Fresh Fish 5

home *** CD-ROM | disk | FTP | other *** search

/ Fresh Fish 5 / FreshFish_July-August1994.bin / bbs / util / vt-2.65.lha / VT-2.65 / VT.Dokumente / VT.kennt_L-Z < prev next >

Wrap

Text File | 1994-06-19 | 227.4 KB | 4,983 lines

************************************************************* * * * In eigener Sache: * * Ich, Heiner Schneegold, habe als Programmierer von VT * * NIE irgendwelche Rechte am Programm oder an den Texten * * aufgegeben. * * Deshalb lege ich fest: * * VT und/oder VT-Texte duerfen weder ganz noch teilweise * * auf einer SHI-SUPERKILLER-Disk oder einer anderen von * * SHI herausgegebenen Disk veroeffentlicht werden. * * Begruendung: * * Trotz mehrmaliger Bitten um Abhilfe hat die Leitung von * * SHI Icons ("kranker Computer") von VT abgeaendert, Pro- * * grammteile und/oder Texte weggelassen. Dies entspricht * * weder meinen Vorstellungen noch dem Freeware-Gedanken. * * Eibelstadt, 17.12.93 * * Heiner Schneegold * * * ************************************************************* VT2.65 kennt_L-Z: ================= (oder sollte erkennen) Stand: 18.06.94 Heiner Schneegold Am Steinert 8 97246 Eibelstadt Deutschland Tel. 09303/8369 (bitte nur 19.00 - 20.00 Uhr) - L.A.D.S DoIo, KickTag, KickCheckSum, immer $7F400 versucht eine Taeuschung durch DisplayAlert beim Booten: (Text auch im BB lesbar) L.A.D.S Virus Hunter No virus in memory Press any mouse button Entgegen der Aussage findet KEIN Virustest statt, sondern das eigene Programm wird resetfest installiert. Vermehrung: jeder BB einer Disk OHNE Rueckfrage bei Wert 5 in der Zaehlzelle: veraendert x- und y-Koordinaten bei Mausbewegungen sobald die Zaehlzelle den Wert 8 erreicht: ein Teil des Virusprogramms wird entschluesselt mit eori.b #$41,(a0)+ und mit DisplayAlert ausgegeben: AMIGA COMPUTING Presents: The GREMLIN Virus All Code (c) 1989 By Simon Rockman Hinweis 17.11.92: siehe auch MKV-Filevirus - Labtec-Trojan File Gefunden in: NoCare27.lha NoCare Impl-gepackt Laenge: 13556 Bytes NoCare entpackt Laenge: 28848 Bytes Im entpackten File ist zu lesen: 65206461 792e004c 65742773 20647562 e day..Let's dub 20746869 73206f6e 652c2074 6865204c this one, the L 61627465 63205669 7275732c 206f6b3f abtec Virus, ok? 00733a73 74617274 75702d73 65717565 .s:startup-seque 6e636500 733a6e6f 63617265 00633a6c nce.s:nocare.c:l 6f616477 6200733a 75736572 2d737461 oadwb.s:user-sta 72747570 00733a73 74617274 75706969 rtup.s:startupii 00633a6c 68610063 3a617263 00633a7a .c:lha.c:arc.c:z 6f6f0063 3a656e64 69660073 79733a77 oo.c:endif.sys:w 62737461 72747570 2f766972 75735f63 bstartup/virus_c 6865636b 65720073 79733a77 62737461 hecker.sys:wbsta 72747570 2f766972 75737a00 633a233f rtup/virusz.c:#? 00507265 73732041 4e59204b 65792054 .Press ANY Key T 6f20476f 20426163 6b20546f 20444f53 o Go Back To DOS Keine Vermehrung. Keine verbogenen Vektoren KS1.3 : Aktivierung der Zerstoerungsroutine auf A2000 68000 Chip- und Fastmem nicht gelungen. KS2.04: Abhaengig vom Datum (13.5.) . Das Jahr scheint keine Rolle zu spielen. Die Zerstoerungsroutine konnte mit 1993 und 1994 aktiviert werden. Ablauf: Es werden Files geloescht (Namen s.o.). Das Loeschen des ganzen Unterverzeichnisses C (c:#?) konnte nicht nachvollzogen werden. Danach wird ein Text im Cli ausgegeben: Hi there! It`s probably been awhile since you`ve seen one of these - a virus! usw. Wenn Sie jetzt SOFORT ein Undelete-Prg. aufrufen, werden Sie die verlorenen Files mit grosser Wahrscheinlichkeit zurueck- holen koennen. VT bietet loeschen des Trojan-Files an. - Lame Game Virus BB TimeBomb V1.0 Clone siehe unten Text fuer DisplayAlert: 144a4553 55532120 57686174 2061206c .JESUS! What a l 616d6520 67616d65 21204920 6a757374 ame game! I just 20686164 20746f20 464f524d 41542069 had to FORMAT i 74212121 21210001 00000000 42b90007 t!!!!!......B... - LameBlame! anderer Name: Taipan-LameBlame Cool, DoIo auch KS2.04 BB codiert mit Wert aus $DFF006 Schaeden: Vermehrung mit BB sobald Zaehlzelle 8 erreicht hat: DisplayAlert: LameBlame! by Tai-Pan usw. sonst nichts Herkunft: Virusinstall V2.0 siehe auch: Chaos, Taipan-Chaos, CHEATER HIJACKER, POLISH, - Lameralt abcd bei $3a6 = Lamer! Exterminator schreibt Lamer! in irgendeinen Block und da 2 Bytes uebrig bleiben am Schluss noch !!. FastMem ja, Begin, KickTag, KickCheckSum, SumKickData Im Speicher decodiert mit: ADD.B D1,(A0) EOR.B D0,(A0)+ kann man lesen: fffc4e75 74726163 6b646973 6b2e6465 ..Nutrackdisk.de 76696365 00005468 65204c41 4d455220 vice..The LAMER 45787465 726d696e 61746f72 20212121 Exterminator !!! Zerstoerter Block: Block: 1348 4c616d65 72214c61 6d657221 4c616d65 Lamer!Lamer!Lame 72214c61 6d657221 4c616d65 72212121 r!Lamer!Lamer!La ;...... 4c616d65 72214c61 6d657221 4c616d65 Lamer!Lamer!Lame 72214c61 6d657221 4c616d65 72212121 r!Lamer!Lamer!!! Der Block kann NICHT gerettet werden. Ein File das diesen Block vorher belegt hat ist VERLOREN ! - Lamerneu abcd bei $396 = LAMER! Exterminator schreibt LAMER! in irgendeinen Block und da 2 Bytes uebrig bleiben am Schluss noch !! FastMem ja, Begin, KickTag, KickCheckSum, SumKickData decodiert in den Speicher mit: EOR.B D0,(A0)+ d.h. der add-Befehl s.o. fehlt - Lamer1 fedc bei $342 schreibt LAMER Begin, KickTag, KickCheckSum - Lamer2 abcd bei $392 schreibt LAMER FastMem ja, Begin, KickTag, KickCheckSum, SumKickData - Lamer3 abcd bei $3f4 (OrigBB in 2 u. 3) Fastmem ja, Begin, KickTag, KickCheckSum, SumKickData - Lamer4 abcd bei $3ae BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB KS1.3: ja Fastmem: nein KS2.04: nicht gelungen Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt. Clone: siehe bei STARCOMReturn - Lamer5 abcd bei $3aa FastMem ja BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt. - Lamer6 abcd bei $396 FastMem ja aehnlich Lamerneu Unterschied 48Bytes BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt. zusaetzlich im Prg. noch Remove Node, Test auf Cool u. Cold . Clone: STARCOM 4 siehe unten - Lamer7 andere Namen: Selfwriter, Pseudoselfwriter keine signifikante Endekennung, Laenge BB $3BD, BeginIo, KickTag, KickCheckSum Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x Lamer! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt und !!!! mit allocabs eingetragen. (machen andere Lamer nicht) - Lamer8 keine Endekennung BeginIo, KickTag, KickCheckSum, SumKickData Vermehrung: ueber BB Schaden: Format alle LW Ein neuer BB wird wieder verschluesselt mit eori.w . Das Ver- schluesselungswort wird mit $dff006 festgelegt. BB ist verschluesselt von $3e bis $3cc - LamerBBdefekt BB Empfehlung: sofort loeschen Typ A: Immer Guru. BB-CheckSum falsch. In eor-Schleife herumgepfuscht Typ B: Immer GURU. Code im BB um mehrere Bytes verschoben. trackdisk. device und LAMER am Schluss zu lesen. Wahrscheinlich gibt noch mehr ???? - LAMER8-File haengt an VirusX Laenge: 13192 Bytes Wird im Speicher von VT als LAMER8 erkannt und entfernt. Wichtig: VirusX erkennt LAMER8 im Speicher NICHT !!!!! Vermehrung: NUR als LAMER8-Bootblock moeglich, NICHT als Linkfile !!!! Deshalb in FileTest nur Loeschangebot. - Lamer! Exterminator-File gepackt: 2260 Bytes (Zahl stimmt) ungepackt: 1824 Bytes KS2.04: Ja Verbogene Vektoren: siehe oben Tarnung: Fuehrt neben Installierung von Lameralt.BB im Speicher auch den endcli-Befehl (KS1.3) aus. Aenderung gegenueber OrigBefehl: process wird zu task, 2 Werte $52 werden zu $51 Vermehrung: NUR als Lameralt-Bootblock moeglich, NICHT als Linkfile !!!! Da jeder den endcli-Befehl in c hat (KS2.04 nicht mehr), gibt es in FileTest nur Loeschangebot. Danach bitte von OrigWB endcli nach c neu kopieren. VT kennt: 16.10.92 Hinweis: Es wird ein "Lamer"-Bootblock weitergegeben, bei dem Lamer Exterminator im BB zu lesen ist. Dieser BB ist NICHT bootfaehig und wird deshalb von VT nur als Nicht-Standard-BB erkannt. - Lamer-LoadWB FileVirus Laenge: 4172 Bytes KickTag, KickCheckSum, SumKickData, BeginIo in SubDir c in LoadWB sichtbar: The LAMER Exterminator !!! Virus haengt vor dem LoadWB-Teil schreibt zuerst das Virusprogramm in den Speicher und fuehrt dann den LoadWB-Befehl aus. Kann sich nicht als LoadWb vermehren, sondern schreibt einen Lamer-BB - Lamer Bomb anderer Name: Gotcha LAMER s.o. - Laurin-Virus SADDAM-Clone Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $a0a0a0a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 4C617572 696E2056 69727573 ... Laurin Virus Behandlung: siehe bei SADDAM - le RoLE franz. Name fuer Return of The Lamer Exterminator s.u. - LEVIATHAN-Virus BB und File (Laenge 1056 Bytes) Cool $7F89A nach Reset: DoIo $7FAB4 OldOpenLib $7F8E2 KS1.3 : ja KS2.04 : nach RESET Endlosreset (Computer ausschalten) Fordert trackdisk.device NICHT Namensbegruendung: im BB und im File ist zu lesen: -=- LEVIATHAN -=- Vermehrung und Schaeden: Beim ersten Start des Programms wird nur Cool verbogen. Nach einem Reset werden dann DoIo und OldOpenLib verbogen. Vermehrung als BB: Findet mit verbogenen DoIo statt, wenn ein lesender Zugriff auf Block 880 (nur bei DD-Disk Rootblock) stattfindet. Das Virusteil wird nach $7F000 kopiert und einige NOPs durch den BB-Header ersetzt. Abhilfe: neuen Original-BB mit VT aufkopieren. Vermehrung als File: Findet mit verbogenem OldOpenLib-Vektor immer auf sys: statt. Es wird ein Test auf schon verseucht durchgefuehrt. 79007379 733a732f 73746172 7475702d y.sys:s/startup- 73657175 656e6365 00007379 733a732f sequence..sys:s/ c0000000 03f30000 00000000 00010000 ................ Die erste Zeile der s-seq wird eingefuegt: startup-sequence Original: 636c730a 0a000000 00000000 00000000 cls............. startup-sequence verseucht: 732fc00a 636c730a 0a000000 00000000 s/..cls......... Das Virusprogramm selbst wird nach s mit Namen $C0 kopiert (siehe oben). Laenge des Virusfiles 1056 Bytes. Der File- name ist als Sonderbuchstabe A sichtbar. Abhilfe: Loeschen Sie mit VT das Virusfile in s . Vergessen Sie bitte nicht mit einem Editor, die erste Zeile in der Startup-Sequence zu loeschen. Allgemein: Sowohl mit dem BB als auch mit dem File waren BEIDE Ver- seuchungstypen zu erreichen. Im Virus steckt noch ein codierter Text, der NIE erreicht wird: 005e4611 0a190027 51c8fff8 594f5520 .^F....'Q...YOU 41524520 54484520 4f574e45 52204f46 ARE THE OWNER OF 2041204e 45572047 454e4552 4154494f A NEW GENERATIO 4e204f46 20564952 55532120 49542046 N OF VIRUS! IT F 55434b53 20594f55 52205354 41525455 UCKS YOUR STARTU 502d5345 5155454e 43452120 48415645 P-SEQUENCE! HAVE 2046554e 2e2e2e2e 20000000 FUN.... ... - LHACHECK-BBS-Trojan Laenge ungepackt: 3836 Bytes Einbruchswerkzeug Keine verbogenen Vektoren Keine Vermehrung Soll nach Text im File (usage): - defekte Lha-Archive erkennen und loeschen - BBS-Adverts anhaengen oder loeschen Im File ist weiter zu lesen: 00322456 45523a20 4c484143 4845434b .2$VER: LHACHECK 20312e31 20283139 2e30322e 39342920 1.1 (19.02.94) 62792042 6c616465 2f4e6f43 7261636b by Blade/NoCrack ;...... 0000474f 442d4642 54522e4c 48410000 ..GOD-FBTR.LHA.. Decodiert mit eor.l d0,(a0)+ kann man dann aber auch noch lesen: 536e6f6f 70446f73 0052414d 3a4d312e SnoopDos.RAM:M1. 44415800 4242533a 55534552 2e444154 DAX.BBS:USER.DAT 41000000 00000000 00000000 00000000 A............... Das Trojan-Teil startet nicht, falls SnoopDos gefunden wird. Es wird dann nur der LHACHECK-Teil ausgefuehrt. VT bietet Loeschen an. Ein Ausbau ist nicht moeglich, da das Trojan-Teil eingearbeitet ist. Besorgen Sie sich bitte das Original-LHACHECK-File, falls es das Teil gibt. - Liberator virus v1.21 anderer Name: MemCheck s.u. - Liberator Virus V3.0 Laenge: ungepackt 10712 (ich hab nur die un- gepackte Version, deshalb erkennt VT auch nur das ungepackte File !!!) Namensbegruendung: s.u. KS2.04: JA 68030: JA bleibt NICHT im Speicher nach Aenderung von .fastdir . Richtiger Name fuer das File: cv Versucht durch Cli-Ausgabe zu taeuschen: Check Vectors rev 5.1 All Rights Reserved more TUPperware © by Mike Hansell Reset vectors ok, Nothing resident, Trackdisk.device not intercepted, DoIO ok, VBlank ok, dos.library not intercepted. System appears to be free of viruses and trojans! Legt in Wirklichkeit .fastdir an (bei mir auf 3 SCSI-HD in einem Durchlauf). Laenge: 2/3 Bytes . Startwert auf allen Festplatten in .fastdir $310a = 1 Return . Hinweis: .fastdir hat danach im Namen noch 2 leerzeichen ($20) Auszug aus FileheaderBlock: 0 0 0 ............ 13f1 3d5 484 ............ a2e6661 73746469 72202000 ..fastdir . 0 0 0 ............ Schreibt in :s/startup-sequence: cv >NIL: in DH0 bei mir (Auszug): execute s:startup-sequence2 cv >NIL: ;also fast am Schluss !!!! endcli >NIL: DH1 bei mir= Wechselplatte zu der Zeit nicht gemounted in DH2 bei mir (AusZug): LoadWB cv >NIL: ;also fast am Schluss !!!!! EndCLI >NIL: in DH3 bei mir: LoadWB -debug cv >NIL: ;also fast am Schluss !!!!! endcli >NIL: Es wurden ALLE 3 s-seq in EINEM Durchgang veraendert !!!! MUESSEN Sie also nach dem Entfernen des VirusFiles AUCH loeschen Das Virus-File cv wird NICHT kopiert !!! Beim naechsten Start (vgl. s-seq) wird der Wert in .fastdir er- hoeht. Auszug: 0000: 320A 2. spaeter wird .fastfile-Laenge von 2 auf 3 und dann auf 4 Bytes erhoeht. Sobald erreicht ist: 3130300a = #100 wird ein Text ausgegeben: Congratulations your hard disk has been liberated of virus protection!! Hello from the Liberator virus v3.0 - Digital Deviant The anti-anti-virus is here again! Lets play trash the hard disk and ram the disk heads Only hardcore belgian rave can truely liberate the mind! The liberator 15/01/92 Empfehlung: Liberator 3 und .fastdir loeschen . s.-seq in den den Ursprungszustand zuruecksetzen. Hinweis: Durch die Virus-Programmierung kann es passieren, dass nach der Aktivierung Locks auf .fastdir noch bestehen. VirusPrg gibt den lock nicht frei. Diese Gefahr besteht nur, wenn sich das aktive VirusPrg ueber ihre BootDisk (s-seq) gestartet hat. VT meldet dann beim Loeschversuch DOS-Fehler. Entfernen Sie dann bitte die Zeile aus der s-seq und booten Sie neu. Da das VirusPrg nicht mehr aktiviert wird, koennen keine locks mehr entstehen und das Loeschen der Virus-Files MUSS moeglich sein. Fileerkennung mit VT getestet: 18.10.92 - Liberator Virus V5.01 Laenge: Impl4 7828 Laenge: ungepackt 16924 Weiterentwicklung von V3.0 (sehr viele source-Teile gleich) Der "richtige" Name duerfte PV (s.u.) sein. Liberator-Namensbegruendung s.u. Versucht durch Cli-Ausgabe zu taeuschen: PV(Protect Vectors) v1.02 by Peter Stuer July 22, 1992 FREEWARE Reset vectors ok, Nothing resident, Trackdisk.device not intercepted, DoIO ok, VBlank ok, low interrupts ok, dos.library not intercepted. monitoring vectors... Fully Kickstartv2.xx compatible, stops all viruses, checks disk-validators, Use run to push this program into the background. Die Tests wurden mit df0: und df1: durchgefuehrt. Nach der Cli-Ausgabe wird gesucht und nach df1: kopiert :c/run, :c/br (runback), :s/.info (nach o ein Leerzeichen = $20) .info-Laenge: 4 Bytes, .info-Startinhalt bei mir: $00000064 Hinweis: Sie MUESSEN also neben dem eigentlichen Virusfile auch .info in s loeschen. Kopiert :c/PV . Dabei wird IMMER der letzte Buchstabe des Files zufallsbedingt geaendert (also aus PV wird Pe oder Pb usw.) . Vermutlich um die Erkennung ueber Filenamen unmoeglich zu machen. Auf Disk wurde KEIN .fastdir angelegt. Aendert die s.-seq . (MUESSEN Sie von Hand zuruecksetzen) vorher: cls nach Befall: br c:pe cls Nachtrag 01.12.93: Es liegt jetzt eine komplette Disk (PD-England) vor (mit stars). Dank an den deutschen Zusender. Tests wurden mit HD0: durchgefuehrt. In das Rootverzeichnis wird ".fastdir",A0,20 (4 Bytes) kopiert. Nach S wird ".info",20 (4 Bytes) kopiert. Nach C wird kopiert: - run (2568) bitte loeschen - br (948) bitte loeschen - pvx (7828) wird von VT erkannt Die Aenderung des 3. Buchstaben wurde mehrfach nachvollzogen. Aber es gibt immer noch die alte Disk (s.o.) und falls von dieser Disk der Lib 5.01 aktiviert wird, so wird weiterhin der 2. Buchstabe geaendert !!!! Nachweis: Fileheaderblock Virusteil: alte Version: (Filename immer nur 2 Buchstaben) 01a0: 00000000 000014c8 0000027f 00000491 ............... 01b0: 02706200 00000000 00000000 00000000 .pb............. ^^ 01c0: 00000000 00000000 00000000 00000000 ................ neue (gepackte) Version: (Filename immer 3 Buchstaben) 01a0: 00000000 000016c2 00000408 000000b1 ................ 01b0: 03707678 00000000 00000000 00000000 .pvx............ ^^ 01c0: 00000000 00000000 00000000 00000000 ................ Aenderungen alle Versionen: Aendert die s.-seq.: vorher: ;.... C:SetPatch QUIET C:Version >NIL: ;.... nachher: ;.... C:SetPatch QUIET br c:pvs C:Version >NIL: ;.... d.h. die Zeile wird variabel eingesetzt und nicht immer als 1. Zeile WICHTIG !!!!! WICHTIG !!!!! Aendert die Shell-Startup (falls vorhanden): vorher: ;...... Prompt "%N.%S> " Alias Clear "Echo *"*E[0;0H*E[J*" " Alias XCopy "Copy CLONE " ;...... nachher: ;...... Prompt "%N.%S> " Alias Clear "Echo *"*E[0;0H*E[J*" " Alias XCopy "Copy CLONE " ;liberatorV - controlling me! alias copy delete alias delete "echo *"No file to delete, can't find*"" ;...... MERKE !!!!!! Falls Sie von einem Medium mit dieser Shell-Startup gebootet haben, genuegt es NICHT, nur die Zeilen aus der Shell-Startup zu entfernen und neu abzuspeichern. Durch die Abarbeitung der Shell-Startup wurde im Computer der copy-Befehl bereits durch den delete-Befehl ersetzt. Sie MUESSEN einen Reset ausfuehren, um die Abarbeitung der NEUEN RICHTIGEN Shell-Startup zu er- zwingen !!!!!!!! Das VirusFile enthaelt noch folgenden Text: Congratulations this disk has been liberated of virus protection!! Hello from the Liberator virus v5.01 - Random Disaster The anti-anti-virus is here again! Lets play trash the hard disk and ram the disk heads The piracy curse Liberator V - The future is near. Look out for Liberator VI - The final nightmare ... coming soon from a lame swapper near you! Respect to the virus masters Lamer Exterminator,crime & Contrast. And remember - be excellent to each other! The liberator 27/07/92 Virus Generation : Diesen Text habe ich auf dem Bildschirm im Gegensatz zu Lib 3 NICHT gesehen. Empfehlung: Liberator 5, .info loeschen, s.-seq. UND shell-start- up (falls vorhanden) aendern . Hinweis: Durch die Virus-Programmierung kann es passieren, dass nach der Aktivierung Locks auf s/.info und .fastdir noch bestehen. VirusPrg gibt den lock nicht frei. Diese Gefahr besteht nur, wenn sich das aktive VirusPrg ueber ihre BootDisk (s-seq) gestartet hat. VT meldet dann beim Loeschversuch DOS-Fehler. Entfernen Sie dann bitte die Zeile aus der s-seq und booten Sie neu. Da das VirusPrg nicht mehr aktiviert wird, koennen keine locks mehr entstehen und das Loeschen der Virus-Files MUSS moeglich sein. Fileerkennung mit VT getestet: 18.10.92 Fileerkennung gepackt mit VT getestet: 01.12.93 VT versucht auch .info und .fastdir zu loeschen. Geht aber nicht, wenn locks vorhanden sind. Speichererkennung mit VT getestet: 01.12.93 VT versucht den Process abzuschalten. In VT/Listen/Tasks darf "Background CLI [c:pxy]" nicht mehr auftauchen. Sie muessen aller- dings mit einem GURU rechnen. Lieber ist es mir, wenn Sie in VT/Tools einen KReset ausloesen !!!!! - LinkEm-Link File Lauffaehigkeit: wahrscheinlich nur KS1.3 VT glaubt ein File gefunden zu haben, bei dem mehrere Files mit dem Programm LinkEm zusammengesetzt wurden. VT empfiehlt Loeschen - Little Sven BB anderer Name: Cameleon, Chameleon BB ist codiert (immer neu !!). Ein Teil der Codierung: eor.b d1,(a0)+ Decodiert ist im Speicher zu lesen: The Curse of Little Sven! Cool, BeginIo, Supervisor, DisplayAlert im Programm dann: DoIo, FreeSignal Vermehrung: BB Schaeden: - Codiert FileDatenBloecke Kennung: $ABCD0008 (Langwort 0 eines Blocks) Die Programme laufen, solange Little Sven im Speicher aktiv ist. Abhilfe: VT kann diese Datenbloecke decodieren. Falls Sie also beim FileTest oder BlockKetteTest den Requester Little Sven erhalten, brechen Sie bitte ab und starten BlockITest . - Verschiebt den Original-Bootblock codiert nach Block2+3. VT kann dies rueckgaengig machen (klicken Sie auf O-BB. Dieses Gadget war frueher Lam3 und schreiben Sie den BB zurueck). A B E R !!!!!!!! Falls Block 2+3 vorher von einem File belegt war, so wurden durch das Virusprogramm 2 Datenbloecke zerstoert. Das File ist unbrauchbar. Es ist KEINE Rettung moeglich. VT sollte bei BlockKetteTest b.T.Data Block 2 zeigen. Oeffnen Sie den FileRequester (Sp-File-Sp) und loeschen Sie das File. - Enthaelt eine Routine, die 80 Steps nach innen ausfuehrt und dabei Daten schreibt. Diese Routine habe ich NICHT erreicht bei Tests. Alle Daten auf der Disk waeren dann unbrauchbar ??? Wird erzeugt beim Starten von XCopyPro V6.5 (Laenge:28336) und kopiert sich dann weiter. Hinweis: im April 92 lag die OrigVersionsNr. von Xcopy erst bei 5.2x (glaub ich). Gefunden in: xcopy65e.lha Laenge: 25360 - LOGIC BOMB anderer Name: PARADOX I s.d. - LOOK-BBS-Trojan Name uebernommen nicht nachvollziehbar im Speicher Laenge gepackt: 1392 Bytes Laenge entpackt: 1456 Bytes Verbogener Vektor: Cool auf Endlos-Farbroutine NACH DisplayAlert Keine Vermehrungsroutine Wahrscheinlich von CONMAN. Im entpackten File ist zu lesen: 00000000 00536e6f 6f70446f 7300646f .....SnoopDos.do 732e6c69 62726172 79004155 583a0042 s.library.AUX:.B 42533a55 5345522e 44415441 00434f4e BS:USER.DATA.CON 3a302f30 2f333230 2f313030 2f524541 :0/0/320/100/REA 444d4521 004e494c 3a00433a 4d4f554e DME!.NIL:.C:MOUN 54204155 583a0000 0c200a20 0a1b5b32 T AUX:... . ..[2 Gefahr nur fuer Mailbox-Betreiber. Empfehlung loeschen. Sucht nach SnoopDos. Versucht AUX anzumelden Nein dann Ende Schreibt aus USER.DATA Teile nach AUX: Wahrscheinlich ein Einbruchsversuch. Oeffnet zur Taeuschung ein Fenster und gibt Reset-Text aus: 0a1b5b32 3b316d1b 5b3b3432 6d20506c ..[2;1m.[;42m Pl 65617365 20576169 74202121 21202020 ease Wait !!! 1b5b306d 0a1b5b32 3b316d1b 5b3b3432 .[0m..[2;1m.[;42 6d204c6f 6164696e 67204441 54412e2e m Loading DATA.. ;..... 534f5252 59204d49 5353494e 47204441 SORRY MISSING DA 54412046 494c4520 32202120 504c4541 TA FILE 2 ! PLEA 53452052 45424f4f 54202121 21201b5b SE REBOOT !!! .[ Wem das noch nicht reicht, bekommt noch einen DisplayAlert Text angeboten: FATAL HARDWARE ERROR usw. und eine Endlos- schleife (s.o.) . - LOOP-COMBO-Virus File Laenge: 1848 Bytes Auf Disk als Disk-Validator getarnt KS 1.3: ja KS 2.0: nein Vermehrung: nein reines Zerstoerungsprogramm Im File ist an $490 uncodiert zu lesen: 00242429 000c222a 02d07041 6e642041 .$$).."*..pAnd A 6761696e 20467563 6b656420 75702100 gain Fucked up!. Decodiert mit eori.b d1,(a1)+ ist im File zu lesen: 144d4954 204d4952 204e4943 48542c20 .MIT MIR NICHT, 44552041 46464520 21212121 21000100 DU AFFE !!!!!... 0a1e5645 52535543 4860204c 49454245 ..VERSUCH` LIEBE 52204d41 4c204549 4e454e20 4c4f4f50 R MAL EINEN LOOP 2d434f4d 424f2121 0001000a 284f4445 -COMBO!!....(ODE usw. Schaden: Sobald unter KS 1.3 eine Disk mit ungueltigem BitMapZeiger eingelegt wird, wird das Teil gestartet. Kopfstep Disk danach bad Versuchen Sie mit Disksalve noch etwas zu retten. Textausgabe mit DisplayAlert . Loeschen Sie bitte unbedingt das Teil auch wenn SIE schon KS 2.0 oder mehr haben. Falls Sie so eine Disk weitergeben kann sonst ihr Bekannter mit Ks1.3 eine boese Ueberraschung erleben. Spielen Sie bitte auch einen sauberen Disk-Validator auf. Danke - LOVEMACHINE-Virus BB Warhawk-Clone s.u. 44452042 59202020 4c204f20 56204520 DE BY L O V E 4d204120 43204820 49204e20 45273930 M A C H I N E'90 - LSD! (noch ein SCA!) - lummin-Virus File siehe unten bei XaCa-Virus - LUPO-Virus File Nano-Clone s.u. Laenge PP gepackt: 1420 Bytes Laenge ungepackt : 1484 Bytes Name des Files VOR der Vermehrung wahrscheinlich memclear Namensbegruendung: s.u. Unterschiede zu Nano: - anderer Text - unsichtbarer Filename soll " " sein Eine Meisterleistung !!!!! 