+II`
-
-
- Das `Smily Cancer`-Virus mit einer Bytelänge von 3916 Bytes,ist das erste
- `Linkvirus`, welches in dieser Dokumentation erwähnt wird !
- Es kopiert sich in`s jeweils erste Programm, welches von der `s/startup-
- sequence` aufgerufen wird !
- Es schreibt einen weiteren `Hunk`-Eintrag in die `Hunk-Tabelle` und setzt
- seinen Virus-eigenen `Hunk` an erster Stelle !
- So wird das Virus bei jedem Booten in den Speicher geladen !
- Hat sich das `Linkvirus` in den Speicher kopiert, so werden die Vektoren
- KickTagPtr * & KickCheckSum * auf das eigene Resetprogramm gesetzt und
- BeginIO () auf die Kopierroutine !
- Der Vektor SumKickData () wird auch noch verbogen, um beim Installieren
- eines fremden Resetprogrammes zu gewährleisten, daß `Smily Cancer` nicht
- gelöscht werden kann !
- Es wird beim Reset und beim Diskettenwechsel aktiv und kopiert sich so
- weiter !
- Nach 20 erfolgreichen Vermehrungen verändert sich der Mauszeiger in einen
- gelben Kopf ( Smily ) und es wird folgender Text ausgegeben
- ( Achtung ! Mögliche Übertragungsfehler ! ):
-
- `HI THERE !!! A NEW AGE IN VIRUS MAKING HAS BEGUN !
- THANK TO US ... THANK TO: --- CENTURIONS ---
-
- AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME
- OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE
- CALLED : `THE SMILY CANCER`
- HAVE FUN LOOKING FOR IT ...
- AND STAY TUNED FOR OUR NEXT PRODUCTIONS.
- CENTURIONS: THE FUTURE IS NEAR !`
-
- `AntiCicloVir` erkennt das `Smily Cancer`-Linkvirus mittlerweile auch auf der Diskette, kann es aber aus der infizierten Datei nicht entfernen !
- Nachdem Sie vor diesem Virus gewarnt worden sind, werden die Vektoren
- KickTagPtr * und KickCheckSum * und SumKickData () zurückgesetzt,
- so daß das Virus nicht mehr resetfest ist !
- Allerdings kann es sich noch mittels des `BeginIO`-Vektoren weiterkopieren !
- Da ich keine Adressen verändern möchte, die bei allen `KickStart`-Versionen
- verschieden sind, setzt `AntiCicloVir` in diesem Falle nicht den
- `BeginIO`-Vektor zurück, sondern schreibt einen Maschinensprachebefehl im
- `Smily Cancer`-Virus so um, daß es zwar aktiv ist, sich aber nicht
- mehr weiterkopieren kann !
- Bei dem `Smily Cancer II` handelt es sich um ein 4676 Bytes großes
- Trojanisches Pferd, welches sich als `CLI`-Befehl `loadwb` tarnt !
- Es führt die `LoadWB`-Routine aus und kopiert anschließend das alte
- `Smily Cancer`-Linkvirus in den Speicher !
- Das `Smily Cancer`-Linkvirus wurde ja auch schon von der alten Version
- erkannt !
- `AntiCicloVir` erkennt `Smily Cancer` auf der Diskette und löscht es.
- `Smily Cancer II` kann sich selbst nicht weiterkopieren ! ( siehe auch
- `Lamer LoadWB` oder `T.F.C. Revenge LoadWB` )
-
-
-
-
-
-
-
-
-
-
- `SnoopDos1.6`
-
- Dieses 11312 Bytes grosse Programm ist ebenfalls eine Art Einbruchswerkzeug
- fuer `AmiExpress` (Mailboxprogramm) !
- Es veraendert keine Vektoren, ist nicht resetfest und kann sich auch selbst
- nicht weiterkopieren.
- Hierbei handelt es sich, um eine original `SnoopDos`-Version, an die ein zu-
- saetzlicher `Hunk` angebunden wurde !
- `AntiCicloVir` erkennt dieses Programm im Dateitest und bietet Loeschen an.
-
-
-
-
-
-
-
-
-
-
-
-
-
- `Telecom`
-
- Dieses Programm mit einer Dateilaenge von 756 Bytes ist ein `Filevirus`.
- Es kopiert sicht unter dem unsichtbaren Namen $A0 in`s Hauptverzeichnis
- und traegt diesen unsichtbaren Dateinamen an erster Stelle in der `Startup-
- Sequence` ein.
- So wird es bei jedem Abarbeiten der `Startup-Sequence` aktiviert und sucht
- sich freien Speicherplatz im CHIP-RAM Ihres Rechners.
- Resetfest ist dieses `Filevirus` ueber CoolCapture.
- Ausserdem verbiegt es noch die Vektoren DoIO () & FindRes ().
- Weder mit KS1.2 noch mit OS3.0 funktionierte das `Telecom`-Virus, da es
- feste KS1.3 ROM-Adressen verwendet !
- Deshalb kann `AntiCicloVir` dieses `Filevirus` bisher nur beim Dateitest,
- jedoch nicht beim Speichertest erkennen !
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `Terrorists`
-
- Das `Terrorists`-Virus ( 1612 Bytes ) ist der Vorlaeufer der `BGS9`-Viren
- ( siehe auch `BGS9` ) !
- Es sucht sich das erste ausführbare Programm aus der `Startup-Sequence`
- und speichert es unter dem unsichtbaren Namen $A0202020A02020A020A0A0
- im Hauptverzeichnis ab.
- Sich selbst kopiert das `Terrorists`-Virus anstelle des Original-Programmes
- auf die Diskette.
- Bei jedem Aufruf über die `Startup-Sequence` wird das `Terrorists`-Virus
- so aktiviert und kann sich in den Speicher kopieren und im System installieren.
- Anschließend läßt es das Original-Programm ausführen.
- Um resetfest im Speicher zu stehen, verbiegt dieses Virus die Vektoren
- KickMemPtr *,KickTagPtr * und KickCheckSum * !
- Wie beim `BGS9`-Virus wird wohl auch hier nach dem Reset der Vektor
- OpenWindow () verbogen und nach Ablauf der Routine wieder auf`s ROM
- gesetzt !
- Es kopiert sich nur weiter und scheint keine weiteren Schäden anrichten
- zu können !
- Es ist jedoch ebenfalls lästig wie das `BGS 9`-Virus, da das Resetprogramm
- nach vier Resets`s folgenden Text ausgibt:
-
- `THE NAME HAVE BEEN CHANGED TO PROTECT THE INNONCENT ...
- THE TERRORISTS HAVE YOU UNDER CONTROL
- EVERYTHING IS DESTROYED
- YOUR SYSTEM IS INFECTED
- THERE IS NO HOPE FOR BETTER TIMES
- THE FIRST TERRORISTS VIRUS !!!`
-
-
- Dieses Virus kann von `AntiCicloVir` jetzt auch im Speicher
- von den `BGS 9`-Viren unterschieden werden, da die Erkennungsroutine
- für die Viren der Gruppe `BGS9 I/II/Terrorists` ausgewechselt wurde !
- Auf der Diskette erkennt es `AntiCicloVir` auch und gibt eine entsprechende
- Meldung aus bevor es es löscht !
- Dabei wird auch, das vom Virus verschobene Originalprogramm, an seine alte Stelle
- zurueckgeschrieben.
-
-
-
-
-
-
-
-
-
-
-
- `T.F.C. Revenge LoadWB`
-
- Dieses 2804 Bytes große Trojanische Pferd tarnt sich auf der Diskette als
- `LoadWB`-Befehl und simuliert nach seinem Aufruf diesen Befehl !
- Es erzeugt im Speicher das `Bootblock`-Virus `T.F.C. Revenge` ( siehe
- Anhang B ) !
- Das `Bootblock`-Virus wird in zwei verschiedene Speicherbereiche kopiert !
- Einmal schreibt es das `Filevirus` nach $7F800 und anschließend nach
- $FF800 in den Speicher !
- Synchron hierzu werden die Vektoren KickTagPtr *,KickCheckSum *,DoIO (),
- sowie der Interrupt-Vektor für den Rasterstrahl verbogen - auf die
- Adressen des `Bootblock`-Viruses !
- `AntiCicloVir` erkennt `T.F.C. Revenge LoadWB` auf der Diskette und löscht es !
- Auch das `Bootblock`-Virus `T.F.C. Revenge` wird erkannt.
