home *** CD-ROM | disk | FTP | other *** search
/ Fresh Fish 6 / FreshFish_September1994.bin / bbs / util / anticiclovir-2.2a.lha / AntiCicloVir / AntiCicloVir.DOC < prev    next >
Encoding:
Text File  |  1994-09-05  |  23.2 KB  |  646 lines
  1.  
  2.         Documentation of AntiCicloVir V2.2:        18.07.1994
  3.         ===================================        ==========
  4.  
  5.  
  6. Table of Contents:
  7.  
  8. 1. Copyright
  9.  
  10. 2. How to use AntiCicloVir
  11.  
  12. 3. Scan memory for viruses
  13.  
  14. 4. Scan directories for viruses
  15.  
  16. 5. Scan bootsectors for viruses
  17.  
  18. 6. Scan disk-validators for viruses
  19.  
  20. 7. Description of some well-known viruses:
  21.  
  22.     - SCA
  23.  
  24.     - BGS9
  25.     - Bret Hawnes
  26.     - Disaster-Master
  27.  
  28.     - IRQ
  29.     - Golden Rider
  30.     
  31.     - SADDAM
  32.  
  33. 8. Mail
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.             Copyright
  45.  
  46. AntiCicloVir is now Public Domain Software and that means, you can use this
  47. viruskiller for personal or commercial work !
  48. You can use this program for scanning in your own system for viruses or you can
  49. install it on your own Public Domain disks or sell it to anyone to any prices.
  50. You may read the assembly-language source code, put some routines out from it
  51. into your own program or change some parts of or add new parts to the source
  52. code.
  53. If you`re programming in assembly-language, then you will see, that it is very
  54. simple to update the viruskiller, so that he will detect new viruses in memory,
  55. files and on disk !
  56. You may use the source code of AntiCicloVir as base for a new own viruskiller !
  57. But there are some limits !!!!!!
  58. You may not spread such a changed program by using the name `AntiCicloVir`,
  59. because I will write more (& better) versions of AntiCicloVir in the future
  60. and I think, it won`t be useful, if there exists more than one program using the
  61. same name !!!!!!
  62. Further it is not allowed to change any part of this documentation or of the
  63. file VIRUSLIST.DOC !!!
  64.  
  65. Well, I hope there doesn`t exist any serious, nasty ugly bugs in the assembly-
  66. source code of AntiCicloVir, but I think, it doesn`t exist any program without
  67. any bug, so that I can`t give any guarantee for the error-free work of the
  68. viruskiller AntiCicloVir ...
  69. I can`t take the responsiblity for any damage, directly or indirectly caused 
  70. by the correctly or uncorrectly use of AntiCicloVir !
  71. That means for example too, if you`re hardware or software were damaged by a
  72. virus, which AntiCicloVir didn`t detect, I will not take the responsibility for
  73. that !
  74. But I hope, that something like the above mentioned, will not happen.
  75.  
  76.  
  77.  
  78.  
  79.  
  80. And now a message from our sponsors:
  81.  
  82. ---------------------------------------------------------------------------
  83.  
  84. ABOUT SAFE HEX INTERNATIONAL
  85. If  you   know  a  virus  programmer  you  can  get  a reward of $ 1000 for
  86. supplying  his  name  and  address.  The fact is that the law punishes data 
  87. crime very severely. (5 years in jail in most countries).
  88.  
  89. We  are an international group with more than 500 members  who have started 
  90. trying to stop the spread of virus. Let me give you some example:
  91.  
  92.         1. Our motto is: "Safe Hex", who dares do anything else today?".
  93.         2. A virus bank containing more than 1800 Amiga and PC viruses for
  94.            supporting good shareware antivirus programs.
  95.         3. We help people to get money back lost by virus infection.
  96.         4. We write articles about virus problems for about 20 computer 
  97.            magazines worldwide.
  98.         5. We release the newest and the best virus killers around from 
  99.            about 25 wellknown programmers worldwide.
