home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Amiga Collections: Franz PD
/
Franz PD Disk #141 (1991-10)(Rhein-Sieg-Soft).zip
/
Franz PD Disk #141 (1991-10)(Rhein-Sieg-Soft).adf
/
VD105
/
VIRUS.DOC
< prev
next >
Wrap
Text File
|
1991-09-26
|
37KB
|
1,028 lines
Virus-Dokumentation V1.1
C 1991
by
Matthias Gutt
`Vorwort`
In diesem File werden einige Viren beschrieben, die ich bei der
Programmierung meiner Viruskiller und besonders bei der
Programmierung von `Vector-Detector` kennengelernt habe.
Diese Dokumentation soll dem Anwender ermöglichen sich über
einige bekannte AMIGA-Viren zu informieren, damit er seine
Disketten zukünftig besser gegen diese schützen kann.
Diese Datei kann mit der Option `VD104 v` auch von `Vector-
Detector` gelesen werden, wenn der Name (VIRUS.DOC) nicht
geändert wurde und sie sich mit dem Viruskiller im selben
Verzeichnis befindet.
Diese Datei is PD und darf frei weitergegeben werden.
Den Serien `AmigaLibraryDisks`,`FRANZ PD`,`TAIFUN`,`A.U.G.E`,
`BAVARIAN`,`KickStart`,`GSF-PD`,`Jaguar`,`Unicorn-PD` und
`!-PD` wurde diese Dokumentation zum Veröffentlichen ange-
boten.
Die Datei `VIRUS.DOC` darf prinzipiell auf jeder Diskette ver-
öffentlicht werden, auch wenn dies nicht im Zusammenhang
mit `Vector-Detector` geschieht.
Trotzdem behalte ich mir das recht vor, Serien die Veröffentlich
zu untersagen, wenn diese Dokumentation in einem nicht ange-
brachten Zustand veröffentlicht wird.
Für die hundertprozentige Sicherheit, aller Daten und Infor-
mationen dieser Datei kann ich wieder garantieren noch Haften.
Eine Weitergabe einer manipulierten `VIRUS.DOC`-Datei ohne
meine Einwilligung ist nicht erlaubt und kann strafrechtlich
verfolgt werden (Copyright).
VIREN:
(`Boot`)
`Byte Bandit`
Der `Byte Bandit`-Virus schreibt seine Startadresse
in die Speicherstelle von `KickTagPtr`.
So bleibt er nach jedem RESET im Speicher bestehen und
kann neue Disketten infizieren.
Aber auch wenn Sie Ihre Disketten wechseln, während der
Arbeit mit der Workbecnh beispielsweise, kopiert sich
der Virus weiter.
Über ein Interrupt-Programm fragt der Virus die Bits
2 und 3 der Speicherstelle $bfe001 ab .
Sobald eine neue ,nichtschreibgeschützte Diskette eing-
legt wird, schreibt er seinen Bootcode aus dem Speicher
auf die ersten beiden Sektoren der Diskette.
`Byte Bandit` benutzt zum Kopieren des Bootblocks auch
das `trackdisk.device`.
Ein zweites Programm überwacht das BIT 3 der Speicher-
stelle $bfe001 während des Boot-Vorgangs, um zu ver-
hindern, daß sich der Virus auf eine schreibtgeschützte
Diskette kopiert, denn durch eine Fehlermeldung würde
er sich verraten.
`Byte Bandit` kopiert sich nur in den Bootblock, richtet
aber keinen weiteren Schaden an.
Der Virus beinhaltet allerdings einen `Kopie-Zähler`, der
am Anfag des Bootblocks binär bzw. hexdezimal angibt,
um die wievielte Kopie es sich handelt.
Mit diesem kleinen Utilitie läßt sich der Weg des Viruses
in Ihr System zurückverfolgen.
Wenn `Vector-Detector` den Virus im Speicher erkannt hat,
löscht es zuerst den `KickTagPtr` und schreibt die
Maschinensprachebefehle des Interrupt-Programmes so um,
daß es keine weiteren Disketten mehr infizieren kann.
Die Version 1.0 konnte das Interrupt-Programm nicht
stoppen, aber da es bereits auch den `KickTagPtr`
löscht ist `Byte Bandit` nach einem Reset nicht mehr
im Speicher.
`Byte Warrior`
Dieser Virus benutzt ebefalls den `KickTagPtr` um resi-
dent im Speicher stehen zu können.
Er hat in etwa ähnliche Eigenschaften, wie der `Byte
Bandit`- Virus.
Das Programm schreibt sich an eine bestimmte Speicher-
stelle und wartet, daß eine neue Diskette eingelegt
wird, oder ein Reset ausgeführt wird .
Anschließend kopiert es sich in den Bootblock.
Ein Interrupt-Programm kontrolliert ebenfalls, ob die
eingelegten Disketten schreibtgeschützt sind.
Wenn nicht, dann schreibt es sich natürlich in den
Bootblock.
Der Virus löscht außerdem die Inhalte von ColdCapture
und CoolCapture.
`Byte Warrior` richtet auf den Disketten keinen weiteren
Schaden an.
Außerdem funktioniert er nur bis Kickstart 1.2
`Vector-Detector` löscht den KickTagPtr und schreibt das
Interrupt-Programm so um, daß es keine Disketten mehr
infiziert.
`SCA`
Der `SCA`-Virus ist einer der harmlosesten und ältesten
Amiga-Viren.
Er schreibt sich an eine feste Adresse im Speicher und
kopiert den Wert in den CoolCapture-Vektoren.
Nach jeder Reset-Routine wird das Programm in den
Boot-Vorgang eingebunden.
Dabei kopiert es sich in den Bootblock jeder neuen
nicht-schreibtgeschützten Diskette.
