home *** CD-ROM | disk | FTP | other *** search

---

/ Amiga Collections: Franz PD / Franz PD Disk #225 (1993)(Rhein-Sieg-Soft).zip / Franz PD Disk #225 (1993)(Rhein-Sieg-Soft).adf / AntiCicloVir_V1.7a / AntiCicloVir.DOK

< prev

next >

Wrap

Text File  |  1993-03-05  |  169KB  |  4,757 lines

---

1.        
2.                     AntiCicloVir V1.7a -Dokumentation
3.  
4.                             C   1992,1993
5.  
6.                               by
7.  
8.                            Matthias Gutt
9.                             Kantstr.16
10.                           W-2120 Lüneburg
11.                           Tel.:04131/49624
12.                          ( 20.30 - 21.30 Uhr )
13.                            
14.                             Beta-Testing
15.  
16.                                1992,1993
17.  
18.                                 by
19.  
20.                         Daniel Lars Reuß
21.                          Eschenweg 10
22.                       W-6470 Büdingen-Lorbach
23.                          
24.  Inhalt:
25.  
26.  1.0 Allgemeines
27.  
28.  2.0 Funktionen von AntiCicloVir Linkvirus-Statikum 1.7a
29.  
30.  2.1 Virus-Check im Speicher
31.  
32.  2.2 Virus-Check auf der Diskette
33.  
34.  3.0 Benutzung des Linkviruskillers
35.  
36.  4.0 Sonstiges
37.  
38.  5.0 Virus-Definitionen
39.  
40.      1. `Bootblock`-Viren
41.      2. `File`-Viren
42.      3. `Link`-VIren
43.      4. `Disk-Validator`-Viren
44.      5. Trojanische Pferde
45.      6. Bomben
46.  
47.  6.0 Anhang A (Computerviren)
48.  
49.      1. `Revenge of the Lamer Exterminator I+II`
50.      2. `Lamer LoadWB`
51.      3. `Lamer VirusX`
52.      4. `Return Of The Lamer Exterminator`
53.      5. `BGS9 I+II`
54.      6. `Bret Hawnes`
55.      7. `CCCP`
56.      8. `Color (TURK V1.3)`
57.      9. `CompuPhagozyte 1+2``
58.     10. `CompuPhagozyte II` oder `CompuPhagozyte 3`
59.     11. `CompuPhagozyte III A-C` oder `CompuPhagozyte 4a/b`
60.     12. `CompuPhagozyte IV` oder `CompuPhagozyte 4c`
61.     13. `D-Structure`
62.     14. `Disktroyer V1.0`
63.     15. `Disaster-Master V2`
64.     16. `Golden Rider`
65.     17. `Gotcha Lamer"   
66.     18. `IRQ`
67.     19. `JEFF Butonic"
68.     20. `NANO`
69.     21. `PP-BOMB`
70.     22. `SADDAM`
71.     23. `Smily Cancer I+II`
72.     24. `Terrorists`
73.     25. `T.F.C. Revenge LoadWB`
74.     26. `Traveling Jack`
75.     27. `Xeno`
76.  
77.  
78. 7.0 Anhang B (Bootblock-Viren)
79.  
80.      1. `16 Bit Crew`
81.      2. `2001`
82.      3. `AEK`
83.      4. `AIDS`
84.      5. `AIDS2`
85.      6. `Alien New Beat V1.0`
86.      7. `Amiga Freak`
87.      8. `Amiga Master`
88.      9. `ASV V0.000123`
89.     10. `Australian Parasite`
90.     11. `Bamiga Sector One`
91.     12. `Big Boss`
92.     13. `Blackflash V2.0`
93.     14. `Blade Runners`
94.     15. `BLF`
95.     16. `BlizzPro V3.1`
96.     17. `BlizzPro V3.3`
97.     18. `Blow Job`
98.     19. `Butonic 1.1`
99.     20. `Byte Bandit`
100.     21. `Byte Bandit +`
101.     22. `Byte Bandit 2`
102.     23. `Byte Bandit turbo`
103.     24. `Byte Voyager`
104.     25. `Byte Voyager II`
105.     26. `Byte Warrior`
106.     27. `CCCP`
107.     28. `Clonk`
108.     29. `Coders Nightmare`
109.     30. `DAG`
110.     31. `DAT`89`
111.     32. `Destructor V1.2`
112.     33. `Digital Emotions`
113.     34. `Disk-Doktors`
114.     35. `Disk Herpes`
115.     36. `Diskguard V1.0`
116.     37. `Divina Exterminator I`
117.     38. `Dotty`
118.     39. `DUMDUM`
119.     40. `Extreme`
120.     41. `F.A.S.T.`
121.     42. `F.I.C.A.`
122.     43. `Forpib`
123.     44. `Frity`
124.     45. `Gadaffi`
125.     46. `Glasnost`
126.     47. `Graffiti`
127.     48. `Gremlin`
128.     49. `GX.Team`
129.     50. `H.C.S.`
130.     51. `H.C.S. II`
131.     52. `Hilly`
132.     53. `HODEN V33.17`
133.     54. `Ice`
134.     55. `Incognito`
135.     56. `Inger IQ`
136.     57. `Ingo`
137.     58. `JITR`
138.     59. `Joshua`
139.     60. `Joshua 2`
140.     61. `Julie`
141.     62. `Kauki`
142.     63. `Kefrens`
143.     64. `L.A.D.S`
144.     65. `LAMER Exterminator (alt)`
145.     66. `LAMER Exterminator I`
146.     67. `LAMER Exterminator II`
147.     68. `LAMER Exterminator III`
148.     69. `LAMER Exterminator IV`
149.     70. `LAMER Exterminator V`
150.     71. `LAMER Exterminator VI`
151.     72. `LAMER Exterminator VII`
152.     73. `LAMER Exterminator VIII`
153.     74. `Loverboy & Sexmachine` 
154.     75. `LSD`
155.     76. `MAD`
156.     77. `MAD II`
157.     78. `MEXX`
158.     79. `MGM 89`
159.     80. `Microsystems`
160.     81. `MOSH`
161.     82. `Nasty-Nasty`
162.     83. `North Star`
163.     84. `North Star II`
164.     85. `Obelisk`
165.     86. `Obelisk 2`
166.     87. `OPAPA`
167.     88. `PARATAX`
168.     89. `PARATAX II`
169.     90. `PARATAX III`
170.     91. `Pentagon-Slayer`
171.     92. `Pentagon-Slayer 2`
172.     93. `Pentagon-Slayer 3`
173.     94. `Plastique`
174.     95. `Revenge`
175.     96. `Revenge Bootloader`
176.     97. `SACHSEN No. 1`
177.     98. `SADDAM HUSSEIN`
178.     99. `SCA`
179.    100. `SCARFACE`
180.    101. `Sendarion #1`
181.    102. `Sherlock2.0`
182.    103. `SS`
183.    104. `SS II`
184.    105. `Supply Team`
185.    106. `Target`
186.    107. `Telstar`
187.    108. `Termigator`
188.    109. `T.F.C. Revenge``
189.    110. `TimeBomb`
190.    111. `TNK`
191.    112. `Tomates Gentechnic`
192.    113. `TURK V1.3`
193.    114. `U.K. Lamer Style`
194.    115. `Ultrafox`
195.    116. `Virus Slayer V1.0`
196.    117. `Virus V1`
197.    118. `Warhawk`
198.    119. `Z.E.S.T.`
199.    120. `ZACCESS V1.0`
200.    121. `ZACCESS V2.0`
201.    122. `ZACCESS V3.0`
202.    123. `ZLX`
203.    124. `Zombi I`
204.  
205.  
206. 8.0 Anhang D ( Seriöse Resetprogramme )
207.  
208.      1. `ASS Virusprotector V1.0`
209.      2. `SystemZ V3.0`
210.      3. `SystemZ V4.0`
211.      4. `SystemZ V5.0
212.      5. `SystemZ V5.1
213.      6. `SystemZ V5.3`
214.      7. `SystemZ V5.4`
215.      8. `SystemZ V6.1`
216.      9. `SystemZ V6.4`
217.     10. `SystemZ V6.5`
218.     11. `ALF-2 HD`
219.  
220.  
221.                       1.0 Allgemeines
222.  
223. Das Programm `AntiCicloVir V1.7a` ist PD-Software und darf im unver-
224. ändertem Zustand frei weiter gegeben werden.
225. `AntiCicloVir V1.7a` wurde den PD-Serien `AmigaLibraryDisks`,`FRANZ_PD`
226. ,`,`Kickstart`, `TIME_PD`,`Exec_PD`, `Amiga Corner` und `GPD`  zum 
227. Veröffentlichen angeboten.
228. Dieser Linkviruskiller darf aber auch in jeder anderen Serie
229. und auch ohne dieses DOC-File veröffentlicht werden.
230. `AntiCicloVir V1.7a` darf auch zum Schutz von Disketten im `c`-
231. Verzeichnis jeder PD-Serie erscheinen.
232. Sollte ich dieses Programm jedoch im unangemessenen Zustand auf
233. einer PD-Diskette finden, so behalte ich mir das Recht vor, dieser
234. PD-Serie die weitere Veröffentlichung von `AntiCicloVir V1.7a` zu
235. untersagen.
236. NICHT erlaubt sind Änderungen am Binär-code dieses Programms !
237. Nur zum eigenen Gebrauch darf dieses Programm verändert werden.
238. Dann darf es aber unter keinen Umständen weitergegeben werden !
239. Auch dann nicht, wenn die Änderungen rückgängig gemacht worden
240. sind !
241. Das unerlaubte Ändern von Programm-Teilen und Ausgabe-Texten 
242. aus `AntiCicloVir V1.7a` kann strafrechtlich verfolgt werden !!
243. Und das wird es im Übrigen z. Zt auch !!!
244. Ob die `Lamer`, die eine unerlaubte Mutation an `AntiCicloVir`
245. vorgenommen und diese in den Umlauf gebracht haben, geahnt hätten,
246. daß sie nun die strafrechtlichen Folgen für ihr Vergehen tragen müssen ?
247. Nun, bleibt mir nur übrig, noch einmal alle zu warnen, die ebenfalls vor-
248. haben `AntiCicloVir` zu klauen !!!
249. Denn in dieser Hinsicht muß man konsequent sein, denn ansonsten weiß
250. niemand vor lauter Plagiate mehr, welches das Original ist !!!
251. Bei der V1.7a kann ich von einem `Namens-Patch` nur dringend abraten,
252. da ein Mechanismus im Programm dafür sorgt, daß bei jedem Versuch, ein
253. Plagiat von `AntiCicloVir` zu starten, ein 220V Stromstoß an die Tastatur
254. abgegeben wird !!!
255. Nur soviel als Denkanstoß ...
256. Und noch eines !
257. Namen aus Programm-Titeln ändern oder auch Viren mutieren ist MEGA-OUT !!!
258. Selbstprogrammieren ist in !
259. Und dem der gerne selbst ein Antiviren-Programm schreiben möchte, bin
260. ich gerne bereit, einige Source`s, meine Viren-Sammlung und Informationen
261. zur Verfügung zu stellen.
262. Im Übrigen kann ich auch nicht für die volle Fehler-Freiheit dieses
263.  Linkviruskillers garantieren.
264. Über Fehlfunktionen oder Mängel, die Sie bei `AntiCicloVir V1.7a`
265. gefunden haben, können Sie mich jederzeit unterrichten !
266. Nutzen Sie dabei bitte die am Ende dieses Files stehende Anschrift !
267. An dieser Stelle möchte ich mich noch bei Michael Petrikowski von der PD-
268. Serie Amiga Szene, für die freundliche Unterstützung, in meinem unermüdlichen
269. Kampf gegen Programmierfehler in `AntiCicloVir`, bedanken !
270. Die neuesten `AntiCicloVir`-Versionen können auch über Daniel Lars Reuß
271. oder dem TPDS ( Jürgen Dieterich, Rehhaldenweg 156, W-7060 Schorndorf )
272. bezogen werden !
273.  
274.  
275.  
276.  
277.  
278.             2.0 Funktionen von `AntiCicloVir Linkvirus-Statikum 1.7a`
279.  
280.  
281.                              
282. Das Programm `AntiCicloVir V1.7a` ist ein recht einfach zu bedienender
283.  Linkviruskiller.  
284. Es wird wie ein `CLI`-Befehl vom AmigaDOS aus gestartet.
285. Das ist besonders für Anfänger nützlich, die keine Zeit haben
286. komplizierte Linkviruskiller-Anleitungen durchzuarbeiten !
287. Außerdem kann `AntiCicloVir V1.7a` nicht nur Linkviren auf der Diskette,
288. sondern auch Linkviren im Speicher erkennen.
289. Die Hauptfunktion der V1.7a von `AntiCicloVir` kann jetzt im `CLI` nur
290. noch durch die Option `-m` erreicht werden:
291.                          `AntiCicloVir -m`
292. Beim `Workbench`-Start hat sich zur alten Version jedoch nichts geändert.
293. In der Hauptfunktion zeigt `AntiCicloVir` den Zustand von 15 `strategisch
294. wichtigen Systemvektoren` an, aus der `ExecBase`-Struktur, der `exec.library`,
295. der `dos.library`, der `intuition.library` und dem `trackdisk.device` !
296. Näheres dazu erfahren Sie im anschließendem Kapitel.
297. Zusätzlich kann das Programm auch noch 124 `Bootblock`-Viren im Speicher
298. erkennen, die im Anhang B beschrieben sind !
299. Die Routine zum Überwachen von Disketten wurde nun zu 100 Prozent geändert !
300. Es werden jetzt wie üblich alle Einträge eines Verzeichnisses eingelesen
301. und ausgewertet.
302. Näheres dazu steht im übernächsten Kapitel.
303. Wegen dieser tiefgreifenden Programmänderung, entfallen auch die Routinen
304. zum Checken der `Externen Betriebssystem-Routinen` im Verzeichnis `L` und
305. zum Selbstcheck des Linkviruskillers auf `Linkviren`-Befall !
306. Es werden also `:L/Disk-Validator` etc. nicht mehr auf Standard überprüft.
307. Daß es in absehbarer Zeit beispielsweise `Ram-Handler`-Viren o. ä. geben
308. wird, halte ich für unwahrscheinlich !
309. Natürlich kann `AntiCicloVir` weiterhin die beiden `Disk-Validator`-Viren
310. `Return of the Lamer Exterminator` und `SADDAM` erkennen, weshalb ein 
311. obligatorisches Überwachen des `Disk-Validators` überflüssig wäre.
312. Ja es ist sogar so, daß die vielen noch unbekannten harmlosen `Disk-Validator`s
313. mehr Panik stiften würden, als der Sache angemessen wär` !
314. Es gibt z. Zz. nur noch ein unbekanntes `Disk-Validator`-Virus, namens 
315. `DiskVal1234`, welches eines Mutation von `SADDAM` ist und , ich denke,
316. vermutlich auch als diese von `AntiCicloVir` erkannt wird.
317. Aber trotzdem bin ich an der Zusendung von `DiskVal1234` interessiert !!!
318. Die bisherige Selbstcheck-Routine von `AntiCicloVir` auf `Linkviren`, halte
319. ich für unpraktisch und werde mir deshalb noch was Neues ausdenken.
320. Mittlerweile ist `AntiCicloVir` auch resetfest und gibt nach jedem 
321. `Reboot` ein Farbsignal aus !
322. Damit wären auch schon alle Aufgaben dieses Linkviruskillers im
323. Wesentlichen genannt !
324.  
325.  
326.  
327.  
328.                     2.1 Virus-Check im Speicher
329.  
330.  
331. Wenn Sie dieses Programm vom `CLI` aus unter Angabe der Option `-` starten, 
332. dann wird nur ein Virus-Check im Speicher ausgeführt !
333. Zur Zeit erkennt `AntiCicloVir V1.7a` die Viren `Revenge of the Lamer
334. Exterminator`,`BGS 9 I`,`BGS 9 II`,`,`Return of the Lamer Exterminator`,
335. `Bret Hawnes`,`CCCP`,`Color (TURK V1.3)`,`CompuPhagozyte 1`,
336. `CompuPhagozyte 2`,`CompuPhagozyte II`,`CompuPhagozyte III A-C`,
337. `CompuPhagozyte IV`, `D-Structure`, `Disaster Master V2`,`IRQ`,`JEFF Butonic V3.00`,
338. `Gotcha Lamer`,`Golden Rider`, `NANO`, `SADDAM`, `Smily Cancer`, `Terrorists`,
339. `Traveling Jack` und `Xeno` im Speicher und entfernt sie !
340. Sobald ein Virus im Speicher entdeckt wurde, wird eine Warnung
341. ausgegeben und das Virus automatisch gelöscht.
342. Leider kann der Linkviruskiller dabei nicht zwischen den Viren
343. `BGS 9`, und `BGS 9 II` unterscheiden.
344. Deshalb warnt er sie vor beiden Viren.
345. In dieser Version wurde nun die Erkennungsroutine für die Viren
346. `BGS 9`,`BGS 9 II` und `Terrorists` durch eine neue Routine ersetzt !
347. Bei den bisherigen Versionen wurden diese Viren nicht direkt im Speicher
348. erkannt, sondern anhand einer bestimmten Resident-Struktur !
349. Da diese Resident-Struktur auch von einigen seriösen Programmen benutzt
350. wird, kam es gelegentlich zu Verwechselungen !
351. Mittlerweile kann `AntiCicloVir` alle drei Viren direkt im Speicher
352. erkennen.
353. Während das `Terrorists`-Virus von den `BGS 9`-Viren unterschieden werden
354. kann, sieht es bei den beiden `BGS 9`-Viren jedoch anders aus.
355. Diese beiden Viren sind nahezu identisch, so daß `AntiCicloVir` im
356. Speicher nicht zwischen `BGS 9` und `BGS 9 II` unterscheiden kann !
357. Da die Viren nun direkt erkannt werden, kommt es nun zu keinen 
358. Verwechselungen mit seriösen Programmen mehr !
359. Bitte lesen Sie dazu auch die Kapitel `BGS 9` und `Terrorists` im 
360. `Anhang A` !
361. Wenn Sie dieses Programm gestartet haben, verändern sich zuerst
362. die Bildschirmfarben .
363. Dies deutet immer daraufhin, daß das Programm aktiviert wurde und
364. noch funktioniert.
365. Hierauf erscheint die `System-Vektoren-Tabelle` !
366. Im Fenstertitel wird die Versionsnr. des Betriebssystems Ihres Rechners
367. angegeben, falls diese erkannt wurde !
368. Da es immer mehr neue Betriebssysteme und AMIGA-Modelle gibt, wird dort in
369. nicht wenigen Fällen `unknown KickStart` stehen ...
370. Die Erkennung der Versionsnr. ist wichtig für`s Löschen von Viren aus dem
371. Speicher !!!
372. Ansonsten können Viren im Speicher zwar angezeigt, müßen aber in vielen
373. Fällen durch einen Reset gelöscht werden.
374. `AntiCicloVir` gibt Ihnen im Einzelfall die jeweilige Empfehlung aus !!!
375. Diese Methode soll ein absturzsicheres Arbeiten auch mit ganz neuen Betriebs-
376. systemen und AMIGA-Modellen gewährleisten !
377. Nun zur Auswertung der `Systemvektoren-Tabelle` !
378. Es werden 15 Adreßzeiger aus der `ExecBase`-Struktur, der `exec.library`,
379. der `dos.library`, der `intuition.library` und dem `trackdisk.device` ange-
380. zeigt.
381. Das sind, die meiner Meinung nach, wichtigsten Vektoren !
382. Hiermit lassen sich etwa 95% aller neuen Computerviren aufspüren !
383.  
384. Kommen wir als erstes zur `ExecBase`-Struktur.
385. Dies ist die Grundstruktur Ihres Rechners und beinhaltet zugleich auch die
386. sechs wichtigsten Systemvektoren: 
387.  
388. - ColdCapture *
389. - CoolCapture *
390. - WarmCapture *
391. - KickMemPtr *
392. - KickTagPtr *
393. - KickCheckSum *
394.  
395. Hierbei handelt es sich um die Resetvektoren.
396. So lange diese auf `$00000000` zeigen, kann sich kein resetfestes Programm
397. im Speicher befinden !!!
398. So ziemlich alle AMIGA-Viren, außer ein paar `File`- und `Linkviren` sind
399. resetfest.
400. Deshalb lassen sich AMIGA-Viren auch am leichtesten über diese Vektoren auf-
401. spüren.
402. Allerdings gibt es auch viele seriöse Programme, die resetfest sind !
403.  
404. Die `Capture`-Vektoren dienen zum Einbinden von Routinen, die der AMIGA 
405. zwischen der Resetphase durchlaufen soll.
406. Es handelt sich hierbei also nicht um vollständige Programme, sondern nur um
407. Routinen, die während des `Reset`s einige `Job`s erledigen sollen.
408. Viren benutzen sie, um in der Aufbauphase des System`s aktiv zu werden, damit
409. sie ihren Speicherbereich sichern, weitere Vektoren verbiegen und ggf. einige
410. Texte oder Grafiken zu diesem Zeitpunkt ausgeben können.
411.  
412. Der ColdCapture *-Vektor wird relativ selten genutzt.
413. Er wird am frühesten angesprungen.
414. Zu diesem Zeitpunkt ist die `exec.library` noch nicht initialisiert, die
415. Interrupt-Handler stehen noch nicht zur Verfügung, der `Stack` existiert noch
416. nicht, weshalb keine Sprünge innerhalb einer `Reset`-Routine möglich sind -
417. alles muß sequentiel abgearbeitet werden - und auf den Speicher kann auch 
418. noch nicht zugegriffen werden.
419.  
420. CoolCapture * ist da für Virusprogrammierer weitaus interessanter und dem zu
421. Folge wird dieser Resetvektor am meisten genutzt.
422. Er wird später angesprungen als ColdCapture *, weshalb nun auch die `exec.library`,
423. die `Interrupt`-Handler, der `Stack` und der Speicher zur Verfügung stehen.
424. Deshalb sind innerhalb dieser `Reset`-Routine auch wieder Sprünge möglich !
425. Die meisten Viren benutzen CoolCapture *
426.  
427. WarmCapture * hingegen, hat keine praktische Bedeutung, da er nur bei einem
428. Fehler beim Aufbau der `dos.library` angesprungen wird.
429.  
430. Schließlich gibt es noch eine zweite Art von `Reset`-Vektoren und das sind die
431. `Resident-Pointer` oder auch `Kick-Pointer` genannt:
432.  
433. - KickMemPtr *
434. - KickTagPtr *
435. - KickCheckSum *
436.  
437. Diese Zeiger dienen zum Ablaufen eines richtigen `Reset`-Programmes, während der
438. `Resetphase`.
439. Programme , die über diese Zeiger angesprungen werden, haben weitaus mehr
440. Zugriffsmöglichkeiten, als die `Reset`-Routinen, die über die `Capture`-Vektoren
441. gestartet werden !
442. Bis auf die `dos.library`, einigen `devices` und `resources`, kann hier schon
443. ein großer Teil des Betriebssystems genutzt werden, da diese Zeiger so ziemlich
444. zum Schluß der Aufbauphase angesprungen werden.
445. AMIGA-Viren, die diese Zeiger benutzen, brauchen ihren Speicher nicht mehr extra
446. zu sichern, sondern haben nur noch die übrigen Vektoren zu retten und können
447. ansonsten Grafiken, Texte etc. ausgeben !
448.  
449. Der KickMemPtr * zeigt dabei auf eine Speicherbelegungsliste ( `MemList`-Struktur ),
450. die dafür sorgt, daß diese Speicherbereiche auch nach einem `Reset` nicht mehr
451. überschrieben werden können.
452. So lassen sich Betriebssystem-Erweiterungen oder hilfreiche, vielbenötigte,
453. Nutzprogramme auch nach einem `Reset` erhalten und können später bei Bedarf
454. aufgerufen werden.
455. Doch aktiviert werden diese Programme nach dem `Reset` nicht !
456. Dafür dient ein anderer Zeiger, namens KickTagPtr *!
457. Wie der Name schon sagt, zeigt dieser auf einen Teil aus dieser `MemList`-Struktur,
458. die nach dem `Reset` aufgerufen werden soll.
459. Im Zeiger KickCheckSum erwartet das Betriebssystem eine Prüfsumme aus den Werten
460. von KickMemPtr * und KickTagPtr *, welche durch die SumKickData ()-Routine be-
461. rechnet werden kann.
462.  
463. Der letzte Wert gehört NICHT zur `ExecBase`-Struktur !!!
464. Hierbei handelt es sich um einen Interrupt-Vektoren der Ebene 3, welcher von
465. der CPU ( Prozessor ) verwaltet wird.
466. In Interrupt-Vektoren stehen Adressen von Programmen, die immer zu bestimmten
467. Ereignissen angesprungen werden sollen, da sie für`s System oder für ein
468. Programm wichtige Aufgaben zu erfüllen haben.
469. `$6c` wird 50 x in der Sekunde (!) angesprungen, immer dann, wenn der Rasterstrahl
470. die Zeile Null Ihres Monitors/Fernsehers erreicht hat !
471. Für AMIGA-Viren ist dies deshalb interessant, weil sie so permanent aktiviert
472. werden und Gelegenheit haben ihre Systemvektoren zu überwachen, falls diese
473. von einem anderen Programm ( Viruskiller/Virus ) gelöscht worden sind und diese
474. neu setzen können !
475. Dieser Wert sollte immer auf eine ROM-Adresse im Bereich von $FCxxxx zeigen.
476.  
477. Kommen wir nun zur `exec.library` !
478. Aus dieser Systembibliothek, zeigt `AntiCicloVir` die Einsprungsvektoren zu den
479. folgenden vier System-Routinen an:
480.  
481. - DoIO ()
482. - OldOpenLibrary ()
483. - OpenLibrary ()
484. - SumKickData ()
485.  
486. Die DoIO ()-Routine wird vom Betriebssystem, sowie von Anwenderprogrammen
487. gleichermaßen häufig benutzt.
488. Über DoIO () kann indirekt die BeginIO ()-Routine aus den verschiedenen
489. `devices` gestartet werden.
490. Wie der Name schon sagt, dient diese Routine zum Starten von Eingabe/Ausgabe-
491. Prozessen oder kurz I/O-Prozessen.
492. Diese I/O-Prozesse bzw. Kommunikation mit der `Hardware` erledigt der Prozessor
493. des AMIGA`s über sogen. `devices`.
494. Für jedes Gerät, gibt es ein `device`: 
495. ... für das Laufwerk das `trackdisk.device`, für die Tastatur das `keyboard.device`
496.  etc ...
497. Will man also ein Gerät ansprechen, so tut man das üblicherweise, über das ent-
498. sprechende `device`.
499. Dabei muß in einer sogen. `IORequest`-Struktur definiert werden, welche Aufgabe
500. das angewählte `device` erledigen soll, nachdem es geöffnet wurde.