3a200000 00000000 3a732f73 74617274 : ......:s/start ^^^^^^ 75702d73 65717565 6e636500 20000000 up-sequence. ... 0000200a 00c80a2e 2e2e6120 6e657720 .. .......a new 76697275 73207275 6e6e6572 2066726f virus runner fro 6d204c20 55205020 4f202120 2000140a m L U P O ! ... ^^ = ": ",0 = unsichtbarer Filename fuer Root Die Vermehrung von LUPO findet UNGEPACKT statt !!! Weiterhin ist bemerkenswert, dass in die startup-sequence eine Zeile mit einem Leerzeichen und return eingebaut werden soll. Nach meinem Wissensstand wird ein normales Leerzeichen in der startup- sequence nicht als Filename , sondern als Leerzeile behandelt. Also wird das vermehrte Virusteil NIE aufgerufen. Speichererkennung von VT: als LUPO Fileerkennung von VT : als NANO mehr ist die Sache nicht wert. - LZ-Virus Linkvirus, verlaengert ein File um 400 Bytes testet Hauptversionsnummer der dos.library, falls groesser 34 oder kleiner 33 keine Aktivierung, verbiegt GlobVec 06 = Write linkt sich hinter CodeHunk (meist 1.) und ersetzt z.B. $4e75 = rts durch $6004 = bra.s 4 oder $4eee = jmp durch $60XY Muss deshalb HunkAnzahl nicht veraendern, sondern nur die Anzahl der Langwoerter des befallenen Hunks um $64 erhoehen. Bedingungen fuer ein File: 0.LW = $3f3 (ausfuehrbar) 1.LW = 0 (keine Resident-Libs zu laden) (kein Overlay) es wird ein CodeHunk gefunden $3e9 der gefundene CodeHunk ist laenger als #1000 Bytes Ursprung: (Geruecht 14.07.91) SOLL ein LZ-Entpackungsprogramm sein ???? (hab ich nicht) Hinweis: MehrfachLinks an ein File gefunden !!! Hinweis 01.09.92: Ab VT2.44 sollten mehrere LZ-Virus-Links ans glei- che File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - M_CHAT-Trojan File Laenge ungepackt: 13492 Bytes Von der Definition kein Virus, da keine Vermehrungsroutine. Keine verbogenen Vektoren. Braucht AmiExpress-Port, sonst Ausgabe (bei mir) Couldn't create reply port und Programmende. Im lha-Archiv liegt das Programm ungepackt. Durch das Doc-File im lha-Archiv wird ein Taeuschungsversuch unter- nommen: ============================================================================= || MULTINODE CHAT DOOR VERSION V2.3 [BUGFIXED] FROM PORTAX OF WIBBLE || ============================================================================= What is it?! ------------ Well M_Chat Is a MultiChat Node Door , Quite simple actually. Installation! ------------- M_Chat is VERY easy to install! Make sure you have you boards main dir. assigned as BBS: And your doors dir. assigned as: DOORS: Just copy the actual proggie: M_Chat to your DOORS: dir. Add the following line to your BBS:COMMANDS/CUSTOMCOMMANDS or BBS.CMD file like this: ---------------------------cut here! *CHAT XM010DOORS:M_Chat ---------------------------cut here! This is a great Multi_Node chat door for Amiexpress -.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- Signed: PORT/\X of W|BBlE ======= ================= Call Fraxion Pleasure at ++31/45/678452 (16.8k Dual!) Im File ist zu lesen: 316d7c7c 2020204d 554c5449 4e4f4445 1m|| MULTINODE 20434841 5420444f 4f522056 45525349 CHAT DOOR VERSI 4f4e2056 322e3320 1b5b3337 6d5b4255 ON V2.3 .[37m[BU 47464958 45445d1b 5b303b33 326d201b GFIXED].[0;32m . 5b316d46 524f4d20 1b5b3335 6d504f52 [1mFROM .[35mPOR 54415820 4f462057 4942424c 45202020 TAX OF WIBBLE 20201b5b 33316d7c 7c001b5b 303b316d .[31m||..[0;1m 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d3d3d3d ================ 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d3d3d3d ================ 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d3d3d3d ================ 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d3d3d3d ================ 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d000000 =============... 00001b5b 306d2020 57616974 696e6721 ...[0m Waiting! 21210000 72616d3a 63720000 7700636f !!..ram:cr..w.co 70792063 3a666f72 6d617420 72616d3a py c:format ram: 66660000 636f7079 20737973 3a737973 ff..copy sys:sys 74656d2f 666f726d 61742072 616d3a66 tem/format ram:f 66007261 6d3a6666 20647269 76652064 f.ram:ff drive d 68303a20 6e616d65 20484148 41484120 h0: name HAHAHA 6e6f6963 6f6e7320 71756963 6b203c20 noicons quick < 72616d3a 63720000 72616d3a 66662064 ram:cr..ram:ff d 72697665 20737973 74656d32 2e303a20 rive system2.0: 6e616d65 20484148 41484120 6e6f6963 name HAHAHA noic 6f6e7320 71756963 6b203c20 72616d3a ons quick < ram: Schadensverlauf: Nach Programmaufruf wird der format-Befehl mit neuem Namen "ff" nach ram: kopiert. Danach beginnt die Suche nach Partitions-Namen und LWen: dh0:, system2.0:, work:, dh1:, bbs:, df0:, df1:, dh2:, dh3:, dh4:, df2:, HD:, df0: Gefundene LWe werden schnell formatiert mit z.B.: ram:ff drive dh0: name HAHAHA noicons quick D.h. wahrscheinlich koennen Sie mit Disksalv2 ihre Partition retten, da mit dem Parameter quick nur der BB, Root und Bitmap neu geschrieben werden. Am Schluss soll ausgegeben werden: " Sorry ",0 ", the BBS is not registred",0 VT2.57: (26.09.93) Nur loeschen moeglich, da das Teil in das Chat-Prg. eingebaut ist und deshalb nicht durch Ausbau eines Hunks entfernt wer- den kann. Nachtrag 03.94: Von MultiChat ist ein Namensaenderung aufgetaucht. Name: ATX-Chat Laenge: 13492 Bytes Nicht einmal die Texte im File wurden geaendert. Wird von VT erkannt und sollte geloescht werden. Rest siehe oben Doc-File-Auszug: MULTINODE CHAT DOOR VERSION V3.0 FROM TRASH/ANTHROX WELL THIS IS THE NEW 32 MULTICHAT DOOR FROM TRASH/ANTHROX.YOU NEED /X 3.32 OR HIGER. ;.... - MAD (ForpibClone) nur Text geaendert s.o. - MAD II nur KS1.2, da absoluter DoIo-ROM-Einsprung Cool, DoIo, KickTag, KickCheckSum, im Speicher immer $7FB00 im BB sichtbar: MAD II VIRUS is better usw. Fordert trackdisk.device NICHT Vermehrung: ueber BB Sobald der Inhalt des Zaehlers groesser $D ist, wird in eine DiskStepRoutine verzweigt. Da diese falsch programmiert und somit nicht funktionsfaehig ist, wird nur der Bildschirm dunkel. Hinweis: es existiert ein MAD II, bei dem der MAD-Text mit sinn- losen Buchstabenfolgen (z.B. DAFGderFEHY) ueberschrieben wurde. Wird von VT als MAD II erkannt. Clone: KHOMEINI-Virus s.o. - MAD IIa wie MAD II nur jetzt Warm fuer Cool und andere Source- Aenderungen z.B. $2a in $2e usw. Ergebnis bleibt gleich (Anfaenger bitte bleibt beim Joystick !!!) - MAD2-TAI2-Virus BB Clone s.o. Text geaendert (rueckwaerts) eine Meisterleistung 6c696272 61727900 73696874 20736920 library.siht si 65687420 646e6f63 65732073 75726976 eht dnoces suriv 20666f20 65687420 72656d61 6c69746e fo eht remalitn 41206e6f 69746172 6f70726f 4320492e A noitaroproC I. 412e542e 20202068 74616564 206f7420 A.T. htaed ot 6c6c6120 7372656d 616c2c20 69697269 lla sremal, iiri 7620646e 61206969 72697620 7265766f v dna iiriv revo 20756f79 20402054 2e412e49 2e204261 uoy @ T.A.I. Ba 64206469 736b7320 3a292929 29292929 d disks :))))))) - MAD III nur KS1.2 Byte-Warrior-Clone s.o. geaendert: DASA0.2 in MAD.III 4d414400 4949493c 000813fc 000200bf MAD.III<........ - MAD IIIB nur KS1.2 Byte-Warrior-Clone s.o. geaendert: DASA0.2 in MAD III 4d414420 4949493c 000813fc 000200bf MAD III<........ Der Unterschied ist 00 zu 20 . Desweiteren scheint unklar gewesen zu sein, dass es sich bei DASA0.2 nicht um einen Text, sondern um eine Befehlsfolge handelt. - MAD IV LamerAltClone s.o. Unterschied: statt mit Lamer! soll der zerstoerte Block mit MAD gefuellt werden. - MAFIA-Virus BB Dotty-Clone s.o. - MagiCall es ist KEIN Virus wird deshalb von VT nicht erkannt Es ist ein MagiCall (Laenge: 149664) aufgetaucht, an das am Anfang ein einfacher Hunk (mit Namen) angehaengt wur- de. Wenn Sie MagiCall aus dem Cli starten, passiert nichts. Starten Sie dagegen mit dem Icon, so beschwert sich MagiCall mit DisplayAlert ueber die falsche Hunkanzahl. Das Programm selbst enthaelt nach meiner Meinung keinen Virus. - MALLANDER VIRUS V1.0 BB Block 0-3 auch KS2.04, braucht 1Mb Chip entgegen anderen Behauptungen: laeuft AUCH mit KS1.3 !!! KickTag, KickCheckSum, DoIo, immer ab 7F800 anderer Name: DERK ist 2x im BB zu lesen fordert trackdisk.device NICHT holt 4 Bloecke: Block 0 u. 1 = Virus Block 2 u. 3 = OrigBB nicht codiert Vermehrung und Schaeden: speichert 4 Blocke ab, d.h. ein File das Block 2 u. 3 belegt, wird zerstoert. belegt immer $4000 ChipSpeicher neu sobald kein Chip mehr frei: decodiert einen BB-Teil mit eori.w #$aaaa,(a0)+ (auch intuition.library) und gibt den Text mit DisplayAlert aus. Danach Reset = jmp FC0000 J.D. MALLANDER VIRUS V. 1.0 I need lots of money - buy my cool pd serie 'action power' Hinweis: es gibt KEINE 2 DERK, sondern einer enthaelt Vektoren von KS1.3, der andere von KS2.04 (Beweis: VT vergl.). - MASTER-BBS-Trojan Name uebernommen nicht nachvollziehbar im Speicher Laenge gepackt: 1652 Bytes Laenge entpackt: 2300 Bytes Keine verbogenen Vektoren Keine Vermehrungsroutine Im entpackten File ist zu lesen: 646f732e 6c696272 61727900 4e494c3a dos.library.NIL: 00424253 3a555345 522e4b45 59530042 .BBS:USER.KEYS.B 42533a55 5345522e 4b455953 004e494c BS:USER.KEYS.NIL 3a004242 533a5553 45522e44 41544100 :.BBS:USER.DATA. 4242533a 55534552 2e444154 4100536e BBS:USER.DATA.Sn 6f6f7044 6f730041 43500061 63700000 oopDos.ACP.acp.. 4d414749 43202020 00000000 00000000 MAGIC ........ Gefahr nur fuer Mailbox-Betreiber. Empfehlung loeschen. Soll CONMAN usw. nach $7C000 schreiben. Sucht nach SnoopDos Sucht nach ACP-task (acp auch) Nein dann Ende Schreibt in USER.DATA und USER.KEYS Teile des eigenen Files mit MAGIC usw. . Wahrscheinlich eine Zugangsberechtigung. Clone 07.01.94: Filename Master-Who Laenge: 4844 Bytes mitgelieferter Doc-Auszug: ***************************** * * * MASTER-WHO V1.1 * * * ***************************** Featuring --------- -Automatically determines how many nodes are running (up to 9 nodes). -Shows Node number , Name , Location and Action. -The fastest who door available (100% 68000 Assembler). -The shortest who door available. -Tracks even loss of carriers. -Show full action in your Kickstart workbench 1.3 2.0 -Show download files usw. In Wirklichkeit ist es ein Master-BBS-Trojan. Wurde mit 4eb9-4ef9-Link an ein NUTZLOSES Programm angebracht. Von der Nutzlosigkeit koennen Sie sich selbst ueberzeugen, wenn Sie im Filerequester den 1.Hunk abschalten. VT bietet deshalb nur loeschen an. - MAX BB SCA-Clone s.u. - MCA siehe Claas Abraham - MegaLink Link verlaengert ein File um 1044 Bytes Es wird ein neuer erster Hunk erzeugt ($FD) . KEINE verbogenen Vektoren. KS1.3 ja KS2.04 ja Mehrfachlinks: nein, da "schon verseucht"-Test Defekte Files: ja (Hunkstruktur defekt nur loeschen moeglich) Kennt nicht alle Hunktypen. Namensbegruendung: Decodiert mit eori.b #$f,(a1)+ ist im Speicher zu lesen: 7379733a 00007379 733a6300 646f732e sys:..sys:c.dos. 6c696272 61727900 4d656761 4c494e4b library.MegaLINK Vermehrung: Da keine Vektoren verbogen werden, muessen Sie ein verseuchtes Prg. starten und dieses Prg. versucht dann EINE Vermehrung. Beispiel: sie booten von der Festplatte und starten dann ein verseuchtes Prg. von DF0: . Das Linkteil wird dann versuchen, auf ihrer Festplatte (sys:) ein Prg. zu verseuchen. Wenn dies nun ein Befehl in sys:c ist, der beim Booten immer aufgerufen wird, so wird jedes Mal ein Vermehrungsversuch unternommen. Fuer die Vermehrung werden DosBefehle (info, examine, exnext usw.) verwendet. Ein Mehrfachlink duerfte nicht moeglich sein, da auf ein Langwort getestet wird. Die Nachbehandlungsroutine ist aufs Byte genau, mit ALLEN Fehlern von CCCP uebernommen. Deshalb koennen defekte Files entstehen. Vermehrungsbedingungen: File ausfuehrbar ($3f3) Filelaenge max. #15000 ($3a98) Disk validated ($52) Auf der Disk sind noch mind. 8 Bloecke frei. Fileerkennung mit VT getestet : 16.11.93 Ausbau mit VT getestet : 16.11.93 - MEGAMASTER Cool, DoIo, immer $7e300 zwei codierte Bereiche im BB 1. Bereich: eori.b #-$45,(a0)+ ; testet auf andere Viren 2. Bereich: eori.b #-$11,(a0)+ ; Textausgabe ueber Graphik schwarzer Hintergrund, rote Schrift Surprise!!! Your Amiga is controlled by MEGAMASTER Vermehrung: ueber BB - MegaMon siehe bei PP-Bomb - MemCheck v8.1 File anderer Name: Liberator virus v1.21 gepackt (PP): 6492 Bytes ungepackt: 10936 Bytes nicht resident nach Aufruf erfolgt Textausgabe: MEMORY CLEAR usw. mit SnoopDos kann man feststellen, dass : - versucht wird Sys:.FastDir zu oeffnen - Test ob MemCheck schon in Root - versucht wird startup-sequence zu oeffnen falls ja Eintrag in erste Zeile: MemCheck s Weiterhin ist im File zu lesen: Hello from the Liberator virus v1.21 Lets play trash the harddisk I`m outta here, kiss mine you lamer! DH0: , BLVC usw. Mit Festplatte: Es wird ein File .FastDir im Root-Verz. angelegt. Sobald im File der Wert $f erreicht ist, erfolgt die Textausgabe (s.o.) und der Computer stellt die Arbeit ein. Kreset wird not- wendig. - MemSearcher-Virus BB $6c, $80, immer ab $7EC00 Eine Speicherlupe bis $80000 im BB Da keine Vermehrung eigentlich von der Definition her kein Virus. Aber auf Grund der verbogenen Vektoren dringende Loesch- empfehlung. - MENEM'S REVENGE Link LoadSeg Haengt 2 Hunks (ist neu) an. Hunk 1 = $3E9 = CodeHunk Hunk 2 = $3EA = DataHunk Typ A: Verlaengert ein befallenes File um #3076 Bytes. Typ B: (PIF-Virus) Verlaengert ein befallenes File um #3124 Bytes. Auch mit KS2.04 Korrigiert dos.library mit SumLib. Ueberlaeuft $3E8-, $3F0- und $3F1-Hunks. Erzeugt einen Prozess mit Namen: " ",0 . Nach meiner Meinung ist der Kopf des 1. Segments von " " FALSCH. Wird ein schon befallenes File danach befallenen, so wird mit FindTask ueberprueft, ob der Prozessname schon da ist. Linkbedingungen: File kleiner als #60000 Erster CodeHunk enthaelt folgende Bytefolge NICHT: $286A0164 $700C4E095 (vgl. WB1.3 in c ask usw.) Linkablauf: Sie starten ein Programm. Menem "merkt" sich dieses Prg.. Sie starten ein neues Prg.. Jetzt erst linkt sich Menem an das alte Prg. Nachweis fuer Nicht-Ass-Benutzer mit SnoopDos. Linkergebnisse mit KS1.3: - gelinktes File ausfuehrbar (auch libs usw.) - gelinktes File NICHT ausfuehrbar (Hunks des OrigFiles nicht richtig behandelt, File bringt GURU) - File enthaelt nur noch Datenmuell (keine Rettung moeglich) Unter KS2.04 entstehen weniger defekte Files. Mit timer.device werden sechs Systemzeiten abgefragt. Textausgabe dann mit DisplayAlert. Dafuer wird ein Virusprogrammteil mit asr.l #1,d0 decodiert. dc.b 0,$50,$10,"MENEM'S REVENGE HAS ARRIVED !!!" dc.b 0,1,0," ARGENTINA STILL ALIVE",0,0 Hinweis: VT setzt LoadSeg zurueck, schreibt einige RTS in den Speicher, entfernt den Prozess " " auf Wunsch. Sie MUESSEN allerdings mit einem GURU rechnen !!!! Hinweis2: Bei den Datenmuellfiles kann VT NICHT mehr helfen. Fuer Ausbauversuche bei den anderen Filetypen verwenden Sie bitte eine Kopie der verseuchten Disk. VT versucht auch, die "falschen Hunks" wieder zu berichtigen. Hinweis3: Bedenken Sie bitte, dass inzwischen einige Programme auf dem Markt sind, die Loadseg verbiegen. Wurde Menems VORHER gestartet, so wird er "zugedeckt", bleibt ABER AKTIV !!!!!! Koennen Sie z.B. mit Snoopdos nachvollziehen. Meine Empfehlung: keine Programme verwenden, die LoadSeg patchen. - merry BBS-Trojan File Laenge ungepackt: 60356 Bytes Zerstoerungsprg. gegen BBS gerichtet. Keine verbogenen Vektoren 3-fach $4EB9-$4EF9-Link KS2.04 bei mir kein Intro 68000 bei mir kein Intro 68030+KS1.3 Kefrens-Intro und versuchter BBS-Zugriff. Braucht powerpacker.lib und explode.lib . VT bietet nur loeschen an. - METAMORPHOSIS V1.0 BB und Link auch KS2.04 immer ab $7FA72 Fordert trackdisk.device NICHT !!! Cold, DoIo, OldOpenLib, im Prg. noch Cool Im BB und im verseuchten File ist zu lesen: -METAMORPHOSIS V1.0- the next Generation from LAMER-EXTERMINATOR ! Schaeden: Sobald der Wert in der Zaehlzelle groesser als $14 ist, Kopfstep alle Laufwerke. NeuBoot dieser Disk ergibt bei mir einen Requester: Volume has a read/write error (Tracks defekt) nicht mehr viel zu retten. Vermehrung: mit DoIo = BB mit OldOpenLib = Link an File als 1.Hunk Linkbedingungen: - sucht c: (bei mir NUR da, steht auch so im Prg.) - und dann mit examine, exnext usw Files - kein Schreibschutz - File ausfuehrbar $3F3 - File kleiner #40000 - File noch nicht befallen Fuer die Hunk-Bestimmung nimmt das VirusPrg. die IRQ-Methode. Befallene Files sind lauffaehig . Verlaengert ein File um 1060 Bytes. KEIN Eintrag in startup-sequence . Keine Textmeldung des VirusPrg's . Ausbau mit VT getestet: 11.04.92 Hinweis: Da alle Files in c: verseucht sein koennen, sollten Sie ueberlegen, ob es nicht schneller ist, alle Files neu von c einer OrigWB-Disk zu kopieren. Dann brauchen Sie mit VT nur noch aus Files den Link-Hunk auszubauen, die auf der Orig-WB-Disk NICHT vorhanden waren. - MEXX SCA-Clone Text: Hello there... Here I'm again... I've infected ya Disx ! I'm a simple VIRUS and I came from a group called --- MEXX --- Yeah, reset now !!! Or I will infect more! - MGM89 anderer Name: MEGAMASTER s.o. - MG's Virus V1.0 (BB) auch mit KS2.04, aber NICHT mit 68030 KickTag, KickCheckSum, SumKickData, GetMes, BeginIo AddIntSer (5 = Vert. Beam) Codiert mit not.w (a1)+ Decodiert im Speicher zu lesen: MG's Virus V1.0 Meldet sich nicht. Taeuscht sauberen Bootblock vor bei verbogenen Vektoren Vermehrung bei: - Lesen oder schreiben Block 0 - Format Disk - MicroSystems BB FastMem ja nur KS1.2 holt selbst Namen aus ROM (z.B. dos.library) Cool und Cold im Prg. bei Bedarf: AddTask, RemTask und DoIo Vermehrung: ueber BB Textausgabe ueber Graphikroutine unverschluesselt steht im BB: YOUR AMIGA IS INFECTED BY A NEW GENERATION OF VIRUS CREATED IN SWEDEN BY MICROSYSTEMS - MicroSystems-CBM BB Clone s.o. nur Text geaendert. 79726967 68746564 20627920 62696720 yrighted by big 205d830c 436f6d6d 6f646f72 65204147 ]..Commodore AG - Micro-Master ( noch ein SCA! ) - MODEMCHECK-Virus File Installprogramm Laenge CrunchMania gepackt: 15516 Bytes Laenge ungepackt : 22252 Bytes Virusprogramm loadwb Laenge: 3604 Bytes Installablauf: Es werden angeblich verschiedene Modemleitungen getestet und die Ergebnisse in der Shell ausgegeben. Aber auch ohne Modem wurden bei mir alle Leitungen mit OK ausgegeben. In Wirklich- keit wird c/loadwb kopiert. Ein mitlaufendes Snoopdos-Programm wird abgeschaltet. Zerstoerungsablauf: Nach einem Reset muss loadwb neu geladen werden. Der loadwb- Befehl wird ausgefuehrt, wenn eine KS 36 oder hoeher vorliegt. Ausserdem wird IMMER ein Prozess Diskdriver.proc gestartet. Mit KS1.3 ist also nach diesem Befehl keine Arbeit auf der WB moeglich, wodurch jeder Benutzer gewarnt sein sollte. Bevor die Zerstoerung beginnt, werden noch einige Tests durchge- fuehrt: - ein Speicherbereich wird mit eori.b #$8E,d0 decodiert. Es ergibt sich S:HORSE Es wird nun versucht dieses File zu oeffnen. Falls ja, dann Programmende. Also wahrscheinlich ein Schutz fuer den Programmierer. - Ueber DosEnvec Test ob - mehr als 22 Sektoren >$16=#22=21+1¸ - oder mehr als 90 Zylinder HighCyl>$5a =#90=89+1 - oder mehr als 2 Koepfe falls nicht mindestens eine Bedingung erfuellt ist Abbruch Das Virusteil hat bei mir NIE sofort mit der Zerstoerung be- gonnen . DosDelay = $7530 = 10 Minuten Durch die Zerstoerungsroutine werden die Bloecke mit FUCK aufgefuellt. s.u. Es gibt leider KEINE Rettung fuer das Medium. Es bleibt nur Format. lZ 0 Bl 0 0000: 4655434b 4655434b 4655434b 4655434b FUCKFUCKFUCKFUCK 0010: 4655434b 4655434b 4655434b 4655434b FUCKFUCKFUCKFUCK 0020: 4655434b 4655434b 4655434b 4655434b FUCKFUCKFUCKFUCK usw. Hinweis: Der Rigid-Bereich war nicht betroffen, da dieser Be- reich mit DosEnvec nicht erreicht werden kann. pZyl 0 Bl 0 RDSK-Bl ChS: ok 0000: 5244534b 00000040 af6aa877 00000007 RDSK...@.j.w.... 0010: 00000200 0000003a ffffffff 00000001 .......:........ 0020: 00000002 ffffffff ffffffff ffffffff ................ 0030: ffffffff ffffffff ffffffff ffffffff ................ 0040: 000004fb 00000022 00000002 00000001 ......."........ 0050: fffffffe 00000000 00000000 00000000 ................ 0060: 00000000 00000000 00000000 00000000 ................ 0070: 00000000 00000000 00000000 00000000 ................ 0080: 00000000 00000043 00000001 000004fa .......C........ 0090: 00000044 00000000 00000034 00000000 ...D.......4.... 00a0: 53795175 65737420 53513535 35202020 SyQuest SQ555 00b0: 20202020 20202020 46354520 47565000 F5E GVP. 00c0: 00000000 47565053 43534928 23312129 ....GVPSCSI(#1!) 00d0: 00000000 414c4c00 00000000 00000000 ....ALL......... usw. Hinweis 2: VT versucht den Prozess abzuschalten. Da Prozesse im Amiga nur schwer abzuschalten sind, KANN es zu einem Ab- sturz kommen, MUSS aber nicht. Ich habe es 10x ohne Absturz geschafft, den AKTIVEN Prozess zu entfernen. Hinweis 3: Bitte vergessen Sie nicht, den Original-LoadWB-Be- fehl neu aufzuspielen, da VT nur loeschen fuer das Virusteil anbietet. Hinweis Feb 94: Es ist ein File mit dem Namen loader und der Laenge 3604 Bytes aufgetaucht. Aus der Laenge ist schon ab- zusehen, dass es sich um eine Umbenennung des loadwb-Virus- teils handelt. Ausserdem wurden einige Texte im File geaen- dert. MUSS von VT als Virus erkannt werden !! - Mongo09-BBS Einbruchswerkzeug in BBS anderer Name: Zonder Kommando 1 (Name nachvollziehbar) Laenge gepackt : 1708 Bytes Laenge entpackt: 3368 Bytes Keine verbogenen Vektoren: Keine Vermehrung als Einbruchswerkzeug. Sucht nach Snoopdos Falls ja Ende Sucht nach ACP.STARTUP Falls nein Ende Legt File FLT_DSQ.DMS an (Das Hackfile=Daten ist codiert) VT bietet loeschen an. Fileauszug aus entpacktem File: 51c8fffa 4e750000 00000000 533a4143 Q...Nu......S:AC 502e5354 41525455 50000000 00000000 P.STARTUP....... ;..... 00000000 00000000 0000434f 4e465f4c ..........CONF_L 4f43414c 2030322d 0075706c 6f61642f OCAL 02-.upload/ 464c545f 4453512e 444d5300 75736572 FLT_DSQ.DMS.user 2e646174 61004242 535f4c4f 43415449 .data.BBS_LOCATI 4f4e2000 00000000 00000000 00000000 ON ............. ;..... 00006262 733a636f 6e666967 30000000 ..bbs:config0... ;..... 00000000 00000000 536e6f6f 70446f73 ........SnoopDos Hinweis: Im gepackten Zustand kann das Programm von VT unter Umstaenden mit anderen gepackten Programmen verwechselt wer- den. VT gibt deshalb dann Fragezeichen mit aus. Entpacken Sie dann bitte das File und testen Sie noch einemal das ungepackte File. Ein File-Monitor hilft auch. Danke - Mongo51-BBS Einbruchswerkzeug in BBS anderer Name: Zonder Kommando 2 (Name nicht nachvollziehbar) Laenge gepackt : 1464 Bytes Laenge entpackt: 2268 Bytes Keine verbogenen Vektoren: Keine Vermehrung als Einbruchswerkzeug. Sucht nach Snoopdos Falls ja Ende Sucht nach Port ServerRP0 Falls nein Ende Sucht nach ACP.STARTUP Falls nein Ende Legt File ATX_NADA.DMS an (Passworte ???) VT bietet loeschen an. Fileauszug aus entpacktem File: 000751c8 fffa4e75 00000000 533a4143 ..Q...Nu....S:AC 502e5354 41525455 50000000 00000000 P.STARTUP....... ;..... 00000000 00000000 0000434f 4e465f4c ..........CONF_L 4f43414c 2030322d 0075706c 6f61642f OCAL 02-.upload/ 4154585f 4e414441 2e444d53 00757365 ATX_NADA.DMS.use 722e6461 74610042 42535f4c 4f434154 r.data.BBS_LOCAT 494f4e20 00000000 00000000 00000000 ION ............ ;..... 