Amiga Collections: Franz PD

home *** CD-ROM | disk | FTP | other *** search

/ Amiga Collections: Franz PD / Franz PD Disk #141 (1991-10)(Rhein-Sieg-Soft).zip / Franz PD Disk #141 (1991-10)(Rhein-Sieg-Soft).adf / VD105 / VIRUS.DOC < prev next >

Wrap

Text File | 1991-09-26 | 37KB | 1,028 lines

Virus-Dokumentation V1.1 C 1991 by Matthias Gutt `Vorwort` In diesem File werden einige Viren beschrieben, die ich bei der Programmierung meiner Viruskiller und besonders bei der Programmierung von `Vector-Detector` kennengelernt habe. Diese Dokumentation soll dem Anwender ermöglichen sich über einige bekannte AMIGA-Viren zu informieren, damit er seine Disketten zukünftig besser gegen diese schützen kann. Diese Datei kann mit der Option `VD104 v` auch von `Vector- Detector` gelesen werden, wenn der Name (VIRUS.DOC) nicht geändert wurde und sie sich mit dem Viruskiller im selben Verzeichnis befindet. Diese Datei is PD und darf frei weitergegeben werden. Den Serien `AmigaLibraryDisks`,`FRANZ PD`,`TAIFUN`,`A.U.G.E`, `BAVARIAN`,`KickStart`,`GSF-PD`,`Jaguar`,`Unicorn-PD` und `!-PD` wurde diese Dokumentation zum Veröffentlichen ange- boten. Die Datei `VIRUS.DOC` darf prinzipiell auf jeder Diskette ver- öffentlicht werden, auch wenn dies nicht im Zusammenhang mit `Vector-Detector` geschieht. Trotzdem behalte ich mir das recht vor, Serien die Veröffentlich zu untersagen, wenn diese Dokumentation in einem nicht ange- brachten Zustand veröffentlicht wird. Für die hundertprozentige Sicherheit, aller Daten und Infor- mationen dieser Datei kann ich wieder garantieren noch Haften. Eine Weitergabe einer manipulierten `VIRUS.DOC`-Datei ohne meine Einwilligung ist nicht erlaubt und kann strafrechtlich verfolgt werden (Copyright). VIREN: (`Boot`) `Byte Bandit` Der `Byte Bandit`-Virus schreibt seine Startadresse in die Speicherstelle von `KickTagPtr`. So bleibt er nach jedem RESET im Speicher bestehen und kann neue Disketten infizieren. Aber auch wenn Sie Ihre Disketten wechseln, während der Arbeit mit der Workbecnh beispielsweise, kopiert sich der Virus weiter. Über ein Interrupt-Programm fragt der Virus die Bits 2 und 3 der Speicherstelle $bfe001 ab . Sobald eine neue ,nichtschreibgeschützte Diskette eing- legt wird, schreibt er seinen Bootcode aus dem Speicher auf die ersten beiden Sektoren der Diskette. `Byte Bandit` benutzt zum Kopieren des Bootblocks auch das `trackdisk.device`. Ein zweites Programm überwacht das BIT 3 der Speicher- stelle $bfe001 während des Boot-Vorgangs, um zu ver- hindern, daß sich der Virus auf eine schreibtgeschützte Diskette kopiert, denn durch eine Fehlermeldung würde er sich verraten. `Byte Bandit` kopiert sich nur in den Bootblock, richtet aber keinen weiteren Schaden an. Der Virus beinhaltet allerdings einen `Kopie-Zähler`, der am Anfag des Bootblocks binär bzw. hexdezimal angibt, um die wievielte Kopie es sich handelt. Mit diesem kleinen Utilitie läßt sich der Weg des Viruses in Ihr System zurückverfolgen. Wenn `Vector-Detector` den Virus im Speicher erkannt hat, löscht es zuerst den `KickTagPtr` und schreibt die Maschinensprachebefehle des Interrupt-Programmes so um, daß es keine weiteren Disketten mehr infizieren kann. Die Version 1.0 konnte das Interrupt-Programm nicht stoppen, aber da es bereits auch den `KickTagPtr` löscht ist `Byte Bandit` nach einem Reset nicht mehr im Speicher. `Byte Warrior` Dieser Virus benutzt ebefalls den `KickTagPtr` um resi- dent im Speicher stehen zu können. Er hat in etwa ähnliche Eigenschaften, wie der `Byte Bandit`- Virus. Das Programm schreibt sich an eine bestimmte Speicher- stelle und wartet, daß eine neue Diskette eingelegt wird, oder ein Reset ausgeführt wird . Anschließend kopiert es sich in den Bootblock. Ein Interrupt-Programm kontrolliert ebenfalls, ob die eingelegten Disketten schreibtgeschützt sind. Wenn nicht, dann schreibt es sich natürlich in den Bootblock. Der Virus löscht außerdem die Inhalte von ColdCapture und CoolCapture. `Byte Warrior` richtet auf den Disketten keinen weiteren Schaden an. Außerdem funktioniert er nur bis Kickstart 1.2 `Vector-Detector` löscht den KickTagPtr und schreibt das Interrupt-Programm so um, daß es keine Disketten mehr infiziert. `SCA` Der `SCA`-Virus ist einer der harmlosesten und ältesten Amiga-Viren. Er schreibt sich an eine feste Adresse im Speicher und kopiert den Wert in den CoolCapture-Vektoren. Nach jeder Reset-Routine wird das Programm in den Boot-Vorgang eingebunden. Dabei kopiert es sich in den Bootblock jeder neuen nicht-schreibtgeschützten