  100.         6. We have more than 35 PC and Amiga "Virus Centers" worldwide 
  101.            where you can get free virus help by phoning our "Hotline", and 
  102.            the newest killers translated in your own language at very 
  103.            little cost.
  104.  
  105. For more information contact:
  106.  
  107.         SAFE HEX INTERNATIONAL            (Please send 2 "Coupon-Response 
  108.         Erik Loevendahl Soerensen         International" and a self addres-
  109.         Snaphanevej 10                    sed envelope, if you want infor-
  110.         DK-4720 Praestoe                  mation about SHI by letter).
  111.         Denmark                             
  112.         Phone: + 45 55 99 25 12
  113.         Fax  : + 45 55 99 34 98
  114.  
  115. ---------------------------------------------------------------------------
  116.  
  117.  
  118.  
  119.  
  120.  
  121.  
  122.  
  123.  
  124.  
  125.  
  126.  
  127.  
  128.  
  129.  
  130.  
  131.  
  132.  
  133.  
  134.             How to use AntiCicloVir
  135.  
  136. AntiCicloVir is a small but smart viruskiller, who shall be simple to use like
  137. VirusX.
  138. It isn`t hard to deal with AntiCicloVir.
  139. Today there appears more and more superviruskillers, but more and more novices
  140. have problems to use this killers efficiencly, because with the time they became
  141. so complicate, so that you at first have to read Gigabytes of DOC-files, if you
  142. want to know, how to use this superviruskiller most efficiencly ...
  143. If you want to use AntiCicloVir, you have only to read this small DOC-File and
  144. to know some things:
  145.  
  146. AntiCicloVir is more a virushunter than a viruskiller !
  147. It can detect viruses in memory, but it won`t remove them from memory, because
  148. it doesn`t change any vectors !
  149. Today I have not the ROM addresses of all vectors from all ROM versions, because
  150. I have not so many money like some antivirus-freaks, to buy all AMIGA models
  151. selled by Commodore ...
  152.  
  153. In some cases it will be enough, if you let restore some reset-vectors by
  154. AntiCicloVir, to remove a virus from memory !!!
  155. After that it`s better, to cause a reset, so that the whole virus will be removed
  156. from system, if it doesn`t can survive the reset !!!
  157.  
  158. Because the small length of AntiCicloVir (22 kB) it will be useful, to call it
  159. up from your startup-sequence.
  160. Copy AntiCicloVir into your subdirectory c and call it up from your startup-
  161. sequence by using the option `-c` for fast memory-check.
  162. Now, while you reboot from this disk, AntiCicloVir will be started and shows the
  163. addresses of some important ROM vectors to you and checks the memory for all
  164. known viruses.
  165.  
  166. If AntiCicloVir has found any virus in memory, then order the viruskiller, to
  167. restore the reset-vector and cause a reset by yourself !
  168. After one reboot from a clean disk, run AntiCicloVir again, to see, if the virus
  169. is still standing in memory !
  170.  
  171. To scan bootsectors of disk for viruses, please start AntiCicloVir by using
  172. the option `-m` from the Shell or calling it from the Workbench.
  173. AntiCicloVir will check every disk you have inserted in the drive DF0:.
  174. AntiCicloVir will not only check the bootsector of the inserted disk, but the
  175. disk-validator for viruses, too.
  176.  
  177. If you want to scan your disks for file- and linkviruses, please use AntiCicloVir
  178. from the Shell:
  179. Enter the name of AntiCicloVir and add the pathname of the directory you want
  180. to scan for viruses !
  181.  
  182. You see it is very simple to use AntiCicloVir !!!
  183.  
  184.  
  185.  
  186.  
  187.  
  188.  
  189.  
  190.  
  191.  
  192.  
  193.  
  194.  
  195.  
  196.  
  197.  
  198.  
  199.             Scan Memory for viruses
  200.  
