home *** CD-ROM | disk | FTP | other *** search

---

/ The CDPD Public Domain Collection for CDTV 3 / CDPDIII.bin / fish / 761-770 / ff767 / anticiclovir / anticiclovir_v1.6.dok

< prev

next >

Wrap

Text File  |  1992-11-21  |  140KB  |  4,065 lines

---

1.        
2.                     AntiCicloVir V1.6 -Dokumentation
3.  
4.                             C   1992
5.  
6.                               by
7.  
8.                            Matthias Gutt
9.                             Kantstr.16
10.                           W-2120 Lüneburg
11.                           Tel.:04131/49624
12.                          ( 20.30 - 21.30 Uhr )
13.                            
14.                             Beta-Testing
15.  
16.                                1992
17.  
18.                                 by
19.  
20.                         Daniel Lars Reuß
21.                          Eschenweg 10
22.                       W-6470 Büdingen-Lorbach
23.                          
24.  Inhalt:
25.  
26.  1.0 Allgemeines
27.  
28.  2.0 Funktionen von AntiCicloVir Linkvirus-Statikum 1.6
29.  
30.  2.1 Virus-Check im Speicher
31.  
32.  2.2 Virus-Check auf der Diskette
33.  
34.  3.0 Benutzung des Linkviruskillers
35.  
36.  4.0 Sonstiges
37.  
38.  5.0 Anhang A (Computerviren)
39.  
40.      1. `Revenge of the Lamer Exterminator I+II`
41.      2. `Lamer LoadWB`
42.      3. `Lamer VirusX`
43.      4. `Return Of The Lamer Exterminator`
44.      5. `BGS9 I+II`
45.      6. `Bret Hawnes`
46.      7. `CCCP`
47.      8. `Color (TURK V1.3)`
48.      9. `CompuPhagozyte 1+2``
49.     10. `CompuPhagozyte II`
50.     11. `Disktroyer V1.0`
51.     12. `Disaster-Master V2`
52.     13. `Golden Rider`
53.     14. `Gotcha Lamer"   
54.     15. `IRQ`
55.     16. `JEFF Butonic"
56.     17. `SADDAM`
57.     18. `Smily Cancer I+II`
58.     19. `Terrorists`
59.     20. `T.F.C. Revenge LoadWB`
60.     21. `Traveling Jack`
61.  
62.  
63. 6.0 Anhang B (Bootblock-Viren)
64.  
65.      1. `16 Bit Crew`
66.      2. `2001`
67.      3. `AEK`
68.      4. `AIDS`
69.      5. `AIDS2`
70.      6. `Alien New Beat V1.0`
71.      7. `Amiga Freak`
72.      8. `Amiga Master`
73.      9. `ASV V0.000123`
74.     10. `Australian Parasite`
75.     11. `Bamiga Sector One`
76.     12. `Big Boss`
77.     13. `Blackflash V2.0`
78.     14. `Blade Runners`
79.     15. `BLF`
80.     16. `BlizzPro V3.1`
81.     17. `BlizzPro V3.3`
82.     18. `Blow Job`
83.     19. `Butonic 1.1`
84.     20. `Byte Bandit`
85.     21. `Byte Bandit +`
86.     22. `Byte Bandit 2`
87.     23. `Byte Bandit turbo`
88.     24. `Byte Voyager`
89.     25. `Byte Voyager II`
90.     26. `Byte Warrior`
91.     27. `CCCP`
92.     28. `Clonk`
93.     29. `Coders Nightmare`
94.     30. `DAG`
95.     31. `DAT`89`
96.     32. `Destructor V1.2`
97.     33. `Digital Emotions`
98.     34. `Disk-Doktors`
99.     35. `Disk Herpes`
100.     36. `Diskguard V1.0`
101.     37. `Divina Exterminator I`
102.     38. `Dotty`
103.     39. `DUMDUM`
104.     40. `Extreme`
105.     41. `F.A.S.T.`
106.     42. `F.I.C.A.`
107.     43. `Forpib`
108.     44. `Frity`
109.     45. `Gadaffi`
110.     46. `Glasnost`
111.     47. `Graffiti`
112.     48. `Gremlin`
113.     49. `GX.Team`
114.     50. `H.C.S.`
115.     51. `H.C.S. II`
116.     52. `Hilly`
117.     53. `HODEN V33.17`
118.     54. `Ice`
119.     55. `Incognito`
120.     56. `Inger IQ`
121.     57. `JITR`
122.     58. `Joshua`
123.     59. `Joshua 2`
124.     60. `Julie`
125.     61. `Kauki`
126.     62. `Kefrens`
127.     63. `L.A.D.S`
128.     64. `LAMER Exterminator (alt)`
129.     65. `LAMER Exterminator I`
130.     66. `LAMER Exterminator II`
131.     67. `LAMER Exterminator III`
132.     68. `LAMER Exterminator IV`
133.     69. `LAMER Exterminator V`
134.     70. `LAMER Exterminator VI`
135.     71. `LAMER Exterminator VIII`
136.     72. `Loverboy & Sexmachine` 
137.     73. `LSD`
138.     74. `MAD`
139.     75. `MAD II`
140.     76. `MEXX`
141.     77. `MGM 89`
142.     78. `Microsystems`
143.     79. `Nasty-Nasty`
144.     80. `North Star`
145.     81. `North Star II`
146.     82. `Obelisk`
147.     83. `Obelisk 2`
148.     84. `PARATAX`
149.     85. `PARATAX II`
150.     86. `PARATAX III`
151.     87. `Pentagon-Slayer`
152.     88. `Pentagon-Slayer 2`
153.     89. `Pentagon-Slayer 3`
154.     90. `Revenge`
155.     91. `Revenge Bootloader`
156.     92. `SACHSEN No. 1`
157.     93. `SADDAM HUSSEIN`
158.     94. `SCA`
159.     95. `SCARFACE`
160.     96. `Sendarion #1`
161.     97. `Sherlock2.0`
162.     98. `SS`
163.     99. `SS II`
164.    100. `Supply Team`
165.    101. `Target`
166.    102. `Telstar`
167.    103. `Termigator`
168.    104. `T.F.C. Revenge``
169.    105. `TimeBomb`
170.    106. `Tomates Gentechnic`
171.    107. `TURK V1.3`
172.    108. `U.K. Lamer Style`
173.    109. `Ultrafox`
174.    110. `Virus Slayer V1.0`
175.    111. `Virus V1`
176.    112. `Warhawk`
177.    113. `ZACCESS V1.0`
178.    114. `ZACCESS V2.0`
179.    115. `ZACCESS V3.0`
180.    116. `ZLX`
181.    117. `Zombi I`
182.  
183.  
184. 7.0 Anhang C (Externe Betriebssystem-Routinen)
185.  
186.      1. `Disk-Validator`
187.      2. `RAM-Handler`
188.      3. `Port-Handler`
189.  
190.  
191. 8.0 Anhang D ( Seriöse Resetprogramme )
192.  
193.      1. `ASS Virusprotector V1.0`
194.      2. `SystemZ V3.0`
195.      3. `SystemZ V4.0`
196.      4. `SystemZ V5.0
197.      5. `SystemZ V5.1
198.      6. `SystemZ V5.3`
199.      7. `SystemZ V5.4`
200.      8. `SystemZ V6.1`
201.      9. `SystemZ V6.4`
202.     10. `SystemZ V6.5`
203.  
204.  
205.                       1.0 Allgemeines
206.  
207. Das Programm `AntiCicloVir V1.6` ist PD-Software und darf im unver-
208. ändertem Zustand frei weiter gegeben werden.
209. `AntiCicloVir V1.6` wurde den PD-Serien `AmigaLibraryDisks`,`FRANZ_PD`
210. ,`,`Kickstart`, `TIME_PD` und `Exec_PD`  zum Veröffentlichen angeboten.
211. Dieser Linkviruskiller darf aber auch in jeder anderen Serie
212. und auch ohne dieses DOC-File veröffentlicht werden.
213. `AntiCicloVir V1.6` darf auch zum Schutz von Disketten im `c`-
214. Verzeichnis jeder PD-Serie erscheinen.
215. Sollte ich dieses Programm jedoch im unangemessenen Zustand auf
216. einer PD-Diskette finden, so behalte ich mir das Recht vor, dieser
217. PD-Serie die weitere Veröffentlichung von `AntiCicloVir V1.6` zu
218. untersagen.
219. NICHT erlaubt sind Änderungen am Binär-code dieses Programms !
220. Nur zum eigenen Gebrauch darf dieses Programm verändert werden.
221. Dann darf es aber unter keinen Umständen weitergegeben werden !
222. Auch dann nicht, wenn die Änderungen rückgängig gemacht worden
223. sind !
224. Das unerlaubte Ändern von Programm-Teilen und Ausgabe-Texten 
225. aus `AntiCicloVir V1.6` kann strafrechtlich verfolgt werden !!
226. Im Übrigen kann ich auch nicht für die volle Fehler-Freiheit dieses
227.  Linkviruskillers garantieren.
228. Über Fehlfunktionen oder Mängel, die Sie bei `AntiCicloVir V1.6`
229. gefunden haben, können Sie mich jederzeit unterrichten !
230. Nutzen Sie dabei bitte die am Ende dieses Files stehende Anschrift !
231.  
232.  
233.  
234.  
235.  
236.  
237.  
238.  
239.             2.0 Funktionen von `AntiCicloVir Linkvirus-Statikum 1.6`
240.  
241.  
242.                              
243. Das Programm `AntiCicloVir V1.6` ist ein recht einfach zu bedienender
244.  Linkviruskiller.  
245. Es wird wie ein `CLI`-Befehl vom AmigaDOS aus gestartet.
246. Das ist besonders für Anfänger nützlich, die keine Zeit haben
247. komplizierte Linkviruskiller-Anleitungen durchzuarbeiten !
248. Hinzu kommt, daß die Bearbeitungsgeschwindigkeit von Disketten
249. sehr hoch ist !
250. Außerdem kann `AntiCicloVir V1.6` nicht nur Linkviren auf der Diskette,
251. sondern auch Linkviren im Speicher erkennen.
252. Das Programm kann übrigens auch die externen Betriebssystem-Routinen
253. im Verzeichnis `L` ( `Disk-Validator`,`RAM-Handler` und `Port-Handler` )
254. auf Veränderungen überprüfen, wenn zusätzlich zum Namen des angewählten
255. Laufwerks noch das Verzeichnis `L` angegeben wird !
256. Beispiel: `AntiCicloVir DF0:L` !
257. Damit lassen sich schon zukünftige `Linkviren` aufspüren !
258. Beim Aufruf der Hauptfunktion des Programmes wird sogar eine `System-
259. Vektoren-Tabelle` angezeigt, die Informationen über den Zustand des
260. Rechners nach einem Reset ausgibt ! ( Jetzt auch DoIO () )
261. Zusätzlich kann das Programm auch noch 117 `Bootblock`-Viren im Speicher
262. erkennen, die im Anhang B beschrieben sind !
263. Der Linkviruskiller kann sich auch selbst auf eine Veränderung hin
264. überprüfen und somit einer Gefahr durch eine Linkvirusinfektion
265. entgehen !
266. Mittlerweile ist `AntiCicloVir` auch resetfest und gibt nach jedem 
267. `Reboot` ein Farbsignal aus !
268. Damit wären auch schon alle Aufgaben dieses Linkviruskillers im
269. Wesentlichen genannt !
270.  
271.  
272.  
273.  
274.                     2.1 Virus-Check im Speicher
275.  
276.  
277. Wenn Sie dieses Programm vom `CLI` aus ohne Angaben von Pfadnamen
278. oder Diskettenverzeichnissen starten, dann wird nur ein Virus-
279. Check im Speicher ausgeführt !
280. Zur Zeit erkennt `AntiCicloVir V1.6` die Viren `Revenge of the Lamer
281. Exterminator`,`BGS 9 I`,`BGS 9 II`,`,`Return of the Lamer Exterminator`,
282. `Bret Hawnes`,`CCCP`,`Color (TURK V1.3)`,`CompuPhagozyte 1`,
283. `CompuPhagozyte 2`,`CompuPhagozyte II`,`Disaster Master V2`,
284. `IRQ`,`JEFF Butonic V3.10`,`Gotcha Lamer`,`Golden Rider`,`SADDAM`,
285. `Smily Cancer`, `Terrorists` und `Traveling Jack` im Speicher und 
286. entfernt sie !
287. Sobald ein Virus im Speicher entdeckt wurde, wird eine Warnung
288. ausgegeben und das Virus automatisch gelöscht.
289. Leider kann der Linkviruskiller dabei nicht zwischen den Viren
290. `BGS 9`, und `BGS 9 II` unterscheiden.
291. Deshalb warnt er sie vor beiden Viren.
292. In dieser Version wurde nun die Erkennungsroutine für die Viren
293. `BGS 9`,`BGS 9 II` und `Terrorists` durch eine neue Routine ersetzt !
294. Bei den bisherigen Versionen wurden diese Viren nicht direkt im Speicher
295. erkannt, sondern anhand einer bestimmten Resident-Struktur !
296. Da diese Resident-Struktur auch von einigen seriösen Programmen benutzt
297. wird, kam es gelegentlich zu Verwechselungen !
298. Mittlerweile kann `AntiCicloVir` alle drei Viren direkt im Speicher
299. erkennen.
300. Während das `Terrorists`-Virus von den `BGS 9`-Viren unterschieden werden
301. kann, sieht es bei den beiden `BGS 9`-Viren jedoch anders aus.
302. Diese beiden Viren sind nahezu identisch, so daß `AntiCicloVir` im
303. Speicher nicht zwischen `BGS 9` und `BGS 9 II` unterscheiden kann !
304. Da die Viren nun direkt erkannt werden, kommt es nun zu keinen 
305. Verwechselungen mit seriösen Programmen mehr !
306. Bitte lesen Sie dazu auch die Kapitel `BGS 9` und `Terrorists` im 
307. `Anhang A` !
308. Wenn Sie dieses Programm gestartet haben, verändern sich zuerst
309. die Bildschirmfarben .
310. Dies deutet immer daraufhin, daß das Programm aktiviert wurde und
311. noch funktioniert.
312. Hierauf erscheint die `System-Vektoren-Tabelle`, in denen die
313. aktuellen Adressinhalte der Zeiger ColdCapture *`,CoolCapture *,
314. WarmCapture *,KickMemPtr *,KickTagPtr * und KickCheckSum *,
315. sowie DoIO ()angegeben werden.
316. Ich glaube, daß ich Ihnen die nähere Bedeutung, dieser auch Anfängern
317. bekannten System-Zeiger, nicht erklären brauche.
318. Zeigt ein Vektor nicht auf die Adresse `$00000000`, so befindet
319. sich ein resetfestes Programm im Speicher.
320. In den meisten Fällen wird es sich dabei wohl eher um `Bootblock`-
321. Viren, als um `Linkviren` handeln !
322. Der Vektor für die Bibliotheksroutine DoIO () hingegen muß auf`s ROM
323. zeigen !
324. Diese Adresse ist je nach Betriebssystemversion anders !
325. Im Allgemeinen beginnt das Betriebssystem des Amiga`s ab $FCxxxx im 
326. Speicher !
327. Anschließend wird ein Virus-Check des Speichers durchgeführt.
328. Aber auch dann, wenn kein Virus im Speicher gefunden wurde, setzt
329. `AntiCicloVir V1.6` automatisch die Vektoren ColdCapture *, 
330. CoolCapture * und KickTagPtr * wieder auf null.
331. Abschließend wird noch der Speicher auf 117 `Bootblock`-Viren überprüft,
332. die im `Anhang B` beschrieben worden sind !
333. Wenn Sie dieses Farbsignal lästig finden oder wenn es unter Ihrem
334. Betriebssystem ( `KickStart 2.04` ??? ) evtl. einen Systemabsturz
335. verursacht, dann können Sie als Option `-n` beim Aufrufen angeben,
336. damit das Farbsignal unterdrückt wird !
337. Mit der Option `-c` wird bewirkt, daß keine Fensterleiste mehr erscheint
338. und keine Resetroutine mehr installiert wird !
339. Nachdem der Virus-Check beendet worden ist, werden Sie nach einem
340. erneuten Start von `AntiCicloVir` feststellen, daß der CoolCapture *-
341. Vektor verbogen worden ist !
342. Dabei handelt es sich nicht etwa um ein neues Virus, sondern um die
343. Reset-Routine von `AntiCicloVir V1.6` !
344. Diese Routine steht immer ab $7E000 über CoolCapture * resetfest im
345. Speicher und erzeugt nach dem Reset ein Farbsignal !
346. Solange dieses Farbsignal erscheint, bedeutet dies, daß `AntiCicloVir`
347. resetfest im Speicher steht und keine weitere Reset-Routine ( Virus )
348. mehr aktiv ist !
349. Diese Routine überwacht nach jedem Reset die System-Vektoren auf
350. Veränderungen.
351. Zeigt ein Vektor nicht mehr auf null oder CoolCapture * nicht mehr
352. auf $7E000, so werden die Vektoren gelöscht und ein zweiter Reset
353. wird ausgeführt !
354. Wenn `AntiCicloVir` zweimal gestartet wurde, wird die Reset-Routine
355. beim zweiten Mal wieder gelöscht !!
356. Sie ist also hauptsächlich dann sinnvoll, wenn `AntiCicloVir` nur einmal
357. gestartet wird, beispielsweise von der `s/startup-sequence` aus !
358. Erscheint das Farbsignal nach dem Reset nicht mehr, obwohl `AntiCicloVir`
359. ordnungsgemäß installiert wurde, so bedeutet dies, daß sich 
360. möglicherweise ein Virus im Speicher befindet und `AntiCicloVir V1.6` ge-
361. löscht hat !
362. Wird kurz nach dem Farbsignal ein Reset von Seiten der Reset-Routine
363. ausgeführt, so deutet dies auf die Anwesenheit eines Viruses hin, welches
364. jedoch erfolgreich von `AntiCicloVir` gelöscht wurde.
365. Da die Reset-Routine die Viren nicht namentlich erkennt, sollten Sie
366. anschließend mit dem Hauptprogramm, von der Diskette aus, den Speicher
367. auf Viren untersuchen !
368. Denn `AntiCicloVir` kann auch noch einige Viren im Speicher erkennen,
369. nachdem sie gelöscht wurden.
370. Bevor Sie unter AmigaDOS mit Files arbeiten oder mit einem Link-
371. viruskiller Disketten durchchecken, sollten Sie vorher immer den
372. Speicher überprüfen !
373. Denn manche Linkviren können sich schon beim Diskettenwechsel
374. weiterkopieren, während Sie Ihre Disketten auf Linkviren checken.
375. Es gibt einige Linkviruskiller, die Viren nur auf der Disk als
376. File erkennen können, aber gerade dies hat den Nachteil, daß diese
377. Viren nicht effektiv entfernt werden können.
378. Denn stellen Sie sich beispielsweise vor, daß Sie gerade Ihre komplette
379.  Disketten-Sammlung auf Linkviren mit einem derartigen Viruskiller
380. überprüfen, während sich ein Linkvirus im Speicher befindet !!
381. Das Ergebnis wäre, daß womöglich nun Ihre komplette Disketten-
382. Sammlung mit Linkviren verseucht wäre !!
383. Der sicherste Schutz gegen Linkviren bleibt jedoch immer noch
384. der Schreibschutz !
385. Denn es wird nie einen Viruskiller geben, der alle aktuellen Viren
386. erkennen kann.
387. Dafür gibt es einfach zu viele Virus-Programmierer !
388.  
389.  
390.  
391.  
392.  
393.  
394.  
395.                    2.2 Virus-Check auf der Diskette
396.  
397.  
398. Wenn Sie Ihre Disketten auf Linkviren checken wollen, dann müßen
399. Sie zusätzlich zum Namen, unter dem Sie `AntiCicloVir V1.6` vom `CLI`
400. aus aufrufen, auch noch das entsprechende Laufwerk,Verzeichnis
401. oder die entsprechende Datei angeben !
402. Dabei erscheint im Übrigen kein Grafik-Signal mehr, sondern die
403. entsprechende Diskette wird sofort gecheckt !
404. Doch auch bei dieser Funktion wird vorher noch der Speicher auf
405. Linkviren überprüft !
406. Wird ein Virus auf der Diskette gefunden, dann wird eine Warnung
407. ausgegeben und das Virus gelöscht !
408. Momentan erkennt `AntiCicloVir` die Viren `Revenge of the Lamer Exterminator`,
409. `Revenge of the Lamer Exterminator II`,`BGS 9`,`BGS 9 II`,`Bret Hawnes`,
410. `Lamer LoadWB`,`Lamer VirusX`,`Color (TURK V1.3)`,`CompuPhagozyte 1`,
411. `CompuPhagozyte 2`,`CompuPhagozyte II`,`DAG Creator`,`Disaster-Master V2`,
412. `Disktroyer V1.0`,`JEFF Butonic V3.10`,`Gotcha Lamer-Virus-Creator(MINIDEMO.EXE)`,
413. `Return of the Lamer Exterminator`,`SADDAM`, `Smily Cancer II`, 
414. `T.F.C. Revenge LoadWB` und `Terrorists` !
415. Informationen zu diesen 23 File-Viren finden Sie im Anhang A !
416. Die Bearbeitungsgeschwindigkeit von `AntiCicloVir_V1.6` ist sehr hoch !
417. Denn das Programm, weiß wo es diese Viren auf der Diskette zu
418. suchen hat, so daß es nicht ganze Verzeichnisse durchstöbern
419. braucht, was natürlich sehr viel Zeit kostet !
420. Fast im selben Moment, in dem Sie `AntiCicloVir V1.6` mit der Angabe
421. des Pfadnamens gestartet haben, ist es auch schon mit dem Virus-Check
422. fertig !
423. Sie brauchen also nicht, bei 10 Disketten-Neuzugängen alle
424. fünf Verzeichnisse pro Disk auf Linkviren durchzuchecken, sondern legen
425. einfach die Disk ein und tippen :` AntiCicloVir DF0:` und in
426. kürzester Zeit ist die komplette neue Diskette geprüft !
427. Diesen Geschwindigkeitsvorteil bezahlen Sie allerdings mit einem
428.  Sicherheitsmangel ! 
429. Denn diese 23 Fileviren gehören zu den am weitesten verbreiteten
430.  ihrer Spezies, aber es gibt natürlich auch noch andere !
431. Trotzdem habe ich vor, auch bei den nächsten Versionen von `AntiCicloVir`,
432.  die mehr Linkviren erkennen werden können, die Bearbeitungsgeschwindigkeit
433.  so hoch wie möglich zu halten.
434. Denn ich weiß aus eigener Erfahrung wie lästig es sein kann, mit
435. einem Linkviruskiller jedes File einer einzelnen Disk auf Linkviren
436. zu checken; vor allem dann ,wenn man viele PD-Disketten tauscht  !
437. `AntiCicloVir V1.6` unterstützt alle vier Laufwerke, sowie das RAM-
438. Verzeichnis !  
439. Wichtig ist es noch zu wissen, daß `AntiCicloVir` in dieser Version
440. sich nun auch selbst auf Veränderungen hin überprüfen kann.
441. Gegen `Langfinger`, die einige Passagen des ASCII-Textes ändern
442. wollen, nützt dies zwar nichts, da nicht das komplette Programm
443. geprüft wird !
444. Aber mit dieser Routine kann jedes ( auch unbekannte ) `Linkvirus`
445. aufgespürt werden, welches sich selbst in `AntiCicloVir` abgespeichert
446. hat !!!
447. Diese `Selbstkontroll-Routine` funktioniert nur, wenn Sie den 
448. Linkviruskiller unter dem Namen `AntiCicloVir` in`s Hauptverzeichnis
449. einer Diskette abgespeichert haben und nun mit der Angabe des
450. Laufwerks als Option ( Beispiel: `AntiCicloVir DF0:` ),die Diskette
451. im entsprechenden Laufwerk checken !
452. Dabei wird die `Hunk-Tabelle` auf neue Einträge überprüft !
453. Wurde ein neuer Eintrag gefunden ( `Linkvirus` ), so wird eine Warnung
454. ausgegeben.
455.  
456. ACHTUNG !!!
457. Es kann sein, daß `AntiCicloVir V1.6` sich selbst als infiziert einstuft,
458. wenn es mit einem bestimmten Komprimierungsprogramm bearbeitet wurde !
459.  
460. Auch wenn `AntiCicloVir_V1.6` festgestellt hat, daß es mit einem
461. `Linkvirus` infiziert ist, arbeitet es normalerweise ganz gewöhnlich
462. weiter und ist nicht beeinträchtigt !