Diskette. Mit einem `SCA`-Virus im Speicher können Sie z.B. ein Dateiverzeichnis vom AmigaDOS aus bearbeiten und so viele Disketten verwenden wie Sie wollen . Der Virus kopiert sich nur nach dem Booten weiter. Wenn `Vector-Detector` den Virus im Speicher findet braucht es nur den CoolCapture-Vektoren zu löschen. `Gadaffi` Der `Gadaffi`-Virus benutzt den KickTagPtr um resident im Speicher zu stehen. Außerdem setzt er noch den CoolCapture-Vektoren auf seine Startadresse im Speicher. Ein Interrupt-Programm kontrolliert in `CIA-A`, ob jede neu eingelegte Diskette schreibtgeschützt ist. Das neueartige an diesem Virus ist, daß das Interrupt- Programm die Werte von CoolCapture und KickTagPtr immer wieder neu in die Speicherstellen schreibt. Es nützt also nichts, wenn man einmal diese Zeiger auf null setzt. Typisch für diesen Virus ist, daß nach etwa fünf Rebootes, der Bildschirm dunkel wird und das Laufwerk fürchterlich zu rattern anfängt. Das mag oder soll wohl einen Anfänger glauben lassen, daß sein Amiga kapputt ist. Aber auch wenn es nicht zu diesem Zwischen fall kommt, hört man den `Gadaffi`-Virus schon an einem hohen surrenden Ton des Laufwerks beim Einlegen von Disketten beispielsweise. Ob das auf Dauer schädlichen Einfluss auf den Lesekopf hat, weiß ich nicht. Ich habe auch viel mit diesem Virus gearbeitet. Ob einige Störungen des internen Laufwerks meines Amiga von diesem Virus verursacht wurden kann ich nicht genau sagen. Außerdem wird noch der ColdCapture-Vektor gelöscht. `Vector-Detector` startet ein eigenes Interrupt-Programm, welches die Zeiger der Vektoren wieder auf null setzt. Anschließend schreibt es das Interrupt-Programm so um, daß es inaktiv ist. `NORTH STAR` Dieser Virus funktioniert im Prinzip so, wie der `SCA`- Virus. Er schreibt seine Adresse ebenfalls in den CoolCapture- Vector und kopiert sich nach jedem Rebooten auf neue Disketten ,die nicht schreibtgeschützt sind. Dieser Virus ist im Prinzip genauso harmlos wie der `SCA`- Virus, da er ja keine Schäden anrichtet. Was ihm diesem gegenüber aber besonders überlegen macht, ist das er sobald er auf einen Viruskiller, wie beispielsweise `SystemZ` im Bootblock trifft, eine `Alert`-Medlung ausgibt: `This disk contains an old virusprotector...` Und sie auffordert den Schreibschutz zu entfernen. Bevor Sie dies nicht tuen wird der `Boot`-Vorgang gestoppt. Bei einem richtigen `Virusprotector` könnten sie diese Meldung durch drücken der Maustaste übergehen. Das ist beim `NORTH STAR`-Virus nicht der Fall. Deshalb sollten Sie in solch einer Situation den Schreibschutz nicht entfernen, sondern erst den Speicher Ihres Rechners checken. `Vector-Detector` löscht den CoolCapture-Vector. `NORTH STAR II` Bei diesem Virus hat sich in Bezug auf seinen Vorgänger wenige geändert. Er beinhaltet einen anderen Text im Bootcode. Ansonsten benutzt er auch den CoolCapture-Vektoren und wird genauso gelöscht wie der `NORTH STAR`-Virus. `LAMER EXTERMINATOR II` Dieser Virus ist mit großem Abstand, zumindest von den vorrangegangenen Viren, einer der gefährlichsten !! Er steht nie an derselben Adresse im Speicher, und erzeugt (optisch) nie denselben Bootcode auf Disketten !! Wenn der Virus im Speicher steht, dann simuliert er bei vielen Viruskillern einen normalen Standard-Bootblock. Er überwacht außerdem noch alle wichtigen System- Adressen und kopiert nach einigen Rebootes das Wort `LAMER`(bedeutet Amiga-Anfänger) in die Disk-Datenblöcke. Das verursacht natürlich immer häufiger `read/write errors` und ähnliches. Um den `LAMER-EXTERMINATOR-VIRUS-II` im Speicher zu finden liest das Programm die Adresse von `KickTagPtr` aus und trifft dabei auf eine weitere Adresse. Diese Adresse hat immer den Offset #54 zum Wort `Lamer`! Wenn `Vector-Detector` an dieser Stelle das Wort findet, warnt es Sie vor diesem Virus ! Außerdem löscht es den KickTagPtr ! Leider kann es den Virus nicht vollständig löschen. Erst nach einem Reset ist der Virus dann gelöscht. Ich kann leider auch nicht garantieren, daß mein Viruskiller auch wirklich jeden `Lamer-Exterminator`- Virus erkennt. Sollten Sie also nach dem Booten eine Veränderung der System-Vektoren feststellen, so würde ich raten den Bootblock zu kontrollieren. Der Bootcode des Virus ist wie schon erwähnt immer verschieden ! Mal findet man nur vereinzelte Zeichen, dann wieder ein WirrWarr von Buchstaben ! Auf zehn verschiedenen infizierten Disketten des gleichen Viruses hätten Sie zehn unterschiedliche Bootblöcke. Der Virus verändert die Boot-Prüfsumme. Charakteristisch für