home *** CD-ROM | disk | FTP | other *** search
/ Kosovo Orphans' Appeal Charity CD / KosovoOrphansAppeal.iso / utilities / _vzap / docs / viruses < prev   
Encoding:
Text File  |  1998-08-24  |  10.8 KB  |  232 lines
  1. VIRUSES
  2. ~~~~~~~
  3. VZap v1.33 - This version currently copes with around 120 viruses and/or
  4. variants of virus.
  5.  
  6.  
  7. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  8. The following information is provided for reference and is aimed at the
  9. more technical reader. It is by no means exhaustive and not all viruses
  10. detected by !VZap are listed. However, if you think you've found a 
  11. new virus, or a strain of existing virus that you don't think !VZap 
  12. detects, please send it to me on a CLEARLY LABELLED disc, together with
  13. the version number of !VZap you are using and a SAE.
  14.  
  15. I will then endeavour to modify and upgrade !VZap accordingly and send
  16. you back your disc with the latest version of !VZap. Again, this service
  17. is FREE OF CHARGE (on receipt of disc and SAE) to registered users.
  18.  
  19. N.B. Please do not try to disable and/or make viruses inoperative, as this
  20. can lead to problems in reactivating them. Just send me them 'as they are',
  21. on a clearly labelled disc.
  22.  
  23. In alphabetical order:-
  24.  
  25. All New ID virus (also known as 'Options' virus)
  26.    Seems similar to the icon virus in that !Boot files have a couple of
  27.    lines added to them to run a basic program called 'Options'. This
  28.    doesn't appear to have any side-effects other than taking up memory in
  29.    the computer and being unable to Quit, so seems reasonably harmless.
  30.    !VZap detects it's presence and deletes it.
  31.  
  32. ArchieVirus (also known as &FF8 virus) - possibly similar to 'Jester'
  33.    This affects files with the filetype 'Absolute' (hence FF8) by adding
  34.    code to the end and then calling this new code.
  35.    I haven't actually seen this virus so !VZap detects it but does not
  36.    destroy it. Please let me know if you locate it.
  37.    
  38. BBCEconet (affects 'absolute' files)
  39.    Adds virus code onto the end of 'absolute' filetypes and also installs
  40.    a modified 'BBCEconet' module.
  41.    
  42. BigFoot (detection added at v1.33)
  43.    A quite tricky one to track down because it generates a random filename
  44.    to save the virus code as, and amend the !Boot file.
  45.    It gives various error messages depending whether it's 25th Dec, 5th Nov,
  46.    4th Jul or 15th Mar.
  47.  
  48. Breakfast (various different variations)
  49.    This virus affects Absolute (&FF8) filetypes by adding around 6.5k onto
  50.    the end of the file, then changing the first few instructions to jump to
  51.    the virus code at the end. This is quite a nasty one to detect as the 
  52.    virus code itself is EOR encoded, using random codes. It also scrambles
  53.    bytes &18 to &94 of the original file.
  54.    !VZap will detect and restore affected files to their original condition
  55.    by deleting the virus code and amending the beginning of the file to
  56.    the original instructions. This virus quite often hides in the Squeeze
  57.    utility (if you have it in your library directory)
  58.  
  59. Datadqm (also known as Vigay virus)
  60.    This virus seems to be linked to me for some reason, presumably because
  61.    being written in BASIC it can be modified easily by people. Therefore 
  62.    there could be variations of this one around, some with my name added to
  63.    them - possibly by competitive virus killer authors.
  64.    It doesn't seem to be a virus as such, merely a desktop 'silly' capable of
  65.    replicating itself into any application without a !Boot file.
  66.    Note, it does not delete or change any data, so is harmless. The program
  67.    itself flickers the screen occasionally to make it look as though you have
  68.    a loose monitor connection. However, as it can be easily altered, other
  69.    variations could do other effects.
  70.    !VZap kills both the new !Boot file and the 'Datadqm' file.