463. Ist `AntiCicloVir` also mit einem derartigem Virus infiziert, so sollten
464. Sie es auf keinem Fall dazu benutzen, um weitere Disketten zu checken,
465. da nun die Gefahr besteht, daß alle kontrollierten Disketten mit diesem
466. Virus infiziert werden !!!
467. Deshalb rate ich Ihnen zum Kontrollieren von Disketten, eine virusfreie
468. Kopie von `AntiCicloVir` zu benutzen und das infizierte Programm mir zu
469. zusenden, damit ich es analysieren kann.
470. Falls vorhanden, werden Sie von mir die aktuellste Version, sowie eine
471. kurze Beschreibung des Viruses, erhalten !
472. Bei einer Infektion mit dem `Smily Cancer`-Virus (siehe Anhang A) ist mir
473. aufgefallen, daß `AntiCicloVir` danach nur noch funktioniert, wenn es
474. ohne Option gestartet wird.
475. Bei der Angabe irgendeiner Option zum Programmnamen, kommt es, bei einem
476. mit einem `Smily Cancer`-Virus infizierten `AntiCicloVir`, zu einem
477. `task held error` !!!
478. Der Grund dafür, ist mir nicht klar !
479. Aber ich vermute, daß der Fehler im `Smily Cancer`-Virus liegt !
480. Übrigens kann die Version 1.6 meines Linkviruskillers nun auch den
481. Aufruf von Viren aus der `startup-sequence` löschen.
482. Dabei wird ein Linkviruskiller-eigener Text (Eigenwerbung) in die unteren
483. Bytes der `startup-sequence` geschrieben.
484. Damit verschwindet automatisch ein möglicher ( unsichtbarer ) Virusaufruf.
485. Dieser Kommentartext schützt die betroffene Diskette, auch vor einer
486. erneuten Infektion mit manchen `Linkviren` !!!
487. Einige `Linkviren` suchen in der `startup-sequence` an erster Stelle
488. nach einem ASCII-Text und warten bis sie auf ein Returnzeichen treffen.
489. Sie nehmen an, daß die ASCII-Zeichen vor dem Returnzeichen den Aufruf
490. eines Programmes darstellen und suchen nun dieses Programm auf der
491. Diskette, um sich dort hineinkopieren zu können.
492. Da der Kommentartext kein gültiger Dateiname ist, werden die Viren dieses
493. Programm nicht auf der Diskette finden und können sich somit nicht
494. weiterkopieren !!
495. Mit der Version 1.6 von `AntiCicloVir` können Sie nun auch die externen
496. Betriebssystem-Routinen im Verzeichnis `L` Ihrer Disketten überprüfen !
497. Dabei wird nur geprüft ,ob die Routinen `Disk-Validator`,`RAM-Handler`
498. und `Port-Handler` den Standard-Routinen entsprechen !
499. Spezielle `Disk-Validator`-Viren wie `SADDAM` oder `Return of the Lamer
500. Exterminator` können aber nur bei Angabe des Laufwerks ohne Verzeichnis
501. erkannt werden !
502. Leider gibt es zur Zeit noch vier weitere `Disk-Validator`, die mir
503. nicht bekannt sind und die `AntiCicloVir V1.6` als `non-standard Disk-
504. Validator` einstuft !
505. Da `AntiCicloVir` in der jetzigen Version nur 23 bzw. 24 Fileviren
506. erkennt, brauchen Sie beim Durchchecken einer Diskette keine
507. Unterverzeichnisse anzugeben, sondern einfach nur das `Laufwerk`,
508. in dem sich die betroffene Diskette befindet !
509.  
510.  
511.  
512.  
513.  
514.  
515.                   3.0 Benutzung von `AntiCicloVir V1.6`
516.  
517.   
518. Sie sollten jeden Disketten-Neuzugang mit `AntiCicloVir V1.6` prüfen !
519. Oft kommt es zwar nicht vor, daß sich ein Linkvirus auf einer neuen
520.  Diskette befindet, aber ausschließen kann man es auch nicht !
521. Schließlich ist es noch zu empfehlen `AntiCicloVir` ins `c`-
522. Verzeichnis jeder Diskette zu kopieren, die man schützen will
523. und den Aufruf in die `s/startup-sequence` zu schreiben !
524. So lassen sich Linkviren sofort nach der Infektion einer Diskette
525. im Speicher aufspüren und können gelöscht werden !
526. Eine sehr wichtige Erweiterung stellt auch die `System-Vektoren-
527. Tabelle` dar, anhand derer man ablesen kann, ob sich ein resetfestes
528. Programm im Speicher befindet.
529. In den meisten Fällen wird es sich hierbei wohl um `Bootblock`-
530. Viren handeln !
531. Ein paar `Bootblock`-Viren können ja nun mittlerweile auch im Speicher
532. erkannt werden. 
533. Allerdings kann `AntiCicloVir V1.6` keinen effektiven Schutz vor `Bootblock`-
534. Viren bieten, da es erstens noch zu wenige von ihnen erkennt und
535. zweitens die `Bootblock`-Viren nur im Speicher aufspüren kann !
536. Also genau dann, wenn sie schon Ihr System erobert und mit ihrem
537. Zerstörungswerk begonnen haben !
538. Die Routine zum Erkennen von `Bootblock`-Viren habe ich nur deshalb
539. eingebaut, da es nicht selten vorkommt, daß beim Durchchecken von Disketten
540. auf `Linkviren` sich schon ein `Bootblock`-Virus im Speicher befindet
541. und ebenfalls Disketten infizieren kann !
542. Hat `AntiCicloVir` also mal ein `Bootblock`-Virus im Speicher gefunden,
543. dann sollten Sie Ihre Disketten mit einem Programm wie beispielsweise
544. `VirusX` kontrollieren !
545. `AntiCicloVir` kann nun auch von der `Workbench`-Oberfläche aus gestartet
546. werden !
547. Die neu eingebaute Reset-Routine macht zwar leider nicht den kompletten
548. `Linkviruskiller` resetfest, doch sie schützt Sie zumindest vor neuen
549. Viren, die sich resetfest schreiben wollen !
550. Sie sollten immer darauf achten, ob nach dem Reset das Farbsignal noch
551. erscheint !
552. Große Dienste im Kampf gegen Linkviren kann auch der `CLI`-Befehl
553.  `List` leisten !
554. Sollten Sie nach einem Virus-Check mit `AntiCicloVir` trotzdem
555. noch mißtrauisch sein, dann können Sie sich die Verzeichnisse
556. der Diskette auflisten lassen !
557. Finden Sie dort Files, die mit einem unsichtbaren Namen abgespeichert
558. worden sind oder Files die gerade heute abgespeichert worden
559. sind, was am Zusatz `Today` ersichtlich ist, dann besteht Linkviren-
560. Gefahr !!
561.  
562.  
563.  
564.  
565.  
566.  
567.  
568.  
569.  
570.  
571.  
572.                       4.0 Sonstiges
573.  
574. Natürlich bin ich immer an neuen `File`- und `Link`-Viren interessiert !
575. Sollten Sie selbst neue Viren haben, dann können Sie sie an meine
576. Adresse mit einem entsprechenden Vermerk gekennzeichnet schicken !
577. Ich werde Ihnen dann die neueste Version von `AntiCicloVir` zuschicken
578. und Sie in meiner `Dokumentation` erwähnen !
579. Ich möchte noch einmal darauf hinweisen, daß ich für die volle Fehler-
580. freiheit von `AntiCicloVir` nicht garantieren kann.
581. Allerdings habe ich unzählige Male alle Routinen in verschiedensten
582. Situationen getestet und mir ist nie ein Fehler aufgefallen !
583. Im Gegensatz zu vielen meiner früheren Programme, bin ich davon überzeugt,
584. daß `AntiCicloVir` zu 100 % so funktioniert, wie es funktionieren
585. sollte.
586. Haben Sie dennoch Bedenken, dann können Sie die Disketten ,welche Sie
587. mit dem Linkviruskiller checken, mit einem Schreibschutz versehen,
588. damit bei einem evtl. Schreibzugriff des Viruskillers auf die Diskette
589. keine Datei zerstört wird.
590. Die anschließend erscheinende `Requester`-Meldung von Seiten des
591. Betriebssystems können Sie `canceln`, so daß der Linkviruskiller
592. den Schreibzugriff abbricht !
593. Es wurde mit dem `masterseka v1.51` in ASSEMBLER geschrieben und müßte unter
594. allen gängigen `KickStart`s laufen.
595. Es werden keine bestimmten System-Bibliotheks-Versionen beansprucht
596. und das Programm benötigt auch keine festen ROM-Adressen !
597. Ich habe dieses Programm extra so programmiert, daß es unter allen
598. gängigen und hoffentlich auch zukünftigen KickStart-Versionen 
599. funktionieren müßte !
600. Das Programm benötigt die Datenregister : d0-d7
601. "   "        "        "   Adressregister: a0--a6
602. Das Programm benötigt die 
603.                       Systembibliotheken: `exec.library ( keine Version bevorzugt. )
604.                                           `dos.library` ( keine Version bevorzugt )
605. "   "        "        "                   `intuition.library` ( keine Version bevorzugt )
606.  
607.                    Bibliotheksfunktionen: `AllocAbs`
608.                                           `AllocMem`
609.                                           `Close`
610.                                           `CloseLibrary`
611.                                           `CloseWindow`
612.                                           `Delay`
613.                                           `DeleteFile`
614.                                           `FreeMem`
615.                                           `FindTask`
616.                                           `GetMsg`
617.                                           `Open`
618.                                           `OpenLibrary`
619.                                           `OpenWindow`
620.                                           `Read`
621.                                           `Rename`
622.                                           `WaitPort`
623.                                           `Write`
624.                                           
625.  
626. Bisher hatte `AntiCicloVir` keine ROM-Adressen zurückgesetzt, wegen der
627. Unterschiede unter den verschiedenen Betriebssystemen !
628. Doch dies hat sich mit der Version 1.6 geändert.
629. Wenn nun in der Dokumentation die Rede davon ist, daß ein Virus komplett
630. aus dem Speicher entfernt werde, so bezieht sich dies nur auf `KickStart
631. V1.2` !
632. Unter `KickStart V1.3` können auch noch viele Viren komplett gelöscht
633. werden, doch für höhere `KickStart`-Versionen fehlen mir noch die
634. ROM-Adressen, weshalb hier ein Reset nötig sein wird.
635. Manche Viren können aber auch, unter noch unbekannten `KickStart`s komplett
636. aus dem Speicher, gelöscht werden.
637. Für jeden Einzelfall erhalten Sie eine spezielle Anweisung, vom `Linkvirus-
638. killer` im Benutzerfenster !
639.  
640. Mit dieser Version wurden auch die Erkennungsroutinen für folgende
641. Viren ( Speicher ) geändert, da ich Informationen hatte, daß diese nicht sicher im
642. Speicher erkannt würden oder weil ich mir dessen nicht sicher war:
643.  
644. `Fileviren`:
645.  
646. - `Revenge Of The LAMER Exterminator`
647.  
648. `Bootblock`-Viren:
649.  
650. - `AIDS_VKill`
651. - `Amiga Freak`
652. - `Australian Parasite`
653. - `BlizzPro V3.1`
654. - `BlizzPro V3.3`
655. - `Byte Bandit`
656. - `Byte Bandit +`
657. - `Byte Bandit 2`
658. - `Byte Bandit turbo`
659. - `Byte Warrior`
660. - `Destructor V1.2`
661. - `DiskDoktors`
662. - `F.I.C.A.`
663. - `FORPIB`
664. - `Frity`
665. - `Inger IQ`
666. - `Joshua 2`
667. - `MAD`
668. - `Microsystems`
669. - `Obelisk 1`
670. - `Obelisk 2`
671. - `PARATAX II`
672. - `Revenge Bootloader`
673. - `SCARFACE`
674. - `ZACCESS V2.0`
675.  
676. Außerdem wird jetzt der mit AllocMem () reservierte Speicher, wieder mit
677. FreeMem () an`s System zurückgegeben !
678.  
679. Übrigens wurden überflüssige und doppelt vorkommende ASCII-Texte
680. aus `AntiCicloVir V1.6` entfernt, um Speicherplatz zu sparen.
681.                      
682.  
683.  
684.  
685.  
686.  
687.  
688.  
689.  
690.  
691.  
692.  
693.  
694.                            Anhang A
695.  
696. In diesem Anhang werden noch einmal die Computerviren beschrieben,
697. die `AntiCicloVir V1.6` erkennt.
698.  
699.  
700.  
701.  
702.  
703.                  `Revenge Of The LAMER Exterminator`
704.  
705. Von diesem Virus erkennt `AntiCicloVir` die beiden Varianten des 
706. `Revenge of the Lamer-Exterminator`-Viruses 1 und das `Revenge of
707. the Lamer-Exterminator`-Virus 2. 
708. Über diese Viren wurde schon oft viel geschrieben.
709. Momentan gibt es acht verschiedene Bootblock-Viren, des Types `LAMER
710. Exterminator` und das `U.K. LAMER Style`-Bootblock-Virus, sowie fünf
711.  verschiedene Fileviren dieser Art:
712. `Revenge of the Lamer-Exterminator 1`,`Revenge of the Lamer-Exterminator 2`,
713. `Lamer loadwb`,`Lamer VirusX` und `Return of the Lamer-Exterminator` !
714. Davon erkennt zur Zeit `AntiCicloVir` alle `File-` und `Bootblock`-Viren !
715. Das `Return of the LAMER Exterminator`-Virus ist das derzeit aktuellste
716. Virus der `LAMER Exterminators` und ich vermute wohl auch letzte,
717. da ich schon lange von diesen Programmierern nichts mehr gelesen habe !
718. Die `Ideologie` der Programmierer der `Lamer Exterminator`-Viren ist es,
719. alle Anfänger bzw. Leute, die den Amiga nur zum `Daddeln` brauchen zu
720. frustrieren, damit sie den Amiga aufgeben.
721. Nach deren Meinung schaden diese Leute nur dem Image des Amiga`s und
722. trugen zum erheblichen Teil dazu bei, daß dieser Rechner zum `Spiele-
723. computer` verschrien wurde.
724. Sie gehen davon aus, daß es sich bei diesen `LAMER`n ( bedeutet so viel,
725. wie `Anfänger` oder `Versager`) um Leute handelt, die entweder 
726. nicht genügend Ahnung von ihrem Rechner haben ( und auch nicht 
727. haben wollen ) oder daß diese Leute sowieso `unintelligent` sind.
728. Diese Viren sind somit auch gewisse `LAMER-Tests`, denn nach der
729. Meinung der Programmierer können nur Anfänger auf derartige Programme
730. hereinfallen und gerade die sollen ja mit diesen Programmen wohl
731. auch getroffen werden. 
732. Sie erhoffen sich davon, daß ständiges Formatieren und Zerstören von
733. Disketten ihnen den Spaß am Amiga verdirbt ...
734.  
735. `AntiCicloVir V1.6` erkennt die beiden Varianten des `Revenge of the
736. Lamer-Exterminator`-Viruses, sowie das `Revenge of the Lamer-Exterminator`-
737. Virus 2 !
738. Im Folgenden werde ich hauptsächlich nur das `R.L.E.`-Virus Nr. 1
739. beschreiben.
740.  
741. Vom `Revenge of the Lamer-Exterminator`-Virus 1 gibt es zwei Varianten !
742. Die erste tarnt sich als `Dos-speedup`-Programm mit dem Namen
743. `DosSpeed` und kann wohl nur durch einen unwissenden Benutzer selbst
744. aktiviert werden, der dieses Programm von der Diskette startet.
745. Die zweite Variante tarnt sich als unsichtbares Programm auf der
746. Diskette und schreibt ihren Aufruf in die `s/startup-sequence` !
747. Mit jedem Abarbeiten der `s/startup-sequence` nach einem Boot-Vorgang
748. wird das Virus aktiviert.
749. Das Virus schreibt sich unter einem Namen, der in hexadezimal dem Wert
750. $A0A0A0A0A0 entspricht, auf die Diskette.
751. Geben Sie im AmigaDOS den Befehl `type "[Tastenkombination]"` an, dann
752. können Sie dieses unsichtbare Programm aufgelistet bekommen.
753. Auch wenn Sie die `s/startup-sequence` auflisten, können Sie den
754. Aufruf an erster Stelle an den Bytes `A0A0A0A0A0` erkennen.
755. Im Diskettenverzeichnis werden Sie dieses Virus jedoch vergeblich
756. suchen, da es sich nicht über`s File-System, sondern mit Hilfe des
757. `trackdisk.device` auf die Diskette kopiert hat !
758.  
759. Sobald das Virus gestartet wurde, setzt es eine `MemList`-Struktur in
760. den Speicher und verbiegt den KickTagPtr *`.
761. So ist es nach jedem RESET aktiv.
762. Im Speicher richtet es aber noch eine Menge anderer Dinge an, die
763. ich gar nicht alle genau beschreiben kann, da ich mir das Virus-
764. Programm im Speicher noch nicht so genau angeschaut habe !
765. Schon während des Abarbeitens der `s/startup-sequence`, kann es
766. zu grafischen Störungen kommen.
767. Das Virus scheint auch verschiedene Adressen und Register zu manipulieren,
768. so daß Viruskiller beispielsweise genarrt werden.
769. Befindet sich das Virus nämlich im Speicher, so erkennen es viele
770. Viruskiller gar nicht auf der Diskette.
771. Wenn Sie sich jetzt die `s/startup-sequence` einer befallenen Diskette
772. oder etwa das Virus selbst anschauen wollen, so werden Sie nichts
773. finden !!
774. Denn das Virus im Speicher hat sich praktisch auf der Disk ausgeblendet.
775. Deshalb sollten Sie sich auch IMMER vergewissern, ob sich nicht womöglich
776. das `Revenge of the Lamer-Exterminator`-Virus im Speicher befindet,
777. wenn Sie gerade mit einem Linkviruskiller eine Diskette auf dieses
778. Virus hin überprüfen !!
779.  
780. Nachdem sich das Virus in den Speicher kopiert hat, beginnt es noch ca.
781. acht bis zehn Minuten lang den Anwender zu ärgern, indem es mal beim
782. Abarbeiten der `s/startup-sequence` verschiedenste Fehler verursacht
783. oder Programme stört.
784. Mal läßt es den Mauszeiger im `zz`-Zustand verweilen, dann läßt es
785. `Icon`s oder ganze Programme scheinbar aus bestimmten Verzeichnissen
786. verschwinden oder es löst sinnlose Fehler-Meldungen aus !
787.  
788. Ist diese `Galgenfrist` abgelaufen, so beginnt das Virus mit der
789. `Formatierungsroutine`.
790. Ist die aktuelle Diskette zu diesem Zeitpunkt schreibgeschützt, so
791. macht sich das Virus nur durch ein verräterisches Aufblinken der
792. `Laufwerks-LED` bemerkbar und bricht die Routine sofort wieder ab
793. und wartet weitere zehn Minuten !!
794.  
795. Ist die Diskette jedoch nicht schreibgeschützt, so beginnt das Virus
796. damit die Diskette zu formatieren und schreibt wohl in jeden Daten-
797. block das Wort `Lamer` hinein ! 
798. Nachdem die Diskette zerstört ist, erscheint noch ein drei Seiten ( ! )
799. langer `Alert` !
800. Der einfachere Weg, um sich in den Genuß derartigen Textwerkes zu
801. bringen besteht darin, daß man sich seine Diskette von dem `Revenge
802. of the Lamer-Exterminator`-Virus zerstören läßt und sich anschließend
803. den `Alert` durchliest !
804. Der etwas kompliziertere Weg wäre das Durchlesen des Anhanges A aus
805. meiner Dokumentation.
806. Hier folgt nun also gleich der englischsprachige Text aus diesem
807. `Alert` !
808. Für uns dummen `Lamer`s wurde dieser Text extra in einem sehr
809. simplen umgangssprachlichen Englisch abgefaßt, so damit wir ( die
810. Zielgruppe ) ihn ja auch verstehen können.
811. Ich möchte noch einmal betonen, daß der Inhalt dieses folgenden Textes
812. keineswegs mit meiner Meinung übereinstimmt !!!!!!
813. Deshalb habe ich ihn auch in Anführungszeichen gesetzt !!
814. Ebenfalls erwähnen möchte ich, daß die einzelnen Absätze mit dem
815. von mir wiedergegebenen Text, nicht mit dem Originaltext übereinstimmen
816. müssen !
817. Es folgt der `Revenge of the Lamer-Exterminator`-Alert:
818.  
819.  
820.  
821.  
822.                Revenge Of The Lamer-Exterminator
823.  
824.                          RED ALERT:
825.  
826. `It has come to my attention that the person using this computer
827.  is a LAMER. (+)
828.  We the people, who are responsible for the "Revenge of the LAMER
829.  Exterminator" Virus, believe that only intelligent folk are fit
830.  to use the AMIGA Personal Computer.
831.  Since you were apparently not smart enough to prevent infection of
832.  your computer and software by this virus
833.  ( You should have used a condom )
834.  we must assume that you are a LAMER ( a.k.a. LOSER ) and therefore
835.  we had no alternative but to erase your floppy disk(s) in order
836.  to get your attention.
837.  
838.                    - Press Any Mousebutton -
839.  
840.  We are eagerly looking forward to the first Amiga magazine that
841.  explains the inner workings of this brilliant ( at least we think
842.  so ) virus.
843.  However, we are not very confident, since the three versions of
844.  the original LAMER Exterminator Virus have never really been
845.  properly analysed in any Amiga magazine.
846.  
847.  We have made this virus a little bit more aggressive so that more
848.  people will recognize it and hopefully will learn something so as
849.  to overcome the dreadful disease of LAMERism.
850.  
851.  By the way , the A in LAMER is pronounced like the A in DAY ( LAMER
852.  people do not know proper English in our experience )
853.  
854.                    - Press Any Mousebutton -
855.  
856.  
857.                   Signed
858.  
859.  Foundation for the Extermination of LAMERS. ( ++ )
860.  
861.  (+) You can recognize a LAMER or LOSER as someone who can only
862.  use the Ctrl-Amiga-Amiga keys on his Amiga, and might even know
863.  how to load X-Copy ...
864.  
865.  (++) Due to the primitive and violent nature of some LAMERS,
866.  we have decided against revealing our real identities, so as
867.  to prevent unnecessary visits to the local hospital on our part !`
868.  
869.                    Coming soon to a theatre near
870.                               you:
871.  
872.                      +++ The Lamer Exterminator -
873.                          A new Beginning +++
874.  
875.                             Rated PG
876.  
877.        - Press Any Mousebutton To Continue Being A LAMER -
878.  
879.  
880. Soweit der Text aus dem `Revenge of the Lamer-Exterminator`-Virus !
881. Bleibt mir noch hinzu zu fügen, daß sich das Virus nicht ein zweites
882. Mal auf die selbe Diskette kopiert, sondern sich - im Gegenteil - 
883. sogar wieder löscht !
884. Dabei vergißt es allerdings seinen Aufruf aus der `s/startup-sequence`
885. zu entfernen, weshalb es zu AmigaDOS-Fehlermeldungen kommt, falls diese
886. Diskette ein weiteres Mal gebootet wird.
887.  
888. Das `Revenge of the Lamer-Exterminator`-Virus 2 funktioniert so ähnlich
889. wie sein `Vorgänger` !
890. Zu diesem Virus möchte ich jedoch noch einmal etwas anmerken !
891. In den gängigen Virus-Archiven wird, das um ein paar hundert Bytes 
892. kleinere `Revenge of the Lamer Exterminator`-Virus, als Virus Nr. 2
893. bezeichnet und das größere Virus als Virus Nr. 1 !
894. Nach einigen Tests bin ich jedoch der Meinung, daß das `Revenge of the
895. Lamer Exterminator`-Virus 1 in Wirklichkeit das `Revenge of the Lamer
896. Exterminator`-Virus 2 ist und umgekehrt !
897. Für diese Theorie sprechen folgende Argumente:
898.  
899. 1. `VirusX 4.00` erkennt das `Revenge of the Lamer Exterminator`-Virus 1
900.    zwar im Speicher, doch dafür kann es es nicht löschen !!!
901.    Deshalb vermute ich, daß das `Revenge of the Lamer Exterminator`-Virus 1
902.    in Wirklichkeit das `Revenge of the Lamer Exterminator`-Virus 2 ist
903.    und `VirusX 4.00` zwar dieses neue Virus erkennt, da es Ähnlichkeit
904.    mit dem alten hat, es aber wegen einiger Erweiterungen nicht mehr
905.    löschen kann !
