home *** CD-ROM | disk | FTP | other *** search
/ GEMini Atari / GEMini_Atari_CD-ROM_Walnut_Creek_December_1993.iso / files / virus / atarivir / atarivir.a89 < prev   
Encoding:
Text File  |  1992-03-10  |  20.1 KB  |  378 lines
  1. ========================================================================
  2. ==                Computer Virus Catalog (Version 1.2)                ==
  3. ========================================================================
  4. ==        Status:      October 31, 1989                               ==
  5. ==        Classified: 15 MSDOS-Viruses (MSDOSVIR.A89)                 ==
  6. ==                    24 AMIGA-Viruses (AMIGAVIR.A89)                 ==
  7. ==                     6 Atari-Viruses (ATARIVIR.A89: this document)  ==
  8. ========================================================================
  9. = This document contains the classifications of the following viruses: =
  10. ==             1) Anthrax = Milzbrand Virus                          =+=
  11. ==             2) c't Virus                                           ==
  12. ==             3) Emil 1A Virus = "Virus 1A"                          == 
  13. ==             4) Emil 2A Virus = "Virus 2A" = mad Virus              ==
  14. ==             5) Mouse (Inverter) Virus                             =U=
  15. ==             6) Zimmermann-Virus                                    ==
  16. ========================================================================
  17. == Remark: updates or additions sind  last edition (July 31st, 1989)  ==
  18. == are marked =U= or =+= in column 72. We have problems to get        ==
  19. == viruses, since many users wish to exchange their viruses (like     ==
  20. == stamps) against our's, which we principally refuse: the Virus Test ==
  21. == Center's ethical standard is, that we do not spread viruses!       ==
  22. ========================================================================
  23.  
  24. ======================================================================== 
  25. == The Computer Virus Catalog may be copied free of charges provided  ==
  26. == that the source is properly mentioned at any time and location     ==
  27. == of reference.                                                      ==
  28. ==                                                                    ==
  29. ==  Editor:   Virus Test Center, Faculty for Informatics              ==
  30. ==            University of Hamburg                                   ==
  31. ==            Schlueterstr. 70,  D2000 Hamburg 13, FR Germany         ==
  32. ==            Prof. Dr. Klaus Brunnstein, Simone Fischer-Huebner      ==
  33. ==            Tel: (040) 4123-4158 (KB), -4715 (SFH), -4162(Secr.)    ==
  34. ==  Email (EAN/BITNET): Brunnstein@RZ.Informatik.Uni-Hamburg.dbp.de   ==
  35. ======================================================================== 
  36. ==  Critical and constructive comments as well as additions are       ==
  37. ==  appreciated. Especially, descriptions of recently detected viruses =
  38. ==  will be of general interest. To receive the Virus Catalog Format, == 
  39. ==  please contact the above address.                                 ==
  40. ========================================================================
  41.  
  42.  
  43. == Computer Virus Catalog 1.2: Milzbrand=Anthrax Virus (Nov.9, 1989) ===
  44. Entry...............: Milzbrand Virus
  45. Alias(es)...........: Anthrax
  46. Virus Strain........: ---
  47. Virus detected when.: April 1987
  48.               where.: C'T (a german computermagazin)
