Fresh Fish 5

home *** CD-ROM | disk | FTP | other *** search

/ Fresh Fish 5 / FreshFish_July-August1994.bin / bbs / util / vt-2.65.lha / VT-2.65 / VT.Dokumente / VT.kennt_A-K < prev next >

Wrap

Text File | 1994-06-19 | 238.6 KB | 4,997 lines

************************************************************* * * * In eigener Sache: * * Ich, Heiner Schneegold, habe als Programmierer von VT * * NIE irgendwelche Rechte am Programm oder an den Texten * * aufgegeben. * * Deshalb lege ich fest: * * VT und/oder VT-Texte duerfen weder ganz noch teilweise * * auf einer SHI-SUPERKILLER-Disk oder einer anderen von * * SHI herausgegebenen Disk veroeffentlicht werden. * * Begruendung: * * Trotz mehrmaliger Bitten um Abhilfe hat die Leitung von * * SHI Icons ("kranker Computer") von VT abgeaendert, Pro- * * grammteile und/oder Texte weggelassen. Dies entspricht * * weder meinen Vorstellungen noch dem Freeware-Gedanken. * * Eibelstadt, 17.12.93 * * Heiner Schneegold * * * ************************************************************* VT2.65 kennt_A-K: ================= (oder sollte erkennen) Stand: 18.06.94 - bitte lesen Sie zuerst VT.LiesMich. Danke ! - Serienersteller und PD-Haendler sollten vorher Kontakt mit mir aufnehmen !!! Heiner Schneegold Am Steinert 8 97246 Eibelstadt Deutschland Tel. 09303/8369 (nur 19.00 - 20.00 Uhr) Hinweis 15.05.94: Viele BB-Viren nehmen KEINE Ruecksicht auf das FileSystem. Also auch auf eine Disk mit FFS-Struktur (DOS1/3/5) wird ein DOS0-BB-Virus geschrieben. Beim Filetest mit VT wuerden dann nur bad.Data ange- zeigt. Dies sollten Sie als Hinweis nehmen, den Versuch mit einem FFS-BB zu wiederholen. ABER viel schlimmer. Falls Sie bei einer Disk mit falschem DOS-BB einen Schreibzugriff versuchen, muessen Sie damit rechnen, das die Disk-Struktur zerstoert wird !!!! Versuchen Sie nach diesem Fall einen FFS-BB zu installieren und fuehren Sie dann den Filetest noch einmal durch. Wenn nicht zu viele Files defekt sind, koennen Sie auch mit Disksalv einen Rettungsversuch unternehmen. Hinweis 10.05.94: Fordert trackdisk.device NICHT Das Virusteil greift auf das Device zu, das im Moment durch DoIo (Read, Write usw.) aktiv ist. Das kann auch ein Festplatten.device (scsi.device, gvpiscsi.device usw.) sein. Es wuerde also der Rigid.BB der HD zerstoert. Nach dem naechsten Reset koennte dann von dieser Festplatte nicht mehr gestartet werden. Keine schlechte Idee waere es, Zylinder 0 der HD mit VT in zeige Zyl. herauszusichern, der sich mit LW-info einen Ausdruck vom Aufbau der HD zu beschaffen. Dann waere es im Fall eines Falles mit der HD-ToolBox von Commodore moeglich, die HD neu aufzubauen, wenn nur der Rigid-Bereich vom Virus-Teil zerstoert worden ist. Hinweis 26.07.93: Sollte beim Test HARDLink oder SOFTLink auftauchen, so handelt es sich weder um einen Virenbefall noch um einen Cruncher, sondern um den Hinweis auf eine Routine des Betriebssystems. Nachzu- lesen bei VT2.xyd am Ende von FileTest. Hinweis 10.10.93: Bei aelteren BBen kann es vorkommen, dass VT "unbe- kanntes Programm", "Resstruc ungerade", "Resstruc leer" ausgibt. Dies ist KEIN Fehler von VT, sondern liegt daran, dass der Speicher fuer das Virusteil NICHT mit allocmem als belegt gekennzeichnet wird bei der Installierung im Speicher. Manche BB sind wenigstens noch soweit, dass sie nach einem RESET den Speicher anmelden. Bei 1MB ist nun die Gefahr gross, das ein Programm z.B. VT das Virusteil ueberschreibt. Eine Vermehrung ist dann natuerlich auch nicht mehr moeglich. ABER !!!! Der KickTag-Zeiger, Cool-Zeiger oder Cold-Zeiger bleibt ja verbogen (geschuetzt in ExecBase). Also ueberprueft VT die Vektoren, findet nichts passendes dazu und gibt deshalb obengenannte Warnungen aus. Die gleichen Viren (z.B. SCA ) werden mit 5MB Speicher SICHER erkannt im Speicher. Im BB MUSS VT diese Viren IMMER finden, da es hier kein Speicherproblem gibt. Im schlimmsten Fall kann es mit nur 1MB CHIP und KEIN Fastmem zum GURU kommen, wenn das Virusteil seinen Speicher nicht anmeldet und z.B. DoIo verbiegt. VT ueberschreibt dann schon beim Laden den "Virusspeicherbereich", zerstoert den DoIo und dies fuehrt zu einem GURU. Dies hat NICHTS mit VT zu tun, sondern kann mit anderen gros- sen Programmen genauso nachvollzogen werden !!!!! - bekannte Viren (die ich habe): ============================== Test auf mind. drei Langworte im Speicher Kein FastMem heisst, dass das VirusPrg mit FastmemKarte bei mir abstuerzt, koennte aber mit $C00000 oder einer anderen FastMemKarte laufen ???? - 3c(a7)-Link Diese Variante ist im Dez. 93 aufgetaucht. Die Routine ist keine Neuentwicklung, sondern wurde von Packern abgeschaut. Da sich VT nicht sicher ist, bietet das Programm nur weiter an. Bei einigen Programmen - die ich habe (Dotty-MAFIA-Inst.) -, bietet VT loeschen an. Alle mir bekannten Links (Stand Jan 94) verwenden im Programm absolute Speicheradressen, die normal nur auf wenigen Rechnertypen vorhanden sind. Also nach meiner Meinung keine zu grosse Gefahr. - 3E8-Hunk 3F0-Hunk 3F1-Hunk WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG 99% der von VT erkannten Hunktypen werden NICHTS mit einem Virus zu tun haben !!! Also bitte, die Aussage "3E8-Hunk=Virus" ist MEIST FALSCH !!! WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG Die obengenannten Hunktypen sind fuer den Programmablauf nicht notwendig. Ehrliche Programmierer verwenden diese Hunks, um z.B. mit Kontrollstrukturen den sauberen Ablauf ihres eigenen Programms auszutesten. Andere Programmierer legen in einen Hunktyp die Versions-Nummer. Also alles in Ordnung. Wieder andere Programmierer versuchen durch diese Hunktypen am Fileanfang, einen Virus-Link zu verhindern, da die meisten Link- Viren auf $3E9 geprueft haben. TUT MIR LEID. DIESE ZEITEN SIND VORBEI. Neuere Viren koennen diese Hunktypen am Fileanfang ueber- springen. Einige Negativbeispiele: Dark Avanger 3E8, 3F0, 3F1 BURN-Virus 3F1 MENEM'S REVENGE 3E8, 3F0, 3F1 usw. ABER ABER ABER !!! Es sind mindestens zwei Shareware-Programme bekannt, die auf Mausklick VOR ein bestehendes Programm z.B. einen 3E8-Hunk haengen. Dies nutzen nun seit Dez. 93 einige weniger nette Zeitgenossen aus, um ihr Virusteil zu verstecken. Da die Filestruktur veraendert wird, kann es Probleme fuer Antivirusprg.e geben, obwohl das Virus- teil UNVERAENDERT, also ohne 3E8-Hunk erkannt werden wuerde. Testablauf: Falls VT diese Hunktypen an einem File erkennt, brechen Sie bitte den Scan-Vorgang ab. Kopieren Sie das File ins RAM: oder auf eine leere Disk. Gehen Sie danach in den VT-Filerequester. Klicken Sie das File an. Klicken Sie auf Convert. (Ja, ich war zu faul, dafuer ein eigenes Gadget zu opfern). VT sollte nun den Hunk ausbauen und das File neu abspeichern. moegliche Fehlermeldungen: - nichts Bekanntes (es ist gar kein 3E8-Hunk) - Fehler (VT findet keinen Anschlusshunk oder das File ist irgendwie beschaedigt) Da inzwischen ein File mit einem 3E8-Hunk UND einem 3F1-Hunk am Anfang aufgetaucht ist, muessen Sie den Ausbau (convert) halt wiederholen !!!! Danach klicken Sie bitte im Filerequester auf FileTest: - nichts Bekanntes (hoechstwahrscheinlich kein Virusteil aber nicht sicher. Es tauchen immer wieder neue Viren auf.) - VT erkennt ein Virusteil - VT erkennt einen Packer (Hier sollten bei Ihnen IMMER die Alarmglocken anschlagen.) Entpacken Sie das File mit dem entsprechenden Packer. Mit etwas Pech werden Sie dann mit VT oder einem Filemonitor ein Virusteil erkennen. Hinweis: Auf der Fish-CD Dez93 (Auslieferung Mitte Jan 94) findet VT mehrere 3F1-Hunks. Die betroffenen Programme wurden nach RAM: kopiert und ueberprueft. Sie sind ALLE sauber. Die Aussage gilt NUR fuer diese CD !!!! Nachtrag Feb. 94: Es haben mich inzwischen Anrufe erreicht, dass nach dem Ausbau von 3F1-Hunks das Programm nicht mehr lauffaehig sei. Da ich solche Tricks befuerchtet habe, koennen Sie diese Hunks ja auch nicht im Filetest ausbauen, sondern muessen in den VT-Filerequester gehen und mit dem Gadget "Convert" arbeiten. Also BITTE kopieren Sie solche Files auf eine leere Disk, aktivieren Sie Convert UND (!!!!!!!) ueberpruefen Sie dann die Lauffaehigkeit des ver- kuerzten Programms. Es scheinen sich viele Spieleprogrammierer NICHT (!!!!!!) an die Vorgaben von Commodore fuer den 3F1-Hunk zu halten. Ich habe das noch einmal mit 3F1-Hunks auf der Fish-CD probiert. KEIN Programm enthielt einen Virus und sie waren nach dem Ausbau LAUFFAEHIG !!!!! Negativbeispiel: Anruf wegen dpaint IV AGA (wenn ich es richtig verstanden habe): 3F1-Hunk von dpaint entfernt. Programm aus cli gestartet. Meldung: dpaint nicht gefunden 3F1-Hunk von dpaint modifiziert. Programm aus cli gestartet. Meldung: dpaint falsch installiert Also: Bitte, Bitte arbeiten Sie bei 3F1-Hunks mit einer KOPIE UND ueberpruefen Sie die LAUFFAEHIGKEIT. Danke - 3F1-HEADDBGV-Hunk 00000000 00000033 000003f1 0000000c .......3........ 0039d25b 48454144 44424756 30310000 .9.[HEADDBGV01.. Dieser 3F1-Hunk am Fileanfang scheint MEIST ausbaubar zu sein, ohne die Lauffaehigkeit des Programms zu verhindern (aber nicht immer). Fertigen Sie bitte vor Ausbau eine Kopie an. Getestet wurde dies mit einigen Files (z.B. lawbreaker). Nachtrag Mai 94: laut Tel.-Auskunft erzeugt zum Beispiel Dice reg. so einen 3F1-Hunk. Aber bitte: Was sollen ein Hunk-Debug oder Hunk- Symbol in einem Prg., das veroeffentlicht wird. Diese Hunks sind fuer den Endanwender NUTZLOS und verlaengern nur unnoetig das Programmfile. - 4711-Virus Saddam-Disk-Validator-Clone s.u. - $4EB9-Link ?? Fileauszug: 0000: 000003f3 00000000 0000000d 00000000 ................ 0010: 0000000c 00000004 00000014 00000630 ...............P 0020: 400000cc 00000001 0000007c 0000042a @..............+ 0030: 00000486 00000014 000026d8 0000007c ..........&..... 0040: 000013aa 00000923 000003e9 00000004 .......#........ 0050: 4eb90000 00004eb9 00000000 70004e75 N.....N.....p.Nu 0060: 000003ec 00000001 00000001 00000002 ................ 0070: 00000001 00000008 00000008 00000000 ................ 0080: 000003f2 000003e9 00000014 48e7ffff ............H... Diese Struktur taucht in letzter Zeit immer haeufiger im Zusam- menhang mit gelinkten Viren auf. Bei den Viren handelt es sich in der Regel um "alte" Teile, die aber nicht erkannt werden koennen, da die Testlangworte an einer anderen Stelle liegen. Vermutlich wurde die Struktur von einer Szene-Gruppe entwickelt, um ein Intro vor ein Programm linken zu koennen. Diese Struktur wird nun abgekupfert (oder es existiert sogar ein Programm dafuer ??). Also BITTE, BITTE nicht bei jedem $4eb9 sofort loeschen, sondern nachdenken und das File erst auf eine andere Disk kopieren. Der groesste Teil der gefundenen Programme wird wahrscheinlich der Szene zuzuordnen sein, d. h. das Spiel wird nach dem Loeschen NICHT mehr laufen. Bitte helfen SIE mit, die Virus-Programme her- auszufiltern und schicken Sie die Programme bitte an mich. Wenn es geht mit Tel. Nr. . Ich rufe dann zurueck, sobald ich das Teil entschluesselt habe. Ich sichere noch einmal zu, dass sowohl Telefonnummern als auch Adressen nach Erledigung der Arbeit in den Abfalleimer wandern. Struktur: Ab $84 beginnt das gelinkte Virus-Teil Ab $48 beginnt der Ausloeser-Hunk. Er ist sehr kurz (4) und enthaelt nur 2 Sprungbefehle jsr ($4EB9), moveq 0,d0 (7000) und ein rts (4e75). Danach folgt ein Reloc-Hunk fuer die jsr-Befehle. Ablauf: Der 1. jsr-Befehl installiert das Virus-Teil und kehrt zurueck. Der 2. jsr-Befehl fuehrt das Nutzprogramm aus und kehrt nach Be- endigung des Programms zurueck. Danach wird d0 geloescht und mit rts das ganze File beendet. So einfach ist das. Hinweis 07.06.93: Es sind auch 4EB9-Links aufgetaucht, bei denen das Virusteil mit dem 2. jsr-Befehl installiert wird. ALLE angelinkten Virenteile waren gepackt, wohl um Reloc-Probleme zu minimieren. HINWEIS ab VT2.54 : Sie koennen jetzt im File-Requester Teil 1 oder 2 abschalten. Link1aus - schaltet den Programmteil 1 ab. Link2aus - schaltet den Programmteil 2 ab. Dies kann natuerlich nur ein NOTNAGEL sein. Besser ist es, wenn Sie mir das verseuchte Teil zuschicken und noch mehr erleichtern Sie mir meine Arbeit, falls Sie zufaellig das Programm auch im ungelinkten Zustand besitzen. Bitte fertigen Sie sich von dem gelinkten Programm zwei ver- schiedene Namenskopien auf einer sonst leeren Disk an. Schalten Sie danach an Kopie 1 den Link 1 ab und an Kopie 2 den Link 2 ab. Wenn Sie Glueck haben, ist ein lauffaehiges Programm dann ohne Virusteil oder ohne Intro !! Aber !!! Es ist auch moeglich, dass das Haupt-Programm NICHT mehr laeuft. Warum ? Beispiel: Eine Gruppe hat ein Intro vor ein Spiel gelinkt. Dann koennen in diesem Intro schon Veraenderungen am Computer (FastRam ab- schalten usw.) vorgenommen werden, die das Spiel voraussetzt. Ohne das Intro ist das Spiel dann logischerweise nicht lauf- faehig. Beispiele sind bekannt !!!! MERKE: Ein File mit abgeschaltetem LINK gibt man NICHT weiter!!! Hinweis 28.06.93 : Das Erzeugerprogramm fuer den $4EB9-Link scheint gefunden zu sein. Ein Programm mit Namen: Chain V0.23 Danke fuer den Hinweis Hinweis 24.09.93: Es soll eine neue 4EB9-Variante aufgetaucht sein. 46696c65 2d636861 696e2069 6e636c75 File-chain inclu 64696e67 3a20006d 656e7500 77640000 ding: .menu.wd.. 000003e9 00000007 48e7fffe 4eb90000 ........H...N... 00004cd7 7fff4eb9 00000000 4cdf7fff ..L..N.....L.. 70004e75 000003ec 00000001 00000001 p.Nu............ Das neue 4EB9-Erzeugerprogramm wird noch gesucht. Sie koennen im File-Requester Teil 1 oder 2 abschalten. Bitte lesen Sie ein paar Zeilen weiter oben nach. Nachtrag 04.94: Das Erzeuger-Programm scheint gefunden zu sein. File-Chainer V1.3 Danke fuer den Hinweis . - $4EB9-$4EF9-Link ?? Fileauszug: 0000: 000003f3 00000000 0000000e 00000000 ................ 0010: 0000000d 00000005 00000089 000008d3 ................ 0020: 00000005 00000089 00000126 0000001d ...........&.... 0030: 0000e945 400000ac 00002085 40004485 ...E@..... .@.D. 0040: 0000007c 00008926 0000123a 000003e9 ...|...&...:.... 0050: 00000005 48e7fffe 4eb90000 00004cdf ....H...N.....L. 0060: 7fff4ef9 00000000 000003ec 00000001 .N............. Dis: 0054: 48E7 FFFE MOVEM.L D0-D7/A0-A6,-(A7) 0058: 4EB9 00000000 JSR L000001 005C: 4CDF 7FFF MOVEM.L (A7)+,D0-D7/A0-A6 0062: 4EF9 00000000 JMP L00002D Hinweis: Falls VT diese Struktur an einem File erkennt, kann das angelinkte Teil ein Trainer, ein Intro oder AUCH EIN Virus sein. Lesen Sie bitte dazu bei $4EB9-Link (oben) nach. Sie koennen jetzt im File-Requester an Files, die im FileTest als $4EB9-$4EF9-Link erkannt wurden, Teil 1 oder Teil 2 abschalten. Rest siehe oben Hinweis: Es wird das $4EB9-$4EF9-Link-Programm gesucht. Da Ende Nov 93 schlagartig mehrere solche Links aufgetaucht sind, vermute ich, das es dafuer ein Programm gibt. Nachtrag 04.94: Das Erzeuger-Programm scheint gefunden zu sein. ExeLink V1.1 Danke fuer den Hinweis . - $4EB9-Text-Link ?? An ein Programm wurde mit $4EB9 ein Text angelinkt, der im Cli mit Dos-Routinen ausgegeben wird. KEIN Virus !! VORSICHT !! VORSICHT !! VT versucht im Filetest einen Ausbau !!!!! Dieser Vorgang MUSS NICHT gelingen. Es kann sein, dass das Programm danach NICHT mehr lauffaehig ist. Fertigen Sie deshalb bitte VORHER eine Kopie an. Danke. Falls weitere derartige Anhaengsel bekannt sind, bitte ich um Zusendung. Am Fileanfang ist z.B. zu lesen: 20202020 542e442e 422e2046 524f4d20 T.D.B. FROM 4c454745 4e442120 50524553 454e5453 LEGEND! PRESENTS 204a5553 5420464f 52204655 4e210a0a JUST FOR FUN!.. ;usw. .... - $4EB9-Text-MausT ?? Nachtrag Maerz 94: Laut Telephonanrufen gibt es auch $4EB9-Text- Link-Files, die nur aus einer Gruppenmitteilung und dem Ab- fragen der linken Maustaste bestehen. Hier ist dann natuerlich ein Ausbau unsinnig. Loeschen Sie bei Bedarf das ganze File und aendern Sie dann auch s/startup-sequence ab. Bitte machen Sie aber VORHER eine Kopie der Disk. Sollte der Text die Aufforderung enthalten, eine andere Disk einzulegen, dann ist das Loeschen natuerlich nicht angebracht. Danke - .info anderer Name: TimeBomb V0.9 s.u. - 16 Bit Crew Cool, im Prg. noch DoIo, FastMem ja, im Speicher immer ab $7ec00 Vermehrung: ueber BB im BB steht unverschluesselt: The 16 Bit Crew 1988 - 16BIT-TAI8-Clone Nur Text geaendert: 00000000 000003f2 00000000 38543841 ............8T8A 3849382e 2e2e2e2e 00000000 00000000 8I8............. - 2001 SCA-Clone, Cool immer 7EC3E, nur anderer Text - A.H.C.-Virus BB nur KS1.3 immer ab $7FA00 Cool $7FAFE, DoIo 7FFB3E Sollte auch mit KS1.2 laufen. Leider hat der Superprogrammierer beim Nachbau $23FC mit $33FC verwechselt. Ja das Augenlicht !!! Ursprung: groessere Teile wurden bei Sherlock_Anti.BB abge- kupfert. Fordert trackdisk.device NICHT !!!! Namensbegruendung: siehe unten Schaeden: gibt immer wieder mehrere verschiedene Alert-Meldungen aus. siehe unten Vermehrung: BB Im BB ist zu lesen: 790005bc 2048656c 6c6f2c20 412e482e y... Hello, A.H. 432e2073 7065616b 696e6720 68657265 C. speaking here 21212120 20200050 32d02020 20505245 !!! .P2. PRE 53532052 49474854 20425554 544f4e20 SS RIGHT BUTTON 20200050 50b42020 466f7220 6120676f .PP. For a go 6f642046 75636b2e 2e2e2041 2e482e43 od Fuck... A.H.C 2e212020 00202020 20200000 05e62049 .! . .... I 606d2074 68652041 2e482e43 2e2d5649 `m the A.H.C.-VI 52555320 00505000 20202020 20202020 RUS .PP. 20202020 20202020 20202020 20204920 I 636f6e74 726f6c20 796f7572 20636f6d control your com 70757465 72212121 00505000 00000000 puter!!!.PP..... 002e1eb0 2045696e 20647265 69666163 .... Ein dreifac 68657320 4d69746c 65696420 66fc7220 hes Mitleid f.r 41746172 69535400 50330020 412e482e AtariST.P3. A.H. 432e2028 68616861 68612920 20202020 C. (hahaha) 20202020 20202020 20202020 20202000 . - A.I.S.F.-Virus File Laenge: 8708 Bytes Von der Definition kein Virus, da keine Vermehrung. Reines Zerstoerungsprogramm Speicher: immer ab $7F000 verbogener Vektor: $6c (Zeropage) Versucht durch die Anzeige einer Fensterleiste mit dem Titel Virus-Checker V6.72 zu taeuschen. Diese Version gibt es am 08.09.93 noch gar nicht. Die Leiste ist FUNKTIONSLOS !!! Ich vermute deshalb, das das Programm unter dem Namen Virus-Checker verbreitet wird. Ueberpruefen Sie bitte auch ihre startup-sequence. Namensbegruendung: (im File zu lesen) 72790000 56495255 532d4348 45434b45 ry..VIRUS-CHECKE 52205636 2e373200 62792041 2e492e53 R V6.72.by A.I.S 2e462e20 21212100 41000000 00000000 .F. !!!.A....... Schaden: Erhoeht ueber $6c eine Zaehlzelle. Sobald der Wert $50000 er- reicht ist wird eine Decodier-Routine ( EORI.B #$F7,(A0)+ ) an- gesprungen. Es ergibt sich: 4e710096 14212121 20435249 4d452044 Nq...!!! CRIME D 4f204e4f 54205041 59202121 21000100 O NOT PAY !!!... 7d2d5748 59204152 4520594f 55205357 }-WHY ARE YOU SW 41505049 4e472049 4c4c4547 414c2053 APPING ILLEGAL S 4f465420 3f000100 aa464245 43415553 OFT ?....FBECAUS 4520594f 55204152 45204120 4352494d E YOU ARE A CRIM 494e414c 20212121 21000100 d755414e INAL !!!!....UAN 44204245 20535552 453a0001 00966957 D BE SURE:....iW 45202841 2e492e53 2e462e29 2057494c E (A.I.S.F.) WIL 4c204745 5420594f 55202100 0100967d L GET YOU !....} 2841294e 54490001 00968728 4929494c (A)NTI.....(I)IL 4c454741 4c000100 96912853 29574150 LEGAL.....(S)WAP 50494e47 000100be a0284629 4f554e44 PING.....(F)OUND 4154494f 4e000100 beaa2d50 52455353 ATION.....-PRESS 204d4f55 53452054 4f20434f 4e54494e MOUSE TO CONTIN 55452d00 00000000 00000c0a 9b33336d UE-..........33m Dieser Text wird mit DisplayAlert ausgegeben. Sobald Sie die Maustaste klicken, beginnt der Laufwerkskopf zu steppen. Bitte tun sie das ihrem Laufwerk nicht zu lange an. Ein Tastatur- Reset hilft NICHT. Sie muessen den Computer ausschalten !!! In diesem File befindet sich noch mehr Muell. - AAA-Enhancer-Bomb Zerstoerungsprg. Laenge: 3984 Bytes KS2.04: ja KS3.0 : ja verbogener Vektor: DosWrite Resetfest: Nein Vermehrung: Nein Namensbegruendung: Fensterleiste: 5241573A RAW: 302F302F 3634302F 3230302F 4141412D 0/0/640/200/AAA- 456E6861 6E636572 20342E38 20627920 Enhancer 4.8 by usw. Taeuschtext: Im Fenster wird ein Text ausgegeben, in dem behauptet wird, dass dieses Prg. im A1200 und A4000 AAA-Chipset aktiviert. Nebenbei wird versucht, den Ruf von SHI zu schaedigen. Schaeden: Verbiegt DosWrite, sucht bei jedem Schreibzugriff nach Worten und Zahlen und versucht sie durch andere zu er- setzen. Wortdreher auch umgekehrt: perverse-reliable Computer-vibrator sexual-actual friend-bugger pocket-vagina follow stroke randy-ready blood-sperm bitch-woman head-hole rich-poor warm-cold open-lock love-hate meet-fuck lift-drop girl-wife kill-kiss look-piss nice-shit soft-hard ball-hand cock-nose dear-dead skin-cunt egg-lip car-ass Zahlendreher auch umgekehrt: 0-9 1-8 2-7 3-6 4-5 Waehrend die Wortdreher die Lauffaehigkeit kaum beeinflussen, wird durch die Umwandlung von $30 (0) in $39 (9) ein Programm zerstoert, da diese Hexwerte auch in Befehlsfolgen vorkommen. Als Beispiel steht unten der letzte Teil eines alten Echo-Be- fehls. Erstellung des zerstoerten Echo-Befehls: Ein DirUtility wurde geladen und der echo-Befehl von df0: nach df1: kopiert. echo orig: echo zerstoert: 340: 7420746f 20454348 t to ECH 340: 7420746f 20454348 t to ECH 348: 4f0a0000 42a90004 O...B... 348: 4f0a0000 42a90004 O...B... 350: 2401e58a 76001630 $...v..0 350: 2401e58a 76001639 $...v..9 ^^ ^^ 358: 28002343 00087201 (.#C..r. 358: 28002343 00087201 (.#C..r. 360: 2341000c b2a90008 #A...... 360: 2341000c b2a90008 #A...... 368: 6e00005c 2411e58a n..\$... 368: 6e00005c 2411e58a n..\$... 370: d4817600 16302800 ..v..0(. 370: d4817600 16392800 ..v..9(. ^^ ^^ 378: 7430b483 6e000016 t0..n... 378: 7439b483 6e000016 t9..n... ^^ ^^ 380: 2611e58b d6817800 &.....x. 380: 2611e58b d6817800 &.....x. 388: 18303800 7639b883 .08.v9.. 388: 18393100 7630b883 .91.v0.. ^^^^ ^^ ^^^^ ^^ 390: 6f000008 22290004 o...").. 390: 6f000008 22290004 o...").. 398: 4ed62429 0004720a N.$)..r. 398: 4ed62429 0004720a N.$)..r. 3a0: 4ead0010 2411e58a N...$... 3a0: 4ead0010 2411e58a N...$... 3a8: d4a9000c 76001630 ....v..0 3a8: d4a9000c 76001639 ....v..9 ^^ ^^ 3b0: 2800d283 74309282 (...t0.. 3b0: 2800d283 74399282 (...t9.. ^^ ^^ 3b8: 23410004 7601d6a9 #A..v... 3b8: 23410004 7601d6a9 #A..v... 3c0: 000c2203 609a2229 ..".`.") 3c0: 000c2203 609a2229 ..".`.") 3c8: 00044ed6 00000000 ..N..... 3c8: 00044ed6 00000000 ..N..... 3d0: 00000001 00000004 ........ 3d0: 00000001 00000004 ........ 3d8: 00000092 000003f2 ........ 3d8: 00000092 000003f2 ........ Der Vergleich wurde mit VT-Druck und dem CMD-Befehl erstellt. VT findet den Verursacher beim Filetest und im Speicher. Zerstoerte Files findet der VT NICHT !!! Das Virusteil setzt KEINEN Merker in befallene Files. Also kann VT nicht entscheiden ob $39 wirklich $39 ist oder umgewandelt werden muesste. Sobald bekannt ist, dass das File behandelt worden ist, ist die er- neute Zahlendrehung natuerlich moeglich. Hat jemand einen Tip, wie man die notwendige Behandlung erkennen koennte. Schwacher Trost: Bei der erneuten Behandlung des zerstoerten Files mit dem Virusteil wird wieder der Originalzustand hergestellt. Hinweis: Wurden sehr viele Prge. zum Kopieren markiert, so wurde haeufig der RootBlock von DF1: unbrauchbar. - Abraham siehe Claas Abraham - ACCESS FORBIDDEN BB anderer Name: s.u. bei VCCofTNT-Virus - ACP3.19-Trojan s.u. bei UA62-ACP-Trojan - ADAM BRIERLEY BB Cold immer $7E700 KEIN Virus !!!! Namensbegruendung: 2A202020 20434F44 45204259 20204144 * CODE BY AD 414D2042 52494552 4C455920 2020202A AM BRIERLEY * KEINE Vermehrungsroutine !!! Es handelt sich um einen Bootblock- lader, was man bei RICHTIGER Reassemblierung leicht feststellen kann. Es koennte sich sogar um einen BB handeln, aus dem eine Schutzroutine entfernt wurde (sehr viele NOPs an einer Stelle). Warum die Beschreibung doch hier steht und nicht in "VT andere BB"? Damit die Erbsenzaehler nicht 2 Texte lesen muessen !! VT kennt: 15.10.92 - AeReg.BBS-Trojan File ImplLib gepackt Laenge: 656 Bytes entpackt Laenge: 664 Bytes Keine Vermehrungsroutine Keine verbogenen Vektoren Zielgerichtet gegen AmiExpress Soll aus einer unregistrierten Version eine registrierte Version machen. Im entpackten File ist zu lesen: "/X registrator v0.1" "bbs:user.data",0 "bbs:user.key",0 "bbs:utils/express",0 "Registrator for Ami-Express",0 "Startup /X 3.9 Crack As Normal2,0 "Run Registrator v0.1",0 "To Update 3.9 to a Registation /X",0 "Registration LRA-11.0089",0 "This is an un-registered version of Express",0 "Registration UOB-09.0493",0 "Registration version of Express v3.9",0 Schadensverlauf: Mit dem Open-Befehl aus der dos.lib sollen drei BBS-Files (s.o.) geoeffnet werden (Mode-NewFile) und 11 Bytes geschrieben werden. Die Files haetten dann die Laenge 11 und die Original-Files waeren somit zerstoert, da sie ueberschrieben werden. Da ein Programmierfehler vorliegt (Filehandle !!) werden Files mit der Laenge 0 erzeugt und auch hier sind die Original-files zerstoert. Dringende Empfehlung: sofort loeschen VT.kennt: 12.09.93 anderer moeglicher Name: Registrator-Virus - AFFE-Virus s.u. SADDAM-Clone - aibon-Virus siehe bei Express2.20-Virus - aibon 2-Virus siehe bei Express2.20-Virus - Aids Vkill-Clone siehe dort Unterschied: 3 Bytes 1.Byte: in der Pruefsumme 2.Byte: Vermehrungszaehler 3.Byte: Einsprung in entschluesselten Text (ein Prg. springt z.B. nach $7ebc3, das 2. Prg. nach $7eba9) - AIDS-HIV SCA-Clone, Cool immer 7EC3E, nur anderer Text - AIFS-JITR-Virus BB Clone s.u. bitte nicht mit A.I.F.S verwechseln Nur Texte geaendert 444f5300 2e56d968 41494653 2c790000 DOS..V.hAIFS,y.. Belegt seinen Speicherbereich nicht und kann deshalb bei 1Meg von VT überschrieben werden und ist damit auch zerstoert. Bei 5 Meg wird das Teil sicher erkannt. Der Speicherplatz spielt KEINE Rolle bei der BB-Erkennung. - AlienNewBeat Cold, Cool, DoIo, nur KS1.2, Fastmem ja im Speicher immer ab $20000 Vermehrung: ueber BB Vermehrungszaehler: $2037e Text im BB sichtbar: z.B. THIS IS THE ALIEN NEW BEAT BOOT! Clone: EXORCIST , SATAN usw. - AMIDA-FORPIB Virus BB Forpib-Clone s.u. 2e2e414d 4944412e 2e2e2e2e 2e2e2e2e ..AMIDA......... - Amiga Freak Forpib-Clone s.u. nur Name im BB geaendert - AMIGAKNIGHTVIRUS Filevirus Laenge: 6048 (ungepackt) DoIo, KickTag, KickCheckSum Schreibt in Root das File init_cli und auch in startup-sequence Sonst keine Schaeden festgestellt. Nach 5 Resets wird der Bildschirm schwarz und rosa Schrift fuer Text. Der Text ist bis dahin codiert. oberer Bildschirmbereich: YEAH, THE INVASION HAS STARTED! YOUR TIME HAS RUN OUT, AND SOON WE WILL BE EVERYWHERE! Bildschirmmitte: Vektordemo unterer Bildschirmbereich: THIS IS GENERATION 0039 OF THE EVIL AMIGAKNIGHTSVIRUS GREETINGS TO DUFTY, DWARF, ASID CUCUMBER ASTERIX, ANDY, AND ALL AMIGIANS I KNOW Vectordemo: 3 TextTeile erscheinen mit Zoomeffekt nacheinander a) Toco of b) THE c) AMIGAKNIGHTS - AmiPatch-Virus V1.0a File Laenge:8288 Bytes Wahrscheinlich ein Einbruchswerkzeug, also ungefaehrlich fuer den Normal-User ohne Mailbox. Oeffnet user.data und legt ein neues File an (doswrite): bbs:011011 Ich haette das Programm nicht aufgenommen, wenn es nicht auch OHNE Hauptprogramm in der Shell behaupten wuerde, zu opti- mieren (Prozentzahlen). - Angel-Virus BB Cool, PutMsg, Wait Fordert trackdisk.device NICHT Nach RESET GURU, da Cool absoluten Sprung enthaelt: 4EF9 000110CC JMP $110CC (Anfaenger !!) Namensbegruendung: s.u. Vermehrung: ueber BB (auch wenn die Cool-Routine falsch ist) Jeder BB sieht anders aus, da codiert mit Wert aus $DFF007 . Schaeden: Abhaengig von einer Zaehlzelle wird ueber Seek ein KopfStep ausgefuehrt. Die Textausgabe (s.u.) ist mir nicht gelungen. Text im Speicher decodiert mit: eor.b d2,(a1)+ 54686520 54726176 The Trav 656c206f 66207468 6520416e 67656c2d el of the Angel- 56697275 73204765 6e657261 74696f6e Virus Generation 204e722e 30303030 30202048 69204275 Nr.00000 Hi Bu 746f6e69 63202620 47616e64 616c6600 tonic & Gandalf. 4c617566 7765726b 20444630 3a206973 Laufwerk DF0: is 74206c65 69646572 20626573 6368e464 t leider besch.d 6967742e 2e2e0000 igt... VT-kennt: 02.12.92 - Animal-Virus SADDAM-Clone Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $363636a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 416E696D 616C2056 69727573 ... Animal Virus Behandlung: siehe bei SADDAM 28.03.93 - ANTI-KANACKEN-Virus BB SCA-Clone (s.u.) Namensbegruendung: 6f732e6c 69627261 72790000 44617320 os.library..Das 414e5449 2d4b414e 41434b45 4e205669 ANTI-KANACKEN Vi 72757320 28536965 67204865 696c292d rus (Sieg Heil)- Hallo ihr jungen Leute im wiedervereinigten Deutschland. Wollt ihr, dass die Welt Grund hat, mit dem Finger auf uns zu zeigen. So schafft ihr es bestimmt, ALLES was eure Eltern in 47 Jahren aufgebaut haben, in kurzer Zeit kaputt zu machen. Denkt BITTE nach !!! VT-kennt: 17.10.92 - Antichrist-Virus Link dosbase+$2e KS2.04: nein Grundgeruest war ein Trav. Jack (siehe unten) Namensbegruendung: im Speicher ist zu lesen: 20202020 20202020 20202020 20202020 20202020 20202020 20546865 20416e74 The Ant 69636872 69737420 332f342f 39322020 ichrist 3/4/92 20202020 20202020 20202020 20202020 Unterschiede zu Trav, Jack: - legt ab und zu ein File an mit der Laenge: #26 Bytes Name Antichrist.X (das X wechselt, siehe Beispiel). Inhalt des Textfiles siehe Beispiel Antichrist.Y 0c0a0d54 68652041 6e746963 68726973 ...The Antichris 74206973 20626163 6b0a0000 00000000 t is back....... - Codierung des VirusPrg.s fehlt. - Hunklaenge wechselnd $24f oder $250 VT erkennt und loescht im Speicher: 13.03.93 VT erkennt und baut aus im File : 14.03.93 VT erkennt und loescht neues File : 14.03.93 - Art Byte Bandit anderer Name: ByteBanditPlus s.u. - ASSASSIN Virus BB SCA-Clone s.u. 43544544 20425920 54484520 20202050 CTED BY THE P 50041f41 53534153 53494e20 56495255 P..ASSASSIN VIRU 53202020 20202020 20202020 20202020 S - ASV-Virus immer $7DC00, Cool, im Prg Forbid, loescht KickTag usw. keine Vermehrungsroutine Schaden: verbiegt mit setfunction Forbid auf ChipAllocMem-Routine d.h. bei jedem Forbid-Aufruf geht ChipMem verloren. - ASYLANT-Virus SCA-Clone nur Test geaendert 2048616c Hal 6c6f2069 63682062 696e2065 696e2020 lo ich bin ein 4153594c 414e5420 21212121 21212121 ASYLANT !!!!!!!! - ATARI File BGS9-Clone s.u. Laenge:2609 Bytes 00000000 41544152 49000003 f3000000 ....ATARI....... Wird weiterhin als BGS9 erkannt. Seit wann bitte ist ein Programm mit UNGERADER Laenge lauf- faehig (Sollte loadhunk defekt ausgeben). Man kann nicht einfach aus TTV1 den Text ATARI machen und damit alles um 1 Byte verlaengern. Anfaenger !!! - Australian Parasite Fastmem ja, Cool, DoIo, im Prg. BeginIo Vermehrung: ueber BB ueber GraphikRoutine wird BildschirmInhalt gedreht im BB sichtbar: The Australien Parasite! By Gremlin 18/5/88! Will NOT destroy game bootsectors or corrupt disks, and kill other viruses! HINWEIS: manchmal gibt VirusX Australian Parasite aus, obwohl es sich um den SADDAM Disk-Validator handelt !!!! - Aust.Par-Clone BB anderer Name:SHI-Virus Nur Text geaendert: 20576520 6c696b65 20566972 692e2043 We like Viri. C 616c6c20 5658512d 42425320 28343136 all VXQ-BBS (416 29203332 34203934 3339202e 53656e64 ) 324 9439 .Send 206e6577 20766972 69202c20 77656c63 new viri , welc 6f6d6520 746f2042 42532020 3a000018 ome to BBS :... 00002053 48492153 48492153 48492153 .. SHI!SHI!SHI!S - AutoBootingBootProtector V2.0 anderer Name: VCCofTNT-Virus s.u. - BadBytes1-Virus BB Warhawk Clone siehe unten Nur Text geaendert. Der Name ist fuer mich nicht nachvollziehbar. Wenn schon, dann waere TTS-Virus besser gewesen. 00200096 81005454 53205649 52555320 . ....TTS VIRUS 4953204f 4e205448 4953204c 414d4552 IS ON THIS LAMER 27532057 4f524b20 21212121 21202041 'S WORK !!!!! A - BadBytes2-Virus BB TimeBomb V1.0 Clone siehe unten Text fuer DisplayAlert: 14536f66 74776172 65204661 696c7572 .Software Failur 65202d20 57652068 61746520 796f7521 e - We hate you! 20596f75 20617265 20676f69 6e672074 You are going t 6f204449 45210001 00000000 42b90007 o DIE!......B... Namensbegruendung: 00416e74 692d4861 72616c64 20506175 .Anti-Harald Pau 6c73656e 20616e64 20547769 6e732076 lsen and Twins v 69727573 20646f6e 65206279 20545453 irus done by TTS 20616e64 204e6967 68746861 776b2020 and Nighthawk 6f662042 61644279 74657349 6e632e2c of BadBytesInc., - BadBytes3-Virus BB Blackflash-Clone siehe unten Nur Text geaendert: 20204951 20427265 616b6572 20766972 IQ Breaker vir 75732020 20220cb9 6600000e 0007f030 us "..f......0 ;...... 446f6e65 20627920 42616420 42797465 Done by Bad Byte 7320496e 63202d20 5468616e 7820746f s Inc - Thanx to - BadBytes4-Virus BB SCA-Clone siehe unten Nur Text geaendert: 6f732e6c 69627261 72790000 20506172 os.library.. Par 61736974 65206f66 20426164 20427974 asite of Bad Byt 65732049 6e632070 72657365 64d2aa2d es Inc presed..- - BadBytes5-Virus BB Coder-Clone siehe unten Nur Text geaendert. Name nicht nachvollziehbar ueber Text. 596f7572 20636f6d 70757465 72206973 Your computer is 2073746f 6e656421 204c6567 616c697a stoned! Legaliz 65206d61 72697568 616e6121 20506172 e mariuhana! Par 61736974 65206f66 20424249 21201400 asite of BBI! .. - BAHAN anderer Name BUTONIC_1.1 siehe dort - Bavarian (L) BB Intro der Bavarian-PD Serie Kein Virus, da keine Vermehrung. Aber zumindest der BB auf Disk 79 schreibt GURU nach $60. Dringende Empfehlung deshalb: Loeschen Im BB ist zu lesen: 70ff4e75 204041e8 002823fc 47555255 p.Nu @A..(#.GURU 00000060 43f900df f000337c 00a00096 ...`C.....3|.... Hinweis: Es liegen auch zwei Bavarian-BB-Intros vor, die nach meiner Meinung harmlos sind. Lesen Sie bitte in VT.andere-BB nach. - Baltasar-Virus BB SCA-Clone s.u. - BB-Prot BB Virus anderer Name: T.ET.E s.u. - BBS-Viren Diese Programme sind haeufig NICHT vermehrungsfaehig. Sie dienen meist als Einbruchswerkzeug in eine Mailbox UND in einigen Programmen ist eine Zerstoerungsroutine eingebaut. Typ A (28.05.93): Das Programm DiskRepair V1.2 wurde verseucht. Verseuchte Laenge: 49336 Bytes Methode: 4EB9-Link Das BBS-Teil wird NACH DiskRepair aufgerufen. Virus: Imploder gepackte Laenge : 6472 Bytes Lauffaehig entpackt Laenge: 10244 Bytes Das Teil wird NICHT aktiv, falls SnoopDos im Speicher ist. Es wird nach bestimmten Filelaengen gesucht. Im BBS-Teil ist zu lesen: 4ebafd18 4e5d4e75 536e6f6f 70446f73 N...N]NuSnoopDos 00424253 00424253 3a004242 533a0042 .BBS.BBS:.BBS:.B 42530042 42533a00 4242533a 5574696c BS.BBS:.BBS:Util 732f0000 4e55fffc 48e70820 246d0008 s/..NU..H.. $m.. VT bietet an loeschen. ODER: Sie gehen in den Filerequester und schalten mit Link2aus das Virusteil im File ab. Typ B (06.06.93): Das Programm WhiteBox V8.0 wurde verseucht. Verseuchte Laenge: 34896 Bytes Methode: 4EB9-Link Das BBS-Teil wird VOR WhiteBox aufgerufen. Virus: Imploder gepackte Laenge : 6980 Bytes Lauffaehig entpackt Laenge: 11204 Bytes Das Teil wird NICHT aktiv, falls SnoopDos im Speicher ist. Es wird nach bestimmten Filelaengen gesucht. Im BBS-Teil ist zu lesen: 414d492d 45585052 4553535f 52554c45 AMI-EXPRESS_RULE 5a3a0041 4d492d45 58505245 53535f52 Z:.AMI-EXPRESS_R 554c455a 3a626273 2f00 ULEZ:bbs/. ;...... 4ebafe48 60d0536e 6f6f7044 6f730042 N..H`.SnoopDos.B 42530042 42533a00 4242533a 00004e55 BS.BBS:.BBS:..NU VT bietet Ausbau an. - BEETHOVEN 22.11.92 File Laenge:2608 immer ab $7EF00 Bret Hawnes Clone KS2.04: ja Kicktag, SumKickData, KickCheckSum, OpenNewLib, $6C Namensbegruendung : siehe bei DisplayAlert (Unterschied zu B.H.) Abhaengig von der Zeit meldet sich das VirusTeil mit DisplayAlert. Die Routine und der Text wird decodiert mit: not.b (a1) eor.b #$27,(a1)+ Da hierbei die intuition.base hardcodiert im RangerRam ($c...) abgelegt wird, wird nicht jeder in den "Genuss" des Textes kom- men. (Ich denke ein Anfaenger war am Werk) 62726172 79000000 00000096 14484559 brary........HEY 20212049 43482042 494e205a 5552dc43 ! ICH BIN ZUR.C 4b202121 21212121 21212100 01007d2d K !!!!!!!!!....- 2d3d3e20 4c554457 49472056 414e2042 -=> LUDWIG VAN B 45455448 4f56454e 203c3d2d 000100aa EETHOVEN <=-.... 46494348 204d4143 4845204d 49434820 FICH MACHE MICH 4a45545a 54204155 46204445 4d200001 JETZT AUF DEM .. 00d75541 4d494741 20425245 49542021 ..UAMIGA BREIT ! 21212120 00010096 69444153 20484945 !!! ....iDAS HIE 52204953 5420dc42 52494745 53204d45 R IST .BRIGES ME 494e204e 45554552 20564952 55530001 IN NEUER VIRUS.. 00967d48 45204845 20484520 48452048 ...HE HE HE HE H 45204845 2048452e 2e2e2e20 20000100 E HE HE.... ... 96875649 454c2053 5041df20 4e4f4348 ..VIEL SPA. NOCH 2e2e2e20 00010096 91502e53 2e204d45 ... .....P.S. ME 494e4520 4d555349 4b205741 52205343 INE MUSIK WAR SC 484549df 45200001 00bea02d 20414245 HEI.E .....- ABE 52204d45 494e4520 56495245 4e205349 R MEINE VIREN SI 4e442047 45494c20 21210001 00e1b453 ND GEIL !!.....S 55434b20 4d592044 49434b20 0001005a UCK MY DICK ...Z c3424954 54452043 4f4d5055 54455220 .BITTE COMPUTER 41555353 4348414c 54454e2e 2e2e2000 AUSSCHALTEN... . startup-sequence verseucht: c0a0e0a0 c00a636c 730a0a00 00000000 ......cls....... ^^^^^^^^^^^^^ Das Virusteil schreibt sich also in die erste Zeile der s.-seq. . Diese Aenderung muessen Sie von Hand mit einem Editor rueckgaengig machen. Das Programm selbst schreibt sich in die Root einer Disk mit $C0A0E0A0C0 (ist sichtbar) Nach 10 Vermehrungen wird bei B.H. eine Format-Routine an- gesprungen. Diese Routine fehlt bei BEETHOVEN. Stattdessen wird die DisplayAlert-Routine angesprungen. - BESTIAL-Virus Link dos.open Gefunden an das Prg. border (Torsten Juergeleit) gelinkt. Laenge dann: 7876 Bytes Namensbegruendung: im Speicher und im File ist zu lesen 02e86018 3e204245 53544941 4c204445 ..`.> BESTIAL DE 56415354 4154494f 4e203c20 243c0000 VASTATION < $<.. Anmerkungen: - Es duerfte sich um eine Anfaenger-Programmierung handeln. - Grundlage duerfte das XENO-Virus sein. - Die Decodier-Routine im XENO wurde "uebersehen". - Dafuer kommen jetzt 2 absolute JMP nach $Cxyz vor. Wer da keinen Speicher hat, sieht bei der naechsten Verwendung von dos-Open den GURU B. - Mit etwas Glueck und Absicht gelingt der Link-Vorgang. - Von 20 !!!!! gelinkten Files war KEIN File lauffaehig, das mehr als 5 Hunks hatte. GURU 3, 4 usw. - Die richtige Hunk-Behandlung bereitet Probleme. Mal werden $10 Bytes doppelt geschrieben, bei Hunkanzahl kleiner 3 oder es wird $3E9 verschluckt usw. Und dafuer hab ich 4 Stunden geopfert. - Meine Empfehlung: Leute spielt lieber mit dem Joystick !!! Speichererkennung mit VT : getestet 04.03.93 Fileausbau mit VT : getestet 08.03.93 (VT kann teilweise auch Files reparieren, die im gelinktem Zustand nicht mehr lauffaehig sind.) - BGS9 I (schiebt Orig.Prg. in devs) Bytes 2608 laueft mit KS2.04 !!!!! Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt der BGS9 I bei fehlendem devs-Verz. das OrigPrg unsichtbar in das Hauptverzeichnis. KickMem, KickTag, KickCheckSum, OpenWindow PrgTeile verschluesselt mit eori.l #$1AF45869,(a0)+ unsichtbares File in devs: A0A0A0202020A0202020A0 am Ende des Prg.Files ist mit einem Monitor zu sehen: TTV1 beim 4.Reset Textausgabe ueber GraphikRoutine: schwarzer Hintergrund, weisse Schrift A COMPUTER VIRUS IS A DISEASE TERRORISM IS A TRANSGRESSION SOFTWARE PIRACY IS A CRIME THIS IS THE CURE BGS9 BUNDESGRENZSCHUTZ SEKTION 9 SONDERKOMMANDO "EDV" Entfernung: File in devs in OriginalPrg. umbenennen BGSVirusFile loeschen OrigPrg aus devs in entsprechendes Verzeichnis kopieren Hinweis: es wird ein unsichtbares File (Name s.o.) weiterge- geben mit der Laenge #64 und dem Inhalt "Protection file!". Dieses File soll einen BGS9-Befall der Disk verhindern. Clone: 04.03.92 TTV1 durch FUCK ersetzt - BGS9 II aehnlich BGS9 I aber File in devs jetzt: A0E0A0202020A0202020A0 Hinweis: $E0 ist ein a mit Akzent Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt der BGS9 II bei fehlendem devs-Verz. das OrigPrg in das Hauptverzeichnis. Aenderung im Text: :SOFTWARE' Die Veraenderungen liegen im codierten PrgBereich Im PrgFile TTV1 sichtbar - BGS9 III s.o. Neu: unsichtbarer Filename: devs:A0,0 Entfernung: File in devs in OriginalPrg. umbenennen BGSVirusFile loeschen OrigPrg aus devs in entsprechendes Verzeichnis kopieren - BIG BOSS SCA-Clone nur Text geaendert s.u. - BLACK KNIGHT Virus BB im Speicher immer ab $7F300 Cool $7F394, DoIo $7F3BC KS2.04: ja Fordert trackdisk.device NICHT Namensbegruendung: decodiert ist im BB zu lesen BLACK KNIGHT (12/11/91) Virus meldet sich nicht. - BLACKFLASH V2.0 Cool, DoIo, FastMem ja im Speicher immer ab $7F000 Zaehlzelle = $13 Textausgabe mit Graphikroutine (s.u.) Schrift rot, Hintergrund schwarz Vermehrung: ueber BB Text steht unverschluesselt im BB: HELLO, I AM AMIGA ! PLEASE HELP ME ! I FEEL STICK ! I HAVE A VIRUS ! ! BY BLACKFLASH ! - BlackStar anderer Name: Starfire1/NorthStar1 siehe dort - Blade Runners SCA-Clone, immer ab 7EC00, Cool, im Prg. DoIo Text: Hello! We are the Blade Runners! u.s.w. - BLF-Virus immer ab $7F000, Cool, DoIo, BeginIo loescht KickTag usw. Virusprogramm meldet sich NICHT. Programmteil decodiert mit eori.b #$28,(a1)+ u.a. zu lesen: This is the new virus by BLF Schaden und Vermehrung: BB - BlowJob KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000 Taeuscht durch Text Memory Allocator 3.01 vor Vermehrung und Schaden: Bootblock Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein Programmteil mit subi.b #$71,D0 entschluesselt und mit display- Alert der Text ausgegeben: ONCE AGAIN SOMETHING WONDERFULL HAPPENED (HE HE HE) PLEASE POWER OFF - PLEASE POWER OFF - PLEASE POWER OFF - BlueBox Filevirus, keine bekannten Vectoren werden verbogen Laenge (gecrunched) 5608, nur Kreset (tut mit leid) gedacht fuer Modembesitzer und Mailboxbetreiber, aber KEINE Voraussetzung fuer Vermehrung (enthaelt Source fuer seriellen Port $DFF030, $DFF018 ???!!!??? behindert Verbindung?!?!) Das gecrunchte Prg. (Bluebox) besteht aus 3 Teilen: - ein Taeuschprogramm: ermoeglicht Tonfolge mit Zehnertastatur - eine komplette icon.library - Laenge:6680 - zusaetzlicher Text: input.device , RAM: - andere Jahreszahl - ein Kopierteil fuer falsche icon.library - testet ob icon.library schon existiert, falls nein KEINE Aenderung - testet ob Disk validated - setzt Protection-Bits zurueck - kopiert falsche icon.library - arbeitet auch mit HD !!!!!! Nach einem Reset wird ueber icon.library ein Process 'input.device ' (mit Leerzeichen) gestartet. VT findet diesen Process, kann ihn aber nicht beenden (KReset). Erstellt auf RAM: ein unsichtbares ($A0) File (nicht immer). Ausbauhinweise: VT erkennt den VirusTraeger Bluebox nur als crunched !! Ignorieren Sie das Kreset-Angebot und loeschen Sie zuerst die falsche icon.library. Kopieren Sie dann die Original- icon.library auf die Disk oder HD (sonst nach Reset keine WB!!!). Zum Schluss starten Sie bitte das Kreset-Prg. Meine Maschine verhielt sich danach wieder normal. Dies kann bei Modemprg. oder MailboxPrg. anders sein ??? Probleme bitte melden. Danke Herkunft: Bluebox.lzh 23033 Bytes -Bluebox 5608 (noch einmal gecrunched) -Bluebox.info 325 -Bluebox.DOC 37271 -Bluebox.DOC.info 354 - bnuke15-Virus BBS-Bomb siehe unten bei scan.x - BOMB-Bootblock es wird dieser Bootblock als Virus weiterge- geben. Die Pruefsumme ist als BOMB lesbar. Es wird nachge- laden von einem hohen Track (habe nur BB). in diesem Track koennten natuerlich VirenRoutinen stehen, aber es kann genausogut ein BB-Lader sein. Bitte schicken Sie mir eine funktionsfaehige Disk mit diesem hohen Track. Danke - boot-aids Virus BB KS2.04: nein Namensbegruendung: im BB ist uncodiert zu lesen: boot-aids by hiv verbogene Vektoren: BeginIo, KickTag, KickCheckSum, SumKick- Data Der Speicherbereich fuer das Virusteil wird mit $DFF007 be- stimmt. Schaeden: In Abhaengigkeit von $DFF006 soll ein Block mit HIV gefuellt werden. Vermehrung: BB Ihnen kommt das bekannt vor ? Erinnert irgendwie an Lamer ! Selbst die Endekennung $abcd ist vorhanden. Gewisse Schreibprobleme sollte man uebersehen im BB: guradians ^^ Clone: STARCOM 5 siehe unten - BOOTJOB File FF 760 Laenge:1356 Namensbegruendung: s.u. 23c0003c ,y......N...#..< ^^^^ e3b4 237c ..C...N...C...#. ^^^^ 003ce3a4 ^^^^^^^^ 45442057 49544820 424f4f54 4a4f4220 ED WITH BOOTJOB 56312e30 30205752 49545445 4e204259 V1.00 WRITTEN BY Ein Utility-Prg. zum Abspeichern eines BBs als aus- fuehrbares File. Bei Filetest und BlockKette wird BootJob erkannt. Wenn Sie wissen wollen, um welchen BB es sich handelt, gehen Sie bitte in den File-Req., klicken das File an und klicken dann auf Filetest. Es werden 2 absolute Adressen verwendet (^^^). Was macht der User, der dort keinen Speicher hat ? Empfehlung: Loeschen - BOOTJOB V1.3 File FF 814 Laenge:1356 Fehler mit absoluten Adressen behoben. - BOOTX-Virus BB KickTag, KickCheckSum auch KS2.04 anderer Name: PERVERSE I Taeuschungsversuch durch lesbaren Text in BB: BOOTX-Viruskiller by P.Stuer verraet sich bei mir bei gesetztem Schreibschutz durch Systemrequest read/write error Vermehrung: BB Schaeden: faengt ueber input.device Tastatureingaben ab und gibt Text aus. Der Text steht als RAW-Code im BB (amerik.Tastatur !!) SOFTWARE_PIRATES RUINED MY EXCELLENT PROFESSIONAL DTP_PROGRAM I REVENGE MYSELF ON THESE IDIOTS BY PROGRAMMING VIRUSES THIS IS PERVERSE I BECAUSE I LIKE ASSHOLE_FUCKING I PROGRAM VIRUSES FOR MS_DOS TOO Eine Weiterarbeit ist NICHT moeglich. Das Virusprogramm muss geloescht werden. - BRET HAWNES Filevirus Laenge: 2608 , immer ab $7F000 Kicktag, SumKickData, KickCheckSum, OpenNewLib, $6c Vermehrung und Schaden: schreibt in Root und in 1.Zeile startup: C0A0E0A0C0 nach 20 Minuten blauer Graphikbildschirm und weisse Schrift: GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN I`VE TAKEN THE CONTROLL OVER YOUR AMIGA!!! THERE`S ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! ! ! Statt der 10. Vermehrung werden Tracks zerstoert. - Hinweis 01.08.93: Es ist ein Clone aufgetaucht, bei dem nur der lesbare Text (nicht der codierte) geaendert wurde. Wird weiterhin nur als Bret-Virus erkannt. KS2.04 : ja Laenge: 2600 also 8 Bytes kuerzer als Original, weil 03EC-Hunk entfernt wurde. Vermehrt sich das Teil, so ist die Laenge wieder 2608, da der 03EC-Hunk vom Virus angelegt wird. Am Fileanfang: 0000027D 60000018 53544152 4C494748 ...}`...STARLIGH 54203120 50524F44 55435449 4F4E2C79 T 1 PRODUCTION,y Am Fileende: F9526100 FED66000 FA02444F 20594F55 .DO YOU 204C494B 45204D59 20464952 53542056 LIKE MY FIRST V 49525553 203F2044 4F4E4520 4259204D IRUS ? DONE BY M 43444A2D 4444454E 49545921 20323130 CDJ-DDENITY! 210 32393000 00000000 000003F2 000003EB 290.... Wird vielleicht von anderen AntivirusPrg als Starlight - Virus erkannt. VT bleibt bei BRET HAWNES. - BS1! (noch ein SCA ) - BULGARIA Virus File BYTEPARASITE III - Clone s.u. - BURN-Virus Typ 1 Link und Zerstoerung Keine staendig verbogenen Vektoren (manchmal Dos-Write) Lauffaehigkeit getestet: KS1.3, KS2.04, KS3.0 Verlaengert ein File um 2412 Bytes. Haengt 2 Hunks an. Einen Hunk zu Beginn des Original-Files und einen an das Ende (das ist neu !!!). Kann vorhandenen $3F1-Hunk am Anfang des Original-Files ueber- springen. Baut eigenen Process auf. Ein Name fuer den Process wird in der TaskWait-Liste gesucht. Damit nicht immer derselbe Processname Verwendung findet, wird die max. Laenge der Suchschleife mit - move.b $BFE801,d0 - festgelegt. Falls Sie also in VT/Listen/tasks ploetzlich z.B. 2x ramlib oder 3x Snoopdos ( im Test passiert ) finden, dann sollten bei Ihnen SOFORT die Alarmglocken klingeln. Diese Routine ist EBENFALLS NEU. VT versucht den Process im Speicher zu finden und bietet dann loeschen an (hoffe ich). Da ich nicht gerne Processe abschalte, (GURU-Gefahr), waere ein RESET auch nicht schlecht. Die Arbeit des Processes wird etwas gebremst durch ein DosDelay in Abhaengigkeit von - move.b $BFE601,d1 - . Enthaelt eine Datumsroutine: cmpi.l #$16f9,(a5) = 7.Feb.1994 Wenn dieses Datum ueberschritten ist, soll IMMER zerstoert werden. Ist dieses Datum noch nicht erreicht, so soll zuerst ein Link versucht werden. (DosLock, examine, exnext usw.). Wenn Link miss- lungen dann auch Zerstoerung. Ich habe mehrere Stunden auf verschiedenen Rechnern "geuebt". Es ist mir KEINE Vermehrung gelungen. Falls jemand mehr "Glueck" hat, bitte ich um Zusendung einiger Files. Danke !! Die Link-Routine kennt zuwenig Hunk-Typen. Falls eine Vermehrung wirklich gelingt, duerften haeufig NICHT LAUFFAEHIGE Programme entstehen. Ob VT diese Files durch Ausbau wieder in den Original- Zustand versetzen kann, kann ich nicht beurteilen, da mir die Vermehrung nicht gelungen ist. Zerstoerungsroutine: Der Rigid-Bereich wird erreicht, da die Zeile subq.w #2,d1 vorkommt. Die Laufwerke werden ueber DosEnv besorgt. (dosroot -> dosenv). Disketten mit 11 Sektoren duerften NICHT zerstoert werden (ble.b). BURN wird decodiert mit move.l #$5171c5c8,d1 eori.l #$13249786,d1 Ergebnis in den Sektoren auf meiner SyQuest: 0000: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN 0010: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN 0020: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN 0030: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN Da duerfte nicht viel zu retten sein. - BURN-Virus Typ 2 Link und Zerstoerung Verlaengert ein File um 2428 Bytes Die Vermehrungs-Routine arbeitet jetzt !!!!!!!! Mehrfachlinks an ein File sind moeglich, da eine "Schon-Ver- seucht"-Routine fehlt. Nach 8 Links an echo aufgehoert. Durch andi.b #$f,d0 wird nicht mehr ab 7.Feb.1994 immer zer- stoert, sondern es werden Tage ausgewaehlt. BURN wird nicht mehr geschrieben, sondern BAF00D0D (wenn ueber- haupt), weil Fehler: move.l #$baf00d0d,d1 addi.l #$87654541,d0 ^^ Ergebnis in den Sektoren bei mir: 0000: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0010: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0020: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0030: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0040: baf00d0d baf00d0d baf00d0d baf00d0d ................ Restliches Verhalten siehe bei BURN Typ 1 . - BUTONIC 1.1 anderer Name BAHAN (im BB immer lesbar) Cool, im Prg. DoIo, immer ab $7ec00, FastMem ja Vermehrung: ueber BB wenn DOS0 gefunden Textausgabe mit PrintIText (entschluesselt mit eori.b #-1,d1 nach $7eb0c) im Speicher dann sichtbar: BUTONIC'S VIRUS 1.1 GREETINGS TO HACKMACK ... <GENERATION NR. #####> - BX-Updater-Bomb File Laenge: 2052 Keine verbogenen Vektoren. Namensbegruendung: es wird ein Fenster geoeffnet, das fol- genden Text in der Fensterleiste enthaelt: ff224e75 5241573a 302f302f 3634302f ."NuRAW:0/0/640/ 3230302f 426f6f74 582d5570 64617465 200/BootX-Update 72206279 20534849 20536166 65204865 r by SHI Safe He usw. Im Fenster selbst wird sinnloser Text ausgegeben, der den Ruf von SHI schaedigen soll. In Wirklichkeit wird ein format QUICK NOICONS ausgefuehrt. Betroffen: WORK, DH0: und DF0: Ein FehlerRequester soll durch das Prg. unterdrueckt werden. VT bietet loeschen an. - Byte Bandit ohne FastMem Begin, KickTag, KickCheckSum, Vec5 KS2.04: nein bei mir Guru 4 Im BB ist zu lesen: 56697275 73206279 20427974 65202020 Virus by Byte 42616e64 69742069 6e202039 2e38372e Bandit in 9.87. 4e756d62 6572206f 66202020 20202020 Number of 636f7079 73203a00 0000032d 48e77f7f copys :....-H. ;weit unten .... 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00646f73 2e6c6962 72617279 00000000 .dos.library.... - Byte Bandit 2 anderer Name: No Name 1 s.u. - Byte Bandit Clone ohne Fastmem Diff zu OrigByteBandit: 180 Bytes ( Byte B.. Text wurde aus BB entfernt !!) - ByteBanditError das OriginalByteBanditVirusPrg. beginnt im BB bei $0C, hier bei $32 Da die alte BB-Copy Routine verwendet wird, ist das 1.LW im neuen Copy-BB nicht DOS0, d.h. die neu verseuchte Disk ist "Not a DOS-Disk" also weder boot- noch vermehrungsfaehig - ByteBanditPlus Kick1.2 ohne FastMem Begin, KickTag, KickCheckSum, Vec5 Diff zu OBB: 92 Bytes (zusaetzlich trackdisk.... entfernt) - ByteParasite reines Zerstoerungsprogramm Laenge: 2108 soll auch $6c verbiegen, aber vorher GURU Schaeden: soll zwischen cd, dir und startup-sequence je 1 Byte austauschen, aber sehr sehr schlecht programmiert (Anfaenger spielt besser mit dem Joystick). Deshalb meist GURU. Keine Vermehrung, keine Textausgabe - BYTEPARASITE II File, Laenge ungepackt: 908 Bytes Auch mit KS2.04, keine Vektoren verbogen Taeuscht durch das Zeigen einer Fensterleiste: VirusX: Checking Device Df0: Versucht dann von df0:c VirusX nach df1:c zu kopieren und verraet sich so wenn in df1: keine Disk liegt durch einen Requester. Gefahr der Vermehrung besteht nur wenn BYTEPARASITE II als VirusX getarnt in df0:c vorhanden ist. Aus dem Text im File kann geschlossen werden, dass damit ein Antivirusprogrammierer geaergert werden soll: But now send me to : (Adresse) - BYTEPARASITE III File, Laenge ungepackt: 2160 Bytes Cool, KickMem, KickCheckSum (teilweise sinnlose Werte ausser- halb des vorhandenen Speichers) $6c (sinnvoller Wert) Das Programm MUSS !!!! im Speicher geloescht werden, sonst erscheint nach einigen Arbeiten mit dem Computer sicher Task held usw. . Dies ist nicht Absicht, sondern die sinnlosen Werte sind verantwortlich. Taeuscht durch das Zeigen einer Fensterleiste: Virus-Checker V3.0 by usw Sucht c/Virus-Checker und schreibt Prg-Teile (falls gefunden) absolut nach $7C000. Versucht in einem anderen LW mit SubDir c Virus-Checker anzulegen (bei mir IMMER dann Filelaenge 0). Verraet sich durch DOS-Requester. Hinweis: Hallo Enforcer-Freunde. VT erzeugt hier beim Test einen weiteren Enforcer-Hit. ($6c=ZeroPage) Nachtrag: Stand 14.02.92 Leider haben mich einige Briefe erreicht, die darauf hin- weisen, dass Hardwareschaeden (sinnlose Werte s.o.) durch BP3 verursacht werden. Stellvertretend ein Auszug: ".... musste ich feststellen, dass der Steppermotor sich am Spindel- ende zur Laufwerksmitte festgedreht hatte.... ... drehte die Spindel mit der Spitzzange zurueck... ... das Laufwerk/Schreib-Lesekopf muss neu justiert werden." Es ist also im Amiga-Bereich jetzt auch der Punkt erreicht, dass Viren Hardwareschaeden verursachen koennen. NIE !!!!! eine unbe- kannte Disk starten. Nehmen Sie sich die Zeit und testen Sie die Disk mit einem AntiVirusProgramm ihrer Wahl durch !!! - Clone aufgetaucht. Filename FCheck Laenge gepackt: 1368 Bytes Laenge ungepackt: 2160 Bytes Text geaendert. Der geistige Tiefflug geht soweit, dass nicht er- kannt wurde, dass cmpi.l #"-che",(a0) in cmpi.l #"_Che" ge- aendert werden muesste. Es ist halt bei der Selbsterkennungs- routine ein kleiner Unterschied zwischen - _ und c C . Das Teil stammt nie und nimmer aus Bulgarien. 62726172 7900632f 56697275 735f4368 brary.c/Virus_Ch 65636b65 7200632f 56697275 735f4368 ecker.c/Virus_Ch 65636b65 72004275 6c676172 69616e20 ecker.Bulgarian 416e7469 6c616d65 7220616e 64205669 Antilamer and Vi 72696861 636b6572 20262043 7261636b rihacker & Crack 65722047 6d624800 2042554c 47415249 er GmbH. BULGARI 41000056 69727573 5f436865 636b6572 A..Virus_Checker 2056362e 34206279 204a6f68 6e205665 V6.4 by John Ve 6c647468 75697320 20004368 65636b69 ldthuis .Checki 6e672044 46303a20 466f7220 56697275 ng DF0: For Viru - BYTE VOYAGER I Kicktag, KickCheckSum, im Prg. DoIo und $6c immer ab $7F000, verschluesselt mit $DFF006 Vermehrung und Schäden (auch HD !!): Bootblock und schreibt in Block 880 "Infected by BYTE VOYAGER !!!!!" Der Text ist bei Disks der neue Diskname. Clone: STARCOM 3 Virus siehe unten - Byte Voyager II Kicktag, KickCheckSum, im Prg. DoIo und $6c immer ab $7F000, verschluesselt mit $DFF006 Vermehrung und Schäden (auch HD !!): Bootblock und schreibt in Block 880 "Another Virus by Byte Voyager" Der Text ist bei Disks der neue Diskname. - Byte Warrior (DASA) (KickV1.2) DoIo, KickTag, KickCheckSum erster BB-Virus, der verschluesselt wurde moegliches Ursprungsprogramm: ByteWarriorCreater gepackt: 6012 Bytes (TNM) ungepackt: 7360 Bytes Erzeugt mit FastMem NDOS-Disk Schreibt ohne FastMem ByteWarrior in Bootblock von DF1: Clone: Paramount, MAD 3, MAD 3b - Cameleon-Virus BB siehe bei Little Sven - Cascade-Virus BB Im Speicher immer ab $7E000 Cool $7E060, DoIo $C0, Vec5 $E0 (also beide in der ZeroPage) Fordert trackdisk.device NICHT Namensbegruendung: Am Ende des BBs ist zu lesen: Cascade V2.1CCount : Vermehrung: als BB z.B. linke Maustaste nicht gedrueckt Es werden 1 oder 2 Bloecke mit DoIo geladen DOS0-Kennung wird gefunden. Test auf "SCA ", "Casc", "ID92" Schaeden: a) Schreibt von $c0 bis $FF in die ZeroPage. Dies ist unter KS1.3 unschaedlich, da dieser Bereich NICHT vom Betriebs- system genutzt wird. Ab KS2.04 liegen da aber Vektoren. Da das Virusteil den Bereich vor dem Ueberschreiben nicht rettet, kann es zu einem Guru kommen. Cascade_ZeroPage 00b0: 00f80a94 00f80a96 00f80a98 00f80a9a ................ 00c0: 0c794ef9 0007e066 670c42b9 000006a4 .yN....fg.B..... 00d0: 4ef900f8 08084ef9 0007e072 43617363 N.....N....rCasc 00e0: 0c794ef9 0007e06c 670c42b9 000006a4 .yN....lg.B..... 00f0: 4ef900f8 17044ef9 0007e078 61646521 N.....N....xade! b) Sobald eine Zaehlzelle den Wert $DEC und eine andere Zaehl- zelle den Wert #5 erreicht hat wird mit graphic.lib der Maus- zeiger in eine Penis-Darstellung umgewandelt. Dies hat bei mir nur mit KS1.3 funktioniert. Mit KS2.04 habe ich sofort den Guru gesehen. Siehe auch Firedom.BB Virus = Clone - CBM-Virus BB nur KS1.2 MicroSystems-Clone s.u. nur Text geaendert. 79726967 68746564 20627920 62696720 yrighted by big 205d830c 436f6d6d 6f646f72 65204147 ]..Commodore AG - CCCP-Virus Cool, im Prg. Vec3, DoIo, Openwindow, NewOpenLib !!!! Erstes VirusPrg. das sich als BB und als Link vermehren kann !! KS1.3 ja KS2.04 ja Mehrfachlinks: ja Defekte Files: ja (Hunkstruktur defekt nur loeschen moeglich) im BB sichtbar: CCCP VIRUS Link: verlaengert ein File um 1044 Bytes Befaellt keine Prg.e in l (z.B.libs), d (z.B.devs), f (z.B.fonts). Clone: STARCOM 1 Virus, IRAK3 siehe unten - CCCP-TAI6-Clone Text geaendert: 70004e75 542e412e 492e2053 49584df8 p.NuT.A.I. SIXM. - CENTURIONS anderer Name: THE SMILY CANCER siehe dort - Challenger trojanisches Pferd Keine Vektoren verbogen. Herkunft: FF622 challenger_d.main Laenge: 126336 Bytes Ablauf (vgl. Snoopdos): Sobald Sie das Spiel starten, wird ein Original-Setclock-Befehl (4884 Bytes) in SYS:devs/keymaps ange- legt und in a umbenannt. In c: wird ein neuer Setclock-Befehl angelegt: Laenge gepackt mit Imploder: 4884 (explode.lib) entpackt: 7344 Weiterhin wird in SYS:devs/keymaps noch ein File mit Namen rca angelegt: Laenge gepackt mit Imploder: 5328 (explode.lib) entpackt: 8388 Vermehrung: nur nach SYS: Der setclock-Befehl sollte in der startup-sequence stehen (ab KS2.04 NICHT mehr notwendig !!!). Deshalb rufen Sie bei jedem Boot-Vorgang auch diesen Befehl auf. Dies ist am 24. Juli eines Jahres gefaehrlich. An diesem Tag wird das File rca auch aufge- rufen. Es wird ein Text (schwarzer Hintergrund rote Schrift) ausgegeben und der Rechner blockiert. Guten Tag, hier ist der Guru Ihres Amiga-Computers. Laut Arbeitsvertrag habe ich das Recht auf einen Medita- tionstag pro Jahr. In meinem Fall ist das der 24. Juli jeden Jahres. Da wir heute dieses Datum schreiben, stehe ich Ihnen erst morgen wieder zur Verfügung. Bitte haben Sie Verständnis dafür, denn auch wir Gurus müssen einmal ausruhen. Es sind noch weitere Texte in rca vorhanden, aber die wurden bei mir nicht ausgegeben. Die Zerstoerung von Files wurde von mir nicht festgestellt. Empfehlung: entsprechende Files in c und keymaps loeschen und setclock von OrigWB-Disk neu nach c: kopieren. Arbeit mit VT: (getestet: 16.04.92) challenger_d.main wird geloescht c:setclock es wird ein rename mit devs/keymaps/a versucht. Falls nicht vorhanden, wird setclock allein geloescht. Sie muessen dann unter KS1.3 setclock von OrigWB-Disk neu kopieren devs/keymaps/rca wird geloescht. Hinweis Stand 16.06.94: BBS Spiel GlobalWar Laenge 100136 Bytes In diesem Spiel wird im Moment von EINEM anderen AntiVirusProgramm das Challenger-Virus erkannt. Ich nehme an, dass diese Fehlerkennung beim naechsten Update dieses AntiVirusProgramms behoben sein wird. Richtig ist allerdings - Challenger-setmap entpackt (so kommt es aber im Original NICHT vor) - Challenger-rca entpackt (so kommt es aber im Original NICHT vor) - GlobalWar stimmen im ERSTEN Hunk bis auf Sprungbefehle sehr gut ueberein. Die Virustexte stehen aber bei Challenger im zweiten Hunk. GlobalWar sieht im Zweiten anders aus. Ob es sich beim ersten Hunk um eine veroeffentlichte Startup-Routine handelt, kann ich nicht beurteilen. Ich kann mir das aber nur so erklaeren, oder ????? - Chameleon-Virus BB siehe bei Little Sven - Chaos anderer Name: Taipan-Chaos Cool, DoIo BB codiert mit Wert aus $DFF006 Schaeden: Vermehrung mit BB sobald Zaehlzelle 8 erreicht hat: alle Blocks einer Disk werden mit unsinnigen Werten gefuellt, DisplayAlert: Chaos! by Tai-Pan usw. dann reset Herkunft: Virusinstall V2.0 - CHAOS-MASTER V0.5 File PP-Laenge: 12972, ungepackt:16676 CHAOS-MASTER V0.5 im ungepackten File lesbar Filename wahrscheinlich: dir KEINE bekannten Vektoren verbogen, nicht resetfest Schaeden und Vermehrung: - dir-Befehl wird manchmal nicht ausgefuehrt. Ein kleines Fenster erscheint: Error xyz, Return-Gadget die Zahl xyz kann auch negativ sein und entspricht NICHT dem DOS-Error-Code. - Sie geben ein: dir df3: Das Inhaltsverzeichnis von df3 wird ausgegeben und das Virus-File nach df3:c/dir kopiert. Ein bereits vorhandener Dir-Befehl wird ueberschrieben. - Sie geben ein: dir prefs Das Inhaltsverzeichnis von prefs wird ausgegeben und ein File disk.info (Laenge:370 Bytes) nach prefs kopiert. Dieses File enthaelt am Anfang die Icon-Struktur. Der groessere Teil der Struktur ist durch Text ueberschrieben. Folge: Sie klicken die Prefs-Schublade an, disk.info muesste als Icon darge- stellt werden, geht aber nicht, da Struktur nicht in Ordnung. Also stellt der Computer die Arbeit ein. Reset wird notwendig. Text in disk.info: Sorry an alle User usw. - Sie geben ein: c/dir df3: Inhaltsverzeichnis wird ausgegeben und das Virus-File nach df3:c/r (!!!! Programmierfehler) geschrieben. Empfehlung: dir-Befehl loeschen (VT) und von OrigWB neu kopieren. - Charlie Braun anderer Name: Hireling Protector V1.0 ForpibClone s.u. nur Text geaendert - CHEATER HIJACKER BB auch KS2.04 LameBlame-Clone s.u. DisplayAlert-Text geaendert: -+= CHEATER HIJACKER usw. Wird auch erzeugt von VIRUS TERMINATOR V6.0 s.u. - Check Filevirus PP-crunched Laenge:18644 Process: HardDisk.device in C-Aztek Schaeden: alle 5 Min (delay $3a98) Bild (Totenkopf) und Sound fuer kurze Zeit KEINE Vermehrungsroutine gefunden - CHRISTMAS VIOLATOR Link Soll einen zusaetzlichen 1.Hunk erzeugen. Verlaengert File um 1060 Bytes Verwendet aufs Byte genau die IRQ-Linkroutine Braucht ExecBase im Speicher ab $C00000 Cool immer $7E07a, im Prg. OldOpenLib immer $7FB88 Nur mit KS1.3, da absoluter ROM-Einsprung. Programm liegt zweigeteilt ab $7E000 und $7FB84 im Speicher. Der Linkvorgang konnte NICHT erreicht werden, da im Programm MEHRERE Fehler vorliegen. Immer GURU 3. VT-Empfehlung: loeschen Namensbegruendung: Ein Programmteil, das NIE erreicht wird, decodiert mit eori.b #$27,(a1)+ ergibt: 203e3e3e >>> 20434852 4953544d 41532056 494f4c41 CHRISTMAS VIOLA 544f5220 62792074 68652044 7265616d TOR by the Dream 20546561 6d202d20 28484520 4845293c Team - (HE HE)< 3c3c2020 48617665 2061206e 69636520 << Have a nice 6461792e 2e2e2000 day... - Claas Abraham andere Namen: Abraham, MCA Cold, Cool, KickTag, KickCheckSum, $68 braucht FastRam !!!!! Angefordert mit #$4,d1 und AllocMem (Programmierfehler ????) im Prg.Ablauf erst BeginIo Vermehrung: ueber BB Schaden: nach $F-Resets Formatierung Eor-Byte wird fuer neuen BB aus $DFF006 erzeugt entschluesselt steht im Speicher: >>> Claas Abraham Virus !!! <<< - Clist-Virus anderer Name: U.K.LamerStyle Begin, Kicktag, KickCheckSum entschluesselt steht im Speicher: expansion ram.trackdisk.device..clist.library.clist 33.80 (8 Oct 1986). Vermehrung: ueber BB Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF006 festgelegt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt und !!!! mit allocabs eingetragen. - CLP-Trojan File Laenge ungepackt: 51000-52000 Bytes siehe auch bei UA62-ACP-Trojan, PHA Trojan Soll in CLP_WOW.exe sein. Wer das File hat, moege es mir BITTE zuschicken. Danke Ich habe KEIN lauffaehiges Virusfile. Nur GURU auf allen Maschinen und jeder KS . Keine verbogenen Vektoren. Keine Vermehrung Namensbegruendung: siehe Auszug Schaden: Soll in alle Files in S: einen Text schreiben. 62726172 7900533a 0049736e 27742043 brary.S:.Isn't C 55544520 4c495454 4c452050 4f4e4e49 UTE LITTLE PONNI 4553206a 75737420 61206e69 63652067 ES just a nice g 726f7570 213f2e2e 2e206861 68616861 roup!?... hahaha ;usw Clone: Anim_demo.exe Laenge: 1795068 Bytes !!!! gefunden in: kef_ani.lha Laenge: 179143 Bytes Es handelt sich NICHT um ein Intro, sondern am Ende steht 2x das CygnusEd Prof. 3.5 Prg. Es wurden 2 4EB9-4EF9-Links verwendet, um ein CLP-Teil anzu- haengen. Unterschiede: a) es soll nicht nach s: sondern nach BBS: gesucht werden. b) es wird der dR. WHo Text (s.u. bei UA62) verwendet. VT erkennt: CLP-Virus ??? VT bietet nur loeschen an. Begruendung: Das Teil ist NICHT lauffaehig. Der Source-Code von CLP-Trojan ist durch die Netze gewandert. Verstehe ich nicht so ganz. Dieser Source hatte MEHRERE Fehler. Genau die gleichen Fehler tauchen auch in diesem Prg auf. Bessert man die Fehler nach, so koennte Anim_demo.exe bei ge- nuegend Speicher und vorhandener BBS: Schaden anrichten. Die Groesse des Files ist in der Speicherreservierung fuer den Scan von BBS: begruendet. - CLP-Virus Clone2 Laenge ungepackt: 51256 anderer Name: MST-VEC Virus, MST-Inte Virus Dieses Teil ist lauffaehig !!!!!!!!!! Keine verbogenen Vektoren Das File ist an Nichts angelinkt. Mir also unverstaendlich warum jemand das freiwillig aufrufen sollte ??? Schreibt in alle Files in s: einen Text PCD_ueberschrieben: 4655434b 20424f42 4f20414e 44204a45 FUCK BOBO AND JE 57495348 20415845 21205349 45472048 WISH AXE! SIEG H 45494c21 20474153 20524f4f 4c455a21 EIL! GAS ROOLEZ! 20424545 45415645 5253210a 61737369 BEEEAVERS!.assi 676e2066 726f6d3c 24243e3a 206f6672 gn from<$$>: ofr 6f6d3c24 243e3a0a 61737369 676e206f om<$$>:.assign o VT bietet fuer das trojanische Pferd und fuer die ueberschriebenen Files loeschen an. - COBRA-Virus BB Fastmem: Nein KS2.04: Nein BeginIo, KickTag, KickCheckSum, Exec IntVec 5 Namensbegruendung: 4E714E71 4E752043 4F425241 20484157 NqNqNu COBRA HAW 20484157 20484157 200041FA 002C3010 HAW HAW .Au'.,0. Schaeden und Vermehrung: BB VT kennt: 15.10.92 - CODER anderer Name: Coders Nightmare immer $7f600, DoIo, KickTag, KickCheckSum, $68 Fordert trackdisk.device NICHT im BB steht unverschluesselt: Bootblock installed with 'CODER' - The Ultimate Viruskiller!! Vermehrung: ueber BB im Speicher steht (entschluesselt mit ror.b #2,d1): Something WONDERFUL has happened!! Your Amiga is alive, and it is infected with the 'Coders Nightmare Virus'. - The ultimate key-killer, masterminded by the megamighty Mr. N of The Power Bomb Systems!! - Coders Nightmare anderer Name: CODER s.o. - COHEN-Virus BB HODEN-Virus-Clone s.u. Spritedaten geaendert. Verwendet NICHT mehr absoluten KS1.2 DoIo . Code teilweise um vier Bytes verschoben. Fordert trackdisk.device NICHT. Text im BB geaendert: 46726564 20436f68 656e202d 20556e69 Fred Cohen - Uni 76657273 69747920 536f7574 6865726e versity Southern 2043616c 69666f72 6e696120 31393839 California 1989 - Color Filevirus Laenge: 2196Bytes DoIo immer $70000, Cool belegt sinnlos 102400 Bytes ChipMem, taeuscht durch ein Graphik-Demo, schwarzer Hintergrund und drei Balken (rot, gruen, blau) und installiert gleichzeitig ab 70000 das Virusprogramm und ab 7F000 den Virus-BB (TURK). Veraendert die startup-s. NICHT. Schaeden: Bei DoIo-Einsprung wird der Virus-BB geschrieben. Bei Cool-Einsprung wird $5000 x TURK in den Speicher geschrieben. - Commodore-Virus File Laenge:1752 reines Zerstoerungsprogramm KEINE Vermehrung, also nach Definition kein Virus. Unter welchem Namen das Programm weitergegeben wird, ist mir nicht bekannt. Als VirusTestPrg ???? siehe unten . NICHT resetfest. Namensbegruendung: 20210054 68697320 69732074 6865206E !.This is the n 65772043 6F6D6D6F 646F7265 2D566972 ew Commodore-Vir 75732021 00425920 53544152 4C494748 us !.BY STARLIGH 5420454E 54455250 52495345 53203139 T ENTERPRISES 19 39320000 92 Verbiegt Cool auf eigenen Programmtext (Schwachsinn), also voellig unsinnig. Da ausserdem allocmem nicht benutzt wird, wird nach Programmende der Speicher von einem beliebigen anderen Programm benutzt, d.h. der Cool-Vektor zeigt auf irgendetwas, nur nicht auf den gewuenschten Text, weil dieser ja laengst ueberschrieben ist. VT erkennt beim Cool-Vektor-Test deshalb nur unbe- kanntes Programm. Gehen Sie Weiter und loeschen Sie den Vektor in VT/Tools. Danke Legt eine Zaehlzelle bei $66666 an, OHNE allocmem. Schreibt auch einen anderen Wert ins RangerRAM ($C0). Da auch der Text "dos.library" 3x im Programm vorkommt und aufgerufen wird, draengt sich der Verdacht auf, dass ein Anfaenger 3 Assemblerkursteile zusammengesetzt hat. Abhaengig von Zaehlzelle: DisplayAllert: (Zelle=2) 00961420 20204968 7220436F 6D707574 ... Ihr Comput 65722069 737420DC 62657268 69747A74 er ist überhitzt 20212121 0001007D 2D57656E 6E206573 !!!...}-Wenn es 206E6163 68206465 6D205265 73657420 nach dem Reset 65696E20 61627374 75727A20 67696274 ein absturz gibt 000100AA 46202053 4348414C 54454E20 ...S SCHALTEN 49484E20 53494520 42495454 45204155 IHN SIE BITTE AU 53000100 D7552020 20436F6D 6D6F646F S...xU Commodo 72652031 39383700 re 1987. oder Textausgabe: (Zelle=3) 0000636F 6E3A3130 2F31302F 3333302F ..con:10/10/330/ 35302F52 45515545 53542000 9B316D9B 50/REQUEST ..1m. 33336D20 4B45494E 20564952 55532049 33m KEIN VIRUS I 4E204452 49564520 4446303A 20200A20 N DRIVE DF0: . 20202020 20204745 46554E44 454E2021 GEFUNDEN ! 21202020 ! Schaeden: - loescht startup-sequence - schreibt leeres Unterverzeichnis Name: Commodore war hier !! Erkennung im Speicher mit VT: nicht moeglich (siehe oben) File-Erkennung mit VT getestet: 26.09.92 Empfehlung: einfach loeschen und gegebenenfalls in s-sequence nachschauen, ob geloeschter Programmname dort auftaucht. Dann bitte diese Zeile mit ED loeschen. - CompuPhagozyte File Laenge ungepackt: 1452 keine Vektoren verbogen sichtbar z.B.: The CompuPhagozyte usw. Erstellt eine Fensterleiste mit dem Text: Virus-Checker V4.0 by ... (Name) Verraet sich, wenn Sie die Fensterleiste anklicken, weil im Gegensatz zum echten Virus-Checker NICHTS passiert. Wartet auf CloseWindow und DiskInserted. Schaeden: Solange die Fensterleiste da ist, wird bei jeder neu eingelegten nicht schreibgeschuetzten Disk mit c/Virus-Checker bei mir das Orig-Prg auf 1452 Bytes gekuerzt. (also keine Vermehrung) Empfehlung: loeschen und Orig-Virus-Checker neu aufspielen. - CompuPhagozyte 2 File Laenge ungepackt: 1148 keine Vektoren verbogen sichtbar z.B.: The CompuPhagozyte usw. Erstellt eine Fensterleiste mit dem Text: VirusX 5.00 by ... (Name) Verraet sich, wenn Sie die Fensterleiste anklicken, weil im Gegensatz zum echten VirusX NICHTS passiert. Wartet auf Close- Window und DiskInserted. Schaeden: Solange die Fensterleiste da ist, wird bei jeder neu eingelegten nicht schreibgeschuetzten Disk mit c/VirusX bei mir das Orig-Prg auf 1148 Bytes gekuerzt. (also keine Vermehrung) Empfehlung: loeschen und Orig-VirusX 4.01 neu aufspielen. 6e2e6c69 62726172 79003a63 2f566972 n.library.:c/Vir 75735800 3a632f56 69727573 58005468 usX.:c/VirusX.Th 6520436f 6d707550 6861676f 7a797465 e CompuPhagozyte 20686173 20617474 61636865 6420746f has attached to 20796f75 72207379 7374656d 20210a57 your system !.W 61697420 666f7220 206e6577 20766972 ait for new vir 75732069 6e206f74 68657220 636f6d70 us in other comp 75746572 2d737973 74656d73 20210a20 uter-systems !. 54686520 436f6d70 75506861 676f7a79 The CompuPhagozy 74652069 6e20392e 39312062 79205468 te in 9.91 by Th 6520456d 7065726f 72204f66 20547269 e Emperor Of Tri 6c6c696f 6e202042 79746573 20210000 llion Bytes !.. 56697275 73582035 2e303020 62792053 VirusX 5.00 by S 74657665 20546962 62657474 00000000 teve Tibbett.... Es ist ein Clone aufgetaucht, wobei nur die Texte geaendert wurden. Wieder ein Beispiel fuer geistigen Tiefflug !!! Zu mehr reicht es halt nicht. Geht im Sandkasten spielen, da koennt Ihr Euch niveaumaessig angemessen ausleben !!! Wird weiterhin als CompuPhagozyte 2 erkannt. 79003a63 2f566972 75735a00 0007c000 y.:c/VirusZ..... ;..... 4e6f2076 6563746f 72732063 616e2063 No vectors can c 68616e67 65642061 6e796d6f 72652073 hanged anymore s 6f20796f 75722063 6f6d7075 74657220 o your computer 69732073 61666520 21202120 21200000 is safe ! ! ! .. 56697275 735a2049 4920312e 30322047 VirusZ II 1.02 G 656f7267 2048f672 6d616e6e 00000000 eorg H.rmann.... - CompuPhagozyte 3 File bekannte Filelaengen: 568 Bytes 592 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C000 Wahrscheinlich als cls-Befehl getarnt, da mit mehreren " ",0a das Shell-Fenster geloescht wird. fuer mich KEIN Virus, Routine veraltet, KEINE Vermehrung im Prg zu lesen: 200A5468 6520434F 4D505550 6861676F .The COMPUPhago 7A797465 20696E20 392E3931 20212121 zyte in 9.91 !!! 0A546865 20456D70 65726F72 204F6620 .The Emperor Of 5472696C 6C696F6E 20427974 65732073 Trillion Bytes s 7472696B 65732062 61636B20 21210A1F trikes back !!.. Legt ab $7C000 ein kleines Prg ab, das durch cool resetfest sein soll (geht z.B nicht mit 1Mb). Dieses Prg loescht Cold, Warm, KickMem, KickTag, KickCheckSum. KS2.04 : GURU A nach Reset Empfehlung: File loeschen Erkennung im Speicher mit VT: ja Fileerkennung mit VT : 08.10.92 - Compu3-TAI11 Clone: File Laenge 592 Namensbegruendung: 20542041 20492020 31312020 202e2e2e T A I 11 ... - CompuPhagozyte 4 File bekannte Filelaengen : 916 Bytes : 952 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C600 , OldOpenLib immer $7E000 Reserviert mit AllocAbs 3 Speicherbereiche: $7C000 ganzes VirusPrg $7C600 CoolRoutine fuer RESET $7E000 OldOpenLibRoutine fuer Vermehrung df0:A0A0A0A0 (unsichtbar in Root) df0:s/startup-sequence A0A0A0A0 COMPUPhagozyte !!! am Fileende zu lesen (s.u.) Testet OldOpenLib auf $FC1430 = KS 1.2 , falls nein wird neue OldOpenLib-Vektor-Routine NICHT kopiert. D.h. eine Vermehrung ist nicht moeglich. Wegen der Vorgabe (s.o.) ist nur eine Ver- mehrung in DF0 moeglich. Am Anfang des Files steht KEIN Text "Compu...". KS2.04 : Nach Tastatur-Reset Uebergang in Dauer-Reset. Typ C 4: e1ce0007 e1d04446 303aa0a0 a0a00000 ......DF0:...... 