- Näheres zur Verfahrensweise mit diesem Virus finden Sie im Anhang B !
- Lesen Sie auch die Dokumtationen zu `Lamer LoadWB` und `Smily Cancer II` !
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `Time Bomb V0.9`
-
- `TimeBomb V0.9` mit einer Dateilaenge von 7840 Bytes ist nicht resetfest,
- nicht speicherresident, verbiegt keine Vektoren und kann sich selbst auch
- nicht weiterkopieren.
- Bei diesem Programm handelt es sich um eine sogen. Bombe !
- Es versucht durch folgende Ausgabetexte im `CLI` zu taeuschen:
- `RAM CHECKED - NO VIRUS FOUND.`
- Doch in Wahrheit kopiert es sich nach `:c/info` und legt im Hauptverzeichnis
- unter `pic.xx` eine Zaehlzelle an, der der Startwert 6 zugeteilt wird.
- `:c/.info` wird bei jedem Abarbeiten der `Startup-Sequence` aufgerufen und
- vermindert den Wert in `:pic.xx` um #1.
- Sollte die Diskette schreibgeschuetzt sein, erscheint folgender `Requester`:
-
- `User Request: Please remove write Protection and
- press left Mouse Button to continue`
-
- Solange Sie dies nicht tun, wartet der Rechner ...
- Sobald der Wert Null erreicht wurde, wird die Diskette formatiert !!!
- `AntiCicloVir` erkennt und loescht diese Bombe beim Dateitest.
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `Traveling Jack 1+2`
-
- Diese `Linkviren` verbiegen eine Adresse mit einem Offset von $2E oberhalb
- der `Dosbase`-Struktur, wobei es sich um einen `dos.library`-Vektoren
- handelt, der in`s ROM zeigt !
- `Traveling Jack` ist nicht resetfest, wird aber bei jedem Aufruf einer
- `dos.library`-Routine aktiv und versucht sich auf die Diskette zu kopieren.
- Dabei verrät es sich durch einen System-Requester:
- `disk is writeprotected`
- Die `Linkviren` benutzen eine variable `Hunk`-Länge und erzeugen manchmal
- auch eine 198 Bytes große Datei auf der Diskette:
- `VIRUS.$xxxx`
- Sxxxx entspricht dabei einem Hexadezimalwert, der mit Hilfe des
- `CIA-A`-Registers ermittelt wird !
- In dieser Datei ist dann zu lesen:
-
- `The Traveling Jack ...
- I`m traveling from town to town looking for respect,
- and all the girls I could lay down make me go erect.
- - Jack, 21st of September 1990`
-
- Die beiden `Traveling Jack`-Linkviren unterscheiden sich nur durch eine
- unterschiedliche Berechnung der `Hunk`-Laenge und einer unterschiedlichen
- Verschluesselungsroutine.
- `AntiCicloVir` erkennt beide `Jack`s im File und im Speicher.
- Da diese beiden `Linkviren` einen Vektoren aus der Basis-Struktur der `dos.
- library` verbiegen, funktionieren sie nicht mehr mit `KickStart V2.04` !
- Denn `Commodore` behaelt sich das Recht vor, in sogen. `Privaten Strukturen` -
- und dazu gehoert die `DosBase` - beliebige Aenderungen vorzunehmen ...
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- `Virus Construction Set`
-
- Dieses 10192 Bytes grosse Programm ist zwar kein AMIGA-Virus, dafuer kann
- man mit diesem aber selbst welche erzeugen !
- Wenn Sie das Programm starten, werden Sie aufgefordert einen eigenen Virus-
- Text einzugeben, der dann nach einigen Vermehrungen ueber DisplayAlert ()
- in einem `Alert`-Kasten ausgegeben wird.
- Anschliessend fordert Sie dieses Programm auf, eine Diskette einzulegen,
- dessen Boot-Sektoren mit diesem Virus ueberschrieben werden sollen.
- Allerdings beinhaltet Ihr eigenes `Bootblock`-Virus neben dem Ausgabetext
- am Ende schliesslich doch einen verschluesselten Text des Programmierers ...
- `AntiCicloVir` erkennt dieses Programm im Dateitest und bietet Loeschen an.
-
-
-
-
-
-
-
-
-
-
-
-
- `Xeno`
-
- Dieses 1124 Bytes große `Linkvirus` war das zweite seiner Art nach `IRQ` !
- Wenn es sich im System installiert hat, verbiegt es einige wichtige Vektoren
- aus der `dos.library`: Open (), LoadSeg () & Lock () !
- Dieses Virus ist also nicht resetfest !
- Es sucht sich die zu infizierenden Programme aus der `Startup-Sequence`.
- Dabei erwartet es bestimmte Namenskonventionen !
- Die Dateinamen dieser Programme dürfen nur Zeichen innerhalb von `0-9`,
- `a-z` und `A-Z` enthalten !
- Programme, deren Dateinamen Sonderzeichen enthalten, werden nicht infiziert.
- Das `Linkvirus` erhöht die Anzahl der `Hunk`s im `Hunk-Header` nicht.
- Es kopiert sich ( so vermute ich ) direkt vor dem ersten `Hunk` einer
- befallenen Datei.
- `Xeno` richtet keine Schäden an, gibt dafür aber hin und wieder folgenden
- Text aus:
- `Greetings Amiga user from the Xeno virus !`
-
- `AntiCicloVir` kann dieses `Linkvirus` auf Diskette und im Speicher erkennen !
-
- Allerdings wird es aus einer infizierten Programmdatei nicht ausgebaut !
-
- Verwenden Sie entweder einen anderen Viruskiller oder kopieren Sie eine nichtinfizierte
- Programmdatei `drueber !
-
-
-
-
-
-
-
-
-
-
-
-
-
- `xprzspeed V3.2`
-
-
- Dieses Programm mit einer Laenge von 9556 Bytes stellt wieder einmal ein
- Zerstoerungsprogramm gegen `AmiExpress` (Mailboxprogramm) dar, welches fuer
- `normale` AMIGA-Besitzer harmlos ist !
- Es kann sich selbst nicht weiterkopieren und verbiegt auch keine Vektoren.
- Es versucht den Anwender durch einige Texte zu taeuschen:
- `This tool was coded in order to improve your Z-Modem transfers.
- And it works really good in 30 % of our TEST-Downloads there was
- acceleration of nearly 6-7 % !!!`
-
- Doch in Wahrheit oeffnet `xprzspeed V3.2` einen namenlosen Port, welcher gegen
- 4.13 Uhr aktiviert wird und damit beginnt die Zerstoerung !!!
- Es werden alle Dateien im Verzeichnis `bbs:` geloescht, sowie `ram:temp`.
- Ausserdem wird eine Datei mit dem Namen `Dip_in_DUDE` angelegt und mit
- Speichermuell aufgefuellt, bis das Medium voll ist
- `AntiCicloVir` kann `xprzspeed V3.2` beim Dateitest erkennen & loeschen.
-
-
-
-
-
-
-
-
-
-
-
-
- `Anhang B`
-
- In diesem Anhang werden nun noch einmal alle `Bootblock`-Viren beschrieben,
- die `AntiCicloVir` erkennt !
- Die `Bootblock`-Viren werden in Kurzform dokumentiert !
-
-
-
-
-
-
-
-
- Name : `16 Bit Crew`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine
- Vektoren für
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine
- Anmerkung : Dieses Virus steht immer ab $7EC00 im Speicher !
-
-
-
- Name : `2001`
-
- Resetvektoren: CoolCapture *
- Vektoren für
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine
- Anmerkung : Bei diesem Virus handelt es sich um einen der unendlich
- vielen `SCA`-Mutanten !
- Außer geändertem Text, wurde eine Routine so geändert, daß
- nach jedem Reset, ohne Diskette im Laufwerk, eine `Guru
- Meditation` ausgelöst wird !
-
-
-
- Name : `AEK`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine
- Bibliotheks-
- funktions-
- Vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Dieses Virus ist ein schon ziemlich alter `SCA`-Mutant, bei dem
- nur der ASCII-Text geändert wurde !
-
-
-
-
- Name : `AIDS`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine
- Anmerkung : Bei diesem `SCA`-Mutanten wurde nur der Text geändert !
-
-
-
-
- Name : `AIDS2`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : PutMsg ()
- Schäden : mir sind keine bekannt.