501. Soll diese Aufgabe ( `IORequest`-Struktur ) nun ausgeführt werden, so muß diese
502. mittels der Routine BeginIO () des jeweiliegen `devices` gestartet werden.
503. Über die Routine DoIO () aus der `exec.library` kann man nun die BeginIO ()-
504. Routine ansprechen.
505. Für AMIGA-Viren ist dies insbesondere deshalb so interessant, weil das Betriebs-
506. system die DoIO ()-Routine benutzt, um beim Einlegen oder `Booten` einer
507. Diskette, mittels des `trackdisk.devices`, auf diese zu zugreifen !
508. Ein Virus, das DoIO () verbiegt, wird somit immer aktiv, wenn von einer
509. Diskette `gebootet`, `geladen` oder auf ihr geschrieben wird oder wenn einfach
510. nur eine neue Diskette eingelegt wird ... ideal für `Bootblock`-Viren
511. DoIO () sollte immer auf einen Wert von $FCxxxx zeigen !
512.  
513. Die Routinen OpenLibrary () & OldOpenLibrary () gehören eigentlich zusammen.
514. Sie werden immer dann angesprungen, wenn ein Programm eine Systembibliothek
515. öffnet, um mit ihr arbeiten zu können.
516. Zweckmäßigerweise geschieht dies immer beim Programmstart.
517. Wenn Sie also ein Programm von der Diskette laden, dann werden, während das
518. Laufwerk noch läuft, schon die ersten Systembibliotheken geöffnet !
519. Wenn sich jetzt ein Virus auf die Diskette kopiert, dann würden Sie`s bestimmt
520. nicht merken, oder ?
521. Deshalb verbiegen `Link`- & `Fileviren` diese Vektoren auf ihre Adresse, um
522. beim noch laufenden Laufwerk, sich unbemerkt auf die Diskette kopieren zu
523. können.
524. OldOpenLibrary () ist die Vorgängerin von OpenLibrary unter `KickStart V1.0`.
525. Da es aber noch viele Programme gibt, die OldOpenLibrary () benutzen, wurde
526. diese Routine unter allen neuen Betriebssystemen implementiert !
527. Beide zeigen gewöhnlich auf `ROM`-Adressen.
528.  
529. Als Letztes bleibt noch, die schon vorhin erwähnte, Routine SumKickData ()
530. Diese dient zum Berechnen der KickCheckSum * für `Reset`-Programme.
531. Der aus der Asche auferstandene Phoenix, stand einigen Virusprogrammierern,
532. bei der Entdeckung dieses `Gag`s, wohl Pate.
533. Wenn nämlich ein anderes Virus oder ein Viruskiller ein derartiges Virus ge-
534. löscht hat, um anschließend sich selbst zu installieren, wobei es ja, mittels
535. der SumKickData ()-Routine , seine KickCheckSum * berechnen muß, dann erweckt
536. es unwissend seinen Vorgänger zu neuenm Leben und haucht damit sein  eigenes
537. aus ...
538. SumKickData () sollte immer auf eine `ROM`-Adresse im Bereich von $FCxxxx
539. zeigen !
540.  
541. So und nun noch einmal zum `trackdisk.device` !
542. Welche Bewandniss es damit auf sich hat, habe ich ja vorhin schon erwähnt ...
543. BeginIO () dient immer dazu, um einen `I/O`-Prozess des `trackdisk.device`
544. zu starten.
545. Vor allem `Bootblock`-Viren nutzen diesen Vektor gerne ...
546. Jedesmal, wenn das Laufwerk über`s `trackdisk.device` angesprochen wird, kann
547. ein solches Virus sich aktivieren und nun die Diskette infizieren - als beim
548. `Booten`, Laden, Abspeichern oder beim Diskettenwechsel !
549.  
550. Kommen wir nun zur `dos.library` !
551. Hier interessieren uns zwei Vektoren:
552.  
553. - Open ()
554. - LoadSeg ()
555.  
556. Die Routine Open () wird von Programmen immer dann angesteuert, wenn irgend-
557. etwas geöffnet werden soll.
558. `File`- & `Linkviren` gehen hierbei von Dateien aus.
559. Wenn also ein Programm eine Datei öffnet, um aus ihr etwas zu lesen oder in ihr
560. etwas zu schreiben, dann kann ein `Linkvirus` sich selbst gleich mit hinein-
561. schreiben ...
562. Allerdings können mit Open () auch viele andere Eingabe/Ausgabe-Kanäle geöffnet
563. werden: Dateien, DOS-Fenster, Druckerausgabe etc ...
564.  
565. Die Routine LoadSeg () wird i.d.R. vom Betriebssystem genutzt, um ausführbare
566. Programmdateien in einen Datenpuffer zu laden, damit sie später als Programme
567. gestartet werden sollen.
568. Wie dies im Einzelnen funktioniert, soll uns an dieser Stelle nicht interessieren
569.  - nur die Tatsache, daß beim Aufrufen eines Programmes vom `CLI`, der `WB` oder
570.  durch ein anderes, dieser Vektor angelaufen wird !
571. Dies ist für `File`- & `Linkviren` sehr interessant, da sie jedesmal, wenn ein
572. Programm gestartet wird, sich unauffällig auf die Diskette kopieren und dieses
573. Programm möglicherweise gleich mitinfizieren können !
574. Es gibt neuerdings auch einige Nutzprogramme, die diesen Vektor auf ihre
575. eigene Adresse verbiegen.
576.  
577. Ganz zum Schluß kommen wir noch zur `intuition.library`.
578. Aus dieser Systembibliothek interessiert nur der OpenWindow ()-Vektor.
579. Diese Routine dient zum Öffnen eines `Intuition`-Fensters und wird vom
580. Betriebssystem, wie Anwenderprogrammen gleichermaßen benutzt.
581. Er ist vor allem für einige `Fileviren` interessant, da diese sich nur beim
582. `Booten` einer Diskette, zu einem bestimmten Zeitpunkt, auf diese kopieren
583. können !
584. Deshalb hilft auch hier das Betriebssystem weiter ...
585. Jedesmal nach dem `Boot`-Vorgang, - vorm Abarbeiten der `s/startup-sequence` -
586. wird das `AmigaDOS`-Fenster für`s `CLI` geöffnet.
587. Dabei benutzt das Betriebssystem die OpenWindow ()-Routine.
588. Derartige `Fileviren` verbiegen diesen Vektor und werden so zur rechten Zeit
589. aktiv und können sich vermehren oder einen Text bzw. Grafik ausgeben !
590. Allerdings ist es bei all` den AMIGA-Viren aus meiner Sammlung so, daß sie
591. diesen Vektor kurz nach dem Benutzen wieder auf die `ROM`-Adresse setzen, so
592. daß man mit `AntiCicloVir`, hier keinen verboegenen Vektor mehr wird erkennen
593. können !
594.  
595. Anschließend wird ein Virus-Check des Speichers durchgeführt.
596. Aber auch dann, wenn kein Virus im Speicher gefunden wurde, setzt
597. `AntiCicloVir V1.7a` automatisch die Vektoren ColdCapture *, 
598. CoolCapture * und KickTagPtr * wieder auf null.
599. Abschließend wird noch der Speicher auf 124 `Bootblock`-Viren überprüft,
600. die im `Anhang B` beschrieben worden sind !
601. Wenn Sie dieses Farbsignal lästig finden oder wenn es unter Ihrem
602. Betriebssystem ( `KickStart 2.04` ??? ) evtl. einen Systemabsturz
603. verursacht, dann können Sie als Option `-n` beim Aufrufen angeben,
604. damit das Farbsignal unterdrückt wird !
605. Mit der Option `-c` wird bewirkt, daß keine Fensterleiste mehr erscheint
606. und keine Resetroutine mehr installiert wird !
607. Nachdem der Virus-Check beendet worden ist, werden Sie nach einem
608. erneuten Start von `AntiCicloVir` feststellen, daß der CoolCapture *-
609. Vektor verbogen worden ist !
610. Dabei handelt es sich nicht etwa um ein neues Virus, sondern um die
611. Reset-Routine von `AntiCicloVir V1.7` !
612. Diese Routine steht immer ab $7E000 über CoolCapture * resetfest im
613. Speicher und erzeugt nach dem Reset ein Farbsignal !
614. Außerdem wird SumKickData () auf $7E208 verbogen !
615. Solange dieses Farbsignal erscheint, bedeutet dies, daß `AntiCicloVir`
616. resetfest im Speicher steht und keine weitere Reset-Routine ( Virus )
617. mehr aktiv ist !
618. Diese Routine überwacht nach jedem Reset die System-Vektoren auf
619. Veränderungen.
620. Zeigt ein Vektor nicht mehr auf null oder CoolCapture * nicht mehr
621. auf $7E000, so werden die Vektoren gelöscht und ein zweiter Reset
622. wird ausgeführt !
623. Wenn `AntiCicloVir` zweimal gestartet wurde, wird die Reset-Routine
624. beim zweiten Mal wieder gelöscht !!
625. Sie ist also hauptsächlich dann sinnvoll, wenn `AntiCicloVir` nur einmal
626. gestartet wird, beispielsweise von der `s/startup-sequence` aus !
627. Erscheint das Farbsignal nach dem Reset nicht mehr, obwohl `AntiCicloVir`
628. ordnungsgemäß installiert wurde, so bedeutet dies, daß sich 
629. möglicherweise ein Virus im Speicher befindet und `AntiCicloVir V1.7a` ge-
630. löscht hat !
631. Wird kurz nach dem Farbsignal ein Reset von Seiten der Reset-Routine
632. ausgeführt, so deutet dies auf die Anwesenheit eines Viruses hin, welches
633. jedoch erfolgreich von `AntiCicloVir` gelöscht wurde.
634. Da die Reset-Routine die Viren nicht namentlich erkennt, sollten Sie
635. anschließend mit dem Hauptprogramm, von der Diskette aus, den Speicher
636. auf Viren untersuchen !
637. Denn `AntiCicloVir` kann auch noch einige Viren im Speicher erkennen,
638. nachdem sie gelöscht wurden.
639. Wenn Sie während des `Reset` die linke Maustaste gedrückt halten - bis zum
640. Beende des Farbsignals - dann löscht sich die `Reset`-Routine selbst !
641. Bevor Sie unter AmigaDOS mit Files arbeiten oder mit einem Link-
642. viruskiller Disketten durchchecken, sollten Sie vorher immer den
643. Speicher überprüfen !
644. Denn manche Linkviren können sich schon beim Diskettenwechsel
645. weiterkopieren, während Sie Ihre Disketten auf Linkviren checken.
646. Es gibt einige Linkviruskiller, die Viren nur auf der Disk als
647. File erkennen können, aber gerade dies hat den Nachteil, daß diese
648. Viren nicht effektiv entfernt werden können.
649. Denn stellen Sie sich beispielsweise vor, daß Sie gerade Ihre komplette
650.  Disketten-Sammlung auf Linkviren mit einem derartigen Viruskiller
651. überprüfen, während sich ein Linkvirus im Speicher befindet !!
652. Das Ergebnis wäre, daß womöglich nun Ihre komplette Disketten-
653. Sammlung mit Linkviren verseucht wäre !!
654. Der sicherste Schutz gegen Linkviren bleibt jedoch immer noch
655. der Schreibschutz !
656. Denn es wird nie einen Viruskiller geben, der alle aktuellen Viren
657. erkennen kann.
658. Dafür gibt es einfach zu viele Virus-Programmierer !
659.  
660.  
661.  
662.  
663.  
664.  
665.  
666.                    2.2 Virus-Check auf der Diskette
667.  
668.  
669. Wenn Sie Ihre Disketten auf Linkviren checken wollen, dann müßen
670. Sie zusätzlich zum Namen, unter dem Sie `AntiCicloVir V1.7` vom `CLI`
671. aus aufrufen, auch noch das entsprechende Laufwerk oder Verzeichnis
672. angeben !
673. Dabei erscheint im Übrigen kein Grafik-Signal mehr, sondern die
674. entsprechende Diskette wird sofort gecheckt !
675. Doch auch bei dieser Funktion wird vorher noch der Speicher auf
676. Linkviren überprüft !
677. Wird ein Virus auf der Diskette gefunden, dann wird eine Warnung
678. ausgegeben und das Virus gelöscht !
679. Momentan erkennt `AntiCicloVir` die Viren `Revenge of the Lamer Exterminator`,
680. `Revenge of the Lamer Exterminator II`,`BGS 9`,`BGS 9 II`,`Bret Hawnes`,
681. `Lamer LoadWB`,`Lamer VirusX`,`Color (TURK V1.3)`,`CompuPhagozyte 1`,
682. `CompuPhagozyte 2`,`CompuPhagozyte II`, `CompuPhagozyte III A-C`, `CompuPhagozyte IV`,
683. `D-Structure`, `DAG Creator`,`Disaster-Master V2`, `Disktroyer V1.0`,`JEFF Butonic V3.10`,
684. `Gotcha Lamer-Virus-Creator(MINIDEMO.EXE)`, `Return of the Lamer Exterminator`,
685. ``NANO`, `PP-BOMB`,`SADDAM`, `Smily Cancer II`,  `T.F.C. Revenge LoadWB`,`Terrorists` !
686. Informationen zu diesen 30 File-Viren finden Sie im Anhang A !
687. In der Version 1.7a wurde die komplette Routine zum Checken von Disketten ent-
688. fernt ( ca. 60% des Programmes ) und gegen eine völlig neue ersetzt.
689. Bisher fand immer ein relativ oberflächliches `Scanning` der Disketten statt.
690. Es wurde nach einigen unsichtbaren Dateinamen gesucht, die `Startup-Sequence`,
691. und der Inhalt einiger Standard-Dateien überprüft !
692. Ab dieser Version können nun ganze Verzeichnisse ausgelesen und der Inhalt
693. jeder Datei kann überwacht werden !
694. Damit ist ein zuverlässiges, nahezu 100 prozentig sicheres Checken möglich !!!
695. Natürlich dauert das Checken einer Diskette mit `AntiCicloVir` jetzt genauso
696. lang` wie mit einem herkömmlichen `Linkviruskiller` !
697. Doch diese Änderung war notwendig !!!
698. Denn mittlerweile gibt es immer mehr `File`- & `Linkviren`, so daß das `Updaten`
699.  von `AntiCicloVir` immer schwieriger wurde, da die alte Routine zu lang und
700. damit das Programmieren zeitraubend war !
701. Außerdem gibt es immer mehr `Fileviren`, die die gleichen unsichtbaren Namen
702. verwenden, so daß es zu Verwechselungen käme.
703. Da die alte Routine ein `Filevirus` nur in einer vorgegebenen Standard-Datei
704. erkennen konnte, bestand die Gefahr, daß `Fileviren` übersehen werden konnten.
705. Beispielsweise wenn jemand ein `SADDAM`-Virus als `cls` tarnt und `AntiCicloVir`
706.  vergeblich im `Disk-Validator` nach dem Virus suchte ...
707. Freilich wäre jede Kopie dieses `SADDAM`-Viruses erkannt worden, da es sich
708. nur als `Disk-Validator` weiterkopieren kann, jedoch nicht das Original !
709. Außerdem konnten mit der alten Routine auch keine `Linkviren` erkannt werden.
710. Um Disketten zu Checken, rufen Sie `AntiCicloVir` vom `CLI` aus auf und geben
711. anstelle einer Option einen Pfadnamen für das Verzeichnis an !
712. Wenn hinter `AntiCicloVir` keine Option steht, dann wird jedes andere Zeichen
713. als Verzeichnisname interpretiert !!!
714. Beispielsweise:           `AntiCicloVir Df0:`
715. Einzelne Dateien können nicht unterucht werden, sondern immer nur ganze
716. Verzeichnisse !!!
717. Deshalb sollten Sie NIE (!) einen Dateinamen angeben !
718. Hiernach werden die Verzeichniseinträge aufgelistet und auf Virenbefall über-
719. prüft.
720. Im Normalfall steht dann hinter jeder Datei: `OK` ( = kein Virus gefunden ) !
721. Sie sollten Ihre Disketten immer mit Schreibschutz überprüfen, da `AntiCicloVir`
722.  vor einem Löschversuch keine Abfrage vornimmt.
723. Bei so vielen Programmen, die es für den AMIGA gibt, besteht natürlich immer
724. die Gefahr, daß eines an einer Stelle das gleiche Langwort hat, wie ein
725. bekanntes Virus und deshalb mit ihm verwechselt und gelöscht wird !!!
726.  
727. Die Routine zum Selbstchecken von `AntiCicloVir` auf Linkvirenbefall, wurde
728. nun entfernt, da sie zu unpraktisch war.
729. Ich werde mir für`s nächhste Mal etwas Besseres ausdenken !
730.  
731.   Übrigens kann die Version 1.7a meines Linkviruskillers nun auch den
732. Aufruf von Viren aus der `startup-sequence` löschen.
733. Dabei wird ein Linkviruskiller-eigener Text (Eigenwerbung) in die unteren
734. Bytes der `startup-sequence` geschrieben.
735. Damit verschwindet automatisch ein möglicher ( unsichtbarer ) Virusaufruf.
736. Dieser Kommentartext schützt die betroffene Diskette, auch vor einer
737. erneuten Infektion mit manchen `Linkviren` !!!
738. Einige `Linkviren` suchen in der `startup-sequence` an erster Stelle
739. nach einem ASCII-Text und warten bis sie auf ein Returnzeichen treffen.
740. Sie nehmen an, daß die ASCII-Zeichen vor dem Returnzeichen den Aufruf
741. eines Programmes darstellen und suchen nun dieses Programm auf der
742. Diskette, um sich dort hineinkopieren zu können.
743. Da der Kommentartext kein gültiger Dateiname ist, werden die Viren dieses
744. Programm nicht auf der Diskette finden und können sich somit nicht
745. weiterkopieren !!
746.  
747. Die Routine zum Überwachen der `Externen Betriebssystemsroutinen` im Verzeichnis
748. `L`, wurde ebenfalls entfernt, da es wohl recht unwahrscheinlich ist, daß es
749. in absehbarer Zeit z.B. `Ram-Handler`-Viren o.ä. geben wird.
750. Ein obligatorisches Überwachen des `Disk-Validator`s halte ich auch nicht
751. für sinnvoll, da es mehr `non standard Disk-Validator`s als `Disk-Validator`-
752. Viren gibt !
753. Die beiden `Disk-Validator`-Viren `Return of the Lamer Exterminator` & `SADDAM`
754. werden weiterhin erkannt und vermutlich auch das dritte, bisher mir nicht be-
755. kannte, `Disk-Validator`-Virus `DiskVal1234`, welches ja eine Mutation des
756. `SADDAM`-Viruses sein soll !
757.  
758.  
759.  
760.  
761.  
762.  
763.  
764.                   3.0 Benutzung von `AntiCicloVir V1.7a`
765.  
766.   
767. Sie sollten jeden Disketten-Neuzugang mit `AntiCicloVir V1.7a` prüfen !
768. WICHTIG:
769. Untersuchen Sie neben dem Hauptverzeichnis auch immer die Verzeichnisse
770. `c`,`L` und `LIBS`
771. Oft kommt es zwar nicht vor, daß sich ein Linkvirus auf einer neuen
772.  Diskette befindet, aber ausschließen kann man es auch nicht !
773. Schließlich ist es noch zu empfehlen `AntiCicloVir` ins `c`-
774. Verzeichnis jeder Diskette zu kopieren, die man schützen will
775. und den Aufruf ` AntiCicloVir -c` in die `s/startup-sequence` zu schreiben !
776. So lassen sich Linkviren sofort nach der Infektion einer Diskette
777. im Speicher aufspüren und können gelöscht werden !
778. Eine sehr wichtige Erweiterung stellt auch die `System-Vektoren-
779. Tabelle` dar, anhand derer man ablesen kann, ob einer der 15 wichtigen
780. Vektoren verändert wurde !
781. In den meisten Fällen wird es sich hierbei wohl um `Bootblock`-
782. Viren handeln !
783. Ein paar `Bootblock`-Viren können ja nun mittlerweile auch im Speicher
784. erkannt werden. 
785. Allerdings kann `AntiCicloVir V1.7a` keinen effektiven Schutz vor `Bootblock`-
786. Viren bieten, da es erstens noch zu wenige von ihnen erkennt und
787. zweitens die `Bootblock`-Viren nur im Speicher aufspüren kann !
788. Also genau dann, wenn sie schon Ihr System erobert und mit ihrem
789. Zerstörungswerk begonnen haben !
790. Die Routine zum Erkennen von `Bootblock`-Viren habe ich nur deshalb
791. eingebaut, da es nicht selten vorkommt, daß beim Durchchecken von Disketten
792. auf `Linkviren` sich schon ein `Bootblock`-Virus im Speicher befindet
793. und ebenfalls Disketten infizieren kann !
794. Hat `AntiCicloVir` also mal ein `Bootblock`-Virus im Speicher gefunden,
795. dann sollten Sie Ihre Disketten mit einem Programm wie beispielsweise
796. `VirusX` kontrollieren !
797. `AntiCicloVir` kann nun auch von der `Workbench`-Oberfläche aus gestartet
798. werden !
799. Die neu eingebaute Reset-Routine macht zwar leider nicht den kompletten
800. `Linkviruskiller` resetfest, doch sie schützt Sie zumindest vor neuen
801. Viren, die sich resetfest schreiben wollen !
802. Sie sollten immer darauf achten, ob nach dem Reset das Farbsignal noch
803. erscheint !
804. Große Dienste im Kampf gegen Linkviren kann auch der `CLI`-Befehl
805.  `List` leisten !
806. Sollten Sie nach einem Virus-Check mit `AntiCicloVir` trotzdem
807. noch mißtrauisch sein, dann können Sie sich die Verzeichnisse
808. der Diskette auflisten lassen !
809. Finden Sie dort Files, die mit einem unsichtbaren Namen abgespeichert
810. worden sind oder Files die gerade heute abgespeichert worden
811. sind, was am Zusatz `Today` ersichtlich ist, dann besteht Linkviren-
812. Gefahr !!
813.  
814.  
815.  
816.  
817.  
818.  
819.  
820.  
821.  
822.  
823.  
824.                       4.0 Sonstiges
825.  
826. Natürlich bin ich immer an neuen `File`- und `Link`-Viren interessiert !
827. Sollten Sie selbst neue Viren haben, dann können Sie sie an meine
828. Adresse mit einem entsprechenden Vermerk gekennzeichnet schicken !
829. Ich werde Ihnen dann die neueste Version von `AntiCicloVir` zuschicken
830. und Sie in meiner `Dokumentation` erwähnen !
831. Ich möchte noch einmal darauf hinweisen, daß ich für die volle Fehler-
832. freiheit von `AntiCicloVir` nicht garantieren kann.
833. Allerdings habe ich unzählige Male alle Routinen in verschiedensten
834. Situationen getestet und mir ist nie ein Fehler aufgefallen !
835. Im Gegensatz zu vielen meiner früheren Programme, bin ich davon überzeugt,
836. daß `AntiCicloVir` zu 100 % so funktioniert, wie es funktionieren
837. sollte.
838. Haben Sie dennoch Bedenken, dann können Sie die Disketten ,welche Sie
839. mit dem Linkviruskiller checken, mit einem Schreibschutz versehen,
840. damit bei einem evtl. Schreibzugriff des Viruskillers auf die Diskette
841. keine Datei zerstört wird.
842. Die anschließend erscheinende `Requester`-Meldung von Seiten des
843. Betriebssystems können Sie `canceln`, so daß der Linkviruskiller
844. den Schreibzugriff abbricht !
845. Es wurde mit dem `masterseka v1.51` in ASSEMBLER geschrieben und müßte unter
846. allen gängigen `KickStart`s laufen.
847. Es werden keine bestimmten System-Bibliotheks-Versionen beansprucht
848. und das Programm benötigt auch keine festen ROM-Adressen !
849. Ich habe dieses Programm extra so programmiert, daß es unter allen
850. gängigen und hoffentlich auch zukünftigen KickStart-Versionen 
851. funktionieren müßte !
852. Das Programm benötigt die Datenregister : d0-d7
853. "   "        "        "   Adressregister: a0--a6
854. Das Programm benötigt die 
855.                       Systembibliotheken: `exec.library ( keine Version bevorzugt. )
856.                                           `dos.library` ( keine Version bevorzugt )
857. "   "        "        "                   `intuition.library` ( keine Version bevorzugt )
858.  
859.                    Bibliotheksfunktionen:  AllocAbs ()
860.                                            AllocMem ()
861.                                            Close ()
862.                                            CloseLibrary ()
863.                                            CloseWindow ()
864.                        CopyMem ()
865.                                            CurrentDir ()
866.                                            Delay ()
867.                                            DeleteFile ()
868.                        Examine ()
869.                            ExNext ()
870.                                            FreeMem ()
871.                                            FindTask ()
872.                                            GetMsg ()
873.                        Lock ()
874.                                            Open ()
875.                                            OpenLibrary ()
876.                                            OpenWindow ()
877.                                            Read ()
878.                                            Rename ()
879.                        UnLock ()
880.                                            WaitPort ()
881.                                            Write ()
882.                                           
883.  
884. Bisher hatte `AntiCicloVir` keine ROM-Adressen zurückgesetzt, wegen der
885. Unterschiede unter den verschiedenen Betriebssystemen !
886. Doch dies hat sich mit der Version 1.6 geändert.
887. Wenn nun in der Dokumentation die Rede davon ist, daß ein Virus komplett
888. aus dem Speicher entfernt werde, so bezieht sich dies nur auf `KickStart
889. V1.2` !
890. Unter `KickStart V1.3` können auch noch viele Viren komplett gelöscht
891. werden, doch für höhere `KickStart`-Versionen fehlen mir noch die
892. ROM-Adressen, weshalb hier ein Reset nötig sein wird.
893. Manche Viren können aber auch, unter noch unbekannten `KickStart`s komplett
894. aus dem Speicher, gelöscht werden.
895. Für jeden Einzelfall erhalten Sie eine spezielle Anweisung, vom `Linkvirus-
896. killer` im Benutzerfenster !
897.  
898. Die wesentliche Änderung in der Version 1.7a von `AntiCicloVir`, dürfte die
899. Entfernung der alten Routinen zum Checken von Disketten sein, die gegen eine neue
900. ersetzt wurden.
901. Dadurch ist das Programm auch um einiges kürzer und leistungsfähiger geworden.
902. Die alte Routine machte schätzungsweise 25000 Bytes aus !
903. Nun können also ganze Verzeichnisse untersucht werden.
904. Außerdem wird der Verzeichnisname jetzt nicht melr als Option erwartet, sondern
905. als Pfad, wodurch jedes Gerät angesprochen werden kann, dessen Name nicht länger
906.  als vier Zeichen ist.
907. Entfernt wurden damit auch die Routinen zum Selbszcheck von `AntiCicloVir`
908. auf `Linkviren` und zum Überwachen der `Externen Betriebssystemsroutinen` im
909. Verzeichnis `L` !
910.  
