home *** CD-ROM | disk | FTP | other *** search
/ telefisk.org / amiga_virus_collection_research.7z / VIRUSRESEARCH / ZIB / VT3.02D_KURZ < prev    next >
Text File  |  1999-06-12  |  6KB  |  150 lines
  1.  
  2.    Heiner Schneegold
  3.    Am Steinert 8
  4.    97246 Eibelstadt
  5.    (Deutschland)
  6.  
  7.    Tel: 09303/99104
  8.    (19.00 - 20.00 Uhr)
  9.    EMail: Heiner.Schneegold@t-online.de
  10.  
  11.   letzte Aenderung: 97-12-05
  12.  
  13.   Aenderungen seit VT3.01    VT-Laenge: 357016 Bytes
  14.  
  15.    WICHTIG !!!!!
  16.       Um Linkviren SICHER zu finden, die sich HINTER
  17.       den 1.Hunk linken, MUESSEN Sie FileTest auf-
  18.       rufen !!!
  19.  
  20.    - ZIB-Inst.-Inst.     (spatch)           97-12-05
  21.  
  22.    - ZIB-Inst.     (loadwb)                 97-12-04
  23.  
  24.   Aenderungen seit VT3.00    VT-Laenge: 356432 Bytes
  25.  
  26.    - ZIB-Virus     (Link)                   97-11-23/24
  27.  
  28.    - LiSA-3.0-Trojan   (Zerstoerung SYS:)   97-10-15
  29.  
  30.   ------ bitte die Texte in VT.kennt.A-Z einfuegen --------
  31.        
  32.      - LiSA-3.0-Trojan   Zerstoerung
  33.         anderer moeglicher Name: ScanEbola97
  34.         Keine verbogenen Vektoren
  35.         Nicht Resetfest
  36.         68040: Ja
  37.         Bekannte Filenamen:
  38.             - ScanEbola97   L: 7004 Bytes
  39.         Nach FileID: ScanEbola97: Scans your hard-drive for the
  40.                      Ebola97-virus.
  41.         In Wahrheit werden bei ALLEN (!!!!) Files auf SYS: die ersten
  42.         #16 Bytes veraendert.
  43.         z.B. Dir:
  44.             vorher:                      nachher:
  45.         00: 000003f3 00000000 ........ : 4c695341 20465543 LiSA FUC
  46.         08: 00000001 00000000 ........ : 4b555020 76332e30 KUP v3.0
  47.         10: 00000000 00000353 .......S : 00000000 00000353 .......S
  48.         18: 000003e9 00000353 .......S : 000003e9 00000353 .......S
  49.         Da nur wenige Bytes veraendert werden, kann VT versuchen, aus-
  50.         fuehrbare Files zu retten. Bei Daten-Files (.info, lha usw.)
  51.         ist KEINE (!!!!) Rettung durch VT moeglich.
  52.         Ob sich der Zeitaufwand lohnt, muessen Sie selbst entscheiden.
  53.         Ich habe fuer eine 270MB Syquest zwei Tage gebraucht.
  54.         Bitte installieren Sie unbedingt zuerst die Workbench neu.
  55.         Es werden damit schon viele Files wieder brauchbar. Danach gehen
  56.         Sie bitte mit Sp-File-Sp und DirFTest Unterverzeichnis fuer
  57.         Unterverzeichnis durch.
  58.         Bei Data-Files ersetzt VT das "L" nach der Erkennung durch ";"
  59.         also ";iSA". Manchmal koennen Sie solche Files (z.B. startup-
  60.         sequence) noch durch Nacharbeit mit einem Editor retten.
  61.         Fuer Icons usw. dagegen kenne ich keine Loesung.
  62.           
  63.  
  64.    - ZIB-Inst.      Installer
  65.          ab KS2.04: ja
  66.          Verbogener Vektor: LoadSeg
  67.          Resetfest: Nein
  68.          Filename: z.B. loadwb
  69.          Virusteillaenge: #1264 Bytes (also 4 Bytes mehr als ZIB-Virus)
  70.          Link hinter den ersten Hunk.
  71.          Speicherverankerung und Vermehrungsbedingungen:
  72.            - siehe bei ZIB-Virus
  73.            - es wird an die Files dann das ZIB-Virus (1260) gelinkt.