- Anmerkung : Bei diesem zweiten `AIDS`-Virus handelt es sich um eine
- Mutation des `Bootblock`-Viruskillers `Vkill`, der ursprünglich
- zum Löschen von `Bootblock`-Viren kreiert wurde.
- Die Mutation namens `AIDS` kopiert sich nun, getarnt als
- Viruskiller, auf jede Diskette und löscht so auch harmlose
- `Boot-Intros` etc.
- Da mir der original `Bootblock`-Viruskiller `VKill` noch nicht
- vorliegt, kann es sein, daß `AntiCicloVir` diesen mit dem
- `AIDS`-Virus verwechselt.
-
-
- Name : `Alien New Beat V1.0`
-
- Resetvektoren: ColdCapture *
- CoolCapture *
- Interrupts :
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Löscht `Bootblock`-Viren.
- Anmerkung : Dieses `Bootblock`-Virus funktioniert nur bis `KickStart 1.2` !
-
-
-
- Name : `Amiga Freak`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : mir sind keine bekannt.
- Anmerkung : Bei diesem Virus handelt es sich um einen `Forpib/Byte Bandit`-
- Mutanten, bei dem nur der ASCII-Text geändert wurde !
-
-
-
-
- Name : `Amiga Master`
-
- Resetvektoren: CoolCapture *
- Interrupts :
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgewechselt.
-
-
-
-
- Name : `ASV V0.000123`
-
- Resetvektoren: CoolCapture *
- Interrupts :
- Bibliotheks-
- funktions-
- vektoren : Forbid ()
- Schäden : Dieses Virus verbiegt den Zeiger der `Forbid`-Routine auf
- seine eigene Routine im Speicher, die `ChipMem` löscht !
- Anmerkung : Das `ASV V0.000123`-Virus kopiert sich nicht weiter !
-
-
-
-
- Name : `Australian Parasite`
-
- Resetvektoren: CoolCapture *
- Interrupts :
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Das `Australian Parasite`-Virus kann den Bildschirminhalt
- verdrehen !
- Anmerkung : ACHTUNG : `VirusX 4.00` verwechselt die Viren `Return of the
- Lamer Exterminator` und `SADDAM` mit dem `Australian Parasite`-
- Virus !!!
-
-
-
- Name : `Bamiga Sector One`
-
- Resetvektoren: CoolCapture
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Bei diesem `SCA`-Mutanten wurde lediglich der `ASCII`-Text
- ausgetauscht.
-
-
- Name : `Big Boss`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Bei diesem `SCA`-Mutanten wurde wieder einmal nur der
- ASCII-Text ausgewechselt.
-
-
-
- Name : `Blackflash V2.0`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : keine.
-
-
-
-
- Name : `Blade Runners`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Auch bei diesem `SCA`-Mutanten wurde nur der Text verändert ...
-
-
-
-
- Name : `BLF`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- BeginIO ()
- Schäden : keine.
- Anmerkung : keine.
-
-
-
-
- Name : `BlizzPro V3.1`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : CloseDevice ()
- Schäden : Dieses Programm löscht folgende `Bootblock`-Viren: `NORTH STAR`,
- `BYTE BANDIT`,`BYTE WARRIOR`,`REVENGE`,`GADAFFI`,`LAMER EXTERMIN.` !
- Anmerkung : Bei diesem Programm handelt es sich lediglich um einen `Bootblock`.
- Viruskiller, der sich nur auf infizierte Disketten kopiert !
-
-
-
-
- Name : `BlizzPro V3.3`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : CloseDevice ()
- Schäden : wie `BlizzPro V3.1`
- Anmerkung : Dieses Programm funktioniert in etwa ähnlich wie `BlizzPro V3.1` !
-
-
-
-
- Name : `Blow Job`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : Interrupt 3 für Textausgabe
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Dieses Virus täuscht im `Bootblock` durch den Text:
- `Memory Allocator 3.01`.
-
-
-
- Name : `Butonic 1.1`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Immer wenn dieses Virus im Speicher steht und
- während des `Bootens` auf den Schreibschutz auf der einge-
- legten Diskette trifft, gibt es folgenden Text auf blauem
- Hintergrund aus : `Butonic 1.1 Greetings to Hackmack` !
-
-
-
-
- Name : `Byte Bandit`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : mir sind keine bekannt !
- Anmerkung : `Byte Bandit` kann sich mit KS2.04 nicht weiterkopieren.
-
-
-
-
- Name : `Byte Bandit +`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : Dieses neue `Byte Bandit`-Virus belegt sinnlos Speicherbereich,
- so daß größere Programme nicht laufen.
- Anmerkung : keine.
-
-
-
-
- Name : `Byte Bandit 2`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : Mir sind keine Schäden zu diesem Virus bekannt.
- Anmerkung : Merkwürdigerweise ruft dieses `Byte Bandit`-Virus gleich zweimal
- die `dos.library` auf !
-
-
-
- Name : `Byte Bandit turbo`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : Zu diesem Virus sind mir keine Schäden bekannt !
- Anmerkung : Dieses `Byte Bandit`-Virus ist kürzer als alle anderen
- `Byte Bandit`-Viren, was darauf schließen läßt, daß einige
- Routinen entfernt worden sind ( möglicherweise der `Copy-Counter )
- .
- Auf der Diskette, die mir Michael Flühler ( Knobelstr. 13, CH-
- 8855 Wangen ) zugesandt hatte, war dieses Virus als `Turbo-
- Bootblock` getarnt !
- Daher der Name.
- Allerdings wird der Zusatz `turbo` nicht weiterkopiert.
- Einige andere Viruskiller bezeichnen dieses Bootblock-Virus,
- als `NoName`-Virus, da sie offenbar nicht die Aehnlichkeiten
- mit `Byte Bandit` erkannt haben ..
- Schafft bloss die `NoName`-Viren ab und gebt ihnen sinnvollere
- Namen, sonst weiss eines Tages niemand mehr, wer welches
- Virus erkennt !!!
-
-
-
-
-
- Name : `Byte Voyager`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : Interrupt 3
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Dieses `Bootblock`-Virus zerstört Disketten, indem es in
- Block 880 schreibt: `Infected by BYTE VOYAGER !!!!!!` !
- Anmerkung : keine.
-
-
-
- Name : `Byte Voyager II`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : Interrupt 3
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Auch das `Byte Voyager`-Virus II zerstört Disketten dadurch, daß
- es in Block 880 schreibt: `Another Virus by Byte Voyager` !
- Anmerkung : keine.
-
-
-
- Name : `Byte Warrior`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : Das `Byte Warrior`-Virus funktioniert, wegen eines festen ROM-
- Rücksprunges aus der `DoIO`-Routine, nur noch unter `KickStart 1.2` !
-
-
-
-
- Name : `CCCP`
-
- Resetvektoren: CoolCapture *
- Interrupts : Interrupt 3 - überwacht CoolCapture *
- Bibliotheks-
- funktions-
- vektoren : OpenLibrary () (RESET) - schreibt `Link`
- DOIO () (RESET) - schreibt `Bootblock`
- OpenWindow () (RESET) - schreibt `Link`
- Schäden : Mir sind keine Schäden bekannt !
- Anmerkung : Das `CCCP`-Virus ist das erste Virus, welches sich gleichzeitig
- als `Bootblock`- und `Linkvirus` weiterkopieren kann !
- Lesen Sie dazu auch `Anhang A` !
-
-
-
- Name : `CLONK`
-
- Resetvektoren: KickMemPtr *
- KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Dieser `Bootblock`-Viruskiller kopiert sich nach Abfrage über
- jeden `non-standard`-Bootblock !
- Anmerkung : Das `CLONK`-Virus wird von den älteren Versionen von `AntiCicloVir`
- mit den Viren der Gruppe `BGS9 I/II/Terrorists` verwechselt.
- `VirusX 4.00` verwechselt `CLONK` mit dem `Disk-Doktors`-Virus.
-
-
-
- Name : `Coders Nightmare`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : $68
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Dieses `Bootblock`-Virus simuliert einen Viruskiller !
- Anmerkung : keine.
-
-
-
-
- Name : `DAG`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : Hier war mal wieder einer ganz fleißig gewesen und hat es
- geschaft, einen Teil des ASCII-Textes aus dem `SCA`-Virus
- gegen `Try ANTIVIRUS from DAG` auszutauschen !