4446303a 732f7374 61727475 702d7365 DF0:s/startup-se 7175656e 63650000 a0a0a0a0 0a200a54 quence....... .T 6865206d 69676874 206f6620 54686520 he might of The 456d7065 726f7220 69732075 6e6c696d Emperor is unlim 69746564 20212121 0a200a43 4f4d5055 ited !!!. .COMPU 50686167 6f7a7974 65202121 210a0000 Phagozyte !!!... Hinweis: Es ist ein CompuPhagozyte-Clone aufgetaucht. Filename: VT-Faster. So ein Programm habe ich nie geschrieben. Laenge gepackt: 860 Bytes Laenge ungepackt: 916 Bytes Nur Text geaendert und Vermehrung jetzt auf HD0. Das File wird jetzt in c als VT abgelegt. Falls Sie da einen Original- VT (so heisst aber mein File NICHT) liegen haetten, wuerde das File zerstoert. e1ce0007 e1d04844 303a632f 56540000 ......HD0:c/VT.. 4844303a 732f7374 61727475 702d7365 HD0:s/startup-se 7175656e 63650000 632f5654 0a200a55 quence..c/VT. .U ;..... 6520776f 726c6421 0a200a4d 6178206f e world!. .Max o 66205374 61726c69 67687420 210a0000 f Starlight !... - CompuPhagozyte 5 File bekannte Filelaengen: 892 Bytes 900 Bytes 936 Bytes (1.Hunk $CF) 936 Bytes (1.Hunk $CD) Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C600 , OldOpenLib immer $7E000 Reserviert mit AllocAbs 3 Speicherbereiche: $7C000 ganzes VirusPrg $7C600 CoolRoutine fuer RESET $7E000 OldOpenLibRoutine fuer Vermehrung :A0A0A0A0 (unsichtbar in Root) :s/startup-sequence Also keine Festlegung auf DF0 mehr. COMPUPhagozyte jetzt auch am Fileanfang zu lesen: 434f4d50 55506861 COMPUPha 676f7a79 74650a00 gozyte.. Neu: KEIN Test auf OldOpenLib = $FC1430 = KS 1.2 mehr. KS2.04 : Nach Tastatur-Reset Uebergang in Dauer-Reset. Vermehrung: Falls ein anderes Prg die oldopenlib-Routine aufruft, wird eine Vermehrung versucht. Kein Schreibschutztest vorher. Speicher ab $7C000 soll als A0A0A0A0-File auf Disk geschrieben werden. Danach wird die startup-sequence geaendert. Empfehlung: sofort loeschen und auch startup-sequence ueber- pruefen. Typ 5: 00000000 00000000 00000000 00003aa0 ..............:. a0a0a000 3a732f73 74617274 75702d73 ....:s/startup-s 65717565 6e636500 a0a0a0a0 0a200a54 equence...... .T 6865206d 69676874 206f6620 54686520 he might of The 456d7065 726f7220 69732075 6e6c696d Emperor is unlim 69746564 20212121 0a200a00 000003ec ited !!!. ...... - CompuPhagozyte 6 File bekannte Filelaengen: 1008 Bytes 1048 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. :A0A0A0A0 (unsichtbar in Root) :s/startup-sequence A0A0A0A0 immer ab $7C000 Verbogene Vektoren: Cool, OldOpenLib, NEU: jetzt wird auch SumKickData verbogen. Im File am Anfang jetzt erweiterter Text: 3e434f4d 50555068 >COMPUPh 61676f7a 79746520 50726f74 65637469 agozyte Protecti 6f6e2046 696c6520 on File Sie muessen auch die s.-seq. mit einem Editor bearbeiten. VT kennt File und Speicher: 24.11.92 - CompuPhagozyte 7 Link Speicher immer ab $7C000, Cool, OldOpenLib, SumKickData, DoIo, $6c, Open, Lock, LoadSeg, Rename KS1.3 ja KS2.04: nach Aktivierung des Teils und Aufruf eines anderen Programms, das ebenfalls einen obengenannten Dos-Vektor benutzt, bei mir immer Absturz. Soll sich ans Ende des 1.Hunks schreiben. Sucht nach $4E75 (RTS) und ersetzt durch $4E71 (NOP). Verlaengert ein File um #1740 Bytes ($1b3x4). In File ist zu lesen: 732e6c69 62726172 7900436f 6d707550 s.library.CompuP 6861676f 4c696e6b 20627920 54686520 hagoLink by The ^^^^ 456d7065 726f7220 4f662054 72696c6c Emperor Of Trill 696f6e20 42797465 ff6c33ee ffe20007 ion Byte.l3..... VT sollte das Teil im Speicher erkennen und abschalten koennen. Die Virus-Routine enthaelt mehrere Fehlerquellen. Es duerften haeufig nicht lauffaehige oder nicht vermehrungsfaehige Files entstehen. VT bietet Ausbau an. Bitte machen Sie vorher eine Kopie. Sie MUESSEN mit der Meldung Hunk-Struktur-defekt rechnen. Danke !! - CompuPhagozyte 8 FileVirus Laenge: 1952 Bytes Im Speicher immer ab $7C000, Vektoren werden teilweise nach $7A000 gerettet. Cool $7C22A, DoIo $7C2C4, SumKickData $7C5F2, Open $7C3CA, Lock $7C3FA, LoadSeg $7C39A und $6C $7C68a . Wie Sie erkennen koennen sind im Vergleich zu Vorgaengerversionen noch mehr Vektoren verbogen und OldOpenLib wurde aufgegeben. Ob Nano2 von Compu 8 abgeschrieben ist oder umgekehrt oder ob es sich um den gleichen Programmierer handelt, kann ich nicht entscheiden. Sicher ist, dass die gleiche Fehlerquelle (s.u.) enthalten und der Ablauf gleich ist. Namensbegruendung: Im File ist decodiert zu lesen: The Emperor of Trillion Bytes presents:... a new CompuPhagozyte !!! Dieser Zeilen werden vom Programm nie decodiert. Das Virusteil versucht durch einen Text am Fileanfang zu ver- wirren: 20202020 203a416d :Am 69676144 4f532044 61746166 696c6520 igaDOS Datafile 40203139 38382062 79204342 4d202020 @ 1988 by CBM 20200a54 68697320 66696c65 20636f6e .This file con 7461696e 7320696d 706f7274 616e7420 tains important 6469736b 20646174 6120666f 72200042 disk data for .B 6c6f636b 20416c6c 6f636174 696f6e20 lock Allocation 21200a20 3e3e3e20 5741524e 494e473a ! . >>> WARNING: 2044656c 6574696f 6e206f66 20746869 Deletion of thi 73206669 6c652063 6f756c64 20006465 s file could .de 7374726f 7920616c 6c206469 736b2064 stroy all disk d 61746173 20212121 203c3c3c 0a00 atas !!! <<<.. Vermehrung: - Test ob unsichtbares File A0A0A0A0 schon da ist. Wenn ja keine Verseuchung (Fortschritt gegen frueheren Versionen) - Schreibt Virusteil in RootDir (festgelegt mit :) - Besorgt #1006 Bytes Speicher - Versucht :s/startup-sequence zu oeffnen und #1000 Bytes zu lesen. KEIN Test von d0 - Schreibt im Speicher 6 Bytes vor die startup-sequence A0A0A0A0200A - Schreibt #1006 Bytes auf Disk - Protect VirusFile und Startup-sequence Fehlerquellen: Da immer #1000 Bytes eingelesen und #1006 Bytes zurueck- geschrieben werden, treten Fehler auf. a) ihre s-seq. war kuerzer, dann wird der Rest mit Speichermuell zurueckgeschrieben und es gibt Meldungen wie xyz not executable weil zufaellig im Speichermuell etwas verwertbares stand. b) Ihre s-seq. war laenger, dann wird ein Teil abgeschnitten und Sie wundern sich, warum z.B. loadwb nicht mehr ge- startet wird. Fehlerquelle2 : Das Virusteil verraet sich nach einem Reset und schreibge- schuetzter Disk mit einem SystemRequest: Volume xyz is write protected VT loescht das VirusFile Bitte denken Sie daran, dass Sie mit einem Editor die 1.Zeile der startup-sequence loeschen muessen. Auf Grund der Fehler- quellen kann es aber auch sein, dass Sie die startup-sequence voellig neu schreiben muessen. Denken Sie bitte daran, dass Sie vorher in VT im Filerequester die startup-sequence un- protecten muessen !!!! - ConfTop-Trojan gegen AmiExpress Laenge ungepackt: Conftop.000 38322 Bytes Conftop.020 38300 Bytes Falls es zu Verwechslungen mit einem echten Conftop-Prg kommt, rufen Sie mich bitte an und schicken mir ein Orig-ConfTop zu. Das Verhalten wurde nicht getestet, da ich kein AmiExpress habe. Fremdaussage: Entscheiden Sie selbst !!!!!! @BEGIN_FILE_ID.DIZ FAKE FAKE FAKE FAKE FAKE FAKE FAKE FAKE FAKE -------------------------------------------- BOBO/MYSTIC SAYS : I *NEVER* RELEASED THE CONF-TOP! NUKE AND BEAWARE OF THE FILE : 'MST-CF22.LHA'!!!.. IT *MAY* FORMAT YOU'RE HD! A BACKDOOR IS FOR SURE!!! IT'S AN OLD VERSION OF CONFTOP! /BOBO oF MYStIC! @END_FILE_ID.DIZ What?!... Ok... It goes like this!... The file 'MST-CF22.LHA' is a F A K E! I never done that! it's probably a hd crasher!... So DON'T use it! and NUKE it on every board! - CONMAN-BBS-Trojan Laenge gesamt: 50288 Bytes Typ A: Trojan-Teil gepackt: 2704 Bytes Trojan-Teil entpackt: 2496 Bytes Ein $4EB9-$4EF9-Link an ARTM 2.3 . 4f4b2021 00000000 414d4947 41205265 OK !....AMIGA Re 616c7469 6d65204d 6f6e6974 6f722056 altime Monitor V 322e3320 44617465 2039332f 31312f31 2.3 Date 93/11/1 3100434f 50595249 47485420 42592054 1.COPYRIGHT BY T Nach meinem Wissensstand gibt es im Nov. 93 diese Versions- nummer noch gar nicht. Es handelt sich um eine V1.6 . Namensbegruendung: decodiert ist im Speicher zu lesen: 434f4e4d 414e2f48 41434b4d 41535445 CONMAN/HACKMASTE 522f3933 2f54524f 4a414e2d 56495255 R/93/TROJAN-VIRU 53092e2e 00000000 00000000 00000000 S............... Das Gesamtfile lauft nur auf Prozessoren ab 68020 ohne GURU, da im Trojan-Teil ungerade Adressen verwendet werden. Schaeden: Sucht nach USER.KEYS und USER.DATA. Diese Files sollen mit dosopen, dosread, doswrite und dosclose bearbeitet werden. Hinweis: Es wird das $4EB9-$4EF9-Link-Programm gesucht. Da Ende Nov 93 schlagartig mehrere solche Links aufgetaucht sind, vermute ich, das es dafuer ein Programm gibt. Das Link-Prg. scheint nicht sehr gut zu sein . Siehe Hinweis 2 Hinweis 2: VT bietet Ausbau an. ABER !!!!!! ARTM1.6-Orig ARTM2.3-Link 000: 000003ec 0000018a ........ 000: 000003ec 0000018a ........ 008: 00000001 000046be ......F. 008: 00000005 0000009c ........ 010: 0000469c 000011ac ..F..... 010: 000000cc 000000e6 ........ 018: 000008c0 000008bc ........ 018: 00000104 00000132 .......2 020: 00002100 000020fc ..!... . 020: 0000014e 0000020c ...N.... 028: 000020f8 000020f4 .. ... . 028: 00000210 00000220 ....... 030: 000020f0 000020ec .. ... . 030: 00000224 00000234 ...$...4 Es werden also voellig wirre Zahlen in die 3EC-Hunks geschrieben. VT stellt zwar die Hunkzahl bei $8 (5 wird zu 1) richtig, ueber- nimmt aber die geaenderten FALSCHEN Werte. Die uneingeschraenkte Lauffaehigkeit des Prg.s wird angezweifelt. Besser Sie loeschen das gelinkte ARTM-Prg. ganz und besorgen sich ein Orig-ARTM . - CONMAN-BBS-Trojan Typ B Maerz 94: Es sollen mehrere Files aufgetaucht sein, in denen Conman zu lesen ist. Es soll versucht werden, user.data zu ver- aendern. Da bisher immer mit 4EB9-4EF9-Links gearbeitet wurde, seien Sie bitte etwas vorsichtig, falls VT dies anzeigt. Gefahr besteht aber nur fuer AMI-BBS . - CONMAN-Dir-Trojan File gepackt: 4004 Bytes VT bietet bei Filetest Loeschen an. entpackt: 8456 Bytes VT bietet bei Filetest Ausbau an. KS2.04 mit 68030: ja VT sollte den Process im Speicher finden. VT bietet Loeschen an. Sie muessen mit GURU rechnen. Haengt an einem Dir-Befehl. Das RTS im Dir-Befehl wurde durch ein JMP Virusteil ersetzt (von Hand ?). Im Virusteil wird jsr -$xy(A5) verwendet. Im Speicher ist zu lesen: 576f726b 62656e63 68200064 6f732e6c Workbench .dos.l 69627261 72790069 6e747569 74696f6e ibrary.intuition 2e6c6962 72617279 00444630 3a432f44 .library.DF0:C/D 49520043 3a444952 00444556 533a5359 IR.C:DIR.DEVS:SY 5354454d 2d434f4e 46494755 52415449 STEM-CONFIGURATI 4f4e0043 3a4c4f41 44574200 4c3a5241 ON.C:LOADWB.L:RA 4d2d4841 4e444c45 5200536e 6f6f7044 M-HANDLER.SnoopD 6f7300b6 b6b6b6b6 b6b6b6b6 b6b6b6b6 os.............. Ablauf: - SnoopDos wird gesucht und falls gefunden abgeschaltet. (Signal) - Ein Process mit Namen "Workbench " wird angelegt. Vermehrung: ^ Das Virusteil wird nach $70000 im Speicher kopiert und von da als Dir geschrieben. Schaeden: Sobald eine Zaehlzelle den Wert 7 erreicht hat wird geloescht: - devs:system-configuration - c:loadwb - l:ram-handler Danach wird ein Text mit move.b (a0)+,(a1)+ eori.b #$96,(a0) decodiert und mit DisplayAlert ausgegeben. 20202020 20205448 49532049 53204e4f THIS IS NO 54204120 53595354 454d2041 4c455254 T A SYSTEM ALERT 21205448 49532049 53205448 45204e45 ! THIS IS THE NE 5720434f 4e4d414e 2d54524f 4a414e20 W CONMAN-TROJAN 56495255 53212020 20202020 20202020 VIRUS! ;.... 20202041 4c4c2044 49534b20 41435449 ALL DISK ACTI 56495449 45532057 494c4c20 42452044 VITIES WILL BE D 49534142 4c454421 20202020 20202020 ISABLED! ;usw. Zuletzt geht das Programm in eine Endlosschleife. D.h. Sie muessen einen Tastatur-Reset ausfuehren. - CONMAN-Dir-Inst ???? VT glaubt (!!!!!!!! aber NICHT sicher) ein File gefunden zu haben, an das mit der $4EB9-4EF9-Methode ein Virusteil an- gelinkt wurde. Loeschen Sie also bitte nicht sofort das File, sondern untersuchen Sie zuerst das Teil. Falls das File ge- packt ist, dann entpacken Sie es mit einem Entpacker ihrer Wahl. Falls Sie nun mit einem Filemonitor oder mit VT-Filereq das File anschauen und den Text CONMAN finden, so duerfte es sich um ein verseuchtes File handeln. Fuer die Zusendung waere ich dankbar (vorher anrufen). - CONMAN-LOOK-Trojan anderer Name: LOOK-BBS-Trojan s.u. - CopyLock-Virus BB Block 0-3 Bitte NICHT mit Orginal-BB CopyLock verwechseln. Cool $7F498 nach Reset DoIo $7F4C8 KS 2.04: ja Fordert trackdisk.device NICHT Namensbegruendung: s.u. Vermehrung: BB Dazu wird der urspruengliche BB geladen, ein paar Bytes am An- fang einkopiert und dann mit Virus in Block 2 u. 3 wieder ab- gespeichert. Bei einem fluechtigen Blick sehen Sie zum Beispiel noch einen Text und denken es waere noch der Original-BB. LASSEN SIE SICH NICHT TAEUSCHEN !!!!! Schaeden: Da es sich um 4 Blocke handelt wird nicht nur der Original-BB zerstoert, sondern auch ein File das Datenbloecke in Block 2 und 3 hat. Ablauf: Es werden 4 Bloecke nach $7F000 kopiert und grosse Teile mit sub.b d5,(a0)+ decodiert. Bei der Neucodierung fuer eine neue Verseuchung ist d5 abhaengig von $DFF006 . Das Teil wird aktiviert mit DoIo und lesendem Zugriff auf Block 880 ( nur bei DD-Disk Rootblock). Die Textteile werden NIE gezeigt. 20436f70 796c6f63 6b20416d 69676120 Copylock Amiga 28632920 526f6220 4e6f7274 6865726e (c) Rob Northern 2e20416c 6c207269 67687473 20726573 . All rights res 65727665 642e2000 41fa01fc 43f90007 erved. .A...C... ;........ 2a205945 50212052 4f42204e 4f525448 * YEP! ROB NORTH 45524e20 4f4e2054 48452042 4f415244 ERN ON THE BOARD 2021204d 5920434f 50594c4f 434b5320 ! MY COPYLOCKS 41524520 4655434b 00205448 45204352 ARE FUCK. THE CR 41434b45 52532041 52452042 45545445 ACKERS ARE BETTE 52205448 414e204d 452e2054 48415460 R THAN ME. THAT` 53205748 59204960 4d205752 4954494e S WHY I`M WRITIN 47202056 49525553 45532021 21212028 G VIRUSES !!! ( 494e2054 48452048 4f504520 54484154 IN THE HOPE THAT 20544845 59204152 45204245 54544552 THEY ARE BETTER 20415320 4d592043 4f50594c 4f434b53 AS MY COPYLOCKS 2129202a 00000000 00000000 00000000 !) *............ Hinweis: da das VirusTeil Block 2 u. 3 nicht als belegt kenn- zeichnet, kann bei einem Speichervorgang Block 2/3 neu beschrie- ben werden, wenn diese Bloecke im BitMapBlock frei waren. Da das Virusteil zerstoert ist, der Sprungbefehl in Block 0 aber noch vorhanden ist, werden Sie wahrscheinlich beim Booten eine GURU-Meldung bekommen. - Crackright anderer Name: Disk-Doktors s.u. - CRACKER Exterminator BB Cool: $7AEAA DoIo: $7AEC2 Fordert trackdisk.device NICHT KS2.04: ja Namensbegruendung: im BB ist uncodiert zu lesen 54686520 43524143 4b455220 45787465 The CRACKER Exte 726d696e 61746f72 48e7fffe 6000002c rminatorH...`.., Der BB enthaelt auch einen codierten Bereich eori.b #$27,(a1)+ , der NIE erreicht wird: 303c00ad 46110a19 002751c8 fff84869 0<..F....'Q...Hi 20686163 6b657221 20796f75 7220616d hacker! your am 69676120 69732069 6e666563 74656420 iga is infected 77697468 2061206e 65772067 656e6572 with a new gener 6174696f 6e206f66 20766972 75732063 ation of virus c 616c6c65 643a2054 68652043 5241434b alled: The CRACK 45522045 78746572 6d696e61 746f7220 ER Exterminator 21206d61 64652062 793a2041 3a433a43 ! made by: A:C:C 3a57205b 416e7469 2d437261 636b6572 :W [Anti-Cracker 2d436c75 622d5765 73745d20 68617665 -Club-West] have 2066756e 2c20796f 75206675 636b696e fun, you fuckin 67206372 61636b65 72210000 00000000 g cracker!...... Vermehrung: BB Schaeden: Aktiviert wird das Teil, wenn mit DoIo lesend auf Block 880 (ist nur bei DD-Disk der RootBlock) zugegriffen wird. In Abhaengigkeit von der Zaehlzelle bei $7FF00 (4) findet eine Vermehrung statt oder die "FloppyMusik"-Routine wird ge- startet. Diese Routine beansprucht ihr LW sehr stark und kann deshalb zu Hardware-Schaeden fuehren. Diese Routine ist vom Gadaffi-Virus abgekupfert. - Cracker Ext. Installer (erzeugt BB s.o.) File verseucht: 50868 Bytes BB-Teil ausgebaut: 49152 Bytes An ACP (BBS) wurde mit Hunklab ein BootJob-File gehaengt. In diesem BootJob-File wurde der Programmierername geloescht. Im Virus-BB wurde der uncodierte Text mit sinnlosen Zeichen ueber- schrieben. Der eor-codierte Bereich ist weiterhin mit gleichem Inhalt vorhanden. VT sollte Ausbau anbieten. Vgl. auch TAI7-Installer, East-Star-Install - CREEPING EEL BB Vergleiche auch: Executor.BB, Kimble.BB Namensbegruendung: siehe unten KS2.04: nein Fordert trackdisk.device NICHT verbogene Vektoren: Cool, DoIo Speicherlage: immer ab $7EC00 Vermehrung und Schaeden: BB UND !!!!! Schreibt in einen Zylinder, der bei einer Disk (880kb) dem Root-Zylinder entspricht (bei Festplatte ergibt sich ein anderer Zyl.), Datenmuell aus Speicher ab $60000. Diese Disks sind NICHT MEHR zu retten. Tut mir leid. Versuchen Sie bitte mit z.B. disksalv noch einige File von anderen Zylindern zu retten. Sobald die Zaehlzelle den Wert $14 erreicht hat: - Deutschland-Farben auf dem Bildschirm - Text, der uncodiert im BB steht 2d204865 6c6c6f20 436f6d70 75746572 - Hello Computer 66726561 6b202d2d 2d000016 004e596f freak ---....NYo 75277665 20676f74 206e6f77 20796f75 u've got now you 72206669 72737420 56495255 532e0000 r first VIRUS... 002a0068 2a2a2a2a 20544845 20435245 .*.h**** THE CRE 4550494e 47204545 4c20202a 2a2a2a00 EPING EEL ****. 002f0082 4d616e79 20446973 6b732061 ./..Many Disks a 72652069 6e666563 74656420 21210000 re infected !!.. 001e00b4 57726974 74656e20 6279203e ....Written by > 4d415820 4f462053 5441524c 49474854 MAX OF STARLIGHT 3c200000 003c00be a9203239 2e30342e < ...<... 29.04. 31393932 203c3c4d 41583e3e 20200000 1992 <<MAX>> .. - Crime! Linkvirus verlaengert ein File um 1000 Bytes. Haengt sich an den ersten Codehunk an. Cool, AllocMem, Dos: Open, LoadSeg, Dosbase+$2e KS2.04 = NEIN Kein Meldeprogrammteil gefunden. Kann sich MEHRMALS in gleiches File haengen, da schon-befallen Routine fehlt. (nach 3 Links ans gleiche File habe ich aufgehoert) Allerdings muss dazwischen immer ein anderes File aufgerufen wer- den, damit der Filenamenbuffer (vom VirusPrg. angelegt) ueberschrie- ben wird. Im Speicher werden 19 Bytes mit eori.b #$5e,-1(a5) decodiert: Crime!00dos.library Vermehrungsbedingungen: - Flag Disk o.k. ($52) - #16 Block free - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - letzter Befehl im 1.Hunk ist #$4E75 (RTS). Virus traegt dann $4E71 (NOP) ein. oder wird bis $3E+1 Wort-Schritte zurueck gefunden. Virus traegt dann $60xy (bra.s xy) ein. - Name enthaelt nicht: #, *, -, ., ?, Speichererkennung mit VT getestet: 15.02.92 Ausbau mit VT getestet: 16.02.92 wichtig !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! Hinweis 31.08.92: Ab VT2.44 sollten mehrere CrimeLinks ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - Crime!++ Linkvirus verlaengert ein File um 872 Bytes. Haengt sich an den ersten Codehunk an. Cool, Wait, Dos: Dosbase+$2e KS2.04 = NEIN (die Linkroutine wird zwar aktiviert, aber Dosbase+$2e stimmt NICHT. Deshalb kein Link sondern haeufig GURU. Kein Meldeprogrammteil gefunden. Kann sich MEHRMALS in gleiches File haengen, da schon-befallen Routine fehlt. (nach 5 Links ans gleiche File habe ich aufgehoert) Im Speicher werden $1A5+1 Worte mit eor.w d1,(a0)+ decodiert: Crime!++ d1 wird bei jedem Linkversuch ueber $DFF00A neu festgelegt. Vermehrungsbedingungen: - Flag Disk o.k. ($52) - #16 Block free - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - letzter Befehl im 1.Hunk ist #$4E75 (RTS). Virus traegt dann $4E71 (NOP) ein. oder wird bis $3F+1 Wort-Schritte zurueck gefunden. Virus traegt dann $60xy (bra.s xy) ein. Speichererkennung mit VT getestet: 24.05.92 Ausbau mit VT getestet: 25.05.92 wichtig !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! wichtig 2: verseuchte Files sind lauffaehig: VT sollte den Urzustand wieder herstellen koennen. verseuchte Files sind NICHT lauffaehig: Die Linkroutine ist nicht ++ , sondern enthaelt mehrere Fehler- quellen, die in Crime! nicht vorhanden waren. EINEN Fehler er- kennt VT und versucht ihn beim Ausbau auszubessern. Bitte mit einer Kopie ausbauen !!!! wichtig 3: Es werden AUCH Files mit einem "." im Namen verseucht. Beweis: Es wurde ein Datablock ausgedruckt. Danach waren ver- seucht: c/print, devs/printer.device, devs/parallel.device, und devs/printer/NEC . wichtig 4: Nach dem Ausbau rufen Sie bitte BlockITest auf und loeschen alle jetzt noch gefunden Crime!++ - Bloecke (auf der Diskkopie!!!). Das entseuchte File wird nicht unbedingt an die gleiche Stelle auf der Disk zurueckgespielt und so kann ein NICHT mehr aufrufbarer Block stehenbleiben. Danach rufen Sie bitte Blockkette auf und testen die Files auf richtige Verkettung. Sollten vor BlockITest bei BlockKette alle Files noch in Ordnung gewesen sein und jetzt nicht mehr, dann fuehren Sie bitte mit der Disk, die noch nicht mit BlockItest nachbehandelt wurde ein EinzelFileCopy durch. Auch hier werden nur die belegten und benutzten Blocks kopiert. UND rufen Sie mich bitte an. Danke Hinweis 31.08.92: Ab VT2.44 sollten mehrere Crime++Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke Ursprung: driveinfo trojanisches Pferd s.u. - Crime'92 Linkvirus verlaengert ein File um 1800 Bytes 1.HunkEnde Namensbegruendung: decodiert im Speicher: 4372696D 65273932 000048E7 FFFE47FA Crime'92.. Fordert trackdisk.device NICHT resetfest, Virusprogramm meldet sich nicht. Liegt immer im ChipMem. Codierung wechselt. Verbogene Vektoren bis KS1.3 einschl. : Cold, Cool, Wait (exec) dosbase+$2e Verbogene Vektoren ab KS1.4 ($23) : Cool, Wait (exec), LoadSeg, NewLoadSeg 68040: NUR OHNE Cache Schaeden: abhaengig vom Wert einer Zaehlzelle: Schreibt in Block 2-7 (=6 Blocks) von Track 0 Speichermuell (der geschriebene Speicher kann auch nur Nullen enthalten). Sollten da Datenbloecke von Programmen gelegen haben, so sind diese Programme unbrauchbar. KEINE Rettung moeglich. Tut mir leid. Wenn das VirusPrg nun den Rigid-Track ihrer Festplatte zerstoert (fordert trackdisk.device NICHT), so ist die Festplatte nach dem naechsten Reset NICHT mehr ansprechbar !!!! Ich hoffe Sie haben ein Backup ????? ab Block 2 move.l #$400,$2c(a1) 6 Blocks move.l #$C00,$24(a1) Vermehrung: - Flag Disk o.k. ($52) (validated) - #8 Block frei - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - Test auf schon befallen - Virus sucht ab Ende 1.Hunk nach RTS. Steht RTS genau am Ende, dann wird es mit den ersten zwei Bytes von $48e7fffe (movem.l d0-a6,-(a7)) ueberschrieben. Steht RTS nicht am Ende, dann wird bis $3e+1 Wort-Schritte zurueck gesucht. Virus traegt $60xy (bra.s xy) ein. - Die CodierRoutine ist sehr variabel gestaltet: - Wechsel der CodierRoutine - Wechsel des Beginns des codierten Bereichs im Virus- teil Speichererkennung mit VT getestet: 22.10.92 Ausbau mit VT getestet: 23.10.92 wichtig1 !!!!!!! Bitte aktivieren Sie die DruckOption zuerst in Prefs. Es koennte mit den notwendigen Druckprogrammen Crime'92 eingeladen werden. Beim naechsten GadgetKlick im Hauptfenster MUSS VT den Crime'92 dann im Speicher finden !!!! Zumindest bei meinen Tests. wichtig2 !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! Nachtrag 03.07.93: Crime 92 Variante (CodierRoutine anders) erhalten. Fileerkennung musste geaendert werden. Speichererkennung musste NICHT geaendert werden. Nachtrag 04.07.93: Es ist ein verseuchtes Testfile aus absolut zuverlaessiger Quelle aufgetaucht, bei dem das letzte Langwort im Orginalhunk zerstoert war . Dieses File ist AUCH nach dem Crime92-Ausbau noch defekt. Beispiel: der 1.Hunk wuerde mit "dos.library",0 enden. Bei diesem Vorgang wuerde dann "dos.libr",$5cef5def entstehen. Beim Ver- such, die dos.library zu oeffnen wuerde ein Fehler entstehen. Es ist mir in zwei Stunden nicht gelungen, diese Variante selbst zu erzeugen. - D&A FileVirus Laenge:1052 Bytes anderer Name SCA Dos Kill Cool immer $7E3CE und nach Reset auch DoIo KS2.04: keine BB-Verseuchung gelungen, Vektoren aber verbogen Schaeden: Das FileVirus schreibt bis KS1.3 auf eine nicht schreib- geschuetzte Disk einen BB dem die DOS0-Kennung fehlt. Dort steht dafuer $00000400 . Das Betriebssystem meldet deshalb mit einem Requester "Not a Dos Disk" . Schreiben Sie einfach einen Standard- Bootblock auf diese Disk. Der defekte BB ist ein leicht geaenderter SCA-BB (z.B. SCA! durch D&A! ersetzt). Das File muessen Sie loeschen. Schauen Sie bitte auch in der startup-sequence nach, ob dieser File- name vorkommt und loeschen Sie diese Zeile. Vermutung: Dieser BB wurde mit einem Prg. erzeugt, das aus einem BB ein Execute-File macht. Gibt es leider auch auf FF. Lesen Sie dazu auch FileTest bei SP-File-Sp in VT2.xyd . - D-Structure A/B/C-Virus immer ab $7C000 oldOpenLib immer $7C06E Write (-$30) immer $7C0CC nicht resetfest Name: D-Structure in der Mitte des Files zu lesen Typ A: Filelaenge: 428 Bytes Typ B: Filelaenge: 352 Bytes (haeufig Absturz) Typ C: Filelaenge: 464 Bytes (21.10.92) Typ A u. B : ffd24e75 0007c200 0007c204 442d5374 ..Nu........D-St 72756374 75726500 c24033ee 000003ec ructure..