906.  
907. 2. Das `R.L.E.`-Virus 2 hat eine Routine nicht, die das `R.L.E.`-Virus 1
908.    hat !!!
909.    Das `R.L.E.`-Virus 1 kann sich auf der Diskette unsichtbar machen !
910.    D.h. daß wenn sich das `R.L.E.`-Virus 1 im Speicher befindet, man es
911.    mit Viruskillern nicht mehr auf der Diskette erkennen kann !
912.    Man kann es auch nicht mit `Type "[Tastenkombination]"` auflisten und
913.    der Hexadezimal-Wert `A0A0A0A0A0` erscheint auch nicht mehr in der
914.    `s/startup-sequence` !
915.    Es ist kaum einzusehen, weshalb die neue Variante eines Viruses
916.    eine Tarnkappen-Funktion weniger haben soll, als die alte !
917.  
918. 3. Das `R.L.E.`-Virus 1 ist ein paar Bytes größer ,als das `R.L.E.`-
919.    Virus 2 !
920.    Dies kommt daher, daß das `R.L.E.`-Virus 2 einige Routinen nicht
921.    mehr hat, die noch im `R.L.E.`-Virus 1 enthalten sind !
922.    Gewöhnlich ist es allerdings so, daß die neuen Varianten von
923.    Viren einige Bytes größer sind als ihre Vorgänger ...
924.  
925. 4. Da das `R.L.E.`-Virus 1 besser programmiert worden ist, als das
926.    `R.L.E.`-Virus 2, hatte es bessere Vermehrungschancen als dieses.
927.    Deshalb hat sich, das meiner Meinung nach, neuere `R.L.E.`-Virus 1
928.    schneller verbreiten können, als das `R.L.E.`-Virus 2 !
929.    Wahrscheinlich haben es deswegen einige Viruskiller-Programmierer
930.    früher erhalten ,als das `R.L.E.`-Virus 2, welches vermutlich das
931.    erste `Revenge of the Lamer Exterminator`-Virus war !
932.    Diese Viruskiller-Programmierer haben dann wohl dem neuen
933.    `Revenge of the Lamer Exterminator`-Virus die Nr. 1 gegeben und
934.    dem alten `Revenge of the Lamer Exterminator`-Virus die Nr. 2.
935.  
936. Im Gegensatz zur Version 1.0 von `AntiCicloVir`, erkennt die neue Version
937. 1.1 das `Revenge of the Lamer-Exterminator`-Virus nun auch im
938. Speicher und warnt Sie davor !
939. Leider kann es das Virus nicht komplett aus dem Speicher löschen, da
940. es einfach zu viele Vektoren verbiegt (über ein halbes Dutzend ) !
941. Bei derartig vielen verbogenen Vektoren besteht für mich zum Einem
942. die Gefahr, daß ich nicht weiß wie man einzelne Zeiger zurücksetzt,
943. oder sie gar übersehe und zum Anderen die Gefahr, daß die Adressen
944. bestimmter `ROM`-Routinen unter anderen `KickStart`-Versionen ver-
945. schieden sind und `AntiCicloVir` so evtl. auf anderen Rechnern nicht
946. funktioniert !!
947. Deshalb erscheint nachdem `AntiCicloVir` dieses Virus im Speicher
948. gefunden hat, eine Meldung in der Sie aufgefordert werden alle
949. W I C H T I G E N Diskettenoperationen abzuschließen und anschließend
950. einen Reset auszuführen !!
951. Das Programm hat die Resident-Vektoren mittlerweile zurückgesetzt,
952. so daß es nach einem Reset gelöscht ist.
953. Aber ansonsten ist dieses Virus noch vollkommen aktiv im Speicher
954. tätig und kann innerhalb der nächsten acht Minuten Ihre Diskette
955. zerstören !!!
956. Deshalb sollten Sie wirklich nur WICHTIGE Diskettenoperationen ausführen
957. ( Beispiel: Eine wichtige Datei, die nur im Speicher steht, noch schnell
958.             auf eine Disk abspeichern ! )
959. A C H T U N G !!!
960. Mir ist es beim Testen dieses Viruses passiert, daß es eine Diskette
961. auch beim normalen AmigaDOS-Schreibzugriff zerstört hat !
962. Es kann also sein, daß es durch Schreiboperationen ebenfalls aktiviert
963. wird !
964. A C H T U N G !!!
965. Auch nachdem `AntiCicloVir_V 1.6` dieses Virus im Speicher erkannt und
966. zwei Zeiger gelöscht hat, kann es es weiterhin nicht auf der Diskette
967. erkennen, so lange es im Speicher steht !
968. Deshalb am besten gleich Reset auslösen !!
969. Dafür erkennt es aber beide Varianten des `Revenge of the Lamer-Exterminator`-
970. Virus 1 und das `Revenge of the Lamer-Exterminator`-Virus 2 und löscht
971. sie sofort !
972. Bei der Version 1.0 des Linkviruskillers mußten Sie noch den Aufruf
973. `eigenhändig` aus der `s/startup-sequence` löschen.
974. Doch dieses ist bei der Version 1.1 nicht mehr nötig, da der Linkviruskiller
975. diese Aufgabe übernimmt !!
976.  
977.  
978.  
979.  
980.  
981.  
982.  
983.  
984.  
985.  
986.  
987.  
988.                            `Lamer LoadWB`
989.  
990.  
991. Bei diesem 4172 Bytes großen Virus handelt es sich um ein Programm,
992. welches sich im `c`- oder Hauptverzeichnis als `CLI`-Befehl
993. `LoadWB` tarnt !
994. Gleich nach seinem Aufruf erzeugt es allerdings das alte `LAMER 
995. Exterminator`-Bootblock-Virus im Speicher und lädt anschließend die
996. `Workbench` !
997. Das `LAMER Exterminator`-Virus ist hiernach sofort aktiv und kann alle
998. ungeschützten Disketten infizieren, indem es sich in den `Bootblock`,
999. der jeweiligen Disketten kopiert !
1000. Das `LoadWB`-Programm kann sich jedoch selbst nicht weiterkopieren !
1001. Bei diesem Programm handelt es sich auch noch um ein sehr altes
1002. Exemplar, aus der Phase der `LAMER Exterminator`-Programmierung !
1003. Der ASCII-Text `The LAMER Exterminator ...` im Programm `LoadWB`
1004. ist beispielsweise nicht kodiert und kann so leicht als Virus
1005. identifiziert werden !
1006. `AntiCicloVir_V1.6` kann das `Bootblock`-Virus `LAMER Exterminator`
1007. im Speicher löschen ! ( Bitte lesen Sie dazu auch `LAMER Exterminator (alt) `
1008. im `Anhang B` ! )
1009. Mein Linkviruskiller kontrolliert jeden `LoadWB`-Befehl im `c`- oder
1010. Hauptverzeichnis und warnt Sie und löscht ihn, wenn es sich um
1011. das `Lamer LoadWB`-Virus handelt !
1012. Da es sich selbst nicht weiterkopiert, kann es sich nur auf Disketten
1013. befinden, auf die es jemand mit oder ohne Absicht kopiert hat !
1014. Es wird also nicht weit verbreitet sein !
1015.  
1016.  
1017.  
1018.  
1019.  
1020.  
1021.  
1022.  
1023.  
1024.  
1025.  
1026.                            `Lamer VirusX`
1027.  
1028. Dieses 13192 Bytes große Virus tarnt sich als `VirusX 3.10` von Steve Tibbett !
1029. Es ist eine recht gute Fälschung von Steve Tibbett`s `VirusX`, doch im
1030. Gegensatz zum echten `VirusX` ist der ASCII-Text nicht kodiert und das
1031. Programm verwendet unsinnige Gerätenamen, wie beispielsweise `DF6:` oder
1032. `DF9:` !
1033. Entgegen meinen früheren Behauptungen erzeugt dieses `VirusX 3.10` nicht
1034. das alte `LAMER Exterminator`-Virus im Speicher, sondern das Virus
1035. `LAMER Exterminator VIII` !
1036. Selbstverständlich erkennt das `Lamer VirusX`-Virus das `LAMER Exterminator`-
1037. Bootblock-Virus nicht im Speicher !
1038. Dafür kann es anscheinend die `Bootblock`-Viren `Obelisk`,`North Star`,
1039. `SCA`,`Byte Bandit`,`Byte Warrior`,`Revenge`,`Pentagon-Slayer` und
1040. `SystemZ`, sowie das `IRQ`-Linkvirus erkennen !
1041. `Lamer VirusX` kopiert sich selbst als `Filevirus` nicht weiter !
1042. `AntiCicloVir V1.6` kann das `Lamer VirusX`-Virus nur unter dem Namen
1043. `VirusX` im Haupt- oder `c`-Verzeichnis erkennen !
1044. Ein verdächtiges `VirusX` in einem anderen Verzeichnis sollten Sie
1045. also zur Kontrolle in`s Haupt- oder `c`-Verzeichnis kopieren !
1046.  
1047.  
1048.  
1049.  
1050.                   `Return of the Lamer Exterminator`
1051.  
1052.  
1053. Dieses 1848 Bytes große `Filevirus` ist meiner Meinung nach das gefährlichste
1054. Programmvirus ,das in dieser Dokumentation beschrieben wird !
1055. Es ist das zweite `Disk-Validator`-Virus ( siehe auch `SADDAM` ) !
1056. Ob dieses Virus das erste Virus war, welches sich als `Disk-Validator`
1057. weiterkopiert, oder ob es erst nach dem `SADDAM`-Virus programmiert
1058. wurde, ist mir nicht bekannt !
1059. Jedenfalls bin ich mir sicher, schon sehr früh von diesem Virus gelesen
1060. zu haben, als es das `SADDAM`-Virus noch nicht gab.
1061. Deshalb vermute ich, daß der `Return of the Lamer Exterminator` das erste
1062. `Disk-Validator`-Virus war !
1063. Da das `SADDAM`-Virus im Gegensatz zum `Return of the Lamer Exterminator`-
1064. Virus, auch ein eigenes `L`-Verzeichnis auf einer infizierten Diskette
1065. anlegen kann, konnte es sich wesentlich schneller verbreiten, als das
1066. `Return of the Lamer Exterminator`-Virus !
1067. Im übrigen kann sich das `SADDAM`-Virus auch unter `KickStart 1.3` ohne
1068. `Setpatch r` weiterkopieren, da es den ColdCapture *-Vektoren benutzt,
1069. was ein weiterer Vermehrungsvorteil wäre !
1070. Wie bereits erwähnt, tarnt sich das `Return of the Lamer Exterminator`-Virus
1071. als `Disk-Validator` im Verzeichnis `L` einer infizierten Diskette !
1072. Im Gegensatz zum echten `Disk-Validator`, beinhaltet es keinen `ASCII`-Text.
1073. Es kopiert sich nur auf Disketten, die selbst ein `L`-Verzeichnis besitzen
1074. und kann also kein eigenes Verzeichnis anlegen !
1075. Auf jede Diskette, auf die es sich kopiert hat, speichert es eine ungültige
1076. `BAM` ( `Block Allocation Map` ) ab !
1077. Diese ungültige `BAM` veranlaßt das Betriebssystem Ihres Rechners, schon
1078. beim Einlegen einer infizierten Diskette, den `Disk-Validator` zu starten.
1079. Dadurch wird das Virus automatisch aktiviert !!!
1080. In der `BAM` jeder Diskette stehen die Angaben über die bereits belegten
1081. Datenblöcke einer Diskette.
1082. Diese Angaben sind für AmigaDOS wichtig, damit es beim späteren Abspeichern
1083. von Programmen weiß, welche Blöcke nicht mehr überschrieben werden können !
1084. Ist diese `BAM` ungültig, so hat die Diskette einen `Disk Validating Error`
1085. und muß `validiert` werden !
1086. Das Betriebssystem startet dafür die Routine `Disk-Validator` im Verzeichnis
1087. `L`, um alle Block-Angaben in den Speicher zu lesen, damit die Diskette
1088. doch noch beschrieben werden kann !
1089. Nur die Betriebssysteme `KickStart V1.2 & V1.3` rufen den `Disk-Validator`
1090. von der Diskette auf !
1091. Höhere Versionen beinhalten in bereits im ROM !!!
1092. Beachten Sie bei diesem Virus auch, daß es schon beim Einlegen einer
1093. infizierten Diskette als Virus im Speicher steht !
1094. Im Speicher verbiegt es die Vektoren KickTagPtr * und KickCheckSum * auf
1095. eine eigene `MemList`-Struktur, mit der es resetfest im Speicher bleibt !
1096. Der BeginIO ()-Vektor wird verbogen und noch eine ganze Menge weitere
1097. Vektoren, die ich leider alle gar nicht zurücksetzen kann ...
1098. Das Virus kopiert sich also beim Einlegen einer Diskette und beim Booten
1099. weiter, sofern diese Disketten ein `L`-Verzeichnis besitzen !
1100. Besonders gemein an diesem Virus ist, daß man es nicht von der Diskette
1101. löschen kann, wenn es schon im Speicher steht !
1102. Aber nun die zweite schlechte Nachricht: 
1103. JEDESMAL WENN MAN EINE INFIZIERTE DISKETTE IN`S LAUFWERK LEGT, KOPIERT
1104. SICH DAS VIRUS SCHON IN DEN SPEICHER !!!
1105.  
1106. Löschen kann man den Virus-`Disk-Validator` deshalb nicht, weil bei jedem
1107. Versuch, wenn das `Return of the Lamer Exterminator`-Virus schon im Speicher
1108. steht, die Fehlermeldung `object in use` erscheint !
1109. Ich vermute, daß folgender simpler Trick dafür verantwortlich ist !
1110. Wenn man eine Datei öffnet, um von ihr Daten zu lesen und vergißt sie
1111. zu schließen, dann `denkt` AmigaDOS, daß die Datei gerade bearbeitet
1112. wird und bricht jeden Schreibzugriff auf sie ab !
1113. Vermutlich funktioniert dies auch so ähnlich bei diesem Virus.
1114. Man kann das Virus zwar nicht löschen, dafür kann man es aber mittels
1115. des `CLI`-Befehls `Rename` umbenennen und gefährlich ist dieses Virus
1116. nur dann, wenn es als `Disk-Validator` im Verzeichnis `L` steht !
1117.  
1118. Nun zu den Zerstörungen !
1119. Das `Return of the Lamer Exterminator`-Virus schreibt nach einiger Zeit
1120. das Wort `LAMER` in einige Datenblöcke und zerstört so die Informationen
1121. in den Programmdateien !!!
1122. Das Virus ist auch in der Lage die Disketten in allen Laufwerken zu
1123. zerstören, indem es deren `Rootblöcke` mit dem Wort `LAMER` formatiert !
1124. Dabei gibt es gleichzeitig einen `Alert` aus : 
1125.               `Return of the Lamer Exterminator`
1126.  
1127. `AntiCicloVir V1.6` kann das `Return of the Lamer Exterminator`-Virus
1128. jetzt auch im Speicher erkennen.
1129. Allerdings kann es nicht gelöscht werden, da zu viele Vektoren zurück-
1130. gesetzt werden müßten, die unter anderen `KickStart`s wieder andere
1131. Adressen beinhalten !
1132. Wenn `AntiCicloVir V1.6` ein `Return of the Lamer Exterminator`-Virus
1133. auf der Diskette gefunden hat, dann können Sie sich sicher sein, daß
1134. es im selben Augenblick schon im Speicher steht !!!
1135. Da mein Linkviruskiller dieses Virus nicht löschen kann, wenn es im
1136. Speicher steht, benennt er es einfach in `:L/LAMER-Virus` um !
1137.  
1138. Zwar wird das `Return of the Lamer Exterminator`-Virus nicht aus dem
1139. Speicher gelöscht, doch das ist kein so großes Problem !
1140. Wenn Sie die Disketten auf dieses Virus hin überprüfen wollen, dann verwenden
1141. Sie bitte jedes Mal den Schreibschutz.
1142. Andernfalls könnte sich das Virus von einer infizierten Diskette aus in
1143. den Speicher kopieren und nun jede `cleane` Disk ebenfalls befallen.
1144. Haben Sie alle Disketten auf dieses Virus geprüft, so schalten Sie bitte
1145. den Amiga ab, damit es aus dem Speicher gelöscht wird !
1146. Nach dem Einschalten sollten Sie von einer virusfreien Diskette `booten`
1147. und `AntiCicloVir` und die `CLI`-Befehle in`s `RAM:` kopieren  !
1148. Jetzt können Sie alle infizierten Disketten nacheinander in`s Laufwerk
1149. legen und mit `AntiCicloVir V1.6` desinfizieren !
1150. Zwar kopiert sich das Virus wieder auf jede neue Diskette, doch das ist
1151. unwichtig, da die Disketten ja sowieso schon infiziert waren.
1152. Nachdem Sie ein `Return of the Lamer Exterminator`-Virus auf einer
1153. Diskette umbenannt haben, kopiert sich das Virus nicht anschließend
1154. wieder neu auf die Diskette !
1155. Nur wenn Sie die desinfizierte Diskette ein zweites Mal ohne Schreib-
1156. schutz in`s Laufwerk legen, wird sie neu-infiziert !
1157. Und das sollten Sie vermeiden !!!!!!
1158. Sollten Sie alle Disketten desinfiziert haben, so müßen Sie den Rechner
1159. unbedingt ein zweites Mal ausschalten, damit das `Return of the Lamer
1160. Exterminator`-Virus auch aus den Speicher gelöscht wird !
1161. Schalten Sie nun wieder den Amiga ein, so können Sie behaupten, daß Ihr
1162. Rechner das `Lamer Exterminator Fieber` überstanden hat und wieder
1163. wohlauf ist ...
1164.  
1165. Leider werden die desinfizierten Disketten nun noch einen `Disk Validating
1166. Error` haben, an dem aber nicht der `Linkviruskiller`, sondern das
1167. Virus schuld ist.
1168. Um die ungültige `BAM` wieder herzustellen, sollten Sie diese Disketten
1169. `validiern` !
1170. Gehen Sie dabei wie folgt vor !
1171. `Booten` Sie als erstes von einer Diskette mit echtem `Disk-Validator` !
1172. Kopieren Sie sich bitte die `CLI`-Befehle von der `Workbench`-Diskette
1173. in`s `RAM` !
1174. Legen Sie nun diese `fehlerhaften` Disketten ein !
1175. Das Betriebssystem wird nun einen `Disk Validating Error` melden und nach
1176. der `Workbench`-Diskette verlangen.
1177. Anschließend wird es wieder nach der `fehlerhaften` Diskette verlangen,
1178. um sie zu `validieren`.
1179. Ist diese Diskette `validiert`, so können vorläufig wieder Schreibzugriffe
1180. auf ihr ausgeführt werden.
1181. Löschen Sie beispielsweise eine unwichtige Datei ( `:L/LAMER-Virus` ),
1182. damit die Diskette nach diesem Schreibzugriff vom Betriebssystem wieder
1183. eine gültige `BAM` erhält !
1184. Jetzt ist die Diskette wieder o.k. !
1185.  
1186. Daten auf Disketten, die das `Return of the Lamer Exterminator`-Virus 
1187. formatiert hat sind unwiederruflich verloren !!!
1188.  
1189.  
1190.  
1191.  
1192.  
1193.  
1194.  
1195.  
1196.  
1197.  
1198.  
1199.  
1200.                              `BGS 9`
1201.  
1202.  
1203. Nicht ganz so gefährlich, aber dennoch lästig ist das `BGS 9`-Virus !
1204. Es versteckt sich als unsichtbares Programm im Verzeichnis `DEVS` und
1205. wird beim Booten der jeweiligen Diskette aktiv !
1206. Mittlerweile gibt es zwei Versionen dieses Fileviruses !
1207. Nachdem dieses Virus gestartet wurde schreibt es sich als `MemList`-Struktur
1208. in den Speicher und gibt in KickMemPtr * einen Zeiger darauf zurück !
1209. In den KickTagPtr * wird die Adresse für das Resetprogramm eingetragen und
1210. mit SumKickData () die KickCheckSum * berechnet und ebenfalls eingetragen.
1211. Nach jedem Reset verbiegt das Resetprogramm den OpenWindow ()-Vektor auf
1212. eine Vermehrungsroutine, welche beim Rücksprung diesen Vektor wieder
1213. auf die ROM-Adresse setzt !
1214. Nach vier Resets wird folgender Text ausgegeben:
1215.  
1216.  
1217. `                       A COMPUTER VIRUS IS A
1218.                              DISEASE
1219.  
1220.                           TERRORISM IS A
1221.                            TRANSGRESSION
1222.  
1223.                          SOFTWARE PIRACY IS A
1224.                                CRIME
1225.  
1226.                           THIS IS THE CURE
1227.  
1228. BBB      GGGGGG    SSSS    99999            
1229. B  B     G        S        9   9         
1230. B  B     G          S      9   9             
1231. BBB      G           S     99999              Bundesgrenzschutz Sektion 9
1232. B  B     G GGGG       S        9              Sonderkommando "EDV"
1233. B  B     G    G        S       9
1234. BBB      GGGGGG    SSSS    99999`
1235.  
1236.  
1237. `AntiCicloVir V1.6` erkennt beide Computerviren ( `BGS 9` und `BGS 9 II` )
1238. auf der Diskette und löscht sie !
1239. Die unsichtbaren Dateien der `BGS 9`-Viren können nun auch im
1240. Hauptverzeichnis erkannt werden !
1241. Allerdings halte ich es für sehr unwahrscheinlich, daß sie von den
1242. `BGS 9`-Viren auch im Hauptverzeichnis erzeugt werden !
1243. Deshalb wird im Ausgabetext auch nur das `DEVS`-Verzeichnis erwähnt;
1244. auch dann, wenn sie im Hauptverzeichnis gefunden wurden !
1245. Außerdem werden auch beide Viren im Speicher erkannt !
1246. Bisher war es so,daß die Viren der Gruppe `BGS9 I/II/Terrorists` nur
1247. durch das Vorhandensein einer bestimmten Resident-Struktur von
1248. `AntiCicloVir` im Speicher erkannt wurden !
1249. Doch das kann in der Vergangenheit zu vielen Verwechselungen mit
1250. Resident-Strukturen von seriösen Programmen geführt haben.
1251. Deshalb erkennt der `Linkviruskiller` die Viren nun direkt im
1252. Speicher und kann so auch zwischen den `BGS9`-Viren und dem
1253. `Terrorists`-Virus unterscheiden.
1254. Diese Erkennungsroutinen sind nun zu 100 % zuverlässig, so daß eine
1255. Verwechselung mit seriösen Programmen ausgeschlossen ist !
1256. Doch leider können die Viren `BGS 9` und `BGS 9 II` im Speicher
1257. nicht voneinander unterschieden werden !
1258. Sie sind nahezu identisch und unterscheiden sich nur in zwei Details
1259. voneinander !
1260. Zum Einen wurde ein Byte im unsichtbaren Namen des `BGS9`-Viruses auf
1261. der Diskette geändert und zum Anderen wurde ein Byte in der Kodierung
1262. des ASCII-Textes im Speicher geändert !
1263. Ich vermute, daß diese Änderungen nur vorgenommen wurden, um einen
1264. bestimmten Viruskiller zu täuschen !
1265. Die `BGS 9`-Viren funktionieren auch unter `KickStart 2.04` !
1266.  
1267.  
1268.  
1269.  
1270.  
1271.  
1272.  
1273.  
1274.  
1275.  
1276.  
1277.                        `Bret Hawnes`
1278.  
1279. Dieses 2608 Bytes große `Filevirus` tarnt sich als unsichtbares Programm
1280. im Hauptverzeichnis jeder infizierten Diskette und schreibt seinen
1281. Aufruf in die `s/startup-sequence` !
1282. Somit hat das `Bret Hawnes`-Virus gewisse Ähnlichkeiten mit den `Revenge
1283. of the Lamer Exterminator`-Viren, obwohl ich schreiben muß, daß diese
1284. weit aus professioneller programmiert worden sind !
1285. Es steht als unsichtbare Datei auf der Diskette, die dem Hexadezimal-Wert:
1286. $C0A0E0A0C0 entspricht !
1287. Dieses `Filevirus` kopiert sich absolut nach $7F000 in den Speicher und
1288. setzt KickTagPtr * & KickCheckSum * auf sein Resetprogramm.
1289. Der `Interrupt`-Vektor 3 wird auf eine eigene Adresse für die Textausgabe
1290. verbogen.