- Da der restliche Teil des ASCII-Textes noch dem des `SCA`-
- Viruses entspricht, wird es von älteren `AntiCicloVir`-Versionen
- mit dem `SCA`-Virus verwechselt !
- Das `DAG`-Bootblock-Virus wird vom `DAG Creator` ( siehe Anhang A)
- in `DF1:` erzeugt !
-
-
-
- Name : `DAT`89`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Dieses `Bootblock`-Virus simuliert einen Viruskiller !
- Doch in Wahrheit zerstört es die `Root`-Blöcke von Disketten,
- wodurch diese unlesbar werden und sämtliche Daten verloren
- gehen !
- Anmerkung : Es steht immer ab $7F800 im Speicher und funktioniert nur noch
- unter `KickStart 1.2` !
-
-
-
- Name : `Destructor V1.2`
-
- Resetvektoren: ColdCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : keine.
- Schäden : Dieses Virus überschreibt nach dem ersten Reset jeden vierten
- Track und zerstörten so Disketten !
- Anmerkung : Das `Destructor V1.2`-Virus kann sich selbst nicht weiterkopieren.
-
-
-
-
- Name : `Digital Emotions`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : Dieses `Bootblock`-Virus überschreibt manchmal Track 0 mit
- dem Wort `Virus` und kann so `Read/Write Errors` verursachen.
- Anmerkung : keine.
-
-
-
-
- Name : `Disk-Doktors`
-
- Resetvektoren: ColdCapture *
- CoolCapture *
- WarmCapture *
- Interrupts : ???
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Dieses `Bootblock`-Virus kopiert einige Daten aus der `ExecBase`-
- Struktur in den Speicher und verbraucht so sinnlos Speicher-
- kapazität !
- Es zerstört nach einiger Zeit Disketten, indem es den `Rootblock`
- ( Zylinder 40 ) formatiert !
- Anmerkung : Das `Disk-Doktors`-Virus gehört zu einer ganz neuen Generation
- von `Bootblock`-Viren !
- Dieses Bootblock-Virus, war das erste, welches einen eigenen
- Prozess erzeugen konnte, welcher permanent den Inhalt der
- verbogenen Vektoren, auf die eigenen Adressen hin ueber-
- prueft.
- Das `Disk-Doktors`-Virus funktioniert nur unter `KickStart 1.2`.
-
-
-
-
- Name : `Disk-Herpes`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : Das `Disk-Herpes`-Virus überschreibt manchmal den `Root`-Block
- mit dem Speicherinhalt ab $60000 und kann dadurch ganze
- Disketten zerstören !
- Anmerkung : Das `Disk-Herpes`-Virus steht immer ab $7EC00 im Speicher !
- Viele bekannte Viruskiller verwechseln `Disk-Herpes` übrigens
- im Speicher und im `Bootblock` mit dem `Phantasnumble`-Virus !
-
-
-
-
- Name : `Diskguard V1.0`
-
- Resetvektoren: CoolCapture *
- Interrupts : ???
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : Dieses Programm ist ein `Bootblock`-Viruskiller und kopiert sich
- selbst nach Abfrage auf `non-standard` Bootblöcke !
- Anmerkung : keine.
-
-
-
- Name : `Divina Exterminator I`
-
- Resetvektoren: CoolCapture *
- Interrupts : $64
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Nach drei Vermehrungen wird die `K`-Taste abgefragt und bis
- zur zehnten in einer Zählstelle abgelegt.
- Danach wird in die Adresse der `ExecBase`-Struktur eine Null
- geschrieben, was einige Zeit darauf zu einem Systemabsturz
- führen dürfte !
- Anmerkung : Dieses Virus überschreibt die `SetPatch`-Liste ab $C0, was
- für `KickStart V1.3`-Benutzer wichtig sein dürfte.
- Es ist außerdem in der Lage den Original-`Bootblock` vorzu-
- täuschen !!!
-
-
-
-
- Name : `Dotty`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Dieses Virus soll die `PRIVAT - intuition -struktur` erweitern.
- Es macht irgendetwas mit dem Mauszeiger.
- Anmerkung : keine.
-
-
-
-
- Name : `DUMDUM`
-
- Resetvektoren: CoolCapture *
- Interrupts : $64
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Mit diesem `Bootblock`-Virus können Sie Ihre Disketten
- formatieren !!!
- Anmerkung : keine.
-
-
-
-
- Name : `Extreme`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : RasterBeam - überwacht KickTagPtr * aber NICHT KickCheckSum * !
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden :Dieses Virus tarnt sich als Viruskiller und löscht Viren von
- allen Disketten indem es sie zerstört ! (Auch `ne Möglichkeit
- Viren loszuwerden ...)
- Anmerkung : Das `Extreme`-Virus steht gleichzeitig ab $ 7F800 und ab
- $ FF800 im Speicher !
-
-
-
-
- Name : `F.A.S.T.`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- FreeMem ()
- Schäden : Mir sind keine Schäden bekannt.
- Anmerkung : Dieses Virus stammt von der `Federation against Software-
- Piracy` und ist offenbar wohl nur gegen Raubkopierer gerichtet.
- Jedenfalls hat es sich auf meinen Disketten ( `Workbench-Diskette` )
- nicht weiter kopieren können !
-
-
-
-
- Name : `F.I.C.A.`
-
- Resetvektoren: KickTagPtr
- KickCheckSum
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- SumKickData () - überwacht `Kick`-Vektoren
- Schäden : ... wohl keine, da es `nur` gegen `QUARTEX` und nicht gegen
- uns Anwender gerichtet ist !
- Anmerkung : Dieses `Bootblock`-Virus ist übrigens auch in der Lage auf den
- Disketten einen `Standard Bootblock` vorzutäuschen, wenn es
- im Speicher steht.
-
-
-
-
- Name : `Forpib`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : Mir sind keine bekannt.
- Anmerkung : Bei diesem Virus handelt es sich um eine Mutation des
- `Byte Bandit`-Viruses und es wird auch genauso wie dieses
- gelöscht !
-
-
-
- Name : `Frity`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : Mir sind keine bekannt.
- Anmerkung : Genauso wie `Forpib`, bloß anderer Name.
-
-
-
-
-
- Name : `Gadaffi`
-
- Resetvektoren: CoolCapture *
- KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : `foltert` und `quält` Ihr Laufwerk ... ich hatte an meinem
- internen Laufwerk schon `mal Hardware-Schäden gehabt !
- Anmerkung : Wegen einer festen Rücksprungadresse aus der `DoIO`-Routine
- zum ROM funktioniert dieses Virus nur unter `KickStart 1.2` !
-
-
-
-
- Name : `Glasnost`
-
- Resetvektoren: KickTagPtr
- KickCheckSum
- Interrupts : ???
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Das `Glasnost`-Virus blockiert nach 15 bis 20 Minuten den
- Amiga und schreibt einen 4(!) Block großen `Bootblock` !
- Dabei werden Programme, die in Block 2 & 3 abgespeichert
- worden sind, zerstört !!!
- Danach sucht sich das Virus einen Datenblock von der Diskette
- aus und schreibt in diesen vier Langworte.
- Programme, in denen ein solcher Datenblock enthalten war, werden
- zerstört !!!
- Anmerkung : Da ich das `Glasnost`-Virus bisher noch nicht testen konnte,
- kann `AntiCicloVir` es nur im Speicher anzeigen, aber nicht
- löschen !
-
-
-
-
- Name : `Graffiti`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Anmerkung : Dieses Virus soll 3D-Grafiken erzeugen können.
- `VirusX 4.00` verwechselt es im Speicher mit dem `16 BIT-Crew`-
- Virus !
-
-
- Name : `Gremlin`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- SumKickData () - überwacht CoolCapture *
- Schäden : keine.
- Anmerkung : keine.
-
-
-
- Name : `GX.Team`
-
- Resetvektoren: CoolCapture *
- KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Richtet keine Schäden an.
- Anmerkung : Dieses Virus funktioniert, wegen eines direkten ROM-Einsprunges
- in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
-
-
-
-
- Name : `H.C.S.`
-
- Resetvektoren: CoolCapture *
- Interrupts : ???
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine
- Anmerkung : Dieses Virus fällt durch das ständige und nervige Geblinke
- der `Power`-LED auf. `AntiCicloVir` löscht auch diese
- Routine !
-
-
-
- Name : `H.C.S. II`
-
- Resetvektoren: CoolCapture *
- Interrupts : ???