  201. If you run AntiCicloVir by using the option `-m` or calling it up from the
  202. Workbench, the viruskiller at first will display you the addresses of some
  203. important system-vectors.
  204. If one of the reset-vectors ColdCapture, CoolCapture or KickTagPtr isn`t
  205. pointing to zero, AntiCicloVir will bring up a requester, to ask you, if it
  206. shall restore this changed vector.
  207. The other reset-vectors WarmCapture, KickMemPtr and KickCheckSum can`t be
  208. used alone without the above mentioned vectors by a virus !
  209.  
  210. AntiCicloVir does not check the addresses of the ROM vectors and can not reset
  211. them to their orign addresses !
  212. But every virus is hanging around by one of the above mentioned reset-vectors
  213. to survive the reset and that`s the point, where AntiCicloVir will detect every
  214. new unknown virus !
  215.  
  216. AntiCicloVir shows you the addresses from some important vectors of the Exec-
  217. Base-structure, the exec.library, the dos.library, the intuition.library, the
  218. trackdisk. & keyboard.device.
  219.  
  220. If you have started AntiCicloVir by using the option `-c`, AntiCicloVir will
  221. run a fast memory-check.
  222.  
  223. If AntiCicloVir has found one known virus in memory, it will bring up a requester,
  224. to warn you.
  225. But it can`t remove a virus from memory, because AntiCicloVir doesn`t reset any
  226. origin ROM addresses !!!
  227. Please restore the reset-vectors by using AntiCicloVir and cause a reset, to
  228. wipe out one virus from memory or turn off your AMIGA !
  229. If you have restored the reset-vectors and caused a reset, please reboot from
  230. a clean disk and check the memory again with AntiCicloVir, if the virus is or
  231. is not still standing in memory ...
  232.  
  233.  
  234.  
  235.  
  236.  
  237.  
  238.  
  239.  
  240.  
  241.  
  242.  
  243.             Scan Directories for viruses
  244.  
  245. If you wish to scan the main- or some sub-directories of your disks, you have
  246. at first, to change into the Shell, to start AntiCicloVir by its name followed by
  247. the pathname of the directory, you wish to scan.
  248. You can only add to the name of AntiCicloVir the pathname of one directory, but not
  249. the pathname of one file !!!
  250. If you do that, the program will cause a system-error, because it treats every
  251. pathname as subdirectory and can`t differ between a directory- and a filename
  252.  
  253. AntiCicloVir displays all filenames of one subdirectory, the setting of their
  254. Protection-Bits, the filelength and if available one comment to this file.
  255. Further it can check the contents of the files for executable code and code
  256. of file-,link-, Disk-Validator-viruses and Bombs & Trojan Horses !
  257. If one of this above mentioned nasty dump was found in a file, AntiCicloVir
  258. will add a message to the filename and bring up a Requester, to give you the
  259. choice, to kill this virus or not.
  260.  
  261. AntiCicloVir can not remove invisible commands from the startup-sequence !
  262. If you have removed one filevirus by using AntiCicloVir, please look in your
  263. startup-sequence by using a file-monitor or for example the Shell command
  264. Type for invisible signs, which fileviruses use, to callup themselves ...
  265. You have to delete this invisible signs by using the backspace-key, or you will
  266. get the error unknown command, every time you boot from this disk !
  267.  
  268. Further AntiCicloVir will scan in every called directory every filename for
  269. invisible signs, so that it will detect complete new fileviruses, which it didn`t
  270. know at this time !!!
  271. This is very useful ...
  272. Please send every new invisible file to my address !
  273. Thanx !
  274.  
  275.  
  276.  
  277.  
  278.  
  279.  
  280.  
  281.  
  282.  
  283.  
  284.  
  285.  
  286.  
  287.             Scan Bootsectors for viruses
  288.  
  289. To scan the bootsectors of your disks for bootblock-viruses, you have to start
  290. AntiCicloVir by given the option `-m` to the Shell name or by running it up
  291. from the workbench.