1291. Während des Reset werden auch noch die Vektoren OpenLibrary () ( Vermehrung )
1292. und SumKickData ( Überwachen der `Kick`-Vektoren ) verbogen und wieder
1293. auf`s ROM gesetzt.
1294. Nach neun Vermehrungen zerstört dieses Virus Disketten !
1295. Sind zwanzig Minuten vergangen, so wird folgender Text ausgegeben:
1296.  
1297. `GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN
1298.  I`VE TAKEN THE CONTROL OVER YOUR AMIGA !!!
1299.  THERE IS ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! `
1300.  
1301. Das Virus löscht den Zeiger CoolCapture * 
1302. `AntiCicloVir V1.6` erkennt das Virus auf der Diskette und löscht es !
1303. Im Speicher löscht es die Zeiger KickTagPtr * und KickCheckSum * 
1304. und `Interrupt 3` !
1305.  
1306.  
1307.  
1308.  
1309.  
1310.  
1311.  
1312.  
1313.  
1314.                              `CCCP`
1315.  
1316. Das `CCCP`-Virus,mit einer Länge von 1044 Bytes, war das erste, 
1317. welches sich sowohl als `Bootblock`- als auch als `Linkvirus` 
1318. weiterkopieren konnte !
1319. Es kopiert sich nach jedem Reset in den `Bootblock` nicht schreibgeschützter
1320. Disketten und schreibt sich als `Hunk` in das erste ausführbare
1321. Programm, das es im `Rootblock` findet !
1322. Im Speicher setzt es den `CoolCapture`-Vektoren auf seine eigene Adresse
1323. und verbiegt den `Interrupt-3`-Vektoren auf eine eigene Interrupt-Struktur.
1324. Diese Interrupt-Struktur überwacht nun 50 (!) mal in der Sekunde den
1325. `CoolCapture`-Vektoren und schreibt die viruseigene Adresse dort wieder
1326. hinein, sobald sie gelöscht wurde.
1327. Einmaliges Löschen des `CoolCapture`-Vektoren reicht also nicht aus, um
1328. die Reset-Routine des `CCCP`-Viruses zu entfernen !
1329. Vorher müßte unbedingt der `Interrupt-3`-Vektor auf die jeweilige ROM-
1330. Adresse wieder zurückgesetzt werden.
1331. Da diese leider bei allen `KickStart`-Versionen verschiedenen ist, tut
1332. `AntiCicloVir` lieber nicht an diesem Vektor herumspielen ...
1333. Mein Linkviruskiller kann das `CCCP`-Virus also nur im Speicher anzeigen
1334. und gibt in diesem Falle die Empfehlung aus, einen anderen Viruskiller
1335. zu benutzen oder den Amiga auszuschalten !
1336. Schäden richtet das `CCCP`-Virus keine an und ist sonst auch ziemlich
1337. unauffällig.
1338. Wer mit einem gewöhnlichem `Bootblock`-Viruskiller arbeitet, der das
1339. `CCCP`-Virus noch nicht erkennt, wird merken, daß es ziemlich hartnäckig
1340. ist !
1341. Zwar kann es immer am ASCII-Text `CCCP.VIRUS` im `Bootblock` erkannt und
1342. gelöscht werden, doch wird es einem arglosen Viruskiller wohl kaum gelingen,
1343. dieses Virus aus dem Speicher zu löschen, so daß es sich beim nächsten
1344. `Reboot` wieder auf die `desinfizierte` Diskette kopiert.
1345. Außerdem steht es ja immer noch als `Linkvirus` gut versteckt auf derselben
1346. Diskette, was eine weitere Begründung für die Hartnäckigkeit dieses
1347. Viruses wäre !
1348.  
1349.  
1350.  
1351.  
1352.  
1353.  
1354.  
1355.  
1356.  
1357.  
1358.  
1359.                        `Color(TURK V1.3)`
1360.  
1361.  
1362. Dieses Virus tarnt sich als simples `Grafik-Demo` auf einer Diskette,
1363. welches drei farbige Balken auf dunklem Hintergrund erzeugt !
1364. Es ist 2196 Bytes lang.
1365. Nachdem Sie sich dieses Demo angeschaut und das Programm beendet
1366. haben, wird das `Color`-Virus ab $70000 und das `TURK V1.3`-Bootblock-
1367. Virus ab $7F000 im Speicher installiert !
1368. Der DoIO ()-Vektor wird auf die Adresse des `Color`-Viruses im Speicher
1369. und der CoolCapture *-Vektor auf eine scheinbar sinnlose Adresse
1370. verbogen !
1371. Bei jedem Diskettenwechsel schreibt das `Color`-Virus den Virus-Bootblock
1372. `TURK V1.3` auf die betroffene Diskette !
1373. `Color` selbt kann sich nicht weiterkopieren !
1374. Nachdem dieses Programm im Speicher stand, hat es übrigens sinnlos einen
1375. Speicherbereich von 60 - 80 kB belegt !
1376. Wenn Ihnen dieses Grafik-Demo mal auf einer Diskette begegnet, dann
1377. sollten Sie nach dem Erscheinen des DOS-Fensters NICHT gleich die rechte
1378. Maustaste drücken, um das Demo zu beenden, sondern sich es kurz
1379. anschauen und dann abbrechen !
1380. Wegen eines Programmierfehlers ( ??? ) wird bei einem Abbruch vorm
1381. Starten des `Demos`, nämlich nicht das Fenster und womöglich auch
1382. keine Systembibliothek geschlossen !
1383. Das dürfte bei nachfolgenden Programmen dann zu Fehler-Meldungen führen !
1384. Bei einem Reset stürzt der Rechner allerdings ab, da der Wert im
1385. CoolCapture *-Vektoren auf eine Adresse zeigt, die weder die des
1386. `Color`- noch die des `TURK`-Viruses ist.
1387. Ich habe aber gelesen, daß dies wohl absichtlich so sein soll.
1388. `AntiCicloVir_V1.6` erkennt das `Color`-Virus nachdem es aktiviert
1389. wurde im Speicher, warnt Sie und löscht es.
1390. Auf der Diskette sucht der Linkviruskiller nur nach einem Programm
1391. mit dem Namen `Color` im `c`- oder Hauptverzeichnis !
1392. Wenn `AntiCicloVir` ein derartiges Programm gefunden hat, dann
1393. analysiert er es und warnt Sie im Falle des `Color`-Viruses !
1394. Allerdings ist es sehr unwahrscheinlich, daß dieses Programm auf
1395. allen Disketten unter dem Namen `Color` in den o.g. Verzeichnissen
1396. abgespeichert wurde !
1397. Deshalb empfiehlt es sich, ein verdächtiges Grafik-Demo selbst oder vom
1398. Linkviruskiller zu analysieren lassen, indem man es in`s Hauptverzeichnis
1399. unter dem Namen `Color` kopiert !
1400.  
1401.  
1402.  
1403.  
1404.  
1405.  
1406.  
1407.  
1408.  
1409.  
1410.  
1411.  
1412.  
1413.  
1414.  
1415.  
1416.  
1417.  
1418.  
1419.                        `CompuPhagozyte 1+2`
1420.  
1421. Die beiden `CompuPhagozyte`-Viren sind `Fileviren`, die sich selbst als
1422. `Viruskiller` tarnen !
1423. Das `CompuPhagozyte`-Virus tarnt sich als `Virus-Checker V4.0` mit einer
1424. Bytelänge von 1452 Bytes und das `CompuPhagozyte_2`-Virus tarnt sich
1425. als `VirusX 5.0` mit einer Bytelänge von 1148 Bytes !
1426. Beide Programme verbiegen keine Vektoren !
1427. Sie stehen immer im Verzeichnis `c` unter den Namen `Virus-Checker` oder
1428. `VirusX` !
1429. Werden Sie von einem unwissenden Anwender gestartet, um beispielsweise
1430. Disketten auf Viren zu untersuchen, dann kopieren die Programme zuerst
1431. eine Datei unter ihrem Namen aus dem `c`-Verzeichnis in den Speicher
1432. ab der Stelle $7C000 !
1433. Wird nun bei einem aktiviertem `Viruskiller` dieser Art eine neue Diskette
1434. zum Checken eingelegt, dann schreibt das Virus seinen eigenen Maschinen-
1435. sprachekodex aus dem Speicher in eine Datei in`s `c`-Verzeichnis unter
1436. dem Tarnnamen des Viruses !
1437. Wird mal eine Diskette eingelegt, auf der sich kein `c`-Verzeichnis befindet,
1438. dann starten die Viren eine Zerstörungsroutine !
1439. Die Diskette, die diese Routine ausgelöst hat, bleibt relativ verschont,
1440. da auf ihr nur ein paar Daten abgespeichert werden, die allerdings keinen
1441. Schaden anzurichten scheinen !
1442. Jede nachfolgende eingelegte Diskette wird jedoch komplett zerstört:
1443. `DF0:BAD` !!!
1444. `AntiCicloVir V1.6` erkennt diese Viren auf der Diskette und löscht sie.
1445. Auch im Speicher kann `AntiCicloVir V1.6` erkennen, ob diese Viren vor
1446. einiger Zeit aktiviert wurden und Sie warnen !
1447.  
1448.           
1449.  
1450.  
1451.  
1452.  
1453.  
1454.  
1455.  
1456.  
1457.  
1458.  
1459.  
1460.                           `COMPUPhagozyte II`
1461.  
1462. Dieses 568 Bytes große `Filevirus` tarnt sich als CLI-Befehl `cls` auf
1463. Disketten !
1464. Im Gegensatz zu üblichen `cls`-Befehlen löscht es den Bildschirm nicht
1465. über eine spezielle ROM-Routine, sondern durch 30 Returncodes !
1466. Es steht resetfest ab $7C000 über CoolCapture * im Speicher und verbiegt
1467. keine weiteren Vektoren !
1468. Dieses Virus ist wahrscheinlich das harmloseste in meiner ganzen Sammlung.
1469. Denn es kopiert sich nicht weiter, richtet keine Schäden an und gibt
1470. auch keine Texte aus.
1471. Es werden lediglich einige Reset-Vektoren gelöscht.
1472. Sonst passiert nichts.
1473. Also ein sehr harmloser Parasit !
1474. `AntiCicloVir V1.6` sucht im Verzeichnis `c` und im Hauptverzeichnis
1475. nach diesem Virus und kann es auch im Speicher erkennen und löschen.
1476.  
1477.  
1478.  
1479.  
1480.  
1481.  
1482.                           `DAG Creator`
1483.  
1484.  
1485. Dieses 7000 Bytes große Programm ist eigentlich kein Virus !
1486. Hierbei handelt es sich viemehr um einen `Virusmaker`, der jedem
1487. Anwender klar zu verstehen gibt, wozu er programmiert wurde !
1488. Das Programm kopiert sich also nicht heimlich weiter und zerstört auch
1489. keine Disketten !
1490. Es erzeugt auf Wunsch auf der Diskette im Laufwerk `DF1` ein `Bootblock`-
1491. Virus namens `DAG`.
1492. Dieses `Bootblock`-Virus ist allerdings eine äußerst primitive `SCA`-
1493. Mutation, bei der nicht einmal der `SCA`-Text komplett entfernt wurde.
1494. Lesen Sie hierzu auch bitte das Kapitel `DAG` aus Anhang B !
1495. `AntiCicloVir V1.6` löscht den `DAG Creator`, falls er ihn unter seinem
1496. Namen im `c`- oder Hauptverzeichnis antrifft !
1497.   
1498.  
1499.  
1500.  
1501.  
1502.  
1503.  
1504.  
1505.  
1506.                        `DISASTER-MASTER V2`
1507.  
1508.  
1509. Dieses 1740 Bytes große Virus tarnt sich als `Clear Screen`-Befehl
1510. unter dem Namen `cls` im `c`-Verzeichnis und schreibt einen eigenen
1511. Aufruf in die `s/startup-sequence`: `cls *` !
1512. Das Virus kann entweder von einem unwissenden Anwender aktiviert werden,
1513. der es aus dem `c`-Verzeichnis als `cls` startet !
1514. Dabei wird der Bildschirm gelöscht und das Virus in den Speicher kopiert.
1515. Wenn es von der `startup-sequence` aus gestartet wird, dann benutzt es
1516. die Option `*`.
1517. Dabei wird der sichtbare Bildschirm nicht gelöscht und das Virus
1518. bleibt so unbemerkt und kann sich in den Speicher kopieren !
1519. Im Speicher setzt das `Filevirus` die Vektoren KickTagPtr * & 
1520. KickCheckSum * auf seine Adresse.
1521. Während des Reset wird auch noch der DoIO ()-Vektor zum Weiterkopieren
1522. verbogen und anschließend wieder auf`s ROM gesetzt.
1523. So ist es nach jedem Reset aktiv und kopiert sich als `cls` in`s
1524. `c`-Verzeichnis neuer Disketten und schreibt den Befehl `cls *` in
1525. die `s/startup-sequence` !
1526. Bei diesem Virus handelt es sich um einen harmlosen Parasiten, der
1527. keine Schäden anrichtet, sondern sich nur weiterkopiert !
1528. Dieses Virus wird auch vom `T.C.R. Intromaker` erzeugt, der in
1529. einigen PD-Serien erschienen ist !
1530. `AntiCicloVir_V1.6` kann dieses Virus von der Diskette und aus
1531. dem Speicher löschen, sobald es es erkannt hat !
1532. Wenn sich dieses Virus im Speicher befindet, kann manchmal die
1533. `AmigaDOS`-Anzeige am linken oberem Bildschirmrand verschwinden !
1534. Dieses Virus scheint aber noch ein paar `Gag`s mehr `drauf zu haben,
1535. als ich in meiner letzten Dokumtation beschrieben habe !
1536. So kann es beispielsweise nach dem `Booten` von der `Systemdiskette`,
1537. das übliche `AmigaDOS`-Fenster in einen `Screen` umwandeln, wie man
1538. ihn beispielsweise von der `Workbench`-Oberfläche oder einigen 
1539. `Textanzeigeprogrammen` her kennt !
1540. Das `Disaster Master V2`-Virus kann auch eine `Guru-Meditation` aus-
1541. lösen, wobei die Fehlernr. dem Herstellungsdatum dieses Viruses
1542. entspricht !
1543. Bei dieser Fehlermeldung gibt sich dieses Virus bekannt und bietet
1544. die Möglichkeit sich selbst zu löschen an !
1545.  
1546.  
1547.  
1548.  
1549.  
1550.  
1551.  
1552.  
1553.  
1554.  
1555.  
1556.  
1557.  
1558.                          `Disktroyer V1.0`
1559.  
1560. Dieses 804 Bytes große `Filevirus` tarnt sich als `Clear Screen`-Befehl
1561. auf jeder Diskette: `cls` !
1562. Wird es beispielsweise von der `s/startup-sequence` aktiviert, so verbiegt
1563. es den Vektoren der `AllocMem`-Routine auf eine eigene Routine !
1564. Jedesmal wenn ein Programm versucht mit dieser Routine freien Speicher
1565. für eigene Zwecke zu allokieren, so wird automatisch das Virus
1566. aktiviert !
1567. Das `Disktroyer V1.0`-Virus überprüft dann sofort den Schreibschutz
1568. aller Disketten in allen angeschlossenen Laufwerken !
1569. Sind die Disketten nicht geschützt, dann werden von ihnen alle Daten
1570. gelöscht und die Disketten sind zerstört !
1571. Anschließend wird eine `Alert`-Meldung ausgegeben !
1572. Das `Disktroyer V1.0`-Virus kann sich selbst nicht weiterkopieren und
1573. verbiegt außer dem `AllocMem`-Vektor keine weiteren Zeiger und ist
1574. auch nicht resetfest !
1575. Es ist sogar sehr wahrscheinlich, daß sich das Virus selbst zerstört,
1576. wenn ein nachfolgendes Programm auf derselben Diskette die `AllocMem`-
1577. Routine benutzt !
1578. `AntiCicloVir V1.6` kann dieses Virus als `cls`-Befehl erkennen und
1579. löscht es von der Diskette !
1580. Im Speicher wird es bisher noch nicht erkannt !
1581.  
1582.  
1583.  
1584.  
1585.  
1586.  
1587.  
1588.  
1589.  
1590.  
1591.  
1592.                              `Golden Rider`
1593.  
1594.  
1595. Das `Golden Rider`-Virus ist das zweite `echte Linkvirus` in meiner
1596. Dokumentation !
1597. Dieses Virus steht immer ab $7C000 über CoolCapture * resetfest im
1598. Speicher !
1599. Es verbiegt ansonsten noch die Vektoren DoIO () und Open () aus der `dos.
1600. library` !
1601. Dieses `Linkvirus` funktioniert, meiner Meinung nach anders, als übliche
1602. Linkviren !
1603. Während Linkviren wie `CCCP` oder `Smily Cancer` beispielsweise ein
1604. eigenen `Hunk` in ein infiziertes Programm schreiben und diesen in dessen
1605. `Hunk`-Tabelle eintragen, kopiert sich das `Golden Rider`-Virus selbst
1606. in den ersten Programm-`Hunk` !
1607. Dadurch kann man es nicht mehr über die `Hunk`-Tabelle erkennen, sondern
1608. muß den kompletten ersten `Hunk` eines Programmes auf dieses Virus
1609. checken !
1610. Das Virus ersetzt einfach den Befehl `RTS` am Ende des ersten `Hunk`s
1611. durch `NOP` und kopiert sich selbst dann hinter diese Stelle.
1612. Dadurch wird beim Beenden des ersten `Hunk`s nicht in die aufrufende
1613. Ebene zurückgesprungen, sondern nur der Programmzähler erhöht und
1614. anschließend das Virusprogramm ausgeführt !
1615. Das Virus zerstört keine Disketten und gibt auch keine Meldetexte aus.
1616. Momentan wird es von `AntiCicloVir V1.6` auch nur im Speicher erkannt.
1617. Dieses Virus ist ohnehin schwerer zu erkennen als andere Linkviren.
1618. Allerdings ist der Text: `>>> Golden Rider <<< by ABT` immer am Ende
1619. des ersten `Hunk`s lesbar !
1620.  
1621.  
1622.  
1623.  
1624.  
1625.  
1626.  
1627.                           `Gotcha Lamer`
1628.  
1629. Das `Gotcha Lamer`-Virus scheint so eine Art Festplatten-Virus zu sein.
1630. Denn dieses, nur 372 Bytes große Virus, kopiert sich nur in einige `CLI`-
1631. Befehle im `c`-Verzeichnis der Festplatte !
1632. Ein `Reptil` namens `MINIDEMO.EXE` gilt als Erzeugerprogramm dieses `Link-
1633. viruses` !
1634. Nach seinem Aufruf wurde unter meinem `Amiga KickStart V1.2` zwar kein
1635. Demo erzeugt, dafür aber hat das Programm versucht das `Gotcha Lamer`-
1636. Virus nach: `dh0:c/dir`,`dh0:c/run`,`dh0:c/cd` und `dh0:c/execute` zu
1637. kopieren !
1638. Im Speicher verbiegt das `Gotcha Lamer`-Virus den DoIO ()-Vektoren auf seine
1639. eigene Adresse.
1640. Es selbst kopiert sich allerdings nicht in weitere Programme !!!
1641. Dafür kann es allerdings eine Zerstörungsroutine starten, wobei es auch den
1642. Text: `HAHAHE ... Gotcha LAMER !!!` ausgibt !
1643. `AntiCicloVir V1.6` beinhaltet keine Routine zum Checken der Festplatte,
1644. weshalb das `Gotcha Lamer`-Virus dort nicht erkannt wird.
1645. Im Speicher wird das `Gotcha LAMER`-Virus erkannt und gelöscht.
1646. Dafür wird aber das Erzeugerprogramm `MINIDEMO.EXE` im Haupt- oder `c`-
1647. Verzeichnis erkannt und gelöscht, wenn es unter diesem Namen abgespeichert 
1648. wurde.
1649.  
1650.  
1651.  
1652.  
1653.  
1654.  
1655.  
1656.  
1657.  
1658.  
1659.                              `IRQ`
1660.  
1661. Dieses 1096 Bytes große `Linkvirus`, gilt als das älteste und erste `Amiga-
1662. Linkvirus`.
1663. Es kopiert sich als `Hunk` entweder in das erste ausführbare Programm aus
1664. der `s/startup-sequence` oder es infiziert den `CLI`-Befehl `dir`, falls
1665. es kein anderes ausführbares Programm gefunden hat !
1666. Um resetfest zu bleiben setzt es die Zeiger KickTagPtr * & KickCheckSum *
1667. auf seine Adresse im Speicher.
1668. Zum Weiterkopieren wird der Vektor der Routine OldOpenLibrary () verbogen.
1669. Die `OldOpenLibrary`-Routine entstammt dem `KickStart V1.0` und sollte von
1670. neueren Programmen nicht mehr verwendet werden, da es mittlerweile eine
1671. bessere Routine namens OpenLibrary () gibt !
1672. Die `OldOpenLibrary`-Routine wurde unter den neuen Betriebssystem-Versionen
1673. nur deshalb erhalten, damit ältere Programme auf den neueren Amiga-Modellen
1674. auch noch laufen !
1675. Die `OpenLibrary`-Routinen werden von Programmen benutzt, um die System-
1676. bibliotheken zu öffnen !
1677. Denn sämtliche für Programme wichtige Routinen, sind schon im Betriebssystem
1678. enthalten und können somit von Programmen genutzt werden !
1679. Das `IRQ`-Virus richtet keine Schäden an, kann aber durch Texte in der
1680. Fensterleiste wie folgende recht nerven: `AmigaDOS presents a new virus by
1681. the IRQ-Team V41.0`.
1682. AntiCicloVir V1.6 kann dieses `Linkvirus` noch nicht auf der Diskette er-
1683. kennen.
1684. Dafür wird es aber im Speicher erkannt und gelöscht.
1685.  
1686.  
1687.  
1688.  
1689.  
1690.  
1691.  
1692.  
1693.  
1694.  
1695.  
1696.  
1697.  
1698.  
1699.  
1700.                        `JEFF Butonic V3.10`
1701.  
1702. Dieses 2916 Bytes große `Filevirus` kopiert sich unter einem unsichtbaren
1703. Namen, der in hexadezimal dem Wert $A0A0A0 entspricht, weiter !
1704. Damit funktioniert es ähnlich wie die `Fileviren` `Revenge Of The LAMER
1705. Exterminator` und `Bret Hawnes` !
1706. Außer seinen Namen schreibt dieses Virus auch noch einen Maschinensprache-
1707. befehl in die `s/startup-sequence`, so daß ein Editieren mit dem `CLI`-Befehl
1708. `ed` unmöglich ist ( `File contains binary !` ) !
1709. Sobald das `Filevirus` von der `s/startup-sequence` aus gestartet wurde,
1710. kopiert es sich in den Speicher und setzt die Zeiger KickTagPtr * und
1711. KickCheckSum * auf sein Resetprogramm !
1712. Außerdem wird noch der Vektor DoIO () verbogen, welcher jede eingelegte
1713. Diskette auf Schreibschutz überprüft und das Virus ansonsten `drauf-
1714. kopiert.
1715. Dieser Vektor überwacht auch die `Kick`-Vektoren und setzt sie nach
1716. jedem Löschen wieder neu, so daß auch DoIO () auf`s ROM gesetzt
1717. werden sollte, wenn das Virus aus dem Speicher entfernt wird !
1718. `AntiCicloVir` löscht das `Filevirus` im Speicher, falls es es gefunden
1719. hat. 
1720. Auf der Diskette erkennt `AntiCicloVir V1.6` ebenfalls das `JEFF Butonic`-Virus
1721. V3.10 und löscht auch den Aufruf aus der `s/startup-sequence` !
1722. Das `JEFF Butonic`-Virus V3.10 zerstört keine Disketten.
1723. Es wird auch von einem Programm namens `*JEFF*VIRUSKILLER` erzeugt !
1724.  
1725.  
1726.  
1727.  
1728.                             `SADDAM`
1729.  
1730.  
1731. Dieses 1848 Bytes große Virus tarnt sich als `Disk-Validator` im Verzeichnis
1732. `L` auf infizierten Disketten !
1733. Jede mit einem `SADDAM`-Virus infizierte Diskette hat einen
1734. `Disk-Validating Error`,den das `SADDAM`-Virus selbst angelegt hat.
1735. Dieses `Filevirus` ist das erste, welches sich unter AmigaDOS selbst
1736. aufrufen kann, ohne daß es vom Anwender durch Booten oder Starten eines
1737. verseuchten Programmes etwa aktiviert  wurde !!!!!!