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Dieses Virus soll so eine Art `Antivirus` sein und erkennt
- einige andere `Bootblock`-Viren: `SCA`,`Byte Warrior`,`North
- Star I+II`,`SYSTEMZ`,`BlizzPro`, etc ...
- Außer daß die `Power-LED` nun schneller blinkt und evtl.
- einige `Bootblock`-Viren mehr erkannt werden, hat sich sonst
- nicht viel geändert.
- Wenn `AntiCicloVir` versucht die `Power-LED` wieder normal
- einzuschalten, dann kann dies mit einiger Verzögerung ein-
- treten.
-
-
-
- Name : `Hilly`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : mögliche Schreibzugriffe auf die Festplatte ???
- Anmerkung : Dieses Virus funktioniert, wegen eines direkten ROM-Einsprunges
- in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
- Das `Hilly`-Virus sucht auch nach bestimmten `KickStart`-
- Versionen und installiert sich nicht, falls diese vorhanden
- sind.
-
-
-
-
- Name : `HODEN V33.17`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : Auch dieses Virus funktioniert, wegen eines direkten Einsprunges
- in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
-
-
-
-
- Name : `ICE`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgewechselt.
-
-
-
-
- Name : `Incognito`
-
- Resetvektoren: KickMemPtr *
- KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : Das `Incognito`-Virus funktioniert, wegen eines direkten Ein-
- sprunges in die `DoIO`-Routine, nur noch unter `KickStart V1.2`.
- Dieses Virus soll am Ende des `Bootblockes` Tabellen abspeichern,
- die sich je nach Speicherlage und Konfiguration des Amigas
- ändern.
- Wenn das Virus `gebootet` wird, werden die Tabellen erneuert.
- Bei meinem Amiga hat sich das `Incognito`-Virus nicht weiter-
- kopiert.
- Die Versionen 1.0 - 1.2 von `AntiCicloVir` verwechseln es mit
- den Viren der Gruppe `BGS9 I/II/Terrorists` !
-
-
-
-
- Name : `Inger IQ`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : Mir sind keine bekannt.
- Anmerkung : Bei diesem `Byte Bandit`-Mutanten wurde nur der Text geändert.
- Er wird genauso gelöscht wie `Byte Bandit` selbst !
-
-
-
- Name : `Ingo`
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : Bei diesem `Bootblock`-Virus handelt es sich um eine Mutation
- des `L.A.D.S`-Virus, aus dem die Textausgaberoutine entfernt
- und der ASCII-Text geändert worden ist !
-
-
-
-
- Name : `JITR`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : keine.
-
-
-
-
- Name : `Joshua`
-
- Resetvektoren: KickMemPtr *
- KickTagPtr *
- KickCheckSum *
- Interrupts : ?
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : keine Schäden.
- Anmerkung : Dieses Virus erzeugt über eine Grafik-Routine einen senkrecht
- stehenden Text.
- ACHTUNG !!!
- Die Versionen 1.0 - 1.2 von `AntiCicloVir` verwechseln das
- `Joshua`-Virus mit den Viren der Gruppe `BGS 9 I/II/Terrorists` !
-
-
-
-
- Name : `Joshua 2`
-
- Resetvektoren: ColdCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : keine Schäden.
- Anmerkung : Dieses `Bootblock`-Virus kann von `AntiCicloVir` bisher nicht
- auf der Diskette erkannt werden !!!
-
-
-
-
-
- Name : `Julie`
-
- Resetvektoren: CoolCapture *
- Interrupts : $20
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- BeginIO ()
- Schäden : keine.
- Anmerkung : keine.
-
-
-
-
- Name : `Kauki`
-
- Resetvektoren: CoolCapture *
- Interrupts : $80 (RESET)
- $84 (RESET)
- $88 (RESET)
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : Dieses Virus erzeugt beim `Booten` ein `Chopper-Intro`.
-
-
-
-
- Name : `Kefrens`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgetauscht.
-
-
-
- Name : `L.A.D.S`
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : Dieses Programm tarnt sich selbst als `virus-hunter`, obwohl
- es selbst ein Virus ist !
- Beim `Booten` gibt es einen `Alert` aus :
- ` L.A.D.S virus hunter
-
- no virus in memory
-
- Press any mousebutton `
- Tatsächlich findet jedoch kein Virus-Test statt !!!
- Dafür kopiert sich aber nun `L.A.D.S` selbst als Virus
- weiter !
-
-
-
-
- Name : `LAMER Exterminator (alt)`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- SumKickData () - überwacht `Kick`-Vektoren
- Schäden : Das alte `LAMER Exterminator`-Virus beginnt nach einigen
- `Rebootes` damit, in einige Datenblöcke das Wort `Lamer` zu
- schreiben, wodurch `read/write errors` entstehen.
- Anmerkung : Das alte `LAMER Exterminator`-Virus kann von `AntiCicloVir`
- nicht zu 100 % gelöscht werden.
- Dieses Virus wurde beim Testen übrigens NICHT von `VirusX 4.00`
- im Speicher erkannt !
-
- Grundsätzliches über `LAMER`-Exterminator-Viren:
-
- Bevor ich die nächsten `LAMER Exterminator`-Viren dokumentiere,
- möchte ich noch auf einige Fakten hinweisen, die für alle
- `LAMER Exterminator`-Viren gelten !
- Um den `Sinn` der `LAMER Exterminations` zu verstehen, sollten
- Sie das Kapitel `Revenge Of The LAMER Exterminator` aus dem
- `Anhang A` lesen !
- Die `LAMER Exterminator`-Viren waren die ersten auf dem Amiga,
- die die Gefahren eines unzulässigen Virenschutzes am anschaulichsten
- darstellten ...
- Sie sind praktisch jedem Amiga-Besitzer bekannt !
- Auf infizierten Disketten erzeugen sie oft `key checksum errors`.
- Stehen sie erst einmal im Speicher, dann sind sie auch in der
- Lage, auf infizierten Disketten Standard-`Bootblöcke` vorzu-
- täuschen.
- Außerdem wechseln sie ständig ihr Aussehen, so daß sie in jedem
- `Bootblock` anders erscheinen, was mit der Verschlüsselungs-
- routine bewirkt wird.
-
-
-
-
- Name : `LAMER Exterminator (neu)`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- SumKickData () -ueberwacht `Kick`-Zeiger
- Schaeden : Das neue `LAMER Exterminator`-Virus zerstoert Disketten,
-
- indem es einige Datenbloecke mit dem Wort `LAMER!!!` ueberschreibt.
-
- Anmerkung : Weiteres koennen Sie auch unter `LAMER Exterminator (alt)` lesen !
-
-
-
-
- Name : `LAMER Exterminator I`
-
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- SumKickData () - überwacht `Kick`-Vektoren
- Schäden : Das `LAMER Exterminator`-Virus I zerstört einzelne Datenblöcke,
- indem es sie mit dem Wort `LAMER` überschreibt !
- Anmerkung : Weiteres können Sie unter `LAMER Exterminator (alt)` lesen !
- Dieses Virus wurde von `VirusX 4.00` ebenfalls nicht im
- Speicher erkannt !
- `AntiCicloVir` kann dieses `Bootblock`-Virus bisher nicht auf
- der Diskette erkennen !!!
-
-
-
-
-
- Name : `LAMER Exterminator II`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- SumKickData () - überwacht `Kick`-Vektoren
- Schäden : Dieses Virus zerstört ebenfalls Disketten, indem es das Wort
- `LAMER` in einige Datenblöcke schreibt und dadurch `read/write
- errors` hervorruft !
- Anmerkung : Beim Testen mit `VirusX 4.00` wurde dieses Virus ebenfalls nicht
- erkannt !
- Weiteres können Sie unter `LAMER Exterminator (alt)` lesen.
-
-
-
-
-
- Name : `LAMER Exterminator III`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- SumKickData () - überwacht `Kick`-Vektoren
- Schäden : Das Virus `LAMER Exterminator III` verschiebt den Original-
- `Bootblock` in die Blöcke 2 & 3 und kann dadurch ein Programm,
- welches aus diesen Datenblöcken bestand, zerstören.
- Beim `Booten` startet das Virus anschließend den echten
- `Bootblock` und versucht so, eine `saubere` Disk vorzutäuschen.
- Anmerkung : `AntiCicloVir` kann leider das alte `LAMER Exterminator`- und
- das `LAMER Exterminator`-Virus III nicht auseinanderhalten !