  292. After showing to you the system-vectors and some important ROM addresses and
  293. passing the memory-check, AntiCicloVir will install an Intuition Window ledge
  294. at the top of the current screen and waits now for every new disk, you inserts
  295. in drive df0:
  296. AntiCicloVir can only check the bootsector for known viruses of one disk, you
  297. have inserted in DRIVE DF0: !!!
  298. All other drives won`t be used !!!
  299. If AntiCicloVir had found a known bootblock-virus, it will create a requester
  300. and ask you, if it shall install a new bootblock, to kill this virus ...
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.             Scan Disk-Validator for viruses
  322.  
  323. To scan the disk-validator of your disks for disk-validator-viruses, you have
  324. to start AntiCicloVir by given the option `-m` to the Shell name or running it
  325. up from the workbench.
  326. After showing to you the system-vectors and some important ROM addresses and
  327. passing the memory-check, AntiCicloVir will install an Intuition Window ledge
  328. at the top of the current screen and waits now for every disk, you inserts into
  329. the current drive.
  330. If any disk-validator-virus was found on this disk, it will create a requester
  331. and give to you the choice, to kill this disk-validator-virus or not.
  332.  
  333.  
  334.  
  335.  
  336.  
  337.  
  338.  
  339.  
  340.  
  341.  
  342.             Description of some well-known viruses:
  343.  
  344. - SCA:
  345.  
  346.     This was the first virus on the AMIGA !!!
  347.     It stays in the first two sectors of a disk in track 0, called the
  348.     bootblock.
  349.     Every time you boot from such an infected disk, the SCA virus will
  350.     copy itself to an absolute memory-position in CHIP-RAM at $7EC00.
  351.     After that it checks if the dos.library is resident and stops the
  352.     program, until the dos.library is really resident.
  353.     The SCA virus sets the CoolCapture vector to its own address at
  354.     $7EC3E and sleeps as long as you reboot your machine ...
  355.     Further it calculates a new CheckSum for the ExecBase structure.
  356.     Now, if you reboot your computer, the virus will remove the address
  357.     of the ROM vector DoIO () and set its own address into this vector.
  358.     If the AMIGA tries to start his own IORequest by using the ROM-routine
  359.     DoIO (), to boot from one disk, the SCA virus will be active and change
  360.     the IORequest for its own use, to write the code from the memory-
  361.     position $7EC00 to the first two sectors of track 0, called the boot-
  362.     block ...
  363.     After that it sets the orign ROM address into the vector of DoIO ().
  364.     The SCA virus causes no damage, but displays a message like that:
  365.  
  366.     `Something wonderful has happened.
  367.      Your AMIGA is alive !!!
  368.       and, even better ...`
  369.      some of your disks are infected by a VIRUS
  370.      Another masterpiece of The Mega-Mighty SCA !!`
  371.  
  372.     Viruses like SCA, we do call bootblock viruses !
  373.  
  374.  
  375.  
  376. - BGS 9 I+II
  377.  
  378. This filevirus possibly is a mutation of the filevirus Terrorists.
  379. This one stands upside the crowd, because all other fileviruses uses another
  380. mechanism to spread itself ...
  381. The BGS9 virus looks for the first executable program from your startup-
  382. sequence and writes it from his real place to the subdirectory `DEVS:` or if
  383. it can`t find this subdirectory to the main-directory and gives him an
  384. invisible name, which is called in hexadecimal $A0A0A0202020A0202020A0 !
  385. After executing the first program from the startup-sequence of an infected 
  386. disk, which is the BGS9 virus, the virus installs itself in memory and 
  387. executes the original program, which stands invisible in `DEVS:` !
  388. In memory the BGS9 virus uses the residents to turn on itself after a reset !
  389. It sets KickMemPtr , KickTagPtr  & KickCheckSum .
  390. While every reset, it sets the vector OpenWindow () from the intuition.library
  391. to it`s own address. 