  71.    IF ANY COMPANY SELLING A COMMERCIAL VIRUS KILLER CLAIMS THAT I HAVE WRITTEN
  72.    MANY VIRUSES THEY ARE LYING AND I WOULD LIKE TO BE INFORMED - BEFORE TAKING
  73.    LEGAL ACTION.
  74.    
  75. Die Hard (seems to be a variation on the Icon virus)
  76.    This virus adds a line to the !Boot file and saves itself under the
  77.    filename 'setup'.
  78.    It is capable of killing the Vprotect virus killer module and will
  79.    delete the 'Killer' virus killer. It seems incapable of deleting
  80.    !VZap.
  81.    !VZap restores the !Boot file and deletes the relevant virus program.
  82.    
  83. Extend (also known as MonitorRM, ColourRM, FastMod, CheckMod, ExtendRM,
  84.         OSExtend, CodeRM or MemRM)
  85.    Again, this virus doesn't seem to be that harmful but will waste memory
  86.    and occasionally crash modules with the 'Address exception' error.
  87.    Extend is incapable of loading when !VZap is already installed, as
  88.    !VZap will delete it as soon as it tries to load. !VZap will also
  89.    inform you if it's already in memory when you load !VZap.
  90.    !VZap removes the offending lines from the !Boot file and deletes the
  91.    additional virus module. !VZap also amends the !Boot file so that
  92.    the Extend virus thinks it's already been infected and won't infect it
  93.    again. This gives increased protection against repeated attack.
  94.    Some variants call themselves Amiga!, andrew or more tasteless names.
  95.    
  96. Extent
  97.    Seems to be a variation on the Extend virus (above). VZap recognises and
  98.    zaps a number of different versions.
  99.    
  100. Icon (also known as Filer, Icon-A, Poison, Splodge or NewVirus)
  101.    This is a short BASIC program that is filetyped as a sprite and named
  102.    'Icon'.
  103.    This is another virus with a number of variations floating around, 
  104.    again presumably because it is written in BASIC. VZap will attempt to
  105.    detect possibly new variations of this virus, but if you ever have any
  106.    doubts about a particular file, you are always welcome to contact me for
  107.    more information.
  108.    !VZap restores the !Boot file and deletes the 'Icon' file.
  109.    Versions 1.03 upwards also eliminate the Icon5574 variation.
  110.    Versions 1.28 also scan all sprite files to verify that they are indeed
  111.    sprite files.
  112.  
  113. Image
  114.    No specific data available on this one. !VZap simply detects it's
  115.    presence. Please contact me if you suspect you are infected.
  116.    
  117. IRQfix (also known as RiscExtRM, WimpPoll, OSSystem, MiscUtil, FastRom,
  118.         or AppRM)
  119.    Works in a similar way to the Extend virus but using one of the names
  120.    above.
  121.    !VZap restores the !Boot file and deletes the relevant virus module.
  122.  
  123. Honey Monster (detection added at v1.32)
  124.    Adds a !Boot file which in turn loads a file called "Bab", which is
  125.    written in BASIC and gives a 'dripping' screen effect if the date is
  126.    Fri 13th. Note, that this virus can replicate itself.
  127.    !VZap deletes the virus loading lines from the !Boot file and deletes the
  128.    BASIC "Bab" file.
  129.    
  130. Jester (detection added at v1.14) (could be a variation to the ArchieVirus!)
  131.    Affects 'absolute' (&FF8) files by adding virus code onto the end of the
  132.    application code and then adjusting the original execution address to call
  133.    the new virus code. Once loaded, Jester installs a module called 'Filer'
  134.    which contains it's reproduction code. It can be detected from the
  135.    RISC OS Filer because of an additional hard space, CHR$(160), at the
  136.    end of the module name.
  137.    There currently seem to be two variations; one affecting files which start
  138.    with a BL instruction and another for the B instruction.
  139.    !VZap deletes the virus code and restores affected files. It will also
  140.    detect this virus loading into memory and give you the option to
  141.    remove it.
  142.    
  143. Link (detection added at v1.33) also known as BSToDel.
  144.    Seems to be a variation of the Extend virus.
  145.    
  146. Module
  147.    Another quite common module virus.
  148.    VZap detects and restores affected modules.
  149.    