911. Die zweite große Änderung betrifft die Systemvektorentabelle, die nun zu den
912. bisherigen sieben Vektoren, die folgenden acht weiteren anzeigt:
913.  
914. - OldOpenLibrary ()
915. - OpenLibrary ()
916. - SumKickData
917. - BeginIO
918. - Open ()
919. - LoadSeg ()
920. - OpenWindow ()
921. - $6c
922.  
923. Außerdem wurden Fehler in den Löschroutinen für die Viren `Clonk`, `H.C.S. I+II`,
924. `Incognito`, `Joshua 2`, `BLF` und `Bret Hawnes` behoben !
925.  
926. Die `Reset`-Routine wurde ebenfalls korrigiert und durch einen weiteren Einsprung
927.  über SumKickData () erweitert !
928.  
929. Schließlich wurde `AntiCicloVir` mit dieser Version `relativ` programmiert,
930. so daß es evtl. im Speicher verschoben werden kann.
931. Dies habe ich deshalb getan, um sicherstellen zu können, daß `AntiCicloVir`
932. auch unter künftigen Betriebssystemen noch funktioniert !
933.  
934.  
935.  
936.  
937.  
938.  
939.  
940.  
941.  
942.  
943.  
944.                       5.0 Virus-Definitionen
945.  
946. An dieser Stelle möchte ich ( vor allem für Anfänger ) noch einmal kurz be-
947. schreiben was Computerviren eigentlich genau sind, welche Kriterien erfüllt
948. sein müßen, damit wir von einem Computervirus sprechen können und welche Arten
949. es momentan gibt !
950. Mit definiert ein Computervirus eigentlich als ein Programm, welches folgende
951. Eigenschaften erfüllt:
952.  
953. 1. Reproduktionsfähigkeit
954. 2. Funktionalität
955.  
956. Die Reproduktionsfähigkeit ist eigentlich die wichtigste Eigenschaft, die für
957. sich allein schon ausreicht, um von einem Computervirus sprechen zu können.
958. Ein Programm, das sich selbst weiterkopiert ist in jedem Falle ein Virus.
959. Man hat die Bezeichnung `Virus` aus der Biologie übernommen, wo ja ebenfalls
960. kleinste Eiweiß-Moleküle ihren Wirtorganismen nicht selten arg beisetzen.
961. ( Virus lat. = Gift )
962. Bei der Funktionalität handelt es sich um die spezifische Eigenschaft eines
963. Viruses.
964. Dies können Textausgaben, Grafiken, Störungen, Systemabstürze, Datenverluste
965. ja sogar in einigen wenigen Fällen `Hardware`-Schäden sein.
966. Man könnte sagen, daß der Teil eines Viruses, der für die Reproduktions-
967. fähigkeit sorgt, sozusagen der Informationsträger ist und die  Eigenschaft, 
968. die Information, die der Virusprogrammierer uns so zukommen lassen möchte.
969. Und dies können eben Grüße an bestimmte Personen oder Gruppen sein oder eben
970. als Ausdruck von Zerstörungswut: `Software`-Schäden !
971. Man muß aber auch noch erwähnen, daß zu der gewollten Funktionalität eine un-
972. gewollte kommen kann, die durch Programmierfehler entsteht.
973. Diese macht Viren ebenfalls gefährlich !!!
974.  
975. Sie werden vielleicht bemerkt haben, daß in meiner Sammlung einige Viren nicht
976. vorhanden sind, die schon fast jeder andere Antivirus-Programmierer besitzt.
977. Dabei handelt es sich i.d.R. um sogen. `Möchtegern`-Viren, die von Anfängern
978. programmiert worden sind.
979. Diese Programme bringen es meistens nicht weiter als bis zum `GURU` und sind
980. deshalb nicht gefährlicher als ein fehlerhaftes PD-Programm ...
981.  
982.  
983.  
984.  
985.  
986.  
987.                       1.0 `Bootblock`-Viren
988.  
989. Der `Bootblock` des AMIGA`s war eigentlich für spezielle Laderoutinen oder
990. `Intro`s gedacht, wurde jedoch das erste Opfer der Virusprogrammierer.
991. Das `SCA`-Virus war das erste seiner Art, welches auf dem AMIGA erschien.
992. Die Blöcke 0 und 1 auf der äußeren Spur einer Diskette stellen den `Bootblock`
993. dar.
994. In diesem erwartet das Betriebssystem die Kennung `DOS0`, eine Prüfsumme (
995. die `BootCheckSum` ), einen Zeiger auf den `Rootblock`, eine Routine zum
996. Initialisieren der `dos.library` und evtl. ein ausführbares Programm.
997. Jedesmal wenn Sie nach einem `Reset` eine Diskette einlegen, wird ein der-
998. artiges Programm im `Bootblock` gestartet - also eine ideale Bedingung für
999. Viren.
1000. Diese `Bootblock`-Viren brauchen sich, nach dem Durchführen der `Boot`-Prozedur
1001.  nur noch in den Speicher zu kopieren und zu installieren und zu warten
1002. bis sie dort aktiviert werden ...
1003. Die meisten AMIGA-Viren sind `Bootblock`-Viren !
1004.  
1005.  
1006.  
1007.  
1008.  
1009.  
1010.  
1011.  
1012.                       2.0 `File`-Viren
1013.  
1014. Die `Fileviren` sind die am leichtesten zu programmierende Virusart.
1015. Sie stehen wie ein normales Programm auf der Diskette und sind durch den
1016. Aufruf ihres Namens ausführbar.
1017. Das erste `Filevirus`, war das `BGS 9`-Virus, welches die `Startup-Sequence`
1018. nach dem ersten ausführbaren Programm durchsucht, es unter einem unsichtbaren
1019. Namen im Verzeichnis `DEVS:` abspeichert und sich selbst anstelle des ersten
1020. Programmes kopiert !
1021. Nach jedem Abarbeiten der `Startup-Sequence` wird als erstes das `BGS 9`-Virus
1022. aktiv und läßt das Original-Programm ausführen.
1023. Diese Methode hat sich allerdings nicht durchsetzen können ...
1024. Beliebter ist folgendes Prinzip !
1025. Das Virus kopiert sich unter einem unsichtbaren Namen oder einem Tarnnamen
1026. auf die Diskette und trägt diesen in die `Startup-Sequence` ein.
1027. Nach jedem Abarbeiten der `Startup-Sequence` wird es aktiv und kopiert sich in den
1028. Speicher und installiert sich im System !
1029.                                           
1030.  
1031.  
1032.  
1033.  
1034.  
1035.  
1036.  
1037.  
1038.  
1039.  
1040.                       3.0 `Link`-Viren
1041.  
1042. Das erste `Linkvirus` war das `IRQ`-Virus !
1043. Lange Zeit gab es wenige `Linkviren`, da sie als schwer programmierbar galten.
1044. Ein `Linkvirus` befällt immer ein Original-Programm und verlängert es um seinen
1045. eigenen Code.
1046. Das `IRQ`-Virus beispielsweise sucht in der `Startup-Sequence` nach dem ersten
1047. ausführbaren Programm und infiziert es, ansonsten infiziert es den `CLI`-Befehl
1048. `DIR` !
1049. Das Infizieren ist die schwierigste Phase !
1050. Eine Programmdatei besteht immer aus mindestens einem `Hunk` ( Brocken/Paket ).
1051. Diese `Hunk`s sind die eigentlichen Programme und werden erst beim `Linken`
1052. ( verbinden ) zu einer Programmdatei erstellt.
1053. Wenn Sie z. B. mit einem Compiler mehrere Programme und `Include`-Dateien zu
1054. einem ausführbaren Programm machen wollen, dann müßen diese von einem `Linker`
1055. verbunden werden.
1056. So ein Verbund ist eine Programmdatei, in der die einzelnen Programme in
1057. Form von `Hunk`s enthalten sind.
1058. Diese `Hunk`s müßen natürlich noch durch eine Struktur organisiert werden und
1059. das ist der `Hunk-Header` oder die `Hunk-Table` !
1060. In dieser Tabelle steht, daß es sich um eine ausführbare Programmdatei handelt,
1061. die Anzahl der `Hunk`s, deren Längen, evtl. Namen, `Reloc`-Werte für die Adreß-
1062. korrektur im Speicher etc ...
1063. Ein `Linkvirus` vom Type `IRQ` kopiert sich selbst als zusätzlicher `Hunk`
1064. in diese Programmdatei und führt die Berechnung sämtlicher o.g. Werte durch,
1065. was relativ kompliziert ist ...
1066. Doch mit dem Auftauchen von `Linkviren` wie `Golden Rider` oder `LZ`, hat sich
1067. einiges geändert !
1068. Diese `Linkviren` kopieren sich an das Ende eines `Hunk`s aus einer Programm-
1069. datei und brauchen so nur ihre Länge, zu der des Original-`Hunk`s zu addieren.
1070. Also eine weitaus einfacherer Berechnungsmethode ...
1071. Deshalb ist die Zahl der `Linkviren` in letzter Zeit wieder am Zunehmen ...
1072.  
1073.  
1074.  
1075.  
1076.  
1077.  
1078.  
1079.  
1080.  
1081.  
1082.  
1083.  
1084.  
1085.  
1086.                       4.0 `Disk-Validator`-Viren
1087.  
1088. Eine Besonderheit des AMIGA`s stellen die `Disk-Validator`-Viren dar, da sie
1089. eine Eigenart dieses Betriebssystems ausnutzten, um sich zu vermehren.
1090. Das erste `Disk-Validator`-Virus war `Return of the Lamer Exterminator` !
1091. Nun aber zur Problematik dieser Virusart !
1092. Wenn Informationen auf Disketten abgespeichert werden sollen, dann geschieht
1093. dies zweckmäßigerweise in Form von Datenblöcken.
1094. Beim AMIGA werden die Datenblöcke durch noch weitere Blöcke, die nur Disketten-
1095. Interne Informationen enthalten,  verwaltet.
1096. Dabei stehen im sogen. `BitMapBlock` oder `BAM` ( `Block Allocation Map` )
1097. die Adressen der belegten und freien Datenblöcke !
1098. Dies ist für`s Betriebssystem wichtig, da es sonst beim Abspeichern von Daten
1099. auf Diskette nicht wüßte, wo noch Platz ist und welche Blöcke schon belegt
1100. sind !
1101. Ist dieser `BitMapBlock` ungültig oder unauffindbar, so hat die Diskette einen
1102. `Disk-Validating Error` und es können keine Informationen auf ihr mehr abge-
1103. speichert, wohl aber von ihr gelesen werden !
1104. Um doch noch Informationen auf diese Diskette abspeichern zu können, hat
1105. `Commodore` den `Disk-Validator` programmieren lassen !
1106. Dieses kurze Programm steht im Verzeichnis `L:` und hat die Aufgabe, alle
1107. Adressen von belegten und freien Blöcken einzulesen und in einer provisorischen
1108. `BitMap` im Speicher abzulegen !
1109. Für diesen Zeitraum kann mit der Diskette wieder normal gearbeitet werden.
1110. Die `Disk-Validator`-Routine wird automatisch vom Betriebssystem von der
1111. Diskette gestartet, ohne daß der Anwender Einfluß darauf hat ...
1112. Die `Disk-Validator`-Viren kopieren sich selbst als `Disk-Validator` auf
1113. die `Diskette` in`s Verzeichnis `L:` und verbiegen anschließend den Zeiger
1114. auf den `BitMapBlock` im `RootBlock` auf eine sinnlose Adresse, so daß die
1115. Diskette einen `Disk-Validating Error` hat.
1116. Wird diese Diskette nun in`s Laufwerk gelegt, so lädt `AmigaDOS` automatisch
1117. das `Disk-Validator`-Virus nach und dieses kann sich so im Speicher installieren.
1118. Diese Viren sind die einzige Art, die schon durch das bloße Einlegen einer
1119. infizierten Diskette aktiv werden.
1120. Ab `KickStart 2.0` befindet sich die `Disk-Validator`-Routine jedoch im
1121. `ROM`, so daß diese Viren nur unter `KickStart 1.2 & 1.3` funktionieren.
1122.             
1123.  
1124.  
1125.  
1126.  
1127.  
1128.  
1129.  
1130.                       5.0 Trojanische Pferde 
1131.  
1132. Als Trojanische Pferde werden Programme bezeichnet, die den Anwender durch
1133. eine sinnvolle Funktion täuschen oder selbst ein Anwendungsprogramm simulieren
1134. und in Wahrheit irgendwelche unerlaubten Sachen anstellen ...
1135. Anfangs waren Trojanische Pferde vor allem in der Datenfernübertragung ver-
1136. breitet, wo sie genutzt wurden, um `SYSOP`s durch nützliche Utilities zu
1137. betören, die gleichzeitig Bandwurm-Programme installierten.
1138. Diese Bandwürmer dienten `Hacker`n dazu, um auf illegalem Wege, an Paßwörter
1139. für nicht öffentliche Datenbanken zu gelangen ...
1140. Aber so viel nur am Rande ...
1141. In der Virusprogrammierung spielen Trojanische Pferde vor allem als
1142. Installationsprogramme für Viren eine wichtige Rolle.
1143. Sie simulieren entweder simple `CLI`-Befehle oder durchaus nützliche An-
1144. wendungen und haben in Wahrheit, nur die Aufgabe Viren zu verbreiten ...
1145.                               
1146.          
1147.  
1148.  
1149.  
1150.  
1151.  
1152.  
1153.  
1154.  
1155.  
1156.  
1157.  
1158.  
1159.                       6.0 Bomben
1160.  
1161. Als Bomben bezeichnet man in der Informatik Programme, die sich für eine
1162. gewisse Zeit im System verstecken und schließlich beim Eintreten einer
1163. bestimmten Bedingung ( Datum, Diskette einlegen, Programm starten etc ...)
1164. losschlagen ...
1165. Meist` kommt es zu einem verheerenden Zwischenfall:
1166. Alle Disketten in allen angeschlossenen Laufwerken werden formatiert etc ...
1167. Diese Bomben können als Programm im Verzeichnis-System oder auch als
1168. `Bootblock` auf Diskette stehen !
1169.  
1170.  
1171.  
1172.  
1173.             
1174.  
1175.  
1176.  
1177.  
1178.  
1179.  
1180.  
1181.  
1182.  
1183.  
1184.                            Anhang A
1185.  
1186. In diesem Anhang werden noch einmal die Computerviren beschrieben,
1187. die `AntiCicloVir V1.7a` erkennt.
1188.  
1189.  
1190.  
1191.  
1192.  
1193.                  `Revenge Of The LAMER Exterminator`
1194.  
1195. Von diesem Virus erkennt `AntiCicloVir` die beiden Varianten des 
1196. `Revenge of the Lamer-Exterminator`-Viruses 1 und das `Revenge of
1197. the Lamer-Exterminator`-Virus 2. 
1198. Über diese Viren wurde schon oft viel geschrieben.
1199. Momentan gibt es acht verschiedene Bootblock-Viren, des Types `LAMER
1200. Exterminator` und das `U.K. LAMER Style`-Bootblock-Virus, sowie zwei
1201.  verschiedene Fileviren dieser Art:
1202. `Revenge of the Lamer-Exterminator 1`,`Revenge of the Lamer-Exterminator 2`,
1203. Außerdem gibt es noch zwei Trojanische Pferde ( `LAMER LoadWB` & `LAMER
1204. VirusX` ), sowie ein `Disk-Validator`-Virus: `Return of the Lamer Exterminator`.
1205. Davon erkennt zur Zeit `AntiCicloVir` alle `File-`, `Disk-Validator`,
1206. `Bootblock`-Viren und Trojanische Pferde !
1207. Das `Return of the LAMER Exterminator`-Virus ist das derzeit aktuellste
1208. Virus der `LAMER Exterminators` und ich vermute wohl auch letzte,
1209. da ich schon lange von diesen Programmierern nichts mehr gelesen habe !
1210. Die `Ideologie` der Programmierer der `Lamer Exterminator`-Viren ist es,
1211. alle Anfänger bzw. Leute, die den Amiga nur zum `Daddeln` brauchen zu
1212. frustrieren, damit sie den Amiga aufgeben.
1213. Nach deren Meinung schaden diese Leute nur dem Image des Amiga`s und
1214. trugen zum erheblichen Teil dazu bei, daß dieser Rechner zum `Spiele-
1215. computer` verschrien wurde.
1216. Sie gehen davon aus, daß es sich bei diesen `LAMER`n ( bedeutet so viel,
1217. wie `Anfänger` oder `Versager`) um Leute handelt, die entweder 
1218. nicht genügend Ahnung von ihrem Rechner haben ( und auch nicht 
1219. haben wollen ) oder daß diese Leute sowieso `unintelligent` sind.
1220. Diese Viren sind somit auch gewisse `LAMER-Tests`, denn nach der
1221. Meinung der Programmierer können nur Anfänger auf derartige Programme
1222. hereinfallen und gerade die sollen ja mit diesen Programmen wohl
1223. auch getroffen werden. 
1224. Sie erhoffen sich davon, daß ständiges Formatieren und Zerstören von
1225. Disketten ihnen den Spaß am Amiga verdirbt ...
1226.  
1227. `AntiCicloVir V1.7` erkennt die beiden Varianten des `Revenge of the
1228. Lamer-Exterminator`-Viruses, sowie das `Revenge of the Lamer-Exterminator`-
1229. Virus 2 !
1230. Im Folgenden werde ich hauptsächlich nur das `R.L.E.`-Virus Nr. 1
1231. beschreiben.
1232.  
1233. Vom `Revenge of the Lamer-Exterminator`-Virus 1 gibt es zwei Varianten !
1234. Die erste tarnt sich als `Dos-speedup`-Programm mit dem Namen
1235. `DosSpeed` und kann wohl nur durch einen unwissenden Benutzer selbst
1236. aktiviert werden, der dieses Programm von der Diskette startet.
1237. Die zweite Variante tarnt sich als unsichtbares Programm auf der
1238. Diskette und schreibt ihren Aufruf in die `s/startup-sequence` !
1239. Mit jedem Abarbeiten der `s/startup-sequence` nach einem Boot-Vorgang
1240. wird das Virus aktiviert.
1241. Das Virus schreibt sich unter einem Namen, der in hexadezimal dem Wert
1242. $A0A0A0A0A0 entspricht, auf die Diskette.
1243. Geben Sie im AmigaDOS den Befehl `type "[Tastenkombination]"` an, dann
1244. können Sie dieses unsichtbare Programm aufgelistet bekommen.
1245. Auch wenn Sie die `s/startup-sequence` auflisten, können Sie den
1246. Aufruf an erster Stelle an den Bytes `A0A0A0A0A0` erkennen.
1247. Im Diskettenverzeichnis werden Sie dieses Virus jedoch vergeblich
1248. suchen, da es sich nicht über`s File-System, sondern mit Hilfe des
1249. `trackdisk.device` auf die Diskette kopiert hat !
1250.  
1251. Sobald das Virus gestartet wurde, setzt es eine `MemList`-Struktur in
1252. den Speicher und verbiegt den KickTagPtr *`.
1253. So ist es nach jedem RESET aktiv.
1254. Das Virus scheint auch verschiedene Adressen und Register zu manipulieren,
1255. so daß Viruskiller beispielsweise genarrt werden.
1256. Befindet sich das Virus nämlich im Speicher, so erkennen es viele
1257. Viruskiller gar nicht auf der Diskette.
1258. Wenn Sie sich jetzt die `s/startup-sequence` einer befallenen Diskette
1259. oder etwa das Virus selbst anschauen wollen, so werden Sie nichts
1260. finden !!
1261. Denn das Virus im Speicher hat sich praktisch auf der Disk ausgeblendet.
1262. Deshalb sollten Sie sich auch IMMER vergewissern, ob sich nicht womöglich
1263. das `Revenge of the Lamer-Exterminator`-Virus im Speicher befindet,
1264. wenn Sie gerade mit einem Linkviruskiller eine Diskette auf dieses
1265. Virus hin überprüfen !!
1266. Übrigens hat dieses Virus auch einige Fehler - zumindest unter `KickStart 1.2` !
1267.  
1268. Nach einiger Zeit beginnt das Virus mit der `Formatierungsroutine`.
1269. Ist die aktuelle Diskette zu diesem Zeitpunkt schreibgeschützt, so
1270. macht sich das Virus nur durch ein verräterisches Aufblinken der
1271. `Laufwerks-LED` bemerkbar und bricht die Routine sofort wieder ab
1272. und wartet weitere zehn Minuten !!
1273.  
1274. Ist die Diskette jedoch nicht schreibgeschützt, so beginnt das Virus
1275. damit die Diskette zu formatieren und schreibt wohl in jeden Daten-
1276. block das Wort `Lamer` hinein ! 
1277. Nachdem die Diskette zerstört ist, erscheint noch ein drei Seiten ( ! )
1278. langer `Alert` !
1279. Der einfachere Weg, um sich in den Genuß derartigen Textwerkes zu
1280. bringen besteht darin, daß man sich seine Diskette von dem `Revenge
1281. of the Lamer-Exterminator`-Virus zerstören läßt und sich anschließend
1282. den `Alert` durchliest !
1283. Der etwas kompliziertere Weg wäre das Durchlesen des Anhanges A aus
1284. meiner Dokumentation.
1285. Hier folgt nun also gleich der englischsprachige Text aus diesem
1286. `Alert` !
1287. Für uns dummen `Lamer`s wurde dieser Text extra in einem sehr
1288. simplen umgangssprachlichen Englisch abgefaßt, so damit wir ( die
1289. Zielgruppe ) ihn ja auch verstehen können.
1290. Ich möchte noch einmal betonen, daß der Inhalt dieses folgenden Textes
1291. keineswegs mit meiner Meinung übereinstimmt !!!!!!
1292. Deshalb habe ich ihn auch in Anführungszeichen gesetzt !!
1293. Ebenfalls erwähnen möchte ich, daß die einzelnen Absätze mit dem
1294. von mir wiedergegebenen Text, nicht mit dem Originaltext übereinstimmen
1295. müssen !
1296. Es folgt der `Revenge of the Lamer-Exterminator`-Alert:
1297.  
1298.  
1299.  
1300.  
1301.                Revenge Of The Lamer-Exterminator
1302.  
1303.                          RED ALERT:
1304.  
1305. `It has come to my attention that the person using this computer
1306.  is a LAMER. (+)
1307.  We the people, who are responsible for the "Revenge of the LAMER
1308.  Exterminator" Virus, believe that only intelligent folk are fit
1309.  to use the AMIGA Personal Computer.
1310.  Since you were apparently not smart enough to prevent infection of
1311.  your computer and software by this virus
1312.  ( You should have used a condom )
1313.  we must assume that you are a LAMER ( a.k.a. LOSER ) and therefore
1314.  we had no alternative but to erase your floppy disk(s) in order
1315.  to get your attention.
1316.  
1317.                    - Press Any Mousebutton -
1318.  
1319.  We are eagerly looking forward to the first Amiga magazine that
1320.  explains the inner workings of this brilliant ( at least we think
1321.  so ) virus.
1322.  However, we are not very confident, since the three versions of
1323.  the original LAMER Exterminator Virus have never really been
1324.  properly analysed in any Amiga magazine.
1325.  
1326.  We have made this virus a little bit more aggressive so that more
1327.  people will recognize it and hopefully will learn something so as
1328.  to overcome the dreadful disease of LAMERism.
1329.  
1330.  By the way , the A in LAMER is pronounced like the A in DAY ( LAMER
1331.  people do not know proper English in our experience )
1332.  
1333.                    - Press Any Mousebutton -
1334.  
1335.  
1336.                   Signed
1337.  
1338.  Foundation for the Extermination of LAMERS. ( ++ )
1339.  
1340.  (+) You can recognize a LAMER or LOSER as someone who can only
1341.  use the Ctrl-Amiga-Amiga keys on his Amiga, and might even know
1342.  how to load X-Copy ...
1343.  
1344.  (++) Due to the primitive and violent nature of some LAMERS,
1345.  we have decided against revealing our real identities, so as
1346.  to prevent unnecessary visits to the local hospital on our part !`
1347.  
1348.                    Coming soon to a theatre near
1349.                               you:
1350.  
1351.                      +++ The Lamer Exterminator -
1352.                          A new Beginning +++
1353.  
1354.                             Rated PG
1355.  
1356.        - Press Any Mousebutton To Continue Being A LAMER -
1357.  
1358.  
1359. Das `Revenge of the Lamer-Exterminator`-Virus 2 funktioniert so ähnlich
1360. wie sein `Vorgänger` !
1361.  
1362. Im Gegensatz zur Version 1.0 von `AntiCicloVir`, erkennt die neue Version
1363. 1.1 das `Revenge of the Lamer-Exterminator`-Virus nun auch im
1364. Speicher und warnt Sie davor !
1365. Leider kann es das Virus nicht komplett aus dem Speicher löschen, da
1366. es einfach zu viele Vektoren verbiegt (über ein halbes Dutzend ) !
1367. Bei derartig vielen verbogenen Vektoren besteht für mich zum Einem
1368. die Gefahr, daß ich nicht weiß wie man einzelne Zeiger zurücksetzt,
1369. oder sie gar übersehe und zum Anderen die Gefahr, daß die Adressen
1370. bestimmter `ROM`-Routinen unter anderen `KickStart`-Versionen ver-
1371. schieden sind und `AntiCicloVir` so evtl. auf anderen Rechnern nicht
1372. funktioniert !!
1373. Deshalb erscheint nachdem `AntiCicloVir` dieses Virus im Speicher
1374. gefunden hat, eine Meldung in der Sie aufgefordert werden alle
1375. W I C H T I G E N Diskettenoperationen abzuschließen und anschließend
1376. einen Reset auszuführen !!
1377. Das Programm hat die Resident-Vektoren mittlerweile zurückgesetzt,
1378. so daß es nach einem Reset gelöscht ist.
1379. Aber ansonsten ist dieses Virus noch vollkommen aktiv im Speicher
1380. tätig und kann innerhalb der nächsten acht Minuten Ihre Diskette
1381. zerstören !!!
1382. Deshalb sollten Sie wirklich nur WICHTIGE Diskettenoperationen ausführen
1383. ( Beispiel: Eine wichtige Datei, die nur im Speicher steht, noch schnell
1384.             auf eine Disk abspeichern ! )
1385. A C H T U N G !!!
1386. Auch nachdem `AntiCicloVir_V 1.7a` dieses Virus im Speicher erkannt und
1387. zwei Zeiger gelöscht hat, kann es es weiterhin nicht auf der Diskette
1388. erkennen, so lange es im Speicher steht !
1389. Deshalb am besten gleich Reset auslösen !!
1390. Dafür erkennt es aber beide Varianten des `Revenge of the Lamer-Exterminator`-
1391. Virus 1 und das `Revenge of the Lamer-Exterminator`-Virus 2 und löscht
1392. sie sofort !