  49. Classification......: Program Virus (Extending V.)
  50. Length of Virus.....: 1222 Bytes 
  51. --------------------- Preconditions -----------------------------------
  52. Operating System(s).: ATARI-TOS
  53. Version/Release.....: All Versions of ATARI TOS 
  54. Computer model(s)...: All Atari ST models
  55. --------------------- Attributes -------------------------------------
  56. Wasy Identification.: if killing the FAT it shows six 'Viruses' on screen
  57.                       the Virus body (readable with HexDump-facilities)
  58.                       include the text : 'DIES IST EIN VIRUS'
  59.                                          (=`This is a Virus')
  60. Type of infection...: Executable File infection(.PRG) extending
  61. Infection Trigger...: all programs>1000 Bytes
  62. Storage media affected: Infects programs on disks and hard disks 
  63.                         (in the actuell path)
  64. Interrupts hooked...: ---
  65. Damage..............: overwriting bootblock and FAT on disks A and B
  66. Damage Trigger......: year=1987
  67. Particularities.....: shows six 'Viruses' on screen
  68. Similarities........: ---
  69. --------------------- Agents ------------------------------------------
  70. Countermeasures.....: Category 1.1 Monitoring Files: program which
  71.                                    monitors (attempted) changes of
  72.                                    files
  73.                       Category 2: Alteration Detection: a program which
  74.                                   detects changes of given files
  75.                       Category 3: Eradication: a program which erases
  76.                                   specific virus code from files
  77. Countermeasures successful: --- 
  78. Standard means......: Write protect the disk
  79. --------------------- Acknowledgement ---------------------------------
  80. Location............: Virus Test Center, University Hamburg, FRG
  81. Classification by...: ---
  82. Documentation by....: Ralf Stegen
  83. Date................: Nov.9 1989
  84. Information Source..: C'T April 1987
  85. ===================== End of MILZBRAND Virus ==========================
  86.  
  87.  
  88. ===== Computer Virus Catalog 1.2: c't-Virus (July 30, 1989) ============
  89. Entry...............: c't Virus 
  90. Alias(es)...........: ---  
  91. Virus Strain........: ---
  92. Virus detected when.: ---
  93.               where.: ---
  94. Classification......: System (=BootSector) Virus, Reset-resident.
  95. Length of Virus.....: 512 Byte
  96. --------------------- Preconditions ------------------------------------
  97. Operating System(s).: ATARI-TOS
  98. Version/Release.....: 1.0 (06.02.86), 1.2 (TOS 1.4 not tested)
  99. Computer model(s)...: All types of the Atari ST Series
  100. --------------------- Attributes ---------------------------------------
  101. Identification......: ---
  102. Type of infection...: The virus tests two longwords near the top of the
  103.                       available memory at locations (memtop)-$200 and
  104.                       (memtop)-$200+$A.
  105.                       The first longword is checked for $12123456, the
  106.                       second one for $07A31CDF. If one of these doesnot
  107.                       match, the virus is installed.
  108.                       The virus is reset-resident.
  109.                       1st: Virus is copied to a new location in memory;
  110.                       2nd: Virus's age is increased by 1.
  111. Infection Trigger...: Each time a diskette is changed, the new one
  112.                       will be infected.
  113. Storage media affected: Infects only diskettes. Damages Hard disks.
  114. Interrupts hooked...: No interupts used.hdv_bpb and hdv_mediach vectors 
  115.                       are changed for installation in the system.
  116. Damage..............: Transient/Permanent damage:
  117.                       A damage can occur only if a harddisk is connected 
  118.                       to the system. Because of an error in the virus, 
  119.                       the partition information will be destroyed, if 
  120.                       the virus tries to write to the harddisk.
  121.                       Otherwise, the following message is displayed on 
  122.                       the screen after every 20th infection:
  123.                       "ARRRGGGHHH Diskvirus hat wieder zugeschlagen" 
  124. Damage Trigger......: Value of infection counter: every 20th infection.
  125. Particularities.....: ---
  126. Similarities........: ---
  127. --------------------- Agents -------------------------------------------
  128. Countermeasures.....: Programs that calculate the checksum and change 
  129.                       it, if it is $1234; the sector is then regarded as 
  130.                       not executable. (Category 1.3)
  131. Countermeasures successful: ---
  132. Standard means......: Write-protect the disk. Write a well-known program
  133.                       to the boot sector; 'manually' change the check-
  134.                       sum to a value other than $1234 .
  135. --------------------- Acknowledgement ----------------------------------
  136. Location............: Virus Test Center, University Hamburg, FRG
  137. Classification by...: 
  138. Documentation by....: Michael Gaudlitz          
  139. Translated by.......: Bert K④hler  
  140. Date................: July 30, 1989
  141. Information Source..: c't (Computer Magazine)                              
  142. ===================== End of c't Virus =================================
  143.  