536e6f6f 70446f73 00536572 76657252 SnoopDos.ServerR 50300000 000003ec 0000004f 00000000 P0.........O.... Hinweis: Im gepackten Zustand kann das Programm von VT unter Umstaenden mit anderen gepackten Programmen verwechselt wer- den. VT gibt deshalb dann Fragezeichen mit aus. Entpacken Sie dann bitte das File und testen Sie noch einemal das ungepackte File. Ein File-Monitor hilft auch. Danke - Morbid Angel Forpib-Clone s.o. nur sichtbarer Text und einige unwichtige Bytes wurden geaendert. - MOSH.1.0-BB-Virus anderer moeglicher Name: SILESIAN-BB-Virus Bitte NICHT mit anderen MOSH-BBen verwechseln !!!! Fordert trackdisk.device NICHT . KS2.04: ja Im Speicher immer ab $7F800 Belegt Speicher NICHT mit allocmem. Folge: Andere Programme (z.B. VT) koennen das Virusteil ueberschreiben. Dann stehen UNMOEGLICHE Werte in DoIo usw. . Ein GURU droht. Verbogen: DoIo, KickTag, KickCheckSum Mehrfach decodiert mit eori.b xy,(a1)+ ist zu lesen: 61727900 14a50a20 48455920 21202049 ary.... HEY ! I 604d2020 4d4f5348 20766572 73696f6e `M MOSH version 20312e30 004628c8 19464952 53542053 1.0.F(..FIRST S 494c4553 49414e20 56495255 53004632 ILESIAN VIRUS.F2 b9285772 69747465 6e206279 20746865 .(Written by the 20626573 74204d2e 472e0046 3c783253 best M.G..F<x2S 70656369 616c2067 72656574 696e6773 pecial greetings 20746f3a 20432e49 2e412e20 616e6420 to: C.I.A. and 4b2e4741 524c454a 00464664 3c426969 K.GARLEJ.FFd<Bii 69672066 75636b69 6e672074 6f3a204b ig fucking to: K 415a494f 20535445 494e484f 46462061 AZIO STEINHOFF a 6e642044 2e4b2e42 49540000 414e4420 nd D.K.BIT..AND 6e6f7720 53455249 4f555320 49204c4f now SERIOUS I LO 56452042 45415441 2042206d 79204245 VE BEATA B my BE 53542067 69726c20 46726965 6e642068 ST girl Friend h 61766520 796f7520 41494453 203f2069 ave you AIDS ? i 66206861 76652069 74206669 6e652069 f have it fine i 206f6c73 6f206861 7665206f 6e650007 olso have one.. Vermehrung: BB Textausgabe: DisplayAlert (HEY..) Schaeden in Abhaengigkeit von einer Zaehlzelle (#5): a) Schreibt BB-Virus b) Schreibt nach $6E000 (nur bei DD-Disk Rootblock) Text. Versuchen Sie mit DiskSalve zu retten, was noch zu retten ist. 414e4420 6e6f7720 53455249 4f555320 AND now SERIOUS 49204c4f 56452042 45415441 2042206d I LOVE BEATA B m usw. c) Zerstoert Block ab $2800 (Bl20+0=Bl21). Ein File das diesen Block verwendet, ist NICHT zu retten. Es handelt sich hierbei um ein codiertes Textteil. pZyl 0 Bl 20 beb1bbdf 919088df acbaadb6 b0aaacdf ................ b6dfb3b0 a9badfbd babeabbe dfbddf92 ................ 86dfbdba acabdf98 968d93df b98d969a ................ - MOSH1-BB Cool, nach Reset auch $68 immer ab $7C000 soll Virusdemo sein (so ein Schwachsinn) keine Vermehrung, codiert mit MOSH, eor.l d0,(a0)+ ueber $68 und in Abhaengigkeit von Zaehlzelle (Cmpi.l #$190,(a0)) Textausgabe ueber Graphikroutine: schwarzer Hintergrund, Gelbe Schrift MAFIA PLK usw da Endlosschleife Reset notwendig dringende Empfehlung: loeschen - MOSH2-BB s.o keine Vermehrung KS2.04: nach Reset Absturz zusaetzlich nach reset oldopenlib verbogen und ueber displayAlert Textausgabe: Hey you old lame usw. Da keine Vermehrungsroutine eigentlich kein Virus dringende Empfehlung: sofort loeschen - Mount.BB-Virus BB 1024 Bytes Fordert trackdisk.device NICHT Cool, DoIo, SumKickData KS2.04 mit 68030: Ja Speicherlage: $7F400 oder $FE000 (wird mit #$4e70 getestet) Im BB ist zu lesen: 4cdf7fff 6000fe5a 01432f4d 6f756e74 L..`..Z.C/Mount 0000432f 44000000 00000000 00000000 ..C/D........... ;....... 4e75646f 732e6c69 62726172 79005359 Nudos.library.SY 533a432f 44000000 00000000 00000000 S:C/D........... Schaeden: - es wurde ein Lese-Zugriff mit DoIo versucht: - schreibt Virus-BB. - es wurde ein Schreib-Zugriff mit DoIo versucht: Test #$1111,$F80000 (gefunden=Abbruch) Test #$99,$320 (nicht gefunden=Abbruch) - versucht in C/Mount (Laenge 208 Bytes) anzulegen. - versucht in C/D (Laenge 1024 Bytes = Virus-BB) anzulegen. Diese Vorgehensweise ist neu !! Hinweis: Fehlerquelle Stand: Anfang April 94 Bei aktivem Mount.BB-Virus im Speicher erkennen einige Antivirus- programme "Gremlins-Virus" und versuchen die Original-Vektoren wieder zu setzen. Da die Vektorensicherung beim Mount.BB-Virus an einer anderen Stelle stattfindet, verursachen diese Prg.e einen Systemabsturz. Ich nehme an, dass der Fehler in den entsprechenden Programmen beim naechsten Update (Mai 94 ?) behoben wird. Hinweis: Dieser BB wird auch als ELENI-BB-Virus gefuehrt. Bitte verwechseln Sie den BB nicht mit dem ELENI-Clock-BB-Virus. Im BB des Mount.BB-Virus ist auch zu lesen: 464d464f 4a20584a 53565420 56322e32 FMFOJ XJSVT V2.2 Wenn Sie nun #1 von den Bytes abziehen, ergibt sich: 454c454e 49205749 52555320 56322e32 ELENI WIRUS V2.2 Im dt. Alphabet kommt halt vor X W und nicht V. - Mount.BB-Inst1 File Laenge: 66424 Bytes An ein gepacktes XCopy wurde mit der 4EB9-4EF9-Methode ein Virus- teil gelinkt. Diese Teil wird beim Aufruf von XCopy im Speicher installiert und aktiviert. VT bietet Ausbau an. Das verbleibende XCopy ist gepackt. Ob dieses XCopy (XCopy 4.93) echt ist, kann ich nicht beurteilen. Das Datum laesst auf eine ueberholte Version schliessen. Da Sie sowieso keine Raubkopie verwenden, besorgen Sie sich bitte die neueste Version bei der Vertreiberfirma. - Mount.BB-Inst2 Zwei Files in C - Mount Laenge: 208 Bytes - D Laenge: 1024 Bytes (BB-Virus-Data) VT sucht nach Mount und bietet Loeschen an. Falls VT Mount findet, wird ohne Rueckfrage auch nach dem File D gesucht, und bei Bedarf geloescht. Bitte spielen Sie danach von der Orig-WB-Disk den mount-Befehl neu auf. ABER ein Problem bei AKTIVEM Virusteil !!!!!!!!!!!! Das Programm "vergisst" einen Lock freizugeben. VT meldet beim Filetest Objekt in use . Das Teil kann also dann so nicht geloescht werden. Schnelle Abhilfe: Setzen Sie mit VT die Original-Vektoren. Booten Sie dann von einer SAUBEREN Diskette neu. Ein Booten von der Festplatte ist NICHT sinnvoll, da dann ja der Mount-Befehl aufgerufen wuerde. Loeschen Sie dann mit VT die beiden Files in c . Dieses Virusteil zeigt, dass es sinnvoll ist, den Rigid-BB oder den Rigid-Zylinder der Festplatte ab und zu auf eine leere Disk zu sichern. Dann ist im Schadensfall ein Zurueckspielen moeglich und ein Format Festplatte kann wahrscheinlich vermieden werden. Schadensverlauf: Fast in jeder startup-sequence wird der mount-Befehl aufgerufen. - Dieser falsche Mount-Befehl versucht nun SYS:C/D (=BB-Virus-Data) nach $7F000 in den Speicher zu laden. - Sprung nach $7F00C - Kopieren des Virus-BB nach $7F400 oder $FE000 - Verbiegen der Vektoren - usw. Die frueher vorhandenen Mount-Anweisungen werden von dem Virusteil (nur 208 Bytes) NICHT ausgefuehrt !!! - mount-Virus Laenge: 1072 KEINE verbogenen Vektoren reines Zerstoerungsprogramm KS1.3: NEIN GURU 3 KS2.04: JA laeuft aber unter KS2.04 mit ORIG-Mount-Befehl von KS1.3 . Guru-Fehler liegt im VirusPrg. Von der Definition KEIN Virus, da keine Vermehrung. Namensbegruendung: im File ist am Anfang zu lesen 633A c: 6D6F756E 74000000 00000000 00000000 mount........... Liegt in c: als mount Laenge 1072 Braucht in c:why . Wird von mount-Virus aufgerufen. Der why- Befehl ist ein umbenannter Orginal-Mount-Befehl. Die Version des Orginal-Mount-Befehls spielt keine Rolle. (wurde getestet) Den why-Befehl gibt es unter KS2.04 NICHT mehr in c: !!!! Ablauf: In jeder s-seq ist wahrscheinlich der mount-Befehl enthalten. mount aux usw. Das Virus-Mount-Prg. wird also gestartet. Das VirusPrg. sucht sich selbst (c:mount) und ueberprueft ob die Zaehlzelle im Prg. schon den Wert #20 erreicht hat. Wenn nein, wird der Zaehler um 1 erhoeht und zurueckgeschrieben (open, seek, read, write, close). KEINE Gefahr !!! Wenn ja : Zaehlerzelle = #20 Aufruf von c:why (= Orig.-mount) mit execute Suche in Liste nach DH (also keine Zerstoerung von df0: usw.) Info besorgen, Blockanzahl besorgen, allocmem leer Blocklaenge, Mit DoIo ueber Schleife jeden Block leer neu schreiben. Wenn fertig Motor aus. Suche in Liste naechstes DH . Sie koennen so ihre Festplatten ohne Probleme unbrauchbar machen. Tests wurden durchgefuehrt mit df0: gemountet als DH0: . Erfolg siehe oben Fileerkennung getestet mit VT : 28.09.92 Empfehlung: mount und why einfach loeschen und neu aufkopieren. Nachtrag 06.01.93: Ein User hat das Install-Programm gefunden. siehe bei SMBX-Mount Virus - Mount-2-Trojan File in s Clone Laenge: 784 Bytes Rest siehe oben bei Aibon2-Mount2-Clone - MsgTop V1.0 siehe oben Devil_11_B.Door Laenge gepackt: 13548 VT erkennt Imploder Laenge einmal entpackt: 17884 VT erkennt Devil_11 - MST-VEC Virus File s.o. CLP-Virus Clone2 oder DOOR BELLS - MST-Inte Virus File s.o. CLP-Virus Clone2 - MUTILATOR-Virus BB Namensbegruendung: siehe unten Fordert trackdisk.device NICHT Im Speicher immer ab $7CAD0 Verbogene Vektoren: Cool, DoIo Decodiert mit eori.b #$27,(a1)+ steht im Speicher: 00000000 00aa0c54 48495320 49532054 .......THIS IS T 4845204e 4557204d 5554494c 41544f52 HE NEW MUTILATOR 2d564952 55532021 000100d2 14425920 -VIRUS !.....BY 4d415820 4f462053 5441524c 49474854 MAX OF STARLIGHT 00000000 00005468 616e7820 746f2054 ......Thanx to T 68652045 78656375 746f7273 20666f72 he Executors for 20537072 65616469 6e672074 68697320 Spreading this 47524541 5420636f 64652021 20646f6e GREAT code ! don 653a202d 20313939 32202d20 00000000 e: - 1992 - .... Vermehrung: BB Vermehrung mit DoIo ist nur moeglich, wenn Speicher ab $C000000 vorhanden ist !!!! Schaeden: Sobald eine Zaehlzelle den Wert $e0 und eine andere den Wert 3 erreicht hat, Textausgabe (s.o.) - MVK 17.11.92 FileVirus Laenge: 1052 Bytes wird weitergegeben als MVK.lzh Laenge: 1171 Bytes Namensbegruendung: aus Readme.file in Archiv Laenge: 469 Bytes Yeah, SUPPLEX presents a new Mini-Virus-Killer !!! To Start write > MVK < and MVK is than aktiv in your Memory, don't panic it is not a Virus.......... MVK-Archiv contains : MVK.exe Readme.file ( You read this now ) Im File ist uncodiert zu lesen: 2A2C202F 41414600 F00F412E 492E442E *, /AAF.d.A.I.D. 53205649 5255532D 48554E54 455200FF S VIRUS-HUNTER.y Es handelt sich also um eine Meisterleistung: - jemand hat es geschafft L.A.D.S in A.I.D.S umzuwandeln. - jemand hat es geschafft mit einem UtilityPrg einen BB in ein ausfuehrbares Prg. umzuwandeln. - jemand hat es NICHT geschafft die codierte Graphik-Text-Routine zu aendern Es handelt sich also in Wirklichkeit um den LADS-BB-Virus. Lesen Sie bitte dort nach. Das Prg vermehrt sich NUR als BB. Da die DOS0-BB-Kennung fehlt, entsteht eine nicht bootbare Disk !!! VT erkennt im Speicher und beim FileTest LADS-Virus. - MwB-Virus BB ein echter Julie s.o. Da der Julie.BB nicht den ganzen BB braucht, hat es jemand geschafft, einen Text einzubauen, der NIE erreicht wird. VT erkennt weiterhin Julie . ccccc9df df000000 4d77422f 4777482f ........MwB/GwH/ 74686520 62657374 20696e20 686f6c6c the best in holl 616e6400 00000000 00000000 00000000 and............. - NANO File-Virus Laenge: 1484 Bytes KS2.04: ja Im Speicher immer ab: $7C000 Cool $7C0DE, OldOpenLib $7C1CC und SumKickData $7C3B2 Grundgeruest ist die Compuphagozyte-Familie, erweitert um zwei Ausgaberoutinen. Schreibt in erste Zeile der startup-sequence: $A0A0A0A0A0A0," ",$0A Schreibt sich als unsichtbares ($A0A0A0A0A0A0) Programm in die Root-Dir (erzwungen durch : ). Beim Test gab es Probleme fuer das Virus-Prg, die richtige Startup- Sequence-Laenge zurueckzuschreiben. Sie muessen also mit dem Total- verlust der Startup-Sequence rechnen. Weiterhin wird die startup- sequence immer wieder verseucht (Beispiel s.u.), OHNE Test auf schon veraendert. Also eine typische ANFAENGER-Programmierung. a0a0a0a0 a0a0200a a0a0a0a0 a0a0200a . . a0a0a0a0 a0a0200a a0a0a0a0 a0a0200a . . a0a0a0a0 a0a0200a 636c730a 0a020000 .cls..... Hat zwei Zaehlzellen: a) Ausgabe der Deutschlandfarben b) DisplayAlert: ... another masterpiece by N A N O !!! GREETINGS TO: Byte Bandit, Byte Warrior, DEF JAM, DiskDoktors FANTASY, Foundation For The Extermination Of Lamers, I.R.Q. Team, Obelisk Softworks Crew, S.C.A., UNIT A ... VT2.52 erkennt und loescht: 31.03.93 Bitte denken Sie daran, auch die startup-sequence zu aendern !!! - Nano 2 FileVirus Laenge: 1472 Bytes Im Speicher immer ab $7C000, Vektoren werden teilweise nach $7A000 gerettet. Namensbegruendung: Im File ist zu lesen: Virus in 9.91 by Nano (die Jahreszahl duerfte falsch sein) Ein codierter Bereich fehlt im Gegensatz zu CompuPhagozyte 8 ALLE verbogenen Vektoren und Routinen sind gleich, liegen aber natuerlich an verschobenen Speicherstellen, da der Eingangstext von CompuPhagozyte 8 laenger ist. Also lesen Sie bitte das gleiche Verhalten bei CompuPhagozyte 8 nach. Fehlerquelle2 : Das Virusteil verraet sich nach einem Reset und schreibge- schuetzter Disk mit einem SystemRequest: Volume xyz is write protected VT loescht Nano2 . Sie muessen mit einem Editor die 1.Zeile der Startup-sequence loeschen !!!!!! - NaST 29.03.92 File Laenge: 2608 Bytes auch KS2.04 Grundgeruest: BGS9 KickMem, KickTag, KickCheckSum, Openwindow (int.lib) Neu: $6c, FindTask, OldOpenLib, NewOpenLib dafuer fehlt decode BitPlanes Herkunft des Namens: 2x im Virus-File zu lesen verschiebt Orig-File unsichtbar nach c $A020A020A020202020A0202020A0 VT versucht zuerst rename und falls OrigFile nicht gefunden, wird angeboten das Virus-File allein zu loeschen. Dann muessen Sie aber wahrscheinlich die 1.Zeile der startup-sequence aendern. - Nasty-Nasty BB nur KS1.2 immer ab $7F000 Cool, DoIo, Userstate, Superstate, Alert Vermehrung und Schaeden: - BB - sobald die Zaehlzelle den Wert 5 erreicht hat: format Disk Das VirusPrg gibt keine Meldung aus. Im BB ist Nasty-Nasty! zu lesen. - NAZI-Virus BB s.u. SCA-PKK Virus - New Age Virus Link Verbogener Vektor: DosWrite Verlaengert ein File um 668 Bytes KS 1.3: nein KS 2.0: ja mit Test ob in dos.lib $4EF9 verwendet wird Nicht Resetfest Verseuchte Files sind SELTEN lauffaehig. VT bietet nur loeschen an. Im verseuchten File ist uncodiert zu lesen: 4bc20000 00030032 4e657720 41676520 K......2New Age 56697275 7320a920 31393932 20427920 Virus . 1992 By 4576696c 204a6573 7573646f 732e6c69 Evil Jesusdos.li Vermehrungsbedingungen: File groesser 4096 Bytes File kleiner 65536 Bytes File ist ausfuehrbar 3F3 Die ersten vier Bytes im 1.Hunk enthalten nicht $4e75 oder $4AFC (wg. Lib) Das Teil schreibt sich an den Anfang des 1.Hunks und verschiebt den Rest. Die HUNK-Reloc-Behandlungsroutine ist so schlecht, dass kaum ein verseuchtes File richtig arbeiten kann. - NO BANDIT (siehe unten Virenfinder) - NoCare-Virus s.o. Labtec-Trojan - No head s.b. ByteBanditPlus - No Name 1 anderer und richtiger Name : Byte Bandit 2 kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5 SpeicherLage ueber structMemList, Speicherreservierung fuer neuen BBVirus mit allocmem, Zaehlstelle: Virusstart + $1c Vermehrung: ueber BB Im BB lesbar: trackdisk.device (weit unten) ein ByteBanditClone, ohne Tastaturabfrage, nur 5 Kopien und kuerzer gesetzter Zeit - NoName2 BB Cool, DoIo, SumKickData auch KS2.04 Vermehrungszaehler: bei mir $269 Es ist mir ein Raetsel, warum dieser BB solange unbemerkt bleiben konnte. Im letzten Jahr hat es kein Virus weiter als $10 ge- bracht. Dann hat ihn jemand spaetestens entdeckt. ??? Erstinstallierung im Speicher von BB: Falls Cool und KickTag nicht Null oder DoIo nicht Original, dann RESET. Nach Installierung und Reset sichert der Virus sein Prg durch AllocAbs. Vermehrung und Schaden: ueber BootBlock Rueckgabewert von SumKickData in d0 enthaelt Wert aus $DFF006. Virus meldet sich NIE. Kein Name versteckt oder codiert, deshalb NoName2 . Im BB ist ab $264 trackdisk.device zu lesen. - No-Guru V2.0 Filelaenge: 1224 Bytes (mit PP-Data-Prg.teil) Nach meiner Meinung nur gefaehrlich fuer AmiExpress-Benutzer (hab ich nicht) verbiegt: Alert, Autorequest Textausgabe im Cli: u.a. Making life with AmiExpress just that little bit easier... Sucht nach bss:user.data ; Falls vorhanden werden $8000 Bytes geladen. Der geladene Teil wird nach renegade, jock rockwell oder spiral durchsucht und gegebenenfalls geaenderte Daten zurueckgeschrieben. Empfehlung: loeschen - NorthStar anderer Name: Starfire s.u. - NoVi (File) TerroristsClone s.u. Laenge:1612 Bytes Aenderungen: TTV1 geaendert in NoVi Orig-File wird jetzt nach sys:c/.fastdir,$A0 verschoben. - Nuked007 siehe bei SHIT - Obelisk1 ( Deutschlandfahne + Graphiktext) Einsprung:cool schreibt in Speicherstelle $00000060 das Wort GURU zerstoert damit den Ausnahmevector, der ins ROM IR-Ebene 7 zeigt !! - Obelisk2 Begin, KickTag, KickCheckSum, Vec5 Einsprung:KickTag ,drei ZaehlZellen, Ausgabe:Graphik- text mit FormatAndrohung, wird nur durch KopfAnschlag vorgetaeuscht !! Nachweis mit TrackDisplay !! Speicherstelle $60 s.o. - O.M.S.A Virus BB TimeBomb V1.0 Clone siehe unten Nur Texte geaendert. Text fuer DisplayAlert: 14486568 652e2e2e 4c6f6f6b 73206c69 .Hehe...Looks li 6b652079 6f757220 6469736b 20676f74 ke your disk got 20667563 6b656421 2054616b 65206120 fucked! Take a 73686f77 65722121 21000000 42b90007 shower!!!...B... Namensbegruendung: 4f2e4d2e 532e4120 76697275 73207631 O.M.S.A virus v1 2e302100 00000000 00000000 00000000 .0!............. - OP1 (Neuseeland) richtiger Name: Joshua - OPAPA Begin, KickTag, KickCheckSum, Vec5 Zaehlzelle: ja, Vermehrung: ueber BB jedes LW Textausgabe (ueber Graphik) OPAPA-VIRUS READY STEADY FORMAT Kopf steppt nach Track 0 alle LW Clone: 04.03.92 Text entfernt - Overkill VIRUS BB Block 0-3 auch KS2.04, immer ab $7F700 Cool, KickCheckSum,SumKickData, DoIo fordert trackdisk.device NICHT = auch HD !!!!!!! Namensbegruendung: decodiert ist im Speicher zu lesen: Overkill by the ENEMY ! Decodierroutineteil: sub.b d6,d5 move.b d5,(a5)+ holt 4 Bloecke: Block 0 u. 1 = Virus Block 2 u. 3 = OrigBB nicht codiert Vermehrung: Codiert jeden Virus fuer BB neu in Abhaengigkeit von $DFF006 speichert 4 Blocke ab, d.h. ein File das Block 2 u. 3 belegt, wird zerstoert. Schaden: (auch HD!!!!!!!!) - Bestimmt ueber $DFF006 eine Blocknummer - Schreibt ZWEI Bloecke (ist neu) mit Speicherinhalt. d.h. im unguenstigen Fall wird Block1 an das Ende eines Files und Block2 an den Beginn eines zweiten Files geschrieben. Diese Files sind NICHT zu retten. Im 1.ZerstoerungsBlock steht ab $22 Overkill by the ENEMY !. Da KEINE Blockaus- wertung erfolgt, kann auch ein Dir-Block, ListBlock usw. zerstoert werden. Versuchen Sie bitte mit disksalv zu retten, was noch brauchbar ist. Zyl 0 Block 55 ^ 0000: 0007f708 00000000 4afc0007 f7080007 ........J....... 0010: ff00011f 00450007 f7220007 f7220007 .....E..."...".. 0020: f7d64f76 65726b69 6c6c2062 79207468 ..Overkill by th 0030: 6520454e 454d5920 21002879 0007fab0 e ENEMY !.(y.... Sie sehen: Es kann auch den Rigid-Bereich erwischen !!! Mit OrigBB koennen Sie den Block2-3 nach Block0-1 kopieren und abspeichern. VT kennt BB und Speicher: 17.10.92 - PARADOX I KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F800 Vermehrung und Schaden: Bootblock Text sichtbar im BB: * A new age of virus-production has begun ... This time PARADOX brings you the "LOGIC BOMB" Virus !!! * - PARADOX II Kicktag, KickChecksum im Prg. DoIo u $6c, immer $7F000 verschluesselt mit move.b $DFF006,D1 und eor.b d1,(a0)+ Vermehrung und Schaden: Bootblock Text nach Entschluesselung: This is the second VIRUS by PARADOX - For swapping call: 42-455416 - ask for Hendrik Hansen - PARAMOUNT nur KS1.2 Kicktag, KickCheckSum, DoIo, immer $7F800 Byte-Warrior-Clone, loescht Cold und Cool fordert trackdisk.device NICHT Vermehrung:BB im BB zu lesen: PARAMOUNT SOFTWORKS usw. - PARATAX SCA-Clone, Cool immer 7EC3E, nur anderer Text - PARATAX II Disk-Dokters-Clone, nur KS1.2 da DoIo-ROMEinsprung Cold, Cool, DoIo, im Prg. Vec5 im BB sichtbar: PARATAX II clipboard.device durch ".dos.library" ersetzt je nach Zaehlerstand wird eigener BB geschrieben oder Disk ab Cylinder 40 (ROOT) formatiert - PARATAX III 16BitCrewClone s.o. Unterschied: The 16Bit Crew 1988 in PARATAX III (!!!) geaendert eine echte Meisterleistung - Parfum-Virus Saddam-Disk-Validator-Clone s.u. 6b2e6465 76696365 00010820 50617266 k.device... Parf 756d2056 69727573 00000000 03f30000 um Virus........ - PayDay BB eigentlich ein AntiVirusBB schauen Sie unten - PentagonCircle cool,kickchecksum Fastmem ja, im Speicher immer ab $7fb00, im Prg. noch DoIo testet auf einige Viren, Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer by Mr.Moutainlake! - Pentagon-defekt Es wird ein Pentagon-BB weitergegeben, in dem das 4.LW Null ist. Dieser Bootblock ist NICHT bootfaehig. - PentagonVirusSlayer2: cool, KickCheckSum, immer ab $7f000 Fastmem ja, im Prg. DoIo, Programmierung voellig anders als Pentagon, Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer 2 by Mr.Mountainlake! - PentagonVirusSlayer3: Cool, KickCheckSum, immer ab $7e000 Fastmem ja, im Prg. DoIo, FindResident Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer by Mr.Mountainlake! - PentagonCircle 4 cool,kickchecksum im Speicher immer ab $7fb00, im Prg. noch DoIo beim Booten immer GURU !!! Grund: es hat jemand geschafft "dos.libr" zu erzeugen. Der Rest fehlt. ABER !!!! bevor diese Fehlerquelle erreicht wird, wurde schon Cool verbogen. Wenn Sie jetzt nur 512 kb Chipmem haben und beim 2. Start die Maustaste druecken, wird der Bildschirm gruen. Jetzt legen Sie einen "echten" BB ein und schon kann sich der Pentagon-BB vermehren. Aber auch der vermehrte BB enthaelt obengenannten Fehler. Empfehlung deshalb : sofort loeschen - PERVERSE I anderer Name: BOOTX-Virus s.o. - PHA Trojan Filename: pha-1994.exe Begleittext: P H E N O M E N A ' 9 3 - SWEDISH ELITE! usw. siehe auch bei CLP-Trojan, UA62-ACP-Trojan ZerstoerungsFile: Gepackt: Laenge 57508 Bytes Entpackt: Laenge 120624 Bytes Keine verbogenen Vektoren. Keine Vermehrung Es handelt sich um eine CLP-Variante (Text geaendert), die an ein XCopy mit Weihnachtsmotiv gehaengt wurde (mit 4EB9-$EF9-Link). Im XCopy-Teil wurde eine Versionsangabe gefunden:xcopver 24564552 3a205843 6f707920 31322e39 $VER: XCopy 12.9 33006100 2d286100 01c02c79 00000004 3.a.-(a...,y.... Ob es diese Version wirklich gibt, kann ich nicht sagen. Schaden: Schreibt in alle Files in S: egal ob Data oder Prg. einen Text. Ed-startup vorher: 73692030 20203120 2250726f 6a656374 si 0 1 "Project 220a7369 20312020 3220224f 70656e2e ".si 1 2 "Open. 2e2e2020 20204553 436f7022 20226f70 .. ESCop" "op 203f202f 46696c65 3a202f22 0a736920 ? /File: /".si 32202034 0a736920 33202032 20225361 2 4.si 3 2 "Sa Ed-startup nachher: 64522e57 486f2077 69736865 7320796f dR.WHo wishes yo 75206120 68617070 79206e65 77207965 u a happy new ye 6172212e 2e2e2054 68697320 77617320 ar!... This was 646f6e65 20696e20 31737420 6a616e75 done in 1st janu 61727920 31393934 2054494d 453a2030 ary 1994 TIME: 0 393a3030 2e2e2e20 68616821 2e2e2e20 9:00... hah!... 4f4b2e2e 2e205068 756b6b20 74686973 OK... Phukk this 20677579 73207570 20666f72 20757320 guys up for us 3a205248 59532f46 4149524c 49474854 : RHYS/FAIRLIGHT 2c204543 484f2647 5549444f 20414e44 , ECHO&GUIDO AND 20414c4c 204e415a 49205348 49544845 ALL NAZI SHITHE 41445321 2053544f 50204641 53434953 ADS! STOP FASCIS 4d202a4e 4f57212a 2e2e2e20 20202f64 M *NOW!