  392. After every using of OpenWindow (), the virus tries to copy itself like the
  393. above mentioned mechanism onto the next disk or shows you after four resets the
  394. following message:
  395.  
  396.  
  397.  
  398.             A COMPUTER VIRUS IS A
  399.                  DISEASE
  400.  
  401.                TERRORISM IS A
  402.                 TRANSGRESSION
  403.  
  404.             SOFTWARE PIRACY IS A
  405.                 CRIME
  406.  
  407.              THIS IS THE CURE
  408.  
  409.  
  410. BBBBBB    GGGGGG    SSSSSS    999999
  411. B     B   G        S         9     9
  412. B     B   G        S         9     9      Bundesgrenzschutz Sektion 9
  413. B     B   G         S         999999      Sonderkommando "EDV"
  414. BBBBBB    G  GGG     SSS           9
  415. B     B   G    G        SS         9
  416. B     B   G    G          SS       9
  417. B     B   G    G           S       9
  418. BBBBBB    GGGGGG    SSSSSSS        9
  419.  
  420. The BGS9 virus sets the OpenWindow ()-vector to its ROM-address, while the
  421. first using of this routine !
  422. This virus is very harmless and causes no damage !
  423. It shall work with KickStart 2.04, too !
  424. The BGS9 virus II works in all points like the old BGS9 virus.
  425. It differs from the old one in a new coding of one ASCII-sign and in a new
  426. invisible name : $A0E0A0202020A0202020A0
  427.  
  428.     
  429.  
  430. - Bret Hawnes
  431.  
  432. This one is a classical form of a filevirus !
  433. It`s very easy to deal with that 2608 bytes long program.
  434. On infected disks you could find it as invisible file in the root-directory:
  435. $C0A0E0A0C0 !
  436. But it isn`t very invisible !
  437. Indeed you can`t see it in the startup-sequence, but if you list up the root-
  438. directory of an infected disk, you can see some irregulare signs ...
  439. The Bret Hawnes virus also copies itself as invisible file on every disk and
  440. writes its name in the startup-sequence.
  441. After every running of the startup-sequence, the Bret Hawnes virus will be activate !
  442. It stands every time at $7F000 in memory and sets the pointer KickTagPtr &
  443. KickCheckSum & $6c ( interrupt ).
  444. At every time you causes a reset, the Bret Hawnes virus will be activated by
  445. the Kick-pointer !  
  446. It sets the OpenLibrary ()-vector  on it`s own address and waits for the right time, when
  447. it can set the OpenWindow ()-vector.
  448. After that, it sets OpenLibrary () to its ROM address.
  449. Bret Hawnes now, tries about the first calling for OpenWindow () to get a chance
  450.  to copy itself from memory to disk !
  451. After that, it sets the OpenWindow ()-vector to it`s ROM address, too.
  452. Instead the tenth increasing, the virus destroys some tracks of your disks ...
  453. After twenty minutes, it shows the following message to you:
  454.  
  455.     GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS
  456.     YOUR SCREEN
  457.     I`VE TAKEN THE CONTROL OVER YOUR AMIGA!!!
  458.     THERE`S ONLY ONE CURE: POWER OFF AND REBOOT !
  459.  
  460. To find the right time-point for this message, the Bret Hawnes virus uses the
  461. interrupt at $6c, to calculate the twenty minutes ...
  462.  
  463.  
  464.  
  465.  
  466. - DISASTER-MASTER V2
  467.  
  468. This 1740 bytes long filevirus camouflaged itself as clear screen command in
  469. the subdirectory :c.
  470. Every time if you start it, it`ll clear your screen and set the cursor on the
  471. top of the new screen.
  472. But that`s not all ...
  473. It copies itself into AMIGA`s memory and sets the resident-pointer KickTagPtr 
  474.  & KickCheckSum  to an own resident-routine.
  475. After every reboot, it`ll set the vector DoIO () to its own address and waits
  476. as long as the intuition.library is available.