Mit einem `SCA`-Virus im Speicher können Sie z.B. ein
Dateiverzeichnis vom AmigaDOS aus bearbeiten und so
viele Disketten verwenden wie Sie wollen .
Der Virus kopiert sich nur nach dem Booten weiter.
Wenn `Vector-Detector` den Virus im Speicher findet
braucht es nur den CoolCapture-Vektoren zu löschen.
`Gadaffi`
Der `Gadaffi`-Virus benutzt den KickTagPtr um resident
im Speicher zu stehen.
Außerdem setzt er noch den CoolCapture-Vektoren auf seine
Startadresse im Speicher.
Ein Interrupt-Programm kontrolliert in `CIA-A`, ob jede
neu eingelegte Diskette schreibtgeschützt ist.
Das neueartige an diesem Virus ist, daß das Interrupt-
Programm die Werte von CoolCapture und KickTagPtr immer
wieder neu in die Speicherstellen schreibt.
Es nützt also nichts, wenn man einmal diese Zeiger
auf null setzt.
Typisch für diesen Virus ist, daß nach etwa fünf Rebootes,
der Bildschirm dunkel wird und das Laufwerk fürchterlich
zu rattern anfängt.
Das mag oder soll wohl einen Anfänger glauben lassen, daß
sein Amiga kapputt ist.
Aber auch wenn es nicht zu diesem Zwischen fall kommt, hört
man den `Gadaffi`-Virus schon an einem hohen surrenden Ton
des Laufwerks beim Einlegen von Disketten beispielsweise.
Ob das auf Dauer schädlichen Einfluss auf den Lesekopf hat,
weiß ich nicht.
Ich habe auch viel mit diesem Virus gearbeitet.
Ob einige Störungen des internen Laufwerks meines Amiga von
diesem Virus verursacht wurden kann ich nicht genau sagen.
Außerdem wird noch der ColdCapture-Vektor gelöscht.
`Vector-Detector` startet ein eigenes Interrupt-Programm,
welches die Zeiger der Vektoren wieder auf null setzt.
Anschließend schreibt es das Interrupt-Programm so um,
daß es inaktiv ist.
`NORTH STAR`
Dieser Virus funktioniert im Prinzip so, wie der `SCA`-
Virus.
Er schreibt seine Adresse ebenfalls in den CoolCapture-
Vector und kopiert sich nach jedem Rebooten auf neue
Disketten ,die nicht schreibtgeschützt sind.
Dieser Virus ist im Prinzip genauso harmlos wie der `SCA`-
Virus, da er ja keine Schäden anrichtet.
Was ihm diesem gegenüber aber besonders überlegen macht, ist
das er sobald er auf einen Viruskiller, wie beispielsweise
`SystemZ` im Bootblock trifft, eine `Alert`-Medlung ausgibt:
`This disk contains an old virusprotector...`
Und sie auffordert den Schreibschutz zu entfernen.
Bevor Sie dies nicht tuen wird der `Boot`-Vorgang gestoppt.
Bei einem richtigen `Virusprotector` könnten sie diese
Meldung durch drücken der Maustaste übergehen.
Das ist beim `NORTH STAR`-Virus nicht der Fall.
Deshalb sollten Sie in solch einer Situation den Schreibschutz
nicht entfernen, sondern erst den Speicher Ihres Rechners
checken.
`Vector-Detector` löscht den CoolCapture-Vector.
`NORTH STAR II`
Bei diesem Virus hat sich in Bezug auf seinen Vorgänger
wenige geändert.
Er beinhaltet einen anderen Text im Bootcode.
Ansonsten benutzt er auch den CoolCapture-Vektoren und
wird genauso gelöscht wie der `NORTH STAR`-Virus.
`LAMER EXTERMINATOR II`
Dieser Virus ist mit großem Abstand, zumindest von den
vorrangegangenen Viren, einer der gefährlichsten !!
Er steht nie an derselben Adresse im Speicher, und
erzeugt (optisch) nie denselben Bootcode auf Disketten !!
Wenn der Virus im Speicher steht, dann simuliert er
bei vielen Viruskillern einen normalen Standard-Bootblock.
Er überwacht außerdem noch alle wichtigen System-
Adressen und kopiert nach einigen Rebootes das Wort
`LAMER`(bedeutet Amiga-Anfänger) in die Disk-Datenblöcke.
Das verursacht natürlich immer häufiger `read/write errors`
und ähnliches.
Um den `LAMER-EXTERMINATOR-VIRUS-II` im Speicher zu
finden liest das Programm die Adresse von `KickTagPtr`
aus und trifft dabei auf eine weitere Adresse.
Diese Adresse hat immer den Offset #54 zum Wort `Lamer`!
Wenn `Vector-Detector` an dieser Stelle das Wort findet,
warnt es Sie vor diesem Virus !
Außerdem löscht es den KickTagPtr !
Leider kann es den Virus nicht vollständig löschen.
Erst nach einem Reset ist der Virus dann gelöscht.
Ich kann leider auch nicht garantieren, daß mein
Viruskiller auch wirklich jeden `Lamer-Exterminator`-
Virus erkennt.
Sollten Sie also nach dem Booten eine Veränderung der
System-Vektoren feststellen, so würde ich raten den
Bootblock zu kontrollieren.
Der Bootcode des Virus ist wie schon erwähnt immer
verschieden !
Mal findet man nur vereinzelte Zeichen, dann wieder
ein WirrWarr von Buchstaben !
Auf zehn verschiedenen infizierten Disketten des gleichen
Viruses hätten Sie zehn unterschiedliche Bootblöcke.
Der Virus verändert die Boot-Prüfsumme.