1393. Bei der Version 1.0 des Linkviruskillers mußten Sie noch den Aufruf
1394. `eigenhändig` aus der `s/startup-sequence` löschen.
1395. Doch dieses ist bei der Version 1.1 nicht mehr nötig, da der Linkviruskiller
1396. diese Aufgabe übernimmt !!
1397.  
1398.  
1399.  
1400.  
1401.  
1402.  
1403.  
1404.  
1405.  
1406.  
1407.  
1408.  
1409.                            `Lamer LoadWB`
1410.  
1411.  
1412. Bei diesem 4172 Bytes großen Trojanischem Pferd handelt es sich um ein Programm,
1413. welches sich im `c`- oder Hauptverzeichnis als `CLI`-Befehl
1414. `LoadWB` tarnt !
1415. Gleich nach seinem Aufruf erzeugt es allerdings das alte `LAMER 
1416. Exterminator`-Bootblock-Virus im Speicher und lädt anschließend die
1417. `Workbench` !
1418. Das `LAMER Exterminator`-Virus ist hiernach sofort aktiv und kann alle
1419. ungeschützten Disketten infizieren, indem es sich in den `Bootblock`,
1420. der jeweiligen Disketten kopiert !
1421. Das `LoadWB`-Programm kann sich jedoch selbst nicht weiterkopieren !
1422. Bei diesem Programm handelt es sich auch noch um ein sehr altes
1423. Exemplar, aus der Phase der `LAMER Exterminator`-Programmierung !
1424. Der ASCII-Text `The LAMER Exterminator ...` im Programm `LoadWB`
1425. ist beispielsweise nicht kodiert und kann so leicht als Virus
1426. identifiziert werden !
1427. `AntiCicloVir` kann das `Bootblock`-Virus `LAMER Exterminator`
1428. im Speicher löschen ! ( Bitte lesen Sie dazu auch `LAMER Exterminator (alt) `
1429. im `Anhang B` ! )
1430. Mein Linkviruskiller erkennt dieses Trojanische Pferd auf der Diskette und
1431. löscht es, sobald er es auf der Diskette gefunden hat.
1432. Da es sich selbst nicht weiterkopiert, kann es sich nur auf Disketten
1433. befinden, auf die es jemand mit oder ohne Absicht kopiert hat !
1434. Es wird also nicht weit verbreitet sein !
1435.  
1436.  
1437.  
1438.  
1439.  
1440.  
1441.  
1442.  
1443.  
1444.  
1445.  
1446.                            `Lamer VirusX`
1447.  
1448. Dieses 13192 Bytes große Trojanische Pferd tarnt sich als `VirusX 3.10` von Steve Tibbett !
1449. Es ist eine recht gute Fälschung von Steve Tibbett`s `VirusX`, doch im
1450. Gegensatz zum echten `VirusX` ist der ASCII-Text nicht kodiert und das
1451. Programm verwendet unsinnige Gerätenamen, wie beispielsweise `DF6:` oder
1452. `DF9:` !
1453. Entgegen meinen früheren Behauptungen erzeugt dieses `VirusX 3.10` nicht
1454. das alte `LAMER Exterminator`-Virus im Speicher, sondern das Virus
1455. `LAMER Exterminator VIII` !
1456. Selbstverständlich erkennt das `Lamer VirusX`-Virus das `LAMER Exterminator`-
1457. Bootblock-Virus nicht im Speicher !
1458. Dafür kann es anscheinend die `Bootblock`-Viren `Obelisk`,`North Star`,
1459. `SCA`,`Byte Bandit`,`Byte Warrior`,`Revenge`,`Pentagon-Slayer` und
1460. `SystemZ`, sowie das `IRQ`-Linkvirus erkennen !
1461. `AntiCicloVir` löscht `Lamer VirusX` sobald er es gefunden hat !
1462.  
1463.  
1464.  
1465.  
1466.                   `Return of the Lamer Exterminator`
1467.  
1468.  
1469. Dieses 1848 Bytes große `Disk-Validator`-Virus ist meiner Meinung nach das gefährlichste
1470. Programmvirus ,das in dieser Dokumentation beschrieben wird !
1471. Es ist das zweite `Disk-Validator`-Virus ( siehe auch `SADDAM` ) !
1472. Ob dieses Virus das erste Virus war, welches sich als `Disk-Validator`
1473. weiterkopiert, oder ob es erst nach dem `SADDAM`-Virus programmiert
1474. wurde, ist mir nicht bekannt !
1475. Jedenfalls bin ich mir sicher, schon sehr früh von diesem Virus gelesen
1476. zu haben, als es das `SADDAM`-Virus noch nicht gab.
1477. Deshalb vermute ich, daß der `Return of the Lamer Exterminator` das erste
1478. `Disk-Validator`-Virus war !
1479. Da das `SADDAM`-Virus im Gegensatz zum `Return of the Lamer Exterminator`-
1480. Virus, auch ein eigenes `L`-Verzeichnis auf einer infizierten Diskette
1481. anlegen kann, konnte es sich wesentlich schneller verbreiten, als das
1482. `Return of the Lamer Exterminator`-Virus !
1483. Im übrigen kann sich das `SADDAM`-Virus auch unter `KickStart 1.3` ohne
1484. `Setpatch r` weiterkopieren, da es den ColdCapture *-Vektoren benutzt,
1485. was ein weiterer Vermehrungsvorteil wäre !
1486. Wie bereits erwähnt, tarnt sich das `Return of the Lamer Exterminator`-Virus
1487. als `Disk-Validator` im Verzeichnis `L` einer infizierten Diskette !
1488. Im Gegensatz zum echten `Disk-Validator`, beinhaltet es keinen `ASCII`-Text.
1489. Es kopiert sich nur auf Disketten, die selbst ein `L`-Verzeichnis besitzen
1490. und kann also kein eigenes Verzeichnis anlegen !
1491. Auf jede Diskette, auf die es sich kopiert hat, speichert es eine ungültige
1492. `BAM` ( `Block Allocation Map` ) ab !
1493. Diese ungültige `BAM` veranlaßt das Betriebssystem Ihres Rechners, schon
1494. beim Einlegen einer infizierten Diskette, den `Disk-Validator` zu starten.
1495. Dadurch wird das Virus automatisch aktiviert !!!
1496. In der `BAM` jeder Diskette stehen die Angaben über die bereits belegten
1497. Datenblöcke einer Diskette.
1498. Diese Angaben sind für AmigaDOS wichtig, damit es beim späteren Abspeichern
1499. von Programmen weiß, welche Blöcke nicht mehr überschrieben werden können !
1500. Ist diese `BAM` ungültig, so hat die Diskette einen `Disk Validating Error`
1501. und muß `validiert` werden !
1502. Das Betriebssystem startet dafür die Routine `Disk-Validator` im Verzeichnis
1503. `L`, um alle Block-Angaben in den Speicher zu lesen, damit die Diskette
1504. doch noch beschrieben werden kann !
1505. Nur die Betriebssysteme `KickStart V1.2 & V1.3` rufen den `Disk-Validator`
1506. von der Diskette auf !
1507. Höhere Versionen beinhalten in bereits im ROM !!!
1508. Beachten Sie bei diesem Virus auch, daß es schon beim Einlegen einer
1509. infizierten Diskette als Virus im Speicher steht !
1510. Im Speicher verbiegt es die Vektoren KickTagPtr * und KickCheckSum * auf
1511. eine eigene `MemList`-Struktur, mit der es resetfest im Speicher bleibt !
1512. Der BeginIO ()-Vektor wird verbogen und noch eine ganze Menge weitere
1513. Vektoren, die ich leider alle gar nicht zurücksetzen kann ...
1514. Das Virus kopiert sich also beim Einlegen einer Diskette und beim Booten
1515. weiter, sofern diese Disketten ein `L`-Verzeichnis besitzen !
1516. Besonders gemein an diesem Virus ist, daß man es nicht von der Diskette
1517. löschen kann, wenn es schon im Speicher steht !
1518. Aber nun die zweite schlechte Nachricht: 
1519. JEDESMAL WENN MAN EINE INFIZIERTE DISKETTE IN`S LAUFWERK LEGT, KOPIERT
1520. SICH DAS VIRUS SCHON IN DEN SPEICHER !!!
1521.  
1522. Löschen kann man den Virus-`Disk-Validator` deshalb nicht, weil bei jedem
1523. Versuch, wenn das `Return of the Lamer Exterminator`-Virus schon im Speicher
1524. steht, die Fehlermeldung `object in use` erscheint !
1525. Dies liegt daran, daß dieses Virus einen `Lock` auf die Datei `:L/Disk-
1526. Validator` behäl.
1527. Man kann das Virus zwar nicht löschen, dafür kann man es aber mittels
1528. des `CLI`-Befehls `Rename` umbenennen und gefährlich ist dieses Virus
1529. nur dann, wenn es als `Disk-Validator` im Verzeichnis `L` steht !
1530.  
1531. Nun zu den Zerstörungen !
1532. Das `Return of the Lamer Exterminator`-Virus schreibt nach einiger Zeit
1533. das Wort `LAMER` in einige Datenblöcke und zerstört so die Informationen
1534. in den Programmdateien !!!
1535. Das Virus ist auch in der Lage die Disketten in allen Laufwerken zu
1536. zerstören, indem es deren `Rootblöcke` mit dem Wort `LAMER` formatiert !
1537. Dabei gibt es gleichzeitig einen `Alert` aus : 
1538.               `Return of the Lamer Exterminator`
1539.  
1540. `AntiCicloVir` kann das `Return of the Lamer Exterminator`-Virus
1541. jetzt auch im Speicher erkennen.
1542. Allerdings kann es nicht gelöscht werden, da zu viele Vektoren zurück-
1543. gesetzt werden müßten, die unter anderen `KickStart`s wieder andere
1544. Adressen beinhalten !
1545. Da mein Linkviruskiller dieses Virus nicht löschen kann, wenn es im
1546. Speicher steht, benennt er es einfach in `:L/LAMER-Virus` um !
1547.  
1548. Zwar wird das `Return of the Lamer Exterminator`-Virus nicht aus dem
1549. Speicher gelöscht, doch das ist kein so großes Problem !
1550. Wenn Sie die Disketten auf dieses Virus hin überprüfen wollen, dann verwenden
1551. Sie bitte jedes Mal den Schreibschutz.
1552. Andernfalls könnte sich das Virus von einer infizierten Diskette aus in
1553. den Speicher kopieren und nun jede `cleane` Disk ebenfalls befallen.
1554. Haben Sie alle Disketten auf dieses Virus geprüft, so schalten Sie bitte
1555. den Amiga ab, damit es aus dem Speicher gelöscht wird !
1556. Nach dem Einschalten sollten Sie von einer virusfreien Diskette `booten`
1557. und `AntiCicloVir` und die `CLI`-Befehle in`s `RAM:` kopieren  !
1558. Jetzt können Sie alle infizierten Disketten nacheinander in`s Laufwerk
1559. legen und mit `AntiCicloVir V1.7` desinfizieren !
1560. Zwar kopiert sich das Virus wieder auf jede neue Diskette, doch das ist
1561. unwichtig, da die Disketten ja sowieso schon infiziert waren.
1562. Nachdem Sie ein `Return of the Lamer Exterminator`-Virus auf einer
1563. Diskette umbenannt haben, kopiert sich das Virus nicht anschließend
1564. wieder neu auf die Diskette !
1565. Nur wenn Sie die desinfizierte Diskette ein zweites Mal ohne Schreib-
1566. schutz in`s Laufwerk legen, wird sie neu-infiziert !
1567. Und das sollten Sie vermeiden !!!!!!
1568. Sollten Sie alle Disketten desinfiziert haben, so müßen Sie den Rechner
1569. unbedingt ein zweites Mal ausschalten, damit das `Return of the Lamer
1570. Exterminator`-Virus auch aus den Speicher gelöscht wird !
1571. Schalten Sie nun wieder den Amiga ein, so können Sie behaupten, daß Ihr
1572. Rechner das `Lamer Exterminator Fieber` überstanden hat und wieder
1573. wohlauf ist ...
1574.  
1575. Leider werden die desinfizierten Disketten nun noch einen `Disk Validating
1576. Error` haben, an dem aber nicht der `Linkviruskiller`, sondern das
1577. Virus schuld ist.
1578. Um die ungültige `BAM` wieder herzustellen, sollten Sie diese Disketten
1579. `validiern` !
1580. Gehen Sie dabei wie folgt vor !
1581. `Booten` Sie als erstes von einer Diskette mit echtem `Disk-Validator` !
1582. Kopieren Sie sich bitte die `CLI`-Befehle von der `Workbench`-Diskette
1583. in`s `RAM` !
1584. Legen Sie nun diese `fehlerhaften` Disketten ein !
1585. Das Betriebssystem wird nun einen `Disk Validating Error` melden und nach
1586. der `Workbench`-Diskette verlangen.
1587. Anschließend wird es wieder nach der `fehlerhaften` Diskette verlangen,
1588. um sie zu `validieren`.
1589. Ist diese Diskette `validiert`, so können vorläufig wieder Schreibzugriffe
1590. auf ihr ausgeführt werden.
1591. Löschen Sie beispielsweise eine unwichtige Datei ( `:L/LAMER-Virus` ),
1592. damit die Diskette nach diesem Schreibzugriff vom Betriebssystem wieder
1593. eine gültige `BAM` erhält !
1594. Jetzt ist die Diskette wieder o.k. !
1595.  
1596. Daten auf Disketten, die das `Return of the Lamer Exterminator`-Virus 
1597. formatiert hat sind unwiederruflich verloren !!!
1598.  
1599.  
1600.  
1601.  
1602.  
1603.  
1604.  
1605.  
1606.  
1607.  
1608.  
1609.  
1610.                              `BGS 9`
1611.  
1612.  
1613. Nicht ganz so gefährlich, aber dennoch lästig ist das `BGS 9`-Virus !
1614. Es sucht sich das erste ausführbare Programm aus der `Startup-Sequence`
1615. und kopiert es unter dem unsichtbaren Namen $A0A0A0202020A0202020A0 in`s
1616. Verzeichnis `DEVS:` !
1617. Das `Filevirus` selbst kopiert sich anstelle des Original-Programmes.
1618. Nach jedem Abarbeiten der `Startup-Sequence` wird es aktiviert !
1619. Mittlerweile gibt es zwei Versionen dieses Fileviruses !
1620. Nachdem dieses Virus gestartet wurde schreibt es sich als `MemList`-Struktur
1621. in den Speicher und gibt in KickMemPtr * einen Zeiger darauf zurück !
1622. In den KickTagPtr * wird die Adresse für das Resetprogramm eingetragen und
1623. mit SumKickData () die KickCheckSum * berechnet und ebenfalls eingetragen.
1624. Nach jedem Reset verbiegt das Resetprogramm den OpenWindow ()-Vektor auf
1625. eine Vermehrungsroutine, welche beim Rücksprung diesen Vektor wieder
1626. auf die ROM-Adresse setzt !
1627. Nach vier Resets wird folgender Text ausgegeben:
1628.  
1629.  
1630. `                       A COMPUTER VIRUS IS A
1631.                              DISEASE
1632.  
1633.                           TERRORISM IS A
1634.                            TRANSGRESSION
1635.  
1636.                          SOFTWARE PIRACY IS A
1637.                                CRIME
1638.  
1639.                           THIS IS THE CURE
1640.  
1641. BBB      GGGGGG    SSSS    99999            
1642. B  B     G        S        9   9         
1643. B  B     G          S      9   9             
1644. BBB      G           S     99999              Bundesgrenzschutz Sektion 9
1645. B  B     G GGGG       S        9              Sonderkommando "EDV"
1646. B  B     G    G        S       9
1647. BBB      GGGGGG    SSSS    99999`
1648.  
1649.  
1650. `AntiCicloVir` erkennt beide Computerviren ( `BGS 9` und `BGS 9 II` )
1651. auf der Diskette und löscht sie !
1652. Außerdem werden auch beide Viren im Speicher erkannt !
1653. Bisher war es so,daß die Viren der Gruppe `BGS9 I/II/Terrorists` nur
1654. durch das Vorhandensein einer bestimmten Resident-Struktur von
1655. `AntiCicloVir` im Speicher erkannt wurden !
1656. Doch das kann in der Vergangenheit zu vielen Verwechselungen mit
1657. Resident-Strukturen von seriösen Programmen geführt haben.
1658. Deshalb erkennt der `Linkviruskiller` die Viren nun direkt im
1659. Speicher und kann so auch zwischen den `BGS9`-Viren und dem
1660. `Terrorists`-Virus unterscheiden.
1661. Diese Erkennungsroutinen sind nun zu 100 % zuverlässig, so daß eine
1662. Verwechselung mit seriösen Programmen ausgeschlossen ist !
1663. Doch leider können die Viren `BGS 9` und `BGS 9 II` im Speicher
1664. nicht voneinander unterschieden werden !
1665. Sie sind nahezu identisch und unterscheiden sich nur in zwei Details
1666. voneinander !
1667. Zum Einen wurde ein Byte im unsichtbaren Namen des `BGS9`-Viruses auf
1668. der Diskette geändert und zum Anderen wurde ein Byte in der Kodierung
1669. des ASCII-Textes im Speicher geändert !
1670. Ich vermute, daß diese Änderungen nur vorgenommen wurden, um einen
1671. bestimmten Viruskiller zu täuschen !
1672. Die `BGS 9`-Viren funktionieren auch unter `KickStart 2.04` !
1673.  
1674.  
1675.  
1676.  
1677.  
1678.  
1679.  
1680.  
1681.  
1682.  
1683.  
1684.                        `Bret Hawnes`
1685.  
1686. Dieses 2608 Bytes große `Filevirus` tarnt sich als unsichtbares Programm
1687. im Hauptverzeichnis jeder infizierten Diskette und schreibt seinen
1688. Aufruf in die `s/startup-sequence` !
1689. Somit hat das `Bret Hawnes`-Virus gewisse Ähnlichkeiten mit den `Revenge
1690. of the Lamer Exterminator`-Viren, obwohl ich schreiben muß, daß diese
1691. weit aus professioneller programmiert worden sind !
1692. Es steht als unsichtbare Datei auf der Diskette, die dem Hexadezimal-Wert:
1693. $C0A0E0A0C0 entspricht !
1694. Dieses `Filevirus` kopiert sich absolut nach $7F000 in den Speicher und
1695. setzt KickTagPtr * & KickCheckSum * auf sein Resetprogramm.
1696. Der `Interrupt`-Vektor 3 wird auf eine eigene Adresse für die Textausgabe
1697. verbogen.
1698. Während des Reset werden auch noch die Vektoren OpenLibrary () ( Vermehrung )
1699. und SumKickData ( Überwachen der `Kick`-Vektoren ) verbogen und wieder
1700. auf`s ROM gesetzt.
1701. Nach neun Vermehrungen zerstört dieses Virus Disketten !
1702. Sind zwanzig Minuten vergangen, so wird folgender Text ausgegeben:
1703.  
1704. `GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN
1705.  I`VE TAKEN THE CONTROL OVER YOUR AMIGA !!!
1706.  THERE IS ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! `
1707.  
1708. Das Virus löscht den Zeiger CoolCapture * 
1709. `AntiCicloVir` erkennt das Virus auf der Diskette und löscht es !
1710. Im Speicher löscht es die Zeiger KickTagPtr * und KickCheckSum * ,SumKickData()
1711. und `Interrupt 3` !
1712.  
1713.  
1714.  
1715.  
1716.  
1717.  
1718.  
1719.  
1720.  
1721.                              `CCCP`
1722.  
1723. Das `CCCP`-Virus,mit einer Länge von 1044 Bytes, war das erste, 
1724. welches sich sowohl als `Bootblock`- als auch als `Linkvirus` 
1725. weiterkopieren konnte !
1726. Es kopiert sich nach jedem Reset in den `Bootblock` nicht schreibgeschützter
1727. Disketten und schreibt sich als `Hunk` in das erste ausführbare
1728. Programm, das es im `Rootblock` findet !
1729. Im Speicher setzt es den `CoolCapture`-Vektoren auf seine eigene Adresse
1730. und verbiegt den `Interrupt-3`-Vektoren auf eine eigene Interrupt-Struktur.
1731. Diese Interrupt-Struktur überwacht nun 50 (!) mal in der Sekunde den
1732. `CoolCapture`-Vektoren und schreibt die viruseigene Adresse dort wieder
1733. hinein, sobald sie gelöscht wurde.
1734. Einmaliges Löschen des `CoolCapture`-Vektoren reicht also nicht aus, um
1735. die Reset-Routine des `CCCP`-Viruses zu entfernen !
1736. Vorher müßte unbedingt der `Interrupt-3`-Vektor auf die jeweilige ROM-
1737. Adresse wieder zurückgesetzt werden.
1738. Nachdem `RESET` werden noch drei weitere Vektoren verbogen !
1739. Einmal wird DoIO () verbogen, um beim Zugriff des Betriebssystem`s nach
1740. dem `Reset` auf die Diskette, das `CCCP`-Virus zu starten, damit es sich
1741. als `Bootblock` installieren kann.
1742. Anschließend wird dieser Vektor wieder auf`s ROM gesetzt.
1743. Dann wird OpenLibrary () auf die viruseigene Adresse verbogen und geprüft,
1744. wann die `intuition.library` verfügbar ist.
1745. Ist dies der Fall, wird OpenLibrary () wieder auf die ROM-Adresse gesetzt
1746. und OpenWindow () verbogen.
1747. Sobald nun das AmigaDOS-Fenster geöffnet wird, kopiert sich `CCCP` als `Link-
1748. virus` auf die Diskette und setzt den OpenWindow ()-Vektor wieder auf
1749. die ROM-Adresse.
1750. Mein Linkviruskiller kann das `CCCP`-Virus also nur im Speicher anzeigen
1751. und löschen !
1752. Als `Linkvirus` wird es bisher noch nicht erkannt !
1753. Schäden richtet das `CCCP`-Virus keine an und ist sonst auch ziemlich
1754. unauffällig.
1755. Wer mit einem gewöhnlichem `Bootblock`-Viruskiller arbeitet, der das
1756. `CCCP`-Virus noch nicht erkennt, wird merken, daß es ziemlich hartnäckig
1757. ist !
1758. Zwar kann es immer am ASCII-Text `CCCP.VIRUS` im `Bootblock` erkannt und
1759. gelöscht werden, doch wird es einem arglosen Viruskiller wohl kaum gelingen,
1760. dieses Virus aus dem Speicher zu löschen, so daß es sich beim nächsten
1761. `Reboot` wieder auf die `desinfizierte` Diskette kopiert.
1762. Außerdem steht es ja immer noch als `Linkvirus` gut versteckt auf derselben
1763. Diskette, was eine weitere Begründung für die Hartnäckigkeit dieses
1764. Viruses wäre !
1765.  
1766.  
1767.  
1768.  
1769.  
1770.  
1771.  
1772.  
1773.  
1774.  
1775.  
1776.                        `Color(TURK V1.3)`
1777.  
1778.  
1779. Dieses Trojanische Pferd tarnt sich als simples `Grafik-Demo` auf einer Diskette,
1780. welches drei farbige Balken auf dunklem Hintergrund erzeugt !
1781. Es ist 2196 Bytes lang.
1782. Nachdem Sie sich dieses Demo angeschaut und das Programm beendet
1783. haben, wird das `Color`-Programm ab $70000 und das `TURK V1.3`-Bootblock-
1784. Virus ab $7F000 im Speicher installiert !
1785. Der DoIO ()-Vektor wird auf die Adresse des `Color`-Programmes im Speicher
1786. und der CoolCapture *-Vektor auf eine scheinbar sinnlose Adresse
1787. verbogen !
1788. Bei jedem Diskettenwechsel schreibt das `Color`-Programm den Virus-Bootblock
1789. `TURK V1.3` auf die betroffene Diskette !
1790. Nachdem dieses Programm im Speicher stand, hat es übrigens sinnlos einen
1791. Speicherbereich von 60 - 80 kB belegt !
1792. Wenn Ihnen dieses Grafik-Demo mal auf einer Diskette begegnet, dann
1793. sollten Sie nach dem Erscheinen des DOS-Fensters NICHT gleich die rechte
1794. Maustaste drücken, um das Demo zu beenden, sondern sich es kurz
1795. anschauen und dann abbrechen !
1796. Wegen eines Programmierfehlers ( ??? ) wird bei einem Abbruch vorm
1797. Starten des `Demos`, nämlich nicht das Fenster und womöglich auch
1798. keine Systembibliothek geschlossen !
1799. Das dürfte bei nachfolgenden Programmen dann zu Fehler-Meldungen führen !
1800. Bei einem Reset stürzt der Rechner allerdings ab, da der Wert im
1801. CoolCapture *-Vektoren auf eine Adresse zeigt, die weder die des
1802. `Color`- noch die des `TURK`-Viruses ist.
1803. Ich habe aber gelesen, daß dies wohl absichtlich so sein soll.
1804. `AntiCicloVir` erkennt das `Color`-Programm nachdem es aktiviert
1805. wurde im Speicher und auf Diskette und löscht es.
1806.  
1807.  
1808.  
1809.  
1810.  
1811.  
1812.  
1813.  
1814.  
1815.  
1816.  
1817.  
1818.  
1819.  
1820.  
1821.  
1822.  
1823.  
1824.  
1825.  
1826.                        `CompuPhagozyte 1+2`
1827.  
1828. Die beiden `CompuPhagozyte`-Viren sind `Fileviren`, die sich selbst als
1829. `Viruskiller` tarnen !
1830. Allerdings könnte man diese Programme auch als Trojanische Pferde bezeichnen,
1831. da sie ja einen Viruskiller vortäuschen ...
1832. Das `CompuPhagozyte`-Virus tarnt sich als `Virus-Checker V4.0` mit einer
1833. Bytelänge von 1452 Bytes und das `CompuPhagozyte_2`-Virus tarnt sich
1834. als `VirusX 5.0` mit einer Bytelänge von 1148 Bytes !
1835. Beide Programme verbiegen keine Vektoren !
1836. Sie stehen immer im Verzeichnis `c` unter den Namen `Virus-Checker` oder
1837. `VirusX` !
1838. Werden Sie von einem unwissenden Anwender gestartet, um beispielsweise
1839. Disketten auf Viren zu untersuchen, dann kopieren die Programme zuerst
1840. eine Datei unter ihrem Namen aus dem `c`-Verzeichnis in den Speicher
1841. ab der Stelle $7C000 !
1842. Wird nun bei einem aktiviertem `Viruskiller` dieser Art eine neue Diskette
1843. zum Checken eingelegt, dann schreibt das Virus seinen eigenen Maschinen-
1844. sprachekodex aus dem Speicher in eine Datei in`s `c`-Verzeichnis unter
1845. dem Tarnnamen des Viruses !