1738. Das Einlegen, einer mit einem `SADDAM`-Virus infizierten Diskette, reicht
1739. aus, damit sich das Virus in den Speicher kopieren kann !
1740. Es simuliert einen echten `Disk-Validator` und hat auch diesselbe Größe
1741. des Original-`Disk-Validators`, doch im Gegensatz zu diesem, ist es
1742. bis auf das Wort `BitMap CheckSum Error` total kodiert und kann so
1743. von Anfängern schwer unterschieden werden !
1744. Es kopiert sich auf jede nicht schreibgeschützte Diskette im Laufwerk
1745. `DF0:` als `Disk-Validator` !
1746. Wenn es kein `L`-Verzeichnis auf einer Diskette findet, dann kann es
1747. dieses Verzeichnis selbst anlegen !
1748. Bei bereits vorhandenem `Disk-Validator`, kopiert sich das Virus einfach
1749. `drüber !!
1750. Der `Disk-Validator` ist eine Art `externe Betriebssystem-Routine`,die
1751. von `AmigaDOS` immer dann aufgerufen wird, wenn es auf eine Diskette
1752. mit ungültiger `BAM` ( `Block Allocation Map` ) trifft !
1753. In der `BAM` jeder Diskette steht zum Beispiel wieviele und welche
1754. Blöcke schon belegt sind.
1755. Ist diese `BAM` ungültig, so hat die Diskette einen `Disk-Validating Error`
1756. und das Betriebssystem muß mit Hilfe einer Routine die entsprechenden
1757. Block-Angaben selbst herausfinden !
1758. Diese Routine ist der `Disk-Validator` im Verzeichnis `L` !
1759. Mit dessen Hilfe wird herausgefunden, wieviele und welche Blöcke
1760. einer Diskette schon belegt sind.
1761. Das `SADDAM`-Virus beinhaltet ebenfalls die Routine eines `Disk-Validators`
1762. und wird auch vom Betriebssystem bei ungültiger `BAM` aufgerufen.
1763. Dieses Virus legt auf jeder Diskette, auf der es sich kopiert, einen
1764. Fehler in der `BAM` an, der das Betriebssystem später ständig beim
1765. Einlegen dieser Diskette zwingen wird, den `L/Disk-Validator`, also das
1766. `SADDAM`-Virus zu starten !
1767. Das `SADDAM`-Virus setzt den Zeiger ColdCapture * auf seine Speicher-
1768. adresse und kann so auch unter `KickStart 1.3` ohne `SetPatch r` laufen !
1769. Außerdem werden verbogen Begin IO (), Close (trackdisk.device) & Raster-
1770. beam !
1771. Es ist nach jedem Reset und nach jedem Diskettenwechsel aktiv und
1772. kopiert sich auf die aktuelle Diskette !
1773. Das `SADDAM`-Virus zerstört die Disketten, indem es nach einiger Zeit
1774. einige Blöcke in `IRAK` umbenennt und deren Inhalt mit einem bestimmten
1775. Wert kodiert !
1776. Diese kodierten Datenblöcke werden von AmigaDOS nicht mehr anerkannt
1777. und lösen so `Read/Write Errors` aus !
1778. Mir ist aufgefallen, daß sich das `SADDAM`-Virus nicht auf Disketten
1779. kopieren kann, wenn man ihnen die Namen `DF1`,`DF2` oder `DF3` gibt !!!
1780. `AntiCicloVir_V1.6` kann das `SADDAM`-Virus jetzt aus dem Speicher
1781. löschen, bloß ob dies immer ohne `GURU` abläuft wage ich nicht zu
1782. garantieren ...
1783. Auf der Diskette erkennt `AntiCicloVir_V1.6` das `SADDAM`-Virus, warnt Sie
1784. und löscht es !
1785. Da die Gefahr besteht, daß sich schon beim Durchchecken Ihrer Sammlung,
1786. ein mögliches `SADDAM`-Virus in den Speicher kopiert, empfiehlt es
1787. sich, zuerst alle Disketten mit aktiviertem Schreibschutz zu testen !
1788. Anschließend sollten die mit einem `SADDAM`-Virus infizierten Disketten
1789. aussortiert und der Amiga ausgeschaltet werden.
1790. Danach können Sie den Amiga wieder einschalten und mit `AntiCicloVir`
1791. die `SADDAM`-Viren von den befallenen Disketten löschen !
1792. Zwar kopiert sich das Virus wieder in den Speicher, aber dafür wird
1793. es nur beim Diskettenwechsel aktiv !
1794. Wenn das `SADDAM`-Virus von einer infizierten Diskette gelöscht wurde,
1795. kopiert es sich erst wieder auf diese, wenn sie zum zweiten Mal einge-
1796. legt wird ( und das sollten Sie vermeiden !!! ) !
1797. Nachdem Sie alle Disketten vom `SADDAM`-Virus befreit haben, werden Sie
1798. merken, daß alle einen `Disk-Validating Error` haben, an dem aber nicht
1799. `AntiCicloVir_V1.6`, sondern das Virus schuld ist.
1800. Gewiß kann man in komplizierter Weise diesen Fehler auch mit einem
1801. Diskettenmonitor entfernen, aber es geht auch viel einfacher mit Hilfe
1802. des Betriebssystems !
1803. Dieser `Disk-Validating Error` ist zwar harmlos, aber lästig, da man
1804. auf derartigen Disketten keine Programme oder Dateien mehr abspeichern
1805. kann !
1806. Legen Sie also einfach die `Workbench`-Diskette ein, auf der sich
1807. hoffentlich der echte `Disk-Validator` befindet und booten Sie von
1808. ihr !
1809. Nachdem Sie sich im `CLI` und die `CLI`-Befehle im `RAM` befinden,
1810. sollten Sie nun eine Diskette mit dem `Disk-Validating Error` einlegen !
1811. Daraufhin wird das Betriebssystem den `Disk-Validating Error` melden
1812. und nach der `Workbench`-Diskette verlangen, auf der sich ja der
1813. `Disk-Validator` befindet.
1814. Mit Hilfe dieses `Disk-Validator`s` werden nun die Anzahl und Adressen
1815. der belegten Blöcke auf der fehlerhaften Diskette in den Speicher
1816. kopiert und somit ist die Diskette für AmigaDOS vorerst wieder gültig.
1817. Jetzt können Sie vorläufig wieder Schreibzugriffe auf diese Diskette
1818. ausüben und das sollten Sie auch tun !
1819. Denn bei jedem Schreibzugriff auf einer Diskette, wird eine neue gültige
1820. `BAM` angelegt und die Diskette hat somit keinen `Disk-Validating Error`
1821. mehr !!!
1822. Löschen Sie nun also irgendeine unwichtige oder schreiben Sie eine
1823. wichtige Datei auf diese Disk, damit die `BAM` wieder stimmt !!
1824. Sie können beispielsweise `.info` löschen !
1825.  
1826. Schwieriger ist es mit den Disketten, auf denen das `SADDAM`-Virus
1827. schon einzelne Datenblöcke kodiert hat !
1828. Wenn Sie die vorerst verloren gegangenen Daten nicht mehr brauchen,
1829. mit der Diskette aber sinnvoll weiterarbeiten wollen, dann können
1830. Sie auch das Programm `DiskDoctor` benutzen, um die `Read/Write Errors`
1831. zu beseitigen !
1832. Lesen Sie dazu bitte auch das `AmigaDOS-Handbuch` von `Commodore` !
1833.  
1834. Es gibt übrigens noch ein zweites Virus, welches sich als `L/Disk-Validator`
1835. tarnt : `Return of the Lamer Exterminator`
1836. Ich möchte aber schon jetzt um die Zusendung aller weiteren, von mir
1837. nicht erwähnten Viren, die sich hinter dem Namen `Disk-Validator`
1838. verbergen, bitten !!
1839. Außerdem bin ich auch an allen weiteren harmlosen `Disk-Validatoren`
1840. interessiert !!
1841.  
1842. Beim Testen der `Disk-Validator`-Viren `Return of the Lamer Exterminator`
1843. und `SADDAM` sind mir folgende Gemeinsamkeiten zwischen beiden Viren
1844. aufgefallen, die ich Ihnen nicht vorenthalten möchte :
1845.  
1846. 1. Beide Viren ( `Return of the Lamer Exterminator` und `SADDAM` ) werden
1847.    von `VirusX 4.00` mit dem `Bootblock`-Virus `Australian Parasite`
1848.    verwechselt !
1849.  
1850. 2. Beide Viren haben den kodierten ASCII-Text nahezu an der selben
1851.    Stelle im Programm !
1852.  
1853. 3. Beide Viren lösen nach dem ersten CLI-Aufruf einen Systemstillstand
1854.    aus.
1855.  
1856. 4. Beide Viren benutzen die gleiche finale Zerstörungsroutine, zum
1857.    Löschen der Daten auf allen eingelegten Disketten, mit anschließender
1858.    `Alert`-Meldung !
1859.  
1860. 5. Außer den Reset-Vektoren benutzen die Viren ansonsten gleiche
1861.    Systemadressen .
1862.  
1863.  
1864. Das `SADDAM`-Virus wurde mir von Gregory Sapsford ,Fohlenkamp 33,
1865. W-4600 Dortmund 13 zugesandt !
1866.  
1867.  
1868.  
1869.  
1870.  
1871.  
1872.  
1873.  
1874.  
1875.  
1876.  
1877.  
1878.  
1879.  
1880.                          `Smily Cancer I+II`
1881.  
1882.  
1883. Das `Smily Cancer`-Virus mit einer Bytelänge von 3916 Bytes,ist das erste
1884. `Linkvirus`, welches in dieser Dokumentation erwähnt wird !
1885. Es kopiert sich in`s jeweils erste Programm, welches von der `s/startup-
1886. sequence` aufgerufen wird !
1887. Es schreibt einen weiteren `Hunk`-Eintrag in die `Hunk-Tabelle` und setzt
1888. seinen Virus-eigenen `Hunk` an erster Stelle !
1889. So wird das Virus bei jedem Booten in den Speicher geladen !
1890. Hat sich das `Linkvirus` in den Speicher kopiert, so werden die Vektoren
1891. KickTagPtr * & KickCheckSum * auf das eigene Resetprogramm gesetzt und
1892. BeginIO () auf die Kopierroutine !
1893. Der Vektor SumKickData () wird auch noch verbogen, um beim Installieren
1894. eines fremden Resetprogrammes zu gewährleisten, daß `Smily Cancer` nicht
1895. gelöscht werden kann !
1896. Es wird beim Reset und beim Diskettenwechsel aktiv und kopiert sich so
1897. weiter !
1898. Nach 20 erfolgreichen Vermehrungen verändert sich der Mauszeiger in einen
1899. gelben Kopf ( Smily ) und es wird folgender Text ausgegeben 
1900. ( Achtung ! Mögliche Übertragungsfehler !  ):
1901.  
1902. `HI THERE !!! A NEW AGE IN VIRUS MAKING HAS BEGUN !
1903.  THANK TO US ... THANK TO: --- CENTURIONS ---
1904.  
1905.  AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME
1906.  OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE
1907.  CALLED : `THE SMILY CANCER`
1908.  HAVE FUN LOOKING FOR IT ...
1909.  AND STAY TUNED FOR OUR NEXT PRODUCTIONS.
1910.  CENTURIONS: THE FUTURE IS NEAR !`
1911.  
1912. `AntiCicloVir_V1.6` erkennt das `Smily Cancer`-Linkvirus leider noch
1913. nicht auf der Diskette, dafür aber im Speicher und löscht es !
1914. Nachdem Sie vor diesem Virus gewarnt worden sind, werden die Vektoren
1915. `KickTagPtr` und `KickCheckSum` und SumKickData () zurückgesetzt, 
1916. so daß das Virus nicht mehr resetfest ist ! 
1917. Allerdings kann es sich noch mittels des `BeginIO`-Vektoren weiterkopieren !
1918. Da ich keine Adressen verändern möchte, die bei allen `KickStart`-Versionen
1919. verschieden sind, setzt `AntiCicloVir` in diesem Falle nicht den
1920. `BeginIO`-Vektor zurück, sondern schreibt einen Maschinensprachebefehl im
1921. `Smily Cancer`-Virus so um, daß es zwar aktiv ist, sich aber nicht
1922. mehr weiterkopieren kann !
1923. Bei dem `Smily Cancer II`-Virus handelt es sich um ein 4676 Bytes großes
1924. `Filevirus`, welches sich als `CLI`-Befehl `loadwb` tarnt !
1925. Es führt die `LoadWB`-Routine aus und kopiert anschließend das alte
1926. `Smily Cancer`-Linkvirus in den Speicher !
1927. Das `Smily Cancer`-Linkvirus wurde ja auch schon von der alten Version
1928. erkannt !
1929. `AntiCicloVir V1.6` erkennt das `Smily Cancer II`-Virus auf der
1930. Diskette und löscht es.
1931. `Smily Cancer II` kann sich selbst nicht weiterkopieren ! ( siehe auch
1932. `Lamer LoadWB` oder `T.F.C. Revenge LoadWB` )
1933.  
1934.  
1935.  
1936.  
1937.  
1938.  
1939.  
1940.                           `Terrorists`
1941.  
1942. Das `Terrorists`-Virus ( 1612 Bytes ) wird wohl eine Mutation des
1943. alten `BGS 9`-Viruses sein (siehe `BGS 9`) !
1944. Dieses Virus steht als unsichtbares Programm im Hauptverzeichnis jeder
1945. infizierten Diskette und wird beim Booten über die `s/startup-sequence`
1946. aufgerufen !
1947. Um resetfest im Speicher zu stehen, verbiegt dieses Virus die Vektoren
1948. KickMemPtr *,KickTagPtr * und KickCheckSum * !
1949. Wie beim `BGS9`-Virus wird wohl auch hier nach dem Reset der Vektor
1950. OpenWindow () verbogen und nach Ablauf der Routine wieder auf`s ROM
1951. gesetzt !
1952. Es kopiert sich nur weiter und scheint keine weiteren Schäden anrichten
1953. zu können !
1954. Es ist jedoch ebenfalls lästig wie das `BGS 9`-Virus, da das Resetprogramm
1955. nach vier Resets`s folgenden Text ausgibt:
1956.  
1957. `THE NAME HAVE BEEN CHANGED TO PROTECT THE INNONCENT ...
1958.  THE TERRORISTS HAVE YOU UNDER CONTROL
1959.  EVERYTHING IS DESTROYED
1960.  YOUR SYSTEM IS INFECTED
1961.  THERE IS NO HOPE FOR BETTER TIMES
1962.  THE FIRST TERRORISTS VIRUS !!!`
1963.  
1964.  
1965. Dieses Virus kann von `AntiCicloVir_V1.6` jetzt auch im Speicher
1966. von den `BGS 9`-Viren unterschieden werden, da die Erkennungsroutine
1967. für die Viren der Gruppe `BGS9 I/II/Terrorists` ausgewechselt wurde !
1968. Auf der Diskette erkennt es `AntiCicloVir` auch und gibt eine entsprechende
1969. Meldung aus bevor es es löscht !
1970.  
1971.  
1972.  
1973.  
1974.  
1975.  
1976.                       `T.F.C. Revenge LoadWB`
1977.  
1978. Dieses 2804 Bytes große `Filevirus` tarnt sich auf der Diskette als
1979. `LoadWB`-Befehl und simuliert nach seinem Aufruf diesen Befehl !
1980. Es erzeugt im Speicher das `Bootblock`-Virus `T.F.C. Revenge` ( siehe
1981. Anhang B ) !
1982. Das `Bootblock`-Virus wird in zwei verschiedene Speicherbereiche kopiert !
1983. Einmal schreibt es das `Filevirus` nach $7F800 und anschließend nach
1984. $FF800 in den Speicher !
1985. Synchron hierzu werden die Vektoren KickTagPtr *,KickCheckSum *,DoIO (),
1986. sowie der Interrupt-Vektor für den Rasterstrahl verbogen - auf die
1987. Adressen des `Bootblock`-Viruses !
1988. `AntiCicloVir V1.6` erkennt das `T.F.C. Revenge LoadWB`-Virus auf der
1989. Diskette und löscht es !
1990. Auch das `Bootblock`-Virus `T.F.C. Revenge` wird erkannt.
1991. Näheres zur Verfahrensweise mit diesem Virus finden Sie im Anhang B !
1992. Lesen Sie auch die Dokumtationen zu `Lamer LoadWB` und `Smily Cancer II` !
1993.  
1994.  
1995.  
1996.  
1997.  
1998.  
1999.  
2000.  
2001.  
2002.                         `Traveling Jack`
2003.  
2004. Dieses `Linkvirus` verbiegt eine Adresse mit einem Offset von $2E oberhalb
2005. der `Dosbase`-Struktur, wobei es sich um einen `dos.library`-Vektoren
2006. handelt, der in`s ROM zeigt !
2007. `Traveling Jack` ist nicht resetfest, wird aber bei jedem Aufruf einer
2008. `dos.library`-Routine aktiv und versucht sich auf die Diskette zu kopieren.
2009. Dabei verrät es sich durch einen System-Requester:
2010.                       `disk is writeprotected`
2011. Das `Linkvirus` benutzt eine variable `Hunk`-Länge und erzeugt manchmal
2012. auch eine 198 Bytes große Datei auf der Diskette:
2013.                         `VIRUS.$xxxx`
2014. Sxxxx entspricht dabei einem Hexadezimalwert, der mit Hilfe des 
2015. `CIA-A`-Registers ermittelt wird !
2016. In dieser Datei ist dann zu lesen:
2017.  
2018.           `The Traveling Jack ...
2019.            I`m traveling from town to town looking for respect,
2020.            and all the girls I could lay down make me go erect.
2021.            - Jack, 21st of September 1990`
2022.  
2023. Bisher kann `AntiCicloVir` dieses `Linkvirus` nur im Speicher erkennen
2024. und entfernen, nicht aber auf der Diskette !
2025.  
2026.  
2027.  
2028.  
2029.  
2030.  
2031.                              `Anhang B`
2032.  
2033. In diesem Anhang werden nun noch einmal alle `Bootblock`-Viren beschrieben,
2034. die `AntiCicloVir V1.6` im Speicher erkennt !
2035. Bedenken Sie bitte, daß `AntiCicloVir` kein `Bootblock`-Viruskiller ist,
2036. sondern die `Bootblock`-Viren im Speicher nur löscht, weil sie lästig
2037. sein könnten beim Kontrollieren der Disketten auf `Linkviren` !
2038. Die `Bootblock`-Viren werden in Kurzform dokumentiert !
2039.  
2040.  
2041.  
2042.  
2043.  
2044.  
2045.  
2046.  
2047. Name         : `16 Bit Crew`
2048.  
2049. Resetvektoren: CoolCapture *
2050. Interrupts   : keine
2051. Vektoren für
2052. Bibliotheks-
2053. funktions-
2054. vektoren     : DoIO () (RESET)
2055. Schäden      :  keine
2056. Anmerkung    : Dieses Virus steht immer ab $7EC00 im Speicher !
2057.  
2058.  
2059.  
2060. Name         : `2001`
2061.  
2062. Resetvektoren: CoolCapture *
2063. Vektoren für
2064. Interrupts   : keine.
2065. Bibliotheks-
2066. funktions-
2067. vektoren     : DoIO () (RESET)
2068. Schäden      : keine
2069. Anmerkung    : Bei diesem Virus handelt es sich um einen der unendlich
2070.                vielen `SCA`-Mutanten !
2071.                Außer geändertem Text, wurde eine Routine so geändert, daß
2072.                nach jedem Reset, ohne Diskette im Laufwerk, eine `Guru 
2073.                Meditation` ausgelöst wird !
2074.  
2075.  
2076.  
2077. Name         : `AEK`
2078.  
2079. Resetvektoren: CoolCapture *
2080. Interrupts   : keine
2081. Bibliotheks-
2082. funktions-
2083. Vektoren     : DoIO () (RESET)
2084. Schäden      : keine.
2085. Anmerkung    : Dieses Virus ist ein schon ziemlich alter `SCA`-Mutant, bei dem
2086.                nur der ASCII-Text geändert wurde !
2087.  
2088.  
2089.  
2090.  
2091. Name         : `AIDS`
2092.  
2093. Resetvektoren: CoolCapture *
2094. Interrupts   : keine.
2095. Bibliotheks-
2096. funktions-
2097. vektoren     : DoIO () (RESET)
2098. Schäden      : keine
2099. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der Text geändert !
2100.  
2101.  
2102.  
2103.  
2104. Name         : `AIDS2`
2105.  
2106. Resetvektoren: CoolCapture *
2107. Interrupts   : keine.
2108. Bibliotheks-
2109. funktions-
2110. vektoren     : PutMsg ()
2111. Schäden      : mir sind keine bekannt.
2112. Anmerkung    : Bei diesem zweiten `AIDS`-Virus handelt es sich um eine
2113.                Mutation des `Bootblock`-Viruskillers `Vkill`, der ursprünglich
2114.                zum Löschen von `Bootblock`-Viren kreiert wurde.
2115.                Die Mutation namens `AIDS` kopiert sich nun, getarnt als
2116.                Viruskiller, auf jede Diskette und löscht so auch harmlose
2117.                `Boot-Intros` etc.
2118.                Da mir der original `Bootblock`-Viruskiller `VKill` noch nicht
2119.                vorliegt, kann es sein, daß `AntiCicloVir` diesen mit dem
2120.                `AIDS`-Virus verwechselt.
2121.                
2122.  
2123. Name         : `Alien New Beat V1.0`
2124.  
2125. Resetvektoren: ColdCapture *
2126.                CoolCapture *
2127. Interrupts   :
2128. Bibliotheks-
2129. funktions-
2130. vektoren     : DoIO ()
2131. Schäden      : Löscht `Bootblock`-Viren.
2132. Anmerkung    : Dieses `Bootblock`-Virus funktioniert nur bis `KickStart 1.2` !
2133.  
2134.  
2135.  
2136. Name         : `Amiga Freak`
2137.  
2138. Resetvektoren: KickTagPtr *
2139.                KickCheckSum *
2140. Interrupts   : keine
2141. Bibliotheks-
2142. funktions-
2143. vektoren     : BeginIO ()
2144. Schäden      : mir sind keine bekannt.
2145. Anmerkung    : Bei diesem Virus handelt es sich um einen `Forpib/Byte Bandit`-
2146.                Mutanten, bei dem nur der ASCII-Text geändert wurde !
2147.                
2148.  
2149.  
2150.  
2151. Name         : `Amiga Master`
2152.  
2153. Resetvektoren: CoolCapture *
2154. Interrupts   :
2155. Bibliotheks-
2156. funktions-
2157. vektoren     : DoIO () (RESET)
2158. Schäden      : keine.
2159. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgewechselt.
2160.  
2161.  
2162.  
2163.  
2164. Name         : `ASV V0.000123`
2165.  
2166. Resetvektoren: CoolCapture *
2167. Interrupts   :
2168. Bibliotheks-
2169. funktions-
2170. vektoren     : Forbid ()
2171. Schäden      : Dieses Virus verbiegt den Zeiger der `Forbid`-Routine auf
2172.                seine eigene Routine im Speicher, die `ChipMem` löscht !
2173. Anmerkung    : Das `ASV V0.000123`-Virus kopiert sich nicht weiter !
2174.  
2175.  
2176.  
2177.  
2178. Name         : `Australian Parasite`
2179.  
2180. Resetvektoren: CoolCapture *
2181. Interrupts   :
2182. Bibliotheks-
2183. funktions-
2184. vektoren     : DoIO ()
2185. Schäden      : Das `Australian Parasite`-Virus kann den Bildschirminhalt
2186.                verdrehen !
2187. Anmerkung    : ACHTUNG : `VirusX 4.00` verwechselt die Viren `Return of the
2188.                Lamer Exterminator` und `SADDAM` mit dem `Australian Parasite`-
2189.                Virus !!!
2190.  
2191.  
2192.  
2193. Name         : `Bamiga Sector One`
2194.  
2195. Resetvektoren: CoolCapture
2196. Interrupts   : keine.
2197. Bibliotheks-
2198. funktions-
2199. vektoren     : DoIO () (RESET)
2200. Schäden      : keine.
2201. Anmerkung    : Bei diesem `SCA`-Mutanten wurde lediglich der `ASCII`-Text
2202.                ausgetauscht.
2203.  
2204.  
2205. Name         : `Big Boss`
2206.  