Charakteristisch für den Virus ist, daß in der ersten
Zeile des Bootblockes ein Standard-Bootcode steht, wo
die `dos.library` aufgerufen wird.
Anschließend folgt das Virus-Programm.
Dieses Programm produziert den eigentlichen Virus erst
im Speicher.
Deshalb werden Sie beim `Lamer-Exterminator` auch nirgends
den Namen wie z.B. bei anderen Viren finden.
Das Programm besteht wahrscheinlich aus vielen Daten-
übertragungsbefehlen(move), die den Virus im Speicher an
eine x-beliebige Stelle setzen.
Das Programm im Speicher verändert nun die Boot-Prüf-
Summe ,wenn es einen neuen Virus auf eine Diskette
kopiert.
Dieser neue Bootcode kopiert den Virus wieder an eine
neue Stelle im Speicher usw.
`HCS`
Falls mal die Power-LED Ihres Amigas merkwürdig zu blinken
anfangen sollte nach dem Booten, dann muß das nicht heißen,
daß Ihrem Rechner nun bald der `Saft` ausgeht, sondern
daß Sie den `HCS`-Virus im System haben.
Dieser Virus startet nach dem Booten ein Interrupt-Programm
, welches in der Speicherstelle $bfe001 abwechselnd das
Bit für die Power-LED setzt und löscht.
Wer also schon einmal diesen Virus im System hatte wird
wegen des verräterischen Blinkens der Power-LED kein
zweites mal auf ihn hereinfallen.
Der Virus kopiert sich in den Bootblock jeder neuen
nicht schreibtgeschützten Diskette und tut dies nur
während des Bootens - also nicht beim Diskettenwechsel.
Ansonsten richtet der `HCS`-Virus keinen weiteren Schaden
an.
Er überwacht den KickTagPtr und schreibt seine Start-
adresse in den CoolCaptureVector.
`Vector-Detector` braucht also nur diesen Zeiger wieder
auf null zu setzen.
An dieser Stelle möchte ich mich auch noch bei Michael
Flühler(Schweiz) für die Einsendung bedanken.
`Pentagon-Slayer`
Dieser Boot-Virus ist eigentlich mehr ein Viruskiller
als Virus !
Denn er kopiert sich nur in den Bootblock von den Disketten
, die von anderen Viren infiziert sind.
Zu diesen Viren gehören z.B. `Byte Bandit`,`ByteWarrior`,
`SCA`,`NORTH STAR` und vermutlich auch `Lamer-Exterminator`.
Der `Pentagon-Slayer`-Virus richtet keinen Schaden an, da
er sich auf Disketten kopiert, die ja schon bereits in-
fiziert sind.
Es werden also keine Bootblöcke zerstört.
Durch diese lobenswerte Eigenschaft kann der Virus sogar
gefährliche Viren stoppen, die sich in Ihrem System
breitgemacht haben, ohne das Sie etwas davon wissen.
Da die Ausbreitung von Boot-Viren fast komplett gestoppt
wurde hat der "Pentagon-Slayer`-Virus auch seine
Schuldigkeit getan.
Er bleibt resetfest mittels des CoolCapture-Vektoren.
Wenn Sie beim Rebooten die linke Maustaste drücken
löscht sich der Virus von selbst.
Wenn `Vector-Detector` den Virus findet löscht es den
CoolCaptureVector.
Auch diesen Boot-Virus sandte mir Michael Flühler aus der
Schweiz zu.
`Revenge`
Dieser Virus benutzt ebenfalls den CoolCaptureVector,
um den Reset zu überleben.
Er kopiert sich aber auch beim Diskettenwechsel weiter.
Der `Revenge`-Virus kopiert sich nur in den Bootblock
jeder Diskette.
Sonst richtet er keinen weiteren Schaden an.
Nachdem Rebooten haben Sie die Wahl !
Sie können den linken oder den rechten Mausknopf drücken.
In beiden Fällen scheint der Virus zu verschwinden ...
Ein paar Minuten nach dem Booten stellt der Virus
übrigens noch einige `Ferkeleien` mit dem Mauszeiger
an.
`Vector-Detector` löscht den CoolCaptureVector und zer-
stört den Task, um den Virus zu stoppen.
Für diesen Boot-Virus bedanke ich mich ebenfalls bei
Michael Flühler.
`DiskDoktors`
Mit `Lamer-Exterminator` gehört der `DiskDoktors`-Virus
zu den gefährlichsten Amiga-Viren.
Er ist sehr schwer im Speicher auszumachen.
Außerdem steht dieser Virus nicht an der üblichen Stelle
im Speicher wo auch die meisten anderen Programme dieser
Art vorzufinden sind, sondern etwa 15000 - 20000 Bytes
darüber.
Er benutzt keine mir bekannten System-Vektoren.
Lediglich die Capture-Vectoren verändert der Virus.
Obwohl er diese Zeiger nicht benötigt überwacht er deren
Inhalt mit einem Interruptprogramm, welches die Vektoren
wieder auf Ihren alten Stand setzt, falls sie verändert
worden sind.
Die Zeiger sollen den Virus in einer anderen Speicher-
gegend vortäuschen.
Mir ist nicht bekannt, wie der Virus resetfest ist.
Nach einigen Rebootes kopiert der Virus einige Daten aus der
`Execbase` in den Speicher, wodurch Speicherplatz verloren
geht.
Dazu benötigt er vermutlich das `clipboard.device`.
`Vector-Detector` kann nur vor dem `DiskDoktors`-Virus
warnen ihn aber nicht löschen.
Sie sollten dann nicht all zu lange zögern auch Ihre
übrigen Disketten zu prüfen.
Der `DiskDoktors`-Virus macht sich aber durch ein tiefes
Surren des Laufwerks auch für den Anfänger bemerkbar,
ähnlich wie der `Gadaffi`-Virus.