- Das `LAMER Exterminator`-Virus III wurde von `VirusX 4.00` nicht
- erkannt !
- Weiteres können Sie unter `LAMER Exterminator (alt)` lesen.
-
-
-
-
- Name : `LAMER Exterminator IV`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- SumKickData () - überwacht `Kick`-Vektoren
- Schäden : Das `LAMER Exterminator`-Virus IV überschreibt einen Datenblock
- 85 * mit dem Wort `LAMER` und zerstört so Programme !
- Anmerkung : Weiteres zu den `LAMER Exterminator`-Viren können Sie auch
- unter `LAMER Exterminator (alt)` lesen !
- Dieses Virus wurde zwar von `VirusX 4.00` im Speicher als
- `LAMER Exterminator` erkannt, doch kam es leider zu einem
- `Address Error` (GURU) !
-
-
-
- Name : `LAMER Exterminator V`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- SumKickData () - überwacht `Kick`-Vektoren
- Schäden : Auch dieses Virus überschreibt einen Datenblock 85 * mit dem
- Wort `LAMER` und richtet damit ähnliche Schäden an, wie
- `LAMER Exterminator IV` !
- Anmerkung : Weitere Informationen über die `LAMER Exterminator`-Viren
- erhalten Sie auch unter `LAMER Exterminator (alt)` !
- Dieses Virus wurde von `VirusX 4.00` nicht erkannt.
- `AntiCicloVir` kann leider die `LAMER Exterminator`-Viren IV & V
- im Speicher nicht voneinander unterscheiden !
-
-
-
-
- Name : `LAMER Exterminator VI`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- SumKickData () - überwacht `Kick`-Vektoren
- Schäden : Auch das `LAMER Exterminator`-Virus VI schreibt 85 * das Wort
- `LAMER` in einen Datenblock ...
- Anmerkung : Mehr zum Thema `LAMER Exterminator` finden Sie unter `LAMER
- Exterminator (alt)` in diesem Anhang !
- Das `LAMER Exterminator`-Virus VI überwacht auch noch die
- Vektoren `ColdCapture` und `CoolCapture`.
- `VirusX 4.00` hatte beim Testen dieses Virus mit `Lamer II`
- verwechselt !
-
-
-
-
- Name : `LAMER Exterminator VII`
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ( überwacht auch Resident-Vektoren ! )
- Schäden : Das `LAMER`-Exterminator`-Virus VII zerstört Disketten, indem
- es Datenblöcke 85 * mit dem Wort `LAMER!` überschreibt, was
- `Read/Write Error`s hervorruft !
- Anmerkung : Mehr zum Thema `LAMER Exterminator` finden Sie im Kapitel
- `LAMER Exterminator (alt)` !
- `AntiCicloVir` kann dieses `Bootblock`-Viruses noch nicht auf
- der Diskette erkennen !!!
-
-
-
-
- Name : `LAMER Exterminator VIII`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- SumKickData () - überwacht `Kick`-Vektoren
- Schäden : Dieses Virus beinhaltet eine Formatierungsroutine für alle
- Laufwerke und kann so gleich mehrere Disketten zerstören ...
- Anmerkung : Auch an dieser Stelle möchte ich noch einmal auf `LAMER
- Exterminator (alt)` verweisen !
- Dieses Virus wird natürlich erst recht nicht von `VirusX 4.00`
- erkannt !
- `AntiCicloVir` kann dieses `Bootblock`-Virus bisher nicht auf
- der Diskette erkennen !!!
-
-
-
-
-
- Name : `Loverboy & Sexmachine`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Bei diesem `16 Bit-Crew`-Mutanten wurde nur der ASCII-Text aus-
- getauscht !
-
-
-
-
- Name : `LSD`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine
- Anmerkung : Ein weiterer `SCA`-Mutant bei dem nur der Text geändert wurde .
-
-
-
- Name : `MAD`
-
- Resetvektoren: keine
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : mir sind keine bekannt ...
- Anmerkung : Bei diesem Virus handelt es sich um eine Mutation des
- `Byte Bandit`-Virus !
- Außer das der Text geändert wurde, ist dieses Virus nun auch
- nicht mehr resetfest.
-
-
-
- Name : `MAD II`
-
- Resetvektoren: WarmCapture *
- KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : versucht Kurzschluß auszulösen, durch `patchen` des Wertes im
- Register für die Netzspannungs-Frequenz ( ExecBase ) ???
- Anmerkung : Wegen einer festen Rücksprungadresse zum ROM aus der `DoIO`-
- Routine stürzt auch dieses `Bootblock`-Virus unter allen
- anderen `KickStart`s außer 1.2 ab !
-
-
-
-
- Name : `MEXX`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Auch bei diesem `SCA`-Mutanten wurde nur der ASCII-Text geändert !
-
-
-
-
- Name : `MGM 89`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : keine.
-
-
-
-
- Name : `Microsystems`
-
- Resetvektoren: ColdCapture *
- CoolCapture *
- Interrupts : keine
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- RemTask () (RESET)
- AddTask () (RESET)
- Schäden : keine.
- Anmerkung : Im `Bootblock` hat dieses Virus ziemlich viel Ähnlichkeit mit
- einem `SCA`-Virus und besitzt sogar die selbe `Boot CheckSum` !
- Deshalb wird es von so manch einem Viruskiller mit dem `SCA`-
- Virus verwechselt !!!
- Aber es ist keines und funktioniert im Speicher auch ganz anders.!
- So holt es beispielsweise die Namen für Bibliotheksaufrufe
- direkt aus dem ROM.
- `Microsystems` arbeitet nur unter KickStart V1.2.
-
-
-
- Name : `MOSH`
- Resetvektoren: CoolCapture *
- Interrupts : $68
- Bibliotheks-
- funktions-
- vektoren : keine.
- Schäden : keine.
- Anmerkung : `MOSH` kopiert sich selbst NICHT weiter und erzeugt nur nach dem
- `RESET` ein Grafikdemo !
-
-
-
- Name : `Nasty-Nasty`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Alert ()
- SuperState ()
- UserState ()
- Schäden : Das `Nasty-Nasty`-Virus zerstört nach jeder fünften Kopie
- Disketten !
- Anmerkung : Wegen Direkteinsprünge in einige ROM-Routinen funktioniert es
- nur unter `KickStart V1.2` !
-
-
-
-
- Name : `North Star`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine
- bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : keine.
-
-
-
-
- Name : `North Star II`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : keine.
-
-
-
-
- Name : `Obelisk`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Das `Obelisk`-Virus schreibt manchmal das Wort `GURU` nach $60
- und zerstört dadurch den Ausnahmevektor, der in`s ROM ( IR-Ebene 7 )
- weist !
- Anmerkung : Dieses Virus verrät sich sehr leicht durch ein eigenes `Boot-
- Intro` ( Deutschlandflagge + Schrift: `OBELISK SOFTWORKS CREW` )
- , welches es nach jedem Systemstart erzeugt !
-
-
-
-
-
- Name : `Obelisk 2`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : Eigentlich keine.
- Allerdings ist das Virus in der Lage eine `Disk-Format`-Routine
- vorzutäuschen, bei der jedoch nichts zerstört wird !
- Anmerkung : `VirusX 4.00` zeigt zuerst das `Australian Parasite`-Virus im
- Speicher an und dann `Obelisk 2` !
-
-
-
-
- Name : `OPAPA`
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : Das `OPAPA`-Virus gibt nach einiger Zeit eine Grafik mit folgendem
- Text aus: `... OPAPA-VIRUS READY STEADY FORMAT`.
- Dabei werden die Disketten in allen angeschlossenen Laufwerken
- zerstört !
- Anmerkung : keine.
-
-
-
-
- Name : `PARATAX`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Anmerkung : Hierbei handelt es sich wieder einmal um einen `SCA`-Mutanten
- mit geändertem ASCII-Text.
-
-
-
-
- Name : `PARATAX II`
-
- Resetvektoren: ColdCapture *
- CoolCapture *
- Interrupts : ???
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Aus `faulheitstechnischen Gründen` habe ich leider keine Lust
- alles noch einmal aufzuschreiben und verweise Sie deshalb zum
- `DiskDoktors`-Kapitel ...
- Anmerkung : Bei diesem Virus handelt es sich um eine Mutation des `DiskDoktors`-
- Virus, bei der hauptsächlich der ASCII-Text geändert wurde.