  144.  
  145. ===== Computer Virus Catalog 1.2: Emil 1A Virus (July 30, 1989) ========
  146. Entry...............: Emil 1A Virus  
  147. Alias(es)...........: "Virus 1A"
  148. Virus Strain........: ---
  149. Virus detected when.: 1987? 
  150.               where.: FR Germany
  151. Classification......: System (Boot Sector) Virus
  152. Length of Virus.....: 512 Byte
  153. --------------------- Preconditions ------------------------------------
  154. Operating System(s).: Atari-TOS
  155. Version/Release.....: 1.0, 1.2 (1.4 not tested)
  156. Computer model(s)...: All types of the Atari ST Series
  157. --------------------- Attributes ---------------------------------------
  158. Easy Identification.: Boot sector will not be infected, if first word 
  159.                       is $6038.
  160. Type of infection...: Infects the boot sector of the disk, if it is
  161.                       regarded as not infected.
  162. Infection Trigger...: Each time a floppy disk is changed, the new 
  163.                       disk will be infected.
  164. Storage media affected: Floppy disks.
  165. Interrupts hooked...: No interrupts used; diskvector hdv_bpb changed.
  166. Damage..............: Infects the boot sector of the disk, if it is 
  167.                       regarded to be non-infected.
  168.                       If the memory resident virus finds a fitting 
  169.                       key on a boot sector (first longword = $60381092),
  170.                       then that sector is loaded and executed, regard-
  171.                       less of the checksum. (Normally, the checksum
  172.                       should be $1234 to indicate that this boot sector
  173.                       is executable).
  174. Damage Trigger......: Keyword ($60381092) in other Boot sectors. 
  175. Particularities.....: ---
  176. Similarities........: See Emil 2A Virus.
  177. --------------------- Agents -------------------------------------------
  178. Countermeasures.....: Programs that calculate the checksum and 
  179.                       change it, if it is $1234; then, the sector  
  180.                       is regarded as not executable. The suspicious 
  181.                       (dangerous) second part of the virus might 
  182.                       not be recognized because it does not need
  183.                       to have the proper checksum (see: Damage).
  184. Countermeasures successful: --- 
  185. Standard means......: Write protect the disk.
  186.                       Write a well-known program to the boot sector;
  187.                       'manually' change the checksum to a value other 
  188.                       than $1234 .
  189. --------------------- Acknowledgement ----------------------------------
  190. Location............: Virus Test Center, University Hamburg, FRG
  191. Classification by...: Thomas Piehl/ Michael Nagel
  192. Documentation by....: Bert K④hler
  193. Translated by.......: Bert K④hler/Paul Drake (Racal-Milgo/TEMEX)/
  194. Date................: July 30, 1989
  195. Information Source..: ---
  196. ===================== End of Emil 1A Virus =============================
  197.  
  198.  
  199. ===== Computer Virus Catalog 1.2: Emil 2A Virus (July 30, 1989) ========
  200. Entry...............: Emil 2A Virus  
  201. Alias(es)...........: "Virus 2A" = mad Virus
  202. Virus Strain........: ---
  203. Virus detected when.: 1987?
  204.               where.: FR Germany
  205. Classification......: System (Boot Sector) Virus
  206. Length of Virus.....: 512 Byte
  207. --------------------- Preconditions ------------------------------------
  208. Operating System(s).: ATARI-TOS
  209. Version/Release.....: 1.0, 1.2 (TOS 1.4 not tested)
  210. Computer model(s)...: All ATARI ST Computer models
  211. --------------------- Attributes ---------------------------------------
  212. Easy Identification.. First byte in infected boot sector is $60.
  213. Type of infection.... Infects the boot sector of a disk, if it is 
  214.                       regarded as not yet infected (value other than
  215.                       $60 in first byte) and increments a variable.
  216. Infection Trigger...: Every access to non-infected floppy disk.
  217. Storage media affected: Floppy disks.
  218. Interrupts hooked...: No Interrupts used;
  219.                       hdv_rw vector changed to infect new disks.