den Virus ist, daß in der ersten Zeile des Bootblockes ein Standard-Bootcode steht, wo die `dos.library` aufgerufen wird. Anschließend folgt das Virus-Programm. Dieses Programm produziert den eigentlichen Virus erst im Speicher. Deshalb werden Sie beim `Lamer-Exterminator` auch nirgends den Namen wie z.B. bei anderen Viren finden. Das Programm besteht wahrscheinlich aus vielen Daten- übertragungsbefehlen(move), die den Virus im Speicher an eine x-beliebige Stelle setzen. Das Programm im Speicher verändert nun die Boot-Prüf- Summe ,wenn es einen neuen Virus auf eine Diskette kopiert. Dieser neue Bootcode kopiert den Virus wieder an eine neue Stelle im Speicher usw. `HCS` Falls mal die Power-LED Ihres Amigas merkwürdig zu blinken anfangen sollte nach dem Booten, dann muß das nicht heißen, daß Ihrem Rechner nun bald der `Saft` ausgeht, sondern daß Sie den `HCS`-Virus im System haben. Dieser Virus startet nach dem Booten ein Interrupt-Programm , welches in der Speicherstelle $bfe001 abwechselnd das Bit für die Power-LED setzt und löscht. Wer also schon einmal diesen Virus im System hatte wird wegen des verräterischen Blinkens der Power-LED kein zweites mal auf ihn hereinfallen. Der Virus kopiert sich in den Bootblock jeder neuen nicht schreibtgeschützten Diskette und tut dies nur während des Bootens - also nicht beim Diskettenwechsel. Ansonsten richtet der `HCS`-Virus keinen weiteren Schaden an. Er überwacht den KickTagPtr und schreibt seine Start- adresse in den CoolCaptureVector. `Vector-Detector` braucht also nur diesen Zeiger wieder auf null zu setzen. An dieser Stelle möchte ich mich auch noch bei Michael Flühler(Schweiz) für die Einsendung bedanken. `Pentagon-Slayer` Dieser Boot-Virus ist eigentlich mehr ein Viruskiller als Virus ! Denn er kopiert sich nur in den Bootblock von den Disketten , die von anderen Viren infiziert sind. Zu diesen Viren gehören z.B. `Byte Bandit`,`ByteWarrior`, `SCA`,`NORTH STAR` und vermutlich auch `Lamer-Exterminator`. Der `Pentagon-Slayer`-Virus richtet keinen Schaden an, da er sich auf Disketten kopiert, die ja schon bereits in- fiziert sind. Es werden also keine Bootblöcke zerstört. Durch diese lobenswerte Eigenschaft kann der Virus sogar gefährliche Viren stoppen, die sich in Ihrem System breitgemacht haben, ohne das Sie etwas davon wissen. Da die Ausbreitung von Boot-Viren fast komplett gestoppt wurde hat der "Pentagon-Slayer`-Virus auch seine Schuldigkeit getan. Er bleibt resetfest mittels des CoolCapture-Vektoren. Wenn Sie beim Rebooten die linke Maustaste drücken löscht sich der Virus von selbst. Wenn `Vector-Detector` den Virus findet löscht es den CoolCaptureVector. Auch diesen Boot-Virus sandte mir Michael Flühler aus der Schweiz zu. `Revenge` Dieser Virus benutzt ebenfalls den CoolCaptureVector, um den Reset zu überleben. Er kopiert sich aber auch beim Diskettenwechsel weiter. Der `Revenge`-Virus kopiert sich nur in den Bootblock jeder Diskette. Sonst richtet er keinen weiteren Schaden an. Nachdem Rebooten haben Sie die Wahl ! Sie können den linken oder den rechten Mausknopf drücken. In beiden Fällen scheint der Virus zu verschwinden ... Ein paar Minuten nach dem Booten stellt der Virus übrigens noch einige `Ferkeleien` mit dem Mauszeiger an. `Vector-Detector` löscht den CoolCaptureVector und zer- stört den Task, um den Virus zu stoppen. Für diesen Boot-Virus bedanke ich mich ebenfalls bei Michael Flühler. `DiskDoktors` Mit `Lamer-Exterminator` gehört der `DiskDoktors`-Virus zu den gefährlichsten Amiga-Viren. Er ist sehr schwer im Speicher auszumachen. Außerdem steht dieser Virus nicht an der üblichen Stelle im Speicher wo auch die meisten anderen Programme dieser Art vorzufinden sind, sondern etwa 15000 - 20000 Bytes darüber. Er benutzt keine mir bekannten System-Vektoren. Lediglich die Capture-Vectoren verändert der Virus. Obwohl er diese Zeiger nicht benötigt überwacht er deren Inhalt mit einem Interruptprogramm, welches die Vektoren wieder auf Ihren alten Stand setzt, falls sie verändert worden sind. Die Zeiger sollen den Virus in einer anderen Speicher- gegend vortäuschen. Mir ist nicht bekannt, wie der Virus resetfest ist. Nach einigen Rebootes kopiert der Virus einige Daten aus der `Execbase` in den Speicher, wodurch Speicherplatz verloren geht. Dazu benötigt er vermutlich das `clipboard.device`. `Vector-Detector` kann nur vor dem `DiskDoktors`-Virus warnen ihn aber nicht löschen. Sie sollten dann nicht all zu lange zögern auch Ihre übrigen Disketten zu prüfen. Der `DiskDoktors`-Virus macht