*... /d 522e5748 4f212022 0a736920 38202031 R.WHO! ".si 8 1 Die Files werden unbrauchbar und VT bietet loeschen an. Die Wirkungsweise ist also aehnlich wie bei CLP-Trojan (hab ich nicht). Fileerkennung: gepackt: VT erkennt PHA Trojan mit FRAGEZEICHEN. VT kann sich also taeuschen. Bitte kopieren Sie das Teil auf eine leere Disk und entpacken sie das Teil mit einem Prg. ihrer Wahl. entpackt: VT erkennt PHA Trojan ohne Fragezeichen. Es handelt sich um einen 4EB9-4EF9-Link. Wenn Sie das XCopy-Teil unbedingt ausprobieren wollen, so waehlen Sie Ausbau. Falls das Teil nach dem Ausbau NICHT laeuft, dann gehen Sie bitte in den Filerequester und schalten dort mit 1Linkaus das Trojanteil ab. Aber noch einmal: Ich kenne dieses XCopy-Teil NICHT. Es koennen sich in diesem Teil weitere Gemeinheiten befinden. Kaufen Sie ein Original-XCopy, wenn Sie so etwas brauchen. - PIF-Virus s.o. bei MENEM'S REVENGE Der codierte DisplayAlert-Text ist nicht geaendert. - PLASTIQUE BB Cool $7ED5E immer ab: $7EC00 auch KS2.04 von der Definition kein Virus, da keine Vermehrung. Die Routinen sind zwar vorhanden, werden aber NIE erreicht. Namensbegruendung: im BB zu lesen: 00000000 00000000 00000000 003e3e3e .............>>> 2050204c 20412053 20542049 20512055 P L A S T I Q U 20452020 3c3c3c2e 2e2e2e00 00000000 E <<<......... Grundgeruest ist der 16-Bit-Crew-BB. Der Cool-Einsprung wurde geaendert, deshalb ist keine Vermehrung ueber DoIo moeglich. Schaeden: Sobald eine Zaehlzelle den Wert #10 erreicht hat, werden mehrere Vektoren auf den ROM-Beginn verbogen, d.h. sobald die Vektoren benutzt werden, wird ein Absturz her- vorgerufen. - POLISH BB Cool, DoIo auch KS2.04 BB codiert mit Wert aus $DFF006 Schaeden: Vermehrung mit BB Sobald Zaehlzelle 8 erreicht hat: DisplayAlert Unterschied zu anderen Chaos-BBen: add.b d0,(a0)+ durch eor.b d0,(a0)+ ersetzt. Decodierter DisplayAlert-Text: 61636b64 69736b00 00960c50 4f4c4953 ackdisk....POLIS 4820502d 31422049 53205255 4e4e494e H P-1B IS RUNNIN 472e2e20 20202020 2047454e 45524154 G.. GENERAT 494f4e20 3a203030 32320000 000048e7 ION : 0022....H. siehe auch: Chaos, Taipan-Lameblame, CHEATER HIJACKER, Taipan- Chaos, Lameblame, - POWERBOMB ByteBandit/Forpib-Clone s.o. Text: POWERBOMB SYSTEMS PRESENTS: BYTE BANDIT V2.0 !!! - PowerTeam BB KickTag, KickCheckSum, BeginIo nicht mit KS2.04 Teile des BB's codiert mit eor.w d1,(a0)+ Schaeden: - Sobald die Zaehlzelle den Wert $a erreicht hat, Textausgabe mit DisplayAlert und dann bei mir Absturz. Text: Virus Meditation #0026051990.PowerTeam - PP-Bomb Powerpacker, File-Trojan, keine Vermehrung, Vers.Nr. 3.2 - 3 Programmteile - kurzer CodeHunk mit 2 jsr-Befehlen (notwendig fuer Ablauf) - crunched Bomb-Teil - Powerpacker 3.0b (ich glaube: NICHT veraendert und nicht ge- crunched) Bomb-Teil: wird zuerst angesprungen, decrunched Laenge: 9880 Bytes Aztec-Prg mit dt. Fehlermeldungen (z.B. Fehler bei DISKFONTBASE) - sucht zuerst SnoopDos-Task; falls ja Bomb-Ende - sucht in c von dh0: und/oder dh1: nach why und setzt das File auf 0 Bytes - enthaelt alle Dos-Befehle um Files zu veraendern (sucht auch auf dh0: und dh1:, ist getestet). - soll AmiExpress veraendern (hab ich nicht) - weitere Eintraege: BBS: DH0:BBS/ DH1:BBS/ DH0: DH1: Ursprung: qtx_pow.lzh 139670 Bytes Empfehlung: (s.u.) loeschen und Original-Powerpacker aufkopieren Nachtrag 29.12.92: Es wurde mir ein weiteres verseuchtes File zugeschickt. Name: snap Laenge: 44260 Bytes Daraufhin wurden die Linkversuche mit PP wiederholt und mit snap neu durchgefuehrt. An beide Files kann sich der PP-Bomb- Teil NICHT von selbst linken. Es hat also jemand nachgehol- fen. Nachtrag 30.12.92: Es wurde in VT eine PP-Bomb-Ausbauroutine eingebaut. Diese Routine koennte wackeln. Fertigen Sie BITTE deshalb VOR dem Ausbauversuch ein Kopie an. Testen Sie nach dem Ausbau bitte die Lauffaehigkeit des verkuerzten Programms. Danke Nachtrag 16.02.93: Es ist ein weiterer PP-Bomb Clone aufgetaucht. Haengt an Died. Died verseucht Laenge: 67028 Bytes Ausgabe: PP-Bomb 2 Besonderheit: Das PP-Bomb-Trojan-Teil wurde in der Laenge ge- kuerzt !!! Da im gepackten Teil eine Hunk-Kennung von $3EA auf $3E9 geaendert wurde, besteht Absturzgefahr ???? (2.Start von verseuchtem Died auf A4000 = GURU) Erkennung und Ausbau mit VT getestet: 16/17.02.93 Nachtrag 17.02.93: Es ist ein weiterer PP-Bomb Clone aufgetaucht. Haengt an MegaMon. MegaMon verseucht Laenge: 26856 Bytes Ausgabe: PP-Bomb 3 Besonderheit: Das PP-Bomb-Trojan-Teil wurde in der Laenge ge- kuerzt !!! Erkennung und Ausbau mit VT getestet: 17.02.93 Nachtrag 10.12.93: Es ist ein weiterer PP-Bomb Clone aufgetaucht. Haengt an Died V2.8 . Died V2.8 verseucht UND gepackt Laenge: 31320 Bytes Besonderheit: Es handelt sich um das verseuchte Died-Prg. (s.o.). Die ASCII-Version wurde erhoeht, der PP-Bomb-Teil mit $4eb9 ange- linkt und dann das ganze File noch gepackt. VT bietet loeschen an. Wenn Sie das Died-Prg. V2.8 umbedingt haben wollen (es ist wirk- lich nur ein ASCII-Fake), so entpacken Sie bitte das Prg. Danach bietet VT Ausbau an. Died V2.8 Virusteil ausgebaut Laenge: 61692 Bytes Erkennung und Ausbau mit VT getestet: 10.12.93 Nachtrag 25.12.93: Es ist ein weiterer PP-Bomb Clone aufgetaucht. Haengt an ModuleMaster V1.7 . ModuleMaster verseucht Laenge : 20364 Bytes ModuleMaster Virusteil ausgebaut : 15108 Bytes Ausgabe: PP-Bomb 4 Erkennung und Ausbau mit VT getestet: 25.12.93 PP-Bomb-Virusteil entpackt Auszug: 42425300 BBS. 44483000 44483100 44483000 44483100 DH0.DH1.DH0.DH1. 4242533a 00444830 3a424253 2f004448 BBS:.DH0:BBS/.DH 313a4242 532f0044 48303a00 4448313a 1:BBS/.DH0:.DH1: ...... 536e6f6f 70446f73 00433a57 `...SnoopDos.C:W 68790077 hy.w - PRIMAVERA-Virus BB EXTREME-Clone siehe oben Nur Text geaendert. Im BB ist zu lesen: 696f6e2e 6c696272 61727900 00b01554 ion.library....T 68652052 65747572 6e206f66 20507269 he Return of Pri 6d612056 65726120 56697275 73212121 ma Vera Virus!!! - Pstats-Virus File Laenge ungepackt: 19784 Bytes GFA-Basic-Programm. Keine verbogenen Vektoren Zielgerichtet gegen PHOBOS. Ein Mailbox-Programm (kenne ich nicht). Bleibt nicht im Speicher. Von der Definition ein reines Zer- stoerungsprogramm und kein Virus, da keine Vermehrung. Also KEINE Gefahr fuer "normale" Amiga-User. Es wird nach einigen Filenamen gesucht und dann deren Inhalt mit Speichermuell ueberschrieben. S:PHOBOS.CONF NETZCONFIG BRETTERCONFIG USERCONFIG Einige der oben genannten Filenamen werden auch noch mit der Er- weiterung .TAPO, .BAK, .CONF1 usw. gesucht. Nach der Zerstoerungs- arbeit wird also das Mailboxsystem nicht mehr laufen. Empfehlung: loeschen Es gibt da nichts auszubauen, da das Virusteil IM GFA-Teil sitzt. Der Programmierer MUSS also den sourcecode von pstats besitzen. Zumindestens ist mir kein Recompiler fuer GFA-Basic bekannt. - Pseudoselfwriter andere Namen: Selfwriter, Lamer7 - PVL.BB (L) Nach meiner Meinung NIE lauffaehig. Warum er dann doch hier steht. Weil dieser BB als Virus weitergegeben wird und damit die Erbsenzaehler eine Ruhe geben. Ich habe auf jeder Maschine nur den GURU gesehen und wenn man versucht den BB zu re- assemblieren, sieht man auch warum. Versucht durch Text zu taeuschen: 00261054 68697320 4469736b 20497320 .&.This Disk Is 6e6f7420 496e6665 63746564 20427920 not Infected By 416e7920 4b696e64 204f6620 56697275 Any Kind Of Viru 73204974 73204f6b 61792021 00010012 s Its Okay !.... 204c6566 74204d6f 75736542 7574746f Left MouseButto 6e3a2043 6f6e7469 6e756520 776f726b n: Continue work 202c2052 69676874 204d6f75 73654275 , Right MouseBu 74746f6e 3a204272 65616b20 20200000 tton: Break .. 00341054 68697320 6469736b 20697320 .4.This disk is 6f6b6179 20636f6e 74696e75 65207769 okay continue wi 74682079 6f757220 776f726b 696e6720 th your working 20200001 0012204c 65667420 4d6f7573 .... Left Mous 65427574 746f6e3a 20436f6e 74696e75 eButton: Continu 6520776f 726b202c 20526967 6874204d e work , Right M 6f757365 42757474 6f6e3a20 42726561 ouseButton: Brea 6b202020 0000ffff ffffffff ffffffff k ............ - QRDL V1.1 Link verlaengert ein File um 2320 Bytes Vermehrung nur gelungen mit KS1.3 und Chip 512 kein Fastmem KS37.300 (A600) : immer GURU 3 Haengt sich als 1.Hunk (neuer) ein. Zuerst gefunden an: PPLoadSeg Laenge verseucht: 3484 Bytes Namensbegruendung: nach eor.b d5,(a0)+ ist im Speicher zu lesen: 00000000 28432931 3939322D 30342D31 ....(C)1992-04-1 36205152 444C2E20 52656C65 61736520 6 QRDL. Release 312E3120 426F726E 20696E20 506F6C61 1.1 Born in Pola 6E642C20 47727420 746F204A 61636B20 nd, Grt to Jack Verbogene Vektoren je nach Aktivierungsstand: Cool, DoIo, NewOpenLib, OpenWindow, $78(a6)->, Schaden A: Sucht den BitMapBlock einer Disk und gibt alle Bloecke frei. Fehler konnte erzeugt werden. Schaden B: Linkt sich an das erste File der startup-sequence. Mit KS1.3 (s.o.) gelungen Speichererkennung getestet: 20.11.92 Fileerkennung und Ausbau getestet: 20.11.92 Hinweis: Sie muessen auf Aufforderung PPLOADSeg loeschen, sonst besteht die Gefahr, dass VT den QRDL im Speicher uebersieht. Ich wiederhole mich ungern, aber noch einmal: Fuer einen sinnvollen Filetest mit VT MUSS!!!! der Speicher sauber sein. Dies gilt nicht nur fuer QRDL, sondern allge- mein. - RAF-Virus BB WARHAWK-Clone s.u. Nur Text geaendert. Eine Meisterleistung Im BB ist zu lesen: 4b54494f 4e2e2020 20204120 56495255 KTION. A VIRU 53204120 44415920 4b454550 53205448 S A DAY KEEPS TH 4520424f 4f54424c 4f434b53 20415741 E BOOTBLOCKS AWA 59212121 21212120 20205241 46002c28 Y!!!!!! RAF.,( Hinweis: Das Programm sichert den Bereich ab $7E600 NICHT. D.h. ein anderes Prg. z.B. VT kann genau an diese Stelle geladen werden. Da der verbogene Coolzeiger in der Exec liegt und dieser Bereich ja geschuetzt ist, kann es zur Aus- gabe "unbekanntes Prg" kommen. Mit 5 MB wurde dieses Virusteil im Speicher richtig erkannt, aber natuerlich bleibt unter KS1.3 bei dieser Speichergroesse, nach einem RESET das Prg. nicht er- halten und eine Vermehrung ist ueber DoIo nicht moeglich. - Random Access CopperIntro schreibt GURU nach $60, nicht resident, keine Vermehrung Empfehlung: sofort loeschen von der Definition KEIN Virus, aber schaedlich wg. $60 - Red October V1.7 Link Name im Prg nicht nachvollziehbar auch KS2.04, Laenge Ursprungsfile ungepackt: 1296 Bytes keine verbogenen Vektoren, schnelle Vermehrung (20min eine Disk komplett verseucht). Haengt sich vor den ersten Hunk und verlaengert das File um 1296 Bytes. In einem verseuchten File ist um $500 zu lesen: timer.device, dos.library, ram: ram:1 . Virus meldet sich NIE. Manche verseuchten Files ver- suchten zwar noch erfolgreich eine Vermehrung, aber bei Aus- fuehrung des eigentlichen Prg.s GURU. VT versucht auch diese Files retten. Schaeden in Abhaengigkeit von der Computer-Systemzeit: Computer-Sekunden teilbar durch 3 = Vermehrungsversuch Computer-Sekunden teilbar durch 16 = RESET Vermehrungsbedingungen: - nur bei Aufruf eines verseuchten Files - sucht mit lock, info, examine, exnext andere Files - testet auf Schreibschutz (#80) - File ausfuehrbar ($3F3) - File kleiner #50000 - File noch nicht befallen - KEIN Test auf Disk voll VT-Test: 27.03.92 Ursprungsfile wird geloescht (da gibt es nichts auszubauen). Aus verseuchten Files (auch GURU-Files s.o.) wird Link aus- gebaut. ALLE Files waren wieder im Originalzustand und voll lauffaehig. - Registrator-Virus File s.o. bei AeReg.BBS-Trojan - Rel 01.28 Virus File s.o. DOOR_BELLS-Virus - Rene anderer Name: bei mir Lamer8 da im entschluesselten Programm The LAMER Ex... zu lesen ist und das Verhalten einem Lamervirus entspricht, halte ich eine Zuordnung zur Lamer-Gruppe fuer richtig. - REP-Virus SCA-Clone nur Text geaendert 32165468 65204d65 67612d4d 69676874 2.The Mega-Might 79205245 50202121 dc6e0000 4ef90000 y REP !!.n..N... 00004121 52455021 52455021 52455021 ..A!REP!REP!REP! - Return Of The Lamer PrgFileVirus Laenge 1848 Bytes nur KRESET (Entschuldigung) tarnt sich als Disk-Validator KickTag, KickCheckSum, BeginIo und andere zu erkennen an: hat im Gegensatz zum Orig.Disk-Validator keinen lesbaren ASCII-Text Schaeden in Abhaengigkeit von der Zeit: a) bestimmt eine Blocknummer ueber $DFF007 und schreibt 64 x LAMER!!! hinein b) Fastformatroutine fuer alle Laufwerke und ueber DisplayAlert Textausgabe: The Return Of The Lamer Exterminator c) schreibt den falschen Disk-Validator auf Disk - Revenge Bootloader! Begin, KickTag, KickCheckSum, Vec5 Fastmem: nein Vermehrung ueber BB - Revenge V1.2 cool,doio,vec5 , im Speicher immer $7e000 und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste) Vermehrung: ueber BB Schaden: nach einger Zeit neuer Mauszeiger im BB sichtbar: Revenge V1.2GCount: - Revenge of the Lamer PrgFileVirus Laenge 4560 Bytes nur KRESET (Entschuldigung) es werden mir zuviele Zeiger verbogen (10!!) entschluesselt steht im Speicher: dos.library.graphics.library.intuition.library. trackdisk.device.DOS s/startup.sequence usw. Name:$A0A0A0A0A0 steht im Hauptverzeichnis und 1.Zeile Startup testet vor Vermehrung ob genuegend Platz auf Disk ist nach 6 Resets (denke ich), Formatieren aller eingelegten nicht schreibgeschuetzten Disks 3 Seiten Alert-Meldung - Revenge of the Lamer 2 PrgFileVirus Laenge 4448 Bytes einige Write-Test-Routinen fehlen, sonst wie Revenge of the Lamer W A R N U N G: es ist mir beim Testen gelungen, Revenge of the Lamer 1 u. 2 so zu vermehren, dass SID und andere Prg.e die 5 A0 n i c h t anzeigen. Mein FileRequester auch nicht. Das VirusPrg. wird aber a u c h bei diesen Disks aktiviert und vermehrt sich !!! Mit einem DiskMonitor kann das Prg. ge- funden werden. Bei meinem PrgTest erscheint dann: Rev. Lam. unsichtbar Dies ist kein Schwachsinn, sondern der Sachverhalt wurde von anderen Programmierern nach meiner Entdeckung gegengeprueft und eine Fehlfunktion bei ExNext KS1.3 entdeckt. Dieser Fehler ist bei KS2.0 behoben. (vgl. auch Fish 429 Dr.doc) - RIPPER Programcode = Northstar, nur anderer Text cool im Prg. DoIo immer ab $7ec00 Vermehrung: BB Text (auch im BB sichtbar):ATARI KILLS COMMODORE! RIP! RIP THE RIPPER usw. - Riska Forpib-Clone s.o. - Rob Northern File Laenge: 2616 BGS9 Clone s.o Rob Northern im File lesbar Anfaengeraenderung: !!!! testet immer noch auf TTV1 obwohl nicht mehr vorhanden schreibt nur 2608 Bytes zurueck (Geruechte behaupten, dies waere die Originallaenge von BGS9 ???) vergisst 3F3 zu schreiben d.h. ein vermehrtes Prg ist NICHT mehr lauffaehig d.h. die startup-sequence einer verseuchten Disk bricht ab VT findet weiterhin BGS9 im Speicher. Bei BlockKette wird Rob nicht gefunden, da 3F3 fehlt. Ausbau mit FileTest. Stand 14.03.92 - Rude Xerox = DIGITAL AGE = Forpib-Clone nur Text geaendert - SACHSEN VIRUS NO.1 Cool, immer ab $78000 fordert trackdisk.device BB-Teile codiert mit move.b #$70,d0 add.b d0,(a0)+ decodiert im Speicher: ** SACHSEN VIRUS NO.1 ** usw Vermehrung: BB sonst keine Schaeden und keine Meldung GURU-Gefahr: sobald das Virus im Speicher ist und ein RESET ausgefuehrt wird, wird CloseDevice verbogen. Mit FastMem ab $200000 dann GURU. - SACHSEN VIRUS NO.3 Cool, DoIo, Wait, immer ab $78000 belegt Block 0-3 (d.h. ein File ab Block 2 wird auch zerstoert. Fordert trackdisk.device NICHT (HD!!!!) Alle Texte codiert. Vermehrung: BootBlock 0 - 3 Schaeden: Schreibt nach Block 880 (Root bei Disk) neuen Disknamen SACHEN NO.3 ON DISK !!! Schreibt in Block (abhaengig von $DFF006) 64 x SACHSEN3 Sollte dieser Block in einem File liegen, so ist dieses File NICHT mehr zu retten. DisplayAlert und dann RESET SACHSEN VIRUS NO.3 in Generation : is running... (bei mir Generation 23) - SADDAM HUSSEIN Bootblockvirus (vgl. auch BlowJob) KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000 Taeuscht durch Text im Bootblock: A2000 MB Memory Controller V2 Vermehrung und Schaden: Bootblock Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein Programmteil mit subi.b #$71,D0 entschluesselt und mit display- Alert der Text ausgegeben: TOO BAD BROTHER ... SADDAM HUSSEIN STRIKES BACK !!! THE ONLY ESCAPE IS TO TURN THE POWER OFF !!! - SADDAM-VIRUS Disk-Validator Laenge:1848 Bytes KS2.04 und hoeher NEIN (Disk-Validator liegt da im ROM) Festplatte NEIN (es wird mit trackdisk.device gearbeitet) HINWEIS: wird manchmal von VirusX mit Australian Parasite verwechselt !!!! Das erste Virusprogramm, das mit 1 MB Chip, Kick1.3 und OHNE setpatch r einen Reset mit der Tastatur uebersteht !!!!!!!! Cold, BeginIo, Close im Trackdisk.device, Rasterstrahl $90(a6) im Prg. dann noch OpenWindow, InitResident, direkte Dos.lib-Ein- spruenge. entschluesselt im Speicher mit: eor.b d0,(a0)+ subq.l #2,d0 dbra d1,loop Zum Verschluesseln eines neuen SADDAM-Disk-Validators wird ein Wert aus $DFF007 in d0 abgelegt. Speicherlage: SysStkLower - veraenderter Wert aus $DFF007 - Virus- programmlaenge Name decodiert: " SADDAM VIRUS" Schaeden und Gefahren: Das Einlegen einer Disk mit ungueltiger BitMap genuegt, um SADDAM zu aktivieren !!!! abhaengig von der Zaehlzelle: KopfStep alle Laufwerke (Disk danach BAD) und DisplayAlert: SADDAM-VIRUS Ueberschreibt jeden echten Disk-Validator auf einer ungeschuetzten Disk !!!!! Falls auf einer Disk kein l-Dir vorhanden ist, wird es erstellt und dann der verseuchte Disk-Validator hineinkopiert. Noch KEIN anderes Virusprogramm hat Unterverzeichnisse angelegt !!!! Sucht ueber den FileHeaderBlock den ersten FileDataBlock und schreibt in T.DATA das LWort IRAK . Der Rest des FileDataBlocks wird mit eor.l d1,(a0)+ dbra d0,loop verschluesselt. Bei aktivem SADDAM-VIRUS wird statt IRAK der richtige Wert 8 angezeigt! (Taeuschung !! vgl. Lamergruppe, die sauberen BB vortaeuscht!) Schreibt manchmal in ROOT in $13c (=Zeiger auf BitMapBlock) den Wert Null. Mit Glueck finden Sie in $140 den Originalwert (abge- legt vom Virusprogramm) . Wenn Sie Pech haben, hat ein anderer Virusprogrammteil diese Stelle kurz danach auch auf Null gesetzt. Versuchen Sie dann mit einer Bootdisk den OriginalDisk-Validator zu starten oder versuchen Sie mit einem Disk-Monitor zu Fuss den BitMapBlock zu finden und wieder in $13c einzutragen. Oder lesen Sie BitMapTest.dok (11.07.91) Hinweis: Versuchen Sie bitte NICHT decode IRAK auf einem fms.device (Grund: phys. und logischer Block verschieden). Sie muessen IRAK auf einer Disk decodieren !!!!! Hinweis 2: Ich besitze inzwischen (21.10.91) einen SADDAM-Disk- Validator mit der Laenge: 1892 Bytes . Dieser Disk-Validator aktiviert sich trotz Null in $138 und $13c nicht, sondern der System-Requester erscheint !!!! Hinweis 3: Um IRAK-codierte Bloecke zu reparieren, verwenden Sie bitte BlockITest. Geht sehr schnell im Vergleich zum FileTest. Danke Hinweis 4 28.07.93 WICHTIG !!!!! Dieser Hinweis gilt NUR fuer KS1.3, da ab KS2.04 der Disk-Validator im ROM sitzt. Es handelt sich um ein "brutales" Vorgehen, das Sie nur als letzte Rettung verwenden sollten. Mir wurde eine Disk zugeschickt, die neben dem SADDAM-Disk-Vali- dator auch noch jede Menge bad-HeaderKey-Fehler hatte. Der Bitmapzeiger war noch in Ordnung !!! und es waren noch keine Files codiert. Unter KS2.04 konnte das Virus-File ohne Probleme geloescht wer- den. Aber mit KS1.3 gab es Probleme wegen der anderen Fehler. Gefundener und mehrmals wiederholter Weg: - Man braucht KS1.3 (und nur dann kann dieser Weg notwendig sein, zusaetzliche Fehler siehe oben) - Eine SCHREIBGESCHUETZTE Bootdisk mit sauberen Disk-Validator - Eine verseuchte Disk mit zusaetzlichen Fehlerquellen. Ablauf: Starten Sie VT Falls VT SADDAM im Speicher findet, loeschen. Dann RootblockTest - bei Bedarf Bitmapzeiger richten - Disk-Validator umbenennen in fal.DisV Dann BlockITest - sobald VT SADDAM findet - zeigen - loeschen (Frage nach Filetest ignorieren) Dann BB->File->BB - Laufwerk waehlen - L waehlen - fal.DiskV anklicken - Delete Falls jetzt groessere Fehler ausser SADDAM auf der Disk sind, erscheint ein GURU. (Hat nichts mit VT zu tun, sondern mit dem Betriebssystem) Falls nur ein LW, Disk entnehmen und von sauberer Disk neu booten. SADDAM-Disk einlegen Requester erscheint und verlangt Bootdisk (wg.Disk-Validator). Bootdisk einlegen und wieder entnehmen. SADDAM-Disk einlegen und warten bis Licht ausgeht. Original- Disk-Validator behebt Fehler. VT-Disk einlegen und VT starten. SADDAM-Disk einlegen mit BB->File->BB fal.DiskV loeschen. Geht jetzt OHNE GURU. Dieser Diskwechsel entfaellt bei 2 LWen. Legen Sie ihre Saubere Bootdisk in DF0 und die SADDAM-Disk in DF1 . Hinweis fuer Othmar: Die bad HeaderKey-Fehler werden behoben, wenn Sie jetzt alle Files von der ehemaligen SADDAM-Disk im Einzelfile-Copymodus (also copy df1: ram: all) ins RAM kopieren und dann wieder zurueck (copy ram: df1: all) . Nocheinmal !!! Dieser umstaendliche Weg war nur notwendig: - bei KS1.3 - wegen der bad HeaderKey-Fehler (die gleiche Disk OHNE bad HeaderKey war auch unter KS1.3 ohne Probleme zu bearbeiten. Also loesche SADDAM-Virus mit FileTest !!!) - SADDAM-Clones verwenden statt IRAK LAME, LOOM, RISC, a0a0a0a0, 363636a0 usw. Testen Sie mit BlockITest und verneinen Sie decode und schauen sich den Block an. Langwort 0 enthaelt das Erkennungslangwort. Decode in BlockITest sollte richtig arbeiten. Falls nein, rufen Sie mich bitte an. Danke - SADDAM-Clones Teil2: Es sind einige Clones (z.B. SADDAM 2 u. 4 (Name nicht nachvoll- ziehbar) ) aufgetaucht, die als Disk-Validator etwas anders codiert sind. Sind von VT aber schon (l:Disk-Validator) beim Filetest als falsch erkannt worden. Naja jetzt hab ich sie und konnte einen Test durchfuehren. Danke - SADDAM-7 Disk-Validator Vermehrung mit KS1.3 als Disk-Validator: ja Codiert die Files nicht, sondern zerstoert die Files, indem SADDAM7! hineingeschrieben wird. Diese Files sind NICHT zu retten. Beim 2. Versuch ein anderes File zu laden und damit zu zerstoeren, habe ich IMMER den GURU3 gesehen. Das Teil muesste sich also sehr schnell verraten. Block: 890 0000: 53414444 414d3721 53414444 414d3721 SADDAM7!SADDAM7! 0010: 53414444 414d3721 53414444 414d3721 SADDAM7!SADDAM7! 0020: 53414444 414d3721 53414444 414d3721 SADDAM7!SADDAM7! VT kann deshalb nur File loeschen anbieten. - SADDAM-File Laenge: 14524 Bytes NICHT lauffaehig Error 121 Grund: Hunklaengenangabe immer noch $1c5 . Sofort loeschen - SADDAM ][ Disk-Validator Laenge: 1848 Bytes Verhalten: s.o. Schreibt IRAK Aenderungen: Name: " SADDAM ][ " andere Decodierroutine: z.B. subq.l #3,d0 (Orig. subq.l #2,d0) Nachtrag 02.01.93: Clone aufgetaucht. Verwendet als Kennung 1.29 Nachtrag 15.04.93: Mir wurde ein SADDAM ][ zugeschickt, der sofort mit GURU bei Benutzung antwortet. Ein Anfaenger, wahr- scheinlich mit Monitor-Kenntnissen, hat genau in der Codier- Routine zugeschlagen. Mit diesem Teil ist KEINE Verseuchung moeglich. Loeschen Sie das Teil aus L: und kopieren Sie den Original-Disk-Validator neu. - SADDAM-Clone besondere Art Name geaendert in HARDEX VIRUS Soll statt IRAK HARD schreiben. Wie das gehen soll, ist mir aber noch nicht klar. Begruendung: Der Nachprogrammierer hat nicht nur Namen geaendert, sondern auch noch 'trackdisk.device' geloescht. Deshalb kann BeginIo nicht verbogen werden. Also keine Codierung eines Blocks moeglich. VT erkennt SADDAM . Bitte einfach loeschen. Nachtrag 05.03.93: es ist ein neuer Clone augetaucht. Laurin-Virus Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $a0a0a0a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 4C617572 696E2056 69727573 ... Laurin Virus Behandlung: siehe bei SADDAM Hinweis 05.03.93: Falls Sie noch mit KS1.3 arbeiten, so kopieren Sie sich bitte einen ORIGINAL-Disk-Validator auf die VT-Disk. Die Arbeit wird erleichtert. Ich darf das nicht, da es sich um ein Commodore-File handelt. Nachtrag 28.03.93: es ist ein neuer Clone aufgetaucht. Animal-Virus Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $363636a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 416E696D 616C2056 69727573 ... Animal Virus Behandlung: siehe bei SADDAM Nachtrag 09.04.93: es ist ein neuer Clone aufgetaucht. KICK-Virus Wird von VT als SADDAM-Clone erkannt. Blocklangwort: KICK Namensbegruendung: im Speicher ist decodiert zu lesen 6b2e6465 76696365 00010820 204b4943 k.device... KIC 4b202056 49525553 00000000 03f30000 K VIRUS........ 