2207. Resetvektoren: CoolCapture *
2208. Interrupts   : keine.
2209. Bibliotheks-
2210. funktions-
2211. vektoren     : DoIO () (RESET)
2212. Schäden      : keine.
2213. Anmerkung    : Bei diesem `SCA`-Mutanten wurde wieder einmal nur der
2214.                ASCII-Text ausgewechselt.
2215.  
2216.  
2217.  
2218. Name         : `Blackflash V2.0`
2219.  
2220. Resetvektoren: CoolCapture *
2221. Interrupts   : keine
2222. Bibliotheks-
2223. funktions-
2224. vektoren     : DoIO ()
2225. Schäden      : keine.
2226. Anmerkung    : keine.
2227.  
2228.  
2229.  
2230.  
2231. Name         : `Blade Runners`
2232.  
2233. Resetvektoren: CoolCapture *
2234. Interrupts   : keine.
2235. Bibliotheks-
2236. funktions-
2237. vektoren     : DoIO () (RESET)
2238. Schäden      : keine.
2239. Anmerkung    : Auch bei diesem `SCA`-Mutanten wurde nur der Text verändert ...
2240.  
2241.  
2242.  
2243.  
2244. Name         : `BLF`
2245.  
2246. Resetvektoren: CoolCapture *
2247. Interrupts   : keine.
2248. Bibliotheks-
2249. funktions-
2250. vektoren     : DoIO ()
2251.                BeginIO ()
2252. Schäden      : keine.
2253. Anmerkung    : keine.
2254.  
2255.  
2256.  
2257.  
2258. Name         : `BlizzPro V3.1`
2259.  
2260. Resetvektoren: CoolCapture *
2261. Interrupts   : keine.
2262. Bibliotheks-
2263. funktions-
2264. vektoren     : CloseDevice ()
2265. Schäden      : Dieses Programm löscht folgende `Bootblock`-Viren: `NORTH STAR`,
2266.                `BYTE BANDIT`,`BYTE WARRIOR`,`REVENGE`,`GADAFFI`,`LAMER EXTERMIN.` !
2267. Anmerkung    : Bei diesem Programm handelt es sich lediglich um einen `Bootblock`.
2268.                Viruskiller, der sich nur auf infizierte Disketten kopiert !
2269.  
2270.  
2271.  
2272.  
2273. Name         : `BlizzPro V3.3`
2274.  
2275. Resetvektoren: CoolCapture *
2276. Interrupts   : keine.
2277. Bibliotheks-
2278. funktions-
2279. vektoren     : CloseDevice ()
2280. Schäden      : wie `BlizzPro V3.1`
2281. Anmerkung    : Dieses Programm funktioniert in etwa ähnlich wie `BlizzPro V3.1` !
2282.  
2283.  
2284.  
2285.  
2286. Name         : `Blow Job`
2287.  
2288. Resetvektoren: KickTagPtr *
2289.                KickCheckSum *
2290. Interrupts   : Interrupt 3 für Textausgabe
2291. Bibliotheks-
2292. funktions-
2293. vektoren     : DoIO () (RESET)
2294. Schäden      : keine.
2295. Anmerkung    : Dieses Virus täuscht im `Bootblock` durch den Text: 
2296.                `Memory Allocator 3.01`.
2297.  
2298.  
2299.  
2300. Name         : `Butonic 1.1`
2301.  
2302. Resetvektoren: CoolCapture *
2303. Interrupts   : keine.
2304. Bibliotheks-
2305. funktions-
2306. vektoren     : DoIO () (RESET)
2307. Schäden      : keine.
2308. Anmerkung    : Immer wenn dieses Virus im Speicher steht und 
2309.                während des `Bootens` auf den Schreibschutz auf der einge-
2310.                legten Diskette trifft, gibt es folgenden Text auf blauem
2311.                Hintergrund aus : `Butonic 1.1 Greetings to Hackmack` !
2312.  
2313.  
2314.  
2315.         
2316. Name         : `Byte Bandit`
2317.  
2318. Resetvektoren: KickTagPtr *
2319.                KickCheckSum *
2320. Interrupts   : keine.
2321. Bibliotheks-
2322. funktions-
2323. vektoren     : BeginIO ()
2324. Schäden      : mir sind keine bekannt !
2325. Anmerkung    : keine.
2326.  
2327.  
2328.  
2329.  
2330. Name         : `Byte Bandit +`
2331.  
2332. Resetvektoren: KickTagPtr *
2333.                KickCheckSum *
2334. Interrupts   : keine.
2335. Bibliotheks-
2336. funktions-
2337. vektoren     : BeginIO ()
2338. Schäden      : Dieses neue `Byte Bandit`-Virus belegt sinnlos Speicherbereich,
2339.                so daß größere Programme nicht laufen.
2340. Anmerkung    : keine.
2341.  
2342.  
2343.  
2344.  
2345. Name         : `Byte Bandit 2`
2346.  
2347. Resetvektoren: KickTagPtr *
2348.                KickCheckSum *
2349. Interrupts   : keine.
2350. Bibliotheks-
2351. funktions-
2352. vektoren     : BeginIO ()
2353. Schäden      : Mir sind keine Schäden zu diesem Virus bekannt.
2354. Anmerkung    : Merkwürdigerweise ruft dieses `Byte Bandit`-Virus gleich zweimal
2355.                die `dos.library` auf !
2356.                
2357.  
2358.  
2359. Name         : `Byte Bandit turbo`
2360.  
2361. Resetvektoren: KickTagPtr *
2362.                KickCheckSum *
2363. Interrupts   : keine.
2364. Bibliotheks-
2365. funktions-
2366. vektoren     : BeginIO ()
2367. Schäden      : Zu diesem Virus sind mir keine Schäden bekannt !
2368. Anmerkung    : Dieses `Byte Bandit`-Virus ist kürzer als alle anderen
2369.                `Byte Bandit`-Viren, was darauf schließen läßt, daß einige
2370.                Routinen entfernt worden sind ( möglicherweise der `Copy-Counter )
2371.                .
2372.                Auf der Diskette, die mir Michael Flühler ( Knobelstr. 13, CH-
2373.                8855 Wangen ) zugesandt hatte, war dieses Virus als `Turbo-
2374.                Bootblock` getarnt !
2375.                Daher der Name.
2376.                Allerdings wird der Zusatz `turbo` nicht weiterkopiert.
2377.                
2378.  
2379. Name         : `Byte Voyager`
2380.  
2381. Resetvektoren: KickTagPtr *
2382.                KickCheckSum *
2383. Interrupts   : Interrupt 3
2384. Bibliotheks-
2385. funktions-
2386. vektoren     : DoIO ()
2387. Schäden      : Dieses `Bootblock`-Virus zerstört Disketten, indem es in
2388.                Block 880 schreibt: `Infected by BYTE VOYAGER !!!!!!` !
2389. Anmerkung    : keine.
2390.  
2391.  
2392.  
2393. Name         : `Byte Voyager II`
2394.  
2395. Resetvektoren: KickTagPtr *
2396.                KickCheckSum *
2397. Interrupts   : Interrupt 3
2398. Bibliotheks-
2399. funktions-
2400. vektoren     : DoIO ()
2401. Schäden      : Auch das `Byte Voyager`-Virus II zerstört Disketten dadurch, daß
2402.                es in Block 880 schreibt: `Another Virus by Byte Voyager` !
2403. Anmerkung    : keine.
2404.  
2405.  
2406.  
2407. Name         : `Byte Warrior`
2408.  
2409. Resetvektoren: KickTagPtr *
2410.                KickCheckSum *
2411. Interrupts   : keine.
2412. Bibliotheks-
2413. funktions-
2414. vektoren     : DoIO ()
2415. Schäden      : keine.
2416. Anmerkung    : Das `Byte Warrior`-Virus funktioniert, wegen eines festen ROM-
2417.                Rücksprunges aus der `DoIO`-Routine, nur noch unter `KickStart 1.2` !
2418.  
2419.  
2420.  
2421.  
2422. Name         : `CCCP`
2423.  
2424. Resetvektoren: CoolCapture *
2425. Interrupts   : Interrupt 3 - überwacht CoolCapture *
2426. Bibliotheks-
2427. funktions-
2428. vektoren     : OpenLibrary () (RESET) - schreibt `Link`
2429.                DOIO () (RESET) - schreibt `Bootblock` 
2430.                OpenWindow () (RESET) - schreibt `Link`
2431. Schäden      : Mir sind keine Schäden bekannt !
2432. Anmerkung    : Das `CCCP`-Virus ist das erste Virus, welches sich gleichzeitig
2433.                als `Bootblock`- und `Linkvirus` weiterkopieren kann !
2434.                Lesen Sie dazu auch `Anhang A` !
2435.  
2436.  
2437.      
2438. Name         : `CLONK`
2439.  
2440. Resetvektoren: KickMemPtr *
2441.                KickTagPtr *
2442.                KickCheckSum *
2443. Interrupts   : keine.
2444. Bibliotheks-
2445. funktions-
2446. vektoren     : DoIO () 
2447. Schäden      : Dieser `Bootblock`-Viruskiller kopiert sich nach Abfrage über
2448.                jeden `non-standard`-Bootblock !
2449. Anmerkung    : Das `CLONK`-Virus wird von den älteren Versionen von `AntiCicloVir`
2450.                mit den Viren der Gruppe `BGS9 I/II/Terrorists` verwechselt.
2451.                `VirusX 4.00` verwechselt `CLONK` mit dem `Disk-Doktors`-Virus.
2452.                
2453.  
2454.  
2455. Name         : `Coders Nightmare`
2456.  
2457. Resetvektoren: KickTagPtr *
2458.                KickCheckSum *
2459. Interrupts   : $68
2460. Bibliotheks-
2461. funktions-
2462. vektoren     : DoIO ()
2463. Schäden      : Dieses `Bootblock`-Virus simuliert einen Viruskiller !
2464. Anmerkung    : keine.
2465.  
2466.  
2467.  
2468.  
2469. Name         : `DAG`
2470.  
2471. Resetvektoren: CoolCapture *
2472. Interrupts   : keine.
2473. Bibliotheks-
2474. funktions-
2475. vektoren     : DoIO ()
2476. Schäden      : keine.
2477. Anmerkung    : Hier war mal wieder einer ganz fleißig gewesen und hat es
2478.                geschaft, einen Teil des ASCII-Textes aus dem `SCA`-Virus
2479.                gegen `Try ANTIVIRUS from DAG` auszutauschen !
2480.                Da der restliche Teil des ASCII-Textes noch dem des `SCA`-
2481.                Viruses entspricht, wird es von älteren `AntiCicloVir`-Versionen
2482.                mit dem `SCA`-Virus verwechselt !
2483.                Das `DAG`-Bootblock-Virus wird vom `DAG Creator` ( siehe Anhang A)
2484.                in `DF1:` erzeugt !
2485.  
2486.  
2487.  
2488. Name         : `DAT`89`
2489.  
2490. Resetvektoren: KickTagPtr *
2491.                KickCheckSum *
2492. Interrupts   : keine.
2493. Bibliotheks-
2494. funktions-
2495. vektoren     : DoIO ()
2496. Schäden      : Dieses `Bootblock`-Virus simuliert einen Viruskiller !
2497.                Doch in Wahrheit zerstört es die `Root`-Blöcke von Disketten,
2498.                wodurch diese unlesbar werden und sämtliche Daten verloren
2499.                gehen !
2500. Anmerkung    : Es steht immer ab $7F800 im Speicher und funktioniert nur noch
2501.                unter `KickStart 1.2` !
2502.  
2503.  
2504.  
2505. Name         : `Destructor V1.2`
2506.  
2507. Resetvektoren: ColdCapture *
2508. Interrupts   : keine.
2509. Bibliotheks-
2510. funktions-
2511. vektoren     : keine.
2512. Schäden      : Dieses Virus überschreibt nach dem ersten Reset jeden vierten
2513.                Track und zerstörten so Disketten !
2514. Anmerkung    : Das `Destructor V1.2`-Virus kann sich selbst nicht weiterkopieren.
2515.                
2516.  
2517.  
2518.  
2519. Name         : `Digital Emotions`
2520.  
2521. Resetvektoren: CoolCapture *
2522. Interrupts   : keine.
2523. Bibliotheks-
2524. funktions-
2525. vektoren     : DoIO () (RESET)
2526. Schäden      : Dieses `Bootblock`-Virus überschreibt manchmal Track 0 mit
2527.                dem Wort `Virus` und kann so `Read/Write Errors` verursachen.
2528. Anmerkung    : keine.
2529.  
2530.  
2531.  
2532.  
2533. Name         : `Disk-Doktors`
2534.  
2535. Resetvektoren: ColdCapture *
2536.                CoolCapture *
2537.                WarmCapture *
2538. Interrupts   : ???
2539. Bibliotheks-
2540. funktions-
2541. vektoren     : DoIO ()
2542. Schäden      : Dieses `Bootblock`-Virus kopiert manchmal einige Daten aus
2543.                der `ExecBase`-Struktur in den Speicher und verschwendet so
2544.                sinnlos Speicherkapazität !
2545.                Es zerstört nach einiger Zeit Disketten, indem es den `Rootblock`
2546.                ( Zylinder 40 ) formatiert !
2547. Anmerkung    : Dieses `Bootblock`-Virus kann von `AntiCicloVir V1.6` nicht
2548.                gelöscht werden, weshalb es sich empfiehlt den Rechner komplett
2549.                abzuschalten !
2550.                Das `Disk-Doktors`-Virus gehört zu einer ganz neuen Generation
2551.                von `Bootblock`-Viren !
2552.                Die `Capture`-Vektoren zeigen auf Adressen im Speicher, die
2553.                nicht identisch sind mit der Adresse des Maschinensprachekodex
2554.                , welcher an viel höherer Stelle im Speicher steht !
2555.                Das `Disk-Doktors`-Virus funktioniert nur unter `KickStart 1.2`.
2556.  
2557.  
2558. Name         : `Disk-Herpes`
2559.  
2560. Resetvektoren: CoolCapture *
2561. Interrupts   : keine.
2562. Bibliotheks-
2563. funktions-
2564. vektoren     : DoIO () (RESET)
2565. Schäden      : Das `Disk-Herpes`-Virus überschreibt manchmal den `Root`-Block
2566.                mit dem Speicherinhalt ab $60000 und kann dadurch ganze 
2567.                Disketten zerstören !
2568. Anmerkung    : Das `Disk-Herpes`-Virus steht immer ab $7EC00 im Speicher !
2569.                Viele bekannte Viruskiller verwechseln `Disk-Herpes` übrigens
2570.                im Speicher und im `Bootblock` mit dem `Phantasnumble`-Virus !
2571.  
2572.  
2573.  
2574.  
2575. Name         : `Diskguard V1.0`
2576.  
2577. Resetvektoren: CoolCapture *
2578. Interrupts   : ???
2579. Bibliotheks-
2580. funktions-
2581. vektoren     : DoIO () (RESET)
2582. Schäden      : Dieses Programm ist ein `Bootblock`-Viruskiller und kopiert sich
2583.                selbst nach Abfrage auf `non-standard` Bootblöcke !
2584. Anmerkung    :keine.
2585.  
2586.  
2587.  
2588. Name         : `Divina Exterminator I`
2589.  
2590. Resetvektoren: CoolCapture *
2591. Interrupts   : $64
2592. Bibliotheks-
2593. funktions-
2594. vektoren     : DoIO ()
2595. Schäden      : Nach drei Vermehrungen wird die `K`-Taste abgefragt und bis
2596.                zur zehnten in einer Zählstelle abgelegt.
2597.                Danach wird in die Adresse der `ExecBase`-Struktur eine Null
2598.                geschrieben, was einige Zeit darauf zu einem Systemabsturz
2599.                führen dürfte !
2600. Anmerkung    : Dieses Virus überschreibt die `SetPatch`-Liste ab $C0, was
2601.                für `KickStart V1.3`-Benutzer wichtig sein dürfte.
2602.                Es ist außerdem in der Lage den Original-`Bootblock` vorzu-
2603.                täuschen !!!
2604.                
2605.  
2606.  
2607.  
2608. Name         : `Dotty`
2609.  
2610. Resetvektoren: KickTagPtr *
2611.                KickCheckSum *
2612. Interrupts   : keine.
2613. Bibliotheks-
2614. funktions-
2615. vektoren     : DoIO ()
2616. Schäden      : Dieses Virus soll die `PRIVAT - intuition -struktur` erweitern.
2617. Anmerkung    : keine.
2618.  
2619.  
2620.  
2621.  
2622. Name         : `DUMDUM`
2623.  
2624. Resetvektoren: CoolCapture *
2625. Interrupts   : $64
2626. Bibliotheks-
2627. funktions-
2628. vektoren     : DoIO ()
2629. Schäden      : Mit diesem `Bootblock`-Virus können Sie Ihre Disketten
2630.                formatieren !!!
2631. Anmerkung    : keine.
2632.  
2633.  
2634.  
2635.            
2636. Name         : `Extreme`
2637.  
2638. Resetvektoren: KickTagPtr *
2639.                KickCheckSum *
2640. Interrupts   : RasterBeam - überwacht KickTagPtr * aber NICHT KickCheckSum * !
2641. Bibliotheks-
2642. funktions-
2643. vektoren     : DoIO ()
2644. Schäden      :Dieses Virus tarnt sich als Viruskiller und löscht Viren von
2645.               allen Disketten indem es sie zerstört ! (Auch `ne Möglichkeit
2646.               Viren loszuwerden ...)
2647. Anmerkung    : Das `Extreme`-Virus steht gleichzeitig ab $ 7F800 und ab
2648.                $ FF800 im Speicher !
2649.                
2650.  
2651.  
2652.  
2653. Name         : `F.A.S.T.`
2654.  
2655. Resetvektoren: CoolCapture *
2656. Interrupts   : keine.
2657. Bibliotheks-
2658. funktions-
2659. vektoren     : DoIO ()
2660.                FreeMem ()
2661. Schäden      : Mir sind keine Schäden bekannt.
2662. Anmerkung    : Dieses Virus stammt von der `Federation against Software-
2663.                Piracy` und ist offenbar wohl nur gegen Raubkopierer gerichtet.
2664.                Jedenfalls hat es sich auf meinen Disketten ( `Workbench-Diskette` )
2665.                nicht weiter kopieren können !
2666.                
2667.  
2668.  
2669.  
2670. Name         : `F.I.C.A.`
2671.  
2672. Resetvektoren: KickTagPtr
2673.                KickCheckSum
2674. Interrupts   : keine.
2675. Bibliotheks-
2676. funktions-
2677. vektoren     : BeginIO ()
2678.                SumKickData () - überwacht `Kick`-Vektoren
2679. Schäden      : ... wohl keine, da es `nur` gegen `QUARTEX` und nicht gegen
2680.                uns Anwender gerichtet ist !
2681. Anmerkung    : Dieses `Bootblock`-Virus ist übrigens auch in der Lage auf den
2682.                Disketten einen `Standard Bootblock` vorzutäuschen, wenn es
2683.                im Speicher steht.
2684.                
2685.  
2686.  
2687.  
2688. Name         : `Forpib`
2689.  
2690. Resetvektoren: KickTagPtr *
2691.                KickCheckSum *
2692. Interrupts   : keine.
2693. Bibliotheks-
2694. funktions-
2695. vektoren     : BeginIO ()
2696. Schäden      : Mir sind keine bekannt.
2697. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des
2698.                `Byte Bandit`-Viruses und es wird auch genauso wie dieses
2699.                gelöscht !
2700.  
2701.  
2702.  
2703. Name         : `Frity`
2704.  
2705. Resetvektoren: KickTagPtr *
2706.                KickCheckSum *
2707. Interrupts   : keine.
2708. Bibliotheks-
2709. funktions-
2710. vektoren     : BeginIO ()
2711. Schäden      : Mir sind keine bekannt.
2712. Anmerkung    : Genauso wie `Forpib`, bloß anderer Name.
2713.  
2714.  
2715.  
2716.  
2717.    
2718. Name         : `Gadaffi`
2719.  
2720. Resetvektoren: CoolCapture *
2721.                KickTagPtr *
2722.                KickCheckSum *
2723. Interrupts   : keine.
2724. Bibliotheks-
2725. funktions-
2726. vektoren     : DoIO ()
2727. Schäden      : `foltert` und `quält` Ihr Laufwerk ... ich hatte an meinem
2728.                internen Laufwerk schon `mal Hardware-Schäden gehabt !
2729. Anmerkung    : Wegen einer festen Rücksprungadresse aus der `DoIO`-Routine
2730.                zum ROM funktioniert dieses Virus nur unter `KickStart 1.2` !
2731.  
2732.  
2733.  
2734.  
2735. Name         : `Glasnost`
2736.  
2737. Resetvektoren: KickTagPtr
2738.                KickCheckSum
2739. Interrupts   : ???
2740. Bibliotheks-
2741. funktions-
2742. vektoren     : DoIO ()
2743. Schäden      : Das `Glasnost`-Virus blockiert nach 15 bis 20 Minuten den
2744.                Amiga und schreibt einen 4(!) Block großen `Bootblock` !
2745.                Dabei werden Programme, die in Block 2 & 3 abgespeichert
2746.                worden sind, zerstört !!!
2747.                Danach sucht sich das Virus einen Datenblock von der Diskette
2748.                aus und schreibt in diesen vier Langworte.
2749.                Programme, in denen ein solcher Datenblock enthalten war, werden
2750.                zerstört !!!
2751. Anmerkung    : Da ich das `Glasnost`-Virus bisher noch nicht testen konnte,
2752.                kann `AntiCicloVir` es nur im Speicher anzeigen, aber nicht
2753.                löschen !
2754.  
2755.  
2756.  
2757.  
2758. Name         : `Graffiti`
2759.  
2760. Resetvektoren: CoolCapture *
2761. Interrupts   : keine.
2762. Bibliotheks-
2763. funktions-
2764. vektoren     : DoIO () (RESET)
2765. Anmerkung    : Dieses Virus soll 3D-Grafiken erzeugen können.
2766.                `VirusX 4.00` verwechselt es im Speicher mit dem `16 BIT-Crew`-
2767.                Virus !
2768.  
2769.  
2770. Name         : `Gremlin`
2771.  
2772. Resetvektoren: CoolCapture *
2773. Interrupts   : keine
2774. Bibliotheks-
2775. funktions-
2776. vektoren     : DoIO ()
2777.                SumKickData () - überwacht CoolCapture *
2778. Schäden      : keine.
2779. Anmerkung    : keine.
2780.  
2781.  
2782.  
2783. Name         : `GX.Team`
2784.  
2785. Resetvektoren: CoolCapture *
2786.                KickTagPtr *
2787.                KickCheckSum *
2788. Interrupts   : keine.
2789. Bibliotheks-
2790. funktions-
2791. vektoren     : DoIO ()
2792. Schäden      : Richtet keine Schäden an.
2793. Anmerkung    : Dieses Virus funktioniert, wegen eines direkten ROM-Einsprunges
2794.                in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
2795.                
2796.  
2797.  
2798.  
2799. Name         : `H.C.S.`
2800.  
2801. Resetvektoren: CoolCapture *
2802. Interrupts   : ???
2803. Bibliotheks-
2804. funktions-
2805. vektoren     : DoIO () (RESET)
2806. Schäden      : keine
2807. Anmerkung    : Dieses Virus fällt durch das ständige und nervige Geblinke
2808.                der `Power`-LED auf. `AntiCicloVir V1.6` löscht auch diese
2809.                Routine !
2810.  
2811.  
2812.  
2813. Name         : `H.C.S. II`
2814.  
2815. Resetvektoren: CoolCapture *
2816. Interrupts   : ???
2817. Bibliotheks-
2818. funktions-
2819. vektoren     : DoIO () (RESET)
2820. Schäden      : keine.
2821. Anmerkung    : Dieses Virus soll so eine Art `Antivirus` sein und erkennt
2822.                einige andere `Bootblock`-Viren: `SCA`,`Byte Warrior`,`North
2823.                Star I+II`,`SYSTEMZ`,`BlizzPro`, etc ...
2824.                Außer daß die `Power-LED` nun schneller blinkt und evtl.
2825.                einige `Bootblock`-Viren mehr erkannt werden, hat sich sonst
2826.                nicht viel geändert.
2827.                Wenn `AntiCicloVir` versucht die `Power-LED` wieder normal
2828.                einzuschalten, dann kann dies mit einiger Verzögerung ein-
2829.                treten.
2830.  
2831.  
2832.  
2833. Name         : `Hilly`
2834.  