sich aber durch ein tiefes Surren des Laufwerks auch für den Anfänger bemerkbar, ähnlich wie der `Gadaffi`-Virus. Auch diesen Virus bekam ich von Michael Flühler (CH). `LSD` Der `LSD`-Virus ist im Prinzip nur ein `SCA`-Mutant mit den gleichen Eigenschaften. `Vector-Detector` löscht nur den CoolCaptureVector. `Timebomb` Was der `Timebomb`-Virus genau anrichtet ist mir nicht bekannt. Dem Namen nach zu urteilen wartet er auf eine bestimmte Bedingung, bis er losschlagen kann. Auf meinen Disketten hat er sich jedenfalls nicht ausge- breitet. Es scheint so, als ob sich der Virus auch nicht bei jedem Rebooten in den Speicher kopiert. Allerdings installiert er sich nach einem bestimmten Zeitpunkt resetfest in den Speicher und benutzt dabei keine mir bekannten System-zeiger. Ob der Amiga zehn Stunden eingeschaltet , hundert mal rebootet geworden sein muß oder die Uhr 0.00 Uhr Mitternacht anzeigen muß bis der Virus endlich losschlägt ist mir nicht bekannt. Welche Schäden der Virus gegebenenfalls anrichten kann ist mir auch nicht bekannt. Wenn `Vector-Detector` diesen Virus findet zerstört es ein- zelne Unterfunktionen des Programms, so daß ich davon aus- gehe, daß der Virus nicht mehr funktionieren kann. Auch diesen Virus bekam ich von Michael Flühler. `2001` Der `2001`-Virus kopiert sich an eine Speicherstelle, und schreibt deren Wert in den `CoolCapture`-Vector. Er überprüft beim Rebooten, ob die eingelegte Diskette schreibgeschützt ist, da er sich ansonsten in den Boot- block kopiert . Er funktioniert ähnlich wie der `SCA`-Virus . Ich glaube aber auch nicht, daß er besonders weit ver- breitet ist, da er eine schlechte Angewohnheit hat, die vermutlich dazu da ist Amiga-Anfänger zu ärgern. Befindet sich dieser Virus im System während Sie einen Reset auslösen und es liegt anschließend keine Disk im Laufwerk, dann kommt eine `Guru-Meditation` statt des üblichen `Titelbildes`. Ein Adress-Error(0000...3) deutet dann meistens auf den `2001`-Virus hin. Wenn Sie nun eine Diskette einlegen und die linke Maus- taste drücken arbeitet das System wieder. Da ein verzweifelter Anfänger dann wohl eher den Amiga ausschalten würde anstatt eine Disk einzulegen, kann sich dieser Virus kaum weiterkopieren. `Vector-Detector` löscht den `CoolCapture`-Vektor. `MAD` Der `MAD`-Virus ist vermutlich ein überarbeiteter `Byte Bandit`-Virus. Es deutet einiges daraufhin. Der Virus verbiegt den `DoIo`-Vektor auf sein eigenes Interrupt-Programm. Über die `CIA`-Bausteine kontrolliert er, ob eine schreibge schützte Diskette eingelegt wurde oder nicht. Der `MAD`-Virus kopiert sich nur beim Diskettenwechsel nach einer mit einem `MAD`-Virus verseuchten Diskette weiter. Denn `MAD` verändert keine System-Vektoren und ist auch nicht Resetfest. Nach einem Reset ist der Virus von selbst gelöscht. Außerdem benutzt der `MAD`-Virus auch die `trackdisk.device `-Struktur, um sich aus dem Speicher in den Bootblock zu kopieren. Wie auch die Viren `Byte Bandit` und `Revenge` hat `MAD` eine `Copy-Zähler`. `Vector-Detector` schreibt das Interrupt-Programm wieder um, damit es ungefährlich bleibt. `MAD II` Der `MAD II`-Virus gehört zu den gefährlicheren der `MAD`- Viren und hat auch wenig Ähnlichkeit mit dem alten `MAD`- Virus. Er verändert den Zeiger von `WarmCapture` und `KickTagPtr`. Mit einem Interrupt-Programm setzt er diese Zeiger immer wieder neu. Dieser Virus kopiert sich nach dem Rebooten und während des normalen Disketten-Wechsels weiter. Er richtet keinen Schaden auf den Disketten oder im Boot- block an. Manchmal jedoch wird eine Unterroutine angesprungen und dann stoppt der Amiga beim Booten und der Bildschirm wird schwarz. Währenddessen setzt das Programm den `CoolCaptureVector`, `KickMemPtr` und die `PowerSupplyFrequenz` auf seine eigene Adresse. Welchen Sinn es macht die Netzspannungsfrequenz auf die Adresse des Viruses zu setzen ist mir rätselhaft. Nach einem Reset folgt dann eine `Guru-Meditation`. `Vector-Detector` startet einen Task, der das Interrupt- Programm stoppt. `MAD III` Der `MAD III`-Virus steht mittelts des `KickTagPtr` residen t im Speicher. Er kopiert sich nach jedem Rebooten in den Bootblock und nach jedem Diskettenwechsel. Er startet ein Interrupt-Program, das den `DoIO`-Vektor auf seine eigene Adresse setzt. Der Virus löscht außerdem die Inhalte von `ColdCapture` und `WarmCapture`. `MAD III` richtet keinen Schaden und kopiert sich nur in den Bootblock. Er überprüft die Speicherstelle $bfe001 und checkt dort, ob die eingelegte Disk schreibgeschützt ist. Es gibt ein