Auch diesen Virus bekam ich von Michael Flühler (CH).
`LSD`
Der `LSD`-Virus ist im Prinzip nur ein `SCA`-Mutant mit
den gleichen Eigenschaften.
`Vector-Detector` löscht nur den CoolCaptureVector.
`Timebomb`
Was der `Timebomb`-Virus genau anrichtet ist mir nicht
bekannt.
Dem Namen nach zu urteilen wartet er auf eine bestimmte
Bedingung, bis er losschlagen kann.
Auf meinen Disketten hat er sich jedenfalls nicht ausge-
breitet.
Es scheint so, als ob sich der Virus auch nicht bei jedem
Rebooten in den Speicher kopiert.
Allerdings installiert er sich nach einem bestimmten
Zeitpunkt resetfest in den Speicher und benutzt dabei keine
mir bekannten System-zeiger.
Ob der Amiga zehn Stunden eingeschaltet ,
hundert mal rebootet geworden sein muß oder die Uhr
0.00 Uhr Mitternacht anzeigen muß bis der Virus endlich
losschlägt ist mir nicht bekannt.
Welche Schäden der Virus gegebenenfalls anrichten kann
ist mir auch nicht bekannt.
Wenn `Vector-Detector` diesen Virus findet zerstört es ein-
zelne Unterfunktionen des Programms, so daß ich davon aus-
gehe, daß der Virus nicht mehr funktionieren kann.
Auch diesen Virus bekam ich von Michael Flühler.
`2001`
Der `2001`-Virus kopiert sich an eine Speicherstelle, und
schreibt deren Wert in den `CoolCapture`-Vector.
Er überprüft beim Rebooten, ob die eingelegte Diskette
schreibgeschützt ist, da er sich ansonsten in den Boot-
block kopiert .
Er funktioniert ähnlich wie der `SCA`-Virus .
Ich glaube aber auch nicht, daß er besonders weit ver-
breitet ist, da er eine schlechte Angewohnheit hat, die
vermutlich dazu da ist Amiga-Anfänger zu ärgern.
Befindet sich dieser Virus im System während Sie einen
Reset auslösen und es liegt anschließend keine Disk im
Laufwerk, dann kommt eine `Guru-Meditation` statt des
üblichen `Titelbildes`.
Ein Adress-Error(0000...3) deutet dann meistens auf den
`2001`-Virus hin.
Wenn Sie nun eine Diskette einlegen und die linke Maus-
taste drücken arbeitet das System wieder.
Da ein verzweifelter Anfänger dann wohl eher den Amiga
ausschalten würde anstatt eine Disk einzulegen, kann sich
dieser Virus kaum weiterkopieren.
`Vector-Detector` löscht den `CoolCapture`-Vektor.
`MAD`
Der `MAD`-Virus ist vermutlich ein überarbeiteter
`Byte Bandit`-Virus.
Es deutet einiges daraufhin.
Der Virus verbiegt den `DoIo`-Vektor auf sein eigenes
Interrupt-Programm.
Über die `CIA`-Bausteine kontrolliert er, ob eine schreibge
schützte Diskette eingelegt wurde oder nicht.
Der `MAD`-Virus kopiert sich nur beim Diskettenwechsel
nach einer mit einem `MAD`-Virus verseuchten Diskette
weiter. Denn `MAD` verändert keine System-Vektoren und
ist auch nicht Resetfest.
Nach einem Reset ist der Virus von selbst gelöscht.
Außerdem benutzt der `MAD`-Virus auch die `trackdisk.device
`-Struktur, um sich aus dem Speicher in den Bootblock zu
kopieren.
Wie auch die Viren `Byte Bandit` und `Revenge` hat `MAD`
eine `Copy-Zähler`.
`Vector-Detector` schreibt das Interrupt-Programm wieder
um, damit es ungefährlich bleibt.
`MAD II`
Der `MAD II`-Virus gehört zu den gefährlicheren der `MAD`-
Viren und hat auch wenig Ähnlichkeit mit dem alten `MAD`-
Virus.
Er verändert den Zeiger von `WarmCapture` und `KickTagPtr`.
Mit einem Interrupt-Programm setzt er diese Zeiger immer
wieder neu.
Dieser Virus kopiert sich nach dem Rebooten und während
des normalen Disketten-Wechsels weiter.
Er richtet keinen Schaden auf den Disketten oder im Boot-
block an.
Manchmal jedoch wird eine Unterroutine angesprungen und
dann stoppt der Amiga beim Booten und der Bildschirm wird
schwarz.
Währenddessen setzt das Programm den `CoolCaptureVector`,
`KickMemPtr` und die `PowerSupplyFrequenz` auf seine
eigene Adresse.
Welchen Sinn es macht die Netzspannungsfrequenz auf die
Adresse des Viruses zu setzen ist mir rätselhaft.
Nach einem Reset folgt dann eine `Guru-Meditation`.
`Vector-Detector` startet einen Task, der das Interrupt-
Programm stoppt.
`MAD III`
Der `MAD III`-Virus steht mittelts des `KickTagPtr` residen
t im Speicher.
Er kopiert sich nach jedem Rebooten in den Bootblock und
nach jedem Diskettenwechsel.
Er startet ein Interrupt-Program, das den `DoIO`-Vektor
auf seine eigene Adresse setzt.
Der Virus löscht außerdem die Inhalte von `ColdCapture`
und `WarmCapture`.
`MAD III` richtet keinen Schaden und kopiert sich nur
in den Bootblock.
Er überprüft die Speicherstelle $bfe001 und checkt dort,
ob die eingelegte Disk schreibgeschützt ist.
Es gibt ein paar typische Merkmale dieses Viruses.