@3..... Typ C: C2000007 C204442D 53747275 63747572 A...A.D-Structur 65202000 000003F3 00000000 00000002 e ....o........ ^^^^ ^^ also mit zwei zusaetzlichen Leerzeichen Ablauf: - allocabs $7C000 - oldOpenlib wird gerettet und verbogen - wenn nun ein anderes Programm oldopenlib aufruft, wird getestet ob dos.library geoeffnet werden soll. wenn nein: z.B. intuition.lib - newopenlib wird ausgefuehrt und D-Structure wartet weiter wenn ja: - dosBase wird gerettet - Orig-Write wird gerettet und verbogen - oldopenlib wird zurueckgesetzt - newopenlib wird ausgefuehrt beim 5. Aufruf von Write wird nun nicht das Gewuenschte ge- schrieben (in cli, auf disk usw.), sondern das VirusPrg ab $7C000. Dieses File auf Disk ist leider nicht zu retten. - VirusPrg meldet sich NICHT !!!! Empfehlung: loeschen Sie das VirusPrg und alle zerstoerten Files. Ueberpruefen Sie bitte die startup-sequence. D-Structure A/B-File-Erkennung mit VT getestet: 09.09.92 D-Structure A/B-Speicher mit VT getestet: 09.09.92 D-Structure C mit VT getestet: 21.10.92 - DAG Cool, im Prg DoIo und zurueck, Fastmem ja, immer ab $7ec00 eine Meisterleistung: in den SCA-Text wurde eingebaut: Try ANTIVIRUS from DAG Erzeuger: DAG_Creator ungepackt:7000 Bytes oder 7360 Bytes schreibt Dag in BB von df1: - dailer-BBS V2.8g Von der Definition kein Virus, da keine Ver- mehrung. Ein Einbruchswerkzeug in BBS . Das Hauptprogramm duerfte eine Bluebox sein. Gepackt mit CrunchMania: Laenge: 11992 Bytes Laenge entpackt: 33908 Bytes Wird von VT entpackt als XLink erkannt. Also war meine Ver- mutung, dass auch dieses Programm fuer Viren missbraucht wird, RICHTIG !!!! Im File ist dann zu lesen: 79006262 733a7573 65722e64 61746100 y.bbs:user.data. 6262733a 6e6f6465 312f4e4f 43414c4c bbs:node1/NOCALL 45525341 54333030 00010000 000003ec ERSAT300........ ;....... 4469616c 65722076 322e3867 2f555044 Dialer v2.8g/UPD 41544544 20425920 53545249 4b455220 ATED BY STRIKER Oeffnet user.data und speichert ein paar Bytes in NOCALLERSAT300 ab. Hinweis: Entpacken Sie das File. VT sollte dann XLink erkennen. Gehen Sie dann in den File-Requester. Klicken Sie das File an und anschliessend auf 1Linkaus. Der 1.Link sollte im File abgeschaltet werden. Nachkontrollieren koennen Sie das mit SnoopDos, wenn Sie VT nicht trauen. SnoopDos -l darf keinen Lock auf bbs:user.data mehr anzeigen. - DarkAvenger-Virus Link Starke Aehnlichkeit mit Infiltrator (nur dosopen statt loadseg). Also keine Meisterleistung. Die Namenswahl zeugt von grosser Selbstueberschaetzung . Verbiegt DosOpen Nicht resetfest KS 1.3: ja KS 2.04: ja A4000/40 : 10 Files sind gelaufen und haben eine Disk jeweils komplett verseucht. Ablauf: Auf A2000 mit KS2.04 wurde eine komplette Disk verseucht. Auf dieser Disk sind dann unge- faehr 20 verseuchte Files auf dem A2000 ohne GURU gelaufen. Von diesen 20 verseuchten Files waren auf dem A4000/40 10 Files ohne Guru lauffaehig. (Cache aus) Typ A und Typ B sind bekannt. siehe unten Das Virusteil haengt sich immer neu codiert nach dem 1.Hunk ein. Arbeitsweise gleich fuer Typ A und B: - Sucht nach dem Langwort, das die Laenge des 1.CodeHunks enthaelt und erhoeht den Wert um $11A (TypA) oder $10C (TypB) . - Schreibt zu Beginn des 1. CodeHunks 6100xxyy (bsr xxyy) d.h. der OriginalSourceCode wird ueberschrieben. - Haengt sich codiert am Ende des 1.OriginalCodeHunks an. d.h. keine Erhoehung der HunkAnzahl. Vermehrungsbedingungen: - Disk validated - mindestens 8 Bloecke Platz - 1. CodeHunk nicht groesser als $1ffc * 4 = $7FF0 - Filelaenge groesser #2000 Bytes und - Filelaenge kleiner #100000 Bytes - Test 1. Wort im CodeHunk auf - $4EF9 (Jmp) falls ja keine Verseuchung - $4EB9 (Jsr) falls ja keine Verseuchung - Test ob schon von DarkAvenger verseucht 1. Wort im CodeHunk auf - $6100 (bsr) falls ja 2. Test an anderer Stelle auf - $FFFE6004 (Typ A) oder $FFFE4E71 (Typ B) falls ja schon verseucht, deshalb Ende. Ergebnis: verseucht auch libs, devices, fonts usw. Erfolg: NICHT alle Programme sind danach lauffaehig !!!!! Typ A: Verlaengert ein File um $11a x 4 = $468 = #1128 Bytes In Abhaengigkeit von $DFF006 wird mit setwindowtitles -=- The Dark Avenger -=- gesetzt Selbsterkennung im Speicher mit $A0A1 Decodiert mit subi.b x,(a3)+ ( x aendert sich bei jeder Ver- mehrung in Abhaengigkeit von $DFF006 ) ist im Speicher zu lesen: 6974696f 6e2e6c69 62726172 7900202d ition.library. - 3d2d2054 68652044 61726b20 4176656e =- The Dark Aven 67657220 2d3d2d00 ger -=-. Typ B: Verlaengert ein File um $10c x 4 = $430 = #1072 Bytes Die setwindowtitles-Routine fehlt. Selbsterkennung im Speicher mit $A0A1A2A3 Decodiert mit eori.b x,(a3)+ ( x aendert sich bei jeder Ver- mehrung in Abhaengigkeit von $DFF006 ) ist im Speicher zu lesen: 732e6c69 62726172 79005265 6d696e64 s.library.Remind 65727320 6f662070 61737420 2c206665 ers of past , fe 6172206f 66207468 65206675 74757265 ar of the future 3a205345 50544943 20534348 495a4f2e : SEPTIC SCHIZO. 3d2d2054 68652044 61726b20 4176656e =- The Dark Aven 67657220 2d3d2d00 ger -=-. Ausbau: VT versucht den Originalzustand wieder herzustellen. Falls es Probleme gibt, wenden Sie sich bitte an mich. NACH dem FileTest machen Sie bitte ein EinzelFileCopy auf eine leere formatierte Disk. (QUICK genuegt nicht) Diskcopy nuetzt nichts, da dabei alle Bloecke kopiert werden. Zwei Gruende: - die Fragmentierung der Files wird aufgehoben (Disk ist wieder schneller) - es werden nur benutzte Bloecke kopiert, d.h. jetzt nicht mehr von Files belegte Bloecke werden nicht mitkopiert und so kann dann auch BlockITest keinen DarkAvenger auf der NEUEN Disk in einem unbenutzten Block finden. Beispiel siehe unten Block: 23 0000: 00000008 0000048f 0000000e 0000004c ...............L 0010: 00000000 00000000 815b0864 94717800 .........[.d.qx. 0020: 716c1612 0a717cc5 2e3b1680 1f23f407 ql...q|..;...#.. 0030: f469d07d 1c0d278d 90280351 3d800401 .i.}..'..(.Q=... 0040: 3d000c1c 9d6fc6cd 3e9cab9f fde08dc4 =....o..>....... 0050: 02400408 81420010 0c04f46d 00246c09 .@...B.....m.$l. 0060: 000003f2 2a20e8b5 4e759044 7200e8ad ....* ..Nu.Dr... ^^^^ ;hier neues FileEnde 0070: 6708e9b1 51c8fff8 4e752a20 e8b560f2 g...Q...Nu* ..`. 0080: 300461e8 70001035 10003401 b4466616 0.a.p..5..4..Ff. 0090: 61cc6502 700761d2 36017002 61ced441 a.e.p.a.6.p.a..A 00a0: b24767f6 600461c2 3601d444 17333000 .Gg.`.a.6..D.30. 00b0: 51cafffa 33cb00df f1a2b5cb 65804e75 Q...3.......e.Nu 00c0: 09090909 000024b4 4e468280 48e7fffe ......$.NF..H... ^^^^^^^^ alter VirusCode Das alte Virusteil ist im Block geblieben, und wurde vom neuen Fileende nicht ueberschrieben, da nicht der ganze Block benoetigt wird. VT wuerde im BlockITest den Dark Avenger finden. Im FileTest NATUERLICH NICHT !!!! Dies hat NICHTS mit VT zu tun, sondern liegt am Amiga- Betriebssystem. Suche: Sie MUESSEN mit FileTest suchen. Bei BlockKette kann eine Meldung unterbleiben, wenn von den 3 Testlangworten 2 im Block x und 1 LW im Block x+1 liegen. Bitte: Suchen Sie NICHT nach verseuchten Files, solange ein sogenanntes "Nutzprogramm" aktiv ist, das dosopen verbiegt. Hinter diesem Nutzprg koennte der DarkAvenger liegen !!! Folge: Das Nutzprogramm ueberprueft beim Laden das File und stellt fest, dass das File von ihm NICHT zu bearbeiten ist (also z.B. nicht gepackt) und uebergibt an den "OrigDos- Open-Vektor". Nur leider ist der "OrigDosOpen-Vektor" auf die DarkAvenger-Routine verbogen !!!! Ihre Erfolgsaussichten sind NULL !!!!!! Falls VT das "Nutzprogramm" nicht kennt, koennen Sie im Hauptfenster in Tools mit setze OVektoren dosopen zuruecksetzen. Hinweis fuer Szeneprogrammierer: Der Trick mit Hunk_Symbol, Hunk_Name oder ChipKennung verhindert bei diesem Virus- teil den Linkvorgang NICHT (!!!!!), da mit cmpi.w #$3E9,(a0)+ gearbeitet wird. Hinweis: starten Sie BITTE den Druck IMMER aus Prefs. Hier wird das printer.device nach Aufruf auf Linkvirusbefall geprueft. - DARTH VADER File Laenge: 784 Bytes Cool und nach Reset auch OldOpenLib Vermehrung und Schaeden: - sobald OldOpenLib verbogen ist, versucht sich das Prg. im Root-Verzeichnis als $A0 zu vermehren. In die 1.Zeile der Startup-Sequence wird $A00A geschrieben. - sobald in der Zaehlzelle der Wert 6 steht, wird mit Output ausgegeben: VIRUS(V1.1) BY DARTH VADER Fehlerquellen: nicht mit KS2.04 nicht mit FastMem mit 1Mb Chip nur mit setpatch r Kann nur eine startup-sequence bis zur Groesse #1000 richtig veraendern. Empfehlung: loeschen und 1.Zeile in der startup-sequence mit Editor ebenfalls loeschen. Loeschen mit VT getestet: 26.04.92 - DASA anderer Name: ByteWarrior s.o. - DAT '89 nur KS1.2 da DoIoRomEinsprung, KickTag, KickCheckSum immer 7F800, versucht durch Text im BB zu taeuschen: THIS BOOT RESETS ALL VECTORS usw. Sobald die Zaehlzelle $F erreicht, DisplayAlert: DAT '89!!! Fordert NICHT trackdisk.device !!!! Schaeden: schreibt sich in BB zerstoert Block 880 und 881 (bei Disk Root) - DAT89-TAI9-Clone: Text geaendert: 3b2d2d29 2e2c3a2e 542e2e41 2c2c492e ;--).,:.T..A,,I. 2e495800 00000000 00002020 67726170 .IX....... grap - DATA CRIME CCCP-Clone s.o. BB Vermehrung auch mit ROM KS2.04 CCCP-VIRUS in DATA CRIME geaendert (irre Leistung) hat aber bei VT NICHTS genuetzt !!!, also lasst das - DATACRIME-killer BB s.o. ASV-BB Endlich hat es wieder jemand geschafft den ASCII-Text zu aendern .. THIS BOOTBLOCK KNOWS SOME OLD AND NEW VIRUSES usw. Wird von VT weiterhin als ASV erkannt. Pech gehabt !! - DATALOCK BB BB ist codiert Decodierter BB im Speicher immer ab $7F700 Verbogene Vektoren: DoIo, KickTag und im Prg. dann DisplayAlert Fordert trackdisk.device NICHT !!! Ich hab das mit der SyQuest ausprobiert. Wenn Sie KEIN backup vom Rigidbereich Ihrer Festplatte haben, bekommen Sie Probleme. Vermehrung: BB Meldung: soll sich in Abhaengigkeit von einer Zaehlzelle mit Displayalert melden. Version 1.1 : - in Abhaengigkeit von Zaehlzelle: - schreibt BB 2 Bloecke lang kein Problem - schreibt Speicher ab $7FAAD nach $6E000 auf Medium. Bei einer DD-Disk ist das der Rootblock (880). Ich mache Ihnen wenig Hoffnung. Probieren Sie Disksalv2. - schreibt Speicher ab $7FAAD nach $6F400 auf Medium. Bei einer DD-Disk ist das Block 890. Es werden $1000 Bytes = 8 Bloecke !!! geschrieben. Also ist in 890 "DATALOCK" zu lesen und die folgenden Bloecke sind AUCH unbrauchbar, weil sie Speichermuell enthalten. Auszug mit VT-drucke: 0000: 0a444154 414c4f43 4b20312e 31202863 .DATALOCK 1.1 (c 0010: 29206039 34210000 414c4c20 283f2920 ) `94!..ALL (?) 0020: 434f4445 20425920 44454154 48434f52 CODE BY DEATHCOR 0030: 452e0007 fae60000 00004afc 0007fae6 E.........J..... usw. Version 1.2 : - in Abhaengigkeit von Zaehlzelle: - schreibt BB ABER immer $800 also 4 Bloecke. Falls also ein File auf dieser Disk Block 2 u. 3 von Zylinder 0 belegt hat, so wird es immer unbrauchbar. Test mit VT BlockKette ergibt bad Data !!! - schreibt Speicher ab $7FAAD nach $6E000 auf Medium. Bei einer DD-Disk ist das der Rootblock (880). Ich mache Ihnen wenig Hoffnung. Probieren Sie Disksalv2. - berechnet ueber $DFF006 einen Block und schreibt Speicher ab $7FAAD in diesen Block. Da $800 = 4 Bloecke geschrieben wer- den, enthalten die folgenden Bloecke Speichermuell und sind AUCH unbrauchbar. Auszug mit VT-drucke: 0000: 0f3e3e3e 20444154 414c4f43 4b20312e .>>> DATALOCK 1. 0010: 32203c3c 3c206039 34210001 00be1b28 2 <<< `94!.....( 0020: 63292062 79204445 41544843 4f52452e c) by DEATHCORE. 0030: 00000007 fae60000 00004afc 0007fae6 ..........J..... - DATALOCK Installer File Laenge gepackt: 1996 Bytes Laenge entpackt: 2992 Bytes Soll DATALOCK-BB (siehe oben) auf BB schreiben. Selbst keine verbogenen Vektoren. Keine Vermehrung KS1.3: ja KS2.04: bei mir nur wirre Zeichen auf dem Bildschirm. Dringende Empfehlung: loeschen - DEBUGGER-Virus Link Verlaengert ein File um 1088 Bytes KS 1.3 : GURU (wg. z.B. CacheClearU) KS 2.0 : ja Verbogene Vektoren: DosWrite, LoadSeg Nicht resetfest Aktivierung im Speicher: Nur wenn in Dos.lib $4EF9 verwendet wird. Vermehrung: Ein Orig-Teil im 1.Hunk wird ans Fileende gerettet und durch ein Virusteil ersetzt. Das 2.Virusteil haengt auch am File- ende in einem 3F1-Hunk . Bedingungen: File ausfuehrbar 3F3 die ersten 4 Bytes des 1. Hunks enthalten weder $4e75 noch $4afc (wg. Lib) Medium validated #82 #8192 Bloecke frei also keine Disk der 1.Hunk mindestens eine bestimmte Laenge hat VT versucht den Ausbau. Am Ende eines verseuchten Files ist zu lesen: 23c00000 20444542 55474745 52283034 #... DEBUGGER(04 31393934 292043fa 1994) C.. - Deniz Cool SCA-Clone Vermehrung auch mit KS2.04 nur Text geaendert - DERK1 u. 2 BB richtiger Name: MALLANDER VIRUS V1.0 Hinweis: Derk1=Derk2 Beweis fuer Nichtassemblerfreaks: nutzen Sie die Funktion vgl. in VT . Die 1 und 2 in der BB-Checksum ergeben sich aus den abgespeicherten unterschiedlichen DoIo's. Sonst KEINE Unterschiede . - Descriptor-Virus ein Zerstoerungsfile Laenge: 7016 Bytes Namensbegruendung: s.u. Keine verbogenen Vektoren Testet auf mindestens KS2.04 s.u. Sucht nach S:Descriptions.TXT Behauptet Snap zu suchen, holt aber in Wirklichkeit aus c den delete-Befehl und loescht alle Files. Durch die verbrauchte Zeit sollte Ihnen das schon auffallen. Wenn Sie danach das About-Gadget anklicken, erhalten Sie die Ausgabe: Your HD is ... s.u. Das Programm loescht aber GENAUSO ihre Disk . VT bietet nur loeschen an, da die Zerstoerungs-Routine EINGEARBEITET und nicht angelinkt ist. Es soll aber auch ein SAUBERES Descriptor-Programm geben (hab ich nicht). Das echte Programm soll Logos an Files an- haengen. Also wird die Hauptgefahr "nur" die Sysops treffen. Fileauszuege: 6F757263 65006465 6C657465 203A233F ource.delete :#? 20616C6C 20200000 80000064 00000000 all .....d.... ;.... 2F313032 2F446573 63726970 746F7220 /102/Descriptor 56332E30 20627920 436F6C6F 72626F79 V3.0 by Colorboy 206F6620 5375626D 69737369 6F6E206F of Submission o 6E203239 2D4A554E 2D313939 332F6E6F n 29-JUN-1993/no ;.... 6E6F7369 7A650000 533A4465 73637269 nosize..S:Descri 7074696F 6E732E54 58540000 0C0A9B33 ptions.TXT.....3 ;.... 64212057 68617420 61626F75 74206B69 d! What about ki 636B2032 2E303F0A 45697468 65722049 ck 2.0?.Either I ;.... 9B31303B 31304853 6E617020 6973206E .10;10HSnap is n 6F742069 6E206D65 6D6F7279 2E204920 ot in memory. I 74727920 746F206C 6F616420 69742066 try to load it f 726F6D20 432D4469 722E2020 20202020 rom C-Dir. ;.... 5B33316D 0A0A2020 2DF721F7 2D202059 [31m.. -:-!: Y 6F757220 48442069 73206465 6C657465 our HD is delete 64202E2E 2E204861 70707920 42697274 d ... Happy Birt 68646179 202D4D43 492D2F44 43532041 hday -MCI-/DCS A 48484148 41484148 41484148 4120202D HHAHAHAHAHAHA - Hinweis 01.08.93: Das Zerstoerungsteil wird auch als zsped.lha weiter- gegeben. Laenge: 20817 Bytes (allerdings mit mehreren Boxenhinweisen). Das Virusteil nennt sich dort SPEEDER.EXE (Laenge: 7016). Also nur ein anderer Name. Die Doc ver- sucht zu verwirren, indem sie die Funktion des Programms falsch beschreibt. SPEEDER.DOC: Just RUn Speeder.exe From Ram And Watch YER CPS CLIMB On You Next Transfer Mine Increased from 1600 to 1800 On normal 14.4 HST SAMIR ZENITH LEADER Watch For Our releases!!!!! - Destructor Cold im BB sichtbar: Destructor_Virus v1.2 Written by Aldo Reset. (c) M.C.T. Ltd 1990- Everything is under control ! (eh!eh!) keine Vermehrungsroutine gefunden zerstoert beim naechsten Reset ueber Cold eine nicht schreibgeschuetzte Disk indem jeder 4. Track ueberschrieben wird. - DETLEF-Virus BB KickTag, KickCheckSum, DoIo Namensbegruendung: siehe unten Fordert trackdisk.device NICHT BB wird in den Speicher decodiert mit: add.b d1,(a0)+ Jeder neu geschriebene Virus-BB wird neu codiert in Abhaengig- keit von $DFF00A . In Abhaengigkeit von $DFF006 wird mit DisplayAlert ein Text ausgegeben. Dazu wird ein Virusteil nach $73000 kopiert und mit add.b #$ad,(a0)+ decodiert. AlertText: Guten Tag. » Ich heiße DETLEF « Ich werde Sie in der nächsten Zeit etwas nerven. Gemacht wurde ich von · M A X . Vermehrung und Schaden: BB - Devil_V8_B.Door anderer Name:SwiftWare Laenge ungepackt: 44224 Ein Hunk wurde vor das Originalfile gehaengt, um das Sysop-Pass- word auslesen zu koennen und in einem neuen File abzulegen. Ein Teil des 1.Hunks decodiert mit neg.b (a0)+ ergibt: 6262 bb 733A6E6F 6465302F 6E6F6361 6C6C6572 s:node0/nocaller 73617433 30300062 62733A75 7365722E sat300.bbs:user. 64617461 00 data. Da das Teil sich nicht vermehrt, handelt es sich nach der Definition nicht um einen Virus. Namensbegruendung: Eine Gruppe (oder Einzelperson) soll fuer diese BBS-Einbrueche verantwortlich sein. Kann ich nicht nach- pruefen. VT bietet den Ausbau an. - Devil_11_B.Door Drei Files sind mir bekannt, vor die das Teil gehaengt wurde: - DLog V1.8 Laenge verseucht: 23452 - ULog V1.8 Laenge verseucht: 23452 - MsgTop V1.0 Laenge verseucht,aber einmal entpackt: 17884 2x gepackt: 13548 Alle drei Prg.e verseucht auf A4000 = GURU 4 BackDoor-Teil ausgebaut, aber ohne BBS: = Fehler -1 Wenn Sie das BackDoorTeil entpacken, finden Sie gleich am An- fang: 000003e9 0000093d 4efa09ac 42425300 .......=N...BBS. 44483000 44483100 4844303a 00484431 DH0.DH1.HD0:.HD1 3a004448 30004448 31004844 303a0048 :.DH0.DH1.HD0:.H 44313a00 4242533a 00444830 3a424253 D1:.BBS:.DH0:BBS 2f004448 313a4242 532f0048 44303a42 /.DH1:BBS/.HD0:B 42532f00 4844313a 4242532f 00444830 BS/.HD1:BBS/.DH0 3a004448 313a0048 44303a00 4844313a :.DH1:.HD0:.HD1: Mit SnoopDos koennen Sie das nachvollziehen. Schaden: (Die folgende Aussage wurde uebernommen) Sucht nach Files mit Laenge 1972 Bytes und aendert sie so ab, dass ab Level 10 Account edit und Sysop download moeglich wird. Da das Teil sich nicht vermehrt, handelt es sich nach der Definition nicht um einen Virus. Namensbegruendung: Eine Gruppe (oder Einzelperson) soll fuer diese BBS-Einbrueche verantwortlich sein. Kann ich nicht nach- pruefen. VT bietet den Ausbau an. - Died siehe bei PP-Bomb - DIGITAL AGE = Rude Xerox = Forpib-Clone nur Text geaendert - DIGITAL-DREAM-Inst. File anderer Name: Jeffkiller V2.67 Laenge gepackt : 6496 Bytes Laenge entpackt: 9960 Bytes Man erkennt, dass es sich um ein Hunklab-File handelt. - Ein Virusinstall-Teil fuer den Speicher. - Ein Bildanzeigeteil mit Bilddaten - Ein Code um Jeffkiller.info auf die Disk zu schreiben. Jeffkiller.info Laenge: 54 Bytes 4a656666 76697275 73206f6e 20446973 Jeffvirus on Dis 6b207761 73206b69 6c6c6564 2e2e2e0a k was killed.... 6279204a 6566666b 696c6c65 72205632 by Jeffkiller V2 2e363720 0a000000 00000000 00000000 .67 ............ Das Teil behauptet im Bild ein Jeff-Killer zu sein. In Wirk- lichkeit wird im Speicher das BB-Virusteil installiert. Wenn Sie mit der Maustaste einen Suchvorgang ausloesen, wird auf die Disk auch ein Textfile s.o. geschrieben. VT bietet loeschen an. - DIGITAL-DREAM-Virus BB (0-3) Im Speicher immer ab $7f400 Verbogene Vektoren: Supervisor, DoIo, KickTag, KickChecksum KS1.3 : ja KS2.04: ja 68030: nein Fordert trackdisk.device NICHT Namensbegruendung: im decodierten BB ist zu lesen 203e3e44 49474954 414c2044 5245414d >>DIGITAL DREAM 3c3c2000 6279204d 6178206f 66205374 << .by Max of St 61724c69 67687400 48e7fffe 2c790000 arLight.H...,y.. Ablauf: - rettet Orig.BB - Haengt eigenes Virusteil davor. - Codiert BB-Virus mit eor.b x,(a0)+ neu. (x abhaengig von $DFF006) - Schreibt 4 Bloecke zurueck. D.h. ein File das an Block 2 beginnt, wird zerstoert. Sie koennen die Reste des Files nur noch loeschen. VT bietet an, den Orig.BB zu suchen (O-BB) und kann ihn wieder installieren. - DIGITAL EMOTIONS Cool, im Prg. DoIo und zurueck, immer $7ec00 im BB immer sichtbar: *** DIGITAL EMOTIONS *** je nach Zaehlerstand - wird eigener BB geschrieben oder - Track 0 mit 'VIRUS ' beschrieben. Folge: keine Dos-Disk Textausgabe (decodiert mit -1) ueber DisplayAlert: KickStart ROM Corrupted at $c00276 - DirtyTricks richtiger Name Incognito (das VirusPrg speichert am Ende des BB`s Tabellen mit ab, die sich nach Speicherlage und Konfiguration des Amiga aendern. Beim Booten des Viruses werden die Tabellen neu angelegt !!!) - DISASTER MASTER V2 ( cls * ) 1740 Bytes eigenstaendiges Prg. fuer startup-sequence KickTag, KickCheck im Prg. DoIo und wieder zurueck Cool und Cold werden geloescht Entfernung: 1.Zeile in startup. loeschen cls in DfX:c loeschen Erstellungsprogramm: Intro-Maker von T.C.R. Laenge: 10624 Bytes (war vor der Entdeckung z.B. auf Franz 47) - DISGUST BB Cool $7EDDE, DoIo $7ECA4 im Speicher immer $7EC00 KS2.04: GURU nach RESET Fordert trackdisk.device NICHT Schaden und Vermehrung: ueber BB Versucht durch im BB lesbaren Text zu taeuschen: 003e2041 6d696761 .> Amiga 20353030 20557469 6c697479 2020426f 500 Utility Bo 6f74426c 6f636b20 56310030 20546869 otBlock V1.0 Thi 73206973 204e4f20 56697275 73203c00 s is NO Virus <. Namensbegruendung: Decodiert mit : not.b (a1) eori.b #$28,(a1)+ steht im Speicher: 20546869 Thi 73206973 20746865 20444953 47555354 s is the DISGUST 202d2056 69727573 20627920 4d617820 - Virus by Max - Disk Speed Check V1.01ß Virus anderer Name: DSC101 s.u. - Disk-Doktors (KickV1.2) Die angeblichen Mutanten unterscheiden sich in $4 (Pruefsumme) und von $390-$3A8 (Variablenablage = bei jedem Reset anders) - Disk-Herpes Cool, im Prg. DoIo, im Speicher immer ab $7ec00 wird haeufig mit Phantasmumble verwechselt, Fastmem ja Vermehrung: ueber BB Schaden: schreibt auf Track 80 (Root) Speicherinhalt ab $60000. Folge: Disk BAD Graphikroutine: Deutschlandfahne + Text (auch im BB sichtbar) --- Hello Computerfreak --- You've got now your first VIRUS ** D i s k - H e r p e s ** Many Disks are infected !! Written by >tshteopghraanptha< c 27.07.1987 in Berlin - Disk.info Laenge: 370 Bytes KEINE Vermehrung Ein OriginalWB1.3-Icon wurde in der Struktur geaendert. (Text eingebaut z.B. This is a little present for all Lamers abroad ). Sobald Sie diese Disk einlegen und es muesste das Disk-Icon auf der WB angezeigt werden, stuerzt der Rechner ab. Haben Sie die Startup-Sequence im Cli abgebrochen, so muss kein Icon dargestellt werden und deshalb koennen Sie mit dieser Disk ohne Probleme arbeiten. AbHilfe: Ersetzen Sie Disk.info . Herkunft: unbekannt (Disk-Packer ???) - DISK-KILLER V1.0 File Laenge ungepackt: 1368 Bytes Unter welchem Filenamen das Programm weitergegeben wird, ist mir unbekannt. (wahrscheinlich disktest) Namensbegruendung: im File steht uncodiert: 20204449 534b2d4b 494c4c45 52205631 DISK-KILLER V1 2e302020 200a .0 . Nach dem Fileaufruf wird folgender Text ausgegeben: " DISK-KILLER V1.0 ",10 "HEY YOU IN FRONT OF THE SCREEN !",10 "YOU ARE A LAMER !!!! HE HE HE ",10 "WHY ????",10 "- BECAUSE YOU HAVE A VIRUS !!",10 "HE HE HE ",10 "THIS WAS DONE IN TEN MINUTES",10 "BY THE MEGA-MIGHTY MAX ",10 "BYE BYE DISK !!",10 "GREETS ARE GOING TO:",10 "> LAMER EXTERMINATOR <",10 "SUFFER...",10 Danach beginnt SOFORT die Zerstoerungsarbeit in ALLEN Disk- Laufwerken. Die Disketten sind danach WERTLOS. Sie muessen sie neu formatieren. Das Virusteil ist also NICHT im Speicher zu finden, sondern nur beim Filetest. Von der Definition her handelt es sich nicht um ein Virus-Programm, da keine Ver- mehrung angestrebt wird. VT getestet: 21.11.92 Bitte ueber- pruefen Sie nach dem Loeschen des Files auch die startup- sequence ihrer Disk. siehe auch: XaCa lummin V1.5 = Clone - Disk-Terminator Virus BB SCA-Clone siehe unten Namensbegruendung: im BB ist zu lesen 20202044 69736b2d 5465726d 696e6174 Disk-Terminat 6f722056 69727573 20202020 2020d2aa or Virus .. Anfaengerprogrammierung: graphics.library liegt an ungerader Adresse. GURU ist sicher fe018000 00ffffff fe0428ff fafbd367 ..........(....g 72617068 6963732e 6c696272 61727900 raphics.library. ^ Weiterer Auszug: 43fa lea 743(PC)(=$a030f),A1 2c79 move.l $000004,A6 4eae jsr -96(A6) 2040 move.l D0,A0 2068 move.l 22(A0),A0 7000 moveq #$00,D0 4e75 rts doslibname wird an ungerader Adresse gesucht, ist aber an ge- rader Adresse. Also wird nach Name gesucht, der mit 0 beginnt. (siehe ^ ) GURU ist sicher. Verantwortlich zeichnet SLASH - Disktroyer V1.0 File Laenge ungepackt: 804 Bytes AllocMem auch mit KS2.04 Versucht durch Loeschen des Cli-Fensters zu taeuschen. Ich vermute deshalb, dass das File als Cls-Befehl getarnt wird. Im File zu lesen: Disktroyer V1.0 usw. Keine Vermehrungsroutine Schaeden, wenn: - allocmem angesprungen wird und - in der Zaehlzelle der Wert $96 steht - Disk im Laufwerk liegt - Disk nicht schreibgeschuetzt ist dann: - Kopfstep (Zerstoerung der Disk(s)) alle Laufwerke (Routinen stehen nach meiner Meinung genau so in einem bekannten Buch !!!!!) - DisplayAlert: Disktroyer V1.0 usw. Empfehlung: File loeschen (VT) und startup-sequence ueber- pruefen . - Disktroyer V2.0 File Laenge ungepackt: 812 Bytes GetMsg auch mit KS2.04 Versucht durch Loeschen des Cli-Fensters zu taeuschen. Ich vermute deshalb, dass das File als Cls-Befehl getarnt wird. Im File zu lesen: 01041444 69736b74 726f7965 72205632 ...Disktroyer V2 2e300001 00c82828 77292061 6e6420a9 .0....