- Neu ist ansonsten noch, daß das Virus nun nicht mehr den
- `WarmCapture`-Vektoren benutzt !
-
-
-
-
- Name : `PARATAX III`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Hier hat sich `mal wieder ein `Lamer` besonders viel Mühe gemacht
- und den `16 Bit-Crew`-Text gegen einen eigenen ausgetauscht, sowie
- 50 (!) * in den `Bootblock` `PARATAX` geschrieben ... schön doof.
-
-
-
- Name : `Pentagon-Slayer`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : `killt` einige `Bootblock`-Viren.
- Anmerkung : keine.
-
-
-
-
- Name : `Pentagon-Slayer 2`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : erkennt und löscht einige bekannte `Bootblock`-Viren.
- Anmerkung : keine.
-
-
-
-
- Name : `Pentagon-Slayer 3`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : erkennt und löscht einige bekannte `Bootblock`-Viren
- Anmerkung : keine.
-
-
-
- Name : `Plastique`
- Resetvektoren: CoolCapture *
- Interrupts : keine
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Sobald eine Zählstelle im Programm den Wert 10 erreicht hat,
- werden einige Vektoren auf ROM-Beginn verbogen, was einen
- Absturz zur Folge hat !
- Anmerkung : Bei diesem Virus handelt es sich um eine Mutation des `16 Bit-
- Crew`-Viruses !
- Da die `Reset`-Routine und einige andere Programmteile ver-
- schoben worden sind, zeigt der verbogene Vektor DoIO () nicht
- mehr auf die Vermehrungsroutine des Viruses, weshalb es sich
- auch nicht weiterkopieren kann !
-
-
-
-
-
- Name : `Revenge`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine
- Anmerkung : Nach einiger Zeit verändert das Virus Ihren Mauszeiger in ...
- ( ach ja wie schrieb Steve Tibbett doch : `... brings up an
- obscene pointer ...` )
- Das `Revenge`-Virus steht immer ab $7E000 im Speicher !
-
-
-
- Name : `Revenge Bootloader`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : keine.
- Anmerkung : Es sind Ähnlichkeiten mit `Byte Bandit` vorhanden, die aber
- nicht auf eine Mutation, sondern wohl eher auf die selbe Quelle
- hindeuten !
-
-
-
- Name : `SACHSEN No. 1`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : keine.
-
-
-
-
- Name : `SADDAM HUSSEIN`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : Interrupt 3 - Textausgabe
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Das `SADDAM HUSSEIN`-Virus versucht im `Bootblock` durch:
- `A2000 MB Memory Controller V2` zu täuschen !
- ( Siehe auch `Blow Job` ! )
-
-
-
-
-
- Name : `SCA`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : natürlich keine.
- Anmerkung : Das `SCA`-Virus war womöglich das erste Virus auf dem Amiga !
- Um so weniger verblüfft auch die Tatsache, daß ein gewisser
- Prozentsatz aller Neuerscheinungen von `Bootblock`-Viren
- `SCA`-Mutanten sind !
- Das `SCA`-Virus soll unter KickStart V2.04 nicht mehr
- funktionieren.
-
-
-
-
-
-
- Name : `SCARFACE`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : keine.
- Anmerkung : keine.
-
-
-
-
- Name : `Sendarion #1`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : Bei diesem Virus handelt es sich diesmal nicht um einen `SCA`-
- ,sondern `REVENGE`-Mutanten mit geändertem ASCII-Text ...
-
-
-
-
- Name : `Sherlock2.0`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Das Antivirus `Sherlock2.0` überschreibt nach Abfrage `non-standard`-
- Bootblöcke und ist somit eigentlich kein Virus !
- Anmerkung : Dieses Programm ist ( so glaube ich ) das erste, das einen
- deutschsprachigen ASCII-Text im `Bootblock` beinhaltet.
-
-
-
-
- Name : `SS`
-
- Resetvektoren: CoolCapture *
- Interrupts : PORTS
- VERTB
- Bibliotheks-
- funktions-
- vektoren : keine.
- Schäden : keine.
- Anmerkung : Dieses Virus soll nach einem Reset eine entsprechende Grafik-
- routine ausgeben, die aber wohl nicht unter `KickStart V1.2`,
- sondern erst ab 1.3, funktioniert.
- Das `SS`-Virus kopiert sich nicht weiter.
- Dieses Virus kann nur durch einen Reset sicher gelöscht werden !
-
-
-
-
- Name : `SS II`
-
- Resetvektoren: CoolCapture *
- Interrupts : PORTS
- VERTB
- Bibliotheks-
- funktions-
- vektoren : keine.
- Schäden : keine.
- Anmerkung : Dieses Computervirus funktioniert wohl so ähnlich, wie das erste
- `SS`-Virus und wird auch so gelöscht.
- Statt mit `!SS!` wurde dieser `Bootblock` nun mit `HEIL` ver-
- schlüsselt.
-
-
-
-
- Name : `Supply Team`
-
- Resetvektoren: keine.
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : keine.
- Schäden : keine
- Anmerkung : Dieses Programm ist eigentlich kein Computervirus !
- Es ist wohl mehr zum Löschen von Viren gedacht, kopiert sich
- nicht weiter und richtet auch keine Schäden an !
-
-
-
-
-
- Name : `Target`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : Das `Target`-Virus durchsucht ab Block 880 jede Diskette nach
- einer bestimmten Zeichenfolge ( Diskname ) und schreibt, falls
- es fündig geworden ist, ab Spur 80 Datenmüll auf die Diskette.
- Anmerkung : Das `Target`-Virus wird von `target.install ( Malta )` erzeugt.
-
-
-
-
-
- Name : `Telstar`
-
- Resetvektoren: ColdCapture *
- CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : keine.
- Schäden : keine.
- Anmerkung : Das Programm tarnt sich als `Virusprotector V5.0` von Pieter
- van Leuven und erzeugt nach einigen Resets die niederländische
- Flagge + `TelStar`-Text !
-
-
-
- Name : `Termigator`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () - kopiert `Bootblock` & überwacht CoolCapture *
- Schäden : Das `Termigator`-Virus stört manchmal den `Boot`-Vorgang, indem
- es verschiedene `GURU-Meditationen` auslöst !
- Ob dies Absicht ist, ist mir nicht bekannt !
- Anmerkung : Wegen absoluter Einsprünge in`s ROM, funktionert es nur unter
- `KickStart V1.2` !
-
-
-
-
-
- Name : `T.F.C. Revenge`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : RasterBeam
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : kann Disketten in allen Laufwerken zerstören, die nicht schreibge-
- schützt sind !
- Anmerkung : Dieses `Bootblock`-Virus wird vom `Filevirus` `T.F.C. Revenge
- LoadWB` erzeugt, welches in `Anhang A` dokumetiert wurde !
- Es steht entweder an der Speicherstelle $7F800 oder bei $FF800.
-
-
-
-
- Name : `TimeBomb`
-
- Resetvektoren: keine
- interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : keine.
- Schäden : überschreibt manchmal `Track 80` mit Speicherinhalt ab $20000 !
- Dadurch wird die `AmigaDOS`-Disketten-Struktur zerstört !
- Anmerkung : Mir ist nicht bekannt wie sich dieses Virus weiterkopiert und
- mit meinem Amiga hat eine Vervielfachung dieses `Bootblock`-
- Viruses auch nicht geklappt !
- Ich habe aber irgendwo gelesen, daß sich dieses Virus nicht
- über den Speicher weiterkopiert, sondern statt dessen sich
- selbst beim `Booten` von der Diskette im Laufwerk `DF0` nach
- `DF1` ( `Bootblcok` ) kopiert !
-
-
-
-
- Name : `TNK`
- Resetvektoren: CoolCapture *
- Interrupts : keine
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : ... eine `SCA`-Mutation mit geändertem ASCII-Text.
-
-
-
-
- Name : `Tomates Gentechnic`
-
- Resetvektoren: keine.
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : keine.
- Schäden : Überschreibt manchmal `Track 80` mit Speicherinhalt ab $20000 !
- Dadurch wird die `AmigaDOS`-Disketten-Struktur zerstört !
- Anmerkung : Bei diesem Virus handelt es sich um eine Mutation des `TimeBomb`-
- Viruses, wobei nur der ASCII-Text ausgetauscht wurde !