paar typische Merkmale dieses Viruses. Wenn der Virus im Speicher ist und sie legen neue Diskette n ein, dann ertönt in etwa ein Geräusch wie beim Einlegen nicht formatierter oder zerstörter Disketten. Außerdem blinkt jedes mal beim Rebooten, wenn keine Disk im Laufwerk ist die Laufwerks-LED auf. Falls Sie mit einem anderen Viruskiller die Bootblöcke von Disketten untersuchen, wenn sich noch `MAD III` im Speicher befindet, dann simuliert er auf fast jeder Diskette sich selbst. Nachdem Sie den Virus gelöscht haben, werden Sie aber feststellen, daß er auf nur wenigen Disketten war. Mehr kann ich eigentlich nicht zu diesen Virus schreiben, denn ich durchblicke einige Teile dieses merkwürdigen Programms auch nicht. So weiß ich auch nicht welche Bedeutung der Aufruf der `icon.library` haben soll. `Vector-Detector` löscht den `KickTagPtr` und schreibt das Interrupt-Programm um, wenn es diesen Virus im Speicher findet. `MAD IV` Dieser Virus ist höchstwahrscheinlich ein Mutant des `Lamer-Exterminator`-Viruses. Er schreibt sich mittels des `KickTagPtr` im Speicher resetfest. `MAD IV` löscht den `WarmCapture`-Vektor, funktioniert ansonsten aber ähnlich wie der `Lamer-Exterminator`-Virus und das heißt, daß er auch Datenblöcke zerstört. Statt `Lamer` schreibt er `MAD` in die Datablocks. Da der Virus ansonsten dem `Lamer-Exterminator`-Virus gleicht, können Sei nähere Informationen zu diesem Virus auch bei `Lamer-Exterminator II` nachlesen. `Vector-Detector` kann diesen Virus nur anzeigen, aber nicht löschen, ähnlich wie bei `Lamer-Exterminator II`. `AIDS` Das einzig gefährliche an diesem Virus ist eigentlich nur sein Name. Nun mag es sein, daß zwar eine gewisse Analogie zwischen den richtigen und den Computer- Viren besteht, allerdings finde ich die Bezeichnung `AIDS` für einen Computer-Virus sehr makaber und unpassend ! Ich meine auch, daß man mit solchen Sachen keinen Spaß machen sollte !! Bei diesem Virus handelt es sich im Prinzip nur um einen einfachen `SCA`-Clone. Dieser Virus funktioniert genau so wie der `SCA`-Virus, bloß mit dem Unterschied, daß er einen anderen Text im Bootblock hat. Er benutzt den `CoolCapture`-Vektoren um resident im Speicher zu stehen. Alles weitere über diese Virusart und deren Funktionen können Sie allso genau so gut unter `SCA` nachlesen. Wenn `Vector-Detector` diesen Virus findet braucht es nur den `CoolCapture`-Vektoren zu löschen und der Virus ist gekillt ! Für die Einsendung dieses Viruses bedanke ich mich bei Michael Ortmanns, dem Programmierer vom `Virus-Checker` ! `Vkill-VIRUS` Um einen besonders üblen Scherz handelt es sich bei diesem Virus ! Sollten Sie den Viruskiller `Vkill`, der ja sehr bekannt und weit verbreitet ist in Ihrem System haben und sich wundern, weshalb massenweise Bootblöcke und Boot-Intros von Ihren Disketten ver- schwinden, dann dürften die jetzt folgenden Informationen für Sie besonders wichtig sein !!! Denn momentan ist leider eine `krankhaft entartete` Variante des Viruskillers `VKill V1.0` im Umlauf ! Die guten Absichten des Programmierers von `Vkill V1.0`, nämlich den Anwender vor Computerviren zu schützen, wurden leider von einem Virusprogrammierer zu nichte gemacht ! Es gibt kaum ein Merkmal, welches den Viruskiller `Vkill V1.0` u vom Virus `Vkill V1.0` unterscheidet. Der `Vkill`-VIRUS funktioniert im Prinzip genauso wie der Viruskiller `Vkill`. Dieses 1000 Byte große Programm steht im Bootblock und kopiert sich nach jedem Booten in den Speicher. Von dort aus überwacht es während des `Bootens` die Diskette. Findet es dort einen `non-standard-bootblock`, so gibt es eine entsprechende Warnung aus und Sie haben per `Gadget` die Möglichkeit diesen Bootblock zu überschreiben. Auch wenn Sie beispielsweise bei der Arbeit mit der `Workbench` die Disketten wechseln checkt das Programm die Bootblöcke der neu eingelegten Disketten und gibt ebenfalls eine Meldung aus, falls ein verdächtiger Bootblock gefunden wird. Danach haben Sie wieder die Möglichkeit den Bootblock zu über- schreiben ! Außerdem erkennt `Vkill V1.0` auch Viren wie beispielsweise `Byte Bandit` ,`SCA` u.v.m. Soweit so gut ! Diese Funktionen hat der `Vkill`-VIRUS gleichermaßen, wie der Viruskiller `Vkill`. Doch wenn Sie von nicht schreibgeschützten Disketten Booten oder diese ins Laufwerk legen, dann schreibt sich der `Vkill`- VIRUS ohne Rücksicht auf seriöse `Boot-Programme` und ohne irgendeine Abfrage oder Meldung selbst in den Bootblock. Diese `krankhafte` und sinnlose Ausbreitung von `Vkill V1.0` geschieht allerdings auf Kosten