Wenn der Virus im Speicher ist und sie legen neue Diskette
n ein, dann ertönt in etwa ein Geräusch wie beim Einlegen
nicht formatierter oder zerstörter Disketten.
Außerdem blinkt jedes mal beim Rebooten, wenn keine Disk
im Laufwerk ist die Laufwerks-LED auf.
Falls Sie mit einem anderen Viruskiller die Bootblöcke
von Disketten untersuchen, wenn sich noch `MAD III` im
Speicher befindet, dann simuliert er auf fast jeder
Diskette sich selbst.
Nachdem Sie den Virus gelöscht haben, werden Sie aber
feststellen, daß er auf nur wenigen Disketten war.
Mehr kann ich eigentlich nicht zu diesen Virus schreiben, denn
ich durchblicke einige Teile dieses merkwürdigen Programms
auch nicht.
So weiß ich auch nicht welche Bedeutung der Aufruf der
`icon.library` haben soll.
`Vector-Detector` löscht den `KickTagPtr` und schreibt
das Interrupt-Programm um, wenn es diesen Virus im
Speicher findet.
`MAD IV`
Dieser Virus ist höchstwahrscheinlich ein Mutant des
`Lamer-Exterminator`-Viruses.
Er schreibt sich mittels des `KickTagPtr` im Speicher
resetfest.
`MAD IV` löscht den `WarmCapture`-Vektor, funktioniert
ansonsten aber ähnlich wie der `Lamer-Exterminator`-Virus
und das heißt, daß er auch Datenblöcke zerstört.
Statt `Lamer` schreibt er `MAD` in die Datablocks.
Da der Virus ansonsten dem `Lamer-Exterminator`-Virus
gleicht, können Sei nähere Informationen zu diesem
Virus auch bei `Lamer-Exterminator II` nachlesen.
`Vector-Detector` kann diesen Virus nur anzeigen, aber
nicht löschen, ähnlich wie bei `Lamer-Exterminator II`.
`AIDS`
Das einzig gefährliche an diesem Virus ist eigentlich nur sein Name.
Nun mag es sein, daß zwar eine gewisse Analogie zwischen
den richtigen und den Computer- Viren besteht, allerdings finde
ich die Bezeichnung `AIDS` für einen Computer-Virus sehr
makaber und unpassend !
Ich meine auch, daß man mit solchen Sachen keinen Spaß machen sollte !!
Bei diesem Virus handelt es sich im Prinzip nur um einen einfachen
`SCA`-Clone.
Dieser Virus funktioniert genau so wie der `SCA`-Virus, bloß
mit dem Unterschied, daß er einen anderen Text im Bootblock hat.
Er benutzt den `CoolCapture`-Vektoren um resident im Speicher zu
stehen.
Alles weitere über diese Virusart und deren Funktionen können Sie
allso genau so gut unter `SCA` nachlesen.
Wenn `Vector-Detector` diesen Virus findet braucht es nur den
`CoolCapture`-Vektoren zu löschen und der Virus ist gekillt !
Für die Einsendung dieses Viruses bedanke ich mich bei
Michael Ortmanns, dem Programmierer vom `Virus-Checker` !
`Vkill-VIRUS`
Um einen besonders üblen Scherz handelt es sich bei diesem Virus !
Sollten Sie den Viruskiller `Vkill`, der ja sehr bekannt und
weit verbreitet ist in Ihrem System haben und sich wundern, weshalb
massenweise Bootblöcke und Boot-Intros von Ihren Disketten ver-
schwinden, dann dürften die jetzt folgenden Informationen für Sie
besonders wichtig sein !!!
Denn momentan ist leider eine `krankhaft entartete` Variante des
Viruskillers `VKill V1.0` im Umlauf !
Die guten Absichten des Programmierers von `Vkill V1.0`, nämlich
den Anwender vor Computerviren zu schützen, wurden leider von
einem Virusprogrammierer zu nichte gemacht !
Es gibt kaum ein Merkmal, welches den Viruskiller `Vkill V1.0` u
vom Virus `Vkill V1.0` unterscheidet.
Der `Vkill`-VIRUS funktioniert im Prinzip genauso wie der
Viruskiller `Vkill`.
Dieses 1000 Byte große Programm steht im Bootblock und kopiert
sich nach jedem Booten in den Speicher.
Von dort aus überwacht es während des `Bootens` die Diskette.
Findet es dort einen `non-standard-bootblock`, so gibt es eine
entsprechende Warnung aus und Sie haben per `Gadget` die
Möglichkeit diesen Bootblock zu überschreiben.
Auch wenn Sie beispielsweise bei der Arbeit mit der `Workbench`
die Disketten wechseln checkt das Programm die Bootblöcke der
neu eingelegten Disketten und gibt ebenfalls eine Meldung aus,
falls ein verdächtiger Bootblock gefunden wird.
Danach haben Sie wieder die Möglichkeit den Bootblock zu über-
schreiben !
Außerdem erkennt `Vkill V1.0` auch Viren wie beispielsweise
`Byte Bandit` ,`SCA` u.v.m.
Soweit so gut !
Diese Funktionen hat der `Vkill`-VIRUS gleichermaßen, wie der
Viruskiller `Vkill`.
Doch wenn Sie von nicht schreibgeschützten Disketten Booten oder
diese ins Laufwerk legen, dann schreibt sich der `Vkill`-
VIRUS ohne Rücksicht auf seriöse `Boot-Programme` und ohne
irgendeine Abfrage oder Meldung selbst in den Bootblock.
Diese `krankhafte` und sinnlose Ausbreitung von `Vkill V1.0`
geschieht allerdings auf Kosten der seriösen `Boot-Programme`
und `Boot-Intros`.