1846. Wird mal eine Diskette eingelegt, auf der sich kein `c`-Verzeichnis befindet,
1847. dann starten die Viren eine Zerstörungsroutine !
1848. Die Diskette, die diese Routine ausgelöst hat, bleibt relativ verschont,
1849. da auf ihr nur ein paar Daten abgespeichert werden, die allerdings keinen
1850. Schaden anzurichten scheinen !
1851. Jede nachfolgende eingelegte Diskette wird jedoch komplett zerstört:
1852. `DF0:BAD` !!!
1853. `AntiCicloVir` erkennt diese Viren auf der Diskette und löscht sie.
1854. Auch im Speicher kann `AntiCicloVir` erkennen, ob diese Viren vor
1855. einiger Zeit aktiviert wurden und Sie warnen !
1856.  
1857.           
1858.  
1859.  
1860.  
1861.  
1862.  
1863.  
1864.  
1865.  
1866.  
1867.  
1868.  
1869.                           `COMPUPhagozyte II`
1870.  
1871. Diese 568 Bytes große Bombe tarnt sich als CLI-Befehl `cls` auf
1872. Disketten !
1873. Im Gegensatz zu üblichen `cls`-Befehlen löscht sie den Bildschirm nicht
1874. über eine spezielle ROM-Routine, sondern durch 30 Returncodes !
1875. Sie steht resetfest ab $7C000 über CoolCapture * im Speicher und verbiegt
1876. keine weiteren Vektoren !
1877. Die Bombe ist wahrscheinlich die harmloseste in meiner ganzen Sammlung.
1878. Es werden lediglich einige Reset-Vektoren gelöscht.
1879. Die Folge ist, daß nun ein mögliches resetfestes Programm nach dem Reset
1880. verloren geht !
1881. Sonst passiert nichts.
1882. `AntiCicloVir` sucht im Speicher und auf Diskette nach dieser Bombe
1883. und löscht sie !
1884. `COMPUPhagozyte II` aus meiner Dokumentation ist identisch mit
1885. `COMPUPhagozyte 3` aus `VT.kennt` !
1886.  
1887.  
1888.  
1889.  
1890.  
1891.  
1892.  
1893.  
1894.  
1895.  
1896.  
1897.  
1898.  
1899.  
1900.                      `COMPUPhagozyte III A-C`
1901.  
1902. Von diesem `Filevirus` gibt es drei verschiedene Typen, die sich in einigen
1903. Details unterschieden und deshalb alphabetisch geordnet worden sind.
1904. Alle drei Virustypen haben folgende Eigenschaften !
1905. Sie stehen immer als unsichtbare Datei unter dem Namen $A0A0A0A0 im Hauptver-
1906. zeichnis einer infizierten Diskette und rufen sich über die `Startup-Sequence`
1907. auf.
1908. Sobald sie gestartet wurden, reservieren sie jeweils drei Speicherbereiche und
1909. kopieren nach $7C000 die ganze Programmdatei ( $A0A0A0A0 ) von der Diskette,
1910. nach $7C600 die `Reset`-Routine und nach $7E000 die Vermehrungsroutine.
1911. Dies ist auch der Grund, weshalb diese `Fileviren` sich nur dann im Speicher
1912. installieren können, wenn sie unter dem Namen $A0A0A0A0 auf der Diskette
1913. standen !
1914. CoolCapture * wird auf die `Reset`-Routine ( $7C600 ) gesetzt und OldOpen-
1915. Library () auf die Vermehrungsroutine ( $7E000 ).
1916. Das `Filevirus` kopiert sich, nach dem Aufruf von OldOpenLibrary () durch
1917. ein Anwenderprogramm, als unsichtbare Datei auf die Diskette und überschreibt
1918. die ersten vier Bytes der `Startup-Sequence` mit seinem Namen !
1919. Dadurch wird der erste Eintrag der `Startup-Sequence` meistens halb gelöscht,
1920. was beim Abarbeiten dieser zum Fehler `unknown command` führt !
1921. Das installierte `Filevirus` wird jedoch vorher immer (!) noch aktiv und kann
1922. sich so vermehren !!!
1923. Allerdings verrät es sich durch diesen kleinen Fehler selbst ...
1924. Nur wenn der erste Eintrag der `Startup-Sequence` aus vier Zeichen bestand,
1925. werden diese überschrieben und es kommt zu keiner Fehlermeldung beim Abarbeiten
1926. der `Startup-Sequence !
1927. Die Virustypen B und C unterscheiden sich nur darin voneinander, daß Typ C
1928. 8 Bytes länger ist als B.
1929. Ansonsten sind sie gleich und werden hier daher gemeinsam erwähnt.
1930. Typ A kann sich im Gegensatz zu Typ B/C nur nach `DF0:` kopieren.
1931. Außerdem hat Typ A einige kleinere Programmierfehler, die beim Aufruf von ca.
1932. 2/3 aller Programme, die OldOpenLibrary () benutzen, zum `GURU` führen ...
1933. Allerdings konnte sich das Virus auch in diesen Fällen vorher erfolgreich
1934. vermehren !
1935. Typ A überprüft vorm installieren immer den Vektor der OldOpenLibrary ()-
1936. Routine auf `KickStart 1.2` und installiert die Vermehrungsroutine sonst
1937. nicht !!!
1938. Allerdings hat es vorher immer schon die `Reset`-Routine installiert, die ja
1939. nach jedem `Reset` den Vektor von OldOpenLibrary () auf die eigene Adresse
1940. setzt, die ja beim Fehlen von `KickStart 1.2` nicht gesetzt wurde.
1941. Da nun OldOpenLibrary () auf einen leeren Speicherbereich zeigt, kommt es
1942. beim Aufruf dieser Routine durch ein Anwenderprogramm nach dem Reset zum
1943. `GURU` !
1944. Alle drei Virustypen sind relativ harmlos und richten keine Schäden an.
1945. `File`-Längen:
1946.  
1947. Typ A: 916 Bytes
1948. Typ B: 892 Bytes
1949. Typ C: 900 Bytes
1950.  
1951. `AntiCicloVir` erkennt alle Typen dieses `Fileviruses` im Speicher und auf
1952. Diskette und löscht sie !
1953. Der `VT` bezeichnet diese Virustypen etwas anders:
1954.  
1955. `COMPUPhagoyzte III A` = `COMPUPhagozyte 4`
1956. `COMPUPhagozyte III B` = `COMPUPhagozyte 4a`
1957. `COMPUPhagozyte III C` = `COMPUPhagozyte 4b`
1958.  
1959.  
1960.  
1961.  
1962.  
1963.  
1964.  
1965.  
1966.  
1967.  
1968.  
1969.  
1970.  
1971.  
1972.                      `COMPUPhagozyte IV`
1973.  
1974. Dieses 1008 Bytes große `Filevirus`, tarnt sich unter dem unsichtbaren
1975. Namen $A0A0A0A0 als `CompuPhagozyte Protection File`, auf einer infizierten
1976. Diskette !
1977. Es versucht also als Schutzdatei gegen die o.g. Virustypen zu täuschen ...
1978. Allerdings ist es selbst ein `Filevirus` !
1979. Es kopiert sich nach seinem Aufruf nach $7C000 in den Speicher und verbiegt
1980. die Vektoren CoolCapture *, OldOpenLibrary ( Vermehrung ) und SumKickData
1981. ( Überwachen der übrigen Vektoren ) auf seine eigene Adresse !
1982. Nach jedem Aufruf von OldOpenLibrary () findet eine Vermehrung statt.
1983. Dabei wird die unsichtbare Datei auf die Diskette kopiert und ihr Name in
1984. der `Startup-Sequence` eingetragen.
1985. Bei dieser Version werden keine Bytes in der `Startup-Sequence` mehr über-
1986. schrieben, wodurch es nicht mehr auffällt ...
1987. Da es auch keine Texte etc. ausgibt und auch sonst sich nicht meldet, kann es
1988. der Anwender lange Zeit nicht bemerken !
1989. Doch zum Glück ist dieses `Filevirus` vollkommen harmlos, da es keine Schäden
1990. anrichtet !
1991. Der `VT` bezeichnet es als `COMPUPhagozyte III c` !
1992. Doch dieser Namensgebung kann ich nicht zustimmen, da der programmiertechnische
1993. Unterschied zu den Typen der Version III relativ groß ist !
1994. `AntiCicloVir` erkennt `COMPUPhagozyte IV` im Speicher und auf Diskette und
1995. entfernt es !
1996.  
1997.  
1998.  
1999.  
2000.  
2001.  
2002.  
2003.  
2004.  
2005.                           `D-Structure`
2006.  
2007. Bei diesem nur 464 Bytes großen `Filevirus` handelt es sich, um das bisher
2008. kleinste vermehrungsfähige Programm auf dem AMIGA !
2009. Im Gegensatz zu allen bisherigen Typen von `Fileviren`, kann sich dieses
2010. Virus unter jedem beliebigen Namen auf die Diskette kopieren ...
2011. Deshalb macht es keinen Sinn, unter einem möglichen unsichtbaren oder Tarn-
2012. namen zu suchen !
2013. Sobald es aufgerufen wird, kopiert es sich nach $7C000 in den Speicher und
2014. merkt sich die Original-ROM-Adresse von OldOpenLibrary (), bevor es sie auf
2015. seine eigene verbiegt.
2016. Jetzt befindet sich das Virus sozusagen im ersten Stadium ...
2017. Es ist übrigens nicht resetfest !
2018. Über OldOpenLibrary () versucht es nun herauszufinden, welche Bibliothek vom
2019. Anwenderprogramm geöffnet werden soll.
2020. Handelt es sich dabei um die `dos.library`, so wird OldOpenLibrary () wieder
2021. auf die ROM-Adresse gesetzt und das Virus merkt sich die `DosBase`-Adresse
2022. und die Adresse der Routine Write () aus der `dos.library` !
2023. Hiernach wird Write () auf die eigene Adresse verbogen und eine Zählstelle
2024. aktiviert.
2025. Nach jedem fünften Aufruf der Routine Write (), manipuliert `D-Structure` die
2026. Datenregister !
2027. Das Datenregister D2, welches die Adresse des zu schreibenden Textes/Code
2028. beinhaltet, wird auf die viruseigene Adresse verbogen und der Wert in D3,
2029. welcher die Länge enthält, wird durch den Wert der Viruslänge ersetzt !
2030. Nun wird anstelle des Gewünschten, das `Filevirus` auf Diskette kopiert !
2031. Da sich `D-Structure` in bereits bestehende Schreibprozesse einbaut, kann es sich
2032.  überall hin kopieren ...
2033. Es kann nicht nur als ausführbare Datei auf Diskette, sondern auch als Daten-
2034. block, dort stehen, wobei es jedoch zu `Read/Write Errors` kommen dürfte !
2035. Da auch Texte auf den Bildschirm mit Write () ausgegeben werden, kann der
2036. Viruscode, anstelle eines geladenen Textes, über den Bildschirm flimmern !
2037. Und selbst über den Drucker und sogar über die serielle Schnittstelle kann
2038. es sich weitergeben, wobei natürlich keine Vermehrung stattfindet !
2039. Neu an diesem Typ Virus ist, da es fast keine eigenen Routinen beinhaltet
2040. und sich allein, durch das Manipulieren von Registern, vermehren kann -
2041. was nach meinen Erkenntnissen eine neue Methode sein dürfte ...
2042. Es ruft selbst keine Bibliothek auf, hat keine eigene Schreibroutine etc.
2043. Es gibt von `D-Structure` nach eine Mutation, die sich jedoch nicht vermehren
2044. kann, da sie ein kleineres `Filevirus` erzeugt, das immer zum Absturz führt.
2045. `AntiCicloVir` erkennt `D-Structure` im Speicher und auf Diskette und entfernt
2046. es !
2047.  
2048.  
2049.  
2050.  
2051.  
2052.  
2053.  
2054.  
2055.  
2056.  
2057.  
2058.  
2059.                           `DAG Creator`
2060.  
2061. Dieses 7000 Bytes große Programm ist kein Virus !
2062. Hierbei handelt es sich viemehr um einen `Virusmaker`, der jedem
2063. Anwender klar zu verstehen gibt, wozu er programmiert wurde !
2064. Das Programm kopiert sich also nicht heimlich weiter und zerstört auch
2065. keine Disketten !
2066. Es erzeugt auf Wunsch auf der Diskette im Laufwerk `DF1` ein `Bootblock`-
2067. Virus namens `DAG`.
2068. Dieses `Bootblock`-Virus ist allerdings eine äußerst primitive `SCA`-
2069. Mutation, bei der nicht einmal der `SCA`-Text komplett entfernt wurde.
2070. Lesen Sie hierzu auch bitte das Kapitel `DAG` aus Anhang B !
2071. `AntiCicloVir` löscht den `DAG Creator`, sobald er ihn auf Diskette findet !
2072.   
2073.  
2074.  
2075.  
2076.  
2077.  
2078.  
2079.  
2080.  
2081.                        `DISASTER-MASTER V2`
2082.  
2083.  
2084. Dieses 1740 Bytes große Virus tarnt sich als `Clear Screen`-Befehl
2085. unter dem Namen `cls` im `c`-Verzeichnis und schreibt einen eigenen
2086. Aufruf in die `s/startup-sequence`: `cls *` !
2087. Das Virus kann entweder von einem unwissenden Anwender aktiviert werden,
2088. der es aus dem `c`-Verzeichnis als `cls` startet !
2089. Dabei wird der Bildschirm gelöscht und das Virus in den Speicher kopiert.
2090. Wenn es von der `startup-sequence` aus gestartet wird, dann benutzt es
2091. die Option `*`.
2092. Dabei wird der sichtbare Bildschirm nicht gelöscht und das Virus
2093. bleibt so unbemerkt und kann sich in den Speicher kopieren !
2094. Im Speicher setzt das `Filevirus` die Vektoren KickTagPtr * & 
2095. KickCheckSum * auf seine Adresse.
2096. Während des Reset wird auch noch der DoIO ()-Vektor zum Weiterkopieren
2097. verbogen und anschließend wieder auf`s ROM gesetzt.
2098. So ist es nach jedem Reset aktiv und kopiert sich als `cls` in`s
2099. `c`-Verzeichnis neuer Disketten und schreibt den Befehl `cls *` in
2100. die `s/startup-sequence` !
2101. Bei diesem Virus handelt es sich um einen harmlosen Parasiten, der
2102. keine Schäden anrichtet, sondern sich nur weiterkopiert !
2103. Dieses Virus wird auch vom `T.C.R. Intromaker` erzeugt, der in
2104. einigen PD-Serien erschienen ist !
2105. `AntiCicloVir` kann dieses Virus von der Diskette und aus
2106. dem Speicher löschen, sobald es es erkannt hat !
2107. Wenn sich dieses Virus im Speicher befindet, kann manchmal die
2108. `AmigaDOS`-Anzeige am linken oberem Bildschirmrand verschwinden !
2109. Dieses Virus scheint aber noch ein paar `Gag`s mehr `drauf zu haben,
2110. als ich in meiner letzten Dokumtation beschrieben habe !
2111. So kann es beispielsweise nach dem `Booten` von der `Systemdiskette`,
2112. das übliche `AmigaDOS`-Fenster in einen `Screen` umwandeln, wie man
2113. ihn beispielsweise von der `Workbench`-Oberfläche oder einigen 
2114. `Textanzeigeprogrammen` her kennt !
2115. Das `Disaster Master V2`-Virus kann auch eine `Guru-Meditation` aus-
2116. lösen, wobei die Fehlernr. dem Herstellungsdatum dieses Viruses
2117. entspricht !
2118. Bei dieser Fehlermeldung gibt sich dieses Virus bekannt und bietet
2119. die Möglichkeit sich selbst zu löschen an !
2120.  
2121.  
2122.  
2123.  
2124.  
2125.  
2126.  
2127.  
2128.  
2129.  
2130.  
2131.  
2132.  
2133.                          `Disktroyer V1.0`
2134.  
2135. Diese 804 Bytes große Bombe tarnt sich als `Clear Screen`-Befehl
2136. auf jeder Diskette: `cls` !
2137. Wird sie beispielsweise von der `s/startup-sequence` aktiviert, so verbiegt
2138. sie den Vektoren der `AllocMem`-Routine auf eine eigene Routine !
2139. Jedesmal wenn ein Programm versucht mit dieser Routine freien Speicher
2140. für eigene Zwecke zu allokieren, so wird automatisch die Bombe
2141. aktiviert !
2142. Der `Disktroyer V1.0` überprüft dann sofort den Schreibschutz
2143. aller Disketten in allen angeschlossenen Laufwerken !
2144. Sind die Disketten nicht geschützt, dann werden von ihnen alle Daten
2145. gelöscht und die Disketten sind zerstört !
2146. Anschließend wird eine `Alert`-Meldung ausgegeben !
2147. `Disktroyer V1.0` verbiegt außer dem `AllocMem`-Vektor keine weiteren Zeiger und ist
2148. auch nicht resetfest !
2149. Es ist sogar sehr wahrscheinlich, daß sich die Bombe selbst zerstört,
2150. wenn ein nachfolgendes Programm auf derselben Diskette die `AllocMem`-
2151. Routine benutzt ! 
2152. `AntiCicloVir` kann diese Bombe als `cls`-Befehl erkennen und
2153. löscht sie von der Diskette !
2154. Im Speicher wird sie bisher noch nicht erkannt !
2155.  
2156.  
2157.  
2158.  
2159.  
2160.  
2161.  
2162.  
2163.  
2164.  
2165.  
2166.                              `Golden Rider`
2167.  
2168.  
2169. Das `Golden Rider`-Virus ist das zweite `echte Linkvirus` in meiner
2170. Dokumentation !
2171. Dieses Virus steht immer ab $7C000 über CoolCapture * resetfest im
2172. Speicher !
2173. Es verbiegt ansonsten noch die Vektoren DoIO () und Open () aus der `dos.
2174. library` !
2175. Dieses `Linkvirus` funktioniert, meiner Meinung nach anders, als übliche
2176. Linkviren !
2177. Während Linkviren wie `CCCP` oder `Smily Cancer` beispielsweise ein
2178. eigenen `Hunk` in ein infiziertes Programm schreiben und diesen in dessen
2179. `Hunk`-Tabelle eintragen, kopiert sich das `Golden Rider`-Virus selbst
2180. in den ersten Programm-`Hunk` !
2181. Dadurch kann man es nicht mehr über die `Hunk`-Tabelle erkennen, sondern
2182. muß den kompletten ersten `Hunk` eines Programmes auf dieses Virus
2183. checken !
2184. Das Virus ersetzt einfach den Befehl `RTS` am Ende des ersten `Hunk`s
2185. durch `NOP` und kopiert sich selbst dann hinter diese Stelle.
2186. Dadurch wird beim Beenden des ersten `Hunk`s nicht in die aufrufende
2187. Ebene zurückgesprungen, sondern nur der Programmzähler erhöht und
2188. anschließend das Virusprogramm ausgeführt !
2189. Das Virus zerstört keine Disketten und gibt auch keine Meldetexte aus.
2190. Momentan wird es von `AntiCicloVir` auch nur im Speicher erkannt.
2191. Dieses Virus ist ohnehin schwerer zu erkennen als andere Linkviren.
2192. Allerdings ist der Text: `>>> Golden Rider <<< by ABT` immer am Ende
2193. des ersten `Hunk`s lesbar !
2194.  
2195.  
2196.  
2197.  
2198.  
2199.  
2200.  
2201.                           `Gotcha Lamer`
2202.  
2203. Die `Gotcha Lamer`-Bombe scheint so eine Art Festplatten-Bombe zu sein.
2204. Denn diese, nur 372 Bytes große Bombe, hängt nur in einige `CLI`-
2205. Befehle im `c`-Verzeichnis der Festplatte !
2206. Ein `Reptil` namens `MINIDEMO.EXE` gilt als Erzeugerprogramm dieser Bombe !
2207. Nach seinem Aufruf wurde unter meinem `Amiga KickStart V1.2` zwar kein
2208. Demo erzeugt, dafür aber hat das Programm versucht die `Gotcha Lamer`-
2209. Bombe nach: `dh0:c/dir`,`dh0:c/run`,`dh0:c/cd` und `dh0:c/execute` zu
2210. kopieren !
2211. Im Speicher verbiegt die `Gotcha Lamer`-Bombe den DoIO ()-Vektoren auf ihre
2212. eigene Adresse.
2213. Die Bombe kann eine Zerstörungsroutine starten, wobei es auch den
2214. Text: `HAHAHE ... Gotcha LAMER !!!` ausgibt !
2215. `AntiCicloVir` beinhaltet keine Routine zum Checken der Festplatte,
2216. weshalb die `Gotcha Lamer`-Bombe dort nicht erkannt wird.
2217. Im Speicher wird die `Gotcha LAMER`-Bombe erkannt und gelöscht.
2218. Dafür wird aber das Erzeugerprogramm `MINIDEMO.EXE` im Haupt- oder `c`-
2219. Verzeichnis erkannt und gelöscht, wenn es unter diesem Namen abgespeichert 
2220. wurde.
2221.  
2222.  
2223.  
2224.  
2225.  
2226.  
2227.  
2228.  
2229.  
2230.  
2231.                              `IRQ`
2232.  
2233. Dieses 1096 Bytes große `Linkvirus`, gilt als das älteste und erste `Amiga-
2234. Linkvirus`.
2235. Es kopiert sich als `Hunk` entweder in das erste ausführbare Programm aus
2236. der `s/startup-sequence` oder es infiziert den `CLI`-Befehl `dir`, falls
2237. es kein anderes ausführbares Programm gefunden hat !
2238. Um resetfest zu bleiben setzt es die Zeiger KickTagPtr * & KickCheckSum *
2239. auf seine Adresse im Speicher.
2240. Zum Weiterkopieren wird der Vektor der Routine OldOpenLibrary () verbogen.
2241. Die `OldOpenLibrary`-Routine entstammt dem `KickStart V1.0` und sollte von
2242. neueren Programmen nicht mehr verwendet werden, da es mittlerweile eine
2243. bessere Routine namens OpenLibrary () gibt !
2244. Die `OldOpenLibrary`-Routine wurde unter den neuen Betriebssystem-Versionen
2245. nur deshalb erhalten, damit ältere Programme auf den neueren Amiga-Modellen
2246. auch noch laufen !
2247. Die `OpenLibrary`-Routinen werden von Programmen benutzt, um die System-
2248. bibliotheken zu öffnen !
2249. Denn sämtliche für Programme wichtige Routinen, sind schon im Betriebssystem
2250. enthalten und können somit von Programmen genutzt werden !
2251. Das `IRQ`-Virus richtet keine Schäden an, kann aber durch Texte in der
2252. Fensterleiste wie folgende recht nerven: `AmigaDOS presents a new virus by
2253. the IRQ-Team V41.0`.
2254. AntiCicloVir kann dieses `Linkvirus` noch nicht auf der Diskette er-
2255. kennen.
2256. Dafür wird es aber im Speicher erkannt und gelöscht.
2257.  
2258.  
2259.  
2260.  
2261.  
2262.  
2263.  
2264.  
2265.  
2266.  
2267.  
2268.  
2269.  
2270.  
2271.  
2272.                        `JEFF Butonic V3.00`
2273.  
2274. Dieses 2916 Bytes große `Filevirus` kopiert sich unter einem unsichtbaren
2275. Namen, der in hexadezimal dem Wert $A0A0A0 entspricht, weiter !
2276. Damit funktioniert es ähnlich wie die `Fileviren` `Revenge Of The LAMER
2277. Exterminator` und `Bret Hawnes` !
2278. Außer seinen Namen schreibt dieses Virus auch noch einen Maschinensprache-
2279. befehl in die `s/startup-sequence`, so daß ein Editieren mit dem `CLI`-Befehl
2280. `ed` unmöglich ist ( `File contains binary !` ) !
2281. Sobald das `Filevirus` von der `s/startup-sequence` aus gestartet wurde,
2282. kopiert es sich in den Speicher und setzt die Zeiger KickTagPtr * und
2283. KickCheckSum * auf sein Resetprogramm !
2284. Außerdem wird noch der Vektor DoIO () verbogen, welcher jede eingelegte
2285. Diskette auf Schreibschutz überprüft und das Virus ansonsten `drauf-
2286. kopiert.
2287. Dieser Vektor überwacht auch die `Kick`-Vektoren und setzt sie nach
2288. jedem Löschen wieder neu, so daß auch DoIO () auf`s ROM gesetzt
2289. werden sollte, wenn das Virus aus dem Speicher entfernt wird !
2290. `AntiCicloVir` löscht das `Filevirus` im Speicher, falls es es gefunden
2291. hat. 
2292. Auf der Diskette erkennt `AntiCicloVir` ebenfalls das `JEFF Butonic`-Virus
2293. V3.10 und löscht auch den Aufruf aus der `s/startup-sequence` !
2294. Das `JEFF Butonic`-Virus V3.00 zerstört keine Disketten.
2295. Es wird auch von einem Programm namens `*JEFF*VIRUSKILLER` erzeugt !
2296.  
2297.  
2298.  
2299.  
2300.  
2301.  
2302.  
2303.  
2304.  
2305.  
2306.  
2307.  
2308.  
2309.  
2310.  
2311.                              `NANO`
2312.  
2313. Das 1444 Bytes große `Filevirus` namens `NANO`, tarnt sich immer unter dem
2314. unsichtbaren Namen $A0A0A0A0A0A0 im Hauptverzeichnis einer infizierten
2315. Diskette.
2316. Wenn es von der `Startup-Sequence` aufgerufen wird, kopiert es sich ab 
2317. $7C000 in den Speicher und verbiegt die Vektoren CoolCapture *, OldOpenLibrary ()
2318.  und SumKickData () !
2319. Außerdem werden zwei Zählstellen installiert !
2320. Bei jedem Aufruf der OldOpenLibrary ()-Routine durch ein Anwenderprogramm,
2321. versucht sich das Virus zu vermehren, indem es sich als unsichtbare Datei
2322. auf Diskette kopiert und seinen Namen an erster Stelle in die `Startup-Sequence`
2323.  einträgt !
2324. Nach jedem sechsten Aufruf wird folgender `Alert`-Text ausgegeben:
2325.  
2326. `                 ... another masterpiece by  N A N O  !!!
2327.  
2328.      GREETINGS TO:
2329.  
2330.      Byte Bandit, Byte Warrior, DEF JAM, DiskDoktors,
2331.      FANTASY, Foundation For The Extermination Of Lamers,
2332.      I.R.Q. Team, Obelisk Softworks Crew, S.C.A., UNIT A ...`
2333.  
2334. Nach jedem sechsten `Reset` wird mittels einer `Copper`-Grafik die Deutschland-
2335. flagge dargestellt.
2336. Beim Drücken der linken Maustaste, verschwindet die Grafik, der Bildschirm wird
2337. grün und die LED beginnt zu blinken ...
2338. Dadurch könnte bei einigen Anwendern der Eindruck entstehen, das Virus sei
2339. nun angestürzt und befinde sich nicht mehr im Speicher !