((w) and . 20313939 31206279 20746865 20706f77 1991 by the pow 65726675 6c200001 01003c54 68652046 erful ....<The F 616e6174 69632043 72657720 00010098 anatic Crew .... usw. ..... Keine Vermehrungsroutine Schaeden, wenn: - GetMsg angesprungen wird und - in der Zaehlzelle der Wert $222222 steht (Wert wird zuegig erreicht) - Disk im Laufwerk liegt - Disk nicht schreibgeschuetzt ist dann: - Kopfstep (Zerstoerung der Disk(s)) alle Laufwerke (Routinen stehen nach meiner Meinung genau so in einem bekannten Buch !!!!!) - DisplayAlert: Disktroyer V2.0 usw. Empfehlung: File loeschen (VT) und startup-sequence ueber- pruefen . - DiskVal1234 Disk-Validator Laenge:1848 Bytes Grundgeruest ist der SADDAM-Disk-Validator (siehe unten) Aenderungen: nicht mehr codiert als Disk-Validator (lesbar am Fileende z.B. strap, mycon.write usw ) Veraendert Bloecke die mit 8 beginnen: Schreibt in diese Bloecke nach $5a 1234 und ab $64 dann 66x 4e71 (NOP). (Also nicht mehr Austausch von 8 mit IRAK) Rufen Sie dann ein solches File auf, so stuerzt der Rechner ab, da ja wichtiger PrgCode mit NOPs ueberschrieben wurde (bei mir wird der Bildschirm gelbbraun). So leid es mir tut, diese Files koennen NICHT gerettet wer- den. VT bietet loeschen an. Es kann also sein, dass ihre ganze Disk unbrauchbar wird. - DIVINA EXTERMINATOR I Cool, DoIo, Inter.5 und $64. Im Prg dann noch $68 und $6c. Ueberschreibt SetPatchListe ab $C0. Codiert BB neu mit Wert aus $DFF006 (steht dann im BB $3F6) nach eor.w d0,d1 ist im Speicher zu lesen: VIRGO PRESENTS DIVINA EXTERMINATOR I Versucht einen sauberen OrigBB vorzutaeuschen. Schaeden und Vermehrung: BB nach 3 Vermehrungen: beginnt die K-Taste abzufragen und bis 10 in einer Zaehlzelle abzulegen. Dann wird nach $4 (ExecBase- Zeiger) der Wert 0 geschrieben = Absturz Ursprung: -p-turbo.dms - DIVINA II s.o. DIVINA EXTERMINATOR I Das Decodierwort in $3F6 ist anders. Grund s.o. (schafft endlich die Brainfiles ab !!! und disassembliert den VirenCode sauber und vollstaendig) - DLog V1.8 siehe oben Devil_11_B.Door - DM-Trash File siehe bei ZAPA-B.Door - DMS213-Trojan Zerstoerungsfile Laenge ungepackt: 92440 Bytes Keine verbogenen Vektoren Die DMS-Version 2.13 gibt es noch nicht (Stand: 15.06.94) Zerstoerung: Vom Filebeginn wird mit JMP in eine Execute-Routine am File- ende gesprungen, die eine Formatierung von dh0: ausfuehren soll. VT bietet Ausbau an (Laenge dann: 92208 Bytes). Es duerfte sich hierbei um DMS2.01 handeln. Im entstehenden File bleiben noch einige falsche Textstellen zurueck. Da es inzwischen (Stand: 15.06.94) neuere DMS-Versionen geben soll, waere es mir lieber Sie loeschen das File ganz und spielen eine saubere Version neu auf. Danke Im verseuchten File ist zu lesen: 646f732e 6c696272 61727900 24564552 dos.library.$VER 3a204465 76696365 2d4d6173 6865722d : Device-Masher- 53797374 656d2076 322e3133 2039342d System v2.13 94- 30362d30 31004e55 ffe448e7 37322648 06-01.NU..H.72&H ;........ 20534365 4e452069 53204c61 4d45202d SCeNE iS LaME - 20536947 4e654420 42792052 6f414453 SiGNeD By RoADS 54615252 2f4c7344 20202020 20202020 TaRR/LsD 646f732e 6c696272 61727900 666f726d dos.library.form 61742064 72697665 20646830 3a206e61 at drive dh0: na 6d652046 75434b6f 46462066 66732071 me FuCKoFF ffs q 7569636b 0a8c018d 000003ec 00000003 uick............ Eine echte Meisterleistung !!!! - DOOR_BELLS-Virus ?? File Laenge ungepackt: 15308 Bytes anderer Name: MST-VEC Virus, Rel 01.28 Virus Keine verbogenen Vektoren. Bei mir nicht lauffaehig, da eine rexxplslib.library gefordert wird, die ich nicht habe. Vermutlich sollen verschiedene LWe schnellformatiert werden. Einen aehnlichen Vorgang finden Sie auch im MultiChat-Trojan. (siehe unten) Fileauszug: 636f7079 203e4e49 4c3a2073 79733a73 copy >NIL: sys:s 79737465 6d2f666f 726d6174 2072616d ystem/format ram 3a646400 00060542 72616d3a 64640045 :dd....Bram:dd.E 05387261 6d3a6464 203e4e49 4c3a2044 .8ram:dd >NIL: D 52495645 20737973 3a204e41 4d45203d RIVE sys: NAME = 444f4f52 5f42454c 4c533d20 4e4f4943 DOOR_BELLS= NOIC 4f4e5320 44495243 41434845 20515549 ONS DIRCACHE QUI 434b2046 46532000 004405b5 72616d3a CK FFS ..D..ram: 6464203e 4e494c3a 20445249 56452064 dd >NIL: DRIVE d 68303a20 4e414d45 203d444f 4f525f42 h0: NAME =DOOR_B 454c4c53 3d204e4f 49434f4e 53204449 ELLS= NOICONS DI 52434143 48452051 5549434b 20464653 RCACHE QUICK FFS .usw ..... - DOpus-Virus Filename:dopusrt Laenge ungepackt: 6408 Bytes Bleibt NICHT im Speicher. Von der Definition kein Virus, da keine Vermehrung. Einbruchswerkzeug gegen Mailboxen. Veraendert zwei Files und fuehrt dann das OrigPrg aus. Empfehlung: loeschen VT erkennt File: 15.01.93 Im File ist zu lesen: 61727900 00626273 3A757365 722E6461 ary..bbs:user.da 74610000 00000000 00000000 00000000 ta.............. ;...... 00000000 00000000 6262733A 75736572 ........bbs:user 2E6B6579 73000000 00000000 00000000 .keys........... ;...... 00000000 00000000 00000000 416E6479 ............Andy 2F446563 61646500 00000000 00000000 /Decade......... 00000000 00000000 00000031 39393200 ...........1992. 00000000 3E2D442D 452D432D 412D442D ....>-D-E-C-A-D- 452D3C00 00000000 00000000 00000000 E-<............. 00003034 302F3735 35333637 32000000 ..040/7553672... Nachtrag 04.03.93: Es ist ein 2. File aufgetaucht, an das dieses gleiche Teil angelinkt ist. Auch dieses File ge- hoert zu DOpus. CRC Laenge ungepackt: 20716 Bytes Nachtrag 06.03.93: Da jetzt 2 Testfiles vorhanden sind, wurde eine Ausbauroutine eingebaut. Da diese Routine nur an zwei Files getestet werden kann, koennte sie wackeln. Fertigen Sie bitte deshalb vor dem Ausbauversuch UNBEDINGT eine Kopie des verseuchten Files an. Danke - DOSSPEED (Neuseeland) richtiger Name: Revenge of the Lamer - Dotty-Virus immer $7F000 KickTag, KickCheckSum Im Programm: DoIo, Vec5 Fordert trackdisk.device NICHT Vermehrung: BB Weitere Schaeden: Modifiziert PRIVAT-intuition-struktur. - Dotty-MAFIA-Virus: Text geaendert und falscher Sprung. 4d202041 20204620 20492041 2020202e M A F I A . - Dotty-MAFIA-Inst. gepackt: 1360 Bytes entpackt: 1928 Bytes Ein 3c(a7)-Link File (s.o.), das einen Dotty-MAFIA.BB im Speicher verankern soll. Das Teil war an ALFaus (richtig, das Original-Programm liegt auf der VT-Disk im Unterver- zeichnis Utility) gelinkt. VT bietet nur loeschen an. Ein Ausbau lohnt nicht. Da bei der Verankerung im Speicher, absolute Speicheradressen, die bei vielen Rechnern nicht belegt sind, verwendet werden, erscheint haeufig der GURU. - DriveInfo V0.91 by ESP trojanisches Pferd, Laenge: 1704 Bytes (PP-Data und ein decrunch-header davor) entpackt: Laenge: 1740 Bytes Im File ist dann z.B. zu lesen: EAST SIDE POWER 91/92 KS2.04: NEIN Findet dann KEIN Laufwerk und meldet sich mit Requester. Nach kurzer Zeit dann GURU beim Arbeiten. Versucht unter KS1.3 zu taeuschen, indem Laufwerksdaten (Drive, Volume usw.) ausgegeben werden. Verhindert hierbei AutoRequest. Installiert mit addintserver "Install yeah!" . Wird nach Crime!++ - Installierung mit Rem- IntServer wieder entfernt. Interrupt = 5 . Installiert nach etwa EINER Minute (das ist echt neu) Crime!++ im Speicher (Cool, wait usw. s.o.). Empfehlung: sofort loeschen siehe auch : Crime!++ - DSC101-Virus Zerstoerungsfile gegen BBS: Ungepackt Laenge: 33152 Bytes . VT kennt nur die ungepackte Version, weil mir das Prg. ungepackt zugeschickt wurde. Von der Definition KEIN Virus, da keine Vermehrungsroutine vorhanden. Grosse Teile des Prg.s bestehen nur aus Null-Bytes. Ein Teil des wirklichen Prg.s ist codiert mit: not.b (a0)+ Das Prg. bleibt NICHT im Speicher Das Prg versucht durch eine Cli-Ausgabe zu taeuschen: Disk Speed Check V1.01ß - © Micro-Tech Softwares® 1992 Programming by Alan Forslake. (1.10.1992) Usage : DSC -mode <drive>, Where mode is : 1=disk speed check 2=scsi speed test Didnt` found a supported SCSI drive, sorry! Try to contact Alan Forslake on :223/22/32 in@sf@com In Wirklichkeit wird versucht (aber wirklich nur versucht) folgende Teile zu loeschen: bbs:user.keys bbs:user.data sys:s/startup-sequence s:acp.startup Empfehlung: einfach loeschen VT Fileerkennung getestet: 19.10.92 - DTL-Virus BB Micro-System-Clone s.u. 51c8ffee 4ef90007 f7944454 4c214454 Q...N.....DTL!DT 4c201d5a 19594f55 52204449 534b2049 L .Z.YOUR DISK I 5320494e 46454354 45442042 59201d65 S INFECTED BY .e - DUMDUM BB auch mit KS2.04 immer ab $7FA00 Cool, im Prg DoIo, $64, $80 (Hallo Enforcer-Freunde) Text im BB lesbar: You are the owner of a DUMDUM virus please unprotect disk disk to kill! (machen Sie das BITTE NICHT) Textausgabe mit DisplayAlert Schaeden und Vermehrung: - Vermehrung ueber BB oder: - Format Disk - DUMDUM-Clone: DisplayAlert-Text geaendert. - DUMDUM-TAI5-Clone Text geaendert: 00000013 2e2e2e2e 2e2c3b2d 3a3a542e .........,;-::T. 412e492e 203b2e2e 292e2e2e 2e2e2e2e A.I. ;..)....... - DUMDUM-Clone-Inst. gepackt: 1332 Bytes entpackt: 1916 Bytes Ein 3c(a7)-Link File (s.o.), das einen DUMDUM-Clone.BB im Speicher verankern soll. Das Teil war an 6Vekaus (richtig, das Original-Programm liegt auf der VT-Disk im Unterver- zeichnis Utility) gelinkt. VT bietet nur loeschen an. Ein Ausbau lohnt nicht. Die Dummheit zeigt sich daran, dass ein BB im Speicher verankert wird und anschliessend mit dem Orig-6Vekaus-Aufruf die sechs wichtigsten Vektoren wieder geloescht werden. - DUM2DUM-Virus BB Block 0-5 = 6 Bloecke Cool, DoIo KS1.3 : Ja KS2.04: Ja (Vermehrung) Versucht durch Anzeige eines sauberen BBs zu taeuschen. Namensbegruendung: Im Speicher ist zu lesen: 646f732e 6c696272 61727900 61000000 dos.library.a... 00000000 00004455 4d3c4949 3e44554d ......DUM<II>DUM Schaden 1: Mit dem verbogenen DoIo findet die Vermehrung statt. Files, die ab Block 2 liegen, werden ueberschrieben und sind NICHT zu retten. VT wird dann bei Block-Kette Bad-T.Data ausgeben, sobald ein File Block 2-5 belegt hatte. Schaden 2: Ab $6E000 werden 2 Zeiger geaendert. Dies fuehrt haeufig zu Bitmap ungueltig. $6E000 ist nur bei DD-Disk der Rootblock. Vorher: Nachher: 130: 000000f2 0000018d ........ 130: 000000f2 0000018d ........ 138: ffffffff 00000332 .......2 138: 00000000 00000332 .......2 ^^^^^^^^ ^^^^^^^^ 140: 00000000 00000000 ........ 140: 00000000 00000000 ........ ;....... 198: 00000000 00000000 ........ 198: 00000000 00000000 ........ 1a0: 00000000 000053b9 ......S. 1a0: ffffffff 000053b9 ......S. ^^^^^^^^ ^^^^^^^^ Es wird also bei naechster Gelegenheit der Disk-Validator aktiv, der aber nichts mit dem Virusteil zu tun hat. Schaden 3: Sobald eine Zaehlzelle den Wert $50 erreicht hat, wird in der dos.lib ein Wert mit cmpi.w #$4EF9,(a0) getestet. Stimmt das Ergebnis nicht, so wird dosopen, dosread und doswrite verbogen. Sobald dieser Virusteil aktiviert ist, treten haeufig GURUS auf. Aber es reicht leider immer fuer die Zerstoerung einiger Files. Diese Files koennen leider NICHT gerettet werden und werden von VT auch nicht erkannt. Der geschriebene Muell ist auch von $DFF007 abhaengig. Beispiele: Vorher: Nachher: 000: 000003f3 00000000 ........ 000: 000003f3 00000000 ........ 008: 00000002 00000000 ........ 008: 00000002 00000000 ........ 010: 00000001 0000009e ........ 010: 2e2e2e2e 2e2e2e2e ........ 018: 00003246 000003e9 ..2F.... 018: 2e2e2e2e 2e2e2e2e ........ 020: 0000009e 487a01c8 ....Hz.. 020: 2e2e2e2e 2e2e2e2e ........ 028: 48e7fffe 49fafff2 H...I... 028: 2e2e2e2e 2e2e2e2e ........ 030: 2054d1c8 d1c85848 T....XH 030: 2054d1c8 d1c85848 T....XH 038: 2648504b 2c780004 &HPK,x.. 038: 2648504b 2c780004 &HPK,x.. Vorher: Nachher: 000: 000003f3 00000000 ........ 000: 00000000 00000000 ........ 008: 00000009 00000000 ........ 008: 00000000 00000000 ........ 010: 00000008 0000001e ........ 010: 00000000 00000000 ........ 018: 00002274 00000c73 .."t...s 018: 00000000 00000000 ........ 020: 00000520 00001542 ... ...B 020: 00000000 00000000 ........ 028: 00000500 00000080 ........ 028: 00000000 00000000 ........ 030: 000021a9 0000123d ..!....= 030: 00000000 00000000 ........ 038: 000003e9 0000001e ........ 038: 00000000 00000000 ........ - East-Star-Virus BB NorthStar-Clone Immer ab $7EC00, Cool im Prg. DoIo Fordert trackdisk.device NICHT Namensbegruendung: 00784561 73742d20 53746172 00020002 .xEast- Star.... Weitere im BB lesbare Texte: 00500c4e 6f205669 72757320 6973206f .P.No Virus is o 6e207468 65204469 736b2052 45442042 n the Disk RED B 55524e49 4e472042 49475354 41520000 URNING BIGSTAR.. usw. - East-Star-Install File Laenge ungepackt: 8340 Bytes An das Prg. MComm wurde mit Hunklab ein East-Star-BB mit Install-Routine angelinkt. In diesem angelinkten Teil ist "trackdisk.device" zu lesen. VT bietet Ausbau an. - EASY-E-BBS-Trojan File verseucht Laenge: 38860 Bytes Teil ausgebaut Laenge: 38416 Bytes Verlaengerung also 444 Bytes Keine verbogenen Vektoren Im File ist zu lesen: 00000000 00000000 00000000 00004541 ..............EA 53592d45 00006468 303a6262 732f7573 SY-E..dh0:bbs/us 65722e64 61746100 00000000 000003f2 er.data......... Schaden: Einbruchswerkzeug fuer BBS Nach dem Ausbau mit VT sollte ein Paradox Starfield-Intro uebrigbleiben. Lauffaehigkeit A2000 68030 ja A4000/40 nein Nachtrag 10.05.94: Ein anderes AntiVirusProgramm erkennt auch noch NACH dem erfolgreichen Ausbau mit VT den EASY-Trojan. Ich nehme an, dass diese Fehlerkennung im naechsten update (Juni 94) be- hoben sein wird. - ELECTROVI.Virus BB FORPIB-Clone siehe unten Nur Text geaendert: 454c4543 54524f2d 56495349 4f4e2020 ELECTRO-VISION 2020414e 54492d56 49525553 20202020 ANTI-VIRUS 46312d31 31202020 20524f52 52592020 F1-11 RORRY - ELENI-Clock-Virus BB Im BB ist zu lesen: 202a454c 454e492a 20000000 00000000 *ELENI* ....... KS 1.3: nein KS 2.0: ja Fordert trackdisk.device NICHT Im Speicher immer ab $7F144 Verbogene Vektoren: Cool $7F296, DoIo $7F2DA, SumKickData $7F32A Vermehrung: Als BB Dabei wird zuerst der Orig-BB eingelesen und nach einem LW ( $4EAEFE38 = jsr -$1c8(a6) ) im BB gesucht. In den Original Commodore-BBen kommt es nicht vor. Falls dieses LW gefunden wird, so wird zuerst der Original-BB auf die Disk nach $D9400 = Bl 1738/39 gerettet. VT sucht beim Test (Gadget O-BB) nach dem ausgelagerten BB. Ein File das an dieser Stelle liegt, ist natuerlich ueberschrieben und NICHT mehr zu retten. Nach einem Reset und dem Start von dieser Disk versucht das BB-Virusteil den Orig-BB nach $7A000 zu laden und falls ge- funden nach dem Verbiegen der Vektoren mit JMP $7A00C auszu- fuehren. cmpi.b #$37,$BFEC01 Test auf li.Alt-Taste = Fluchttaste Schaeden: Es werden mehrere Hardware-Register veraendert. (z.B. das Datum aendert sich) Hinweis: beim A2000A liegt die Uhr aber bei $D80000 . Beispiele: Falls $DC002D groesser als 4 ist und in $60000 1 steht, wird im Cli mehrmals *ELENI* ausgegeben. Falls $DC002D #1 oder $BFE901 #9 sind, springt das Prg. zu einer Endlosschleife mit Kopfstep und LED-Blinken. Es hilft nur ein Reset. Bitte booten Sie von einer sauberen Disk und vergessen Sie nicht, die Uhr neu zu stellen, falls eine Hardware-Uhr vor- handen ist. Hinweis 1: Das VirusTeil belegt Speicher ohne AllocMem. Andere Prge. z.B. VT koennen bei wenig Speicher das Virusteil ueberschrei- ben. Hinweis 2: Es wird IMMER ein DOS0-Virus-BB geschrieben. Auf einer Disk mit FFS-Struktur kann nach dem naechsten Schreibzugriff, die Disk-Struktur beschaedigt sein. Anzeichen dafuer: VT meldet beim Filetest IMMER bad Data . Versuchen Sie dann bitte einen DOS1-BB (FastFileSystem) oder gar DOS5-BB aufzuspielen. Manchmal koennen Sie noch etwas retten. - ELENI-Wirus BB (ja W statt V) siehe unten bei Mount-Virus Bitte verwechseln Sie diesen BB nicht mit dem ELENI-Clock-Virus - EM-Wurm (zielgerichtet gegen EUROMAIL) nicht resetfest immer: schreibt in startup-sequence $A0,$0A (1.Zeile) eigener Process: clipboard.device schreibt in c: $A0, Laenge: 3888 Bytes (ASCII-Text vorhanden) schreibt in 5.Byte von c:protect (falls vorhanden) $01 Folge: protect wird unbrauchbar Zerstoerungsroutine: Wird nur ausgefuehrt wenn Verzeichnis EM, EUROMAIL oder EUROSYS vorhanden ist. Ueberschreibt alle Files in obengenannten Schubladen mit Speicherinhalt ab MsgPort. In zerstoerten Files ist ab $BC clipboard.device zu lesen. Dann wird mit dosdelay $259A eine 3 Minuten Pause eingelegt. Nach dieser Pause wird die Zerstoerungsroutine wieder in der Schleife aufgerufen. Ursprungsprogramm: QuickInt PP-crunched Laenge: 3196 Bytes Mein VT loescht den Process n i c h t, sondern fuellt ihn mit NOP's. Einige Programmteile, z.B. Autorequester, con usw. konnten nicht getestet werden, weil ich EUROMAIL nicht besitze. Diese Teile werden ebenfalls mit NOP's ueberschrieben. Falls des- halb bei aktivem EUROMAIL-Programm ein GURU erscheint, bitte ich um Hilfestellung. Danke !! - Ethik-Virus siehe bei SHIT ( ETIC ) Unter diesem Namen wurde mir ein BB zugeschickt. Aber auch im Speicher war dieser Name nicht nachvollziehbar. - EXCREMENT-Virus BB Cool: $7F47A DoIo: $7F4C2 immer ab: $7F400 KS2.06: GURU B nach Reset Fordert trackdisk.device NICHT Namensbegruendung: im BB ist zu lesen: 61727900 45584352 454d454e 54002d7c ary.EXCREMENT.-. Vermehrung: BB linke Maustaste= Abbruch und Cool-Vektor loeschen Test auf DOS-Kennung Test ob schon verseucht mit cmpi.l #"EXCR",$54(a4) Schaeden: Sobald eine Zaehlzelle den Wert $A erreicht hat, blinkt die LED. Mehr ist bei mir nicht passiert. Clones: Sentinel = USSR 492 - EXCREMENT-Installer File Laenge: 1180 Bytes VT erkennt EXCREMENT-Virus. Ein File das aus dem BB (s.o.) und ein paar Speicher-Install- Bytes besteht. Das Teil kann sich dann nur als BB und NICHT als File vermehren. Einfach loeschen. - Excreminator 1 File Laenge: 2392 Bytes auch KS2.04 KEINE verbogenen Vektoren KEINE Vermehrungsroutine KEINE Schreibroutine fuer Startup-Seq Versucht durch angeblichen Virustest zu taeuschen. Im File zu lesen: The Lame Trio usw. verraet sich durch System-Requester: Write-pro.... Schaeden: Versucht in libs Exec.library (4 Bytes) als Zaehlerfile (Startwert=5) anzulegen. Verringert dann bei jedem Aufruf den Zaehler. Bei 0 KopfStep ALLE Laufwerke Folge: Not a DOS Disk und mit DisplayAlert: LAME SUCKER usw... danach RESET Empfehlung: beide Files sofort loeschen und gegebenenfalls Startup-Seq. ueberpruefen. - EXECUTORS BB Cool $7EC74 DoIo $7ED4A im Speicher immer $7EC00 Herpes-Clone KS2.04: ja Vergleiche auch: Kimble.BB-Virus, CreepingEEL.BB-Virus Fordert trackdisk.device NICHT Namensbegruendung: s.u. Vermehrung: ueber BB Schaden: Zerstoert Track ab $6E000 (Bei DD-Disk = Root) Sobald eine Zaehlzelle den Wert 5 erreicht hat, wird ein Text ausgegeben: Hintergrund: Deutschland-Fahne HI ! THE EXECUTORS ARE HERE Some of your fucking Disks are infected with the Virus V1 Greets are going to : M A X O F S T A R L I G H T Lamer....FUCK OFF! - EXORCIST Virus BB AlienNewBeat Clone siehe oben Es wurde der Text geaendert. Eine Meisterleistung Im BB ist zu lesen: 64206279 20746865 20534154 414e2076 d by the SATAN v 69727573 21202020 4469616c 20323233 irus! Dial 223 30343934 302c2061 6e642061 736b2066 04940, and ask f 6f722074 68652045 584f5243 49535421 or the EXORCIST! Anderer Name: SATAN-Virus - Express2.20-Virus keine Vermehrung (also von Def. kein Virus) keine verbogenen Vektoren, Zerstoerungsprogramme 1. File Express2.20 Laenge: 194064 2. File aibon Laenge: 776 aibon haengt am Ende von Express2.20 und wird mit jmp ange- sprungen. Am Ende der Files ist zu lesen bbs: sys: ram: dos.library . Naja werden Sie denken wieder mal gegen Ami-Express gerichtet. Trifft mich nicht, hab ja keine Mail-Box. Halt !!!! Vorsicht ! Das Starten von Express2.20 reicht um Sie an die Decke gehen zu lassen. Zerstoerungsablauf: - Sie starten Express2.20 von Sys-Ebene (halt mal sehen was das Programm macht) - aibon wird nach :s kopiert - :s/startup-sequence wird auf EINE Zeile :s/aibon gekuerzt - Requester Datentraeger bbs einlegen - Sie haben keine Mailbox und klicken cancel - Tastatur wird gesperrt - und jetzt gehts los - jedes File in sys: wird eingelesen und mit 42 Bytes Laenge zurueckgeschrieben. Da kommt Freude auf. - Also Tastatur-Reset (geht leider nicht siehe oben) - Also nehmen Sie not validated in Kauf und schalten schnell den Computer 1 Minute aus. - Computer wieder an UND es wird weiter geloescht (richtig: sys:s/startup-sequence mit der Zeile :s/aibon existiert noch) Das merken Sie aber erst so nach 40 Sekunden, weil ihre startup-sequence fuer die Festplatte immer eine Zeit braucht. - Um hier noch etwas zu retten brauchen Sie eine WB-Disk von der Sie booten koennen und im Zweifelsfalle ihre Festplatte anmelden zu koennen. Kopieren Sie auf ihre Festplatte eine neue startup-sequence und hoffen Sie, dass Sie schnell genug waren und einige Files noch nicht zerstoert wurden. Nachtrag: Falls bbs: gefunden wurde, werden natuerlich zuerst dort alle Files zerstoert. Herkunft: d-aex220.lha Laenge 135400 angeblich neues Ami-Express Erkennung der beiden Files mit VT getestet: 09.09.92 Loeschen der beiden Files mit VT getestet : 09.09.92 aibon: 00000000 00000000 00006262 733a0073 ..........bbs:.s 79733a00 72616d3a 00646f73 2e6c6962 ys:.ram:.dos.lib Nachtrag 01.05.93: Es ist ein aibon 2 aufgetaucht. Verhalten siehe oben. Install-File Laenge ungepackt: 1872 Bytes aibon 2 Laenge: 784 Bytes Besonderheit: Install-File sucht zuerst nach Portnamen: ser.read aibon 2 neu: df0, df1 : 00007379 733a0062 62733a00 6466303a ..sys:.bbs:.df0: 00646631 3a00646f 732e6c69 62726172 .df1:.dos.librar Nachtrag 02.05.93: Es ist ein File DwEditV1.62 verseucht mit aibon2 aufgetaucht. FileLaenge verseucht: 43700 Bytes aibon2 ausgebaut : 41468 Bytes Da aibon2 mit hunklab angelinkt wurde, erkennt VT hunklab. Waehlen Sie bitte Ausbau. Die Lauffaehigkeit des sauberen Files wurde getestet. Schaeden siehe oben - Aibon2-Mount2-Clone: Es ist ein Toolsdaemon V2.2 aufgetaucht, verseucht mit diesem Cloneteil. FileLaenge verseucht: 7128 Bytes Trojan ausgebaut : 4896 Bytes Dieses Teil wurde mit der Hunklab-Methode angelinkt. VT bietet Ausbau an. Unterschiede zu Aibon: - mount wird nach s kopiert (Laenge 784 Bytes) - s:startup-sequence wird auf EINE Zeile s:mount,$0a,$0a gekuerzt. - Files werden auf 42 Bytes gekuerzt und mit Speicherinhalt ab $0 (ja Zero-Page) gefuellt. Beispiel-File mit KS1.3: 0000: 00000000 00000676 00fc0818 00fc081a .......v........ 0010: 00fc081c 00fc081e 00fc0820 00fc0822 ........... ..." 0020: 00fc090e 00fc0826 00fc .......&.. Oder es entstehen Files mit Inhalt Null (Beispiel war setpatch): SetPatch 0000: 00000000 00000000 00000000 00000000 ................ 0010: 00000000 00000000 00000000 00000000 ................ 0020: 00000000 00000000 0000 .......... - Im Trojan-File ist zu lesen: 00000000 00000000 00000000 7379733a ............sys: 00686430 3a006466 303a0064 66323a00 .hd0:.df0:.df2:. 646f732e 6c696272 61727900 00000000 dos.library..... ;..... 03eb0000 00000000 03f2733a 6d6f756e ..........s:moun 740a0a73 3a737461 72747570 2d736571 t..s:startup-seq 75656e63 6500733a 6d6f756e 74000000 uence.s:mount... ;..... 00000000 00006864 303a0073 79733a00 ......hd0:.sys:. 