So kann es sein, daß Sie nach einiger Zeit nur noch `Vkill V1.0`
in den Bootblöcken Ihrer Disketten haben und sonst nichts !!
Nun gibt es ja einige Disketten, deren Programme bzw. Spiele,
nur vom `Bootblock` gestartet werden können (Copy-Schutz).
Hat sich der `Vkill`-VIRUS darüber kopiert, so ist die ganze
Diskette für Sie verloren und 80,- oder 100,- DM wären damit
umsonst ausgegeben.
Ansonsten läßt sich sagen, daß der `Vkill`-VIRUS keine weiteren
Schäden anrichtet.
Sollten Sie allerdings von Disketten `Booten`, in deren
Bootblock sich ein `Virusprotector` oder irgend ein anderes
`Boot-Programm` befindet, so boykottiert der `Vkill`-VIRUS die
`Boot-Routine` solange, bis Sie das `Destroy`-Gadget angeklickt
und den Schreibschutz entfernt haben.
Dann sei noch gesagt, daß der Virus auch den Einsprungsvektor
einer Bibliotheks-Routine verbiegt und bestimmte `Exceptions`
(Ausnahme-Bedingung für den Prozessor) setzt !
Um sich während jedem Diskettenwechsels weiter zu kopieren bzw.
eine `Requester`-Meldung auszugeben startet das Programm ein
`Interrupt`-Programm und verbiegt den `DoIO`-Vektor auf die
eigene `IO-Request`-Struktur.
Der Virus bleibt mittels des `CoolCapture`-Vektoren resident
im Speicher und ist so resetfest.
Leider gibt es für jemanden, der sich wenig für`s Programmieren
interessiert kaum eine Chance den VIRUS `Vkill V1.0` vom
Viruskiller `Vkill V1.0` zu unterscheiden.
Trotzdem sollten Sie nicht jedes `Vkill`-Programm als Virus
verdächtigen !
Im Prinzip kamm jeder `Bootblock-Viruskiller` in einen `Virus`
verwandelt werden !
Das könnte auch mit `SystemZ` passieren.
Es empfiehlt sich daher zusätzlich einen Viruskiller zu ver-
wenden, der nicht im Bootblock installiert wird, wie beispiels-
weise `Vector-Detector` ...
Es gibt aber eine Möglichkeit den `Vkill`-VIRUS vom `Vkill`-
Viruskiller zu unterscheiden.
Machen Sie sich eine Kopie von einer Diskette auf der sich ein
`Boot-Intro` oder ein anderes `seriöses` `Boot-Programm`
befindet !
`Booten` Sie nun von einer Diskette auf der sich `Vkill` be-
findet.
Legen Sie anschließend bitte die Kopie ohne Schreibschutz ein.
Kommt nun eine Meldung wie :
`Vkill V1.0
Bootblock infection control
non-standard-bootcode`
Dann wissen Sie das es der Viruskiller `Vkill V1.0` ist.
Kommt jedoch keine Meldung sondern das Laufwerk startet kurz,
dann wissen Sie das es der `Vkill`-VIRUS ist.
Leider kann der Viruskiller `Vkill V1.0` den VIRUS `Vkill V1.0`
auch nicht erkennen.
Außerdem muß ich noch schreiben, daß dieser Virus den selben
Trick benutzt, wie der `Lamer-Exterminator`-Virus !
Sollten Sie also mit einem Viruskiller den Bootblock checken,
während sich der `Vkill`-VIRUS im Speicher befindet, so kann
es sein, daß der Virus dem Viruskiller einen normalen Boot-
block vortäuscht, obwohl sich der Virus auf der Diskette
befindet !!
Deshalb ist es wichtig erst den `Vkill`-VIRUS aus dem Speicher
zu entfernen .
Wenn `Vector-Detector` diesen Virus findet löscht es den
`CoolCapture`-Vektoren und schreibt das Maschinensprache-
Programm in Speicher so um, daß es keine Disketten mehr
infizieren kann.
An dieser Stelle sei angemerkt, daß ein erfahrener Programmierer
den `Vkill`-VIRUS wieder so umprogrammieren könnte, daß er
wieder wie ein normaler Viruskiller funktioniert.
Dabei sollten Sie jedoch die `Copyright-Bestimmungen` beachten !
Für die Einsendung dieses Viruses bedanke ich mich bei
Michael Ortmanns, dem Programmierer vieler nützlicher
Hilfsprogramme der `FRANZ_PD`-Serie.
`16 BIT Crew`
Der `16 BIT Crew`-Virus ist ein kleineres Programm und etwa
nur halb so groß wie gewöhnliche `Bootblock`-Viren.
Er kopiert sich nach dem `Booten` in einen festen Speicher-
bereich und kann von dort auch nicht mehr verschoben werden,
da er feste Sprungadressen benutzt.
Sobald Sie einen `Reset` ausführen startet er eine Routine mit
der sich der Virus aus dem Speicher auf jede neue Diskette
kopiert.
Er kopiert sich nur in den Bootblock und auch das nur während
des `Bootens` und nicht während des Diskettenwechsels !
Der `16 BIT Crew`-Virus richtet auf den Disketten keinen weiteren
Schaden an.
Sie können mit diesem Virus im Speicher wie gewöhnlich im `CLI`
oder mit der `Workbench` arbeiten und brauchen nicht befürchten
,daß er sich weiter kopiert.
Nur beim Booten sollten Sie den Schreibschutz benutzen.
Damit der Virus nach jedem `Reset` seine `Bootblock-Routine`
starten kann schreibt er seine Startadresse in den `CoolCapture`
-Vektoren.
Wenn `Vector-Detector` diesen Virus findet löscht es nur den
`CoolCapture`-Vektoren.
Für diesen Virus bedanke ich mich bei Michael Ortmanns.