der seriösen `Boot-Programme` und `Boot-Intros`. So kann es sein, daß Sie nach einiger Zeit nur noch `Vkill V1.0` in den Bootblöcken Ihrer Disketten haben und sonst nichts !! Nun gibt es ja einige Disketten, deren Programme bzw. Spiele, nur vom `Bootblock` gestartet werden können (Copy-Schutz). Hat sich der `Vkill`-VIRUS darüber kopiert, so ist die ganze Diskette für Sie verloren und 80,- oder 100,- DM wären damit umsonst ausgegeben. Ansonsten läßt sich sagen, daß der `Vkill`-VIRUS keine weiteren Schäden anrichtet. Sollten Sie allerdings von Disketten `Booten`, in deren Bootblock sich ein `Virusprotector` oder irgend ein anderes `Boot-Programm` befindet, so boykottiert der `Vkill`-VIRUS die `Boot-Routine` solange, bis Sie das `Destroy`-Gadget angeklickt und den Schreibschutz entfernt haben. Dann sei noch gesagt, daß der Virus auch den Einsprungsvektor einer Bibliotheks-Routine verbiegt und bestimmte `Exceptions` (Ausnahme-Bedingung für den Prozessor) setzt ! Um sich während jedem Diskettenwechsels weiter zu kopieren bzw. eine `Requester`-Meldung auszugeben startet das Programm ein `Interrupt`-Programm und verbiegt den `DoIO`-Vektor auf die eigene `IO-Request`-Struktur. Der Virus bleibt mittels des `CoolCapture`-Vektoren resident im Speicher und ist so resetfest. Leider gibt es für jemanden, der sich wenig für`s Programmieren interessiert kaum eine Chance den VIRUS `Vkill V1.0` vom Viruskiller `Vkill V1.0` zu unterscheiden. Trotzdem sollten Sie nicht jedes `Vkill`-Programm als Virus verdächtigen ! Im Prinzip kamm jeder `Bootblock-Viruskiller` in einen `Virus` verwandelt werden ! Das könnte auch mit `SystemZ` passieren. Es empfiehlt sich daher zusätzlich einen Viruskiller zu ver- wenden, der nicht im Bootblock installiert wird, wie beispiels- weise `Vector-Detector` ... Es gibt aber eine Möglichkeit den `Vkill`-VIRUS vom `Vkill`- Viruskiller zu unterscheiden. Machen Sie sich eine Kopie von einer Diskette auf der sich ein `Boot-Intro` oder ein anderes `seriöses` `Boot-Programm` befindet ! `Booten` Sie nun von einer Diskette auf der sich `Vkill` be- findet. Legen Sie anschließend bitte die Kopie ohne Schreibschutz ein. Kommt nun eine Meldung wie : `Vkill V1.0 Bootblock infection control non-standard-bootcode` Dann wissen Sie das es der Viruskiller `Vkill V1.0` ist. Kommt jedoch keine Meldung sondern das Laufwerk startet kurz, dann wissen Sie das es der `Vkill`-VIRUS ist. Leider kann der Viruskiller `Vkill V1.0` den VIRUS `Vkill V1.0` auch nicht erkennen. Außerdem muß ich noch schreiben, daß dieser Virus den selben Trick benutzt, wie der `Lamer-Exterminator`-Virus ! Sollten Sie also mit einem Viruskiller den Bootblock checken, während sich der `Vkill`-VIRUS im Speicher befindet, so kann es sein, daß der Virus dem Viruskiller einen normalen Boot- block vortäuscht, obwohl sich der Virus auf der Diskette befindet !! Deshalb ist es wichtig erst den `Vkill`-VIRUS aus dem Speicher zu entfernen . Wenn `Vector-Detector` diesen Virus findet löscht es den `CoolCapture`-Vektoren und schreibt das Maschinensprache- Programm in Speicher so um, daß es keine Disketten mehr infizieren kann. An dieser Stelle sei angemerkt, daß ein erfahrener Programmierer den `Vkill`-VIRUS wieder so umprogrammieren könnte, daß er wieder wie ein normaler Viruskiller funktioniert. Dabei sollten Sie jedoch die `Copyright-Bestimmungen` beachten ! Für die Einsendung dieses Viruses bedanke ich mich bei Michael Ortmanns, dem Programmierer vieler nützlicher Hilfsprogramme der `FRANZ_PD`-Serie. `16 BIT Crew` Der `16 BIT Crew`-Virus ist ein kleineres Programm und etwa nur halb so groß wie gewöhnliche `Bootblock`-Viren. Er kopiert sich nach dem `Booten` in einen festen Speicher- bereich und kann von dort auch nicht mehr verschoben werden, da er feste Sprungadressen benutzt. Sobald Sie einen `Reset` ausführen startet er eine Routine mit der sich der Virus aus dem Speicher auf jede neue Diskette kopiert. Er kopiert sich nur in den Bootblock und auch das nur während des `Bootens` und nicht während des Diskettenwechsels ! Der `16 BIT Crew`-Virus richtet auf den Disketten keinen weiteren Schaden an. Sie können mit diesem Virus im Speicher wie gewöhnlich im `CLI` oder mit der `Workbench` arbeiten und brauchen nicht befürchten ,daß er sich weiter kopiert. Nur beim Booten sollten Sie den Schreibschutz benutzen. Damit der Virus nach jedem `Reset` seine `Bootblock-Routine` starten kann schreibt er seine Startadresse in den `CoolCapture` -Vektoren. Wenn `Vector-Detector` diesen Virus findet löscht