  477. From the intuition.library now, the virus will patch the vector of the routine
  478. OpenWindow () to its own address and reset DoIO () to the ROM address.
  479. If any task try to use OpenWindow (), the DISASTER MASTER virus tries to copy
  480. itself on disk by the name `cls` in subdirectory `:c`.
  481. Then it writes its name into the startup-sequence with one option:
  482.             cls *
  483. The option causes, that the virus, every time it`ll called from this startup-
  484. sequence, doesn`t clear the screen, therefore it can`t betray itself ...
  485. After one using of OpenWindow (), DISASTER-MASTER sets this vector on its ROM
  486. address, again !
  487. This filevirus can close the AmigaDOS window and create a screen like we
  488. know it from the workbench or it let disappear the AmigaDOS title or so on ...
  489. Be careful ! 
  490. This virus has a counter and will destroy your disks after you have ressetted
  491. x times ...
  492.  
  493.  
  494.  
  495.  
  496.  
  497. - IRQ 
  498.  
  499. This famous old linkvirus was the first one on the AMIGA !
  500. It looks in the startup-sequence for an executable file and tries to infect
  501. it.
  502. If it can`t find the startup-sequence, it looks for the command DIR in the
  503. subdirectory :c and tries to infect it.
  504. IRQ extented a file to 1096 bytes.
  505. The linkvirus writes its own hunk at the first position into that file.
  506. Then it calculates all worths for a new hunk-header and the reloc-worths.
  507. If you start an infected program, IRQ copies itself into memory and uses the
  508. residents by setting KickTagPtr & KickCheckSum.
  509. Further the virus sets the vector OldOpenLibrary () to its own address.
  510. Everytime when one program starts the routine OldOpenLibrary (), the IRQ virus
  511. tries to infect the next disk.
  512. It`s harmless, but disturbing, because it prints the following text:
  513. `AmigaDOS presents a new virus by the IRQ-Team V41.0`
  514. This old linkvirus works only with KickStart V1.2 !
  515. It makes no damges.
  516.  
  517.  
  518.  
  519.  
  520.  
  521. - Golden Rider
  522.  
  523. This one represents a new generation of linkviruses.
  524. Because it does not copy itself as own hunk into an infected file like old
  525. linkviruses did it, but it looks for the first hunk of an executable program
  526. and adds itself on it.
  527. Golden Rider changes the last command of this hunk ( mostly $4E75 = `rts` )
  528. to $4E71 ( `nop` ), which causes, that the processor thinks, if he run`s this
  529. code, that the first hunk of the program doesn`t end at this position.
  530. Behind this position can Golden Rider write his virus-code.
  531. Now, Golden Rider have to add it`s own length to the two length worths in
  532. the hunk-header and the link is complete !
  533. Every time you start an so infected program, the linkvirus can install itself
  534. in memory.
  535. But in not every cases must that work !
  536. If Golden Rider hangs on a routine in the first hunk, which only will be
  537. called from the main-program, if an error was caused, then Golden Rider will
  538. probably never activated ...
  539. Golden Rider stands every time at $7C000 in memory and sets the vectors
  540. CoolCapture , DoIO () & Open () to its own address.
  541. After you reboot, Golden Rider will waked up by jumping in CoolCapture !
  542. Now it sets DoIO () to its own address and waits so long, if it can open
  543. the dos.library and set Open () to its own address.
  544. If you insert a new disk, Golden Rider tries to copy itself from memory into
  545. one file of this disk.
  546. If any program uses Open (), Golden Rider tries to infect new files, too.
  547. Golden Rider causes no damages and displays no alerts or so ...
  548.  
  549.  
  550.  
  551.  
  552.  
  553. - SADDAM
  554.  
  555. This one is called a Disk-Validator virus, because it uses the routine of
  556. a Disk-Validator for its own increase.
  557. SADDAM copies itself onto every disk you insert or boot from and overwrites
  558. the original Disk-Validator in subdirectory :L !