- Lesen Sie also bitte auch `TimeBomb` im selben Anhang !
-
-
-
-
- Name : `TURK V1.3`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : Das `TURK`-Virus schreibt nach $60 `TURK` in den Speicher !
- Auch der Rootblock wird mit `TURK` ueberschrieben !
- Anmerkung : Dieses `Bootblock`-Virus wird vom `Filevirus` `Color` erzeugt
- ( siehe Anhang A ) !
-
-
-
-
- Name : `U.K. Lamer Style`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO () - schreibt `Bootblock` und überwacht `Kick`-Vektoren
- Schäden : keine.
- Anmerkung : Das `U.K. Lamer Style`-Virus wird von vielen bekannten Virus-
- killern mit dem `Revenge Of The Lamer Exterminator`-Virus
- verwechselt !
- Und in der Tat hat es auch viele Ähnlichkeiten mit diesem
- `Filevirus` ( siehe Anhang A ).
- Das `U.K. Lamer Style`-Virus benutzt beispielsweise auch die `clist.
- library` und ähnliche Vektoren wie das `R.L.E.`-Virus.
- Es bestehen auch Ähnlichkeiten zu den `LAMER Exterminator`-
- Bootblock-Viren, so daß ich es ebenfalls zur Gruppe dieser
- Viren rechnen würde !
- Doch im Gegensatz zu diesen zerstört es keine Disketten.
- Das `U.K. Lamer Style`-Virus ist in den `Bootblöcken` immer
- kodiert und auch im Speicher bleibt noch der Name `U.K. Lamer
- Style` verschlüsselt.
- Dem Namen nach zu urteilen vermute ich, daß dieses Virus eine
- Art Verspottung bzw. `Narrenkappe` für Anfänger sein soll,
- da `Lamer Style` übersetzt ja so viel bedeutet wie `Anfänger
- Mode/Bekleidung` !
- Dieses Virus enthält auch keine Ausgabetexte !
-
-
-
-
- Name : `Ultrafox`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : Wegen eines absoluten `DoIO`-ROM-Einsprunges, funktioniert auch
- dieses `Bootblock`-Virus nur noch unter `KickStart V1.2` !
-
-
-
-
- Name : `Virus Slayer V1.0`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : Dieses Programm ist eigentlich ein Antivirus und richtet sich
- gegen `Bootblock`-Viren !
- Auch hier ist es so, daß wegen absoluter Adressierung bezüglich
- des `DoIO`-Vektoren, ein Weiterarbeiten außerhalb von `KickStart
- V1.2` nicht möglich ist !
-
-
-
-
- Name : `Virus V1`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : keine.
- Anmerkung : Dieses `Bootblock`-Virus arbeitet auch mit `KickStart V2.04` !
-
-
-
-
-
- Name : `Warhawk`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : keine.
-
-
-
- Name : `Warsaw Avenger`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO () (ueberwacht auch `Kick`-Pointer)
- SumKickData ()
- Schaeden : Nach vier Reset`s sucht es sich einige OFS oder FFS Datenbloecke
- und ueberschreibt deren Inhalt 55 mal mit dem Wort `Warsaw!`.
-
- Das verursacht `Read/Write Errors` und
- Datenverluste !!!
- Anmerkung : Das `Warsaw Avenger`-Virus ist zwar kein
- billiger `ASCII-Mutant` des `LAMER Exterminator`, allerdings
- finden sich in diesem Virus viele Routinen des `LAMER Exterminator`
- wieder !!!
- Der `Bootblock` ist jedoch nicht verschluesselt.
-
-
-
-
-
- Name : `Z.E.S.T.`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : ... tarnt sich als Viruskiller !
- Anmerkung : Bei diesem Virus handelt es sich um eine Mutation von `L.A.D.S`,
- bei der nur der ASCII-Text ausgetauscht wurde.
- Auch diese Mutation tarnt sich als Viruskiller ( siehe L.A.D.S )!
-
-
-
- Name : `ZACCESS V1.0`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Bei diesem Virus handelt es sich wieder einmal um eine `SCA`-
- Mutation mit geändertem ASCII-Text !
-
-
-
-
- Name : `ZACCESS V2.0`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : BeginIO ()
- Schäden : mir sind keine bekannt.
- Anmerkung : Bei diesem Virus handelt es sich um eine Mutation des `Byte Bandit`-
- Viruses, bei der nur der ASCII-Text ausgewechselt wurde und die
- genauso gelöscht wird wie das `Byte Bandit`-Virus selbst !
-
-
-
-
- Name : `ZACCESS V3.0`
-
- Resetvektoren: KickTagPtr *
- KickCheckSum *
- Interrupts : RasterBeam
- Bibliotheks-
- funktions-
- vektoren : DoIO ()
- Schäden : löscht wie `Extreme` Viren, indem es ganze Disketten formatiert.
- Anmerkung : Bei diesem Virus handelt es sich um eine `Extreme`-Mutation mit
- geändertem ASCII-Text !
- Dieses Virus muß wie `Extreme` aus dem Speicher entfernt werden !
-
-
-
-
- Name : `ZLX`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO () (RESET)
- Schäden : keine.
- Anmerkung : Und nun wieder einmal ein `SCA`-Mutant ...
-
-
-
-
-
- Name : `Zombi I`
-
- Resetvektoren: CoolCapture *
- Interrupts : keine.
- Bibliotheks-
- funktions-
- vektoren : DoIO (RESET)
- Schäden : Das `Zombi`-Virus schreibt den `Root`- & `BitMap`-Block ( `BAM` )
- neu !
- Dabei erhält die Diskette den Namen `Zombi I` !
- Da das Virus den `BitMap`-Block immer nach $371 schreibt, was
- jedoch nicht so bei allen AmigaDOS-Versionen geregelt ist, kann
- eine Datei, die dort steht, zerstört werden !!!
- Außerdem werden alle Hashwerte auf Null gesetzt.
- Das bedeutet, dass alle Datei-Eintraege verloren gehen.
- Anmerkung : keine.
-
-
-
-
- `Anhang C `
-
- In diesem Anhang werden nun alle Programme aufgeführt,
- die mit absoluter Sicherheit harmlos sind und von `AntiCicloVir` deshalb
- im Speicher und/oder auf Disk weder verändert noch gelöscht werden !
-
-
- - `ASS Virusprotector V1.0`:
-
- Hierbei dürfte es sich um ein älteres Antivirusprogramm handeln !
- Es steht im `Bootblock` und überwacht die Zeiger CoolCapture * &
- KickTagPtr * !
- Zeigt CoolCapture * nicht auf null, so warnt das Programm Sie vorm
- `SCA`-Virus, zeigt KickTagPtr * nicht auf null vorm `Byte Bandit`-Virus
- und löscht den Zeiger !
- Das Antivirus-Programm `ASS` installiert sich in den Speicher mittels
- des KickTagPtr * & KickCheckSum * und überwacht nun den Zeiger
- CoolCapture * !
-
- - `SystemZ V3.0-V6.5`:
-
- Hierbei handelt es sich um Pieter van Leuven`s bekannten `Virusprotector`,
- der schon von Anfang an bei der Virenbekämpfung dabei war !
- Das Programm ist resetfest und erzeugt nach jedem Reset ein audio-visuelles
- Signal - beim `Booten` wird der Bildschirm grün !
- `SystemZ` erkennt mehrere `Bootblock`-Viren im Speicher & auf Diskette
- und kopiert sich nach Abfrage selbst über ein `Bootblock`-Virus !
- Da die Zahl der `Bootblock`-Viren wohl schon 200 überschritten hat und
- im `Bootblock` ( 1024 Bytes ) nur begrenzt Platz ist, dürfte `SystemZ`
- seine Zeit bereits hinter sich haben ...
-
-
- - `ALF-2 HD`
-
- Von einem `AntiCicloVir`-Benutzer erhielt ich die Mitteilung, daß mein
- Viruskiller `ALF-2 HD` im Speicher nicht erkennen würde und es
- deshalb gelöscht würde.
- Ich habe nun eine Routine programmiert, die die `Kick`-Vektoren, auf
- `ALF`-spezifische Adressen überwacht.
- Da ich `ALF-2 HD` selbst nicht besitze konnte ich dies nicht überprüfen !
- Ich habe aber gelesen, daß `ALF-2 HD` nun erkannt werden soll !
-
-
-
- Matthias Gutt
-
-