2340. Aber Vorsicht !!!
2341. Es ist danach noch weiterhin aktiv und kann sich vermehren !
2342. Bei Aufruf der SumKickData ()-Routine werden die viruseigenen Vektoren über-
2343. wacht und ggf. neu gesetzt und die übrigen evtl. verbogenen `Reset`-Vektoren
2344. gelöscht.
2345. Schäden richtet das `NANO`-Virus keine an.
2346. `AntiCicloVir` erkennt dieses Virus auf Diskette und im Speicher und löscht es.
2347.  
2348.  
2349.  
2350.  
2351.  
2352.  
2353.  
2354.  
2355.      
2356.                           `PP-BOMB`
2357.  
2358. Bei dieser 71308 Bytes großen Datei, handelt es sich um die original `power-
2359. packer.library` Version 3.0b, in welche eine Zerstörungsroutine eingebaut
2360. wurde !
2361. Natürlich stammt diese Routine nicht vom Programmierer der Bibliothek, sondern
2362. wohl von einer Cracker-Gruppe namens QUARTEX !
2363. `PP-BOMB` ist nicht resetfest, kann sich nicht weiterkopieren und verbiegt
2364. auch keine Vektoren, weshalb es nicht im Speicher gesucht werden braucht.
2365. Untersuchen Sie mit `AntiCicloVir` also das Verzeichnis `LIBS`, um diese
2366. Bombe zu finden !
2367. Ist `PP-BOMB` erst einmal aktiv geworden, so beginnt es damit nach dem Befehl
2368. `why` in dh0: und dh1: zu suchen, um ihn auf Null zu setzen, nach der Datei
2369. `AmiExpress` zu suchen, um sie ebenfalls zu verändern ...
2370. Sie sehen also, daß dieses Programm intensiv damit beschäftigt ist, einige
2371. Dateien auf Ihrer Festplatte zu verändern !
2372.  
2373.  
2374.  
2375.  
2376.  
2377.  
2378.  
2379.  
2380.  
2381.  
2382.                             `SADDAM` 
2383.  
2384.  
2385. Dieses 1848 Bytes große Virus tarnt sich als `Disk-Validator` im Verzeichnis
2386. `L` auf infizierten Disketten !
2387. Jede mit einem `SADDAM`-Virus infizierte Diskette hat einen
2388. `Disk-Validating Error`,den das `SADDAM`-Virus selbst angelegt hat.
2389. Dieses `Virus ist das erste, welches sich unter AmigaDOS selbst
2390. aufrufen kann, ohne daß es vom Anwender durch Booten oder Starten eines
2391. verseuchten Programmes etwa aktiviert  wurde !!!!!!
2392. Das Einlegen, einer mit einem `SADDAM`-Virus infizierten Diskette, reicht
2393. aus, damit sich das Virus in den Speicher kopieren kann !
2394. Es simuliert einen echten `Disk-Validator` und hat auch diesselbe Größe
2395. des Original-`Disk-Validators`, doch im Gegensatz zu diesem, ist es
2396. bis auf das Wort `BitMap CheckSum Error` total kodiert und kann so
2397. von Anfängern schwer unterschieden werden !
2398. Es kopiert sich auf jede nicht schreibgeschützte Diskette im Laufwerk
2399. `DF0:` als `Disk-Validator` !
2400. Wenn es kein `L`-Verzeichnis auf einer Diskette findet, dann kann es
2401. dieses Verzeichnis selbst anlegen !
2402. Bei bereits vorhandenem `Disk-Validator`, kopiert sich das Virus einfach
2403. `drüber !!
2404. Der `Disk-Validator` ist eine Art `externe Betriebssystem-Routine`,die
2405. von `AmigaDOS` immer dann aufgerufen wird, wenn es auf eine Diskette
2406. mit ungültiger `BAM` ( `Block Allocation Map` ) trifft !
2407. In der `BAM` jeder Diskette steht zum Beispiel wieviele und welche
2408. Blöcke schon belegt sind.
2409. Ist diese `BAM` ungültig, so hat die Diskette einen `Disk-Validating Error`
2410. und das Betriebssystem muß mit Hilfe einer Routine die entsprechenden
2411. Block-Angaben selbst herausfinden !
2412. Diese Routine ist der `Disk-Validator` im Verzeichnis `L` !
2413. Mit dessen Hilfe wird herausgefunden, wieviele und welche Blöcke
2414. einer Diskette schon belegt sind.
2415. Das `SADDAM`-Virus beinhaltet ebenfalls die Routine eines `Disk-Validators`
2416. und wird auch vom Betriebssystem bei ungültiger `BAM` aufgerufen.
2417. Dieses Virus legt auf jeder Diskette, auf der es sich kopiert, einen
2418. Fehler in der `BAM` an, der das Betriebssystem später ständig beim
2419. Einlegen dieser Diskette zwingen wird, den `L/Disk-Validator`, also das
2420. `SADDAM`-Virus zu starten !
2421. Das `SADDAM`-Virus setzt den Zeiger ColdCapture * auf seine Speicher-
2422. adresse und kann so auch unter `KickStart 1.3` ohne `SetPatch r` laufen !
2423. Außerdem werden verbogen BeginIO (), Close (trackdisk.device) & Raster-
2424. beam !
2425. Es ist nach jedem Reset und nach jedem Diskettenwechsel aktiv und
2426. kopiert sich auf die aktuelle Diskette !
2427. Das `SADDAM`-Virus zerstört die Disketten, indem es nach einiger Zeit
2428. einige Blöcke in `IRAK` umbenennt und deren Inhalt mit einem bestimmten
2429. Wert kodiert !
2430. Diese kodierten Datenblöcke werden von AmigaDOS nicht mehr anerkannt
2431. und lösen so `Read/Write Errors` aus !
2432. Mir ist aufgefallen, daß sich das `SADDAM`-Virus nicht auf Disketten
2433. kopieren kann, wenn man ihnen die Namen `DF1`,`DF2` oder `DF3` gibt !!!
2434. `AntiCicloVir` kann das `SADDAM`-Virus jetzt aus dem Speicher
2435. löschen, bloß ob dies immer ohne `GURU` abläuft wage ich nicht zu
2436. garantieren ...
2437. Auf der Diskette erkennt `AntiCicloVir` das `SADDAM`-Virus, warnt Sie
2438. und löscht es !
2439. Da die Gefahr besteht, daß sich schon beim Durchchecken Ihrer Sammlung,
2440. ein mögliches `SADDAM`-Virus in den Speicher kopiert, empfiehlt es
2441. sich, zuerst alle Disketten mit aktiviertem Schreibschutz zu testen !
2442. Anschließend sollten die mit einem `SADDAM`-Virus infizierten Disketten
2443. aussortiert und der Amiga ausgeschaltet werden.
2444. Danach können Sie den Amiga wieder einschalten und mit `AntiCicloVir`
2445. die `SADDAM`-Viren von den befallenen Disketten löschen !
2446. Zwar kopiert sich das Virus wieder in den Speicher, aber dafür wird
2447. es nur beim Diskettenwechsel aktiv !
2448. Wenn das `SADDAM`-Virus von einer infizierten Diskette gelöscht wurde,
2449. kopiert es sich erst wieder auf diese, wenn sie zum zweiten Mal einge-
2450. legt wird ( und das sollten Sie vermeiden !!! ) !
2451. Nachdem Sie alle Disketten vom `SADDAM`-Virus befreit haben, werden Sie
2452. merken, daß alle einen `Disk-Validating Error` haben, an dem aber nicht
2453. `AntiCicloVir`, sondern das Virus schuld ist.
2454. Gewiß kann man in komplizierter Weise diesen Fehler auch mit einem
2455. Diskettenmonitor entfernen, aber es geht auch viel einfacher mit Hilfe
2456. des Betriebssystems !
2457. Dieser `Disk-Validating Error` ist zwar harmlos, aber lästig, da man
2458. auf derartigen Disketten keine Programme oder Dateien mehr abspeichern
2459. kann !
2460. Legen Sie also einfach die `Workbench`-Diskette ein, auf der sich
2461. hoffentlich der echte `Disk-Validator` befindet und booten Sie von
2462. ihr !
2463. Nachdem Sie sich im `CLI` und die `CLI`-Befehle im `RAM` befinden,
2464. sollten Sie nun eine Diskette mit dem `Disk-Validating Error` einlegen !
2465. Daraufhin wird das Betriebssystem den `Disk-Validating Error` melden
2466. und nach der `Workbench`-Diskette verlangen, auf der sich ja der
2467. `Disk-Validator` befindet.
2468. Mit Hilfe dieses `Disk-Validator`s` werden nun die Anzahl und Adressen
2469. der belegten Blöcke auf der fehlerhaften Diskette in den Speicher
2470. kopiert und somit ist die Diskette für AmigaDOS vorerst wieder gültig.
2471. Jetzt können Sie vorläufig wieder Schreibzugriffe auf diese Diskette
2472. ausüben und das sollten Sie auch tun !
2473. Denn bei jedem Schreibzugriff auf einer Diskette, wird eine neue gültige
2474. `BAM` angelegt und die Diskette hat somit keinen `Disk-Validating Error`
2475. mehr !!!
2476. Löschen Sie nun also irgendeine unwichtige oder schreiben Sie eine
2477. wichtige Datei auf diese Disk, damit die `BAM` wieder stimmt !!
2478. Sie können beispielsweise `.info` löschen !
2479.  
2480. Schwieriger ist es mit den Disketten, auf denen das `SADDAM`-Virus
2481. schon einzelne Datenblöcke kodiert hat !
2482. Wenn Sie die vorerst verloren gegangenen Daten nicht mehr brauchen,
2483. mit der Diskette aber sinnvoll weiterarbeiten wollen, dann können
2484. Sie auch das Programm `DiskDoctor` benutzen, um die `Read/Write Errors`
2485. zu beseitigen !
2486. Lesen Sie dazu bitte auch das `AmigaDOS-Handbuch` von `Commodore` !
2487.  
2488. Das `SADDAM`-Virus wurde mir von Gregory Sapsford ,Fohlenkamp 33,
2489. W-4600 Dortmund 13 zugesandt !
2490.  
2491.  
2492.  
2493.  
2494.  
2495.  
2496.  
2497.  
2498.  
2499.  
2500.  
2501.  
2502.  
2503.  
2504.                          `Smily Cancer I+II`
2505.  
2506.  
2507. Das `Smily Cancer`-Virus mit einer Bytelänge von 3916 Bytes,ist das erste
2508. `Linkvirus`, welches in dieser Dokumentation erwähnt wird !
2509. Es kopiert sich in`s jeweils erste Programm, welches von der `s/startup-
2510. sequence` aufgerufen wird !
2511. Es schreibt einen weiteren `Hunk`-Eintrag in die `Hunk-Tabelle` und setzt
2512. seinen Virus-eigenen `Hunk` an erster Stelle !
2513. So wird das Virus bei jedem Booten in den Speicher geladen !
2514. Hat sich das `Linkvirus` in den Speicher kopiert, so werden die Vektoren
2515. KickTagPtr * & KickCheckSum * auf das eigene Resetprogramm gesetzt und
2516. BeginIO () auf die Kopierroutine !
2517. Der Vektor SumKickData () wird auch noch verbogen, um beim Installieren
2518. eines fremden Resetprogrammes zu gewährleisten, daß `Smily Cancer` nicht
2519. gelöscht werden kann !
2520. Es wird beim Reset und beim Diskettenwechsel aktiv und kopiert sich so
2521. weiter !
2522. Nach 20 erfolgreichen Vermehrungen verändert sich der Mauszeiger in einen
2523. gelben Kopf ( Smily ) und es wird folgender Text ausgegeben 
2524. ( Achtung ! Mögliche Übertragungsfehler !  ):
2525.  
2526. `HI THERE !!! A NEW AGE IN VIRUS MAKING HAS BEGUN !
2527.  THANK TO US ... THANK TO: --- CENTURIONS ---
2528.  
2529.  AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME
2530.  OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE
2531.  CALLED : `THE SMILY CANCER`
2532.  HAVE FUN LOOKING FOR IT ...
2533.  AND STAY TUNED FOR OUR NEXT PRODUCTIONS.
2534.  CENTURIONS: THE FUTURE IS NEAR !`
2535.  
2536. `AntiCicloVir` erkennt das `Smily Cancer`-Linkvirus leider noch
2537. nicht auf der Diskette, dafür aber im Speicher und löscht es !
2538. Nachdem Sie vor diesem Virus gewarnt worden sind, werden die Vektoren
2539. KickTagPtr * und KickCheckSum * und SumKickData () zurückgesetzt, 
2540. so daß das Virus nicht mehr resetfest ist ! 
2541. Allerdings kann es sich noch mittels des `BeginIO`-Vektoren weiterkopieren !
2542. Da ich keine Adressen verändern möchte, die bei allen `KickStart`-Versionen
2543. verschieden sind, setzt `AntiCicloVir` in diesem Falle nicht den
2544. `BeginIO`-Vektor zurück, sondern schreibt einen Maschinensprachebefehl im
2545. `Smily Cancer`-Virus so um, daß es zwar aktiv ist, sich aber nicht
2546. mehr weiterkopieren kann !
2547. Bei dem `Smily Cancer II` handelt es sich um ein 4676 Bytes großes
2548. Trojanisches Pferd, welches sich als `CLI`-Befehl `loadwb` tarnt !
2549. Es führt die `LoadWB`-Routine aus und kopiert anschließend das alte
2550. `Smily Cancer`-Linkvirus in den Speicher !
2551. Das `Smily Cancer`-Linkvirus wurde ja auch schon von der alten Version
2552. erkannt !
2553. `AntiCicloVir` erkennt `Smily Cancer` auf der Diskette und löscht es.
2554. `Smily Cancer II` kann sich selbst nicht weiterkopieren ! ( siehe auch
2555. `Lamer LoadWB` oder `T.F.C. Revenge LoadWB` )
2556.  
2557.  
2558.  
2559.  
2560.  
2561.  
2562.  
2563.  
2564.  
2565.  
2566.  
2567.                           `Terrorists`
2568.  
2569. Das `Terrorists`-Virus ( 1612 Bytes ) wird wohl eine Mutation des
2570. alten `BGS 9`-Viruses sein (siehe `BGS 9`) !
2571. Es sucht sich das erste ausführbare Programm aus der `Startup-Sequence` 
2572. und speichert es unter dem unsichtbaren Namen $A0202020A02020A020A0A0
2573. im Hauptverzeichnis ab.
2574. Sich selbst kopiert das `Terrorists`-Virus anstelle des Original-Programmes
2575. auf die Diskette.
2576. Bei jedem Aufruf über die `Startup-Sequence` wird das `Terrorists`-Virus
2577. so aktiviert und kann sich in den Speicher kopieren und im System installieren.
2578. Anschließend läßt es das Original-Programm ausführen.
2579. Um resetfest im Speicher zu stehen, verbiegt dieses Virus die Vektoren
2580. KickMemPtr *,KickTagPtr * und KickCheckSum * !
2581. Wie beim `BGS9`-Virus wird wohl auch hier nach dem Reset der Vektor
2582. OpenWindow () verbogen und nach Ablauf der Routine wieder auf`s ROM
2583. gesetzt !
2584. Es kopiert sich nur weiter und scheint keine weiteren Schäden anrichten
2585. zu können !
2586. Es ist jedoch ebenfalls lästig wie das `BGS 9`-Virus, da das Resetprogramm
2587. nach vier Resets`s folgenden Text ausgibt:
2588.  
2589. `THE NAME HAVE BEEN CHANGED TO PROTECT THE INNONCENT ...
2590.  THE TERRORISTS HAVE YOU UNDER CONTROL
2591.  EVERYTHING IS DESTROYED
2592.  YOUR SYSTEM IS INFECTED
2593.  THERE IS NO HOPE FOR BETTER TIMES
2594.  THE FIRST TERRORISTS VIRUS !!!`
2595.  
2596.  
2597. Dieses Virus kann von `AntiCicloVir` jetzt auch im Speicher
2598. von den `BGS 9`-Viren unterschieden werden, da die Erkennungsroutine
2599. für die Viren der Gruppe `BGS9 I/II/Terrorists` ausgewechselt wurde !
2600. Auf der Diskette erkennt es `AntiCicloVir` auch und gibt eine entsprechende
2601. Meldung aus bevor es es löscht !
2602.  
2603.  
2604.  
2605.  
2606.  
2607.  
2608.  
2609.  
2610.  
2611.  
2612.  
2613.                       `T.F.C. Revenge LoadWB`
2614.  
2615. Dieses 2804 Bytes große Trojanische Pferd tarnt sich auf der Diskette als
2616. `LoadWB`-Befehl und simuliert nach seinem Aufruf diesen Befehl !
2617. Es erzeugt im Speicher das `Bootblock`-Virus `T.F.C. Revenge` ( siehe
2618. Anhang B ) !
2619. Das `Bootblock`-Virus wird in zwei verschiedene Speicherbereiche kopiert !
2620. Einmal schreibt es das `Filevirus` nach $7F800 und anschließend nach
2621. $FF800 in den Speicher !
2622. Synchron hierzu werden die Vektoren KickTagPtr *,KickCheckSum *,DoIO (),
2623. sowie der Interrupt-Vektor für den Rasterstrahl verbogen - auf die
2624. Adressen des `Bootblock`-Viruses !
2625. `AntiCicloVir` erkennt `T.F.C. Revenge LoadWB` auf der Diskette und löscht es !
2626. Auch das `Bootblock`-Virus `T.F.C. Revenge` wird erkannt.
2627. Näheres zur Verfahrensweise mit diesem Virus finden Sie im Anhang B !
2628. Lesen Sie auch die Dokumtationen zu `Lamer LoadWB` und `Smily Cancer II` !
2629.  
2630.  
2631.  
2632.  
2633.  
2634.  
2635.  
2636.  
2637.  
2638.  
2639.  
2640.  
2641.  
2642.  
2643.  
2644.                         `Traveling Jack`
2645.  
2646. Dieses `Linkvirus` verbiegt eine Adresse mit einem Offset von $2E oberhalb
2647. der `Dosbase`-Struktur, wobei es sich um einen `dos.library`-Vektoren
2648. handelt, der in`s ROM zeigt !
2649. `Traveling Jack` ist nicht resetfest, wird aber bei jedem Aufruf einer
2650. `dos.library`-Routine aktiv und versucht sich auf die Diskette zu kopieren.
2651. Dabei verrät es sich durch einen System-Requester:
2652.                       `disk is writeprotected`
2653. Das `Linkvirus` benutzt eine variable `Hunk`-Länge und erzeugt manchmal
2654. auch eine 198 Bytes große Datei auf der Diskette:
2655.                         `VIRUS.$xxxx`
2656. Sxxxx entspricht dabei einem Hexadezimalwert, der mit Hilfe des 
2657. `CIA-A`-Registers ermittelt wird !
2658. In dieser Datei ist dann zu lesen:
2659.  
2660.           `The Traveling Jack ...
2661.            I`m traveling from town to town looking for respect,
2662.            and all the girls I could lay down make me go erect.
2663.            - Jack, 21st of September 1990`
2664.  
2665. Bisher kann `AntiCicloVir` dieses `Linkvirus` nur im Speicher erkennen
2666. und entfernen, nicht aber auf der Diskette !
2667.  
2668.  
2669.  
2670.  
2671.  
2672.  
2673.  
2674.  
2675.  
2676.  
2677.                               `Xeno`
2678.  
2679. Dieses 1124 Bytes große `Linkvirus` war das zweite seiner Art nach `IRQ` !
2680. Wenn es sich im System installiert hat, verbiegt es einige wichtige Vektoren
2681. aus der `dos.library`: Open (), LoadSeg () & Lock () !
2682. Dieses Virus ist also nicht resetfest !
2683. Es sucht sich die zu infizierenden Programme, aus der `Startup-Sequence`.
2684. Dabei erwartet es bestimmte Namenskonventionen !
2685. Die Dateinamen dieser Programme dürfen nur Zeichen innerhalb von `0-9`,
2686. `a-z` und `A-Z` enthalten !
2687. Programme, deren Dateinamen Sonderzeichen enthalten, werden nicht infiziert.
2688. Das `Linkvirus` erhöht die Anzahl der `Hunk`s im `Hunk-Header` nicht.
2689. Es kopiert sich ( so vermute ich ) direkt vor dem ersten `Hunk` einer
2690. befallenen Datei.
2691. `Xeno` richtet keine Schäden an, gibt dafür aber hin und wieder folgenden
2692. Text aus:
2693.      `Greetings Amiga user from the Xeno virus !`
2694.  
2695. `AntiCicloVir` kann dieses `Linkvirus` bisher nur im Speicher erkennen und
2696. noch nicht auf der Diskette !
2697.  
2698.  
2699.  
2700.  
2701.  
2702.  
2703.  
2704.  
2705.  
2706.  
2707.  
2708.  
2709.         
2710.  
2711.                              `Anhang B`
2712.  
2713. In diesem Anhang werden nun noch einmal alle `Bootblock`-Viren beschrieben,
2714. die `AntiCicloVir` im Speicher erkennt !
2715. Bedenken Sie bitte, daß `AntiCicloVir` kein `Bootblock`-Viruskiller ist,
2716. sondern die `Bootblock`-Viren im Speicher nur löscht, weil sie lästig
2717. sein könnten beim Kontrollieren der Disketten auf `Linkviren` !
2718. Die `Bootblock`-Viren werden in Kurzform dokumentiert !
2719.  
2720.  
2721.  
2722.  
2723.  
2724.  
2725.  
2726.  
2727. Name         : `16 Bit Crew`
2728.  
2729. Resetvektoren: CoolCapture *
2730. Interrupts   : keine
2731. Vektoren für
2732. Bibliotheks-
2733. funktions-
2734. vektoren     : DoIO () (RESET)
2735. Schäden      :  keine
2736. Anmerkung    : Dieses Virus steht immer ab $7EC00 im Speicher !
2737.  
2738.  
2739.  
2740. Name         : `2001`
2741.  
2742. Resetvektoren: CoolCapture *
2743. Vektoren für
2744. Interrupts   : keine.
2745. Bibliotheks-
2746. funktions-
2747. vektoren     : DoIO () (RESET)
2748. Schäden      : keine
2749. Anmerkung    : Bei diesem Virus handelt es sich um einen der unendlich
2750.                vielen `SCA`-Mutanten !
2751.                Außer geändertem Text, wurde eine Routine so geändert, daß
2752.                nach jedem Reset, ohne Diskette im Laufwerk, eine `Guru 
2753.                Meditation` ausgelöst wird !
2754.  
2755.  
2756.  
2757. Name         : `AEK`
2758.  
2759. Resetvektoren: CoolCapture *
2760. Interrupts   : keine
2761. Bibliotheks-
2762. funktions-
2763. Vektoren     : DoIO () (RESET)
2764. Schäden      : keine.
2765. Anmerkung    : Dieses Virus ist ein schon ziemlich alter `SCA`-Mutant, bei dem
2766.                nur der ASCII-Text geändert wurde !
2767.  
2768.  
2769.  
2770.  
2771. Name         : `AIDS`
2772.  
2773. Resetvektoren: CoolCapture *
2774. Interrupts   : keine.
2775. Bibliotheks-
2776. funktions-
2777. vektoren     : DoIO () (RESET)
2778. Schäden      : keine
2779. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der Text geändert !
2780.  
2781.  
2782.  
2783.  
2784. Name         : `AIDS2`
2785.  
2786. Resetvektoren: CoolCapture *
2787. Interrupts   : keine.
2788. Bibliotheks-
2789. funktions-
2790. vektoren     : PutMsg ()
2791. Schäden      : mir sind keine bekannt.
2792. Anmerkung    : Bei diesem zweiten `AIDS`-Virus handelt es sich um eine
2793.                Mutation des `Bootblock`-Viruskillers `Vkill`, der ursprünglich
2794.                zum Löschen von `Bootblock`-Viren kreiert wurde.
2795.                Die Mutation namens `AIDS` kopiert sich nun, getarnt als
2796.                Viruskiller, auf jede Diskette und löscht so auch harmlose
2797.                `Boot-Intros` etc.
2798.                Da mir der original `Bootblock`-Viruskiller `VKill` noch nicht
2799.                vorliegt, kann es sein, daß `AntiCicloVir` diesen mit dem
2800.                `AIDS`-Virus verwechselt.
2801.                
2802.  
2803. Name         : `Alien New Beat V1.0`
2804.  
2805. Resetvektoren: ColdCapture *
2806.                CoolCapture *
2807. Interrupts   :
2808. Bibliotheks-
2809. funktions-
2810. vektoren     : DoIO ()
2811. Schäden      : Löscht `Bootblock`-Viren.
2812. Anmerkung    : Dieses `Bootblock`-Virus funktioniert nur bis `KickStart 1.2` !
2813.  
2814.  
2815.  
2816. Name         : `Amiga Freak`
2817.  
2818. Resetvektoren: KickTagPtr *
2819.                KickCheckSum *
2820. Interrupts   : keine
2821. Bibliotheks-
2822. funktions-
2823. vektoren     : BeginIO ()
2824. Schäden      : mir sind keine bekannt.
2825. Anmerkung    : Bei diesem Virus handelt es sich um einen `Forpib/Byte Bandit`-
2826.                Mutanten, bei dem nur der ASCII-Text geändert wurde !
2827.                
2828.  
2829.  
2830.  
2831. Name         : `Amiga Master`
2832.  
2833. Resetvektoren: CoolCapture *
2834. Interrupts   :
2835. Bibliotheks-
2836. funktions-
2837. vektoren     : DoIO () (RESET)
2838. Schäden      : keine.
2839. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgewechselt.
2840.  
2841.  
2842.  
2843.  
2844. Name         : `ASV V0.000123`
2845.  
2846. Resetvektoren: CoolCapture *
2847. Interrupts   :
2848. Bibliotheks-
2849. funktions-
2850. vektoren     : Forbid ()
2851. Schäden      : Dieses Virus verbiegt den Zeiger der `Forbid`-Routine auf
2852.                seine eigene Routine im Speicher, die `ChipMem` löscht !
2853. Anmerkung    : Das `ASV V0.000123`-Virus kopiert sich nicht weiter !
2854.  
2855.  
2856.  
2857.  
2858. Name         : `Australian Parasite`
2859.  
2860. Resetvektoren: CoolCapture *
2861. Interrupts   :
2862. Bibliotheks-
2863. funktions-
2864. vektoren     : DoIO ()
2865. Schäden      : Das `Australian Parasite`-Virus kann den Bildschirminhalt
2866.                verdrehen !
2867. Anmerkung    : ACHTUNG : `VirusX 4.00` verwechselt die Viren `Return of the
2868.                Lamer Exterminator` und `SADDAM` mit dem `Australian Parasite`-
2869.                Virus !!!
2870.  
2871.  
2872.  
2873. Name         : `Bamiga Sector One`
2874.  