72616d3a 00646f73 2e6c6962 72617279 ram:.dos.library 00736572 2e726561 6400646f 732e6c69 .ser.read.dos.li 62726172 79000000 00000000 0000646f brary.........do 732e6c69 62726172 79004261 636b4772 s.library.BackGr 6f756e64 5f50726f 63657373 00000000 ound_Process.... Also auch kleinere Aenderungen bei den Laufwerken. VT sucht nach dem Process und versucht eine Abschaltung. Mit einem GURU muss gerechnet werden. Der Install-Process besitzt ein Dos-Delay ($29bf8 = fast eine Stunde) . Rest siehe oben bei Express-Beschreibung. - EXTREME BB DoIo, KickTag, KickCheckSum, Rasterstrahl entweder 7f800 oder ff800, da Berechnung ueber SysStkLower+$1000 lesbarer Text im BB: THE EXTREME ANTIVIRUS usw. sobald Zaehlzelle Null : Zerstoeren (Disk BAD) aller nicht schreibgeschuetzten Disks in allen LW und Alertmeldung Vermehrung: ueber BB Clone: FAT2-Virus, ZACCESS 3, PRIMAVERA, - F.A.S.T. Cool, DoIo , FreeMem, immer ab $7F000 Alertmeldung (verschluesselt mit eori-Byte in Abhaengigkeit von $DFF006) und loeschen veraendert auch $C0-$E0 (SetPatchListe!) Vermehrung: BB - F.A.S.T. 1 FAST-Clone im BB wurde der codierte Prg.Teil um einige Bytes verschoben, um im BB-Kopf dos.library einbauen zu koennen. Die Speicher- lage wurde nicht veraendert. - F.I.C.A Beginio, KickTag, KickCheckSum, SumKickData Vermehrung: BB Besonderheit: spielt sauberen BB vor sichtbarer Text im BB ab $288 z.B. F.I.C.A RULES! - F.I.C.A-VIRI-Clone Nur Text geaendert: 57686174 20646f65 73207468 69732073 What does this s 61793f20 56697269 20617265 20746865 ay? Viri are the 206b696e 6773206f 66206c61 6d657273 kings of lamers - Fast Eddie Virus BB starke Aehnlichkeit mit Glasnost Block 2 u 3 KickTag, KickCheckSum KS2.04 nein im Prg noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Im BB ist an $1c FE91 zu lesen Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner (Farbspiel) schreibt eigenen BB bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 Fast Eddie . Dieser Block kann NICHT gerettet werden. Benennt Disknamen um ( This disk is infected (HE-HE) ) . Codiert jeden BB neu mit ByteWert von $DFF006 eor.b d1,(a0)+ . Decodiert eigenen BB mit eor.b d6,(a0)+ . Decodiert im Speicher : Call 43-444304 and ask for HENRIK HANSEN (FAST EDDIE) siehe auch Clone INFECTOR - FAT 1 Virus BB TimeBomb V1.0 BB-Virus-Clone siehe unten anderer Name: The FAT Stinkbomb 1 Nur Text geaendert. Eine Meisterleistung Im BB und Speicher ist zu lesen: 14535449 4e4b424f 4d422120 4665642e .STINKBOMB! Fed. 20416761 696e7374 20546f78 69642057 Against Toxid W 61737465 20677265 65747320 46656974 aste greets Feit 652d546f 6d210001 00000000 42b90007 e-Tom!......B... Dieser Text wird auch fuer DisplayAlert verwendet. - FAT 2 Virus BB EXTREME-Clone siehe oben anderer Name: The FAT Stinkbomb 2 Nur Text geaendert. Eine Meisterleistung Im BB und Speicher ist zu lesen: 696f6e2e 6c696272 61727900 00b01546 ion.library....F 20412054 202d2046 65642e20 41676169 A T - Fed. Agai 6e737420 546f7869 64205761 73746521 nst Toxid Waste! - FCheck Virus File BYTEPARASITE III - Clone s.o. - FileGhost-Inst. File anderer Name: HardSpeeder Laenge ungepackt: 8160 Bytes Versucht durch Text zu taeuschen: 6d486172 64537065 65646572 20a92062 mHardSpeeder . b 79204368 72697374 69616e20 4e65756d y Christian Neum 616e6e2e 0a506174 63682069 6e737461 ann..Patch insta Auch in dem beiliegenden Doc.File Macht angeblich HD schneller und ist deshalb besonders fuer Sysops geeignet. Verbogene Vektoren: Forbid, LoadSeg, NewLoadseg In Wirklichkeit wird der FileGhost-Virus s.u. im Speicher verankert. VT bietet loeschen an. - FileGhost-Virus Link KS2.04 : ja KS3.0 : ja Verlaengert ein File um 876 Bytes. Haengt sich hinter den ersten Hunk. Verbogene Vektoren: Forbid, Loadseg, NewloadSeg Das VirusTeil ist teilweise codiert mit: eor.b d0,(a0)+ Der Wert von d0 wird vom VirusPrg. staendig geaendert (Forbid) und ist deshalb bei jedem Link neu. Namensbegruendung: im Speicher ist zu lesen: 732e6c69 62726172 79004869 20467269 s.library.Hi Fri 656e6421 20446f6e 60742077 6f727279 end! Don`t worry 2e2e2e20 49746073 206f6e6c 79207468 ... It`s only th 65204669 6c654768 6f73742e 00000bf8 e FileGhost..... Das Virusteil meldet sich nie. Vermehrungsroutine: - max. Filelaenge #100000 Bytes - File ausfuehrbar - Disk validated - mind. 8 Block frei - RTS wird gefunden (max. loop $3e (+1) ) - RTS wird ersetzt durch bra.s oder NOP - Firedom.BB Virus Cascade-Virus-BB-Clone s.o. Nur Text geaendert: (im BB lesbar) 00004669 7265646f 6d205631 2e344320 ..Firedom V1.4C Rest: siehe oben - Firedom.BB-Inst. File Laenge: 3428 Bytes Mit der Hunklab-Bootjob-Methode wurde der BB an den c-Befehl install angelinkt. 42.5 (3.3.94) ??????? Hunklab-Bootjob s.u. Die Wahrscheinlichkeit, dass ein LAUFFAEHIGER BB entsteht, ist gering. VT bietet Ausbau an. - FLASHBACK-Virus BB Block 0-3 Glasnost-Clone s.u. Unterschiede: In Block 3 ist uncodiert zu lesen: 464c4153 48424143 4b207669 72757320 FLASHBACK virus 62792053 54432120 5765276c 6c206265 by STC! We'll be 20626163 6b2e2e00 00000000 00000000 back........... Schreibt in Block, der zerstoert wird ab $100 STC! Block: 1494 00f0: 75657374 65727320 20202020 20202020 uesters 0100: 53544321 53544321 53544321 53544321 STC!STC!STC!STC! 0110: 20202020 20202020 20202020 20202020 Dieser Block kann leider NICHT gerettet werden. Das File ist verloren. Lesen Sie bitte bei Glasnost nach. - FORPIB BB kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5 Vermehrung: ueber BB besorgt sich Speicher ueber MemList, Speicher fuer neuen VirusBB mit AllocMem Im BB sichtbar: - FORPIB - 09.88 - N° 197102 - usw. Clone: STARCOM 6, TAI3 siehe unten - Freedom reines Zerstoerungsprogramm Laenge: 10876Bytes Herkunft: Freedom!.LZH 8153 Bytes Fordert trackdisk.device; keine verbogenen Vektoren versucht durch Text zu taeuschen: Freedom ! by Steve Tibbett Checking df0: for 126 viruses nach kurzer Zeit wird abwechselnd ausgegeben: SADDAM-Virus removed ! oder SMILY CANCER-Virus removed ! Schaden: schreibt in jeden 5.Block (also auch Root=880) Datenmuell, der nach einigen Tracks sogar den Inhalt wechselt (vermutlich soll Blockerkennung verhindert werden). Durch die vielen zerstoerten Bloecke ist eine Rettung mit DiskSalv unwahrscheinlich. Daten also ab- schreiben und Disk formatieren. Mit etwas Glueck erkennt VT beim BitMapTest eine Freedom-Disk. Beim BlockITest meldet sich VT nicht, da der Muell von Disk zu Disk und auch nach einigen Tracks wechselt. - FrenchKiss belegt auf Track 0 Block 0 bis 5 Ich besitze nur Bl 0 u. 1 . Ein echter Virus !!! Cool, DoIo, $6c, Vec5, immer ab $7f0d0 Vermehrung: Block 0 bis 5 auf Track 0 Schaeden: Je nach Zaehlerstand wird Track 0 ueberschrieben oder Track 80 (bei Disk = Dir ) zerstoert. Mehr kann ich nicht sagen, da ich nur Block 0 u. 1 habe. Bitte schicken Sie mir Ihre verseuchte Disk. Danke !!! - FRESHMAKER-Virus BB immer ab $78000 Cool $78154 Nach Reset dann noch: DoIo, Findres, Supervisor Vermehrung nur: mit KS1.3, da absolute ROM-Einspruenge und ExecBase im Speicher ab $C00000 Versucht durch lesbaren Text im BB zu taeuschen: 203E2056 69727573 50726F74 6563746F > VirusProtecto 72205631 2E30203C 2000 r V1.0 < Nach #10 Vermehrungen Textausgabe mit intuition. Text wird mit eori.b #$27,(a1)+ decodiert: ES IST WIRKLICH NICHT ZU GLAUBEN. DU BOOTEST MIT EINER UNGESCHÜTZTEN DISK ! ES IST WIRKLICH SCHADE (!), DAß ES SOLCHE LAMER (!) NOCH GIBT. DU HAST WOHL KEINE ANGST VOR VIREN ??? ICH WÜNSCHE DIR NOCH VIEL SPAß (!) MIT DEINEM AMIGA... UNTERZEICHNET: THE FRESHMAKER IN 1991 ! - Frity Forpib-Clone s.o. - FUCK-Virus siehe bei MODEMCHECK-Virus - fuck.device-Virus BB Cool, DoIo Namensbegruendung: siehe unten Fordert trackdisk.device NICHT Das Virusteil meldet sich nicht. Schaeden und Vermehrung: je nach dem Wert in der Zaehlzelle wird: - der Virus-BB geschrieben (#1024 Bytes) - oder Block 0 und 1 zerstoert mit fuck.device. Da hier aber $800 Bytes geschrieben werden, wird in Block 2 und 3 Speicher- muell geschrieben. Sollte ein File Block 2 und 3 belegt haben, so ist dieses File NICHT mehr zu retten. 6675636b 2e646576 69636500 00667563 fuck.device..fuc 6b2e6465 76696365 00006675 636b2e64 k.device..fuck.d 65766963 65000066 75636b2e 64657669 evice..fuck.devi Kopieren Sie mit VT einen neuen DOS-BB auf. - Future Disaster nur KS1.2, Cool, DoIo, BeginIo, immer ab $7FB00 fordert trackdisk.device (also HD nicht) Vermehrung:BB Schaden: sobald die Zaehlzelle den Wert 7 erreicht hat: - schreibt Speicherinhalt ab $10000 nach Block 0 u 1 - schreibt Speicherinhalt ab $7Fb00 nach Block 880 und weiter Folge: Disk unbrauchbar - G-Zus-Packer Laenge ungepackt: 15016 Bytes Wird in Docs als bester Packer angepriesen, aber: - das Original-File wird geloescht - ein neues File mit gleichem Namen und Erweiterung .god erzeugt - dieses neue File ist 30 Bytes lang und enthaelt nur: 0000: 54686973 49734d61 67696321 34434f1c ThisIsMagic!4CO. 0010: 27303811 10464b55 524e435b 4f470000 '08..FKURNC[OG.. Wenn Sie kein zweites Original-File haben, dann haben Sie Pech gehabt. Ist also KEIN Virus, aber vielleicht wird jemand durch die Er- kennung vor Schaden bewahrt. - Gadaffi (KickRomV1.2 Floppymusik) Cool, DoIo, KickTag, KickCheckSum - Gandalf BB Cool, ExitIntr, PutMsg BB-Teile codiert mit eor.w d1,(a1)+ decodiert ist im Speicher zu lesen: Gandalf`s Rache usw. Vermehrung und Schaeden: - schreibt sich auf BB - in Abhaengigkeit von der Zaehlzelle soll die Disk zerstoert werden. Verwechselt aber Disk-Seek mit Disk-Format, DisplayBeep mit DisplayAlert usw. (Anfaenger ??) - GCA-Virus BB Forpib-Clone nur Text geaendert 26.11.92 4765726d 616e2043 7261636b 696e6720 German Cracking 4167656e 63792028 47434129 20212121 Agency (GCA) !!! 20a92031 39383820 56312e30 20212121 . 1988 V1.0 !!! - GENESTEALER BB auch KS2.04 immer ab $7EC00 Cool, DoIo Im BB ist zu lesen: GENESTEALER VIRUS!!! by someone... Schaeden und Vermehrung: ueber BB Testet VBlank ( cmpi.b #$32,$212(a6) ) Sollte der Wert NICHT 50 sein, so wird der Rootblock zerstoert. Fordert trackdisk.device NICHT . - GENETIC PROTECTOR V2.00 BB Dotty-Clone s.o. 16.03.92 nur Text geaendert: GENETIC-ELECTRONICS usw. Pech gehabt: wird weiterhin als Dotty erkannt - Germany-Virus Forpib-Clone nur Text geaendert 4765726d 616e7920 21204c6f 76652020 Germany ! Love 6974206f 72206c65 61766520 69742021 it or leave it ! 21212121 21212121 21212020 20202020 !!!!!!!!!! - Glasnost Block 0 bis 3, Laenge also 2048, KickTag, KickCheckSum im Prg noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner schreibt eigenen BB und zerstoert damit auch Files in Block 2 u. 3 bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 vier Langworte ($11111111, $22222222, $44444444, $88888888). Dieser Block kann NICHT gerettet werden. Text in Block 3: Glasnost VIRUS by Gorba!! First release Clone: siehe bei FLASHBACK-Virus, TAI13, - Golden Rider Linkvirus im Speicher immer $7C000 verbiegt Cool, DoIo, DosOpen Arbeitet nicht mehr mit Doslib-Version 35 oder hoeher. Verlaengert ein File um 868 Bytes, haengt sich auch mehrmals in ein File, da keine Abfrage ob schon befallen. File darf max 100000 Bytes gross sein. File muss executable sein. Filename + Pfad darf nur Zeichen ab A enthalten (Ausnahme / : 1 0 ) Eine Zeichenobergrenze wurde im Programm nicht gefunden. Eine Vermehrung findet statt bei: df0:Test/File KEINE Vermehrung mit: df3:Test/F9 Das VirusTeil enthaelt keine Melderoutinen. Haengt sich am Ende des 1.Hunks ein und ersetzt RTS durch ein NOP. Sollte kein RTS am Ende des 1. Hunks gefunden wer- den, so wird $38 Schritte ab Hunkende zurueck nach einem RTS gesucht und dann durch BRA.s ersetzt. In ersten Hunk des befallenen Files ist unverschluesselt zu lesen: >>> Golden Rider <<< by ABT VT versucht den Virusteil auszubauen und ein lauffaehiges Ursprungsprogramm abzuspeichern. KEINE Garantie !!! Arbeiten Sie mit einer Kopie !!!! Vermehrung getestet: ja Ausbau getestet: ja Hinweis: Da sich die 3 Testlangworte in 2 verschiedenen Bloecken befinden koennen, wird der Golden Rider nur im Filetest SICHER erkannt. Bei der Blockkette koennte einer beim Test NICHT ge- meldet werden. Hinweis 31.08.92: Ab VT2.44 sollten mehrere GoldenRider-Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - Gotcha LAMER Filevirus anderer Name: Lamer Bomb verlaengert File um 372 Bytes, DoIo nur in Files dir, run, cd, execute Schaeden: - KEINE Vermehrung ueber obengenannte Files hinaus - KopfStep - DisplayAlert u. RESET: "HAHAHE... Gotcha LAMER!!!" Ursprungsprogramm: MINIDEMO.EXE Laenge: 773 Bytes sucht fuer Link nach: dh0:c/dir, dh0:c/run, dh0:c/cd, dh0:c/execute - Graffiti BB aehnlich 16Bit Crew + 3D-Graphik FastMem ja, Cool, im Prg DoIo, im Speicher immer $7ec00 Vermehrung: ueber BB Graphikroutine mit 3D unverschluesselt im BB: VIRUS! written by Graffiti - GREMLIN BB Cool, KickSumData, im Prg. DoIo, im Speicher immer $7f400 Fordert trackdisk.device NICHT !! Vermehrung: ueber BB Textausgabe mit GraphikRoutine: roter Hintergrund, weisse Schrift GREMLIN - Gremlins-BB Fehlerquelle Stand: Anfang April 94 Bei aktivem Mount.BB-Virus (s.u.) erkennen einige Antivirus- programme "Gremlins-Virus" und versuchen die Original-Vektoren wieder zu setzen. Da die Vektorensicherung beim Mount.BB-Virus an einer anderen Stelle stattfindet, verursachen diese Prg.e einen Systemabsturz. Den Virus im BB erkennen diese Prg.e nicht. Ich nehme an, dass der Fehler in den entsprechenden Programmen beim naechsten Update (Mai 94 ?) behoben wird. VT erkennt bis einschliesslich VT2.62 "unbekanntes Programm" im Speicher. Sie koennen mit Tools/setze OVek. das Virusteil im Speicher OHNE Systemabsturz abschalten !! Ab VT2.63 (04.94) wird das neue Virusteil mit Namen (s.u.) er- kannt. - GRIM-REAPER-Virus BB Disk-Doktors-Clone siehe oben Text geaendert: 646f732e 6c696272 61727900 0000636c dos.library...cl 6970626f 6172642e 64657669 63650000 ipboard.device.. 00010400 00000097 20546865 20475249 ........ The GRI 4d2d5245 41504552 20627920 48616e6e M-REAPER by Hann 6962616c 21202020 20200000 00000000 ibal! ...... - GX.TEAM Fastmem ja, nur KS1.2 da absoluter DoIo-Einsprung Cool, DoIo, KickTag, KickCheckSum, im Speicher immer ab $7f4d0 Vermehrung: ueber BB Textanzeige mit displayAlert (wird mit sub.b #$41,d0 nach $7f300 entschluesselt): Mais qui voila ???C'est le nouveau VIRUS de GX.TEAM !! AAAHH! Les salauds! Les ...(Insultes diverses) He!He! SILENCE : GX.TEAM entre enfin dans la legende ... BYE!!! - GYROS Cool, DoIo, immer ab $7EC00 Fordert trackdisk.device NICHT Vermehrung:BB Schaden: Sobald die Zaehlzelle den Wert 10 erreicht hat: - blockiert Rechner Im BB zu lesen: Your Amiga is fucked from a nice GYROS usw. - GYROS-SOFIA-Clone: Nur Text geaendert. Das Teil stammt nie und nimmer aus Sofia. 206f6e65 7320534f 46494120 abababab ones SOFIA .... - GYROS-SOFIA-Inst. gepackt: 1524 Bytes entpackt: 1952 Bytes Ein 3c(a7)-Link File (s.o.), das einen GYROS-SOFIA.BB im Speicher verankern soll. Das Teil war an 2.MZaus (richtig, das Original-Programm liegt auf der VT-Disk im Unterver- zeichnis Utility) gelinkt. VT bietet nur loeschen an. Ein Ausbau lohnt nicht. Da bei der Verankerung im Speicher, absolute Speicheradressen, die bei vielen Rechnern nicht belegt sind, verwendet werden, erscheint haeufig der GURU. - HACKERS siehe bei SHIT Unter diesem Namen wurde mir ein BB zugeschickt. Aber auch im Speicher war dieser Name nicht nachvollziehbar. - HAPPY NEW YEAR BB 21.11.92 Cool, im Programm DoIo immer ab $7EC00 Namensbegruendung: im BB ist zu lesen: 2d2b2d20 48415050 59204e45 57205945 -+- HAPPY NEW YE 4152202d 2b2d4ef9 0fc00000 43f90007 AR -+-N.....C... Vermehrung: kaum moeglich Begruendung: endlich hat es jemand geschafft, einen HunkReloc32 im BB unterzubringen. 000003ec ................ 00000006 00000000 000000e4 000000dc ................ 000000bc 0000006e 0000003e 00000022 .......n...>..." 00000000 000003f2 00000000 00000000 ................ Dies hat zur Folge, dass der OrigDoIo an einer Stelle abgelegt wird, und sobald er gebraucht wird, an einer ganz anderen Stelle im BB gesucht wird. Die Folgen sind klar. Meine Empfehlung: Anfaenger uebt weiter am Joystick. Glaubt mir, da ist euer Erfolgserlebnis groesser. - HARDEX VIRUS SADDAM-Clone s.u. - HardSpeeder File s.o. bei FileGhost - Hauke Byte-BanditClone s.o Text geaendert: Hauke Jean Marc usw - Haukeexterminator I Disk-DoctorClone s.o Text geaendert: Haukeexterminator I usw - HEIL Virus BB Cool immer $7C070 immer ab $7C000 Bei mir mit KS2.04 nach Reset kein neuboot von Disk. Unter KS1.3 werden nach dem Reset 2 Interrupts installiert. Nr. 3 = Ports = $7C1C6 = SS.install Nr. 5 = VERTB = $7C1E8 = SS.greets VT entfernt beim loeschen die Namen und setzt die Codezeiger auf 0 mit RemIntServer. Also keine Gefahr mehr. vgl. VT = Listen = IntVec Sobald die Zaehlzelle den Wert #$500 erreicht hat wird eine Graphikroutine angesprungen: schwarzer Hintergrund, helle Schrift Hakenkreuz,SS-Rune,Hakenkreuz und dann your computer is infected by SS-Virus! Danach ist ein Reset notwendig, da das VirusPrg. sich in einer Endlosschleife befindet. Der BB ist codiert mit eori.l #"HEIL",(a0)+ Von der Definition handelt es sich nicht um einen BB-Virus, da keine Vermehrungsroutine gefunden wurde. siehe auch MOSH, SS-Virus - Hilly KickTag, KickCheckSum, Kick1.2 DoIo im Prg mit absolutem ROMeinsprung Test auf spezielle Kickstartversion (patched bei $FC0090) Falls vorhanden kein Virusaufbau. Fordert trackdisk.device nicht an, deshalb koennen Schreib- zugriffe auf die Festplatte erfolgen !! Lage im Speicher: immer ab $7f300 (ResStruc.) Vermehrung: ueber BB sonst keine Routine gefunden (keine Graphik usw.) - Hireling Protector V1.0 anderer Name: Charlie Braun ForpibClone s.o. nur anderer Text - Hochofen Link auch mit KS2.04 verlaengert ein File um 3000 Bytes KEINE bekannten Vektoren verbogen !!!! Wurde mir als Trabbi zugeschickt. Da ich diesen Namen nicht nachvollziehen kann (kommt im Prg-code nicht vor), nenne ich ihn Hochofen (im 1. Hunk zu lesen). Taskname: Greetings to Hochofen Vermehrung: NUR moeglich beim Start eines bereits verseuchten Prgs. Scannt Root durch (examine, exnext usw.) und sucht nach Files, die - ausfuehrbar ($3F3) - kleiner als 200000 Bytes - noch nicht befallen sind. Haengt sich dann als erster Hunk an und verlaengert das File um 3000 Bytes (Hunk nicht codiert). Hinweis: NICHT jedes verseuchte File ist lauffaehig ! s.u. Schaeden: Task: Greetings to Hochofen im Task: KEIN VermehrungsPrgTeil zeitabhaengig: BildschirmHintergrund schwarz rot gelb mit Maustaste wegklicken Requester Fasten seat-belt! mit Maustaste wegklicken Task wird wieder entfernt Fehler: kennt viele Hunktypen NICHT und veraendert durch einen Schleifenfehler dann den Hunktyp um +1. Als Beispiel, weil ich es da zuerst bemerkt habe: Kennt hunksymbol ($3F0) nicht und macht daraus hunkdebug ($3F1). In unbekannten Hunks werden auch in einer Schleife Bytes FALSCH geaendert. Verseuchte Files die den Computer zum Absturz bringen, ver- aendern bei mir auch die Hardwareuhr !!!! Vermehrung getestet: ja auch mit ROM KS2.04 Ausbau getestet: ja mit VT 2.37 - HODEN-Virus BB nur KS1.2, da absoluter DoIo-Einsprung DoIo, KickTag, KickCheckSum, im Speicher immer $7f000 Fordert trackdisk.device NICHT. Vermehrung: ueber BB Kennzeichen: nach fuenf Kopien wandert ein gelber Kopf von links nach rechts ueber den Bildschirm. unverschluesselt steht im BB: HODEN V33.17 Clone: COHEN-Virus - HULKSTERS-Virus BB Pentagon-Clone s.u. Text geaendert: z.B. SACHSEN/ANHALT usw. - Hunklab-BootJob File Mit BootJob wurde ein BB in ein ausfuehrbares File umgewandelt. Dieses BootJob-File wurde mit HunkLab an ein anderes File ange- haengt. Fertigen Sie bitte eine Kopie dieses Files an und unter- suchen Sie es genauer. VT sollte Ausbau anbieten. Vgl. auch TAI7-Installer, East-Star-Install, CRACKER-Ext.Inst. KIMBLE.BB-Inst., Firedom.BB-Inst. - HunkLab-Link ?? Link von VT NUR im ungepackten Zustand erkannt !!! Es soll sich um ein XCopy-Programm handeln, das es ermoeg- licht, sowohl NutzPrg.e als auch Viren vor bereits vorhandene Programme zu haengen. Ganz ehrlich. Ich verstehe die Welt nicht mehr. Wie kann eine Firma so ein Programm verkaufen, das es jedem Anfaenger AUCH erlaubt, Viren an ein vor- handenes Programm zu linken ????? ABER NOCH EINMAL: Nicht jedes mit Hunklab veraenderte Programm muss ein Virus- teil enthalten. Zu Beginn des 1.Hunks ist zu lesen: 58892f49 003c4cdf 7fff4e75 556e6974 X./I.<L...NuUnit 6564a046 6f726365 53000000 00000001 ed.ForceS....... Bitte nehmen Sie fuer den Ausbau eine Kopie ihrer Disk. Ich habe nur 5 verseuchte Files (AIBON). Da ich Hunk- Lab nicht besitze, kann ich keine weiteren Files linken. Die Routine koennte also wackeln. Bitte teilen Sie mir festgestellte Fehler mit. Danke Fileerkennung und Ausbau mit VT: 05/06.12.92 Hinweis 30.12.92: Es soll in der Szene ein modifiziertes Hunklabprogramm (oder aehnlich programmiert) Verwendung finden. Es kann also zu Verwechslungen kommen und die Programme sind vielleicht nach dem Ausbau NICHT mehr lauffaehig. Fertigen Sie also BITTE eine Kopie und ver- suchen Sie mit dieser den Ausbau. - ICE SCAClone, Cool, im Prg. DoIo, im Speicher immer ab $7ec00 Vermehrung: ueber BB Textausgabe durch GraphikRoutine unverschluesselt steht im BB: Greets from The Iceman & The IRQ usw. - Incognito anderer Name Trojan DoIo, KickMem, KickTag, KickCheckSum, FastMem ja nur KS1.2, da absoluter DoIo-Einsprung ins ROM Vermehrung: ueber BB sonst keine Schaeden und kein Text im BB: nichts zu sehen, da trackdisk.device verschluesselt. - INDIANA JONES BB Cool immer $7E656 immer ab $7E600 im Prg: DoIo $7E690, FindRes $7E676 KS2.04: ja Fordert trackdisk.device NICHT Warhawk-Clone Unterschied: die Textausgabe ueber Graphik-Routine wurde entfernt. Vermehrung: BB Namensbegruendung: Wenn Sie im BB die $7F-Zeichen richtig anordnen, ergibt sich: ····#··#··.#·##···#·####·#···#·####······####·####·#···#·###·### ····#··##·.#·#·#··#·#..#·##··#·#··#·········#·#··#·##··#·#···#·· ····#··#·#.#·#··#·#·# .#·#·#·#·#··#·········#·#··#·#·#·#·##.·### ····#··#·.##·#·#··#·####·#··##·####·······#·#·#··#·#··##·#···..# ····#··#··.#·##···#.#·.#·#···#·#··#······#··#·####·#···#·###·### ··········································##···················· - INFECTOR Virus BB ein Fast Eddie Clone Nur Texte geaendert. Wieder einmal eine Meisterleistung !!! KickTag, KickCheckSum KS2.04 nein im Prg nach Reset noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Im BB ist an $1c !IN! zu lesen Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner (Farbspiel) schreibt eigenen Virus-BB bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 INFECTOR GO! . Block: 732 000000f0: 34071070 b9f9b1c6 3b3bf014 47d8b589 4..p....;;..G... 00000100: 494e4645 43544f52 20474f21 f403d488 INFECTOR GO!.... 00000110: 607c98e2 5e0d3de0 28ca7775 a94a0f0e `...^.=.(.wu.J.. Dieser Block und auch das File kann NICHT gerettet werden. Benennt Disknamen um >INFECTOR BY DARK< . Arbeitet mit $6E000, dies ist nur bei einer DD-Disk der RootBlock !! Block: 880 000001a0: 00000000 00001624 00000359 00000b1d .......$...Y.... 000001b0: 1d3e494e 46454354 4f522042 59204441 .