  220. Damage............... Permanent Damage: overwrites Boot sectors.
  221.                       Transient damage: After each 5th infection, the 
  222.                       screen is randomly shifted (upside down) or
  223.                       inverted, together with a beep.
  224. Damage Trigger......: Random.
  225. Particularities.....: Evidently, this is a "Demo Virus"; but it may 
  226.                       easily be changed to a dangerous one with only 
  227.                       moderate programming experiences.
  228. Similarities........: See Emil 1A Virus.
  229. --------------------- Agents -------------------------------------------
  230. Countermeasures.....: Programs that calculate the checksum and change 
  231.                       it, if it is $1234; then, the sector is regarded 
  232.                       as not executable.
  233. Countermeasures successful: --- 
  234. Standard means......: Write protect the disk.
  235.                       Write a well-known program to the boot sector;
  236.                       'manually' change the checksum to a value other 
  237.                       than $1234.
  238.                       Reboot the system with a 'clean' disk.
  239. --------------------- Acknowledgement ----------------------------------
  240. Location............: Virus Test Center, University Hamburg, FRG
  241. Classification by...: Ralf Stegen
  242. Documentation by....: Ralf Stegen
  243. Translation by......: Bert K④hler
  244. Date................: July 30, 1989
  245. Information Source..: ---
  246. ===================== End of Emil 2A Virus =============================
  247.  
  248.  
  249. == Computer Virus Catalog 1.2: Mouse (Inverter) Virus (Nov.11 1989) ==
  250. Entry...............: Mouse (Inverter) Virus
  251. Alias(es)...........: Ghost 
  252. Virus Strain........: ---
  253. Virus detected when.: ---
  254.               where.: ---
  255. Classification......: System (BootSector) Virus, Reset-resident, 
  256.                       Overwriting
  257. Length of Virus.....: 512 Byte
  258. --------------------- Preconditions -----------------------------------
  259. Operating System(s).: ATARI-TOS 
  260. Version/Release.....: All Version of TOS
  261. Computer model(s)...: All types of the Atari ST Series
  262. --------------------- Attributes -------------------------------------
  263. Easy Identification.: ---
  264. Type of infection...: Self-Identification: The Virus tests adresse $140
  265.                       for the first Virus instruction; virus installs
  266.                       itself reset- and RAMresident if virus code does
  267.                       not match.
  268. Infection Trigger...: Each time a new diskette is inserted, the virus 
  269.                       will infect the new diskette.
  270. Storage media affected: The virus infect drive A,B!
  271. Interrupts hooked...: No Interrupts used.
  272.                       Resetvector for installation changed.
  273.                       hdv_bpb changed to infect Bootsector of new Disk.
  274. Damage..............: Permanent Damage: Overwriting Bootsectors.
  275.                       Transient Damage: Inverting Mouse Up-Down Moving-
  276.                                         direction.
  277. Damage Trigger......: Damage Action after 10 infections. Always after     
  278.                       5 new infections,the Mouse Movingdirection is 
  279.                       again inverted.
  280. Particularities.....: ---
  281. Similarities........: ---
  282. --------------------- Agents ------------------------------------------
  283. Countermeasures.....: Programm that checks hdv_bpb-, Reset-vector if 
  284.                       adresse is not lower $400(Exception vectors)
  285.                       (Category 1.2).
  286.                       Programs that calculate the checksum and change 
  287.                       it, if it is $1234; the sector is then regarded
  288.                       as not executable. Reboot the system with a
  289.                       'clean' disk! ( Category 1.3 ).
  290. Countermeasures successful: Poke instruction 'move.l #$D6,d3' to 
  291.                       adresse $140 (this excludes Virus' installation).
  292. Standard means......: Write-protect the disk. 
  293.                       Write a well-known program to the boot sector;
  294.                       'manually' change the checksum to a value other 
  295.                       than $1234.