2875. Resetvektoren: CoolCapture
2876. Interrupts   : keine.
2877. Bibliotheks-
2878. funktions-
2879. vektoren     : DoIO () (RESET)
2880. Schäden      : keine.
2881. Anmerkung    : Bei diesem `SCA`-Mutanten wurde lediglich der `ASCII`-Text
2882.                ausgetauscht.
2883.  
2884.  
2885. Name         : `Big Boss`
2886.  
2887. Resetvektoren: CoolCapture *
2888. Interrupts   : keine.
2889. Bibliotheks-
2890. funktions-
2891. vektoren     : DoIO () (RESET)
2892. Schäden      : keine.
2893. Anmerkung    : Bei diesem `SCA`-Mutanten wurde wieder einmal nur der
2894.                ASCII-Text ausgewechselt.
2895.  
2896.  
2897.  
2898. Name         : `Blackflash V2.0`
2899.  
2900. Resetvektoren: CoolCapture *
2901. Interrupts   : keine
2902. Bibliotheks-
2903. funktions-
2904. vektoren     : DoIO ()
2905. Schäden      : keine.
2906. Anmerkung    : keine.
2907.  
2908.  
2909.  
2910.  
2911. Name         : `Blade Runners`
2912.  
2913. Resetvektoren: CoolCapture *
2914. Interrupts   : keine.
2915. Bibliotheks-
2916. funktions-
2917. vektoren     : DoIO () (RESET)
2918. Schäden      : keine.
2919. Anmerkung    : Auch bei diesem `SCA`-Mutanten wurde nur der Text verändert ...
2920.  
2921.  
2922.  
2923.  
2924. Name         : `BLF`
2925.  
2926. Resetvektoren: CoolCapture *
2927. Interrupts   : keine.
2928. Bibliotheks-
2929. funktions-
2930. vektoren     : DoIO ()
2931.                BeginIO ()
2932. Schäden      : keine.
2933. Anmerkung    : keine.
2934.  
2935.  
2936.  
2937.  
2938. Name         : `BlizzPro V3.1`
2939.  
2940. Resetvektoren: CoolCapture *
2941. Interrupts   : keine.
2942. Bibliotheks-
2943. funktions-
2944. vektoren     : CloseDevice ()
2945. Schäden      : Dieses Programm löscht folgende `Bootblock`-Viren: `NORTH STAR`,
2946.                `BYTE BANDIT`,`BYTE WARRIOR`,`REVENGE`,`GADAFFI`,`LAMER EXTERMIN.` !
2947. Anmerkung    : Bei diesem Programm handelt es sich lediglich um einen `Bootblock`.
2948.                Viruskiller, der sich nur auf infizierte Disketten kopiert !
2949.  
2950.  
2951.  
2952.  
2953. Name         : `BlizzPro V3.3`
2954.  
2955. Resetvektoren: CoolCapture *
2956. Interrupts   : keine.
2957. Bibliotheks-
2958. funktions-
2959. vektoren     : CloseDevice ()
2960. Schäden      : wie `BlizzPro V3.1`
2961. Anmerkung    : Dieses Programm funktioniert in etwa ähnlich wie `BlizzPro V3.1` !
2962.  
2963.  
2964.  
2965.  
2966. Name         : `Blow Job`
2967.  
2968. Resetvektoren: KickTagPtr *
2969.                KickCheckSum *
2970. Interrupts   : Interrupt 3 für Textausgabe
2971. Bibliotheks-
2972. funktions-
2973. vektoren     : DoIO () (RESET)
2974. Schäden      : keine.
2975. Anmerkung    : Dieses Virus täuscht im `Bootblock` durch den Text: 
2976.                `Memory Allocator 3.01`.
2977.  
2978.  
2979.  
2980. Name         : `Butonic 1.1`
2981.  
2982. Resetvektoren: CoolCapture *
2983. Interrupts   : keine.
2984. Bibliotheks-
2985. funktions-
2986. vektoren     : DoIO () (RESET)
2987. Schäden      : keine.
2988. Anmerkung    : Immer wenn dieses Virus im Speicher steht und 
2989.                während des `Bootens` auf den Schreibschutz auf der einge-
2990.                legten Diskette trifft, gibt es folgenden Text auf blauem
2991.                Hintergrund aus : `Butonic 1.1 Greetings to Hackmack` !
2992.  
2993.  
2994.  
2995.         
2996. Name         : `Byte Bandit`
2997.  
2998. Resetvektoren: KickTagPtr *
2999.                KickCheckSum *
3000. Interrupts   : keine.
3001. Bibliotheks-
3002. funktions-
3003. vektoren     : BeginIO ()
3004. Schäden      : mir sind keine bekannt !
3005. Anmerkung    : keine.
3006.  
3007.  
3008.  
3009.  
3010. Name         : `Byte Bandit +`
3011.  
3012. Resetvektoren: KickTagPtr *
3013.                KickCheckSum *
3014. Interrupts   : keine.
3015. Bibliotheks-
3016. funktions-
3017. vektoren     : BeginIO ()
3018. Schäden      : Dieses neue `Byte Bandit`-Virus belegt sinnlos Speicherbereich,
3019.                so daß größere Programme nicht laufen.
3020. Anmerkung    : keine.
3021.  
3022.  
3023.  
3024.  
3025. Name         : `Byte Bandit 2`
3026.  
3027. Resetvektoren: KickTagPtr *
3028.                KickCheckSum *
3029. Interrupts   : keine.
3030. Bibliotheks-
3031. funktions-
3032. vektoren     : BeginIO ()
3033. Schäden      : Mir sind keine Schäden zu diesem Virus bekannt.
3034. Anmerkung    : Merkwürdigerweise ruft dieses `Byte Bandit`-Virus gleich zweimal
3035.                die `dos.library` auf !
3036.                
3037.  
3038.  
3039. Name         : `Byte Bandit turbo`
3040.  
3041. Resetvektoren: KickTagPtr *
3042.                KickCheckSum *
3043. Interrupts   : keine.
3044. Bibliotheks-
3045. funktions-
3046. vektoren     : BeginIO ()
3047. Schäden      : Zu diesem Virus sind mir keine Schäden bekannt !
3048. Anmerkung    : Dieses `Byte Bandit`-Virus ist kürzer als alle anderen
3049.                `Byte Bandit`-Viren, was darauf schließen läßt, daß einige
3050.                Routinen entfernt worden sind ( möglicherweise der `Copy-Counter )
3051.                .
3052.                Auf der Diskette, die mir Michael Flühler ( Knobelstr. 13, CH-
3053.                8855 Wangen ) zugesandt hatte, war dieses Virus als `Turbo-
3054.                Bootblock` getarnt !
3055.                Daher der Name.
3056.                Allerdings wird der Zusatz `turbo` nicht weiterkopiert.
3057.                
3058.  
3059. Name         : `Byte Voyager`
3060.  
3061. Resetvektoren: KickTagPtr *
3062.                KickCheckSum *
3063. Interrupts   : Interrupt 3
3064. Bibliotheks-
3065. funktions-
3066. vektoren     : DoIO ()
3067. Schäden      : Dieses `Bootblock`-Virus zerstört Disketten, indem es in
3068.                Block 880 schreibt: `Infected by BYTE VOYAGER !!!!!!` !
3069. Anmerkung    : keine.
3070.  
3071.  
3072.  
3073. Name         : `Byte Voyager II`
3074.  
3075. Resetvektoren: KickTagPtr *
3076.                KickCheckSum *
3077. Interrupts   : Interrupt 3
3078. Bibliotheks-
3079. funktions-
3080. vektoren     : DoIO ()
3081. Schäden      : Auch das `Byte Voyager`-Virus II zerstört Disketten dadurch, daß
3082.                es in Block 880 schreibt: `Another Virus by Byte Voyager` !
3083. Anmerkung    : keine.
3084.  
3085.  
3086.  
3087. Name         : `Byte Warrior`
3088.  
3089. Resetvektoren: KickTagPtr *
3090.                KickCheckSum *
3091. Interrupts   : keine.
3092. Bibliotheks-
3093. funktions-
3094. vektoren     : DoIO ()
3095. Schäden      : keine.
3096. Anmerkung    : Das `Byte Warrior`-Virus funktioniert, wegen eines festen ROM-
3097.                Rücksprunges aus der `DoIO`-Routine, nur noch unter `KickStart 1.2` !
3098.  
3099.  
3100.  
3101.  
3102. Name         : `CCCP`
3103.  
3104. Resetvektoren: CoolCapture *
3105. Interrupts   : Interrupt 3 - überwacht CoolCapture *
3106. Bibliotheks-
3107. funktions-
3108. vektoren     : OpenLibrary () (RESET) - schreibt `Link`
3109.                DOIO () (RESET) - schreibt `Bootblock` 
3110.                OpenWindow () (RESET) - schreibt `Link`
3111. Schäden      : Mir sind keine Schäden bekannt !
3112. Anmerkung    : Das `CCCP`-Virus ist das erste Virus, welches sich gleichzeitig
3113.                als `Bootblock`- und `Linkvirus` weiterkopieren kann !
3114.                Lesen Sie dazu auch `Anhang A` !
3115.  
3116.  
3117.      
3118. Name         : `CLONK`
3119.  
3120. Resetvektoren: KickMemPtr *
3121.                KickTagPtr *
3122.                KickCheckSum *
3123. Interrupts   : keine.
3124. Bibliotheks-
3125. funktions-
3126. vektoren     : DoIO () 
3127. Schäden      : Dieser `Bootblock`-Viruskiller kopiert sich nach Abfrage über
3128.                jeden `non-standard`-Bootblock !
3129. Anmerkung    : Das `CLONK`-Virus wird von den älteren Versionen von `AntiCicloVir`
3130.                mit den Viren der Gruppe `BGS9 I/II/Terrorists` verwechselt.
3131.                `VirusX 4.00` verwechselt `CLONK` mit dem `Disk-Doktors`-Virus.
3132.                
3133.  
3134.  
3135. Name         : `Coders Nightmare`
3136.  
3137. Resetvektoren: KickTagPtr *
3138.                KickCheckSum *
3139. Interrupts   : $68
3140. Bibliotheks-
3141. funktions-
3142. vektoren     : DoIO ()
3143. Schäden      : Dieses `Bootblock`-Virus simuliert einen Viruskiller !
3144. Anmerkung    : keine.
3145.  
3146.  
3147.  
3148.  
3149. Name         : `DAG`
3150.  
3151. Resetvektoren: CoolCapture *
3152. Interrupts   : keine.
3153. Bibliotheks-
3154. funktions-
3155. vektoren     : DoIO ()
3156. Schäden      : keine.
3157. Anmerkung    : Hier war mal wieder einer ganz fleißig gewesen und hat es
3158.                geschaft, einen Teil des ASCII-Textes aus dem `SCA`-Virus
3159.                gegen `Try ANTIVIRUS from DAG` auszutauschen !
3160.                Da der restliche Teil des ASCII-Textes noch dem des `SCA`-
3161.                Viruses entspricht, wird es von älteren `AntiCicloVir`-Versionen
3162.                mit dem `SCA`-Virus verwechselt !
3163.                Das `DAG`-Bootblock-Virus wird vom `DAG Creator` ( siehe Anhang A)
3164.                in `DF1:` erzeugt !
3165.  
3166.  
3167.  
3168. Name         : `DAT`89`
3169.  
3170. Resetvektoren: KickTagPtr *
3171.                KickCheckSum *
3172. Interrupts   : keine.
3173. Bibliotheks-
3174. funktions-
3175. vektoren     : DoIO ()
3176. Schäden      : Dieses `Bootblock`-Virus simuliert einen Viruskiller !
3177.                Doch in Wahrheit zerstört es die `Root`-Blöcke von Disketten,
3178.                wodurch diese unlesbar werden und sämtliche Daten verloren
3179.                gehen !
3180. Anmerkung    : Es steht immer ab $7F800 im Speicher und funktioniert nur noch
3181.                unter `KickStart 1.2` !
3182.  
3183.  
3184.  
3185. Name         : `Destructor V1.2`
3186.  
3187. Resetvektoren: ColdCapture *
3188. Interrupts   : keine.
3189. Bibliotheks-
3190. funktions-
3191. vektoren     : keine.
3192. Schäden      : Dieses Virus überschreibt nach dem ersten Reset jeden vierten
3193.                Track und zerstörten so Disketten !
3194. Anmerkung    : Das `Destructor V1.2`-Virus kann sich selbst nicht weiterkopieren.
3195.                
3196.  
3197.  
3198.  
3199. Name         : `Digital Emotions`
3200.  
3201. Resetvektoren: CoolCapture *
3202. Interrupts   : keine.
3203. Bibliotheks-
3204. funktions-
3205. vektoren     : DoIO () (RESET)
3206. Schäden      : Dieses `Bootblock`-Virus überschreibt manchmal Track 0 mit
3207.                dem Wort `Virus` und kann so `Read/Write Errors` verursachen.
3208. Anmerkung    : keine.
3209.  
3210.  
3211.  
3212.  
3213. Name         : `Disk-Doktors`
3214.  
3215. Resetvektoren: ColdCapture *
3216.                CoolCapture *
3217.                WarmCapture *
3218. Interrupts   : ???
3219. Bibliotheks-
3220. funktions-
3221. vektoren     : DoIO ()
3222. Schäden      : Dieses `Bootblock`-Virus kopiert einige Daten aus der `ExecBase`-
3223.                Struktur in den Speicher und verbraucht so sinnlos Speicher-
3224.                kapazität  !
3225.                Es zerstört nach einiger Zeit Disketten, indem es den `Rootblock`
3226.                ( Zylinder 40 ) formatiert !
3227. Anmerkung    : Das `Disk-Doktors`-Virus gehört zu einer ganz neuen Generation
3228.                von `Bootblock`-Viren !
3229.                Die `Capture`-Vektoren zeigen auf Adressen im Speicher, die
3230.                nicht identisch sind mit der Adresse des Maschinensprachekodex
3231.                , welcher an viel höherer Stelle im Speicher steht !
3232.                Das `Disk-Doktors`-Virus funktioniert nur unter `KickStart 1.2`.
3233.  
3234.  
3235. Name         : `Disk-Herpes`
3236.  
3237. Resetvektoren: CoolCapture *
3238. Interrupts   : keine.
3239. Bibliotheks-
3240. funktions-
3241. vektoren     : DoIO () (RESET)
3242. Schäden      : Das `Disk-Herpes`-Virus überschreibt manchmal den `Root`-Block
3243.                mit dem Speicherinhalt ab $60000 und kann dadurch ganze 
3244.                Disketten zerstören !
3245. Anmerkung    : Das `Disk-Herpes`-Virus steht immer ab $7EC00 im Speicher !
3246.                Viele bekannte Viruskiller verwechseln `Disk-Herpes` übrigens
3247.                im Speicher und im `Bootblock` mit dem `Phantasnumble`-Virus !
3248.  
3249.  
3250.  
3251.  
3252. Name         : `Diskguard V1.0`
3253.  
3254. Resetvektoren: CoolCapture *
3255. Interrupts   : ???
3256. Bibliotheks-
3257. funktions-
3258. vektoren     : DoIO () (RESET)
3259. Schäden      : Dieses Programm ist ein `Bootblock`-Viruskiller und kopiert sich
3260.                selbst nach Abfrage auf `non-standard` Bootblöcke !
3261. Anmerkung    :keine.
3262.  
3263.  
3264.  
3265. Name         : `Divina Exterminator I`
3266.  
3267. Resetvektoren: CoolCapture *
3268. Interrupts   : $64
3269. Bibliotheks-
3270. funktions-
3271. vektoren     : DoIO ()
3272. Schäden      : Nach drei Vermehrungen wird die `K`-Taste abgefragt und bis
3273.                zur zehnten in einer Zählstelle abgelegt.
3274.                Danach wird in die Adresse der `ExecBase`-Struktur eine Null
3275.                geschrieben, was einige Zeit darauf zu einem Systemabsturz
3276.                führen dürfte !
3277. Anmerkung    : Dieses Virus überschreibt die `SetPatch`-Liste ab $C0, was
3278.                für `KickStart V1.3`-Benutzer wichtig sein dürfte.
3279.                Es ist außerdem in der Lage den Original-`Bootblock` vorzu-
3280.                täuschen !!!
3281.                
3282.  
3283.  
3284.  
3285. Name         : `Dotty`
3286.  
3287. Resetvektoren: KickTagPtr *
3288.                KickCheckSum *
3289. Interrupts   : keine.
3290. Bibliotheks-
3291. funktions-
3292. vektoren     : DoIO ()
3293. Schäden      : Dieses Virus soll die `PRIVAT - intuition -struktur` erweitern.
3294. Anmerkung    : keine.
3295.  
3296.  
3297.  
3298.  
3299. Name         : `DUMDUM`
3300.  
3301. Resetvektoren: CoolCapture *
3302. Interrupts   : $64
3303. Bibliotheks-
3304. funktions-
3305. vektoren     : DoIO ()
3306. Schäden      : Mit diesem `Bootblock`-Virus können Sie Ihre Disketten
3307.                formatieren !!!
3308. Anmerkung    : keine.
3309.  
3310.  
3311.  
3312.            
3313. Name         : `Extreme`
3314.  
3315. Resetvektoren: KickTagPtr *
3316.                KickCheckSum *
3317. Interrupts   : RasterBeam - überwacht KickTagPtr * aber NICHT KickCheckSum * !
3318. Bibliotheks-
3319. funktions-
3320. vektoren     : DoIO ()
3321. Schäden      :Dieses Virus tarnt sich als Viruskiller und löscht Viren von
3322.               allen Disketten indem es sie zerstört ! (Auch `ne Möglichkeit
3323.               Viren loszuwerden ...)
3324. Anmerkung    : Das `Extreme`-Virus steht gleichzeitig ab $ 7F800 und ab
3325.                $ FF800 im Speicher !
3326.                
3327.  
3328.  
3329.  
3330. Name         : `F.A.S.T.`
3331.  
3332. Resetvektoren: CoolCapture *
3333. Interrupts   : keine.
3334. Bibliotheks-
3335. funktions-
3336. vektoren     : DoIO ()
3337.                FreeMem ()
3338. Schäden      : Mir sind keine Schäden bekannt.
3339. Anmerkung    : Dieses Virus stammt von der `Federation against Software-
3340.                Piracy` und ist offenbar wohl nur gegen Raubkopierer gerichtet.
3341.                Jedenfalls hat es sich auf meinen Disketten ( `Workbench-Diskette` )
3342.                nicht weiter kopieren können !
3343.                
3344.  
3345.  
3346.  
3347. Name         : `F.I.C.A.`
3348.  
3349. Resetvektoren: KickTagPtr
3350.                KickCheckSum
3351. Interrupts   : keine.
3352. Bibliotheks-
3353. funktions-
3354. vektoren     : BeginIO ()
3355.                SumKickData () - überwacht `Kick`-Vektoren
3356. Schäden      : ... wohl keine, da es `nur` gegen `QUARTEX` und nicht gegen
3357.                uns Anwender gerichtet ist !
3358. Anmerkung    : Dieses `Bootblock`-Virus ist übrigens auch in der Lage auf den
3359.                Disketten einen `Standard Bootblock` vorzutäuschen, wenn es
3360.                im Speicher steht.
3361.                
3362.  
3363.  
3364.  
3365. Name         : `Forpib`
3366.  
3367. Resetvektoren: KickTagPtr *
3368.                KickCheckSum *
3369. Interrupts   : keine.
3370. Bibliotheks-
3371. funktions-
3372. vektoren     : BeginIO ()
3373. Schäden      : Mir sind keine bekannt.
3374. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des
3375.                `Byte Bandit`-Viruses und es wird auch genauso wie dieses
3376.                gelöscht !
3377.  
3378.  
3379.  
3380. Name         : `Frity`
3381.  
3382. Resetvektoren: KickTagPtr *
3383.                KickCheckSum *
3384. Interrupts   : keine.
3385. Bibliotheks-
3386. funktions-
3387. vektoren     : BeginIO ()
3388. Schäden      : Mir sind keine bekannt.
3389. Anmerkung    : Genauso wie `Forpib`, bloß anderer Name.
3390.  
3391.  
3392.  
3393.  
3394.    
3395. Name         : `Gadaffi`
3396.  
3397. Resetvektoren: CoolCapture *
3398.                KickTagPtr *
3399.                KickCheckSum *
3400. Interrupts   : keine.
3401. Bibliotheks-
3402. funktions-
3403. vektoren     : DoIO ()
3404. Schäden      : `foltert` und `quält` Ihr Laufwerk ... ich hatte an meinem
3405.                internen Laufwerk schon `mal Hardware-Schäden gehabt !
3406. Anmerkung    : Wegen einer festen Rücksprungadresse aus der `DoIO`-Routine
3407.                zum ROM funktioniert dieses Virus nur unter `KickStart 1.2` !
3408.  
3409.  
3410.  
3411.  
3412. Name         : `Glasnost`
3413.  
3414. Resetvektoren: KickTagPtr
3415.                KickCheckSum
3416. Interrupts   : ???
3417. Bibliotheks-
3418. funktions-
3419. vektoren     : DoIO ()
3420. Schäden      : Das `Glasnost`-Virus blockiert nach 15 bis 20 Minuten den
3421.                Amiga und schreibt einen 4(!) Block großen `Bootblock` !
3422.                Dabei werden Programme, die in Block 2 & 3 abgespeichert
3423.                worden sind, zerstört !!!
3424.                Danach sucht sich das Virus einen Datenblock von der Diskette
3425.                aus und schreibt in diesen vier Langworte.
3426.                Programme, in denen ein solcher Datenblock enthalten war, werden
3427.                zerstört !!!
3428. Anmerkung    : Da ich das `Glasnost`-Virus bisher noch nicht testen konnte,
3429.                kann `AntiCicloVir` es nur im Speicher anzeigen, aber nicht
3430.                löschen !
3431.  
3432.  
3433.  
3434.  
3435. Name         : `Graffiti`
3436.  
3437. Resetvektoren: CoolCapture *
3438. Interrupts   : keine.
3439. Bibliotheks-
3440. funktions-
3441. vektoren     : DoIO () (RESET)
3442. Anmerkung    : Dieses Virus soll 3D-Grafiken erzeugen können.
3443.                `VirusX 4.00` verwechselt es im Speicher mit dem `16 BIT-Crew`-
3444.                Virus !
3445.  
3446.  
3447. Name         : `Gremlin`
3448.  
3449. Resetvektoren: CoolCapture *
3450. Interrupts   : keine
3451. Bibliotheks-
3452. funktions-
3453. vektoren     : DoIO ()
3454.                SumKickData () - überwacht CoolCapture *
3455. Schäden      : keine.
3456. Anmerkung    : keine.
3457.  
3458.  
3459.  
3460. Name         : `GX.Team`
3461.  
3462. Resetvektoren: CoolCapture *
3463.                KickTagPtr *
3464.                KickCheckSum *
3465. Interrupts   : keine.
3466. Bibliotheks-
3467. funktions-
3468. vektoren     : DoIO ()
3469. Schäden      : Richtet keine Schäden an.
3470. Anmerkung    : Dieses Virus funktioniert, wegen eines direkten ROM-Einsprunges
3471.                in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
3472.                
3473.  
3474.  
3475.  
3476. Name         : `H.C.S.`
3477.  
3478. Resetvektoren: CoolCapture *
3479. Interrupts   : ???
3480. Bibliotheks-
3481. funktions-
3482. vektoren     : DoIO () (RESET)
3483. Schäden      : keine
3484. Anmerkung    : Dieses Virus fällt durch das ständige und nervige Geblinke
3485.                der `Power`-LED auf. `AntiCicloVir` löscht auch diese
3486.                Routine !
3487.  
3488.  
3489.  
3490. Name         : `H.C.S. II`
3491.  
3492. Resetvektoren: CoolCapture *
3493. Interrupts   : ???
3494. Bibliotheks-
3495. funktions-
3496. vektoren     : DoIO () (RESET)
3497. Schäden      : keine.
3498. Anmerkung    : Dieses Virus soll so eine Art `Antivirus` sein und erkennt
3499.                einige andere `Bootblock`-Viren: `SCA`,`Byte Warrior`,`North
3500.                Star I+II`,`SYSTEMZ`,`BlizzPro`, etc ...
3501.                Außer daß die `Power-LED` nun schneller blinkt und evtl.
3502.                einige `Bootblock`-Viren mehr erkannt werden, hat sich sonst
3503.                nicht viel geändert.
3504.                Wenn `AntiCicloVir` versucht die `Power-LED` wieder normal
3505.                einzuschalten, dann kann dies mit einiger Verzögerung ein-
3506.                treten.
3507.  
3508.  
3509.  
3510. Name         : `Hilly`
3511.  
3512. Resetvektoren: KickTagPtr *
3513.                KickCheckSum *
3514. Interrupts   : keine.
3515. Bibliotheks-
3516. funktions-
3517. vektoren     : DoIO ()
3518. Schäden      : mögliche Schreibzugriffe auf die Festplatte ???
3519. Anmerkung    : Dieses Virus funktioniert, wegen eines direkten ROM-Einsprunges
3520.                in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
3521.                Das `Hilly`-Virus sucht auch nach bestimmten `KickStart`-
3522.                Versionen und installiert sich nicht, falls diese vorhanden
3523.                sind.
3524.  
3525.  
3526.  
3527.  
3528. Name         : `HODEN V33.17`
3529.  
3530. Resetvektoren: KickTagPtr *
3531.                KickCheckSum *
3532. Interrupts   : keine.
3533. Bibliotheks-
3534. funktions-
3535. vektoren     : DoIO ()
3536. Schäden      : keine.
3537. Anmerkung    : Auch dieses Virus funktioniert, wegen eines direkten Einsprunges
3538.                in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
3539.                
3540.  
3541.  
3542.  
3543. Name         : `ICE`
3544.  
3545. Resetvektoren: CoolCapture *
3546. Interrupts   : keine.
3547. Bibliotheks-
3548. funktions-
3549. vektoren     : DoIO () (RESET)
3550. Schäden      : keine.
3551. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgewechselt.
3552.  
3553.  
3554.  
3555.  
3556. Name         : `Incognito`
3557.  
3558. Resetvektoren: KickMemPtr * 
3559.                KickTagPtr *
3560.                KickCheckSum *
3561. Interrupts   : keine.
3562. Bibliotheks-
3563. funktions-
3564. vektoren     : DoIO ()
3565. Schäden      : keine.
3566. Anmerkung    : Das `Incognito`-Virus funktioniert, wegen eines direkten Ein-
3567.                sprunges in die `DoIO`-Routine, nur noch unter `KickStart V1.2`.
3568.                Dieses Virus soll am Ende des `Bootblockes` Tabellen abspeichern,
3569.                die sich je nach Speicherlage und Konfiguration des Amigas
3570.                ändern.