>INFECTOR BY DA 000001c0: 524b3c00 00000000 00000000 00000000 RK<............. Auf einer HD-Disk wird also ein zusaetzliches File zerstoert. Codiert jeden BB neu mit ByteWert von $DFF006 eor.b d1,(a0)+ . Decodiert eigenen BB mit eor.b d6,(a0)+ . Decodiert im Speicher : THIS IS THE FIRST VIRUS WRITTEN BY THE DARK AVENGER !!! siehe auch oben bei Fast Eddie - Infiltrator Link anderer Name Klein-Virus (von mir nicht nachvollziehbar) Arbeitet erst ab dos.library-Version #36 oder hoeher (also keine Vermehrung mit KS1.2 oder KS1.3) Verbiegt OldLoadSeg (NewLoadseg wird nicht verbogen) Ueberprueft ob Virus schon installiert mit Zeichenfolge "1992". Verlaengert ein File um 1052 Bytes. Am File ist das Virusprogramm codiert mit eori.b x,(A0)+ . Das Byte x aendert sich bei jedem neuen Linkvorgang in Abhaengig- keit von $DFF006 . Im Programm ist ein Textteil codiert mit: move.w #$80,d0 loop: eor.b d0,(a0)+ dbra d0,loop Decodiert ist dann zu lesen: Howdy hacker! This is The Infiltrator! usw. Versucht auch ein File "user.data",0 zu oeffnen. Arbeitsweise: - Sucht nach dem Langwort, das die Laenge des 1.CodeHunks enthaelt und erhoeht den Wert um $107 . - Schreibt zu Beginn des 1. CodeHunks 6100xxyy (bsr xxyy) d.h. der OriginalSourceCode wird ueberschrieben. - Haengt sich codiert am Ende des 1.OriginalCodeHunks an. d.h. keine Erhoehung der HunkAnzahl. Vermehrungsbedingungen: - Disk validated - mindestens 8 Bloecke Platz - 1. CodeHunk nicht groesser als $1ffc * 4 = $7FF0 (von Virusprogramm getestet ) - Test 1. Wort im CodeHunk auf - $4EF9 (Jmp) falls ja keine Verseuchung - $4EB9 (Jsr) falls ja keine Verseuchung - Test ob schon von Infiltrator verseucht 1. Wort im CodeHunk auf - $6100 (bsr) falls ja 2. Test an anderer Stelle auf - $48E7FFFE falls ja schon verseucht, deshalb Ende. Ergebnis: verseucht auch libs, devices usw. AUCH auf FESTPLATTE !!!!! NACHTRAG 26.07.92 : entgegen dem schon befallen Selbsttest ist es mir gelungen das Virusprogrammteil 2x an diskfont.library zu linken !!!! Erfolg: NICHT alle Programme sind danach lauffaehig !!!!! (von Shell mehr als von WB) Ausbau: VT versucht den Originalzustand wieder herzustellen. Falls es Probleme gibt, wenden Sie sich bitte an mich. NACH dem FileTest machen Sie bitte ein EinzelFileCopy auf eine leere formatierte Disk. Zwei Gruende: - die Fragmentierung der Files wird aufgehoben (Disk ist wieder schneller) - es werden nur benutzte Bloecke kopiert, d.h. jetzt nicht mehr von Files belegte Bloecke werden nicht mitkopiert und so kann dann auch BlockITest keinen Infiltrator auf der NEUEN Disk in einem unbenutzten Block finden. Suche: Sie MUESSEN mit FileTest suchen. Bei BlockKette kann eine Meldung unterbleiben, wenn von den 3 Testlangworten 2 im Block x und 1 LW im Block x+1 liegen. Bitte: Suchen Sie NICHT nach verseuchten Files, solange ein sogenanntes "Nutzprogramm" aktiv ist, das loadseg verbiegt. Hinter diesem Nutzprg koennte der Infiltrator liegen !!! Folge: Das Nutzprogramm ueberprueft beim Laden das File und stellt fest, dass das File von ihm NICHT zu bearbeiten ist (also z.B. nicht gepackt) und uebergibt an den "OrigLoad- Seg-Vektor". Nur leider ist der "OrigLoadSeg-Vektor" auf die Infiltrator-Routine verbogen !!!! Ihre Erfolgsaussichten sind NULL !!!!!! - INFLUENZA BB Cool $7F320, DoIo $7F0FC, $60, immer ab $7F000 Fordert trackdisk.device NICHT Turk-Clone Unterschiede: - Cool-Einsprung im Prg. verschoben - keine DisplayAlert-Routine Vermehrung: ueber BB Schaeden: - schreibt FUCK nach $60 - Sobald in $300 (absolut!) der Wert #10 steht, wird die Disk von Zylinder 0-39 formatiert. Namensbegruendung: im BB ist zu lesen: 20202020 48452048 45203c2d 20202d2b HE HE <- -+ 2d204920 4e204620 4c205520 45204e20 - I N F L U E N 5a204120 2d2b2d20 202d3e20 20205355 Z A -+- -> SU - Inger IQ ByteBandit/Forpib-Clone s.d. Text: ---Inger IQ Virus - Ersmark 1953--- - INGO-ZENKER-Clone BB KS2.04: ja im Speicher immer ab $7F800 Cool $7F86c DoIo $7F894 NEU: $6c Fordert trackdisk.device NICHT Versucht im BB durch lesbaren Text zu taeuschen: 426f6f74 6c6f6164 65722062 7920496e Bootloader by In 676f2021 20283136 20466562 20313939 go ! (16 Feb 199 33290000 00000000 00000000 00000000 3).............. Im Speicher ist zu lesen: 001b0610 00014cdf 7fff4e75 4e6f7720 ......L..NuNow 49606d20 696e2074 68652033 30204765 I`m in the 30 Ge 6e657261 74696f6e 21496e67 6f206973 neration!Ingo is 20424143 4b202121 20284841 48414845 BACK !! (HAHAHE 48454849 2921444f 53000000 00000000 HEHI)!DOS....... Der BB holt in Wirklichkeit ab $70000 auf Speichermedium (bei Disk Zyl 40 Sektor 16-19) 4 Bloecke. Die ersten beiden Bloecke enthalten das Virusteil. Die restlichen beiden Bloecke enthalten den ehemaligen Orginal-BB. Dabei wurde ab der DOS-Kennung == INGO!! == eingetragen. Dies behindert die Vermehrung nicht, da das Virusteil erst ab $C in den Orginal-BB einspringt. Das Virusteil meldet sich NICHT. Vermehrung und Schaeden: Der Orginal-BB der eingelegten Disk wird nach $7FC00 geholt, == INGO!! == eingetragen und dann mit dem Virus-Teil nach Zyl 40 Sektor 16 ff. abgespeichert. File-Bloecke an dieser Stelle oder die BitMap (im Test passiert) werden ueberschrieben und koennen NICHT gerettet werden !! Tut mir leid. Danach wird der Bootloader in den BB geschrieben. Falls der BB-loader erkannt wurde, sollte das Gadget O-BB aktiviert werden. Sie koennen damit versuchen, den Original-BB von Zyl 40 zu holen. VT schreibt dann die Dos0-Kennung und $370 neu. Danach wird die BB-CheckSum neu berechnet. Diesen BB koennen sie dann mit Speicher-BB zurueckschreiben oder im File-Req abspeichern. Vielleicht haben Sie Glueck und ihre Disk bootet wieder. Der Fehler auf Zyl 40 kann aber NICHT behoben werden. Auf Festplatte arbeiten Sie bitte so NICHT. Holen Sie das Backup des Rigid-Bereichs hervor (das haben Sie doch oder ???) und schreiben Sie den Rigid-Bereich mit ihrer Kontroller-Software (ist mir lieber so) oder wenn es gar nicht anders geht mit VT- Restore zurueck. NEU: Ueber $6c wird eine Speicherstelle aufgezaehlt. Sobald der Wert $3000 erreicht ist, werden beim naechsten DoIo-Zugriff ab $6E000 (ist nur bei DD-Disk der Rootbereich) $1800 Bytes geschrie- ben. Die ersten $400 Bytes enthalten immer das Wort iNGo und die restlichen $1400 Bytes Speichermuell von $70400. 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo Sollten Sie so eine Disk haben, so ist eine Rettung leider un- moeglich. Sie koennen zwar einmal Disksalv2 probieren, aber ich hatte damit NICHT viel Erfolg. Hinweis 28.11.93: Das VirusTeil verseucht auch FFS-Disketten. Da aber immer ein DOS0-BB geschrieben wird (ist ausgetestet), wird beim naechsten Schreibzugriff (z.B. copy File) die Disk- Struktur noch weiter zerstoert. - INGO BB DoIo, KickTag, KickCheckSum KS2.04: ja Fordert trackdisk.device NICHT LADS/ZEST-Clone s.u. Unterschied: DisplayAlert abgeschaltet Namensbegruendung: im BB ist zu lesen: f00f494e 474f2049 53205350 45414b49 ..INGO IS SPEAKI 4e472021 212100ff 00fc2344 45415448 NG !!!....#DEATH - INGO'S RETURN BB abcd bei $396 duerfte zur Lamer-Familie gehoeren. schreibt FUCK!! in irgendeinen Block BeginIo, KickTag, KickCheckSum, SumKickData KS2.04 nein Codiert jeden Virus-BB neu Namensbegruendung: decodiert mit eor.b d0,(a0)+ ist im Speicher zu lesen: >>INGO`S RETURN << suffer! Von INGO`S RETURN zerstoerte Bloecke in einem File sind NICHT mehr zu retten. Tut mir leid. - init_cli anderer Name: AMIGAKNIGHTVIRUS s.o. - INTEL.Gag sofort loeschen Laenge: 3384 Bytes Keine verbogenen Vektoren, keine Vermehrungsroutine Im File ist uncodiert zu lesen: 54482f53 00245645 523a206c 6f616477 TH/S.$VER: loadw 62203337 2e312028 31362e31 2e393129 b 37.1 (16.1.91) 0a0d0000 776f726b 62656e63 682e6c69 ....workbench.li In Abhaengigkeit von $DFF006 wird entweder der loadwb-Befehl ausgefuehrt oder der Versuch unternommen, eine Graphik auszu- geben (blauer Hintergrund, helle Zeichnung). Ich habe auf KEINEM Rechnertyp eine SAUBERE Zeichnung gesehen. Die Weiter- arbeit ist danach nicht moeglich. VT bietet loeschen an. Bitte kopieren Sie den Original-loadwb-Befehl neu nach c . - INTERLAMER-Virus anderer Name: A.I.S.F.-Virus siehe oben - IQ Breaker virus BB anderer Name: BadBytes3-Virus siehe oben - IRAK3-Virus BB und Link CCCP-Clone siehe oben KS1.3 ja KS2.04 ja Mehrfachlinks: ja Defekte Files: ja (Hunkstruktur defekt nur loeschen moeglich) Nur Text geaendert: 70004e75 4952414b 20332056 49524df8 p.NuIRAK 3 VIRM. 006c43fa 0018b3d6 67062356 00042c89 .lC.....g.#V..,. - IRQ-TeamV41.0 Link-Virus, verlaengert ein Prg. um 1096 Bytes Einsprung nach Reset: KickTag Einsprung bei Arbeit: OldOpenLib laeuft nicht mit KS2.04 Textanzeige im CliTitel: (entschluesselt mit eor.l d0,(a0)+ addq.l #3,d0 ; fuer einen neuen Virus wird der Inhalt von d0 ueber move.l alterWert,d0 u. add.l $dff004,d0 veraendert) AmigaDOS presents:a new virus by the IRQ-TeamV41.0 entweder wird c/dir oder das erste File der startup-sequence befallen. K e i n File wird zweimal befallen. Das File darf nicht laenger als 100 000 Bytes sein. Entfernung: 1.Zeile in startup. loeschen OrigFile besorgen und neu kopieren - IRQ II wie IRQ I, aber die Routine auf Test schon befallen (cmpi. #$fffe6100,30(a4,d6.l) wurde verfaelscht. Das heisst: das erste File von der startup-sequence wird solange befallen, (d.h. verlaengert) bis die Disk voll ist. Nachtrag:gilt fuer IRQI+II; mit meiner FastmemKarte ist n a c h einem Reset keine Vermehrung mehr moeglich ????? Hinweis: Ich besitze ein IRQ2-File mit sechs Links Hinweis 03.09.92: Ab VT2.44 sollten mehrere IRQ2-Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - JEFF-BUTONIC V1.31/05.11.88 PrgFileVirus 3408 Bytes DoIo, KickTag, KickCheckSum, $68 schreibt sich in die 1. Zeile der Startup-Sequence einer nicht schreibgeschuetzten Disk. Tarnnamen s.u. Die Anzahl der neuen Buchstaben wird am Ende der Startup-Sequence weg- genommen. Texte codiert mit: eori.l #$AAAAAAAA,(a0)+ Text fuer DisplayAlert: "Einen ganz wunderschönen guten Tag!" "* I am JEFF - the new Virus generation on Amiga *" "(w) by the genious BUTONIC." "V 1.31/05.11.88 - Generation Nr.00037" "Greetings to * Hackmack *,* Atlantic *, Wolfram, Frank," "Miguel, Alex, Gerlach, and to the whole Physik-LK from MPG !!" Texte fuer die Fensterleiste: "Ich brauch jetzt'n Bier!" "Stau auf Datenbus bei Speicherkilometer 128!" "Mehr Buszyklen für den Prozessor!" "Ein dreifach MITLEID für Atarist!" "BUTONIC!" "Schon die Steinzeitmenschen benutzten MS-DOS...einige sogar heut noch!" "Schon mal den Sound vom PS/2 gehört???" "PC/XT-AT: Spendenkonto 004..." "Unabhängigkeit & Selbstbestimmung für den Tastaturprozessor!" "Paula meint, Agnus sei zu dick." "IBM PC/XT: Ein Fall für den Antiquitätenhändler..." "Sag mir, ob du Assembler kannst, und ich sage dir, wer du bist." Tarnnamen: fuer RootDir: in Startup-Sequence: AddBuffers "AddBuffers 20" Add21K "Add21K " Fault "Fault 206" break "break 1 D" changetaskpri "changetaskpri 5" wait "wait " $A0 $A020 $A0A0A0 $A0A0A020 Arthus "Arthus " Helmar "Helmar " Aloisius "Aloisius " ?? $20 $2020 ?? die Erzeugung des $20-Tarnnamen ist nicht gelungen, steht aber im Virus-Prg. Nachtrag 03.03.93: Es ist ein JEFF-BUTONIC V1.31 Clone aufgetaucht. Laenge bleibt 3408 Bytes. Nur Texte geaendert. Bilden Sie sich selbst ihre Meinung. Wird von VT als JEFF-BUTONIC V1.31. erkannt. DisplayAlert-Text: Es tut mir leid es ihnen zu sagen ! *Ihr computer hat AiDS ein neuer Virus* Gemacht von Donald & Micky IM Jahre 1992 - Generation Nr.05426 Grüße gehen an : Metalwarrior - Mozart - Tiger 1 - Poge Außerdem noch an : Meinen Virus-Freund David Hasselhoff ! Texte fuer Fensterleiste: Tina zeig mir deine Votz Hey du Depp am Computer ! was is ? Hilfe die NFL-Kappen Kommen ! Redskins - Fickt euch alle !!! Evil C ! Der Vorkotzer er will nicht kotzen !! Rechtfertige er sich ! Easy and fast-- Schnebber-Pax !! Burger du Drecksack !! Popper überfährt man mit einem Chopper !! Rod Grod Med Flod !! Fuck for oil And for NLF-Deppen !! Ihr Assigen NFL-Ficker ihr seid alle schwul und dumm !! neue Dateinamen fuer das Virus-file: "D.Hasselhoff " "Jesus " "Archippus" "Philemon " "-->PAX<-- " "---->",$3E $A020 $A0A020 "NKOTB " "Ephesus" "Guardians" $2020 $2020 Nachtrag 01.08.93: Es ist ein JEFF-BUTONIC V1.31 Clone aufgetaucht. Versions_Nr. 4.55 (siehe unten) KS2.04 : ja Laenge bleibt 3408 Bytes. Nur Texte geaendert. Bilden Sie sich selbst ihre Meinung. VT bei FileTest: Wird als JEFF-BUTONIC V1.31 erkannt, da der Name codiert ist. VT bei SpeicherTest: Wird als JEFF-BUTONIC V4.55 erkannt, da der Name im Speicher decodiert ist. neue Texte: e0014cdf 7fff4ef9 00f810d4 006c1848 ..L...N......l.H 616c6c6f 20686f66 66656e74 6c696368 allo hoffentlich 2073746f 65726520 69636820 73656872 stoere ich sehr 202100ff 0034302a 20492061 6d204a45 !...40* I am JE 4646202d 20746865 206f6c64 20566972 FF - the old Vir 75732066 616d696c 7920666f 7220616e us family for an 20416d69 6761202a 00ff008c 3c287729 Amiga *....<(w) 20627920 74686520 6e696365 6c792020 by the nicely 4255544f 4e49432e 00ff0064 48562034 BUTONIC....dHV 4 2e35352f 32392e30 322e3933 202d2047 .55/29.02.93 - G 656e6572 6174696f 6e204e72 2e303030 eneration Nr.000 303100ff 001c5a4b 696c6c69 6e677320 01....ZKillings 676f746f 2a20426f 6f745820 2020202a goto* BootX * 2c2a2056 69727573 5a202020 2a2c2056 ,* VirusZ *, V 69727573 5f436865 636b6572 202c00ff irus_Checker ,.. 000c6456 69727573 636f7065 2c204d61 ..dViruscope, Ma 7573202c 20566972 75732d43 6865636b us , Virus-Check 6572202c 20566972 75732043 6f6e7472 er , Virus Contr 6f6c2061 6e642062 69672056 54202121 ol and big VT !! 00ff4aa9 01000000 48616c6c 6f206769 ..J.....Hallo gi 62206469 6520436f 6c612068 65722021 b die Cola her ! 004c6173 73206469 65204368 69707320 .Lass die Chips 726f6573 74656e20 756e6420 6e696368 roesten und nich 7420726f 7374656e 20212121 21004e69 t rosten !!!!.Ni 6d6d2064 69652042 69726e65 20776567 mm die Birne weg 20736f6e 7374206b 72616368 74732100 sonst krachts!. 57656e6e 20447520 6e696368 74207370 Wenn Du nicht sp 75727374 2064616e 6e206769 62747320 urst dann gibts 24210042 6f54694e 75432100 53636861 $!.BoTiNuC!.Scha 656d2044 69636820 44752042 616e6175 em Dich Du Banau 7365206c 61737320 65732073 61757365 se lass es sause 204a756e 67652020 2e2e2e61 62657220 Junge ...aber 6e696368 74207363 686c6170 70692e2e nicht schlappi.. 2e210057 696c6c73 74204475 204e6163 .!.Willst Du Nac 6868696c 6665206f 64657220 77617320 hhilfe oder was 6973206c 6f732020 3f004769 62206573 is los ?.Gib es 20617566 20447520 6c61686d 65722073 auf Du lahmer s 6f636b65 2e2e2e00 57657220 616e6465 ocke....Wer ande 726e2065 696e6520 47727562 65206772 rn eine Grube gr 61656274 20666165 6c6c7420 73656c62 aebt faellt selb 73742069 6e206469 6573656c 62696765 st in dieselbige 20212121 00576f20 77696c6c 73746520 !!!.Wo willste 64656e20 6a65747a 74207769 65646572 den jetzt wieder 2068696e 004b616e 6e737420 4475206d hin.Kannst Du m 616c2052 75686520 67656265 6e204475 al Ruhe geben Du 20616c74 6572204b 6e6f6368 656e2d4b alter Knochen-K 65726c20 2e2e2e00 4c696562 73742044 erl ....Liebst D 75205669 72656e2c 2064616e 6e207765 u Viren, dann we 69737320 69636820 61756368 2c207765 iss ich auch, we 72204469 63682061 6d206d65 69737465 r Dich am meiste 6e206861 73737400 0000 n hasst... neue Tarnnamen in Startup-Seq.: 4c 6f616457 42202020 20202020 00 = "LoadWB ",0 4d6f75 6e742020 00 = "Mount ",0 436c73 20202020 202000 = "Cls ",0 56 69727573 59202020 00 = "VirusY ",0 736574 636c6f63 6b206f70 74206920 00 = "setclock opt i ",0 696e66 6f2000 = "info ",0 a02000 = " ",0 a0a0 a02000 = " ",0 62656c69 782000 = "Obelix ",0 49 64656669 782000 = "Idefix ",0 41 73746572 69782020 00 = "Asterix ",0 202000 = " ",0 Nachtrag 02.08.93: Es ist ein JEFF V4.55 aufgetaucht, der mit Hunklab an SnoopDos angelinkt ist. (siehe unten bei SnoopDos-JEFF) Wurde bisher schon als HunkLab erkannt bei FileTest und RICHTIG ausgebaut. Wurde bisher schon als JEFF-Virus erkannt bei SpeicherTest. - JEFF-BUTONIC V3.00/9.2.89 PrgFileVirus Laenge: 2916 Bytes Name im Hauptverzeichnis: A0A0A0 1.Zeile in startup. A0A0A0209B41 DoIo, KickTag, KickCheckSum Vermehrung: jede nicht schreibgeschuetzte DOS-Disk mit startup Entfernung: 1.Zeile in startup loeschen File in DfX: loeschen Entschuesselungsroutine: entschluesselter Text: move.w #$013a,D0 Hi. loop: JEFF`s speaking here... move.w (A0)+,(a1) (w) by the genious BUTONIC. eori.w #$b4ed,(A1)+ usw. insgesamt ueber $270 Bytes Text dbf D0, loop Nachtrag: entdeckter Spezialfall: Auszuege erzeugt mit VT/zZyl/druck R-Zyl Bl 2 FHeader ChS: ok 0000: 00000002 00000372 00000001 00000000 .......r........ 0010: 00000374 753f2cf2 00000000 00000000 ...tu?,......... ;....nur Null 0130: 00000000 00000374 00000000 00000000 .......t........ 0140: 00000000 00000004 00000000 00000000 ................ ^^^^^^^^=Taeuschlaenge ;....nur Null 01a0: 00000000 0000014e 0000013b 00000511 .......N...;.... 01b0: 10737461 72747570 2d736571 75656e63 .startup-sequenc 01c0: 65000000 00000000 00000000 00000000 e............... 01d0: 00000000 00000000 00000000 00000000 ................ 01e0: 00000000 00000000 00000000 00000000 ................ 01f0: 00000000 00000371 00000000 fffffffd .......q........ R-Zyl Bl 4 DATA-Bl ChS: ok 0000: 00000008 00000372 00000001 0000000b .......r........ ^^^^^^^^ = 11 = wirkliche Laenge 0010: 00000000 c4404f07 a0a0a020 9b410a74 .....@O.... .A.t ^^ 0020: 2e780a00 1819999f 99860700 001f9986 .x.............. ^^^^^^ = Originalladeprogramm = t.x Ablauf: Es handelt sch um eine Spiele-Disk, bei der die startup- sequence nur aus einer Zeile mit dem Inhalt "t.x",0a - also vier Zeichen - bestand. Das Virusteil hat sich nun an den Anfang der startup gesetzt und die Filelaenge im FileHeader-Block (s.o. $372=882) NICHT geaendert. Im DataBlock (s.o. $374=884) steht aber $b = 11 . $a0,$a0,$a0,$20,$9b,$41,$0a = Virusteil = 7 "t.x",$0a = LadePrg. = 4 = 11 Es wurde mehrfach ausprobiert. Das Virusteil wird gestartet und danach wird das Spiel gestartet. SID zeigt als Filelaenge 4 an. Wird nun ED gestartet und die 1.Zeile geloescht (es wird NUR EINE Zeile geladen) und danach neu abgespeichert, so geht "t.x",0a VERLOREN !!!! Das Spiel wird nicht mehr geladen !!!!! Man kann den Virusnamen aber auch nicht einfach stehen lassen, weil dann die startup mit "Programm nicht gefunden" abgebrochen wird. Schauen Sie sich also bitte mit VT oder einem DiskMonitor (ein FileMonitor REICHT NICHT) das File Startup-Sequence genauer an. Die Blocklage der Startup- Sequence koennen Sie in BlockKette bestimmen (schalten Sie SeitenStopp ein). - JEFF-BV3.00Hunklab Fall 1: File Laenge ungepackt: 33704 Bytes An das Prg. SeekSpeed wurde mit Hunklab ein Jeff V3.00 ange- linkt. Wird im Speicher als Jeff V3 erkannt. VT bietet bei Filetest Ausbau an. Fall 2: File Laenge ungepackt: 9396 Bytes An das Prg. mount wurde mit Hunklab ein Jeff V3.00 ange- linkt. Wird im Speicher als Jeff V3 erkannt. VT bietet bei Filetest Ausbau an. - JEFF-BUTONIC V3.10 Filevirus Laenge: 2916 Bytes lesen Sie Auswirkungen unter Jeff 3.00 Programmcodeteile wurden verschoben (soll Anti-Viren-Prge wohl taeuschen ??) + codierte Texte geaendert: z.b. Sauf blos keinen Wodka! usw. Codierung weiterhin: eori.w #$b4ed,(a1)+ Ursprungprogramm: *JEFF* VIRUSKILLER Mastercruncher: 7368 entpackt: 9064 andere Namen: Jeff-Maker, Jeff-Remover taeuscht durch Texte Jeff-Suche vor, schreibt aber in Wirklich- keit JEFF 3.10 auf Disk in Df0: Virus gefunden - bitte warten Startup-Sequence desinfiziert und Virus beseitigt! usw. In diesem Prg ist JEFF V3.10 codiert [ eori.b $FF,(a0)+ ] ent- halten. - JEFF-BUTONIC V3.20 Filevirus Laenge 2900 Jeff 3.0 Clone Beweis:codierter Text gleich Die 16 gewonnenen Bytes kommen z.B. von der Adressierungsaenderung .l in .w . Das VirusPrg laeuft zwar an und verbiegt die Vektoren, aber bei einem Diskwechsel kommt der GURU. Eine Vermehrung konnte also von mir NICHT erreicht werden. Also keiner Erwaehnung wert. Leider nicht. Dieses unsichtbare File wurde auf einer A3000-HD in c gefunden. Die Startup-sequence war modifiziert und verhinderte den ordnungsgemaessen Bootvorgang. Ein 2.Fall wurde im Feb. im Fido-Netz besprochen, wobei hier aber nur ueber die Vektoren geschrieben wurde und das namentliche Nicht-Erkennen des Prg.s . Da bei einer HD der Rootblock nicht mit $6e000 gefunden werden kann, darf es gar nicht zu einer Vermehrung kommen. Ich vermute deshalb, dass ein anderes Prg. die Installierung vornimmt. Der Prg.Name ist NICHT bekannt. Stand:07.03.92 Empfehlung: SOFORT loeschen und startup-seq. ueberpruefen. - JEFF-BUTONIC V4.55 Laenge:3408 JEFF-BUTONIC-V1.31-Clone (siehe oben) - Jeffkiller V2.67 Trojan anderer Name: DIGITAL-DREAM-Inst. siehe oben - JINX-BB-Virus 1024 Bytes KickTag, KickCheckSum, SumKickData, BeginIo, Exec-Vec 5 Speicherlage: abhaengig von SysStkLower und Wert aus $DFF007 KS2.04: Ja Vermehrung: BB Decodiert mit "eori.b d0,(a0)+" ist im Speicher zu lesen: 7badaba9 7a004a49 4e580074 7261636b {...z.JINX.track 6469736b 2e646576 69636500 00000000 disk.device..... - JITR Cool, DoIo, FastMem ja, im Speicher immer ab $7ec10 Vermehrung: ueber BB Sonst keine Routine vorhanden !!!! VirusPrg. nur $200 Bytes lang. Im BB lesbar: I'm a safe virus! Don't kill me! I want to travel! And now a joke : ATARI ST This virus is a product of JITR - Joshua senkrechtstehender Text Joshua (ueber Graphikroutine) Begin, Kickmem, KickTag, KickCheck, Vec5 - Joshua 2 anderer Name: Joshua3 oder Switch-Off Cold, Begin, Vec5 hat Probleme mit einem Befehl im C-SubD. von WB1.3 Bootblock jetzt verschluesselt: loop: move.b (A0),D0 eori.b #$18,D0 das eor-Byte wechselt und steht auch move.b D0,(A0)+ an $3ff des BBs. Zu erkennen ist der cmpa.l A1,A0 Joshua 2 am Ende des BBs an der Byte- bne loop folge, wobei sich aber das X je nach rts eor-Byte aendert: .XX...XXX........XX.XX.XXXX...X.XX. die Punkte koennen auch durch andere Zeichen belegt sein Hinweis 17.07.93: In letzter Zeit wird wieder eine zunehmende Verseuchung der BBe mit Joshua2 beobachtet. Versuche an einem A600 (OHNE Speichererweiterung) haben gezeigt, dass das Teil bei der Installierung zwar mit einem GURU antwortet (wg.Vec5), nach einem Reset aber ueber COLD weiterhin im Speicher aktiv UND vermehrungsfaehig ist !!!! - Joshua 3 anderer Name und richtig: Joshua 2 es existiert eine BB-Sammlung, die einen wirklichen ByteBandit (aufs Byte im Speicher) Joshua1 nennt. Hieraus ergibt sich dann eine falsche Nummer. Nachtrag: Diese BB-Sammlung wurde inzwischen (15.04.91) in diesem Punkt korrigiert !! - JoshuaKill.BB siehe unten bei erkannte Virenfinder - JT-Protec-Virus sofort loeschen Versucht durch Texte zu taeuschen: 00: 444f5300 766df475 00000370 61000072 DOS.vm.u...pa..r ;.... ^^^^^^^^ 40: 4a542056 69727573 2050726f 74656374 JT Virus Protect 50: 6f722031 2e30202d 20546869 73206973 or 1.0 - This is 60: 20612063 7573746f 6d204242 2c20646f a custom BB, do 70: 204e4f54 206b696c 6c206d65 21140048 NOT kill me!..H ^^ 80: e7fffe61 0e4cdf7f ff4e7505 98000141 ...a.L..Nu....A ^^^^^^ ;...... 80808080 002d2042 61736564 206f6e20 .....- Based on 74686520 47524541 54204242 2d766972 the GREAT BB-vir 75737072 6f746563 746f7220 62792047 usprotector by G 454f5247 20483052 4d414e21 2121202d EORG H0RMAN!!! - Zum Glueck ist die Version, die ich besitze NICHT lauf- faehig, da beim zusammensetzen des BBs ein Zaehlfehler unter- gekommen ist. Der Sprungbefehl trifft bei $80 auf einen un- gueltigen Befehl. Waere der Programmteil um 1 Byte verschoben und damit lauffaehig, so wuerde es sich um einen Coder-Clone handeln. - Julie anderer Name Tick oder VIRUS PREDATOR immer $7f800, cool, DoIo, BeginIo und $20 arbeitet nicht sauber mit 1MB Chip testet einige Zeiger und drei Werte (z.B. auf $7ec00) Vermehrung: ohne Warnung ueber (nur ausfuehrbare) BB's decodiert mit not.b (a0)+ steht im Speicher: ` VIRUS PREDATOR (4-88-SPAIN) ID: 027798336 ` also ist der Name Julie eigentlich falsch !! - KaKo-Virus BB Extreme-Clone s.o. Unterschiede zu Extreme: - Rootblockzeiger ($00000370) ersetzt durch "KaKo" = Namensbegruendung - String "dos.library" im BB verlagert - String "intuition.library" im BB verlagert - DisplayAlert-Text jetzt Leerzeichen Rest siehe bei Extreme-Virus Wurde bisher schon als Virus erkannt im BB und im Speicher !!! - KaKoloadwb File Laenge: 2804 Bytes ungepackt T.F.C.loadwb-Clone Aktiviert WB und installiert im Speicher KaKo-Virus-BB . Vermehrung nur als BB moeglich Unterschiede zu T.F.C : - Text am Fileanfang mit teilweise sinnlosen Zeichen ueber- schrieben. Es ist aber auch z.B. loadwb lesbar. - T.F.C.-BB durch KaKo-BB ersetzt. Wurde bisher schon als Virus erkannt bei FileTest und im Speicher !!! - Kauki immer $7ec00, Cool, im Prg. $80, $84, $88 im Prg. auch noch DoIo, schreibt aber spaeter im Prg DoIo von KS1.2 zurueck (nach Vermehrung) den meisten Platz brauchen die Chopperlisten. Das ChopperIntro laeuft auch mit KS1.3 . Kauki im BB nicht sichtbar. - Kefrens SCA-Clone Text im BB: Ohh noo!!!! I think something is wrong! and even better... Some of your disks are sick Watch out! By Kefrens offcourse!!! - Kefrens 2 wie Kefrens = SCA-Clone nur Text verschoben - KHOMEINI-Virus MAD II Clone s.u. Nur Texte geaendert. Im BB ist uncodiert zu lesen: 596f7572 20646973 6b287329 20686173 Your disk(s) has 20626565 6e20706f 73736573 73656420 been possessed 62792074 6865204b 484f4d45 494e4920 by the KHOMEINI 56697275 73212121 21204576 656e2061 Virus!!!! Even a 66746572 20686973 20646561 74682068 fter his death h 65207461 6b657320 72657665 6e676521 e takes revenge! 21212048 412d4841 2d48412d 48412020 !! HA-HA-HA-HA - KICK-Virus SADDAM-Clone wird von VT als SADDAM-Clone erkannt Blocklangwort: KICK Namensbegruendung: im Speicher ist decodiert zu lesen 6b2e6465 76696365 00010820 204b4943 k.device... KIC 4b202056 49525553 00000000 03f30000 K VIRUS........ 00000000 00010000 00000000 00000000 ................ 01c50000 03e90000 01c55573 65204b69 ..........Use Ki 636b7374 61727420 312e322f 312e3300 ckstart 1.2/1.3. 00000000 00000000 00000000 00000000 ................ Use Kick... ist uncodiert im Disk-Validator-File zu lesen. Behandlung: siehe bei SADDAM 09.04.93 - Killed Virus BB immer $7EC00, Cool $7EC92, DoIo $7ECCA KS2.04: ja Fordert trackdisk.device NICHT Vermehrung und Schaden: BB Namensbegruendung: im BB zu lesen: 72790020 4b696c6c 65642000 4ef90000 ry. Killed .N... 0000ffff fdf6436f 70793a30 32390000 ......Copy:029.. Beim Boot-Vorgang li.MT Text ueber Graphik heller Hintergrund, dunkle Schrift Copy:029 Danach re. MT: gleiche Farben: Killed - KIMBLE.BB Virus CREEPING EEL Clone siehe oben Vergleiche: Creeping EEL, Executors Nur Text geaendert: (im BB ist zu lesen) 002f0082 54686973 20697320 616e2041 ./..This is an A 6e746976 69727573 3a202020 20200000 ntivirus: .. 001e00b4 4b204920 4d204220 4c204520 ....K I M B L E 2043204f 204d2045 20532020 42204120 C O M E S B A 434b0000 003c00be 20205573 65206974 CK...<.. Use it 2e2ea120 4b494d42 4c452021 20200000 ... KIMBLE ! .. Rest siehe oben bei Creeping EEL - KIMBLE.BB-Inst. File Laenge: 3212 Bytes Mit der Hunklab-Bootjob-Methode wurde der BB an den c-Befehl type angelinkt. 40.3 (11.4.94) ?????? Hunklab-Bootjob s.o. Die Wahrscheinlichkeit, dass ein LAUFFAEHIGER BB entsteht, ist gering. VT bietet Ausbau an. -------------------------------------------------------------------------- Heiner Schneegold Am Steinert 8 97246 Eibelstadt Deutschland Tel: 09303/8369 (19.00 - 20.00 Uhr) Heiner