2835. Resetvektoren: KickTagPtr *
2836.                KickCheckSum *
2837. Interrupts   : keine.
2838. Bibliotheks-
2839. funktions-
2840. vektoren     : DoIO ()
2841. Schäden      : mögliche Schreibzugriffe auf die Festplatte ???
2842. Anmerkung    : Dieses Virus funktioniert, wegen eines direkten ROM-Einsprunges
2843.                in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
2844.                Das `Hilly`-Virus sucht auch nach bestimmten `KickStart`-
2845.                Versionen und installiert sich nicht, falls diese vorhanden
2846.                sind.
2847.  
2848.  
2849.  
2850.  
2851. Name         : `HODEN V33.17`
2852.  
2853. Resetvektoren: KickTagPtr *
2854.                KickCheckSum *
2855. Interrupts   : keine.
2856. Bibliotheks-
2857. funktions-
2858. vektoren     : DoIO ()
2859. Schäden      : keine.
2860. Anmerkung    : Auch dieses Virus funktioniert, wegen eines direkten Einsprunges
2861.                in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
2862.                
2863.  
2864.  
2865.  
2866. Name         : `ICE`
2867.  
2868. Resetvektoren: CoolCapture *
2869. Interrupts   : keine.
2870. Bibliotheks-
2871. funktions-
2872. vektoren     : DoIO () (RESET)
2873. Schäden      : keine.
2874. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgewechselt.
2875.  
2876.  
2877.  
2878.  
2879. Name         : `Incognito`
2880.  
2881. Resetvektoren: KickMemPtr * 
2882.                KickTagPtr *
2883.                KickCheckSum *
2884. Interrupts   : keine.
2885. Bibliotheks-
2886. funktions-
2887. vektoren     : DoIO ()
2888. Schäden      : keine.
2889. Anmerkung    : Das `Incognito`-Virus funktioniert, wegen eines direkten Ein-
2890.                sprunges in die `DoIO`-Routine, nur noch unter `KickStart V1.2`.
2891.                Dieses Virus soll am Ende des `Bootblockes` Tabellen abspeichern,
2892.                die sich je nach Speicherlage und Konfiguration des Amigas
2893.                ändern.
2894.                Wenn das Virus `gebootet` wird, werden die Tabellen erneuert.
2895.                Bei meinem Amiga hat sich das `Incognito`-Virus nicht weiter-
2896.                kopiert.
2897.                Die Versionen 1.0 - 1.2 von `AntiCicloVir` verwechseln es mit
2898.                den Viren der Gruppe `BGS9 I/II/Terrorists` !
2899.  
2900.  
2901.  
2902.  
2903. Name         : `Inger IQ`
2904.  
2905. Resetvektoren: KickTagPtr *
2906.                KickCheckSum *
2907. Interrupts   : keine.
2908. Bibliotheks-
2909. funktions-
2910. vektoren     : BeginIO ()
2911. Schäden      : Mir sind keine bekannt.
2912. Anmerkung    : Bei diesem `Byte Bandit`-Mutanten wurde nur der Text geändert.
2913.                Er wird genauso gelöscht wie `Byte Bandit` selbst !
2914.  
2915.  
2916.  
2917.  
2918. Name         : `JITR`
2919.  
2920. Resetvektoren: CoolCapture *
2921. Interrupts   : keine.
2922. Bibliotheks-
2923. funktions-
2924. vektoren     : DoIO ()
2925. Schäden      : keine.
2926. Anmerkung    : keine.
2927.  
2928.  
2929.  
2930.  
2931. Name         : `Joshua`
2932.  
2933. Resetvektoren: KickMemPtr *
2934.                KickTagPtr *
2935.                KickCheckSum *
2936. Interrupts   : ?
2937. Bibliotheks-
2938. funktions-
2939. vektoren     : BeginIO ()
2940. Schäden      : keine Schäden.
2941. Anmerkung    : Dieses Virus erzeugt über eine Grafik-Routine einen senkrecht
2942.                stehenden Text.
2943.                ACHTUNG !!!
2944.                Die Versionen 1.0 - 1.2 von `AntiCicloVir` verwechseln das
2945.                `Joshua`-Virus mit den Viren der Gruppe `BGS 9 I/II/Terrorists` !
2946.  
2947.  
2948.  
2949.  
2950. Name         : `Joshua 2`
2951.  
2952. Resetvektoren: ColdCapture *
2953. Interrupts   : keine.
2954. Bibliotheks-
2955. funktions-
2956. vektoren     : BeginIO ()
2957. Schäden      : keine Schäden.
2958. Anmerkung    : keine.
2959.  
2960.  
2961.  
2962. Name         : `Julie`
2963.  
2964. Resetvektoren: CoolCapture *
2965. Interrupts   : $20
2966. Bibliotheks-
2967. funktions-
2968. vektoren     : DoIO ()
2969.                BeginIO ()
2970. Schäden      : keine.
2971. Anmerkung    : keine.
2972.  
2973.  
2974.  
2975.  
2976. Name         : `Kauki`
2977.  
2978. Resetvektoren: CoolCapture *
2979. Interrupts   : $80 (RESET)
2980.                $84 (RESET)
2981.                $88 (RESET)
2982. Bibliotheks-
2983. funktions-
2984. vektoren     : DoIO ()
2985. Schäden      : keine.
2986. Anmerkung    : Dieses Virus erzeugt beim `Booten` ein `Chopper-Intro`.
2987.  
2988.  
2989.  
2990.  
2991. Name         : `Kefrens`
2992.  
2993. Resetvektoren: CoolCapture *
2994. Interrupts   : keine.
2995. Bibliotheks-
2996. funktions-
2997. vektoren     : DoIO () (RESET)
2998. Schäden      : keine.
2999. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgetauscht.
3000.  
3001.  
3002.  
3003. Name         : `L.A.D.S`
3004. Resetvektoren: KickTagPtr *
3005.                KickCheckSum *
3006. Interrupts   : keine.
3007. Bibliotheks-
3008. funktions-
3009. vektoren     : DoIO ()
3010. Schäden      : keine.
3011. Anmerkung    : Dieses Programm tarnt sich selbst als `virus-hunter`, obwohl
3012.                es selbst ein Virus ist !
3013.                Beim `Booten` gibt es einen `Alert` aus :
3014.                `            L.A.D.S virus hunter
3015.  
3016.                                no virus in memory
3017.  
3018.                              Press any mousebutton    `
3019.                Tatsächlich findet jedoch kein Virus-Test statt !!!
3020.                Dafür kopiert sich aber nun `L.A.D.S` selbst als Virus
3021.                weiter !
3022.                
3023.  
3024.  
3025.  
3026. Name         : `LAMER Exterminator (alt)`
3027.  
3028. Resetvektoren: KickTagPtr *
3029.                KickCheckSum *
3030. Interrupts   : keine.
3031. Bibliotheks-
3032. funktions-
3033. vektoren     : BeginIO ()
3034.                SumKickData () - überwacht `Kick`-Vektoren
3035. Schäden      : Das  alte `LAMER Exterminator`-Virus beginnt nach einigen
3036.                `Rebootes` damit, in einige Datenblöcke das Wort `Lamer` zu
3037.                 schreiben, wodurch `read/write errors` entstehen.
3038. Anmerkung    : Das alte `LAMER Exterminator`-Virus kann von `AntiCicloVir`
3039.                nicht zu 100 % gelöscht werden.
3040.                Dieses Virus wurde beim Testen übrigens NICHT von `VirusX 4.00`
3041.                im Speicher erkannt !
3042.  
3043.                Grundsätzliches über `LAMER`-Exterminator-Viren:
3044.  
3045.                Bevor ich die nächsten `LAMER Exterminator`-Viren dokumentiere,
3046.                möchte ich noch auf einige Fakten hinweisen, die für alle
3047.                `LAMER Exterminator`-Viren gelten !
3048.                Um den `Sinn` der `LAMER Exterminations` zu verstehen, sollten
3049.                Sie das Kapitel `Revenge Of The LAMER Exterminator` aus dem
3050.                `Anhang A` lesen !
3051.                Die `LAMER Exterminator`-Viren waren die ersten auf dem Amiga,
3052.                die die Gefahren eines unzulässigen Virenschutzes am anschaulichsten
3053.                darstellten ...
3054.                Sie sind praktisch jedem Amiga-Besitzer bekannt !
3055.                Auf infizierten Disketten erzeugen sie oft `key checksum errors`.
3056.                Stehen sie erst einmal im Speicher, dann sind sie auch in der
3057.                Lage, auf infizierten Disketten Standard-`Bootblöcke` vorzu-
3058.                täuschen.
3059.                Außerdem wechseln sie ständig ihr Aussehen, so daß sie in jedem
3060.                `Bootblock` anders erscheinen, was mit der Verschlüsselungs-
3061.                routine bewirkt wird.
3062.  
3063.  
3064.  
3065.  
3066. Name         : `LAMER Exterminator I`
3067.  
3068. Resetvektoren: KickTagPtr *
3069.                KickCheckSum *               
3070. Interrupts   : keine.
3071. Bibliotheks-
3072. funktions-
3073. vektoren     : BeginIO ()
3074.                SumKickData () - überwacht `Kick`-Vektoren
3075. Schäden      : Das `LAMER Exterminator`-Virus I zerstört einzelne Datenblöcke,
3076.                indem es sie mit dem Wort `LAMER` überschreibt !
3077. Anmerkung    : Weiteres können Sie unter `LAMER Exterminator (alt)` lesen !
3078.                Dieses Virus wurde von `VirusX 4.00` ebenfalls nicht im
3079.                Speicher erkannt !
3080.  
3081.  
3082.  
3083.       
3084. Name         : `LAMER Exterminator II`
3085.  
3086. Resetvektoren: KickTagPtr *
3087.                KickCheckSum *
3088. Interrupts   : keine
3089. Bibliotheks-
3090. funktions-
3091. vektoren     : BeginIO ()
3092.                SumKickData () - überwacht `Kick`-Vektoren 
3093. Schäden      : Dieses Virus zerstört ebenfalls Disketten, indem es das Wort
3094.                `LAMER` in einige Datenblöcke schreibt und dadurch `read/write
3095.                errors` hervorruft !
3096. Anmerkung    : Beim Testen mit `VirusX 4.00` wurde dieses Virus ebenfalls nicht
3097.                erkannt !
3098.                Weiteres können Sie unter `LAMER Exterminator (alt)` lesen.
3099.  
3100.  
3101.  
3102.  
3103.  
3104. Name         : `LAMER Exterminator III`
3105.  
3106. Resetvektoren: KickTagPtr *
3107.                KickCheckSum *
3108. Interrupts    : keine.
3109. Bibliotheks-
3110. funktions-
3111. vektoren     : BeginIO ()
3112.                SumKickData () - überwacht `Kick`-Vektoren
3113. Schäden      : Das Virus `LAMER Exterminator III` verschiebt den Original-
3114.                `Bootblock` in die Blöcke 2 & 3 und kann dadurch ein Programm,
3115.                welches aus diesen Datenblöcken bestand, zerstören.
3116.                Beim `Booten` startet das Virus anschließend den echten
3117.                `Bootblock` und versucht so, eine `saubere` Disk vorzutäuschen.
3118. Anmerkung    : `AntiCicloVir` kann leider das alte `LAMER Exterminator`- und
3119.                das `LAMER Exterminator`-Virus III nicht auseinanderhalten !
3120.                Das `LAMER Exterminator`-Virus III wurde von `VirusX 4.00` nicht
3121.                erkannt !
3122.                Weiteres können Sie unter `LAMER Exterminator (alt)` lesen.
3123.          
3124.  
3125.  
3126.  
3127. Name         : `LAMER Exterminator IV`
3128.  
3129. Resetvektoren: KickTagPtr *
3130.                KickCheckSum *
3131. Interrupts    : keine.
3132. Bibliotheks-
3133. funktions-
3134. vektoren      : BeginIO ()
3135.                 SumKickData () - überwacht `Kick`-Vektoren
3136. Schäden      : Das `LAMER Exterminator`-Virus IV überschreibt einen Datenblock
3137.                85 * mit dem Wort `LAMER` und zerstört so Programme !
3138. Anmerkung    : Weiteres zu den `LAMER Exterminator`-Viren können Sie auch
3139.                unter `LAMER Exterminator (alt)` lesen !
3140.                Dieses Virus wurde zwar von `VirusX 4.00` im Speicher als
3141.                `LAMER Exterminator` erkannt, doch kam es leider zu einem
3142.                `Address Error` (GURU) !
3143.  
3144.  
3145.  
3146. Name         : `LAMER Exterminator V`
3147.  
3148. Resetvektoren: KickTagPtr *
3149.                KickCheckSum *
3150. Interrupts   : keine.
3151. Bibliotheks-
3152. funktions-
3153. vektoren     : BeginIO ()
3154.                SumKickData () - überwacht `Kick`-Vektoren
3155. Schäden      : Auch dieses Virus überschreibt einen Datenblock 85 * mit dem
3156.                Wort `LAMER` und richtet damit ähnliche Schäden an, wie
3157.                `LAMER Exterminator IV` !
3158. Anmerkung    : Weitere Informationen über die `LAMER Exterminator`-Viren
3159.                erhalten Sie auch unter `LAMER Exterminator (alt)` !
3160.                Dieses Virus wurde von `VirusX 4.00` nicht erkannt.
3161.                `AntiCicloVir` kann leider die `LAMER Exterminator`-Viren IV & V
3162.                im Speicher nicht voneinander unterscheiden !
3163.  
3164.  
3165.  
3166.  
3167. Name         : `LAMER Exterminator VI`
3168.  
3169. Resetvektoren: KickTagPtr *
3170.                KickCheckSum *
3171. Interrupts   : keine.
3172. Bibliotheks-
3173. funktions-
3174. vektoren     : BeginIO ()
3175.                SumKickData () - überwacht `Kick`-Vektoren
3176. Schäden      : Auch das `LAMER Exterminator`-Virus VI schreibt 85 * das Wort
3177.                `LAMER` in einen Datenblock ...
3178. Anmerkung    : Mehr zum Thema `LAMER Exterminator` finden Sie unter `LAMER
3179.                Exterminator (alt)` in diesem Anhang !
3180.                Das `LAMER Exterminator`-Virus VI überwacht auch noch die
3181.                Vektoren `ColdCapture` und `CoolCapture`.
3182.                `VirusX 4.00` hatte beim Testen dieses Virus mit `Lamer II`
3183.                verwechselt !
3184.  
3185.  
3186.  
3187.  
3188. Name         : `LAMER Exterminator VIII`
3189.  
3190. Resetvektoren: KickTagPtr *
3191.                KickCheckSum *
3192. Interrupts   : keine.
3193. Bibliotheks-
3194. funktions-
3195. vektoren     : BeginIO ()
3196.                SumKickData () - überwacht `Kick`-Vektoren
3197. Schäden      : Dieses Virus beinhaltet eine Formatierungsroutine für alle
3198.                Laufwerke und kann so gleich mehrere Disketten zerstören ...
3199. Anmerkung    : Auch an dieser Stelle möchte ich noch einmal auf `LAMER
3200.                Exterminator (alt)` verweisen !
3201.                Dieses Virus wird natürlich erst recht nicht von `VirusX 4.00`
3202.                erkannt !
3203.  
3204.  
3205.  
3206.  
3207. Name         : `Loverboy & Sexmachine`
3208.  
3209. Resetvektoren: CoolCapture *
3210. Interrupts   : keine.
3211. Bibliotheks-
3212. funktions-
3213. vektoren     : DoIO () (RESET)
3214. Schäden      : keine.
3215. Anmerkung    : Bei diesem `16 Bit-Crew`-Mutanten wurde nur der ASCII-Text aus-
3216.                getauscht !
3217.  
3218.  
3219.  
3220.               
3221. Name         : `LSD`
3222.  
3223. Resetvektoren: CoolCapture *
3224. Interrupts   : keine.
3225. Bibliotheks-
3226. funktions-
3227. vektoren     : DoIO () (RESET)
3228. Schäden      : keine
3229. Anmerkung    : Ein weiterer `SCA`-Mutant bei dem nur der Text geändert wurde .
3230.  
3231.  
3232.  
3233. Name         : `MAD`
3234.  
3235. Resetvektoren: keine
3236. Interrupts   : keine.
3237. Bibliotheks-
3238. funktions-
3239. vektoren     : BeginIO ()
3240. Schäden      : mir sind keine bekannt ...
3241. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des
3242.                `Byte Bandit`-Virus !
3243.                Außer das der Text geändert wurde, ist dieses Virus nun auch
3244.                nicht mehr resetfest.
3245.                
3246.  
3247.  
3248. Name         : `MAD II`
3249.  
3250. Resetvektoren: WarmCapture *
3251.                KickTagPtr *
3252.                KickCheckSum *
3253. Interrupts   : keine.
3254. Bibliotheks-
3255. funktions-
3256. vektoren     : DoIO ()
3257. Schäden      : versucht Kurzschluß auszulösen, durch `patchen` des Wertes im
3258.                Register für die Netzspannungs-Frequenz ( ExecBase ) ???
3259. Anmerkung    : Wegen einer festen Rücksprungadresse zum ROM aus der `DoIO`-
3260.                Routine stürzt auch dieses `Bootblock`-Virus unter allen
3261.                anderen `KickStart`s außer 1.2 ab !
3262.  
3263.  
3264.  
3265.  
3266. Name         : `MEXX`
3267.  
3268. Resetvektoren: CoolCapture *
3269. Interrupts   : keine.
3270. Bibliotheks-
3271. funktions-
3272. vektoren     : DoIO () (RESET)
3273. Schäden      : keine.
3274. Anmerkung    : Auch bei diesem `SCA`-Mutanten wurde nur der ASCII-Text geändert !
3275.  
3276.  
3277.  
3278.  
3279. Name         : `MGM 89`
3280.  
3281. Resetvektoren: CoolCapture *
3282. Interrupts   : keine.
3283. Bibliotheks-
3284. funktions-
3285. vektoren     : DoIO ()
3286. Schäden      : keine.
3287. Anmerkung    : keine.
3288.  
3289.  
3290.  
3291.  
3292. Name         : `Microsystems`
3293.  
3294. Resetvektoren: ColdCapture *
3295.                CoolCapture *
3296. Interrupts   : keine
3297. Bibliotheks-
3298. funktions-
3299. vektoren     : DoIO () (RESET)
3300.                RemTask () (RESET)
3301.                AddTask () (RESET)
3302. Schäden      : keine.
3303. Anmerkung    : Im `Bootblock` hat dieses Virus ziemlich viel Ähnlichkeit mit
3304.                einem `SCA`-Virus und besitzt sogar die selbe `Boot CheckSum` !
3305.                Deshalb wird es von so manch einem Viruskiller mit dem `SCA`-
3306.                Virus verwechselt !!!
3307.                Aber es ist keines und funktioniert im Speicher auch ganz anders.!
3308.                So holt es beispielsweise die Namen für Bibliotheksaufrufe
3309.                direkt aus dem ROM.
3310.  
3311.  
3312.  
3313.  
3314. Name         : `Nasty-Nasty`
3315.  
3316. Resetvektoren: CoolCapture *
3317. Interrupts   : keine.
3318. Bibliotheks-
3319. funktions-
3320. vektoren     : DoIO ()
3321.                Alert ()
3322.                SuperState ()
3323.                UserState ()
3324. Schäden      : Das `Nasty-Nasty`-Virus zerstört nach jeder fünften Kopie
3325.                Disketten !
3326. Anmerkung    : Wegen Direkteinsprünge in einige ROM-Routinen funktioniert es
3327.                nur unter `KickStart V1.2` !
3328.  
3329.  
3330.  
3331.             
3332. Name         : `North Star`
3333.  
3334. Resetvektoren: CoolCapture *
3335. Interrupts   : keine
3336. bibliotheks-
3337. funktions-
3338. vektoren     : DoIO () (RESET)
3339. Schäden      : keine.
3340. Anmerkung    : keine.
3341.  
3342.  
3343.  
3344.  
3345. Name         : `North Star II`
3346.  
3347. Resetvektoren: CoolCapture *
3348. Interrupts   : keine.
3349. Bibliotheks-
3350. funktions-
3351. vektoren     : DoIO () (RESET)
3352. Schäden      : keine.
3353. Anmerkung    : keine.
3354.  
3355.  
3356.  
3357.  
3358. Name         : `Obelisk`
3359.  
3360. Resetvektoren: CoolCapture *
3361. Interrupts   : keine.
3362. Bibliotheks-
3363. funktions-
3364. vektoren     : DoIO ()
3365. Schäden      : Das `Obelisk`-Virus schreibt manchmal das Wort `GURU` nach $60
3366.                und zerstört dadurch den Ausnahmevektor, der in`s ROM ( IR-Ebene 7 )
3367.                weist !
3368. Anmerkung    : Dieses Virus verrät sich sehr leicht durch ein eigenes `Boot-
3369.                Intro` ( Deutschlandflagge + Schrift: `OBELISK SOFTWORKS CREW` )
3370.                , welches es nach jedem Systemstart erzeugt !
3371.  
3372.  
3373.  
3374.  
3375.  
3376. Name         : `Obelisk 2`
3377.  
3378. Resetvektoren: KickTagPtr *
3379.                KickCheckSum *
3380. Interrupts   : keine.
3381. Bibliotheks-
3382. funktions-
3383. vektoren     : BeginIO ()
3384. Schäden      : Eigentlich keine.
3385.                Allerdings ist das Virus in der Lage eine `Disk-Format`-Routine
3386.                vorzutäuschen, bei der jedoch nichts zerstört wird !
3387. Anmerkung    : `VirusX 4.00` zeigt zuerst das `Australian Parasite`-Virus im
3388.                Speicher an und dann `Obelisk 2` !
3389.  
3390.  
3391.  
3392. Name         : `PARATAX`
3393.  
3394. Resetvektoren: CoolCapture *
3395. Interrupts   : keine.
3396. Bibliotheks-
3397. funktions-
3398. vektoren     : DoIO () (RESET)
3399. Anmerkung    : Hierbei handelt es sich wieder einmal um einen `SCA`-Mutanten
3400.                mit geändertem ASCII-Text.
3401.  
3402.  
3403.  
3404.  
3405. Name         : `PARATAX II`
3406.  
3407. Resetvektoren: ColdCapture *
3408.                CoolCapture *
3409. Interrupts   : ???
3410. Bibliotheks-
3411. funktions-
3412. vektoren     : DoIO ()
3413. Schäden      : Aus `faulheitstechnischen Gründen` habe ich leider keine Lust
3414.                alles noch einmal aufzuschreiben und verweise Sie deshalb zum
3415.                `DiskDoktors`-Kapitel ...
3416. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des `DiskDoktors`-
3417.                Virus, bei der hauptsächlich der ASCII-Text geändert wurde.
3418.                Neu ist ansonsten noch, daß das Virus nun nicht mehr den
3419.                `WarmCapture`-Vektoren benutzt !
3420.  
3421.  
3422.  
3423.  
3424. Name         : `PARATAX III`
3425.  
3426. Resetvektoren: CoolCapture *
3427. Interrupts   : keine.
3428. Bibliotheks-
3429. funktions-
3430. vektoren     : DoIO () (RESET)
3431. Schäden      : keine.
3432. Anmerkung    : Hier hat sich `mal wieder ein `Lamer` besonders viel Mühe gemacht
3433.                und den `16 Bit-Crew`-Text gegen einen eigenen ausgetauscht, sowie
3434.                50 (!) * in den `Bootblock` `PARATAX` geschrieben ... schön doof.
3435.  
3436.  
3437.  
3438. Name         : `Pentagon-Slayer`
3439.  
3440. Resetvektoren: CoolCapture *
3441. Interrupts   : keine.
3442. Bibliotheks-
3443. funktions-
3444. vektoren     : DoIO () (RESET)
3445. Schäden      : `killt` einige `Bootblock`-Viren.
3446. Anmerkung    : keine.
3447.  
3448.  
3449.  
3450.  
3451. Name         : `Pentagon-Slayer 2`
3452.  
3453. Resetvektoren: CoolCapture *
3454. Interrupts   : keine.
3455. Bibliotheks-
3456. funktions-
3457. vektoren     : DoIO () (RESET)
3458. Schäden      : erkennt und löscht einige bekannte `Bootblock`-Viren.
3459. Anmerkung    : keine.
3460.  
3461.  
3462.  
3463.  
3464. Name         : `Pentagon-Slayer 3`
3465.  
3466. Resetvektoren: CoolCapture *
3467. Interrupts   : keine.
3468. Bibliotheks-
3469. funktions-
3470. vektoren     : DoIO () (RESET)
3471. Schäden      : erkennt und löscht einige bekannte `Bootblock`-Viren
3472. Anmerkung    : keine.
3473.  