  296. --------------------- Acknowledgement ---------------------------------
  297. Location............: Virus Test Center, University Hamburg, FRG
  298. Classification by...: Thomas Piehl  
  299. Documentation by....: Thomas Piehl             
  300. Date................: Nov. 11,1989
  301. Information Source..: ---
  302. ===================== End of Mouse (Inverter) Virus ====================
  303.  
  304.  
  305. ===== Computer Virus Catalog 1.2: Zimmermann-Virus (July 30, 1989) =====
  306. Entry...............: Zimmermann-Virus  
  307. Alias(es)...........: ---
  308. Virus Strain........: ---
  309. Virus detected when.: 1988?
  310.               where.: FR Germany
  311. Classification......: Program Virus (Extending V.)
  312. Length of Virus.....: 1414 Byte
  313. --------------------- Preconditions ------------------------------------
  314. Operating System(s).: ATARI-TOS
  315. Version/Release.....: All versions
  316. Computer model(s)...: All types of the Atari ST Series             
  317. --------------------- Attributes ---------------------------------------
  318. Easy Identification.: Infected System: The virus checks if the Trap 1-
  319.                       vector points to a certain byte-sequence. Infected
  320.                       programs are recognized by enlargement of the file
  321.                       length and by typical virus specific code.
  322. Type of infection...: Program virus: the virus code is appended at the
  323.                       end of the program; the loader table is adjusted.
  324. Infection Trigger...: Every time when a program is executed.
  325. Storage media affected: Floppy disks only.
  326. Interupts hooked....: VBL-Interupt for time control.
  327.                       Trap #1 to control program start. 
  328. Damage..............: Permanent Damage: the virus only infects files 
  329.                       with extensions PRG, TTP and TOS in the current 
  330.                       directory on drives A and B. The program's 
  331.                       startup-time is considerably increased.
  332. Damage Trigger......: ---
  333. Particularities.....: After installation in the system, the virus is
  334.                       distributed every time a program is started from 
  335.                       disk A or B. Approximately 30 minutes after the 
  336.                       installation, the virus generates a file, 50 bytes
  337.                       long, with an unusual name consisting of special 
  338.                       characters: "@^#%&   .(-: ".  The file is read-
  339.                       only and contains the following text:
  340.  
  341.                       ";-) As MAD Zimmermann will be watching you )-;"
  342.  
  343.                       The characters at the ends of the line can be 
  344.                       regarded as a happy face on the left and a sad 
  345.                       face on the right side; probably kind of ASCII-
  346.                       comic with political background: F.Zimmermann is 
  347.                       a well-known conservative politician in FRG, and
  348.                       a strong opponent of privacy and data protection; 
  349.                       as former minister of Interior, he was responsible
  350.                       for several intelligence agencies, though not for 
  351.                       the German military intelligence service "MAD".
  352. Similarities........: ---
  353. --------------------- Agents -------------------------------------------
  354. Countermeasures.....: The virus can be detected in and removed from  
  355.                       infected files by 'Zimmermann Virusfilter 
  356.                       Program', written by Thomas Piehl (see below).
  357. Countermeasures successful: 4DETECT detects the Zimmermann-Virus, if you 
  358.                       set 'System Supervision' to 'On'; 4DETECT then
  359.                       tells when the trap #1 vector is changed. 
  360.                       4DETECT also supervises suspicious write accesses
  361.                       to boot sectors and program files.
  362. Standard means......: Write-protect the disk.
  363. --------------------- Acknowledgement ----------------------------------
  364. Location............: Virus Test Center, University Hamburg, FRG
  365. Classification by...: Thomas Piehl           
  366. Documentation by....: Thomas Piehl
  367. Translated by.......: Bert K④hler
  368. Date................: July 30, 1989
  369. Information Source..: ---
  370. ===================== End of Zimmermann-Virus ==========================
  371.  
  372. ========================================================================
  373. ==                  End of ATARIVIR.789 document                      ==
  374. ==              (375 Lines, 2.045 Words, 21k Bytes)                   ==
  375. ========================================================================
  376.  
  377.  
  378.