00000000 00010000 00000000 00000000 ................ 01c50000 03e90000 01c55573 65204b69 ..........Use Ki 636b7374 61727420 312e322f 312e3300 ckstart 1.2/1.3. 00000000 00000000 00000000 00000000 ................ Use Kick... ist uncodiert im Disk-Validator-File zu lesen. Behandlung: siehe bei SADDAM Nachtrag 18.04.93: es ist ein neuer Clone aufgetaucht. NATO-Virus . Wird von VT als SADDAM-Clone erkannt. Blocklangwort: NATO Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00010820 20204e41 544f2056 49525553 ... NATO VIRUS 00000000 03f30000 00000000 00010000 ................ 00000000 00000000 01c50000 03e90000 ................ 01c54772 65617465 73742048 756d616e ..Greatest Human 20204572 726f7200 00000000 00000000 Error......... Greatest... ist uncodiert im Disk-Validator-File zu lesen. Behandlung: siehe bei SADDAM Nachtrag 15.05.93: es ist ein neuer Clone aufgetaucht. AFFE-Virus . Wird von VT als SADDAM-Clone erkannt. Blocklangwort: AFFE Im Speicher ist zu lesen: 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00010820 476f7269 6c612056 69727573 ... Gorila Virus 00000000 03f30000 00000000 00010000 ................ 00000000 00000000 01c50000 03e90000 ................ 01c52167 6e696874 6f6e2079 61732c72 ..!gnihton yas,r 6165682c 65655300 00000000 00000000 aeh,eeS......... Man koennte auch Gorilla richtig schreiben. Nachtrag 18.05.93: es ist ein neuer Clone aufgetaucht. IRAN-Virus . Wird von VT als SADDAM-Clone erkannt. Blocklangwort: IRAN Im Speicher ist zu lesen: 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00010820 41796174 6f6c6c61 68766972 ... Ayatollahvir 00000000 03f30000 00000000 00010000 ................ 00000000 00000000 01c50000 03e90000 ................ 01c56e61 6320756f 79207461 6877206c ..nac uoy tahw l 6c61206c 6c696b00 00000000 00000000 la llik......... Ist schon schlecht, dass man mit einem Speichermonitor Virus abkuerzen muss, weil man nicht sagen kann, ob man das naechste Null-Wort noch verwenden darf. Meine Empfehlung: Gebts endlich auf. Jeder gesteht euch zu, dass ihr einen Satz fast vollstaendig richtig rueckwaerts schreiben koennt. Aber von Viren habt ihr KEINE Ahnung. Und ein AntiVirusPrg verwirrt ihr SO NIE. Nachtrag 24.05.93: es ist ein neuer Clone aufgetaucht. GRAL-Virus . Wird von VT als SADDAM-Clone erkannt. Blocklangwort: GRAL Im Speicher ist zu lesen: 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00010820 486f6c79 4772616c 56697269 ... HolyGralViri 00000000 03f30000 00000000 00010000 ................ 00000000 00000000 01c50000 03e90000 ................ 01c52120 6c6c6568 20656874 206f7420 ..! lleh eht ot 79617720 65687400 00000000 00000000 yaw eht......... Nachtrag 07.08.93: es ist ein neuer Clone aufgetaucht. 4711 oder Parfum-Virus. Wird von VT im Speicher und beim File- oder BlockITest, als SADDAM-Clone erkannt. Neu ist, dass das Teil mit Hunk- Lab an SnoopDos V2.1 gelinkt war. Lesen Sie unten bei SnoopDos-SADDAM-Virus Blocklangwort: 4711 Block: 209 34373131 0001a2d0 0001a201 0001a3e8 4711............ Im falschen Disk-Validator ist nichts sinnvolles zu lesen. Im Speicher ist zu lesen: 6b2e6465 76696365 00010820 50617266 k.device... Parf 756d2056 69727573 00000000 03f30000 um Virus........ - SAO PAULO Virus BB im Speicher immer ab $7FC00 Cool $7FF3A nach Reset DoIo $7FF56 KS2.04: ja Fordert trackdisk.device NICHT . Namensbegruendung: im BB ist zu lesen SA0 PAULO! Fast der ganze Block 0 ist leer (Taeuschungsversuch ???) . Der Virencode steht in Block 1. Das Virusteil meldet sich nie . - SARON Es ist KEIN Virus Es ist ein XCopy 6.5 pro (Laenge: 27196 oder 28020) aufge- taucht, das beim Start im Cli zuerst in grossen Buchstaben SARON usw. ausgibt. Nach meiner Meinung enthaelt das File KEINEN Virus. VT bietet bei Filetest Ausbau an. - SATAN-Virus BB immer ab: $7CD30 Cool $7CDA6 im Prg DoIo $7CDD2 Fordert trackdisk.device NICHT . Vermehrung und Schaeden: BB Der Text im BB wird NIE erreicht . Namensbegruendung: im BB ist zu lesen 21212120 48696572 20737072 69636874 !!! Hier spricht 20646572 20534154 414e2021 21212120 der SATAN !!!! - SATAN-Virus anderer Name EXORCIST-Virus siehe oben Bitte verwechseln Sie die beiden SATAN nicht. - SCA Dos Kill siehe bei D&A Virus - SCA! BB im Speicher immer ab $7EC00 Cool, DoIo Fordert trackdisk.device NICHT Testet aber auf DOS0 Sichert seinen Speicherbereich NICHT !!!!! Mit nur 1MB Chip und KEIN Fastmem nach Reset deshalb (DoIo ist dann verbogen) Ueberschreibgefahr und damit GURU. Das liegt NICHT an VT, sondern kann mit anderen grossen Programmen genauso nachvollzogen werden !!!! Ohne Virus im Speicher muss auch mit nur 1MB Speicher der BB sicher erkannt werden. - SCA 2 keine Gefahr, nie bootfaehig, immer GURU deshalb in meinem Prg. nur Nicht-Standard-BB Begruendung: read $200 nach $7FC00 von Zylinder 79 und dann jmp $7FA00 (alles klar Anfaenger !!) - SCA-666 BB Clone s.o. Nur Text geaendert 20212121 8c783216 416e7469 63687269 !!!.x2.Antichri 73740069 7320636f 6d6d696e 67208232 st.is comming .2 3216616e 64207275 6c657320 74686520 2.and rules the 6d616e6b 696e6421 dc6e0000 4ef90000 mankind!.n..N... 00004120 36363620 36363620 36363620 ..A 666 666 666 - SCA-Baltasar BB Clone s.o. Nur Text geaendert 20202c20 8c783216 42616c74 61736172 , .x2.Baltasar 2d566972 75732031 39393420 20208232 -Virus 1994 .2 - SCA KarlMarx BB Clone s.o. Nur Text geaendert 32166672 6f6d204b 61726c20 4d617278 2.from Karl Marx 2056492e 20202021 dc6e0000 4ef90000 VI. !.n..N... 00006663 6b75756f 7920636b 6679756f ..fckuuoy ckfyuo - SCA-MAX-Virus BB Clone s.o. 6f732e6c 69627261 72790000 44454154 os.library..DEAT 4820464f 52205654 20424144 45535420 H FOR VT BADEST 4c414d45 52202021 21212020 20d2aa2d LAMER !!! ..- ;..... 32162047 72656574 73206672 6f6d204d 2. Greets from M 61737465 72202020 dc6e0000 4ef90000 aster .n..N... 0000412e 4d41583f 4d41583f 4d41583f ..A.MAX?MAX?MAX? Ein weiterer geistiger Tiefflug von MAX, mehr kann er halt nicht. - SCA-NASA Virus BB Nur Text geaendert 17646f6e 6520696e 20313939 33206279 .done in 1993 by 2041746f 6d697820 bea04113 20206f66 Atomix ..A. of 204e4153 41202121 21212020 2e2e2e50 NASA !!!! ...P - SCA-PAL Virus BB Clone s.o. 3216522e 492e502e 20706f6f 72205043 2.R.I.P. poor PC 20202121 21202020 dc6e0000 4ef90000 !!! .n..N... 00004121 50414c21 50414c21 50414c21 ..A!PAL!PAL!PAL! - SCA-PDS Virus BB Clone s.o. 65204779 73692066 6f722070 72657369 e Gysi for presi 64656e74 206f6620 42524420 20d2aa2d dent of BRD ..- 17504453 20697320 74686520 6f6e6c79 .PDS is the only - SCA-PKK Virus BB Clone s.o. 20206e32 5a0e4e41 5a492d56 49525553 n2Z.NAZI-VIRUS 20212121 8c783216 4d75736c 696d7320 !!!.x2.Muslims 74616b65 20796f75 72206c69 66658232 take your life.2 3216696e 20796f75 72206f77 6e206861 2.in your own ha 6e647320 20212121 dc6e0000 4ef90000 nds !!!.n..N... 00004121 504b4b21 504b4b21 504b4b21 ..A!PKK!PKK!PKK! - SCA-Sphinx-BB Clone s.o. Nur Text geaendert: 50041f6b 696c6c20 616c6c20 6b6e6f77 P..kill all know 6e207669 72757320 20757365 20697420 n virus use it 666f7232 5a0e7072 6f746563 74696f6e for2Z.protection 20212121 8c783216 4e75204e 75202e2e !!!.x2.Nu Nu .. 2e2e2e2e 202e2e2e 2e2e2e2e 2e2e8232 .... ..........2 32165370 68696e78 2066726f 6d205452 2.Sphinx from TR - SCA-TAI-Virus BB Clone s.o. Nur Text geaendert 75732020 8c783216 54686520 416e7469 us .x2.The Anti 6c616d65 7220496e 636f7270 6f726174 lamer Incorporat 696f6e20 66726f6d 204b6172 6c204d61 ion from Karl Ma 72782056 492e2020 dc6e0000 4ef90000 rx VI. .n..N... 00004121 54414921 54414921 54414921 ..A!TAI!TAI!TAI! - SCA defekt oder weitere Clones Es wird immer wieder versucht, das Original abzuaendern. z.B. Block 0 ist Original-SCA, Block 1 (also ab $200) ist irgendein Datenschrott. Ein solcher BB liegt vor und wird von VT als SCA-Clone erkannt. Begruendung: Die Vermehrungsroutine liegt in Block 0 und wird auch ausgefuehrt. Zum Absturz kommt es erst, wenn der Text ausgegeben werden soll. - scan.x-BBS-Bomb Keine verbogenen Vektoren. Reset nach der Zerstoerungsroutine. Es ist ein bnuke15.lha Archiv aufgetaucht. Laenge: 35050 Bytes Dieses Archiv enthaelt mehrere Files, die fuer BBS nuetzlich sein sollen: bossnuke.x 35308, ULOG.X 18560 usw. Ein derartiges Programmpaket mit V1.0 gibt es wirklich und das ist sauber. An ULOG.X ist nun ein Hunk angehaengt am Ende. Dieser letzte Teil ist codiert mit EORI.B #$12,D1 . Dieser codierte Teil erstellt 2 Files: a: BBS:COMMANDS/BBSCMD/L.info Laenge: 1060 In diesem Icon ist zu lesen: 00000b41 43434553 533d3030 31000000 ...ACCESS=001... 00164c4f 43415449 4f4e3d64 6f6f7273 ..LOCATION=doors 3a736361 6e2e7800 0000000d 4d554c54 :scan.x.....MULT 494e4f44 453d4e4f 00000000 0b505249 INODE=NO.....PRI 4f524954 593d3000 0000000b 53544143 ORITY=0.....STAC 4b3d3430 39360000 00000954 5950453d K=4096.....TYPE= 58494d00 00000000 00000000 00000000 XIM............. Es kommt also scan.x vor. Das Icon-Bild zeigt eine Steckkarte. b: doors:scan.x Laenge: 712 Dieses File enthaelt ausser DOS3 und dos.library nichts lesbares. Dieses Teil enthaelt die Zerstoerungsroutine. Ablauf: Ueber Zeiger in der dos.lib werden LWe gesucht. Die Routine wurde sehr aehnlich schon vom Modem-Virus (FUCK) benutzt. Durch die Zerstoerungsroutine werden die Bloecke mit DOS3 aufgefuellt. s.u. Es gibt leider KEINE Rettung fuer das Medium. Es bleibt nur Format. Versuche mit einer Syquest und DiskSalv2 waren nicht sehr erfolgreich. pZyl 1 Bl 22 444f5333 444f5333 444f5333 444f5333 DOS3DOS3DOS3DOS3 444f5333 444f5333 444f5333 444f5333 DOS3DOS3DOS3DOS3 444f5333 444f5333 444f5333 444f5333 DOS3DOS3DOS3DOS3 444f5333 444f5333 444f5333 444f5333 DOS3DOS3DOS3DOS3 Neu und schlimm: Das Programm erreicht durch subq.w #2,d1 auch den Rigid-Bereich (s.o. pZyl) . Das konnte der Modem- Check-Virus noch nicht. Das scan.x-File arbeitet auch ohne BBS . VT bietet loeschen an fuer: ULOG.X ,scan.x und L.info . Hinweis: falls es bei L.info Fehlerkennungen bei FileTest gibt, informieren Sie mich bitte. Von einer Erkennung der zerstoerten DOS3-Bloecke wurde abge- sehen, da eine format-routine existieren koennte, die genau so formatiert. Hinweis: Falls Sie glauben, dass irgendein Virusteil mit dem formatieren beginnt, schalten Sie SOFORT ihren Computer aus. Sie verlieren dann mit etwas Glueck nur EINE Partition. Das ist zwar schaedlich fuer die Hardware, aber halt der letzte Notnagel !!!! - SCARFACE BeginIo, KickTag, KickCheckSum, Vec5 FastMem nein Vermehrung: ueber BB ResetRoutine, die ueber Vec5 gesteuert wird (Zaehlzelle > $2710) Im BB sichtbar: z.B. SCARFACE - scsi-Virus File Laenge ungepackt: 1560 Bytes reines Zerstoerungsprogramm KEINE verbogenen Vektoren KS3.0: ja Keine Vermehrungsroutine Fileauszug: 2c780004 4eaefe3e 4e75733a 24e724a1 ,x..N..>Nus:$.$. ^^^^^^^^^^^^^ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 646f732e 6c696272 61727900 ....dos.library. 8b624828 91819187 1e000000 00000000 .bH(............ ;;;;;;;; ::::::::::: ;;;; decodiert mit subi.b #$28,d0 ergibt: "c: ",0 :::: decodiert mit subi.b #$1E,d0 ergibt: "scsi",0 Ablauf: Test ob der Filename (^^^^) "s:$",E7,"$",A1,0 vorhanden ist. Falls ja, Virusprogrammende DateStamp wird aufgerufen und auf $15A0 = 27.Feb.93 ueberprueft. -Falls die Computerzeit noch nicht so weit ist, wird mit LoadSeg das Original-Programm aufgerufen ("c: ",0) und durch einen direkten Einsprung abgearbeitet. Danach wird UnloadSeg aufgerufen und das Virusprogramm beendet. -Falls die Systemzeit den 27.Feb.93 erreicht hat: Ueber dosbase+$22 wird die device-Liste durchsucht. Verglichen werden NUR devices (keine Vol usw.) mit scsi (s.o.). Also ein Test auf vier Buchstaben. d.h. alles was mit scsi beginnt, wird ausgewaehlt. auch scsi3... usw. NICHT ausgewaehlt wird SCSI oder gvpscsi usw. Danach wird der ROOT-Block berechnet und durch Auffuellen mit Nullen zerstoert. WICHTIG: Da dieser Vorgang in einer Schleife ablaeuft, werden ALLE Root-Bloecke von ALLEN Laufwerken und ALLEN Partitionen, die die Vorgabe erfuellen, zerstoert. Hab ich mit einer Wechsel- platte und drei Partitionen ausprobiert. VT erkennt das Virus-File und bietet Rename mit dem Original- File in c: an. Falls das Original-File in c: nicht gefunden wird, schlaegt VT vor, das Virus-File allein zu loeschen. Hinweis: Mit DiskSalv Repair konnten alle Partition wieder herge- stellt werden, da der Root-Block jeweils neu aufgebaut wurde. Bitte besorgen Sie sich deshalb DiskSalv (neuste Version 93) BEVOR der Unfall passiert. DiskSalv belegt die Partition mit dem Namen wanagi-wachipi . Also so aehnlich wie diskdoctor mit Lazarus frueher. Wichtig 2: Es MUSS ein INSTALL-Programm geben. Dieses ist bis jetzt nicht bekannt. Bitte helfen Sie mit bei der Suche. Danke ! Denn niemand benennt freiwillig ein Original-Programm in ein unsichtbares File in c: um. - Self-Writer andere Namen: Pseudoselfwriter bei mir Lamer7 da im entschluesselten Programm The LAMER Ex... zu lesen ist und das Verhalten einem Lamervirus entspricht, halte ich eine Zuordnung zur Lamer-Gruppe fuer richtig. - Sendarian Revenge V1.2-Clone, Cool, DoIo, Vec5, im Speicher $7e000 und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste) Vermehrung: ueber BB Schaden: nach einiger Zeit neuer Mauszeiger im BB sichtbar: Sendarian #1Count: - Sentinel-Virus BB Excrement-Clone (Texte geaendert) Nachtrag 08.07.93: Es wird auch der Name USSR 492 verwendet, da aber auf "Sent" im Virus selbst getestet wird, halte ich den Namen Sentinel fuer sinnvoller. Cool: $7F47A DoIo: $7F4C2 immer ab: $7F400 KS2.06: GURU B nach Reset Fordert trackdisk.device NICHT Namensbegruendung: im BB ist zu lesen: 61727900 53656e74 696e656c 21002d7c ary.Sentinel!.-. Vermehrung: BB linke Maustaste= Abbruch und Cool-Vektor loeschen Test auf DOS-Kennung Test ob schon verseucht mit cmpi.l #"Sent",$6c(a4) Was natuerlich FALSCH ist. An dieser Stelle steht Sent NIE !!! Richtig waere $54(a4). Anfaenger merke, nicht jeder der Texte aendern kann, versteht auch die Codierung. (vgl. bei EXCREMENT) Schaeden: Sobald eine Zaehlzelle den Wert $A erreicht hat, blinkt die LED. Mehr ist bei mir nicht passiert. anderer Name: USSR 492 - SEPULTURA-Virus File Laenge ungepackt: 1876 Bytes KS1.3 : ja KS2.04: Endlos-GURU . Sie muessen den Computer ausschalten. Tastatur-Reset fuehrt wieder zu GURU. Laden eines Files z.B. KReset ist auch nicht moeglich. Verbogene Vektoren: KickTag, KickCheckSumPointer Open, Lock, Delete, Rename, LoadSeg Zeitweise verbogene Vektoren: $6c, FindResident Das Programm rettet fast KEINE Vektoren !!!!! Arbeitet mit df0:, df1: und df2: . Mehr Laufwerke hat der Programmierer wahrscheinlich nicht. Namensbegruendung: s.u. lat. sepultura = Begraebnis Ein Speicherbereich wird decodiert mit: eori.b #$FB,(a0)+ 0000646f 732e6c69 62726172 79006466 ..dos.library.df 303a732f 73746172 7475702d 73657175 0:s/startup-sequ 656e6365 00006466 303aa0a0 a0a00000 ence..df0:...... ^^^^^^^^^ ^^^^^ unsichtbarer Filename "A0A0A0A0" in Root von df0/1/2 . Die Null der beiden df0: wird bei Bedarf im Programm-Code durch 1 oder 2 ersetzt. Ausgabe eines Textes mit DisplayAlert in Abhaengigkeit von $DFF006 . Fuer DisplayAlert wird bei Bedarf ein Speicherbereich decodiert mit: eori.b #$FA,(a0)+ 790000fa 0a486920 4775797a 20212100 y....Hi Guyz !!. 0100a014 53455055 4c545552 41207374 ....SEPULTURA st 72696b65 73206261 636b2077 69746820 rikes back with 74686569 72206e65 77000100 fa232056 their new....# V 49525553 21212100 01009632 4c6f6f6b IRUS!!!....2Look usw....... Hinweis: Ein Satz, der decodiert wird, erscheint nicht beim Alert. Wahrscheinlich hat sich der Programmierer verzaehlt. Vor Schreibzugriff auf Disk wird getestet auf: - validated - max $6a0=1696 Bloecke belegt Empfehlung: unsichtbares File in Root loeschen und in startup- sequence die entsprechende Zeile entfernen. VT kennt: 14.04.93 VT setzt ALLE Vektoren zurueck . - Sepultura2.26-Virus File Laenge ungepackt: 1980 Bytes KS1.3 : ja KS2.04: ja 68030 : bei mir GURU 3 Verbogene Vektoren: Open, Lock, Delete, Rename, LoadSeg NICHT resetfest (also KickTag nicht mehr verbogen) Arbeitet mit df0:, df1: und df2: . Im Speicher wird decodiert mit: eori.b #$XY,(a0)+ XY aendert sich bei jeder Vermehrung in Abhaengigkeit von $DFF006. 6C696272 61727900 6466303A 732F7374 library.df0:s/st 61727475 702D7365 7175656E 63650000 artup-sequence.. 6466303A A0A0A0A0 00000000 df0: .... ^^^^^^^^ ^^^^^ unsichtbarer Filename "A0A0A0A0" in Root von df0/1/2 . Die Null der beiden df0: wird bei Bedarf im Programm-Code durch 1 oder 2 ersetzt. Namensbegruendung: Im Speicher ist zu lesen: 20536570 Sep 756C7475 72612028 56322E32 36290000 ultura (V2.26).. Bitte aendern Sie auch die startup-sequence !!! - SHI-Virus BB s.o. Aust.Par-Clone BB Nur Text geaendert - SHIT-Virus (BB) nicht mit KS2.04, nicht mit FastMem KickTag, KickCheckSum, BeginIo, Vec5, $64, $68, $6c haeufig GURU Zeitzaehler: 8 Min setzt irgrndwann $60 auf 0 codiert mit: eor.w d0, (a0)+ add.w $xyz(pc),d0 Im codierten BB ist zu lesen: Nuked007 (wobei Nu=RTS) Zugeschickt wurde mir der BB als Ethik-BB. Diesen Namen kann ich nicht nachvollziehen. Zugeschickt wurde mir ein BB als HACKERS-BB. Diesen Namen kann ich nicht nachvollziehen (auch nicht im Speicher). Schaeden in Abhaengigkeit von der Zaehlzelle: - schreibt $1400 Bytes ab Block 0 (Absicht ???) zerstoert also auch Files die ab Block 2 liegen - schreibt in einen Block ab $30 SHIT addiert 8 zu $10 im Block (bei OFS=NextDataBlock) addiert 8 zu $14 im Block (bei OFS=BlockCheckSum) schreibt den veraenderten Block dann 1 Position spaeter zurueck. Diese Files sind NICHT zu retten !!!!!!!! Gefaehrlich: in weniger als 5 Minuten habe ich 12 SHIT-Bloecke auf einer Disk erzeugt !!! Decodiert ist im Speicher zu lesen: 002450a8 001050a8 0014217c 53484954 .$P...P...!|SHIT ;..... 6000fd1a 74726163 6b646973 6b2e6465 `...trackdisk.de 76696365 00616d69 6761646f 732e6c69 vice.amigados.li 62726172 79000000 00003a4b 00fe9c3e brary.....:K...> - SILESIAN-BB-Virus s.o. MOSH.1.0-BB-Virus - SMBX-Mount Virus File Laenge ungepackt: 65488 Bytes KEINE verbogenen Vektoren. Installiert Mount-Virus (s.o.) Namensbegruendung: im File ist zu lesen: 00000000 00001897 733a534d 42582d44 ........s:SMBX-D 4f532e63 66675573 6572203a 20526573 OS.cfgUser : Res ...... 6963652f 2f2f2f2f 202d444f 532d5368 ice///// -DOS-Sh 656c6c20 56202863 29313939 312f3932 ell V (c)1991/92 Ein aufmerksamer User hat das Teil gefunden. Danke !!!!!! Es handelt sich um ein Shell-Programm, das mit einem Mail- box-Programm mitgeliefert werden soll? Das codierte Mount-Virus-Teil liegt von $EC38 bis $F068 im File. Es handelt sich beim Shell-Programm um eine Gfa-Basic- Compilierung und die Decodierung findet IM Gfa-Teil statt. Deshalb muss nach meiner Meinung der Programmierer des Mount- Virus-Teils den Source-Code des Basicprogramms besitzen. Ein Ausbau ist aus oben genannten Gruenden nicht moeglich. Empfehlung deshalb: loeschen und bei der Lieferfirma nach dem Programmierer forschen !!! - SnoopDos1.6-Virus Einbruchsprogramm in AmiExpress Von der Definition kein Virus, da keine Vermehrungsroutine ge- funden wurde. gefunden in: SNOOPD16.LHA 35444 Snoopdos-Laenge: 11312 Bytes Orig.SnoopDos1.5 : 10540 Bytes Es wurde SD1.5 verwendet und ein neuer Hunk als 1. angehaengt. Die Hunkanzahl erhoeht sich von 3 auf 4. Der neue 1. Hunk ist codiert mit: loop: move.w #$2d1,d2 eor.b d2,(a2)+ dbf d2,loop Nach Decodierung ist zu lesen: 4ED46172 702E6C69 62726172 79004242 NOarp.library.BB 53004242 533A7573 65722E64 61746100 S.BBS:user.data. 4242533A 75736572 2E6B6579 7300002A BBS:user.keys..* 4242533A 4E6F6465 302F6C6F 676F6E2E BBS:Node0/logon. 74787400 44455854 45520000 00000000 txt.DEXTER...... 00000000 00000000 00000000 00000000 ................ 00000052 45545552 4E000000 3D3E2046 ...RETURN...=> F 414E5441 20434F4E 4E454354 20323030 ANTA CONNECT 200 31203C3D 00000000 3034392D 34333133 1 <=....049-4313 36333633 34000000 00FF0000 00005858 63634....y....XX 58585858 58585800 008F0013 007570CC XXXXXXX......upI Empfehlung: Virus-File loeschen , logon loeschen und Orig. SnoopDos neu aufspielen. Keine Gefahr fuer Amiga-Be- nutzer ohne Mailbox. VT erkennt File: 23.10.92 Hinweis 01.11.92: gelesen im FIDO-Netz Laut Eddy Carroll (Prg. von Snoopdos) gibt es auch ein echtes SnoopDos 1.6, das allerdings nicht offiziell ver- breitet wurde. Das echte SD1.6 (hab ich nicht) soll bei Aufruf von version den Versions-Text ausgeben. Mein Test: Das SnoopDos1.6-Virus enthaelt den Text NICHT. - SnoopDos-JEFF-Virus File Laenge: 15336 Bytes Von der Definition ein trojanisches Pferd Jeff Butonic entfernt: 11568 Bytes A4000/40 : nur ohne cache Mit Hunklab wurde an SnoopDos ein Jeff-Butonic V4.55 ge- linkt. (JEFF siehe oben) Ob das SnoopDos-File V1.9 echt ist, kann ich nicht ent- scheiden. Mir ist die Version 1.9 (mein Kenntnisstand: Aug.93) nicht bekannt. Es koennte also jemand die Versionsnummer mit einem Monitor erhoeht haben. SnoopDos ist aber sauber. ff84584f 4cdf4080 4e752456 45523a20 ..XOL.@.Nu$VER: 536e6f6f 70446f73 20312e39 20283132 SnoopDos 1.9 (12 2e30352e 39332900 50726f63 65737320 .05.93).Process 6e616d65 20202020 20202020 20204675 name Fu VT erkennt bei File-Test: SnoopDos-JEFF VT erkennt im Speicher : - Sie haben sich NICHT an die Anweisungen gehalten und SnoopDos NICHT abgeschaltet vor Benutzung von VT: "SnoopD.u.anderesPrg ist im Speicher" - Sie haben SnoopDos vorher abgeschaltet: "JEFF BUTONIC V4.55 ist im Speicher" - SnoopDos-Saddam-Virus File Laenge: 13776 Bytes Von der Definition ein trojanisches Pferd Saddam-Clone entfernt: 11568 Bytes Mit Hunklab wurde an SnoopDos ein Saddam-Clone-4711 ge- linkt. (Saddam-Clone siehe oben) Ob das SnoopDos-File V2.1 echt ist, kann ich nicht ent- scheiden. Aber unwahrscheinlich, da gleiche Laenge wie V1.9. Mir ist die Version 2.1 (mein Kenntnisstand: Aug.93) nicht bekannt. Es koennte also jemand die Versionsnummer mit einem Monitor erhoeht haben. SnoopDos ist aber sauber. 4e752456 45523a20 536e6f6f 70446f73 Nu$VER: SnoopDos 20322e31 20283232 2e30372e 39332900 2.1 (22.07.93). Verhalten: SnoopDos V2.1 hab ich bei verseuchtem File NIE auf dem Bild- schirm gesehen. KS2.04: Das File stuerzt mit GURU 3 ab und nach Tastatur-Reset ist der Speicher sauber. KS1.3: Das File wird geladen und dann tut sich NICHTS mehr. Snoop- Dos V2.1 ist bei mir nicht erschienen. Tastatureingaben erscheinen auf dem Bildschirm, werden aber nicht ausgefuehrt. UND JETZT KOMMT DAS SCHLIMME: Nach einem Tastatur-Reset arbeitet der SADDAM-Disk-Validator im Speicher (man erinnere sich: Saddam hat eine Cold-Reboot- Routine, die AUCH mit FastMem arbeitet). Das Kreset-Prg im Unterverzeichnis von VT-Schutz hilft aber auch dagegen. - SOFIA Virus BB GYROS-Clone s.o. - Sonja VIRUS BB KS2.04: NEIN Fordert trackdisk.device: JA BeginIo, KickTag, KickCheckSum Codiert mit Wert aus $DFF007 DecodierRoutine: eor.b d0,-(a1) Im Speicher findet man dann z.B.: 00007472 61636B64 69736B2E ..trackdisk. 64657669 63650014 49742773 20536F6E device..It's Son 6A612056 49525553 21212100 28632939 ja VIRUS!!!.(c)9 31206279 204D4300 1 by MC. Vermehrung: als BB Schaeden: Sobald eine Zaehlzelle den Wert $14 erreicht hat, wird eine Format-Routine aufgerufen. Formatiert wird Track 2, 4, 6 usw. (Mal was Neues). Dann wird nach Block #880 ein neuer Rootblock geschrieben. RootBlockAuszug: 1A0: 00000000 00000000 00000000 00000000 ................ 1B0: 14497427 7320536F 6E6A6120 56495255 .It's Sonja VIRU 1C0: 53212121 00286329 39312062 79204D43 S!!!.(c)91 by MC 1D0: 00000000 00000000 00000000 00000000 ................ Am Schluss wird nach $FC0000 (reset) gesprungen. Die Disk ist unbrauchbar. Es ist NICHTS mehr zu retten. Da der Disk- name durch das Byte 1B0 = $14 in der Laenge begrenzt wird, erfolgt die Ausgabe nur bis zum letzten ! . BootBlock-Erkennung mit VT getestet: 23.09.92 Speicher-Erkennung mit VT getestet : 23.09.92 - SPEEDER-Virus Zerstoerungsfile anderer und richtiger Name: Descriptor-Virus siehe oben - Sphinx-BB SCA-Clone s.o. - SS Virus BB Cool immer $7C078 immer ab $7C000 Bei mir mit KS2.04 nach Reset kein neuboot von Disk. Unter KS1.3 werden nach dem Reset 2 Interrupts installiert. Nr. 3 = Ports = $7C1D6 = SS.install Nr. 5 = VERTB = $7C1F8 = SS.greetings VT entfernt beim loeschen die Namen und setzt die Codezeiger auf 0 mit RemIntServer. Also keine Gefahr mehr. vgl. VT = Listen = IntVec Sobald die Zaehlzelle den Wert #$500 erreicht hat wird eine Graphikroutine angesprungen: schwarzer Hintergrund, helle Schrift Hakenkreuz,SS-Rune,Hakenkreuz und dann your computer is infected by SS-Virus! Danach ist ein Reset notwendig, da das VirusPrg. sich in einer Endlosschleife befindet. Der BB ist codiert mit eor.l d0,(a0)+ Von der Definition handelt es sich nicht um einen BB-Virus, da keine Vermehrungsroutine gefunden wurde. siehe auch MOSH, HEIL-Virus - STARCOMReturn-Virus BB richtig: The Return of STARCOM anderer Name: STARCOM 2 LAMER 4 -Clone siehe oben Es wurden nur Texte geaendert. Decodiert ist im Speicher zu lesen: 51c8fffc 4e757472 61636b64 69736b2e Q...Nutrackdisk. 64657669 63650054 68652052 65747572 device.The Retur 6e206f66 20535441 52434f4d 21212121 n of STARCOM!!!! 21bfabcd 00fc0a78 00fe9c3e 0000a4e8 !......x...>.... Da der BB codiert ist und GENAU die LAMER4-Routine verwendet wird, erkennt VT weiterhin LAMER4. Im Speicher sollte das Teil als STARCOMRETURN erkannt werden. Eine Meisterleistung ist das Zerstoerungslangwort STC! . Es wurde dabei uebersehen, das das Original noch das Wort R! setzt oder war man nicht in der Lage, die Schleife zu aendern. Block: 350 53544321 52215354 43215221 53544321 STC!R!STC!R!STC! 52215354 43215221 53544321 52215354 R!STC!R!STC!R!ST ;...... 53544321 52215354 43215221 53544321 STC!R!STC!R!STC! 52215354 43215221 53544321 52212121 R!STC!R!STC!R!!! Sollte so ein Block in einem File liegen (BlockKette), so ist KEINE Rettung des Files moeglich. Tut mir leid. - STARCOM 1 Virus CCCP-Clone siehe oben also BB und Link KS1.3 ja KS2.04 ja Mehrfachlinks: ja Defekte Files: ja (Hunkstruktur defekt nur loeschen moeglich) Eine Meisterleistung: NUR der ASCII-Text wurde geaendert: 70004e75 53544152 434f4d21 21214df8 p.NuSTARCOM!!!M. - STARCOM 3 Virus Byte Voyager 1 Clone siehe oben BB Eine Meisterleistung: NUR Text geaendert Wird im codierten BB von VT weiterhin als Byte Voyager 1 er- kannt, da der BB aufs Byte uebereinstimmt. Sollte von VT im Speicher richtig erkannt werden. Decodiert ist dort zu lesen: fff64681 23410004 4cdf0303 4e751e54 ..F.#A..L...Nu.T 68652052 4556454e 4745206f 66205354 he REVENGE of ST 4152434f 4d202121 21000000 00000000 ARCOM !!!....... Schreibt auch in Bock 880 (nur bei Disk Root) Block: 880 01b0: 1e546865 20524556 454e4745 206f6620 .The REVENGE of 01c0: 53544152 434f4d20 21212100 00000000 STARCOM !!!..... Dies bewirkt bei Disk einen neuen Namen. Fordert Trackdisk.device NICHT Hinweis: Das Programm sichert den Bereich ab $7F000 NICHT. D.h. ein anderes Prg. z.B. VT kann genau an diese Stelle geladen werden. Da der verbogene KickTagzeiger in der Exec liegt und dieser Bereich ja geschuetzt ist, kann es zur Aus- gabe "unbekanntes Prg" oder "ResStruc ungerade" kommen. Mit 5 MB wurde dieses Virusteil im Speicher richtig erkannt, aber natuerlich bleibt unter KS1.3 bei dieser Speichergroesse, nach einem RESET das Prg. nicht erhalten und eine Vermehrung ist ueber DoIo nicht moeglich. - STARCOM4-Virus BB LAMER 6 -Clone siehe oben Es wurden nur Texte geaendert. Decodiert ist im Speicher zu lesen: 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00412074 6f756368 206f6620 53544152 .A touch of STAR 434f4d20 76697275 73212000 b800abcd COM virus! ..... Da der BB codiert ist und GENAU die LAMER6-Routine verwendet wird, erkennt VT weiterhin LAMER6. Im Speicher sollte das Teil als STARCOM 4 Virus erkannt werden. Eine Meisterleistung ist das Zerstoerungslangwort STC! . Es wurde dabei uebersehen, das das Original noch das Wort R! setzt oder war man nicht in der Lage, die Schleife zu aendern. Block: 480 53544321 52215354 43215221 53544321 STC!R!STC!R!STC! 52215354 43215221 53544321 52215354 R!STC!R!STC!R!ST ;...... 53544321 52215354 43215221 53544321 STC!R!STC!R!STC! 52215354 43215221 53544321 52212121 R!STC!R!STC!R!!! Sollte so ein Block in einem File liegen (BlockKette), so ist KEINE Rettung des Files moeglich. Tut mir leid. - STARCOM 5 Virus BB boot-aids Virus Clone siehe oben Im BB und Speicher ist uncodiert zu lesen: 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00005468 65205354 4152434f 4d204176 ..The STARCOM Av 656e6765 7220312e 30302021 00010000 enger 1.00 !.... Vermehrung: BB Schaeden: soll STC!aw in einen Block schreiben und damit das File unbrauchbar machen. KEINE Rettung moeglich. Besonderheit: In Boot-aids existiert eine Routine: cmpi.b #8,3(a0) bne.s $FEEF6 Dies bewirkt, dass nur Datenbloecke zerstoert werden koen- nen. Diese Routine wird bei Starcom 5 abgeschaltet, da bne.s durch ein NOP ersetzt wurde. - STARCOM 6 Virus BB Forpib-Clone siehe oben Eine Meisterleistung: nur Text geaendert im BB. 2020202a 2a2a2054 68652053 74617263 *** The Starc 6f6d2042 4c41434b 4f555421 20286329 om BLACKOUT! (c) 20313939 33202a2a 2a202020 20202020 1993 *** - STARFIRE/NorthStar 1 anderer Name BlackStar Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 1 testet nicht auf SystemZ, nur auf SCA, ByteBandit = DisplayAlert Vermehrung: ueber BB Im BB lesbar: Virus detected on this disk usw. Reset,WriteProt OFF (bei NorthStar2 nicht vorhanden) Clones: East-Star - STARFIRE/NorthStar 2 = OldNorthStar ???? Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 2 testet auf SCA, ByteBandit, SystemZ, NorthStar1, Folge=DisplayAlert Vermehrung: ueber BB Im BB lesbar: VIRUS detected on this disk usw. My AntiVirus is better! (bei NorthStar1 nicht vorhanden) Clones: z.B. Payday.BB - Starfire2 nur Block 0, sehr viel Text: The Virusbusters North Star Es ist kein Virus. - STARLIGHT File 2600 BRET HAWNES - Clone (siehe oben) KS2.04 : ja Laenge 8 Bytes weniger als Original, weil 03EC-Hunk ent- fernt wurde. Vermehrt sich das Teil, so ist die Laenge wieder 2608, da der 03EC-Hunk vom Virus angelegt wird. Wird von VT nur als Bret-Virus erkannt. Der lesbare Text (nicht der codierte) wurde geaendert. Am Fileanfang: 0000027D 60000018 53544152 4C494748 ...}`...STARLIGH 54203120 50524F44 55435449 4F4E2C79 T 1 PRODUCTION,y Am Fileende: F9526100 FED66000 FA02444F 20594F55 .DO YOU 204C494B 45204D59 20464952 53542056 LIKE MY FIRST V 49525553 203F2044 4F4E4520 4259204D IRUS ? DONE BY M 43444A2D 4444454E 49545921 20323130 CDJ-DDENITY! 210 32393000 00000000 000003F2 000003EB 290.... Wird vielleicht von anderen AntivirusPrg als Starlight - Virus erkannt. VT bleibt bei BRET HAWNES. - STARLIGHT BB Warhawk-Clone s.u. Nur Text geaendert. - STARLIGHT II BB MicroSystems-Clone s.o. Nur Text geaendert. - Stockmarket-BBS Filename: stock.rexx Laenge: 74576 Bytes Nach meiner Meinung fuer Nicht-Mailbox-Spieler ungefaehrlich. VT bietet nur loeschen an. Schaeden: Kann ich nicht nachvollziehen. Deshalb ein Textauszug OHNE Garantie: ----------------------------------------------------------------------- WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING ----------------------------------------------------------------------- I Just wanna inform all of you /X sysops, than a file -L-STOCK.LHA (a door game for /X) has a fucking BACKDOOR !!!! If you enter BUY option and write a number highest than possible (for example a number 20 or 100 or any more than allowed than your Upload Status will be restored to 0 !!!!! 0 bytes !!!!! All your uploads will be canceled! - Suntronic Cool, DoIo, nur Kick1.2 da absolute ROM-Einspruenge Vermehrung ueber BB , immer $7fa00 Suntronic-Text im BB sichtbar - SuperBoy Cool, im Prg DoIo, im Speicher immer ab $7ec00 Vermehrung ueber BB Alertmeldung mit .... The Famous SuperBoy - SwiftWare siehe bei: Devil_V8_B.Door im File ist zu lesen: 4E5D4E75 0C092020 53776966 74576172 N]Nu.. SwiftWar 65207625 642E2564 202D2000 1B5B313B e v%d.%d - ..[1; 25646D00 00427920 4A616262 61682026 %dm..By Jabbah & 20504F57 001B5B25 646D0000 202D2054 POW..[%dm.. - T 6F702055 706C6F61 64657220 5574696C op Uploader Util - Switch-Off anderer Name: Joshua 2 s.o. - Suicide-Virus BB immer ab $7E120, Kicktag, KickChecksum, Supervisor , KS2.04: GURU Fordert trackdisk.device NICHT . Kodiert mit Byte aus $DFF006 eor.b d1,(a0)+ jeden BB fuer Vermehrung neu. Meldet sich nicht . Schaeden und Vermehrung: BB Namensbegruendung: dekodiert ist im Speicher zu lesen: 3e3e2053 75696369 6465204d 61636869 >> Suicide Machi 6e652062 79204d41 5820696e 2032342e ne by MAX in 24. 30392e31 39393220 3c3c0000 2c790000 09.1992 <<..,y.. - SUMPF.Prg (L) File Laenge: 952 Bytes Wird als Scherz-Programm weitergegeben. Als ob es nicht genug Aerger mit den Viren gaebe. Wird von VT erkannt und Loeschen Sie bitte das Teil sofort. Bitte schauen Sie auch die startup- sequence an. Von der Definition natuerlich kein Virus, da keine Vermehrung. Verbiegt $6c und zurueck. Der Originalwert von $6c kann von dem Programm bei Prozessoren, die mit VecPage arbeiten, NICHT zurueckgesetzt werden. A4000/40: Programm laeuft Es wird mit DisplayAlert ein Text ausgegeben: Warnung !! Zuviele Befehle in den Menüs! Arbeitet da ein Hard-Virus ?! usw. ersparen Sie mir den Rest. - T.ET.E BB Virus anderer Name:BB-Prot Zombi 1 Clone s.u. Unterschied zu Zombi: versucht beim Booten durch die XCopy-Meldung NO VIRUS ON BOOTBLOCK zu taeuschen. Die codierte Zombi-Meldung (intuition) wurde ueberschrieben. Schreibt in den zerstoerten Rootblock als Diskname: 01b0: 07542e45 542e4520 00000000 00000000 .T.ET.E ........ Im Virus-BB ist zu lesen: 4ef90007 a0363e42 422d5072 6f742062 N....6>BB-Prot b 79205420 4520696e 20313200 30360031 y T E in 12.06.1 3939353c 0007ee00 0007ee50 2001fffe 995<.......P ... Da beim Neuschreiben des RootBlocks, die ZOMBI-CheckSum (= falsch fuer T.ET.E) verwendet wird, duerfte wieder einmal ein An- faenger am Werk gewesen sein. - TFC Evergreen 47.11 BB Clone s.u. Text geaendert. Wird weiterhin als TFC erkannt 7069643a 000100cb 40544643 20457665 pid:....@TFC Eve 72677265 656e2020 56697275 73203437 rgreen Virus 47 2e313100 01005070 49742069 73206120 .11...PpIt is a - T.F.C. Revenge V1.03 Clone Extreme s.o. Text geaendert und Text im BB verschoben - T.F.C. Revenge V2.14 Versionsnummer und Datum geaendert, Rest s.o. - T.F.C. Revenge LoadWB File, Laenge ungepackt: 2804 Bytes Fuehrt LoadWB-Befehl aus und legt T.F.C. Revenge BB im Speicher ab. Verbogene Vektoren siehe bei Extreme. Vermehrung nur als Bootblock moeglich. - TAI-Virus BB anderer Name: SCA-TAI-Virus s.o. - TAI2-Virus BB anderer Name: MAD2-TAI2-Virus s.o. - TAI3-FORPIB-Virus BB s.o. Text geaendert 444f5300 b8e19b72 54414933 6000003e DOS....rTAI3`..> 54686973 20697320 6120426f 6f746c61 This is a Bootla 64657220 616e6420 416e7469 76697275 der and Antiviru 73212044 6f6e7420 6b696c6c 20697420 s! Dont kill it 5654322e 36303a00 00000253 48e77f7f VT2.60:....SH. Hinweis 28.10.93: - Zu diesem Zeitpunkt ist VT2.57 aktuell - Ich habe fuer VT noch NIE (und habe es auch nicht vor!!!!), einen speziellen BB programmiert. Lassen Sie sich also bitte nicht verwirren. Danke - TAI4-TimeBomb.V BB TimeBomb V1.0-Clone s.u. 14202048 61766520 61206e69 63652064 . Have a nice d 61792020 536f7272 7920204c 6f6f6b20 ay Sorry Look 666f7220 542e412e 492e2020 74686520 for T.A.I. the 62657374 2e2e0001 00000000 42b90007 best........B... - TAI5-BB s.o. DUMDUM-Clone - TAI6 BB und File s.o CCCP-Clone - TAI7 BB s.o LAMER1-Clone Das Teil wird von VT als BB nur als LAMER erkannt, da nicht einmal der Zerstoerungstext LAMER geaendert wurde. - TAI7-Inst. Laenge gepackt: 2936 Bytes Laenge entpackt: 4176 Bytes Namensbegruendung: s.u. An loadwb wurde mit Hunklab ein BootJob-File gehaengt. In diesem BootJob-File wurde der Programmierername geaendert und es enthaelt einen LAMER1-BB. Lesbarer Text: 2e2e2ea7 2e3a2825 26372954 2e412e49 .....:(%&7)T.A.I 2e30372e 3a2c2e2e 2e2e2039 2e2ea724 .07.:,.... 9...$ 32727472 61636b64 69736b2e 64657669 2rtrackdisk.devi Gepackt sollte VT loeschen anbieten. Entpackt sollte VT Ausbau anbieten. Vorsicht: Im gepackten Zustand koennte VT das File verwechseln. Entpacken Sie das File dann erst zur Sicherheit mit einem ge- eigneten Entpacker. Danke - TAI8 BB s.o. 16BIT-Crew Clone - TAI9 BB s.o. DAT 89 Clone - TAI10-Inst. BB-Installer Laenge Virusteil: 1336 Bytes Im Virusteil ist zu lesen: 2eff2127 54414920 3130002d 1c535553 ..!'TAI 10.-.SUS Verwendet absolute Speicheradressen, die nicht in jedem Amiga vorhanden sind. Ich habe auf JEDER Maschine, auf der ich das Teil ausprobieren konnte, nur den GURU gesehen. Falls jemand mehr "Glueck" hat, bitte ich um eine Nachricht. Danke Am File sollte das Teil erkannt werden und VT sollte Ausbau an- bieten. Das Teil soll einen TAI10-CLONK.BB installieren (s.u.) . Hinweis 21.01.94: Es ist ein aehnlicher Link an ein File aufge- taucht. Soll VirusSlayer installieren. Wird ebenfalls als TAI10- Inst. erkannt. Da die Routine gleich ist, koennte ein Programm, das diese Arbeit macht, existieren ?????? - TAI10-CLONK-Virus BB CLONK-Virus s.u. Nur Text geaendert: 20746f20 6b696c6c 20626f6f 74766972 to kill bootvir 75732e2e 2eff2127 54414920 3130002d us....!'TAI 10.- 1c535553 50494349 4f555320 424f4f54 .SUSPICIOUS BOOT 424c4f43 4b20464f 554e442e 2e2e00c0 BLOCK FOUND..... - TAI11 Compu3-Clone File Laenge 592 Rest s.o. CompuPhagozyte 3 Namensbegruendung: 20542041 20492020 31312020 202e2e2e T A I 11 ... - TAI13-BB 4 Bloecke Glasnost-Clone s.o. Wird von VT beim BB-Test als Glasnost erkannt. In Block 4 ist uncodiert zu lesen: 646f732e 6c696272 61727900 20542e41 dos.library. T.A 2e492e31 333c0000 002e5380 43ec000c .I.13<....S.C... - Taipan-Chaos anderer Name: Chaos s.o. siehe auch: Chaos, Taipan-Lameblame, CHEATER HIJACKER, POLISH, - Taipan-LameBlame anderer Name: LameBlame s.o. siehe auch: Chaos, Taipan-Chaos, CHEATER HIJACKER, POLISH, - Target cool, im Prg. DoIo , immer $7ec00 schreibt auf jede nicht schreibgeschuetzte Disk, die in Block 880 ab $1b0/1 (=Diskname) eine bestimmte Zeichenfolge enthaelt, ab Track 80 bis Ende (mal was Neues) sinnlose Daten Ursprungsprogramm:target.install (Malta) - TeleCom-Virus File Laenge: 756 Bytes Cool immer $C71082, im Programm noch DoIo und FindRes . Braucht Execbase im Speicher ab $C00000 . Nur mit KS1.3, da absolute ROM-Einspruenge . Namensbegruendung: Decodiert mit eori.b #$27,(a1)+ ist im Speicher zu lesen: 732f7374 61727475 702d7365 7175656e s/startup-sequen 63650000 2054656c 65436f6d 20d80000 ce.. TeleCom ... Vermehrung: -Schreibt in startup-sequence 1.Zeile $A00A . Also den nichtsichtbaren Filenamen $A0 und ein Return. -Kopiert sich selbst ins Root-Verzeichnis mit Filename $A0. Einfach loeschen und in startup-sequence mit einem Editor die 1.Zeile loeschen. Hinweis: Der unsichtbare Filename $A0 wird auch von BGS9-3 fuer das verschobene Originalprogramm verwendet. Es koennte also zu Verwechslungen kommen. - Telstar Cold, Cool, Zaehlzelle $C0 ganz gemein, taeuscht durch Text Virusprotector 6.0 vor, entschluesselt (neg.b) BBteile nach $7fc00, jeder 4/2.Reset Graphikausgabe (holl. Flagge und Text u.a. Telstar), keine Vermehrungsroutine gefunden. - Termigator: Kick 1.2 (da absolute ROM-Einspruenge) immer $7f4d0, Cool und DoIo entschluesselte Alertmeldung: Only the TERMIGATOR'VIRUS makes it possible! Bye!... Vermehrung: ueber BB - Terrorists PrgFileVirus Laenge 1612 Bytes KickMem, KickTag, KickCheckSum Textausgabe mit GraphikRoutine nimmt Namen des 1.Files in der Startup an verschiebt OrigPrg ins Hauptverzeichnis (unsichtbar A0202020A02020A020A0A0) Vermehrung: jede nichtschreibgeschuetzte Disk mit Startup im PrgFile sichtbar: TTV1 schwarzer Hintergrund, weisse Schrift, zeilenweise THE NAMES HAVE BEEN CHANGED TO PROTECT THE INNOCENT... THE TERRORISTS HAVE YOU UNDER CONTROL EVERYTHING IS DESTROYED YOUR SYSTEM IS INFECTED THERE IS NO HOPE FOR BETTER TIMES THE FIRST TERRORISTS VIRUS !!! Hinweis: es wird ein unsichtbares File (Name s.o.) weiterge- geben mit der Laenge #64 und dem Inhalt "Protection file!". Dieses File soll einen Terrorists-Befall der Disk verhindern. Clone: NoVi - THAHO8 BB es ist KEIN Virus Empfehlung: loeschen VT kennt: 21.10.92 Die Format- und BB-Kopier-Routine im BB ab $1FE wird NIE er- reicht. Ueber Graphik wird auf schwarzem Hintergrund mit heller Schrift ausgegeben: THAHO8 VIRUS V2.0 Im BB ist zu lesen: 00000000 54686973 20697320 74686520 ....This is the 6D696768 74792054 6861686F 38205669 mighty Thaho8 Vi 72757320 56322E30 21202045 61742073 rus V2.0! Eat s 6869742C 204C414D 45522120 20546861 hit, LAMER! Tha 686F2054 6861686F 20546861 686F2054 ho Thaho Thaho T 6861686F 20546861 686F2054 6861686F haho Thaho Thaho - The FAT Stinkbomb 2 BB EXTREME-Clone Bei mir FAT 2 Virus siehe oben - The FAT Stinkbomb 1 BB TimeBomb V1.0-Clone Bei mir FAT 1 Virus siehe oben - The Return of STARCOM siehe bei STARCOMReturn - THE SMILY CANCER LinkVirus, verlaengert das Prg. um 3916 Bytes Fastmem ja, im Speicher immer ab $7F000, KickTag, KickCheckSum, SumKickData, im Prg. noch BeginIo und $6c = Vec3 PrgTeile decodiert mit ror.b #2,d1 oder codiert mit rol.b #2,d1 befaellt das erste File der startup-sequence, testet n i c h t auf Sonderzeichen im Filenamen, d.h. jedes File wird befallen nach 20 Vermehrungen: Mauszeiger aendert sich in gelben Kopf (smily) mit blauem Hut und Endlosausgabe einer roten Laufschrift: "????????.........." " HI THERE!!! A NEW AGE IN VIRUS MAKING HAS BEGUN!!!" " THANX TO US... THANKX TO: --- CENTURIONS --- " " AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME" " OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE" " CALLED: ` THE SMILY CANCER ` " " HAVE FUN LOOKING FOR IT... AND STAY TUNED FOR OUR NEXT PRODUCTIONS. " " CENTURIONS: THE FUTURE IS NEAR!" " " Ausserdem ist im decodierten Prg noch zu lesen: (erscheint nicht in der Laufschrift) HELLO HACKERS OUT THERE!! A NEW FORCE HAS BORN IN ITALY: --- CENTURIONS ---. OUR TEAM IS COMPOSED OF 2 GUYZ: ME & HIM.(AHAHHA!) THE AIM OF - - CENTURIONS - - IS JUST VIRUS MAKING.. WE HAVE LOTTA FUN DOING THIS AND WE ALSO HOPE TO GIVE FUN TO THE KILLERS MAKERS (HI STEVE TIBBETT!) HAW! HAW! HAW! SIGNED: ME & HIM / CENTURIONS Hinweis: Ich besitze ein Smily-File mit vier Links - The Smily Cancer II Filevirus Laenge: 4676 2x verschluesselt nach 1x entschluesseln mit eori.b #$90,d1 subi.b #$22,d1 kann man am Fileende lesen: CENTURIONS STRIKES BACK: THE SMILY CANCER II Beim Starten des Programms wird der loadwb-Befehl simuliert und das Virusteil setzt sich im Speicher fest. Die Vermehrung erfolgt dann als Smily 1, d.h. es findet KEINE Vermehrung als Smily II statt. siehe oben Hinweis: Es wird ein Smily-File (Laenge 4792 Bytes, ab $200 im File Text zu lesen) in Deutschland weitergegeben, das NICHT lauffaehig ist (April 92). Dieses Prg wird von VT NICHT erkannt, da keine Gefahr besteht. Lasst solche Scherze und verunsichert nicht die Amiga-Benutzer !!!! Hinweis 03.09.92: Ab VT2.44 sollten mehrere SmilyLinks ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke Hinweis 16.04.93: Es ist ein Smily Clone aufgetaucht. Laenge: verlaengert ein File um 3916 Bytes FAST KEIN mit Absicht verseuchtes File war lauffaehig. Das laesst den Schluss zu, dass der addbuffers-befehl von Hand manipuliert wurde. VT hat die Files wieder auf die Original-Laenge verkuerzt und die Startup-Sequence war danach wieder lauffaehig. Unterschied zu Original: Der Sprung-Befehl zur Decodier-Routine wurde geaendert. weiteres Verhalten: siehe oben Hinweis 12.06.93: Es tauchen immer haeufiger defekte Smily-Files auf. VT sollte beim Ausbauversuch eine defekte Hunk-Struktur erkennen und das Loeschen des Files anbieten. Bitte vergessen Sie dann nicht, die Startup-Sequence zu ueberpruefen und bei Bedarf das unverseuchte Originalfile neu aufzukopieren. - The Traveller 1.0 KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F000 abhaengig vom Zaehlerstand: Textausgabe roter,gruener und blauer Balken, schwarze Schrift NEVER HEARD OF VIRUS-PROTECTION ??? -LAMER !!! Vermehrung und Schaden: BB (auch HD !!!!!!!!!) - Tick siehe unter Julie - TimeBomb V0.9 Trojanisches Pferd wird mit dem Prg. BMassacre erzeugt (da steht auch TimeBomb V0.9) besteht aus 2 Teilen in SubDir c und Root: in c: .info = Virus Laenge: 7840 Bytes in Root: pic.xx = Zaehler (Startwert=6) Laenge: 1 Byte in der 1.Zeile der startup steht: c/.info nicht resident, keine Vermehrungsroutine in .info Verhalten: vermindert bei jedem Neustart den Wert in pic.xx um 1 . Sobald 0 erreicht ist, wird die Disk formatiert (Track 0-159) . Damit der Wert in pic.xx geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird immer ausgegeben: RAM CHECKED - NO VIRUS FOUND. - TimeBomb V0.9 Clone Trojanisches Pferd Wird von VT als Timebomb erkannt. besteht aus 2 Teilen in SubDir c und Root: in c: .info = Virus Laenge mit PP: 1584 Bytes in Root: setmap = Zaehler (Startwert=FF) Laenge: 1 Byte in der 1.Zeile der startup steht: c/.info nicht resident, keine Vermehrungsroutine in .info Verhalten: vermindert bei jedem Neustart den Wert in setmap um 1 . Sobald 0 erreicht ist, wird die Disk formatiert (Track 0-150) . Textausgabe danach: Hey Looser ! Boot again ! Damit der Wert in df0:setmap geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird ausgegeben: DISC SPEEDER BY BUD usw VT bietet im FileTest loeschen an und sucht auch nach setmap (1Byte). Falls gefunden, wird auch setmap im Rootverzeichnis geloescht. - TimeBomb V1.0 BB-Virus ( verbiegt keine "bekannten" Zeiger ) (je nach Zaehlerstand wird eigener BootBlock geschrieben, (( Einsprung bei #$70208)) oder Track 80 (Directory) mit Speicherinhalt ab #$20000 ueberschrieben = Disk wird unlesbar !!!) (( Einsprung bei #$70026)) Sichert eigenen Speicher NICHT. Kann also ueberschrieben werden !!! Clone: FAT 1 Virus, O.M.S.A Virus, Lame Game Virus, TAI4-Virus, - Time Bomber Trojanisches Pferd wird mit dem Prg. TimeBomber erzeugt besteht aus 2 Teilen in RootDir: virustest = Virus Laenge: 936 Bytes virustest.data = Zaehler (Startwert=5) Laenge: 1 Byte in der 1.Zeile der startup steht: virustest nicht resident, keine Vermehrungsroutine in virustest Verhalten: vermindert bei jedem Neustart den Wert in virustest.data um 1 .Sobald 0 erreicht ist, wird die Disk formatiert. Damit der Wert in virustest.data geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird immer ausgegeben: RAM checked - no virus found. - Time Bomber-Inst. File Laenge ungepackt: 45640 Bytes Programm um nach Df0: die 2 Time Bomber Files (s.o.) zu schreiben. Wird von selbst NICHT aktiv. Keine verbogenen Vektoren. VT bietet loeschen an. - Timer-Virus Files 2 Files: timer Laenge:4812 setmap Laenge:1712 Verbiegt $74 (ZeroPage) Verbiegt $74 VecPage NICHT (Hallo Enforcer-Freunde) Beim timer-File handelt es sich um das install-Programm. Zur Taeuschung wird ein Fenster (V1.1) geoeffnet und es erfolgt die Ausgabe: Ram .... Chip .... Time .... Date .... In Wirklichkeit wird aber versucht :c/setmap und/oder :system/setmap zu kopieren. Die Unterverzeichnisse muessen existieren und koennen vom timer-Prg NICHT angelegt werden. Nachweis: z.B. snoopdos Das timer-File enthaelt das setmap-File uncodiert. Beim naechsten reset wird nun der falsche setmap-Befehl aufgerufen, wenn er in ihrer s.