es nur den `CoolCapture`-Vektoren. Für diesen Virus bedanke ich mich bei Michael Ortmanns. `File`- und `Linkviren` `Revenge of the Lamer-Exterminator` Von diesem Virus gibt es zwei Varianten. Die eine tarnt sich als Programm `DosSpeed` im Hauptver- zeichnis und die andere schreibt ihren unsichtbaren Namen (Hex:A0A0A0A0A0) an erster Stelle in die `Startup-Sequence` Diese Nachfolger der `Lamer-Exterminator`-Viren im Bereich der `File`-Viren haben die gleiche Aufgabe wie ihre Vorgänger unter den `Boot`-Viren, nämlich Datablocks zerstören. Wenn `Vector-Detector` diese Viren auf der Diskette findet warnt es sie und löscht die `Files`. `BGS9` Der `BGS9`-Virus steht mittels der Vektoren `KickMemPtr` und `KickTagPtr` resetfest im Speicher. Er kopiert sich nur während des Rebootens weiter. Dieser `File`-Virus schreibt sich in`s Unterverzeichnis `DEVS` als unsichtbares `File` ein. Nach einigen Rebootes kopiert er das ertse ausführbare Programm welches in Ihrer `Startup-sequence` steht in das `DEVS`-Verzeichnis und das Virusprogramm anstelle des Programms. Dabei erscheint dann eine Schrift auf Ihrem Bildschrim. Dort steht dann etwas von `Raubkopien`,`Cracken` und `Viren` und das dies alles krimminell sei .... Stimmt ! Wenn `Vector-Detector V1.0.5` diesen Virus im Speicher findet gibt es eine Warnung aus. Sie können dann bestimmen, ob `Vector-Detector` die beiden `Kick`-Vektoren wieder auf null setzen soll um den Virus zu löschen. Wenn `Vector-Detector` diesen Virus auf der Diskette findet löscht es ihn automatisch. `BGS9` kann auch per Option `VD105 b` gelöscht werden, wenn er sich auf der `Bootdiskette` befindet ! Vielen Dank für diesen Virus an Stefan Wudy,W-8440 Straubing. `BYTEPARASITE` Diese Virus scheint noch nicht besonders weit verbreitet zu sein, einen Grund mehr sich `Vector-Detector_V1.0.5` zu zulegen. Dieses Virus benutzt für seine Zwecke den Interrupt 3 SOFTINT- Vektor. Auf der Diskette tarnt es sich als `CLI`-Befehl `cd` ! Es handelt sich hierbei ebenfalls um ein `Filevirus`. Dieses Programm schreibt keinen eigenen Aufruf in die `startup-sequence` sondern überläßt dem Zufall seine Aktivierung. Gewöhnlich wird es während der Arbeit mit dem `CLI` aktiviert. Wenn Sie sich die `CLI`-Befehle ins `RAM:` kopiert haben und nun beispielsweise mit `cd df0:` eine neue Disk aktualisieren wollen, wird nicht der `cd`-Befehl im Speicher ausgeführt sondern, der auf der Disk. `BYTEPARASITE` steht gewöhnlich im Hauptverzeichnis. Sofort kopiert es sich als `dir`-Befehl und überschreibt die `s/startup-sequence` mit sich selbst . Directory anschauen mit `dir` is` nun auch nicht mehr, da dadurch wieder der Virus aktiviert wird. Jetzt kopiert `BYTEPARASITE` ein `Interrupt`-Programm in den Speicher, welches den SOFTINT-Vektor INterrupt 3 verbiegt. Diese `Interrupt`-Struktur im Speicher wird aktiviert, sobald eine neue Disk eingelegt wird. Dann kopiert `BYTEPARASITE` den `cd`-Befehl wieder von der infizierten Disk auf die neue. Dabei wird der `Filevirus` von Disk zu Disk kopiert. also nicht in den Speicher ! Bei nur einem `Laufwerk` kann dies zu häufigem Diskettenwechseln führen, wodurch der Virus auffällt. Unter meinem Kickstart 1.2 kam es beim Diskettenwechsel zu Fehlfunktionen. Unter welchen Kickstarts es funktioniert weiß ich nicht ! Dadurch daß die `s/startup-sequence` überschrieben wird, sind diese Disketten erst einmal auch nicht mehr bootfähig, dieser Schaden kann meistens jedoch wieder leicht behoben werden. Leider kann `Vector-Detector_V1.0.5` diesen Virus nicht von `RAMIN` unterscheiden. Wenn dieser Vektor verbogen wird, warnt es Sie vor dem `BYTEPARASITE`-Virus. Sie können nun den Vektor wieder zurücksetzen. Wegen den unterschiedlichen Betriebssystemen, funktioniert diese Routine evtl. nur beim Kickstart 1.2 einwandfrei. Besitzer anderer Betriebssysteme müßen sich mit der Meldung `BYTEPARSITE-Virus could be in memory` abfinden - leider. Ich arbeite aber noch an einer Routine, die das neue `BYTEPARASITE`-Virus im Speicher genauer lokalisieren kann. Wenn bei einem Anwender mit anderem Kckstart also mal diese Meldung kommt - keine Panik ! Amiga auschalten und danach `Vector-Detector` starten. Kommt dann wieder diese Meldung, dann liegt es allein am Betriebssystem und nicht am `BYTEPARASITE`-Virus. Dieses Virus ist nicht weit verbreitet, da es sehr fehleran- fällig ist und schon bei schreibgeschützten Disketten ab- stürzt. Außerdem ist es nicht resetfest. `CCCP` Dieses Virus ist sozusagen eine Art Zwidder, denn es ist `Linkvirus` und `Bootblock-Virus` in