  74.          Sprung aus loadwb in das Linkteil (auch mehrfach):
  75.            - move 4.w,a6 (4 Bytes) wird zu bsr.w Linkteilstart  (6100wxyz)
  76.            - move.l 4,a6 (6 Bytes) wird zu bsr.w Linkteilstart + 1 NOP
  77.                - Looptiefe $7FFF
  78.            - RTS wird zu bra.s Linkteilstart+4  (60yz)
  79.                - Looptiefe $7B + 4
  80.            (also anderer Vorgang als ZIB-Virus)
  81.          VT versucht das Linkteil aus loadwb auszubauen.
  82.                   
  83.  
  84.    - ZIB-Inst.-Inst.      Installer fuer loadwb
  85.          Filename: z.B. spatch
  86.          Virusteillaenge: #2080 Bytes
  87.          Link hinter den ersten Hunk.   
  88.          Decodiert (mit $85 und $BEEF) ist im Linkteil zu lesen: 
  89.                                          496e               In
  90.           7374616c 6c657220 76312e33 20627920 staller v1.3 by
  91.           556e6974 65642046 6f726365 5320a931 United ForceS .1
  92.           39393600 633a6c6f 61647762 0000646f 996.c:loadwb..do
  93.           732e6c69 62726172 79000000          s.library...
  94.          Sprung aus spatch in das Linkteil (auch mehrfach):
  95.            - move 4.w,a6 (4 Bytes) wird zu bsr.w Linkteilstart  (6100wxyz)
  96.            - move.l 4,a6 (6 Bytes) wird zu bsr.w Linkteilstart + 1 NOP
  97.                - Looptiefe $7FFF
  98.            - RTS wird zu bra.s Linkteilstart+4  (60yz)
  99.                - Looptiefe $7B + 4  
  100.              (also anderer Vorgang als ZIB-Virus)
  101.          Vermehrungsbedingungen:
  102.            - c:loadwb wird gefunden  (also SEHR gefaehrlich)
  103.            - Medium validated
  104.            - mind. #10 Block frei
  105.            - usw.
  106.            - Linkverlaengerung von loadwb um #1264 Bytes (also 4 Bytes
  107.              mehr als ZIB-Virus)
  108.          VT versucht das Linkteil aus spatch auszubauen.
  109.  
  110.  
  111.    - ZIB-Virus      File  Link
  112.          ab KS2.04: ja
  113.          Verbogener Vektor: LoadSeg
  114.          Resetfest: Nein
  115.          Fileverlaengerung: 1260 Bytes
  116.          Link hinter den ersten Hunk.
  117.          Decodiert (mit $BABE) ist im Linkteil zu lesen:
  118.             0003b090 4e757877 fdfc646f 732e6c69 ....Nuxw..dos.li
  119.             62726172 79006273 64736f63 6b65742e brary.bsdsocket.
  120.             6c696272 61727900 533a5a49 42006c69 library.S:ZIB.li
  121.          Speicherverankerung:
  122.            - LastAlert wird auf "TRSi" geaendert
  123.            - LoadSeg wird verbogen
  124.            - neuer Prozess wird erzeugt  Name: ZIB
  125.            - Es wird nach bsdsocket.library gesucht und falls vorhanden
  126.              veraendert. Diese Lib liegt nicht in Libs,sondern wird von
  127.              einigen Programmen (z.B. Miami) im Programm mitgefuehrt. Diese
  128.              Lib wird immer nach Programmende (Miami) wieder aus dem
  129.              Speicher entfernt, auch wenn Veraenderungen vorgenommen waren.
  130.              (So war es auf meinem Testrechner).
  131.          Vermehrungsbedingungen:
  132.            - File ausfuehrbar ($3F3)
  133.            - max. Filelaenge #125000 Bytes
  134.            - min. Filelaenge keine Untergrenze gefunden
  135.            - 3E9-Hunk wird gefunden
  136.            - Medium validated
  137.            - mind. 5 Block frei
  138.            - RTS wird gefunden  ( max. loop $3E+1 )
  139.            - RTS wird ersetzt durch bra.s oder NOP (falls RTS genau
  140.              am Ende des ersten Originalhunks). Auch mehrere RTS
  141.            - Versucht FileDate zu retten
  142.            - Veraendert Word von Protection-LW
  143.          Falls bsdsocket.lib im Speicher, dann versucht der ZIB-Process
  144.          ueber das Modem eine Nachricht abzuschicken.
  145.          VT versucht Loadseg im Speicher zurueckzusetzen.
  146.          VT versucht das Linkteil aus einem File auszubauen.
  147.          VT versucht den ZIB-Process aus dem Speicher zu entfernen.
  148.          Besser waere aber ein Booten von einer sauberen Disk
  149.  
  150.