`File`- und `Linkviren`
`Revenge of the Lamer-Exterminator`
Von diesem Virus gibt es zwei Varianten.
Die eine tarnt sich als Programm `DosSpeed` im Hauptver-
zeichnis und die andere schreibt ihren unsichtbaren
Namen (Hex:A0A0A0A0A0) an erster Stelle in die
`Startup-Sequence`
Diese Nachfolger der `Lamer-Exterminator`-Viren im Bereich
der `File`-Viren haben die gleiche Aufgabe wie ihre
Vorgänger unter den `Boot`-Viren, nämlich Datablocks
zerstören.
Wenn `Vector-Detector` diese Viren auf der Diskette
findet warnt es sie und löscht die `Files`.
`BGS9`
Der `BGS9`-Virus steht mittels der Vektoren `KickMemPtr` und
`KickTagPtr` resetfest im Speicher.
Er kopiert sich nur während des Rebootens weiter.
Dieser `File`-Virus schreibt sich in`s Unterverzeichnis
`DEVS` als unsichtbares `File` ein.
Nach einigen Rebootes kopiert er das ertse ausführbare
Programm welches in Ihrer `Startup-sequence` steht in
das `DEVS`-Verzeichnis und das Virusprogramm anstelle
des Programms.
Dabei erscheint dann eine Schrift auf Ihrem Bildschrim.
Dort steht dann etwas von `Raubkopien`,`Cracken` und
`Viren` und das dies alles krimminell sei ....
Stimmt !
Wenn `Vector-Detector V1.0.5` diesen Virus im Speicher
findet gibt es eine Warnung aus.
Sie können dann bestimmen, ob `Vector-Detector` die beiden
`Kick`-Vektoren wieder auf null setzen soll um den Virus
zu löschen.
Wenn `Vector-Detector` diesen Virus auf der Diskette findet
löscht es ihn automatisch.
`BGS9` kann auch per Option `VD105 b` gelöscht werden, wenn
er sich auf der `Bootdiskette` befindet !
Vielen Dank für diesen Virus an Stefan Wudy,W-8440 Straubing.
`BYTEPARASITE`
Diese Virus scheint noch nicht besonders weit verbreitet zu
sein, einen Grund mehr sich `Vector-Detector_V1.0.5` zu zulegen.
Dieses Virus benutzt für seine Zwecke den Interrupt 3 SOFTINT-
Vektor.
Auf der Diskette tarnt es sich als `CLI`-Befehl `cd` !
Es handelt sich hierbei ebenfalls um ein `Filevirus`.
Dieses Programm schreibt keinen eigenen Aufruf in die
`startup-sequence` sondern überläßt dem Zufall seine Aktivierung.
Gewöhnlich wird es während der Arbeit mit dem `CLI` aktiviert.
Wenn Sie sich die `CLI`-Befehle ins `RAM:` kopiert haben und
nun beispielsweise mit `cd df0:` eine neue Disk aktualisieren
wollen, wird nicht der `cd`-Befehl im Speicher ausgeführt
sondern, der auf der Disk.
`BYTEPARASITE` steht gewöhnlich im Hauptverzeichnis.
Sofort kopiert es sich als `dir`-Befehl und überschreibt die
`s/startup-sequence` mit sich selbst .
Directory anschauen mit `dir` is` nun auch nicht mehr, da
dadurch wieder der Virus aktiviert wird.
Jetzt kopiert `BYTEPARASITE` ein `Interrupt`-Programm in den
Speicher, welches den SOFTINT-Vektor INterrupt 3 verbiegt.
Diese `Interrupt`-Struktur im Speicher wird aktiviert, sobald
eine neue Disk eingelegt wird.
Dann kopiert `BYTEPARASITE` den `cd`-Befehl wieder von der
infizierten Disk auf die neue.
Dabei wird der `Filevirus` von Disk zu Disk kopiert. also
nicht in den Speicher !
Bei nur einem `Laufwerk` kann dies zu häufigem Diskettenwechseln
führen, wodurch der Virus auffällt.
Unter meinem Kickstart 1.2 kam es beim Diskettenwechsel
zu Fehlfunktionen.
Unter welchen Kickstarts es funktioniert weiß ich nicht !
Dadurch daß die `s/startup-sequence` überschrieben wird,
sind diese Disketten erst einmal auch nicht mehr bootfähig,
dieser Schaden kann meistens jedoch wieder leicht behoben
werden.
Leider kann `Vector-Detector_V1.0.5` diesen Virus nicht von
`RAMIN` unterscheiden.
Wenn dieser Vektor verbogen wird, warnt es Sie vor dem
`BYTEPARASITE`-Virus.
Sie können nun den Vektor wieder zurücksetzen.
Wegen den unterschiedlichen Betriebssystemen, funktioniert
diese Routine evtl. nur beim Kickstart 1.2 einwandfrei.
Besitzer anderer Betriebssysteme müßen sich mit der Meldung
`BYTEPARSITE-Virus could be in memory` abfinden - leider.
Ich arbeite aber noch an einer Routine, die das neue
`BYTEPARASITE`-Virus im Speicher genauer lokalisieren kann.
Wenn bei einem Anwender mit anderem Kckstart also mal diese
Meldung kommt - keine Panik !
Amiga auschalten und danach `Vector-Detector` starten.
Kommt dann wieder diese Meldung, dann liegt es allein am
Betriebssystem und nicht am `BYTEPARASITE`-Virus.
Dieses Virus ist nicht weit verbreitet, da es sehr fehleran-
fällig ist und schon bei schreibgeschützten Disketten ab-
stürzt.
Außerdem ist es nicht resetfest.
`CCCP`
Dieses Virus ist sozusagen eine Art Zwidder, denn es ist
`Linkvirus` und `Bootblock-Virus` in einem Programm !