einem Programm ! Dieses Programm funktioniert leider etwas ähnlich wie `BYTEPARASITE` und ist ebenfalls schwer im Speicher zu lokalisieren, weshalb es zu `Verwechselungen` kommen kann ! Kommt nach einer `BYTEPARASITE-Virus`-Meldung eine `CCCP-Virus`- Meldung, dann befindet sich das `CCCP`-Virus im Speicher ! Dieses Virus setzt seine Adresse in den `CoolCapture`-Vektoren und läßt per Interrupt-3 SOFTINT diese Adresse 50 x Sek. überwachen ! Einmaliges löschen dieses Vektoren reicht also nicht aus ! Doch leider profitiert auch dieses Virus von der babylonischen `Betriebssystem-Vielfalt` des Amiga`s die die `Commodore`- Programmiere gestiftet haben ... Denn wie bereits in meinem `DOC-File` erwähnt sind die Adressen der 16 Interrupt-Vektoren, wohl nicht unter allen Betriebssystemen des Amiga`s gleich. Versucht nun ein Anwender mit einem anderen Betriebssystem dieses Virus mit `Vector-Detector_V1.0.5` aus dem Speicher zu löschen, so kann es zum Systemabsturz kommen, da dieses Betriebssystem eine andere Adresse verwendet als 1.2. Nachdem Absturz kommt es zur Reset-Routine, der `CoolCapture`- Vektor wird angesprungen und das Virus ist wieder da .... thanks Commodore ... Nun zurück zum Virus ! Dieses wird nur während jeden `Reset` aktiv ! Dabei kopiert es sich aus dem Speicher in den Bootblock der betroffenen Diskette und anschließend schreibt es sich in den Programmcode des größten Programms aus dem Hauptverzeichnis der Diskette. Es steht ab $0030 im infizierten Programm. Der `Bootblock` erzeugt nun Viren im Speicher ,welche wieder neue `Bootblock`- und `Link`-Viren erzeugen, die sich nach jedem `Reset` weiterkopieren. Die gleiche Eigenschaft hat das `Linkvirus` `CCCP` im infizierten Programm. Es erfolgt also eine Durchseuchung der gesammten Disk. Weitere Schäden scheint dieses Virus nicht anzurichten. Auch diesen `Linkvirus` bekam ich von Stefan Wudy,8440 Straubing ng zugesandt. `SADDAM` Dieser Virus ist ein `Filevirus`, welcher sich im Verzeichnis `L` als `Disk-Validator` tarnt. Er verbiegt den `ColdCapture`-Vektoren auf seine eigene Adresse. Dieser neue `Filevirus` kopiert sich während des `Rebootens` und Diskettenwechsels weiter. Dabei kopiert er sich nur über den `Disk-Validator`. Der `Disk-Validator` enthält gewisse Informationen, die für `AmigaDOS` zum Lesen der `Disk-Datenstruktur` wichtig sind. Jeder kennt sicher die Fehlermeldung: `error validating disk.` Dabei wird meistens der `Disk-Validator` der `Bootdiskette` gelesen und anschließend die Datenstruktur der betroffenen Diskette eingelesen. Dieser `Filevirus` hat die gleiche Byte-Größe wie der richtige `Disk-Validator` ! Im Gegensatz zum richtigen `Disk-Validator` ist der `SADDAM`- Virus bis auf das Wort `Bitmap CheckSum Error` total codiert. Der richtige Disk-Validator ist nicht codiert ! Bei längerem Benutzen dieses Viruses kommt es auf einigen Disketten zu `read/write errors`, der Horror jeden Anwenders ! Leider kann `Vector-Detector_V1.0.5` diesen Virus im Speicher nur erkennen aber nicht löschen. Das Starten jedes `Gegen-Interrupts` bleibt erfolglos. Auch das Auschalten der `System-Interrupts` nützt nichts. Irgendetwas setzt die Adresse immer wieder neu in den `ColdCaptuzre`- Vektoren. Diesen Virus sandte mir ebenfalls Stefan Wudy,W-8440 Straubing. `Smily Cancer` Dieser `Linkvirus` bleibt mittels des `KickTagPtr`-Vektoren resetfest im Speicher. Außerdem verbiegt er den `DoIO`-Vektoren auf seine eigene Adresse. Während jeden `Reboots` oder Diskettenwechsel kopiert sich dieser Virus in das erste ausführbare Programm aus der `s/startup-sequence`. Dieser `Linkvirus` ist mit über 4000 Bytes recht groß für ein Programm seiner Spezies. Außerdem beinhaltet er noch eine Menge codierten Text, sowie den Aufruf der `graphics.library`. Sicher steht dies alles noch bereit für ein Späßchen, welches dieses Virus mit dem Anwender vor hat. Allerdings hatte ich nicht genug Zeit mir dies alles anzuschauen. Wenn `Vector-Detector_V1.0.5` diesen Virus im Speicher findet, braucht es nur den `KickTagPtr`-Vektoren zu löschen, sowie den `Interrupt` umzuschreiben. Auch diesen `Linkvirus` bekam ich von Stefan Wudy,W-8440 Straubing. ------------------------------------------------------------ Diese Dokumentation wird ständig erweitert. Sollten Sie irgendwelche Fehler in den Beschreibungen ent- deckt haben, Antworten auf einige offene Fragen geben können, oder neue Viren haben, dann schicken Sie Ihr Material bitte an meine Adresse, welche am Ende des DOC-Files steht. Matthias Gutt Kantstr.16 W-2120 Lüneburg