3474.  
3475.  
3476.  
3477. Name         : `Revenge`
3478.  
3479. Resetvektoren: CoolCapture *
3480. Interrupts   : keine.
3481. Bibliotheks-
3482. funktions-
3483. vektoren     : DoIO ()
3484. Schäden      : keine
3485. Anmerkung    : Nach einiger Zeit verändert das Virus Ihren Mauszeiger in ...
3486.                ( ach ja wie schrieb Steve Tibbett doch : `... brings up an
3487.                 obscene pointer ...` )
3488.                Das `Revenge`-Virus steht immer ab $7E000 im Speicher !
3489.  
3490.  
3491.  
3492. Name         : `Revenge Bootloader`
3493.  
3494. Resetvektoren: KickTagPtr *
3495.                KickCheckSum *
3496. Interrupts   : keine.
3497. Bibliotheks-
3498. funktions-
3499. vektoren     : BeginIO ()
3500. Schäden      : keine.
3501. Anmerkung    : Es sind Ähnlichkeiten mit `Byte Bandit` vorhanden, die aber
3502.                nicht auf eine Mutation, sondern wohl eher auf die selbe Quelle
3503.                hindeuten !
3504.  
3505.  
3506.       
3507. Name         : `SACHSEN No. 1`
3508.  
3509. Resetvektoren: CoolCapture *
3510. Interrupts   : keine.
3511. Bibliotheks-
3512. funktions-
3513. vektoren     : DoIO () (RESET)
3514. Schäden      : keine.
3515. Anmerkung    : keine.
3516.  
3517.  
3518.  
3519.  
3520. Name         : `SADDAM HUSSEIN`
3521.  
3522. Resetvektoren: KickTagPtr *
3523.                KickCheckSum *
3524. Interrupts   : Interrupt 3 - Textausgabe
3525. Bibliotheks-
3526. funktions-
3527. vektoren     : DoIO () (RESET)
3528. Schäden      : keine.
3529. Anmerkung    : Das `SADDAM HUSSEIN`-Virus versucht im `Bootblock` durch:
3530.                `A2000 MB Memory Controller V2` zu täuschen !
3531.                ( Siehe auch `Blow Job` ! )
3532.  
3533.  
3534.  
3535.  
3536.  
3537. Name         : `SCA`
3538.  
3539. Resetvektoren: CoolCapture *
3540. Interrupts   : keine.
3541. Bibliotheks-
3542. funktions-
3543. vektoren     : DoIO () (RESET)
3544. Schäden      : natürlich keine.
3545. Anmerkung    : Das `SCA`-Virus war womöglich das erste Virus auf dem Amiga !
3546.                Um so weniger verblüfft auch die Tatsache, daß ein gewisser 
3547.                Prozentsatz aller Neuerscheinungen von `Bootblock`-Viren
3548.                `SCA`-Mutanten sind !
3549.  
3550.  
3551.  
3552.  
3553. Name         : `SCARFACE`
3554.  
3555. Resetvektoren: KickTagPtr *
3556.                KickCheckSum *
3557. Interrupts   : keine.
3558. Bibliotheks-
3559. funktions-
3560. vektoren     : BeginIO ()
3561. Schäden      : keine.
3562. Anmerkung    : keine.
3563.  
3564.  
3565.  
3566.  
3567. Name         : `Sendarion #1`
3568.  
3569. Resetvektoren: CoolCapture *
3570. Interrupts   : keine.
3571. Bibliotheks-
3572. funktions-
3573. vektoren     : DoIO ()
3574. Schäden      : keine.
3575. Anmerkung    : Bei diesem Virus handelt es sich diesmal nicht um einen `SCA`-
3576.                ,sondern `REVENGE`-Mutanten mit geändertem ASCII-Text ...
3577.  
3578.  
3579.  
3580.  
3581. Name         : `Sherlock2.0`
3582.  
3583. Resetvektoren: CoolCapture *
3584. Interrupts   : keine
3585. Bibliotheks-
3586. funktions-
3587. vektoren     : DoIO ()
3588. Schäden      : Das Antivirus `Sherlock2.0` überschreibt nach Abfrage `non-standard`-
3589.                Bootblöcke und ist somit eigentlich kein Virus !
3590. Anmerkung    : Dieses Programm ist ( so glaube ich ) das erste, das einen
3591.                deutschsprachigen ASCII-Text im `Bootblock` beinhaltet.
3592.  
3593.  
3594.  
3595.  
3596. Name         : `SS`
3597.  
3598. Resetvektoren: CoolCapture *
3599. Interrupts   : PORTS
3600.                VERTB
3601. Bibliotheks-
3602. funktions-
3603. vektoren     : keine.
3604. Schäden      : keine.
3605. Anmerkung    : Dieses Virus soll nach einem Reset eine entsprechende Grafik-
3606.                routine ausgeben, die aber wohl nicht unter `KickStart V1.2`,
3607.                sondern erst ab 1.3, funktioniert.
3608.                Das `SS`-Virus kopiert sich nicht weiter.
3609.                Dieses Virus kann nur durch einen Reset sicher gelöscht werden !
3610.  
3611.  
3612.  
3613.  
3614. Name         : `SS II`
3615.  
3616. Resetvektoren: CoolCapture *
3617. Interrupts   : PORTS
3618.                VERTB
3619. Bibliotheks-
3620. funktions-
3621. vektoren     : keine.
3622. Schäden      : keine.
3623. Anmerkung    : Dieses Computervirus funktioniert wohl so ähnlich, wie das erste
3624.                `SS`-Virus und wird auch so gelöscht.
3625.                Statt mit `!SS!` wurde dieser `Bootblock` nun mit `HEIL` ver-
3626.                schlüsselt.
3627.  
3628.  
3629.  
3630.  
3631. Name         : `Supply Team`
3632.  
3633. Resetvektoren: keine.
3634. Interrupts   : keine.
3635. Bibliotheks-
3636. funktions-
3637. vektoren     : keine.
3638. Schäden      : keine
3639. Anmerkung    : Dieses Programm ist eigentlich kein Computervirus !
3640.                Es ist wohl mehr zum Löschen von Viren gedacht, kopiert sich
3641.                nicht weiter und richtet auch keine Schäden an !
3642.                
3643.  
3644.  
3645.  
3646.  
3647. Name         : `Target`
3648.  
3649. Resetvektoren: CoolCapture *
3650. Interrupts   : keine.
3651. Bibliotheks-
3652. funktions-
3653. vektoren     : DoIO () (RESET)
3654. Schäden      : Das `Target`-Virus durchsucht ab Block 880 jede Diskette nach
3655.                einer bestimmten Zeichenfolge ( Diskname ) und schreibt, falls
3656.                es fündig geworden ist, ab Spur 80 Datenmüll auf die Diskette.
3657. Anmerkung    : Das `Target`-Virus wird von `target.install ( Malta )` erzeugt.
3658.  
3659.  
3660.  
3661.  
3662.  
3663. Name         : `Telstar`
3664.  
3665. Resetvektoren: ColdCapture *
3666.                CoolCapture *
3667. Interrupts   : keine.
3668. Bibliotheks-
3669. funktions-
3670. vektoren     : keine.
3671. Schäden      : keine.
3672. Anmerkung    : Das Programm tarnt sich als `Virusprotector V5.0` von Pieter
3673.                van Leuven und erzeugt nach einigen Resets die niederländische
3674.                Flagge + `TelStar`-Text !
3675.  
3676.  
3677.  
3678. Name         : `Termigator`
3679.  
3680. Resetvektoren: CoolCapture *
3681. Interrupts   : keine.
3682. Bibliotheks-
3683. funktions-
3684. vektoren     : DoIO () - kopiert `Bootblock` & überwacht CoolCapture *
3685. Schäden      : Das `Termigator`-Virus stört manchmal den `Boot`-Vorgang, indem
3686.                es verschiedene `GURU-Meditationen` auslöst !
3687.                Ob dies Absicht ist, ist mir nicht bekannt !
3688. Anmerkung    : Wegen absoluter Einsprünge in`s ROM, funktionert es nur unter
3689.                `KickStart V1.2` !
3690.  
3691.  
3692.  
3693.  
3694.  
3695. Name         : `T.F.C. Revenge`
3696.  
3697. Resetvektoren: KickTagPtr *
3698.                KickCheckSum *
3699. Interrupts   : RasterBeam
3700. Bibliotheks-
3701. funktions-
3702. vektoren     : DoIO ()
3703. Schäden      : kann Disketten in allen Laufwerken zerstören, die nicht schreibge-
3704.                schützt sind !
3705. Anmerkung    : Dieses `Bootblock`-Virus wird vom `Filevirus` `T.F.C. Revenge
3706.                LoadWB` erzeugt, welches in `Anhang A` dokumetiert wurde !
3707.                Es steht entweder an der Speicherstelle $7F800 oder bei $FF800.
3708.                
3709.  
3710.  
3711.  
3712. Name         : `TimeBomb`
3713.  
3714. Resetvektoren: keine
3715. interrupts   : keine.
3716. Bibliotheks-
3717. funktions-
3718. vektoren     : keine.
3719. Schäden      : überschreibt manchmal `Track 80` mit Speicherinhalt ab $20000 !
3720.                Dadurch wird die `AmigaDOS`-Disketten-Struktur zerstört !
3721. Anmerkung    : Mir ist nicht bekannt wie sich dieses Virus weiterkopiert und
3722.                mit meinem Amiga hat eine Vervielfachung dieses `Bootblock`-
3723.                Viruses auch nicht geklappt !
3724.                Ich habe aber irgendwo gelesen, daß sich dieses Virus nicht
3725.                über den Speicher weiterkopiert, sondern statt dessen sich
3726.                selbst beim `Booten` von der Diskette im Laufwerk `DF0` nach
3727.                `DF1` ( `Bootblcok` ) kopiert !
3728.  
3729.  
3730.  
3731.  
3732. Name         : `Tomates Gentechnic`
3733.  
3734. Resetvektoren: keine.
3735. Interrupts   : keine.
3736. Bibliotheks-
3737. funktions-
3738. vektoren     : keine.
3739. Schäden      : Überschreibt manchmal `Track 80` mit Speicherinhalt ab $20000 !
3740.                Dadurch wird die `AmigaDOS`-Disketten-Struktur zerstört !
3741. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des `TimeBomb`-
3742.                Viruses, wobei nur der ASCII-Text ausgetauscht wurde !
3743.                Lesen Sie also bitte auch `TimeBomb` im selben Anhang !
3744.  
3745.  
3746.  
3747.  
3748. Name         : `TURK V1.3`
3749.  
3750. Resetvektoren: CoolCapture *
3751. Interrupts   : keine.
3752. Bibliotheks-
3753. funktions-
3754. vektoren     : DoIO ()
3755. Schäden      : Das `TURK`-Virus schreibt nach $60 `TURK` in den Speicher !
3756. Anmerkung    : Dieses `Bootblock`-Virus wird vom `Filevirus` `Color` erzeugt
3757.                ( siehe Anhang A ) !
3758.                
3759.  
3760.  
3761.  
3762. Name         : `U.K. Lamer Style`
3763.  
3764. Resetvektoren: KickTagPtr *
3765.                KickCheckSum *
3766. Interrupts    : keine.
3767. Bibliotheks-
3768. funktions-
3769. vektoren     : BeginIO () - schreibt `Bootblock` und überwacht `Kick`-Vektoren
3770. Schäden      : keine.
3771. Anmerkung    : Das `U.K. Lamer Style`-Virus wird von vielen bekannten Virus-
3772.                killern mit dem `Revenge Of The Lamer Exterminator`-Virus
3773.                verwechselt !
3774.                Und in der Tat hat es auch viele Ähnlichkeiten mit diesem
3775.                `Filevirus` ( siehe Anhang A ).
3776.                Das `U.K. Lamer Style`-Virus  benutzt beispielsweise auch die `clist.
3777.                library` und ähnliche Vektoren wie das `R.L.E.`-Virus.
3778.                Es bestehen auch Ähnlichkeiten zu den `LAMER Exterminator`-
3779.                Bootblock-Viren, so daß ich es ebenfalls zur Gruppe dieser
3780.                Viren rechnen würde !
3781.                Doch im Gegensatz zu diesen zerstört es keine Disketten.
3782.                Das `U.K. Lamer Style`-Virus ist in den `Bootblöcken` immer
3783.                kodiert und auch im Speicher bleibt noch der Name `U.K. Lamer
3784.                Style` verschlüsselt.
3785.                Dem Namen nach zu urteilen vermute ich, daß dieses Virus eine
3786.                Art Verspottung bzw. `Narrenkappe` für Anfänger sein soll,
3787.                da `Lamer Style` übersetzt ja so viel bedeutet wie `Anfänger
3788.                Mode/Bekleidung` !
3789.                Dieses Virus enthält auch keine Ausgabetexte !
3790.                
3791.  
3792.  
3793.  
3794. Name         : `Ultrafox`
3795.  
3796. Resetvektoren: CoolCapture *
3797. Interrupts   : keine.
3798. Bibliotheks-
3799. funktions-
3800. vektoren     : DoIO ()
3801. Schäden      : keine.
3802. Anmerkung    : Wegen eines absoluten `DoIO`-ROM-Einsprunges, funktioniert auch
3803.                dieses `Bootblock`-Virus nur noch unter `KickStart V1.2` !
3804.  
3805.  
3806.  
3807.  
3808. Name         : `Virus Slayer V1.0`
3809.  
3810. Resetvektoren: CoolCapture *
3811. Interrupts   : keine.
3812. Bibliotheks-
3813. funktions-
3814. vektoren     : DoIO ()
3815. Schäden      : keine.
3816. Anmerkung    : Dieses Programm ist eigentlich ein Antivirus und richtet sich
3817.                gegen `Bootblock`-Viren !
3818.                Auch hier ist es so, daß wegen absoluter Adressierung bezüglich
3819.                des `DoIO`-Vektoren, ein Weiterarbeiten außerhalb von `KickStart
3820.                V1.2` nicht möglich ist !
3821.                
3822.  
3823.  
3824.  
3825. Name         : `Virus V1`
3826.  
3827. Resetvektoren: CoolCapture *
3828. Interrupts   : keine.
3829. Bibliotheks-
3830. funktions-
3831. vektoren     : DoIO ()
3832. Schäden      : keine.
3833. Anmerkung    : Dieses `Bootblock`-Virus arbeitet auch mit `KickStart V2.04` !
3834.                
3835.  
3836.  
3837.  
3838.  
3839. Name         : `Warhawk`
3840.  
3841. Resetvektoren: CoolCapture *
3842. Interrupts   : keine.
3843. Bibliotheks-
3844. funktions-
3845. vektoren     : DoIO () (RESET)
3846. Schäden      : keine.
3847. Anmerkung    : keine.
3848.  
3849.  
3850.  
3851.  
3852. Name         : `ZACCESS V1.0`
3853.  
3854. Resetvektoren: CoolCapture *
3855. Interrupts   : keine.
3856. Bibliotheks-
3857. funktions-
3858. vektoren     : DoIO () (RESET)
3859. Schäden      : keine.
3860. Anmerkung    : Bei diesem Virus handelt es sich wieder einmal um eine `SCA`-
3861.                Mutation mit geändertem ASCII-Text !
3862.  
3863.  
3864.  
3865.  
3866. Name         : `ZACCESS V2.0`
3867.  
3868. Resetvektoren: KickTagPtr *
3869.                KickCheckSum *
3870. Interrupts   : keine.
3871. Bibliotheks-
3872. funktions-
3873. vektoren     : BeginIO ()
3874. Schäden      : mir sind keine bekannt.
3875. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des `Byte Bandit`-
3876.                Viruses, bei der nur der ASCII-Text ausgewechselt wurde und die
3877.                genauso gelöscht wird wie das `Byte Bandit`-Virus selbst !
3878.  
3879.  
3880.  
3881.  
3882. Name         : `ZACCESS V3.0`
3883.  
3884. Resetvektoren: KickTagPtr *
3885.                KickCheckSum *
3886. Interrupts   : RasterBeam
3887. Bibliotheks-
3888. funktions-
3889. vektoren     : DoIO ()
3890. Schäden      : löscht wie `Extreme` Viren, indem es ganze Disketten formatiert.
3891. Anmerkung    : Bei diesem Virus handelt es sich um eine `Extreme`-Mutation mit
3892.                geändertem ASCII-Text !
3893.                Dieses Virus muß wie `Extreme` aus dem Speicher entfernt werden !
3894.  
3895.  
3896.  
3897.  
3898. Name         : `ZLX`
3899.  
3900. Resetvektoren: CoolCapture *
3901. Interrupts   : keine.
3902. Bibliotheks-
3903. funktions-
3904. vektoren     : DoIO () (RESET)
3905. Schäden      : keine.
3906. Anmerkung    : Und nun wieder einmal ein `SCA`-Mutant ...
3907.  
3908.  
3909.  
3910.  
3911.  
3912. Name         : `Zombi I`
3913.  
3914. Resetvektoren: CoolCapture *
3915. Interrupts   : keine.
3916. Bibliotheks-
3917. funktions-
3918. vektoren     : DoIO (RESET)
3919. Schäden      : Das `Zombi`-Virus schreibt den `Root`- & `BitMap`-Block ( `BAM` )
3920.                neu !
3921.                Dabei erhält die Diskette den Namen `Zombi I` !
3922.                Da das Virus den `BitMap`-Block immer nach $371 schreibt, was
3923.                jedoch nicht so bei allen AmigaDOS-Versionen geregelt ist, kann
3924.                eine Datei, die dort steht, zerstört werden !!!
3925.                Außerdem werden alle Hashwerte auf Null gesetzt.
3926.  
3927.  
3928.  
3929.  
3930.                              `Anhang C`
3931.  
3932. In diesem Anhang werden die externen Betriebssystem-Routinen des Amiga`s
3933. im Verzeichnis `L` kurz dokumentiert ! 
3934. Bei Starten von `AntiCicloVir V1.6` mit den Parametern :` AntiCicloVir DF0:L`
3935. beispielsweise, werden die Routinen `Disk-Validator`,`RAM-Handler` und
3936. `Port-Handler` im Verzeichnis `L`, der Diskette im internen Laufwerk
3937. überprüft !
3938. Entsprechen diese Routinen nicht dem Standard von `AntiCicloVir`, so erscheint
3939. eine `non-standard`-Meldung, ansonsten `OK` !
3940.  
3941.  
3942.  
3943.  
3944.  
3945.                           `Disk-Validator`
3946.  
3947.  
3948. Der `Disk-Validator` ist das erste Opfer der Virus-Programmierer geworden !
3949. Zur Zeit sind mir nur die Viren `Return Of The Lamer Exterminator` und
3950. `SADDAM` bekannt, die den `Disk-Validator` zur Tarnung und Vermehrung
3951. benutzen !
3952. Doch ich befürchte, daß es bald mehr werden !
3953. Der `Disk-Validator` wird vom Betriebssystem immer dann gestartet, wenn
3954. eine Diskette mit einem `Disk Validating Error` eingelegt wird !
3955. Also immer dann, wenn eine Disk eine ungültige `BAM` ( `Block Allocation Map` )
3956. hat !
3957. Sie kennen sicherlich die Situation, daß Sie noch schnell eine Datei auf eine
3958. nahezu volle Diskette abspeichern wollen und plötzlich kommt eine
3959. `Disk Full`-Meldung !
3960. Doch damit ist der Ärger noch längst nicht vorbei !
3961. Wenn Sie später diese Diskette benutzen werden, so hat sie einen `Disk Validating
3962.  Error`, an dem das Betriebssystem des Amiga`s selbst schuld ist !
3963. Denn jedesmal wenn eine Datei auf eine Diskette abgespeichert wird, erklärt das
3964. Betriebssystem die `BAM` für ungültig.
3965. Anschließend folgt der Abspeichervorgang.
3966. Stellt das Betriebssystem nun fest, daß die Diskette schon voll ist, so wird
3967. eine Fehlermeldung ausgegeben und der Schreibzugriff abgebrochen.
3968. Allerdings wird dabei vergessen, die für ungültig erklärte alte `BAM` wieder
3969. für gültig zu erklären !!!
3970. So kommt also der `Disk Validating Error` zustande !
3971. Ab `KickStart 2.04` wurde die `Disk-Validator`-Routine von `Commodore` in`s
3972. ROM verfrachtet !
3973. Es gibt tatsächlich keine bessere Art ein Virus auf dem Amiga zu programmieren,
3974. als über den `Disk-Validator-Trick` !
3975. Bei ungültiger `BAM` muß sowieso immer der `Disk-Validator` vom Betriebssystem
3976. gestartet werden und wenn sich das Virus selbst als `Disk-Validator`
3977. abspeichert, so wird es schon beim bloßen Einlegen einer Diskette aktiv !
3978. Bitte senden Sie mir alle `non-standard Disk-Validator` zu, damit neue
3979. `Disk-Validator`-Viren sofort erkannt werden !!!
3980.  
3981.  
3982.  
3983.  
3984.  
3985.  
3986.  
3987.  
3988.  
3989.  
3990.  
3991.  
3992.                             `RAM-Handler`
3993.  
3994.  
3995. Bisher sind mir noch keine `RAM-Handler`-Viren bekannt !
3996. Der `RAM-Handler` dürfte für Virus-Programmierer weniger interessant sein,
3997. als etwa der `Disk-Validator` !
3998. Der `RAM-Handler` wird wohl immer nach dem `Booten` einer Diskette aktiviert,
3999. um das Gerät `RAM:` anzulegen !
4000. Ein mögliches `RAM-Handler`-Virus würde also automatisch beim `Booten` aktiv
4001. werden ! ( Hoffentlich habe ich jetzt niemanden auf irgendwelche Ideen gebracht
4002. ... )
4003. Bitte schicken Sie mir auch alle `non-standard RAM-Handler` zu !
4004.  
4005.  
4006.  
4007.  
4008.  
4009.  
4010.  
4011.  
4012.  
4013.  
4014.                                `Port-Handler`
4015.  
4016. Bisher sind mir noch keine `Port-Handler`-Viren bekannt !
4017. Ich möchte aber jetzt schon um die Zusendung aller `non-standard Port-Handler`
4018. bitten !
4019.  
4020.  
4021.  
4022.  
4023.  
4024.  
4025.                             `Anhang D `
4026.  
4027. In diesem Anhang werden nun alle Resetroutinen & -programme aufgeführt,
4028. die mit absoluter Sicherheit harmlos sind und von `AntiCicloVir` deshalb
4029. im Speicher weder verändert noch gelöscht werden !
4030.  
4031.  
4032. - `ASS Virusprotector V1.0`:
4033.  
4034.   Hierbei dürfte es sich um ein älteres Antivirusprogramm handeln !
4035.   Es steht im `Bootblock` und überwacht die Zeiger CoolCapture * &
4036.   KickTagPtr * !
4037.   Zeigt CoolCapture * nicht auf null, so warnt das Programm Sie vorm
4038.   `SCA`-Virus, zeigt KickTagPtr * nicht auf null vorm `Byte Bandit`-Virus
4039.   und löscht den Zeiger !
4040.   Das Antivirus-Programm `ASS` installiert sich in den Speicher mittels
4041.   des KickTagPtr * & KickCheckSum * und überwacht nun den Zeiger
4042.   CoolCapture * !
4043.  
4044. - `SystemZ V3.0-V6.5`:
4045.  
4046.   Hierbei handelt es sich um Pieter van Leuven`s bekannten `Virusprotector`,
4047.   der schon von Anfang an bei der Virenbekämpfung dabei war !
4048.   Das Programm ist resetfest und erzeugt nach jedem Reset ein audio-visuelles
4049.   Signal - beim `Booten` wird der Bildschirm grün !
4050.   `SystemZ` erkennt mehrere `Bootblock`-Viren im Speicher & auf Diskette
4051.   und kopiert sich nach Abfrage selbst über ein `Bootblock`-Virus !
4052.   Da die Zahl der `Bootblock`-Viren wohl schon 200 überschritten hat und
4053.   im `Bootblock` ( 1024 Bytes ) nur begrenzt Platz ist, dürfte `SystemZ`
4054.   seine Zeit bereits hinter sich haben ...
4055.  
4056.  
4057.  
4058.   
4059.  
4060. Matthias Gutt              
4061. Kantstr.16
4062. W-2120 Lüneburg
4063. Tel.: 04131/49624 ( 20.30 -21.30 Uhr )
4064.  
4065.