-seq. steht. - installiert Zeichensatz - verbiegt $74 auf eigene Routine - oeffnet console.device $74-Routine: - arbeitet am seriellen Port $DFF018, $DFF019 - testet nach meiner Meinung eingehende Zeichen - hat den execute-Befehl - enthaelt eine Zeitschleife - am Schluss jmp Orig.-$74 Koennte ein Prg. sein, um in eine Mailbox einzubrechen ???? $74-Erkennung mit VT getestet : 29.09.92 timer-Erkennung mit VT getestet : 29.09.92 setmap-Erkennung mit VT getestet : 29.09.92 Empfehlung: loeschen Sie die beiden Files mit VT und kopieren Sie bei Bedarf das setmap-File neu auf. Zeichen, die so im Orig_Setmap_File NICHT vorkommen: 00004E75 72616D64 72697665 2E646576 ..Nuramdrive.dev 69636500 636F6E73 6F6C652E 64657669 ice.console.devi 63650000 3A646576 732F6B65 796D6170 ce..:devs/keymap 732F6400 00000000 00000000 00000000 s/d............. 646F732E 6C696272 61727900 00000000 dos.library..... . . . 00000000 00000000 00000000 646F732E ............dos. 6C696272 61727900 52414D3A 436F6D6D library.RAM:Comm 616E642D 30302D54 30310000 00000000 and-00-T01...... - TNK noch ein SCA-Clone 08.04.92 im BB zu lesen: 32162054 68697320 77617320 54686520 2. This was The 4e657720 4b696420 dc6e0000 4ef90000 New Kid .n..N... 0000412e 544e4b21 544e4b21 544e4b21 ..A.TNK!TNK!TNK! 544e4b21 544e4b21 544e4b21 544e4b21 TNK!TNK!TNK!TNK! - Tomates-Gentechnic-Service = TimeBomb-BB-Clone nur der Text wurde veraendert - Tomates-Gentechnic-Service 2 = Coder.BB Wieder eine Meisterleistung. Der Text wurde geaendert. Lesen Sie bitte bei Coder.BB nach. Im BB ist zu lesen: 546f6d61 7465732d 47656e74 6563686e Tomates-Gentechn 69632d53 65727669 63652032 2e30202d ic-Service 2.0 - 2d2d2054 68652042 65737420 696e2045 -- The Best in E 75726f70 65203139 39322021 21201400 urope 1992 !! .. ;....... 8059a5c9 d5cd8084 8400416e 74697669 .Y........Antivi 7275732d 436f6465 20426567 696e2024 rus-Code Begin $ 37666130 302d59a5 c9d5cd80 84842d45 7fa00-Y.......-E 6e642024 37666134 3020446f 6e742069 nd $7fa40 Dont i 6e737461 6c6c2074 68697320 4d414749 nstall this MAGI 432d424f 4f54424c 4f434b20 4265726c C-BOOTBLOCK Berl 696e204a 756c7927 393259a5 c9d5cd80 in July'92Y..... 84486176 65206120 676f6f64 20776179 .Have a good way Im Speicher wird mit ror.b #2,d1 und FALSCHER Laenge decodiert: 20202020 2020746f 6d617465 732d6765 tomates-ge 6e746563 686e6963 2d736572 76696365 ntechnic-service 20212120 67726565 74696e67 7320746f !! greetings to 2065696e 732d676d 62682061 6e64206b eins-gmbh and k 6f626f6c 2d646174 61202121 21202056 obol-data !!! V - TOPDOG anderer Name: Top util s.u. - Top util Virus Laenge ungepackt: 2260 Bytes Namensbegruendung: Top util By Zacker of EnSoniC V1.0 ist im File zu lesen. Wurde mir ungepackt zugeschickt. Wird deshalb von VT nur unge- packt erkannt. Bleibt NICHT im Speicher, deshalb keine Speicher- erkennung notwendig. Von der Definition kein Virus, da keine Ver- mehrung. Ein Zerstoerungsfile gegen BBS gerichtet. Also fuer den User ohne Mail-Box ungefaehrlich. Versucht durch Cli-Ausgabe zu taeuschen: Top util By Zacker of EnSoniC V1.0 Call Zack BBS 16.8 HST 407-232-6324 HST ONLY !! USEAGE: Top (num /ALL) <-Hfname> <-Sfname> <-Ttext> num : Min. megs to get on the list ALL : Show all users (default to BBS:User.rpt) -H : Use the file name after -H as the TOP hdr if no -s is used default = BBS:user.rpt -T : text to be used with top dog : TOPDOG (I just added) -S : Use the file name after -S as TOP list Schaden in Wirklichkeit: bbs:user.data wird mit Laenge 66 Bytes neu angelegt, d.h. ein altes user.data-file geht verloren: 0000: 0CEBEAE5 EAA0F4E9 E9E9F4E7 B4A0E9F7 0010: EDF6E5F7 E5F7E9A0 E9F2E5F7 E7E5F7A0 0020: 67726577 67206565 20200A20 54686520 grewg ee . The 0030: 54687265 65204D75 736B6574 65657273 Three Musketeers 0040: 200A Fileerkennung mit VT : 02.11.92 Empfehlung: File einfach loeschen - Trabbi Link anderer Name: Hochofen s.o. - Traveling Jack LinkVirusPrg mit variabler HunkLaenge verbiegt DosBase+$2E (= dos.library-Zeiger ins ROM), nicht resetfest a) schreibt ein File auf Disk VIRUS.xy Laenge immer 198 Bytes x u. y sind HexZahlen, die ueber $BFE801 bestimmt werden. Text in VIRUS.xy: The Traveling Jack.... I'm traveling from town to town looking for respect, and all the girls I could lay down make me go erect. -Jack, 21st of September 1990 b) linkt sich an andere Prg.e Bedingungen: DOS0-Disk, Disk validated, 12 Bloecke frei auf Disk, Filelaenge mind. 2000 Bytes, FileName mind. 5 Zeichen, FileName enthaelt kein Zeichen kleiner als $40, kein Info.File Typ A: LinkHunkLaengenBerechnung: $24C + Wert aus $DFF006 decodiert im Speicher $909+1 Bytes Typ B: LinkHunkLaengenBerechnung: $25B + Wert aus $DFF006 decodiert im Speicher $945+1 Bytes - Travelling Jack 3 gibt es nicht, es handelt sich um Typ B, glauben Sie mir. Einige andere VirenChecker machen einen Fehler, indem sie die Hunklaengenaenderung nicht beachten und erkennen deshalb nur EINEN Typ B, obwohl mehrere moeglich sind. (Stand 28.09.91) - TRIPLEX-Virus BB Cool, DoIo auch KS2.04 belegt im Speicher $800 Bytes, ist 2x im Speicher Vermehrung und Schaeden: BB VirusPrg. meldet sich NICHT im BB ist zu lesen: This nice little Virus was written in 1990 usw. - TRISECTOR 911 Virus BB immer $7F000 KS2.04 : nein fordert trackdisk.device NICHT KickTag, KickChecksum nach 1. Reset auch: DoIo, Vermehrung und Schaeden: BB und $94(a6) fuer Zeitbestimmung - TRISTAR-Viruskiller V1.0 Es ist NICHT der Original TRISTAR- BB gemeint, sondern jemand hat den Text in einen Target-BB (sehr kurzer Code) eingesetzt. Oh, ihr Anfaenger !! VT erkennt Target s.o. - Trojan BB anderer Name: Incognito s.o. - TROJAN 3.0 File Laenge ungepackt: 10536 Bytes Einbruchsprogramm gegen BBS, also fuer Normaluser ohne Mailbox ungefaehrlich. Empfehlung: einfach loeschen Versucht durch Cli-Ausgabe zu taeuschen: TROJAN KILLER V3.0 (23/8/92) Please enter the full path U have to your download dir < eg. BBS:warez/upload > The directory?: Checking for known trojans on harddisk... Report: 0 trojan(s) found' Checking for known trojans in memory...! Trojan(s) found on harddisk : 0! Trojan(s) found in memory : 0 Please contact ->NYLONMAN<- for new trojan killers!!! Note: This program only works on AmiExpress 1.xx and 2.xx Press <<ENTER>> in Wirklichkeit: liest aus: BBS:user.data legt ab in: /demo99.lha liest aus: BBS:user.keys legt ab in: /demo98.lha Es handelt sich natuerlich NICHT um lha-Files. Die Files werden in dem Unterverzeichnis abgelegt, das Sie oben nach ?: eingegeben haben. Loeschen Sie bitte diese zwei "lha"-Files von Hand. Trojan-File-Erkennung mit VT getestet: 20.10.92 - TTS-Virus BB siehe oben bei BadBytes1-Virus - TURK_V1.3 Cool, DoIo, im Speicher immer $7f000 schreibt TURK nach $60 Vermehrung: ueber BB Textausgabe (entschluesselt mit subq #6,d0) ueber DisplayAlert: Amiga Failure... Cause: TURK VIRUS Version 1.3! im BB sichtbar: TURK - TWINZ SANTA CLAUS Coder-Clone s.o. Text geaendert im BB: THE SANTA CLAUS VIRUS !!!! usw. - U.K.LamerStyle anderer Name: Clist s.o. - UA62-ACP-Trojan siehe auch bei CLP-Trojan, PHA Trojan Gefunden in Archiv ua62.lha Laenge: 28761 Bytes ZerstoerungsFile: Mit 3E8-Hunk und gepackt: Laenge 26868 Bytes Entpackt: Laenge 51956 Bytes Schadensteil ausgebaut : Laenge 45616 Bytes Keine verbogenen Vektoren. Keine Vermehrung Namensbegruendung: siehe Auszug Schaden: Schreibt in alle Files in S: egal ob Data oder Prg. einen Text. Ed-startup vorher: 73692030 20203120 2250726f 6a656374 si 0 1 "Project 220a7369 20312020 3220224f 70656e2e ".si 1 2 "Open. 2e2e2020 20204553 436f7022 20226f70 .. ESCop" "op 203f202f 46696c65 3a202f22 0a736920 ? /File: /".si 32202034 0a736920 33202032 20225361 2 4.si 3 2 "Sa Ed-startup nachher: 64522e57 486f206f 4620414c 46202841 dR.WHo oF ALF (A 4c69454e 204c6946 4520466f 524d2920 LiEN LiFE FoRM) 57695348 45532055 2041204d 45525259 WiSHES U A MERRY 20582d4d 41532165 3a202f22 0a736920 X-MAS!e: /".si 32202034 0a736920 33202032 20225361 2 4.si 3 2 "Sa Manchmal wurden die Files auch mit dem Text versehen und der Rest mit Speichermuell gefuellt. Dies war abhaengig vom Prozessortyp. Ed-startup nachher 2: 64522e57 486f206f 4620414c 46202841 dR.WHo oF ALF (A 4c69454e 204c6946 4520466f 524d2920 LiEN LiFE FoRM) 57695348 45532055 2041204d 45525259 WiSHES U A MERRY 20582d4d 4153214b 200b0200 00fc2640 X-MAS!K .....&@ 221b0c41 03ec6650 48416138 2409524b "..A..fPHAa8$.RK Die Files werden unbrauchbar und VT bietet loeschen an. Die Wirkungsweise ist also aehnlich wie bei CLP-Trojan (hab ich nicht). Fileerkennung: VT erkennt 3E8-Hunk und bietet Ausbau an. Nach dem Ausbau erkennt VT Powerpacker. Bitte entpacken Sie das File mit Powerpacker. Sie stellen dann fest, dass es sich um einen 4EB9-4EF9-Link handelt. VT erkennt jetzt beim Filetest UA62-ACP-Trojan und bietet Ausbau an (hoffe ich). Das entstehende File hat etwas mit BBS zu tun. Mehr kann ich dazu nicht sagen, da ich das Mailbox-Prg. nicht habe. Ich bekomme dann die Meldung: acp.info nicht gefunden oder tooltype NODES fehlen usw. . Sind Sie mit dem Prg. vorsichtig. Es koennte noch ein Trojan im Prg. sein ! - UF-Virus anderer Name: UltraFox s.u. - Uhr-BB Virus Cool DoIo $6c Speicherlage: abhaengig vom Inhalt $4e(a6) minus $800 Fordert trackdisk.device NICHT KS2.04: Nein, da Routine Speicher schon verseucht $6c+1 auf kleiner $FC testet. BB wird decodiert mit eor.b d0,d2 usw. Namensbegruendung: Da kein Text gefunden wurde, wurde ein Schadensfall (s.u.) fuer den Namen herangezogen. Vermehrung: BB - Test ob BB schon verseucht - Neue Codierung mit eor.b d2,d1 (Dx zu Decodierung anders). Der Startwert von d2 wird mit $BFE801 festgelegt. Schaeden: Enthaelt mehrere Zaehlzellen. Eine Zaehlzelle wird auf 0-6 getestet. z.B. Wert 2 addq.b #3,D80002 (Namensbegruendung!!!) Addiere 3 Sekunden. Diese Speicherstelle stimmt aber nach meinem Wissensstand nur fuer den A2000A . Fuer den A2000B waere die richtige Speicherstelle $DC0000 . z.B. Wert 3 erhoehe VHPOSR um $300 z.B. Wert 4 Wartezaehlschleife mit $B000 z.B. Wert 5 Mauspos -$605 usw. - ULDV8 kein Fastmem, KickTag, KickCheckSum, BeginIo, IntVec 5 im BB sichtbar: ULDV8 fordert trackdisk.device Vermehrung:BB - ULog V1.8 siehe oben Devil_11_B.Door - ULOG.X BBS-Bomb siehe oben bei scan.x - UltraFox Cool, im Prg. DoIo, FastMem ja, kennzeichnet eigenen Speicher NICHT als belegt fordert trackdisk.device nicht Vermehrung: ueber BB im Speicher immer ab $7eb00 Zaehlzelle groesser $f = Textausgabe, Graphikroutine Hintergrund dunkelblau, Balken hellblau, Schrift gelb. Greetings from ULTRAFOX of Aust. - Umyj Dupe nur KS1.2, da absoluter DoIo-Romeinsprung KickTag, KickCheckSum, DoIo, immer ab $7F800 Fordert trackdisk.device nicht !!! Schaeden und Vermehrung: Bootblock Schreibt in Block 880 (ist nur bei Disk der RootBlock) Umyj Dupe usw. DisplayAlert: Umyj Dupe usw. - USSR492-Virus BB Excrement-Clone (Texte geaendert) anderer Name: Sentinel siehe oben Es wird auch der Name USSR 492 verwendet, da aber auf "Sent" im Virus selbst getestet wird, halte ich den Namen Sentinel fuer sinnvoller, zumal dieser Name auch an gleicher Stelle wie EXCREMENT im Original steht. - V1 BB siehe oben bei EXECUTORS.BB - VCCofTNT-Virus BB Graphikausgabe: VCC of TNT ACCESS FORBIDDEN Schreibt VCC9 nach #34(a6) Fordert trackdisk.device NICHT auch KS2.04 Schaeden: schreibt sofort unsinnige Werte aus dem Speicher in den BB und den Root-Block Ergebnis: Not a Dos Disk Empfehlung: sofort loeschen Wird auch als AutoBootingBootProtector V2.0 weitergegeben. - Vermin Cool, im Prg DoIo immer ab $7eb10 fuellt nicht benoetigten Platz im BB mit Inhalt von $DFF006 auf. Vermehrung und Schaden: Bootblock - VIPHS-Virus BB BeginIo, Kicktag, KickCheckSum, Vec5, im Prg $6c KS2.04: nein Versucht zu taeuschen im BB durch: ANTIVIRUS 1989 by VIPHS Verwendet den ByteBandit-Code um $20 verschoben und $6c Auswirkungen s.o. bei ByteBandit - VirConSet-Virus BB (VirusConstructionSet) immer ab $7F000, Cool $7F0BE, DoIo $7F0D2 Fordert trackdisk.device NICHT Schaeden und Vermehrung: in Abhaengigkeit von der Zaehlzelle (5) wird - ein Virus-BB geschrieben oder - mit DisplayAlert ein Text ausgegeben. Schwachpunkt: Intuition- Base wird immer im $C00000-Bereich abgelegt. Die schlimmste Sache: Der BB wird mit dem Programm Virusconstructionset erzeugt. Laenge gepackt (PP): 10192 Bytes Sie werden aufgefordert, einen max 60 Zeichen langen Display- Alert-Text einzugeben. Den erzeugten BB koennen Sie dann auf Disk in DF0: abspeichern. Weiterhin ist noch ein codierter (addi.b #$27,(a0)+) Text im BB vorhanden, der NIE erreicht wird: 5468 69732056 This V 69727573 20776173 206d6164 65207769 irus was made wi 74682053 7461724c 69676874 60732056 th StarLight`s V 69727573 436f6e73 74727563 74696f6e irusConstruction 73536574 2120636f 64656420 6279204d sSet! coded by M 41580000 AX.. - VirConSet2-Virus BB Cool und nach Reset DoIo KS1.3 : ja Fordert trackdisk.device NICHT Schaeden und Vermehrung: Typ A: BB uncodiert Typ B: BB codiert mit eori.b d0,(a0)+ (immer gleich) Test auf Cool schon verbogen Speicherbedarf mit AllocMem Vermehrung mit DoIo falls lesend auf Block 880 (ist nur bei DD-Disk Rootblock) zugegriffen wird. Falls die Zaehlzelle $7FFF0 den Wert 5 erreicht hat, wird mit DisplayAlert ein Text (mit VirusConstructionSet 2 fest- gelegt) ausgegeben. Weiterhin ist noch ein codierter (eori.l #$aaabacad,(a0)+) Text im BB vorhanden, der NIE erreicht wird: 2054 68697320 This 56495255 53207761 73206372 65617465 VIRUS was create 64207769 74682074 68652056 49525553 d with the VIRUS 20434f4e 53545255 4354494f 4e205345 CONSTRUCTION SE 54204949 2020414c 4c20436f 64652062 T II ALL Code b 79204d61 78206f66 20537461 724c6967 y Max of StarLig 68742032 322f342f 31393933 21212100 ht 22/4/1993!!!. Erzeuger: VirusConstructionSet 2 - VIRI-Virus BB s.o. bei F.I.C.A-VIRI-Clone Nur Text geaendert - VIRUS FIGHTER V1.0 BB auch mit KS2.04 VKill-Clone s.u. Prg-Code = VKill DecodierLW geaendert: "1991" (nuetzt bei VT NICHTS!! ) decodierter Text fuer Requester anders: VIRUS FIGHTER V1.0 usw. - VirusHunter (L) File Sofort loeschen Laenge gepackt: 2888 Bytes Laenge ungepackt: 4528 Bytes Das Prg. fuehrt nach "Test"-Ende ohne Rueckfrage einen Reset aus. Ihre ungesicherten Daten sind weg !!! Im File ist ungepackt zu lesen: 001b0a0d 57656c63 6f6d6520 746f2048 ....Welcome to H 61726477 6172652d 56697275 732d4875 ardware-Virus-Hu 6e746572 0a0d5665 7273696f 6e203130 nter..Version 10 2e323020 6f6e2032 312e3037 2e393220 .20 on 21.07.92 ;..... 0a0d4368 65636b69 6e672052 6f6d2d56 ..Checking Rom-V 656b746f 7273202e 2e2e2052 6f6d2069 ektors ... Rom i 7320696e 66656374 65642121 210a0d53 s infected!!!..S ;usw. Hinweis: Im gepackten Zustand koennte es zu Fehlerkennungen kommen. - VIRUS PREDATOR BB: anderer und eigentlich falscher Name: Julie s.o. - VIRUS TERMINATOR V6.0 trojanisches Pferd Mega1-Cr: 1880 Bytes auch KS2.04 Versucht durch Text zu taeuschen: VIRUS TERMINATOR V6.0 by Rudolf Neiber (1992) usw. Installiert in Wirklichkeit im Speicher CHEATER HIJACKER Virus-BB Wird von VT im Speicher als CHEATER HIJACKER erkannt. Sollte von VT im FileTest als VIRUS TERMINATOR 6 erkannt wer- den. Empfehlung: sofort loeschen - Virus V1 immer ab $7EC00 Cool $7ec62, DoIo $7eca8 Arbeitet auch mit KS2.04 ! Fordert trackdisk.device NICHT !!! Schaeden und Vermehrung: ueber Bootblock sobald die Zaehlzelle den Wert $F erreicht hat: Textausgabe mit Graphics-Routinen dunkler Hintergrund Virus V1 (rot) Wir sind wieder da ahaaa.. (gruen) Der letzte Text ist auch im BB zu lesen - Virusblaster V2.3 ungepackt 9232 Bytes keine Vermehrung, keine Vektoren verbogen, (also von der Definition her KEIN Virus, aber auf Zerstoerung ausgelegt) zerstoert Disk in Df0 meldet sich im Cli als AntiVirenProgramm von M&T 7/91 einfach loeschen Herkunft: Virusblaster.LZH 27944 Bytes - Doc-File (geaendertes VT2.26doc-File) - Virusblaster PP 7292 Bytes - virustest anderer Name: TimeBomber s.o. - VirusZ1.02 File Laenge ungepackt: 1148 Clone siehe oben bei CompuPhagozyte 2 Hinweis: a) Die Versionsnummer gibt es am 27.12.93 noch gar nicht. b) Die Laenge muss das Prg. sofort verraten. - VKill 1.0 anderer Name: Aids, veraendert PutMsg mit FastMem: (loescht j e d e n nicht schreibgeschuetzten Bootblock o h n e Warnung !!!, auch wenn es ein Orig. Bootblock ist !! ) mit nur ChipMem: (schreibt ohne Warnung eigenen Bootblock) EntschluesselungsLW: " KEN" - VT-Faster Virus File CompuPhagozyte 4 - Clone s.o. So ein Programm habe ich nie geschrieben. - WAFT BB Cool, DoIo auch mit KS2.04 Vermehrung Teile des BB`s codiert mit eori.b #-$31,(a0)+ ergibt u.a. Text: W A F T usw Vermehrung u. Schaeden: - BB - DisplayAlert - sucht Screen- u. Windowstruktur - WAHNFRIED BB Cool immer $7F0D8 PutMsg immer $7F0DE KS 2.06: ja fordert trackdisk.device NICHT Namensbegruendung: im BB ist immer zu lesen 20574148 4E465249 45442053 5452494B WAHNFRIED STRIK 45532041 4741494E 20212120 20202020 ES AGAIN !! Vermehrung: ueber BB Allerdings ist ein vermehrter BB nicht mehr bootfaehig, da die BB-CheckSum nicht nachgebessert wird. Schaeden: Eine Zaehlzelle wird bei der Aktivierung des Viruses mit dem Wert $14 beschrieben. Sobald in der Zaehlzelle der Wert 0 erreicht wird, wird mit DisplayAlert ein Text ausge- geben. Dieser Text wird im Speicher decodiert mit: eori.b #$a7,d0 move.b d0,(a1)+ Text: Hardware Failure Press left mouse button to continue Guru Meditation #00000015.00C03L12 Hooligen-Bits randalieren im Datenbus! Gruß Erich! - Warhawk Cool, im Prg. DoIo, liegt immer ab $7e600 Fordert trackdisk.device nicht Clone: 04.03.92 Text entfernt Clone: RAF-Virus, LOVEMACHINE-Virus s.o. Das Virusteil sichert den eigenen Speicherbereich NICHT. Es kann also ueberschrieben werden. - Warshaw Avenger BeginIo, KickTag, KickChechSum, SumKickData grosse Aehnlichkeiten mit Lamer, BB aber unverschluesselt schreibt je nach Zaehlerstand BB oder schreibt in einen Diskblock (Lage je nach $dff006) $55 x Warsaw und 1 x !! . - XaCa-Virus Disk-Killer Clone s.o. Laenge PP-gepackt: 1440 Bytes Laenge ungepackt : 1368 Bytes Filename: disktest Jemand hat es wieder einmal geschafft, einen Text zu aendern. Wird weiterhin als Diskkiller-Virus erkannt. Tut mir leid, die Muehe war umsonst. Im entpackten File ist zu lesen: 20205861 4361206c 756d6d69 6e205631 XaCa lummin V1 2e352020 200a2020 20202020 20202020 .5 . 20202020 20202020 20202020 20202020 20202020 20200a43 41544348 204d4520 .CATCH ME 49462059 4f552043 414e2120 47524820 IF YOU CAN! GRH usw. - XCOPY2-BB eigentlich ein Anti-BB sehen Sie deshalb unten Dort gehoert er eigentlich auch nicht hin, da er nicht nach Viren sucht, aber ich wollte den BB in diesem Dokument behal- ten und nicht nach "andere BB" auslagern - XCopyPro6.5-Trojan Erzeugt beim Starten von XCopyPro V6.5 (Laenge:28336) den BB Little Sven Hinweis: im April 92 lag die OrigVersionsNr. von Xcopy erst bei 5.2x (glaub ich). Gefunden in: xcopy65e.lha Laenge: 25360 VT bietet Ausbau an. - XENO Link-Virus, verlaengert das befallene Prg. um 1124 Bytes verbiegt DosOpen, DosLock und DosLoadSeg erhoeht Hunk-Zahl im File-Header nicht !!! testet vor Befall Filenamen auf 0-9, a-z und A-Z, Folge: Programme, deren Namen SonderZeichen enthalten, werden n i c h t befallen. Ausserdem werden a l l e Prg., die im Unterverzeichnis l oder devs stehen, n i c h t verseucht. Textausgabe (Output, Write) in Abhaengigkeit von $DFF006 Text wird erst zur Ausgabe decodiert ( eori.b #-$80,(a0)+ ) : Greetings Amiga user from the Xeno virus! in einem verseuchten File ist in der Naehe von $460 mit einem Monitor zu sehen: l.devs.fastfilesystem. - XENO a kleine Veraenderung um AntiVirusPrg.e zu taeuschen 09.03.92 Nachtrag 02.11.92: mehrere Xeno-links ans gleiche File sollten in einem Durchgang ausgebaut werden. - XENO-nichtlauff File Kleine Veraenderung um AntiVirusPrg.e zu taeuschen. Aber der Zusammenhang zwischen Hunkanzahl und notwendigen Hunk- laengenangaben scheint nicht klar zu sein (Anfaenger). Das File ist NIE lauffaehig. Amiga-Dos meldet: Error code 121 Bad loadfile hunk VT bietet loeschen an. - Xerox = DIGITAL AGE = Forpib-Clone nur Text geaendert - XLINK V3.0 File VT glaubt ein File gefunden zu haben, das mit XLINK erzeugt wurde. Es handelt sich angeblich um ein Szenen-Programm, mit dem 2 ausfuehrbare Programm-Files zu 1 File zusammengelinkt werden koennen. Also geeignet fuer VirenProduktion !!! Muss aber NICHT immer negativ verwendet werden. VT sucht in dem File NICHT nach Viren-Mustern. Sie muessen selbst eine Entscheidung treffen. HINWEIS ab VT2.54 : Sie koennen jetzt im File-Requester Teil 1 oder 2 abschalten. Link1aus - schaltet den Programmteil 1 ab. Link2aus - schaltet den Programmteil 2 ab. Dies kann natuerlich nur ein NOTNAGEL sein. Besser ist es, wenn Sie mir das verseuchte Teil zuschicken und noch mehr erleichtern Sie mir meine Arbeit, falls Sie zufaellig das Programm auch im ungelinkten Zustand besitzen. Bitte fertigen Sie sich von dem gelinkten Programm zwei ver- schiedene Namenskopien auf einer sonst leeren Disk an. Schalten Sie danach an Kopie 1 den Link 1 ab und an Kopie 2 den Link 2 ab. Wenn Sie Glueck haben, ist ein lauffaehiges Programm dann ohne Virusteil oder ohne Intro !! Aber !!! Es ist auch moeglich, dass das Haupt-Programm NICHT mehr laeuft. Warum ? Beispiel: Eine Gruppe hat ein Intro vor ein Spiel gelinkt. Dann koennen in diesem Intro schon Veraenderungen am Computer (FastRam ab- schalten usw.) vorgenommen werden, die das Spiel voraussetzt. Ohne das Intro ist das Spiel dann logischerweise nicht lauf- faehig. MERKE: Ein so veraendertes File gibt man NICHT weiter!!! - XPRZSPEED-Virus anderer Name: ZSPEED-Virus s.u. - Z.E.S.T BB LADS-Clone s.o Aenderung: lesbarer Text, kein TaeuschAlert, verschluesselter Text ist gleich (Anfaenger) lesbarer Text: Z.E.S.T is the B.E.S.T Virus-Killer usw. - ZACCESS V1.0 16Bit-Clone s.o. nur Text geaendert - ZACCESS V2.0 Forpib-Clone s.o. nur Text geaendert - ZACCESS V3.0 Extreme-Clone s.o. nur Text geaendert - ZAPA_B.Door Filename DM-Trash Laenge gepackt: 4764 VT erkennt P-Packer Laenge entpackt: 7636 VT erkennt ZAPA gegen AmiExpress ??? dm-tr.lha 5135 Bytes entpackt: dm-trash 4764 Bytes folgender Text (doc) ist zur Taeuschung enthalten: New virus ...caused by the new FIXED (?) Version of DMS 1.11 Turbo! It is some kind of linkvirus and uses Devices like DH0:, LIBS:, and BBS: (!!) usw. Eigene Versuche mit FangFiles (habe AmiExpress nicht) haben ergeben, dass eben von dm-trash folgende Files veraendert wer- den: bbs:config1 bbs:user.data bbs:user.key Die Files wurden verlaengert und ZAPA eingetragen. dm-trash. Vermutlich soll ein Superlevel fuer einen Boxzu- gang geschaffen werden. Also fuer normale Amiga-User kein Problem. VT bietet loeschen an. - ZENKER-Virus BB KS2.04: ja im Speicher immer ab $7F800 Cool $7F86c DoIo $7F894 Fordert trackdisk.device NICHT Versucht im BB durch lesbaren Text zu taeuschen: Commodore Bootloader (20 Oct 1987) Dieser BB holt in Wirklichkeit ab $70000 auf Speichermedium (bei Disk Zyl 40 Sektor 16-19) 4 Bloecke. Die ersten beiden Bloecke enthalten das Virusteil. Die restlichen beiden Bloecke enthalten den ehemaligen Orginal-BB. Dabei wurde ab der DOS-Kennung == ZENKER == eingetragen. Dies behindert die Vermehrung nicht, da das Virusteil erst ab $C in den Orginal-BB einspringt. Das Virusteil meldet sich NICHT. Vermehrung und Schaeden: Der Orginal-BB der eingelegten Disk wird nach $7FC00 geholt, == Zenker == eingetragen und dann mit dem Virus-Teil nach Zyl 40 Sektor 16 ff. abgespeichert. File-Bloecke an dieser Stelle oder die BitMap (im Test passiert) werden ueberschrieben und koennen NICHT gerettet werden !! Tut mir leid. Danach wird der Bootloader in den BB geschrieben. Falls der BB-loader erkannt wurde, sollte das Gadget O-BB aktiviert werden. Sie koennen damit versuchen, den Original-BB von Zyl 40 zu holen. VT schreibt dann die Dos0-Kennung und $370 neu. Danach wird die BB-CheckSum neu berechnet. Diesen BB koennen sie dann mit Speicher-BB zurueckschreiben oder im File-Req abspeichern. Vielleicht haben Sie Glueck und ihre Disk bootet wieder. Der Fehler auf Zyl 40 kann aber NICHT behoben werden. Auf Festplatte arbeiten Sie bitte so NICHT. Holen Sie das Backup des Rigid-Bereichs hervor (das haben Sie doch oder ???) und schreiben Sie den Rigid-Bereich mit ihrer Kontroller-Software (ist mir lieber so) oder wenn es gar nicht anders geht mit VT- Restore zurueck. Erkennung und Loeschung mit VT2.51 getestet: Speicher 19.03.93 BB 19.03.93 BlockITest 19.03.93 BlockKette 19.03.93 hole O-BB 21.03.93 Hinweis 25.10.93: Das VirusTeil verseucht auch FFS-Disketten. Da aber immer ein DOS0-BB geschrieben wird (ist ausgetestet), wird beim naechsten Schreibzugriff (z.B. copy File) die Disk- Struktur noch weiter zerstoert. - ZOMBI I-Virus Cool, im Prg DoIo, immer ab $7A000 fordert trackdisk.device NICHT Vermehrung: BB Schaeden: Sobald die Zaehlzelle den Wert $F erreicht hat: - RootBlock und Bitmapblock neu schreiben !!!! - Name der Disk dann: Zombi I - Textausgabe mit DisplayAlert Text wird decodiert nach $70000 mit eori.l #$AAAAAAAA,(A0)+ >>>>> Hello AMIGA User !!!!! <<<<< HERE IS ZOMBI I If you want to clean your Disks use Zombie I without risks ! Da der BitMapBlock immer nach $371 geschrieben wird, was aber im DOS nicht zwingend festgelegt ist, kann ein File, das beim Block $371 beginnt, zerstoert werden. Alle Hashwerte im Root- Block werden auf Null gesetzt. Beim BitMapTest erkennen Sie diese Disk am Namen Zombi I ab $1B0. Rettung: DiskDoc oder DiskSalv aufrufen. - Zonder Kommando 1 File (Name nachvollziehbar) anderer Name: Mongo09 s.o. - Zonder Kommando 2 File (Name nicht nachvollziehbar) anderer Name: Mongo51 s.o. - ZSPEED-Virus File Laenge ungepackt: 9556 gefunden in Archiv: XPRZSPEED.LHA 8703 Von der Definition kein Virus, da keine Vermehrung, sondern Zerstoerungs-File gegen AmiExpress (BBS). Also KEINE Gefahr fuer den Normal-User. Empfehlung: einfach loeschen UND s.seq aendern !!! lesbarer Textauszug am Fileende: 00000058 0000005A 06060000 5850522D ...X...Z....XPR- 53706565 64657220 56332E32 202D2041 Speeder V3.2 - A 43544956 45202D20 30343A31 33424253 CTIVE - 04:13BBS 64656C65 74652062 62733A23 3F20616C delete bbs:#? al 6C626273 3A446970 5F696E5F 44554445 lbbs:Dip_in_DUDE .... 