  559. If that disk doesn`t contain this subdirectory, SADDAM creats by itself this
  560. subdirectory !
  561. It can infect every disk !
  562. After that it sets the BitMap-pointer in the Root-Block to a senseless address,
  563. which will cause a Disk Validating Error !
  564. This will force in later times AmigaDOS to startup the new Disk-Validator,
  565. which is in real the SADDAM virus !
  566. Only to insert an infected disk reaches to get this virus in memory.
  567. It is resident via ColdCapture .
  568. That means, that it`ll work with KickStart 1.3 too, if you make a reset
  569. without installing SetPatch r !
  570. Because KickStart 1.3 has a bug in its system, will all other viruses wiped
  571. out from memory after a reset - not so the SADDAM virus !!!
  572. The virus sets the vectors BeginIO () & Close () from the trackdisk.device and
  573. comes so every time in action, if you insert a disk in your drive or if you
  574. boot from a disk or if you use in any other cases the trackdisk.device !
  575. Further the virus sets the vector of the Raster-Beam-interrupt on its own
  576. address !
  577. Now, it can control permanent the right address of ColdCapture and sets the
  578. vector again, if any other program had cleared it !
  579. Only in the resetphase, it patches the vectors InitCode () & OpenWindow ()
  580. for virus internal works ... 
  581. The SADDAM virus is very malignant and causes different damages !!!
  582. After a time it startes to look for some OFS or FFS data blocks, gives them
  583. the name IRAK and coded the contents with a worth !
  584. The programs, standing in those data blocks, won`t longer work and the disk
  585. gets read/write errors !
  586. But if the SADDAM virus stands in memory, it`ll decode such a datablock,
  587. if AmigaDOS loads him and so can prevent a read/write error message!
  588. Another damage has likeness with the virus Return of the Lamer Exterminator !
  589. After a few time, the virus startes to format disks in all connected drives !
  590. This disks are completely destroyed !!!
  591. And shows you an alert:
  592.             SADDAM Virus
  593.  
  594. AntiCicloVir can kill the SADDAM virus on disk, but not repair the damages !
  595. At first you have to correct the Disk Validating Error !
  596. Please boot from one disk which contains the original Disk-Validator and insert after
  597. that the disk, with the Disk-Validating Error !
  598. The original Disk-Validator creates a provisional BitMap in memory, so that
  599. AmigaDOS can work with those disk.
  600. To get a valid BitMap, you have to write/delete anything to/from this disk !
  601. Another possibility is to use a diskmonitor, to look for the original
  602. BitMap of that disk and to set the BitMap-Pointer from the Rootblock
  603. of the position of the original BitMap-Block !
  604. If you want health a disk with SADDAM damage, please use an universal virus-
  605. killer, which can check the blocks of a disk, too !
  606. You must uncode the coded data blocks, to get rid of the read/write errors !
  607. But you can`t health disks, which the virus has formated !
  608. I got this new virus from Gregory Sapsford, Fohlenkamp 33, W-4600 Dortmund 13,
  609. Germany.
  610.  
  611.  
  612.  
  613.  
  614.  
  615.  
  616.  
  617.  
  618.  
  619.  
  620.  
  621.  
  622.  
  623.  
  624.  
  625.  
  626.  
  627.  
  628.             Mail
  629.  
  630. If you have got new viruses, bootblocks, packers or resident programs, please
  631. send this stuff to my address !
  632. I`m interested in every bug report of AntiCicloVir !!!
  633. If you have some questions or suggestions about the assembly language source-
  634. code of AntiCicloVir, please write to my address ...
  635. ... or also, if you`re being an assembly language programmer and want to swap
  636. source-codes with me ...
  637. Please excuse my bad anglian grammar, but my german also isn`t better !
  638.  
  639. Matthias Gutt
  640. (Member of SHI)
  641. Kantstr. 16
  642. 21335 Lueneburg
  643.  
  644. Germany
  645.  
  646.