Dieses Programm funktioniert leider etwas ähnlich wie
`BYTEPARASITE` und ist ebenfalls schwer im Speicher zu lokalisieren,
weshalb es zu `Verwechselungen` kommen kann !
Kommt nach einer `BYTEPARASITE-Virus`-Meldung eine `CCCP-Virus`-
Meldung, dann befindet sich das `CCCP`-Virus im Speicher !
Dieses Virus setzt seine Adresse in den `CoolCapture`-Vektoren
und läßt per Interrupt-3 SOFTINT diese Adresse 50 x Sek.
überwachen !
Einmaliges löschen dieses Vektoren reicht also nicht aus !
Doch leider profitiert auch dieses Virus von der babylonischen
`Betriebssystem-Vielfalt` des Amiga`s die die `Commodore`-
Programmiere gestiftet haben ...
Denn wie bereits in meinem `DOC-File` erwähnt sind die Adressen
der 16 Interrupt-Vektoren, wohl nicht unter allen Betriebssystemen
des Amiga`s gleich.
Versucht nun ein Anwender mit einem anderen Betriebssystem
dieses Virus mit `Vector-Detector_V1.0.5` aus dem Speicher
zu löschen, so kann es zum Systemabsturz kommen, da dieses
Betriebssystem eine andere Adresse verwendet als 1.2.
Nachdem Absturz kommt es zur Reset-Routine, der `CoolCapture`-
Vektor wird angesprungen und das Virus ist wieder da ....
thanks Commodore ...
Nun zurück zum Virus !
Dieses wird nur während jeden `Reset` aktiv !
Dabei kopiert es sich aus dem Speicher in den Bootblock der
betroffenen Diskette und anschließend schreibt es sich in
den Programmcode des größten Programms aus dem Hauptverzeichnis
der Diskette.
Es steht ab $0030 im infizierten Programm.
Der `Bootblock` erzeugt nun Viren im Speicher ,welche wieder
neue `Bootblock`- und `Link`-Viren erzeugen, die sich nach
jedem `Reset` weiterkopieren.
Die gleiche Eigenschaft hat das `Linkvirus` `CCCP` im infizierten
Programm.
Es erfolgt also eine Durchseuchung der gesammten Disk.
Weitere Schäden scheint dieses Virus nicht anzurichten.
Auch diesen `Linkvirus` bekam ich von Stefan Wudy,8440 Straubing
ng zugesandt.
`SADDAM`
Dieser Virus ist ein `Filevirus`, welcher sich im Verzeichnis
`L` als `Disk-Validator` tarnt.
Er verbiegt den `ColdCapture`-Vektoren auf seine eigene
Adresse.
Dieser neue `Filevirus` kopiert sich während des `Rebootens`
und Diskettenwechsels weiter.
Dabei kopiert er sich nur über den `Disk-Validator`.
Der `Disk-Validator` enthält gewisse Informationen, die für
`AmigaDOS` zum Lesen der `Disk-Datenstruktur` wichtig sind.
Jeder kennt sicher die Fehlermeldung: `error validating disk.`
Dabei wird meistens der `Disk-Validator` der `Bootdiskette`
gelesen und anschließend die Datenstruktur der betroffenen
Diskette eingelesen.
Dieser `Filevirus` hat die gleiche Byte-Größe wie der richtige
`Disk-Validator` !
Im Gegensatz zum richtigen `Disk-Validator` ist der `SADDAM`-
Virus bis auf das Wort `Bitmap CheckSum Error` total codiert.
Der richtige Disk-Validator ist nicht codiert !
Bei längerem Benutzen dieses Viruses kommt es auf einigen
Disketten zu `read/write errors`, der Horror jeden Anwenders !
Leider kann `Vector-Detector_V1.0.5` diesen Virus im Speicher
nur erkennen aber nicht löschen.
Das Starten jedes `Gegen-Interrupts` bleibt erfolglos.
Auch das Auschalten der `System-Interrupts` nützt nichts.
Irgendetwas setzt die Adresse immer wieder neu in den `ColdCaptuzre`-
Vektoren.
Diesen Virus sandte mir ebenfalls Stefan Wudy,W-8440 Straubing.
`Smily Cancer`
Dieser `Linkvirus` bleibt mittels des `KickTagPtr`-Vektoren
resetfest im Speicher.
Außerdem verbiegt er den `DoIO`-Vektoren auf seine eigene
Adresse.
Während jeden `Reboots` oder Diskettenwechsel kopiert sich
dieser Virus in das erste ausführbare Programm aus der
`s/startup-sequence`.
Dieser `Linkvirus` ist mit über 4000 Bytes recht groß für ein
Programm seiner Spezies.
Außerdem beinhaltet er noch eine Menge codierten Text, sowie
den Aufruf der `graphics.library`.
Sicher steht dies alles noch bereit für ein Späßchen, welches
dieses Virus mit dem Anwender vor hat.
Allerdings hatte ich nicht genug Zeit mir dies alles anzuschauen.
Wenn `Vector-Detector_V1.0.5` diesen Virus im Speicher findet,
braucht es nur den `KickTagPtr`-Vektoren zu löschen, sowie den
`Interrupt` umzuschreiben.
Auch diesen `Linkvirus` bekam ich von Stefan Wudy,W-8440 Straubing.
------------------------------------------------------------
Diese Dokumentation wird ständig erweitert.
Sollten Sie irgendwelche Fehler in den Beschreibungen ent-
deckt haben, Antworten auf einige offene Fragen geben können,
oder neue Viren haben, dann schicken Sie Ihr Material bitte
an meine Adresse, welche am Ende des DOC-Files steht.
Matthias Gutt
Kantstr.16
W-2120 Lüneburg