4746412D 42415349 43000000 00000000 GFA-BASIC....... Versucht in doc zu taeuschen: This tool was coded in order to improve your Z-Modem transfers. And it works really good in 30 % of our TEST-Downloads there was an acceleration of nearly 6-7 % !!! Fileerkennung mit VT getestet : 08.10.92 WICHTIG: wird von VT im Speicher NICHT gefunden !!!!! Deshalb sollten Mailbox-Betreiber ab und zu in vt/listen/task suchen nach: $003ae000 wait process Background CLI [xprzspeedV3.2.exe] Schadensverlauf: - soll mit run gestartet werden - gibt dann im cli aus: XPR-Speeder V3.2 - ACTIVE - oeffnet nur einen Port OHNE Namen (deshalb auch keine Speichererkennung mit VT vgl. VT/Listen/Port) - wird um 04:13 Uhr (Nacht) aktiviert - delete bbs:#? all - holt delete (zumindest bei mir wird in Sys: danach gesucht) - loescht alle Files in bbs: - loescht ram:temp - legt Dip_in_DUDE neu an - vergroessert dieses File bis die Partition voll ist - dann ein System-Requester bbs voll - dieses File enthaelt bei mir nur Muell und die geloeschten Filenamen - erkannte Virenfinder: ===================== teilweise KickRomV1.2, haeufig mit Bootblock-Schreibzugriff, veraltet, resident, werden nach Abfrage geloescht - ABC-VKiller Empfehlung: sofort loeschen immer ab $7F400, KickTag im Prg. DoIo lila Bildschirm Im BB ist zu lesen: 20566972 75734b69 6c6c6572 2f446574 VirusKiller/Det 6563746f 72205631 2e303120 20202020 ector V1.01 41204142 43205072 6f647563 74696f6e A ABC Production - ACID Terminator V3.0 AntiVirusBB nicht fuer KS2.04 geeignet, da absolute Werte geschrieben werden. Empfehlung deshalb: loeschen - AmigaDOS Viruskiller V2.1 immer ab 7F3F0, resetfest verbiegt DoIo, KickTag, OpenOldLib, und im Prg OpenWindow Schreibt in CLI-Leiste AmigaDOS Viruskiller 2.1 meldet veraenderten Bootblock und bietet BB-AmigaDOS an. GURU mit KS2.04 deshalb Empfehlung loeschen - Anti-Virus_Boot V1.1 c1991 by Hoeppelsoft KickTag, KickMem, KickCheckSum bei Erstinstallierung: gruener Bildschirm bei Reset : Bildschirm mit blauen Streifen eigentlich harmlos, aber: verhindert bei mir mit KS2.04 booten von Festplatte Empfehlung deshalb : loeschen - ASS VirusProtector V1.0 (KickV1.2, Tonfolge) FastMem ja, KickTag, KickCheckSum, Vec5 6e6b7320 746f2074 68652041 53532056 nks to the ASS V 49525553 2050524f 54454354 4f522056 IRUS PROTECTOR V 312e3020 2a2a2a00 00000000 00000000 1.0 ***......... - Blizzard Protector V1.0 testet Cool, Vec3, falls veraendert wird ohne Warnung eigener BB geschrieben (verwendet dazu ueber den verbogenen CoolVector das andere Prg (jsr 82(a0)) Empfehlung: loeschen - BlizzPro V3.1 cool, Fastmem ja, im Prg. closedevice (oh, was neues) Vermehrung: ueber BB erkennt einige Viren, schreibt aber KS1.2 DoIo zurueck Meldung ueber DisplayAlert unverschluesselter Text im BB: BlizzPro V3.1 und Virennamen - BlizzPro V3.3 Cool gegenueber BlizzPro V3.1 verschoben NICHT mit KS2.04 kein Virus = Bildschirm gruen sonst s.o. unverschluesselter Text im BB: BlizzPro V3.3 und Virennamen Empfehlung: sofort loeschen - CLONK-Virus DoIo, KickMem, KickTag, KickCheckSum, SumKickData nur 512KB Chip (oder resetfestes 1MB), da zur Aktivierung immer ein Reset ausgefuehrt wird. (7D042 nach $80, TRAP 0) Ursprungsprogramm: Clonk! (Alcatraz) Clone: TAI10-CLONK-Virus s.o. - DISKGUARD v1.0 cool, im Prg DoIo, immer $7FA00 Vermehrung: ueber BB Meldung fremder BB.e: mit DisplayAlert schreibt immer DoIo von KS1.2, Folge: Guru mit KS1.3 Empfehlung: loeschen - Exterminator 2 cool, im Prg DoIo FastMem: nein KS2.04: nein Empfehlung deshalb: L=loeschen - H.C.S I veraendert cool, im Prg DoIo, loescht KickTag im Speicher immer ab $7EC00 Vermehrung: jeder DOS-BB ohne Warnung !!!! 4F4C4420 482E432E 5320414E 54492D56 OLD H.C.S ANTI-V 49525553 202D2048 2E432E53 20273432 IRUS - H.C.S '42 3230202A 2A2A0000 00607E2A 2A2A2042 20 ***...`~*** B - H.C.S II veraendert cool laenger als HCS1 erkennt einige alte BBViren ( Alertmeldung ) beim ersten Bootblockschreiberfolg wird noch der DoIo-Vector verbogen und bleibt verbogen bei leerem Laufwerk blinkt PowerLed - JoshuaKill.BB Cool, DoIo KS3.0: ja a)fordert trackdisk.device NICHT b)belegt bei Bedarf OHNE Check Speicher ab $7FF00 - Empfehlung deshalb: Loeschen Aufgaben: Testet Vektoren und sucht mit DoIo im BB nach Joshua. Mit DisplayAlert wird bei Bedarf ein Text ausgegeben. Joshua.BB wird ueberschrieben. Im BB ist u.a. zu lesen: THIS BOOTBLOCK IS NO VIRUS! IT KILLS JOSHUA VIRUS I+II! - Outlaw-VirusChecker keine Vermehrung, erkennt SCA. Schreibt aber immer KS1.2 Werte (z.B. Vec5 $fc12fc) zurueck. Folge: GURU mit KS1.3 nicht resident Empfehlung: loeschen - M&U V5.5 u. V6.1 KickTag, KickCheckSum immer $7F400 nach Reset auch DoIo, prueft die Standard-Vektoren und springt bei der Erstinstallation, falls diese nicht 0 sind, ins ROM zum Reset. Fehler: or.l $550(a6),d0 (richtig:$226) Stand: Feb. u. Maerz 90 Empfehlung deshalb: sofort loeschen - MemClear.BB Cool $7F0AE Keine Vermehrung, KS2.06: ja Empfehlung: Loeschen Setzt Reset-Vektoren auf Null und verbiegt dann Cool wieder Namensbegruendung: im BB uncodiert zu lesen 203e204d 656d6f72 79436c65 6172426f > MemoryClearBo 6f745631 2e323520 otV1.25 - Monkey-Killer AssProt-Clone Empfehlung loeschen s.o. Endlich hat es jemand geschafft den Text abzuaendern. Leider erkennt VT diesen BB weiterhin als ASS-Prot.BB . - N-STAR-Killer BB Empfehlung loeschen Testet Cool und KickTag auf 0 Falls ja blauer Hintergrund und weiter Falls nein ROM-Reset $FC0004 Keine verbogenen Vektoren Keine Vermehrungsroutine Datenschrott (falls vorhanden) hinter dem Text wird NIE erreicht. Version V1.7: 79002020 20202020 56312e37 20202020 y. V1.7 20205649 5255534b 494c4c45 52204652 VIRUSKILLER FR 4f4d2a2a 204e4f52 54482053 54415220 OM** NORTH STAR Version V2.0: 61727900 20202020 20205632 2e302020 ary. V2.0 20202020 56495255 534b494c 4c455220 VIRUSKILLER 46524f4d 2a2a204e 4f525448 20535441 FROM** NORTH STA 52202a2a 20202057 72697474 656e2062 R ** Written b - NO BANDIT soll ByteBandit am Bootblockbefall hindern Text: NO BANDIT ANYMORE! R.T. Empfehlung: loeschen - PayDay.BB Als AntiVirusBB gebaut Starfire2-Clone Dringende Empfehlung: Loeschen, da voellig veraltet. Namensbegruendung: Im BB ist zu lesen: PayDay !!! Cool $7EC0E, im Prg DoIo $7ECF0, im Speicher immer ab $7EC00 KS2.04: Guru 4 nach Reset Fordert trackdisk.device NICHT Ablauf: Testet auf DOS0-Kennung Testet jeweils 1 Langwort, z.B Band, fuer verschiedene BB-Viren. Falls eines gefunden wird, wird mit DisplayAlert ein Text aus- gegeben und das Schreiben des Payday-BBs angeboten. Ich rate dringend davon ab, da Probleme mit KS2.04 ent- stehen und nicht einmal 10 BB erkannt werden. - Sherlock AntiVirenBB , Cool, DoIo, resident im Speicher, im Speicher immer ab 7FA00, benutzt zusaetzlich 7CA00, Textausgabe mit DisplayAlert schreibt bei mehr als 512KB BeginIo an falsche Stelle, Empfehlung: loeschen Hinweis: 04.03.92 (Brief) soll Disks zerstoeren. Getestet: nicht aufgetreten - SystemZ V3.0, 4.0, 4.1, 5.0, 5.1, 5.3, 5.4, 6.1, 6.3, 6.4, 6.5 KickTag, KickCheckSum, loescht Cool, im Prg. DoIo Melodie und Farbbalken ab 6.3 keine speicherabsolute Adresse mehr neuer Name Virusprotector (meldet sich vor Schreibzugriff) z.B. : 20535953 54454D20 5A205649 52555320 SYSTEM Z VIRUS 2050524F 54454354 4F522056 342E3020 PROTECTOR V4.0 - Trackers Antivirus V1.2 blauer Streifen, helle Schrift 2 alte absolute ROM-Einspruenge Empfehlung deshalb: sofort loeschen - VIRUS HUNTER Kicktag $7F300, KickCheckSum $7F307 immer ab $7F300 war ein AntiVirusBB fuer KS1.2 Empfehlung heute: sofort loeschen Begruendung: direkte RomEinspruenge jsr $FC06DC, $94(a6)=$FC12FC, schreibt nach $238(a6) dieser Teil wird aber seit KS2.04 genutzt !!! usw. - Virus-Killer KickMem, KickTag, KickCheckSum - VIRUS SLAYER V1.0 Cool, DoIo, im Speicher immer $7FA00 nur KS1.2 da DoIo absolut ROM veraltet, Empfehlung: loeschen Vermehrung: ueber BB Clone 21.01.94: Erzeugt mit TAI10-Inst. (s.o.) Nur ASCII-Text geloescht. Wird weiterhin als VirusSlayer erkannt: 2e202e2e 2e202e20 2e2e2e2d 202e2e20 . ... . ...- .. 2e2d2e20 2e2e2d20 2e2e2e21 2e2e2e20 .-. ..- ...!... 2e2d2d2e 202e2e2e 2e202e2e 202d2e20 .--. .... .. -. - XCOPY2-BB Empfehlung: Loeschen KS2.04 ja Fordert trackdisk.device NICHT KickTag, KickCheckSum, im Prg. DoIo, Speicherlage mit AllocMem Ablauf: Beim naechsten Reset wird der Bildschirm gruen. NUR wenn Sie beim Bootvorgang BEIDE Maustasten druecken, wird ein normaler BB geschrieben. Fuer mich ist das KEIN Virus, da OHNE das Wollen des Be- nutzers NICHTS passiert und nicht jeder die Tasten- kombination kennt. Namensbegruendung: Am Ende von Block 0 ist XCOPY2 zu lesen. Der Block 1 wird vom BB-Prg nicht benoetigt und mit 0 aufgefuellt. - ZVirusKiller V1.5 BB KickTag, KickCheckSum, veraltet Empfehlung: loeschen Text: ZViruskiller V 1.5 usw. - harmlose Programme: ???????? =================== - ANTI-Disk-Validator Laenge: 1848 Bytes in einen Disk-Validator von WB1.3 wurde das Wort ANTI ein- gebaut. Ueber diesen String wird mit bra.s hinweggesprungen. Die zusaetzlichen 8 Bytes werden wieder eingespart durch die Umwandlung von zwei Longs in Short im weiteren Programm. Dieses Programm ist harmlos. Um aber das Durcheinander bei den Disk-Validatoren gering zu halten, empfehle ich: LOESCHEN !!!!! Nachtrag Feb 94: Es ist ein Programm aufgetaucht, das so einen Anti-Disk-Validator schreibt (fragt aber erst nach). Da als Versionsnummer 1.7 angegeben wird, vermute ich, dass dieses Programm schon laenger existiert. Name: Bush Laenge gepackt: 7696 Bytes Laenge ungepackt: 13344 Bytes Dieses Programm wird in der Beschreibung als SADDAM-Killer vorgestellt. - PowerUp ein GagPrg. Laenge: 800 Bytes KEIN Virus !!!!!! keine verbogenen Vektoren. Kein Schreibzugriff Empfehlung: loeschen Ablauf: - nach dem Start wird ein PrgTeil decodiert mit eori.b #$AB,(a0)+ - in der shell erfolgt die Ausgabe: PowerUp ist installiert. Viel Spaß!!! - promptzeichen kommt NICHT - 1. Zeitschleife (dosDelay) laeuft an. - Ausgabe ueber AutoRequest Achtung! PowerUp wurde entfernt, da der Rechner zu heiß wurde. Neue Installation erst nach Abkühlung der Logik-Chips möglich! Oh, schade Oh, schade - Nach Mausklick immer noch kein prompt - 2. Zeitschleife laeuft an - DisplayAlert A P R I L , A P R I L !!! - Nach Mausklick erscheint Prompt-Zeichen - schaedliche Programme: ====================== - AcidInfector v1.5 File Loeschen Laenge gepackt: 1076 Bytes Laenge ungepackt: 1384 Bytes Fordert zur Installierung von BB-Viren auf. 68652041 6369642d 496e6665 63746f72 he Acid-Infector 20762031 2e350a0a 0d496e73 65727420 v 1.5...Insert 6469736b 20746f20 62652069 6e666563 disk to be infec 7465642c 20616e64 20707265 73732052 ted, and press R 65747572 6e3a0a0d 4572726f 72202d76 eturn:..Error -v 69727573 6e616d65 20646f65 73206e6f irusname does no Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. - AmiExpress 3.20 Fake (17.01.94) Wird von VT NICHT erkannt !!!!! Soll mehrere Backdoors enthalten (Fremdaussage NICHT nachge- prueft !!! ). Fuer Nicht-Mailboxbetreiber ungefaehrlich. Und fuer die Mailboxbetreiber auch nur falls sie die Raubkopie installieren !!! Filename: ACP 45612 Bytes acp.info 1182 Bytes Express 212356 Bytes - Blieb6 Laenge: 7612 Oeffnet dh0:bbs/config1 oder dh1:bbs/config1 und verlaengert das File auf 1972 Bytes. Versucht dann explode.library zu laden, um sich selbst weiter zu entpacken. Dabei erscheint bei mir sofort der GURU auf jedem Test-Rechner und bei jeder KS . Falls Sie mehr Glueck haben, bitte eine Nachricht. Danke - BootblockMassacre gepackt: 9592 bietet install von verschiedenen alten BB-Viren (1988) Wird von VT NICHT erkannt, da SIE gewollt die Viren installieren muessen. Das Prg. wird von selbst NICHT aktiv !!!!! - BootShop Defjam: 108008 MasterCr: 67892 Dringende Empfehlung: Loeschen Erlaubt das Installieren von ueber 40 BB-Viren Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. - BootX5.02 gibt es noch gar nicht (Stand:26.06.92) Jemand mit Filemonitorkenntnis hat mehrmals das Wort Porky eingebaut. Sofort loeschen - ByteWarriorCreater gepackt: 6012 Bytes (TNM) ungepackt: 7360 Bytes Erzeugt mit Fastmem eine NDOS-Disk Ohne Fastmem wird der ByteWarrior in den Bootblock geschrieben - DAG_Creator ungepackt: 7000 Bytes oder 7360 Bytes anderer Name: Infector V2.0 gepackt:4956 schreibt DAG-Virus in BB von df1: VT sollte die Version mit Laenge 7360 Bytes ungepackt erken- nen. - Disk.info Laenge: 370 Bytes KEINE Vermehrung Ein OriginalWB1.3-Icon wurde in der Struktur geaendert. (Text eingebaut z.B. This is a little present for all Lamers abroad ). Sobald Sie diese Disk einlegen und es muesste das Disk-Icon auf der WB angezeigt werden, stuerzt der Rechner ab. Haben Sie die Startup-Sequence im Cli abgebrochen, so muss kein Icon dargestellt werden und deshalb koennen Sie mit dieser Disk ohne Probleme arbeiten. Abhilfe: Ersetzen Sie Disk.info . - DiskRepair V2.6 Laenge:37740 Schreibt nach dem ersten Scandurchgang einen LEEREN RootBlock mit Namen PHOENIX . Beim 2. Durchgang werden aber dann die Files wieder eingetragen. ABER !!!!! es wird immer ein nicht ausfuehrbarer BootBlock geschrieben ??? Der Fehler liegt nach meiner Meinung im File bei $80d0 . Ich rate also von diesem Prg. ab !!! - DM-Trash 06.08.92 s.o. ZAPA_B.Door gegen AmiExpress ??? dm-tr.lha 5135 Bytes entpackt: dm-trash 4764 Bytes folgender Text (doc) ist enthalten: New virus ...caused by the new FIXED (?) Version of DMS 1.11 Turbo! It is some kind of linkvirus and uses Devices like DH0:, LIBS:, and BBS: (!!) usw. Eigene Versuche mit FangFiles (habe AmiExpress nicht) haben ergeben, dass eben von dm-trash folgende Files veraendert wer- den: bbs:config1 bbs:user.data bbs:user.key Die Files wurden verlaengert. dm-trash. Vermutlich soll ein Superlevel fuer einen Boxzu- gang geschaffen werden. Also fuer normale Amiga-User kein Problem. - Guardian.DMS sofort loeschen Nach dem Entpacken auf Disk entsteht guardian.config, startup-sequence und andere Files. Gefaehrlich: guardian.config v1.0 dh0:bbs/ v1.0 dh1:bbs/ 2 - v1.0 ist in c auf der Disk ein umbenannter delete-Befehl startup-sequence echo " " echo " GUARDIAN MULTITOOL INSTALL " echo " " echo "Please wait" v1.0 dh0:bbs/user.data v1.0 dh0:bbs/user.keys v1.0 dh0:bbs/config1 v1.0 dh0:s/startup-sequence check drive dh0: Name Guardian-Multi wait 3 echo " " echo "Operation complete " - check ist in c auf der Disk ein umbenannter format-Befehl - Infect Laenge ungepackt: 1384 schreibt File (z.B. BB) in BB eines LW's DFx kann sowohl positiv als auch negativ genutzt werden - Infector V2.0 = DAG_Creator s.o. - Keeper V2.0 gepackt: 34272 Bytes Hat einige Viren zum installieren FEST eingebaut. - Lhwarp_V1.40 Laenge: 47880 Bytes (ungepackt) Hinweis eines Users: mit Impl: 24788, mit PP: 27828 Schreibt bei mir auf Zieldisk, falsche DiskStruktur beim Entpacken. Disk dann unbrauchbar. Bitte fuehren Sie aber mit unwichtigen Disks selbst Tests durch und testen Sie mit BlockKette. - LZ 2.0 Hinweis: Stand 21.09.91 In Boxen ist ein LZ2.0 aufgetaucht, mit Laenge 37380 Bytes entpackt. Muss sich um einen Patch handeln und soll Archive zerstoeren. Hab ich, wird aber von VT nicht erkannt. Die hoechste OriginalVersionsNummer von LZ war am 22.09.91 LZ 1.92 . - Show Sysops Util 06.08.92 wird von VT NICHT erkannt Laenge: 5780 entpackt: 7860 Sucht nach BBS:USER.DATA und gibt Daten am Bildschirm aus. An einem FangFile konnten keine Veraenderungen festge- stellt werden. Dies kann aber bei einem Mailboxprg. anders sein. Fuer normale Amiga User nach meiner Meinung keine Gefahr und Sysops wissen sich zu helfen oder ?? - Sysinfo V2.2 PP: 3928 ungepackt: 5656 enthaelt: delete BBS:#? all (gegen AmiExpress) wird von VT NICHT erkannt Diese Funktion konnte ich bei Tests auf keinem Amiga-Typ, mit dem ich testen kann, ausloesen. Das Programm belegt Speicher und zeigt dann sehr schnell den GURU bei irgendeiner Arbeit auf der WB. Falls Sie mehr "Glueck" haben, bitte eine Nach- richt. Danke 793F0000 0D0A5379 7374656D 496E666F y?....SystemInfo 2056322E 320D0A00 0A506C65 61736520 V2.2....Please . .... 3A320000 64656C65 74652042 42533A23 :2..delete BBS:# 3F20616C 6C202054 3A340000 000003F2 ? all T:4..... - Sysinfo V1.1 (Original) ungepackt: 5680 enthaelt NICHT !!! : delete BBS:#? all also auch kein Zerstoerungsprogramm gegen AmiExpress !!! 303B316D 53797374 656D496E 666F2056 0;1mSystemInfo V 312E3120 28432920 496F616E 6E697320 1.1 (C) Ioannis 43686174 7A69616E 6472656F 752C2031 Chatziandreou, 1 3939302C 20426F63 68756D20 4652471B 990, Bochum FRG. - uinfo Laenge:13048 wird von VT NICHT erkannt Sucht nach AEDoorPort (AmiExpress ???) und Userdaten. Also fuer NormalUser ohne MailBox keine Gefahr. 10.09.92 - Virusconstructionset Laenge gepackt (PP2): 10192 Bytes Sie werden aufgefordert, einen max 60 Zeichen langen Display- Alert-Text einzugeben. Den erzeugten BB koennen Sie dann auf Disk in DF0: abspeichern. Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. - VirusConstructionSet 2 Laenge gepackt (PP3): 32360 Bytes entpackt : 47944 Bytes Sie werden aufgefordert, einen max 60 Zeichen langen Display- Alert-Text einzugeben. Weitehin koennen Sie den Virusnamen festlegen, der dann immer im BB sichtbar ist. Mit F1 oder F2 legen Sie fest, ob der BB codiert abgespeichert wird. Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. - Virusmaker V1.0 Laenge gepackt (PP): 15641 Bytes entpackt : 84216 Bytes erzeugt nach Wahl: Byte Bandit, Byte Warrior, S.C.A., North- Star 1+2, System Z Dringende Empfehlung: Loeschen Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. - X-Ripper V1.1 Laenge: 41360 Bytes (ungepackt) erlaubt mit inst 5 das Schreiben eines Lamer-BBs. Es wird aber eine NDos-Disk daraus, weil die DOS0-Kennung um 8 Bytes verschoben angelegt wird. Hinweis: Erkennung in gepackter Form NICHT sicher (??). Testen Sie bitte das File, bevor Sie es loeschen. Programme gegen BBS, die ich nicht besitze. Bitte zusenden. Danke / ---> Date And Time Uploaded -- Mon 01-Feb-93 2:34:10 PM <--- \ ----------------------------------------------------------------------------- WARNING ! DO NEVER RUN THE FILE "KILLKIM.EXE" ON YOUR BBS COMPUTER !!! IT LOOKS FOR THE USER.DATA,USER.KEYS, STARTUP-SEQUENCE & EXPRESS MAINFILE AND FILLS THEM WITH THE FOLLOWING TEXT: --------------CUT HERE------------------ STARTUP-SEQUENCE SUCCESSFUL DESTROYED!!! --------------CUT HERE------------------ --------------CUT HERE----------------- USER.KEYS SUCCESSFUL DESTROYED !!! --------------CUT HERE----------------- AND SO ON. THEN IT RUNS AN APPENDED LSD INTRO. TO THE LAMER WHO 'CODED'[IT WAS COMPILED AREXX] THAT STUFF:LOOKS PRETTY LAME IF THERE'S A REQUESTER ON SCREEN "PLEASE INSERT VOLUME BBS: IN ANY DRIVE"... I WOULD AT LEAST CHECK IF BBS: ACTUALLY EXISTS ! CYCLONE/DUAL CREW / ---> Date And Time Uploaded -- Sun 31-Jan-93 1:31:54 PM <--- \ ----------------------------------------------------------------------------- ------------------------------------------------------------------------- WARNING ! WARNING ! WARNING ! WARNING ! WARNING ! WARNING ! WARNING ! ------------------------------------------------------------------------- THE FILES JISMTRO.EXE IS A TROJAN ! IT CREATES A FILE IN AREA 2 UPLOAD DIR WITH THE NAME TSL-BBS.EXE !!!! DO NOT RUN IT ! ------------------------------------------------------------------------- Maerz 93: WARNiNG! A File Named 'TRSITW.EXE' Was Spread Some Days Ago, Labeled As A New TRSI Intro - This Is A Damn FAKE! And Even Worse It Has A BackDoor In It Which Tries To Open The File 'DH0:BBS/USER.DATA' ! After That It Looks For A User Called 'EASY-E' And Sets (If Existing) His UserLevel To 255 ! Whoever This Little Creep May Be : Give Him A Kick If Ya' Know Him ! ------------------------------------------------------------------------ April 93: Es ist ein Gfa-Basic-Programm aufgetaucht, das angeblich verschiedene Link-Viren erzeugt. VCS Laenge PP-crunched: 30276 VCS.info Laenge: 459 VCS.data Laenge: 23632 VCS1.data Laenge: 12536 Nach IHRER muehevollen, aber leider vergeblichen Arbeit, wird auf der Disk in df0 ein File mit Namen Tasten-Text erzeugt. Hallo Virustown ! Es ist Sommerzeit und der 1.April Aber vielleicht ist ja doch ein Virus da ? SCHAU DOCH MAL IN DER UHR NACH ?!!? Hier ne Tastenkombination: linke Hand: alt,ctrl,q,4,v rechte Hand: Enter,8,Alt,Help,ü Nase: F6 Zunge: z Ich finde den "GAG" nicht so stark und denke die erste geloeschte Festplatte, laesst diesen Programmierer mit seiner SINNLOSEN Arbeit, anders denken. -------------------------------------------------------------------------- Heiner Schneegold Am Steinert 8 97246 Eibelstadt Deutschland Tel: 09303/8369 (19.00 - 20.00 Uhr) Heiner