  150. MonitorDAT (detection added at v1.33)
  151.    Seems to be a variation on the DataDQM/Vigay virus. Some versions seem
  152.    to have copyright messages to imply they were written by anti-virus
  153.    authors. These names are no doubt added by people modifying them.
  154.    VZap deletes the relevant !Boot and program files.
  155.  
  156. Net Manager
  157.    No specific data available on this one. !VZap simply detects it's
  158.    presence. Please contact me if you suspect you are infected.
  159.    
  160. NetStatus (also known as Arcuebus, GraphMdl, InfoFile, ModularR, ProgUtil,
  161.            PureMath, Resource, SoundMdl or SystemRS)
  162.    This is similar to the IRQfix virus, but replaces one of the modules
  163.    already present in RiscOS - The NetStatus one.
  164.    This virus is detectable because it's version number (3.07) is higher
  165.    than that currently in RISC OS, yet it is dated 1988.
  166.    !VZap restores the !Boot file and deletes the relevant virus module.
  167.    
  168. Nitemare (detection added at v1.33)
  169.    Rather a nasty one which tends to copy loads of files with names " ..."
  170.    etc into any <Obey$Dir> directories. The virus code is randomly
  171.    generated, as are the lines added to !Boot and !Run files.
  172.    VZap scans !Boot and !Run files amending them back to their original
  173.    status as well as deleting any files referenced by lines in either !Run
  174.    or !Boot.
  175.    VZap also deletes any additional sprite files which are added.
  176.    A tell tale sign of this virus is either lots of filenames with " "
  177.    characters in them or lots of additional sprite files containing a single
  178.    sprite called "file_394".
  179.    
  180. Pattern
  181.    Seems to be a variation on the Extend virus (above). VZap recognises and
  182.    zaps a number of different versions.
  183.  
  184. !Room
  185.    Appears to be a Trojan which triggers itself when it receives a !Help 
  186.    request (wimp message &502), when it kills VProtect and sets an Obey 
  187.    command to run the file and then delete the directory containing the
  188.    file.
  189.    !VZap stops the module from loading whilst !VZap is loaded, and also
  190.    detects and deletes the module from discs.
  191.    
  192. Simple (detection added at v1.33)
  193.    No specific data on this one.
  194.    It just has a message (C) 1994 The Dark Lord in it
  195.    VZap deletes it.
  196.    
  197. Thunderpants (detection added at v1.33)
  198.    VZap copes with about 20 variants of this virus.
  199.    Some variations attempt to wipe <Killer$Dir> presumably in an attempt
  200.    to delete copies of Pineapple's virus killer.
  201.    Some try to rename the floppy disc in drive 0.
  202.    Others are generally harmless, but again it's easy to modify.
  203.  
  204. VanDamme
  205.    This is quite a nasty one to detect as it's name is chosen from a
  206.    random assortment of letters and it affects either !Boot files or !Run
  207.    files. One danger of this virus is that there is a slim (1 in 100000)
  208.    chance of it re-formatting the disc in drive 0.
  209.    !VZaps protection is two-fold. Firstly, it will restore affected
  210.    !Boot files and delete the relevant virus program. Secondly, whilst
  211.    !VZap is installed, it will detect the VanDamme virus attempting to
  212.    load and bleep, opening the wimp watcher (status) window.
  213.    
  214. Other known viruses
  215. ~~~~~~~~~~~~~~~~~~~
  216. Cebit/Lord of Darkness/TlodMod
  217. Link
  218. Millennium
  219. MyMod (fairly harmless)
  220. Parasite (nasty one)
  221. Sprite (also quite nasty)
  222. Thanatos/RiscOSext/TaskAlloc (also nasty)
  223. TrapHandler
  224. Valid
  225.  
  226. These viruses seem to be very rare, as I have yet to be notified of any
  227. actual infections 'in the field' so to speak. Please always feel free to
  228. contact me if you suspect that your machine may be infected with a new or
  229. unrecognised virus. I will then endeavour to help and update !VZap as
  230. quickly as possible.
  231.  
  232. ⌐P.Vigay, 1997