3571.                Wenn das Virus `gebootet` wird, werden die Tabellen erneuert.
3572.                Bei meinem Amiga hat sich das `Incognito`-Virus nicht weiter-
3573.                kopiert.
3574.                Die Versionen 1.0 - 1.2 von `AntiCicloVir` verwechseln es mit
3575.                den Viren der Gruppe `BGS9 I/II/Terrorists` !
3576.  
3577.  
3578.  
3579.  
3580. Name         : `Inger IQ`
3581.  
3582. Resetvektoren: KickTagPtr *
3583.                KickCheckSum *
3584. Interrupts   : keine.
3585. Bibliotheks-
3586. funktions-
3587. vektoren     : BeginIO ()
3588. Schäden      : Mir sind keine bekannt.
3589. Anmerkung    : Bei diesem `Byte Bandit`-Mutanten wurde nur der Text geändert.
3590.                Er wird genauso gelöscht wie `Byte Bandit` selbst !
3591.  
3592.  
3593.  
3594. Name         : `Ingo`
3595. Resetvektoren: KickTagPtr *
3596.                KickCheckSum *
3597. Interrupts   : keine.
3598. Bibliotheks-
3599. funktions-
3600. vektoren     : DoIO ()
3601. Schäden      : keine.
3602. Anmerkung    : Bei diesem `Bootblock`-Virus handelt es sich um eine Mutation
3603.                des `L.A.D.S`-Virus, aus dem die Textausgaberoutine entfernt
3604.                und der ASCII-Text geändert worden ist !
3605.  
3606.  
3607.  
3608.  
3609. Name         : `JITR`
3610.  
3611. Resetvektoren: CoolCapture *
3612. Interrupts   : keine.
3613. Bibliotheks-
3614. funktions-
3615. vektoren     : DoIO ()
3616. Schäden      : keine.
3617. Anmerkung    : keine.
3618.  
3619.  
3620.  
3621.  
3622. Name         : `Joshua`
3623.  
3624. Resetvektoren: KickMemPtr *
3625.                KickTagPtr *
3626.                KickCheckSum *
3627. Interrupts   : ?
3628. Bibliotheks-
3629. funktions-
3630. vektoren     : BeginIO ()
3631. Schäden      : keine Schäden.
3632. Anmerkung    : Dieses Virus erzeugt über eine Grafik-Routine einen senkrecht
3633.                stehenden Text.
3634.                ACHTUNG !!!
3635.                Die Versionen 1.0 - 1.2 von `AntiCicloVir` verwechseln das
3636.                `Joshua`-Virus mit den Viren der Gruppe `BGS 9 I/II/Terrorists` !
3637.  
3638.  
3639.  
3640.  
3641. Name         : `Joshua 2`
3642.  
3643. Resetvektoren: ColdCapture *
3644. Interrupts   : keine.
3645. Bibliotheks-
3646. funktions-
3647. vektoren     : BeginIO ()
3648. Schäden      : keine Schäden.
3649. Anmerkung    : keine.
3650.  
3651.  
3652.  
3653. Name         : `Julie`
3654.  
3655. Resetvektoren: CoolCapture *
3656. Interrupts   : $20
3657. Bibliotheks-
3658. funktions-
3659. vektoren     : DoIO ()
3660.                BeginIO ()
3661. Schäden      : keine.
3662. Anmerkung    : keine.
3663.  
3664.  
3665.  
3666.  
3667. Name         : `Kauki`
3668.  
3669. Resetvektoren: CoolCapture *
3670. Interrupts   : $80 (RESET)
3671.                $84 (RESET)
3672.                $88 (RESET)
3673. Bibliotheks-
3674. funktions-
3675. vektoren     : DoIO ()
3676. Schäden      : keine.
3677. Anmerkung    : Dieses Virus erzeugt beim `Booten` ein `Chopper-Intro`.
3678.  
3679.  
3680.  
3681.  
3682. Name         : `Kefrens`
3683.  
3684. Resetvektoren: CoolCapture *
3685. Interrupts   : keine.
3686. Bibliotheks-
3687. funktions-
3688. vektoren     : DoIO () (RESET)
3689. Schäden      : keine.
3690. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgetauscht.
3691.  
3692.  
3693.  
3694. Name         : `L.A.D.S`
3695. Resetvektoren: KickTagPtr *
3696.                KickCheckSum *
3697. Interrupts   : keine.
3698. Bibliotheks-
3699. funktions-
3700. vektoren     : DoIO ()
3701. Schäden      : keine.
3702. Anmerkung    : Dieses Programm tarnt sich selbst als `virus-hunter`, obwohl
3703.                es selbst ein Virus ist !
3704.                Beim `Booten` gibt es einen `Alert` aus :
3705.                `            L.A.D.S virus hunter
3706.  
3707.                                no virus in memory
3708.  
3709.                              Press any mousebutton    `
3710.                Tatsächlich findet jedoch kein Virus-Test statt !!!
3711.                Dafür kopiert sich aber nun `L.A.D.S` selbst als Virus
3712.                weiter !
3713.                
3714.  
3715.  
3716.  
3717. Name         : `LAMER Exterminator (alt)`
3718.  
3719. Resetvektoren: KickTagPtr *
3720.                KickCheckSum *
3721. Interrupts   : keine.
3722. Bibliotheks-
3723. funktions-
3724. vektoren     : BeginIO ()
3725.                SumKickData () - überwacht `Kick`-Vektoren
3726. Schäden      : Das  alte `LAMER Exterminator`-Virus beginnt nach einigen
3727.                `Rebootes` damit, in einige Datenblöcke das Wort `Lamer` zu
3728.                 schreiben, wodurch `read/write errors` entstehen.
3729. Anmerkung    : Das alte `LAMER Exterminator`-Virus kann von `AntiCicloVir`
3730.                nicht zu 100 % gelöscht werden.
3731.                Dieses Virus wurde beim Testen übrigens NICHT von `VirusX 4.00`
3732.                im Speicher erkannt !
3733.  
3734.                Grundsätzliches über `LAMER`-Exterminator-Viren:
3735.  
3736.                Bevor ich die nächsten `LAMER Exterminator`-Viren dokumentiere,
3737.                möchte ich noch auf einige Fakten hinweisen, die für alle
3738.                `LAMER Exterminator`-Viren gelten !
3739.                Um den `Sinn` der `LAMER Exterminations` zu verstehen, sollten
3740.                Sie das Kapitel `Revenge Of The LAMER Exterminator` aus dem
3741.                `Anhang A` lesen !
3742.                Die `LAMER Exterminator`-Viren waren die ersten auf dem Amiga,
3743.                die die Gefahren eines unzulässigen Virenschutzes am anschaulichsten
3744.                darstellten ...
3745.                Sie sind praktisch jedem Amiga-Besitzer bekannt !
3746.                Auf infizierten Disketten erzeugen sie oft `key checksum errors`.
3747.                Stehen sie erst einmal im Speicher, dann sind sie auch in der
3748.                Lage, auf infizierten Disketten Standard-`Bootblöcke` vorzu-
3749.                täuschen.
3750.                Außerdem wechseln sie ständig ihr Aussehen, so daß sie in jedem
3751.                `Bootblock` anders erscheinen, was mit der Verschlüsselungs-
3752.                routine bewirkt wird.
3753.  
3754.  
3755.  
3756.  
3757. Name         : `LAMER Exterminator I`
3758.  
3759. Resetvektoren: KickTagPtr *
3760.                KickCheckSum *               
3761. Interrupts   : keine.
3762. Bibliotheks-
3763. funktions-
3764. vektoren     : BeginIO ()
3765.                SumKickData () - überwacht `Kick`-Vektoren
3766. Schäden      : Das `LAMER Exterminator`-Virus I zerstört einzelne Datenblöcke,
3767.                indem es sie mit dem Wort `LAMER` überschreibt !
3768. Anmerkung    : Weiteres können Sie unter `LAMER Exterminator (alt)` lesen !
3769.                Dieses Virus wurde von `VirusX 4.00` ebenfalls nicht im
3770.                Speicher erkannt !
3771.  
3772.  
3773.  
3774.       
3775. Name         : `LAMER Exterminator II`
3776.  
3777. Resetvektoren: KickTagPtr *
3778.                KickCheckSum *
3779. Interrupts   : keine
3780. Bibliotheks-
3781. funktions-
3782. vektoren     : BeginIO ()
3783.                SumKickData () - überwacht `Kick`-Vektoren 
3784. Schäden      : Dieses Virus zerstört ebenfalls Disketten, indem es das Wort
3785.                `LAMER` in einige Datenblöcke schreibt und dadurch `read/write
3786.                errors` hervorruft !
3787. Anmerkung    : Beim Testen mit `VirusX 4.00` wurde dieses Virus ebenfalls nicht
3788.                erkannt !
3789.                Weiteres können Sie unter `LAMER Exterminator (alt)` lesen.
3790.  
3791.  
3792.  
3793.  
3794.  
3795. Name         : `LAMER Exterminator III`
3796.  
3797. Resetvektoren: KickTagPtr *
3798.                KickCheckSum *
3799. Interrupts    : keine.
3800. Bibliotheks-
3801. funktions-
3802. vektoren     : BeginIO ()
3803.                SumKickData () - überwacht `Kick`-Vektoren
3804. Schäden      : Das Virus `LAMER Exterminator III` verschiebt den Original-
3805.                `Bootblock` in die Blöcke 2 & 3 und kann dadurch ein Programm,
3806.                welches aus diesen Datenblöcken bestand, zerstören.
3807.                Beim `Booten` startet das Virus anschließend den echten
3808.                `Bootblock` und versucht so, eine `saubere` Disk vorzutäuschen.
3809. Anmerkung    : `AntiCicloVir` kann leider das alte `LAMER Exterminator`- und
3810.                das `LAMER Exterminator`-Virus III nicht auseinanderhalten !
3811.                Das `LAMER Exterminator`-Virus III wurde von `VirusX 4.00` nicht
3812.                erkannt !
3813.                Weiteres können Sie unter `LAMER Exterminator (alt)` lesen.
3814.          
3815.  
3816.  
3817.  
3818. Name         : `LAMER Exterminator IV`
3819.  
3820. Resetvektoren: KickTagPtr *
3821.                KickCheckSum *
3822. Interrupts    : keine.
3823. Bibliotheks-
3824. funktions-
3825. vektoren      : BeginIO ()
3826.                 SumKickData () - überwacht `Kick`-Vektoren
3827. Schäden      : Das `LAMER Exterminator`-Virus IV überschreibt einen Datenblock
3828.                85 * mit dem Wort `LAMER` und zerstört so Programme !
3829. Anmerkung    : Weiteres zu den `LAMER Exterminator`-Viren können Sie auch
3830.                unter `LAMER Exterminator (alt)` lesen !
3831.                Dieses Virus wurde zwar von `VirusX 4.00` im Speicher als
3832.                `LAMER Exterminator` erkannt, doch kam es leider zu einem
3833.                `Address Error` (GURU) !
3834.  
3835.  
3836.  
3837. Name         : `LAMER Exterminator V`
3838.  
3839. Resetvektoren: KickTagPtr *
3840.                KickCheckSum *
3841. Interrupts   : keine.
3842. Bibliotheks-
3843. funktions-
3844. vektoren     : BeginIO ()
3845.                SumKickData () - überwacht `Kick`-Vektoren
3846. Schäden      : Auch dieses Virus überschreibt einen Datenblock 85 * mit dem
3847.                Wort `LAMER` und richtet damit ähnliche Schäden an, wie
3848.                `LAMER Exterminator IV` !
3849. Anmerkung    : Weitere Informationen über die `LAMER Exterminator`-Viren
3850.                erhalten Sie auch unter `LAMER Exterminator (alt)` !
3851.                Dieses Virus wurde von `VirusX 4.00` nicht erkannt.
3852.                `AntiCicloVir` kann leider die `LAMER Exterminator`-Viren IV & V
3853.                im Speicher nicht voneinander unterscheiden !
3854.  
3855.  
3856.  
3857.  
3858. Name         : `LAMER Exterminator VI`
3859.  
3860. Resetvektoren: KickTagPtr *
3861.                KickCheckSum *
3862. Interrupts   : keine.
3863. Bibliotheks-
3864. funktions-
3865. vektoren     : BeginIO ()
3866.                SumKickData () - überwacht `Kick`-Vektoren
3867. Schäden      : Auch das `LAMER Exterminator`-Virus VI schreibt 85 * das Wort
3868.                `LAMER` in einen Datenblock ...
3869. Anmerkung    : Mehr zum Thema `LAMER Exterminator` finden Sie unter `LAMER
3870.                Exterminator (alt)` in diesem Anhang !
3871.                Das `LAMER Exterminator`-Virus VI überwacht auch noch die
3872.                Vektoren `ColdCapture` und `CoolCapture`.
3873.                `VirusX 4.00` hatte beim Testen dieses Virus mit `Lamer II`
3874.                verwechselt !
3875.  
3876.  
3877.  
3878.  
3879. Name         : `LAMER Exterminator VII`
3880. Resetvektoren: KickTagPtr *
3881.                KickCheckSum *
3882. Interrupts   : keine.
3883. Bibliotheks-
3884. funktions-
3885. vektoren     : BeginIO ( überwacht auch Resident-Vektoren ! )
3886. Schäden      : Das `LAMER`-Exterminator`-Virus VII zerstört Disketten, indem
3887.                es Datenblöcke 85 * mit dem Wort `LAMER!` überschreibt, was
3888.                `Read/Write Error`s hervorruft !
3889. Anmerkung    : Mehr zum Thema `LAMER Exterminator` finden Sie im Kapitel
3890.                `LAMER Exterminator (alt)` !
3891.  
3892.  
3893.  
3894.  
3895. Name         : `LAMER Exterminator VIII`
3896.  
3897. Resetvektoren: KickTagPtr *
3898.                KickCheckSum *
3899. Interrupts   : keine.
3900. Bibliotheks-
3901. funktions-
3902. vektoren     : BeginIO ()
3903.                SumKickData () - überwacht `Kick`-Vektoren
3904. Schäden      : Dieses Virus beinhaltet eine Formatierungsroutine für alle
3905.                Laufwerke und kann so gleich mehrere Disketten zerstören ...
3906. Anmerkung    : Auch an dieser Stelle möchte ich noch einmal auf `LAMER
3907.                Exterminator (alt)` verweisen !
3908.                Dieses Virus wird natürlich erst recht nicht von `VirusX 4.00`
3909.                erkannt !
3910.  
3911.  
3912.  
3913.  
3914. Name         : `Loverboy & Sexmachine`
3915.  
3916. Resetvektoren: CoolCapture *
3917. Interrupts   : keine.
3918. Bibliotheks-
3919. funktions-
3920. vektoren     : DoIO () (RESET)
3921. Schäden      : keine.
3922. Anmerkung    : Bei diesem `16 Bit-Crew`-Mutanten wurde nur der ASCII-Text aus-
3923.                getauscht !
3924.  
3925.  
3926.  
3927.               
3928. Name         : `LSD`
3929.  
3930. Resetvektoren: CoolCapture *
3931. Interrupts   : keine.
3932. Bibliotheks-
3933. funktions-
3934. vektoren     : DoIO () (RESET)
3935. Schäden      : keine
3936. Anmerkung    : Ein weiterer `SCA`-Mutant bei dem nur der Text geändert wurde .
3937.  
3938.  
3939.  
3940. Name         : `MAD`
3941.  
3942. Resetvektoren: keine
3943. Interrupts   : keine.
3944. Bibliotheks-
3945. funktions-
3946. vektoren     : BeginIO ()
3947. Schäden      : mir sind keine bekannt ...
3948. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des
3949.                `Byte Bandit`-Virus !
3950.                Außer das der Text geändert wurde, ist dieses Virus nun auch
3951.                nicht mehr resetfest.
3952.                
3953.  
3954.  
3955. Name         : `MAD II`
3956.  
3957. Resetvektoren: WarmCapture *
3958.                KickTagPtr *
3959.                KickCheckSum *
3960. Interrupts   : keine.
3961. Bibliotheks-
3962. funktions-
3963. vektoren     : DoIO ()
3964. Schäden      : versucht Kurzschluß auszulösen, durch `patchen` des Wertes im
3965.                Register für die Netzspannungs-Frequenz ( ExecBase ) ???
3966. Anmerkung    : Wegen einer festen Rücksprungadresse zum ROM aus der `DoIO`-
3967.                Routine stürzt auch dieses `Bootblock`-Virus unter allen
3968.                anderen `KickStart`s außer 1.2 ab !
3969.  
3970.  
3971.  
3972.  
3973. Name         : `MEXX`
3974.  
3975. Resetvektoren: CoolCapture *
3976. Interrupts   : keine.
3977. Bibliotheks-
3978. funktions-
3979. vektoren     : DoIO () (RESET)
3980. Schäden      : keine.
3981. Anmerkung    : Auch bei diesem `SCA`-Mutanten wurde nur der ASCII-Text geändert !
3982.  
3983.  
3984.  
3985.  
3986. Name         : `MGM 89`
3987.  
3988. Resetvektoren: CoolCapture *
3989. Interrupts   : keine.
3990. Bibliotheks-
3991. funktions-
3992. vektoren     : DoIO ()
3993. Schäden      : keine.
3994. Anmerkung    : keine.
3995.  
3996.  
3997.  
3998.  
3999. Name         : `Microsystems`
4000.  
4001. Resetvektoren: ColdCapture *
4002.                CoolCapture *
4003. Interrupts   : keine
4004. Bibliotheks-
4005. funktions-
4006. vektoren     : DoIO () (RESET)
4007.                RemTask () (RESET)
4008.                AddTask () (RESET)
4009. Schäden      : keine.
4010. Anmerkung    : Im `Bootblock` hat dieses Virus ziemlich viel Ähnlichkeit mit
4011.                einem `SCA`-Virus und besitzt sogar die selbe `Boot CheckSum` !
4012.                Deshalb wird es von so manch einem Viruskiller mit dem `SCA`-
4013.                Virus verwechselt !!!
4014.                Aber es ist keines und funktioniert im Speicher auch ganz anders.!
4015.                So holt es beispielsweise die Namen für Bibliotheksaufrufe
4016.                direkt aus dem ROM.
4017.  
4018.  
4019.  
4020. Name         : `MOSH`
4021. Resetvektoren: CoolCapture *
4022. Interrupts   : $68
4023. Bibliotheks-
4024. funktions-
4025. vektoren     : keine.
4026. Schäden      : keine.
4027. Anmerkung    : `MOSH` kopiert sich selbst NICHT weiter und erzeugt nur nach dem
4028.                `RESET` ein Grafikdemo !
4029.  
4030.  
4031.  
4032. Name         : `Nasty-Nasty`
4033.  
4034. Resetvektoren: CoolCapture *
4035. Interrupts   : keine.
4036. Bibliotheks-
4037. funktions-
4038. vektoren     : DoIO ()
4039.                Alert ()
4040.                SuperState ()
4041.                UserState ()
4042. Schäden      : Das `Nasty-Nasty`-Virus zerstört nach jeder fünften Kopie
4043.                Disketten !
4044. Anmerkung    : Wegen Direkteinsprünge in einige ROM-Routinen funktioniert es
4045.                nur unter `KickStart V1.2` !
4046.  
4047.  
4048.  
4049.             
4050. Name         : `North Star`
4051.  
4052. Resetvektoren: CoolCapture *
4053. Interrupts   : keine
4054. bibliotheks-
4055. funktions-
4056. vektoren     : DoIO () (RESET)
4057. Schäden      : keine.
4058. Anmerkung    : keine.
4059.  
4060.  
4061.  
4062.  
4063. Name         : `North Star II`
4064.  
4065. Resetvektoren: CoolCapture *
4066. Interrupts   : keine.
4067. Bibliotheks-
4068. funktions-
4069. vektoren     : DoIO () (RESET)
4070. Schäden      : keine.
4071. Anmerkung    : keine.
4072.  
4073.  
4074.  
4075.  
4076. Name         : `Obelisk`
4077.  
4078. Resetvektoren: CoolCapture *
4079. Interrupts   : keine.
4080. Bibliotheks-
4081. funktions-
4082. vektoren     : DoIO ()
4083. Schäden      : Das `Obelisk`-Virus schreibt manchmal das Wort `GURU` nach $60
4084.                und zerstört dadurch den Ausnahmevektor, der in`s ROM ( IR-Ebene 7 )
4085.                weist !
4086. Anmerkung    : Dieses Virus verrät sich sehr leicht durch ein eigenes `Boot-
4087.                Intro` ( Deutschlandflagge + Schrift: `OBELISK SOFTWORKS CREW` )
4088.                , welches es nach jedem Systemstart erzeugt !
4089.  
4090.  
4091.  
4092.  
4093.  
4094. Name         : `Obelisk 2`
4095.  
4096. Resetvektoren: KickTagPtr *
4097.                KickCheckSum *
4098. Interrupts   : keine.
4099. Bibliotheks-
4100. funktions-
4101. vektoren     : BeginIO ()
4102. Schäden      : Eigentlich keine.
4103.                Allerdings ist das Virus in der Lage eine `Disk-Format`-Routine
4104.                vorzutäuschen, bei der jedoch nichts zerstört wird !
4105. Anmerkung    : `VirusX 4.00` zeigt zuerst das `Australian Parasite`-Virus im
4106.                Speicher an und dann `Obelisk 2` !
4107.  
4108.  
4109. Name         : `OPAPA`
4110. Resetvektoren: KickTagPtr *
4111.                KickCheckSum *
4112. Interrupts   : keine.
4113. Bibliotheks-
4114. funktions-
4115. vektoren     : BeginIO ()
4116. Schäden      : Das `OPAPA`-Virus gibt nach einiger Zeit eine Grafik mit folgendem
4117.                Text aus: `... OPAPA-VIRUS READY STEADY FORMAT`.
4118.                Dabei werden die Disketten in allen angeschlossenen Laufwerken
4119.                zerstört !
4120. Anmerkung    : keine.
4121.  
4122.  
4123.  
4124.  
4125. Name         : `PARATAX`
4126.  
4127. Resetvektoren: CoolCapture *
4128. Interrupts   : keine.
4129. Bibliotheks-
4130. funktions-
4131. vektoren     : DoIO () (RESET)
4132. Anmerkung    : Hierbei handelt es sich wieder einmal um einen `SCA`-Mutanten
4133.                mit geändertem ASCII-Text.
4134.  
4135.  
4136.  
4137.  
4138. Name         : `PARATAX II`
4139.  
4140. Resetvektoren: ColdCapture *
4141.                CoolCapture *
4142. Interrupts   : ???
4143. Bibliotheks-
4144. funktions-
4145. vektoren     : DoIO ()
4146. Schäden      : Aus `faulheitstechnischen Gründen` habe ich leider keine Lust
4147.                alles noch einmal aufzuschreiben und verweise Sie deshalb zum
4148.                `DiskDoktors`-Kapitel ...
4149. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des `DiskDoktors`-
4150.                Virus, bei der hauptsächlich der ASCII-Text geändert wurde.
4151.                Neu ist ansonsten noch, daß das Virus nun nicht mehr den
4152.                `WarmCapture`-Vektoren benutzt !
4153.  
4154.  
4155.  
4156.  
4157. Name         : `PARATAX III`
4158.  
4159. Resetvektoren: CoolCapture *
4160. Interrupts   : keine.
4161. Bibliotheks-
4162. funktions-
4163. vektoren     : DoIO () (RESET)
4164. Schäden      : keine.
4165. Anmerkung    : Hier hat sich `mal wieder ein `Lamer` besonders viel Mühe gemacht
4166.                und den `16 Bit-Crew`-Text gegen einen eigenen ausgetauscht, sowie
4167.                50 (!) * in den `Bootblock` `PARATAX` geschrieben ... schön doof.
4168.  
4169.  
4170.  
4171. Name         : `Pentagon-Slayer`
4172.  
4173. Resetvektoren: CoolCapture *
4174. Interrupts   : keine.
4175. Bibliotheks-
4176. funktions-
4177. vektoren     : DoIO () (RESET)
4178. Schäden      : `killt` einige `Bootblock`-Viren.
4179. Anmerkung    : keine.
4180.  
4181.  
4182.  
4183.  
4184. Name         : `Pentagon-Slayer 2`
4185.  
4186. Resetvektoren: CoolCapture *
4187. Interrupts   : keine.
4188. Bibliotheks-
4189. funktions-
4190. vektoren     : DoIO () (RESET)
4191. Schäden      : erkennt und löscht einige bekannte `Bootblock`-Viren.
4192. Anmerkung    : keine.
4193.  
4194.  
4195.  
4196.  
4197. Name         : `Pentagon-Slayer 3`
4198.  
4199. Resetvektoren: CoolCapture *
4200. Interrupts   : keine.
4201. Bibliotheks-
4202. funktions-
4203. vektoren     : DoIO () (RESET)
4204. Schäden      : erkennt und löscht einige bekannte `Bootblock`-Viren
4205. Anmerkung    : keine.
4206.  
4207.  
4208.  
4209. Name         : `Plastique`
4210. Resetvektoren: CoolCapture *
4211. Interrupts   : keine
4212. Bibliotheks-
4213. funktions-
4214. vektoren     : DoIO ()
4215. Schäden      : Sobald eine Zählstelle im Programm den Wert 10 erreicht hat,
4216.                werden einige Vektoren auf ROM-Beginn verbogen, was einen
4217.                Absturz zur Folge hat !
4218. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des `16 Bit-
4219.                Crew`-Viruses !
4220.                Da die `Reset`-Routine und einige andere Programmteile ver-
4221.                schoben worden sind, zeigt der verbogene Vektor DoIO () nicht
4222.                mehr auf die Vermehrungsroutine des Viruses, weshalb es sich
4223.                auch nicht weiterkopieren kann !
4224.  
4225.  
4226.  
4227.  
4228.  
4229. Name         : `Revenge`
4230.  
4231. Resetvektoren: CoolCapture *
4232. Interrupts   : keine.
4233. Bibliotheks-
4234. funktions-
4235. vektoren     : DoIO ()
4236. Schäden      : keine
4237. Anmerkung    : Nach einiger Zeit verändert das Virus Ihren Mauszeiger in ...
4238.                ( ach ja wie schrieb Steve Tibbett doch : `... brings up an
4239.                 obscene pointer ...` )
4240.                Das `Revenge`-Virus steht immer ab $7E000 im Speicher !
4241.  
4242.  
4243.  
4244. Name         : `Revenge Bootloader`
4245.  
4246. Resetvektoren: KickTagPtr *
4247.                KickCheckSum *
4248. Interrupts   : keine.
4249. Bibliotheks-
4250. funktions-
4251. vektoren     : BeginIO ()
4252. Schäden      : keine.
4253. Anmerkung    : Es sind Ähnlichkeiten mit `Byte Bandit` vorhanden, die aber
4254.                nicht auf eine Mutation, sondern wohl eher auf die selbe Quelle
4255.                hindeuten !
4256.  
4257.  
4258.       
4259. Name         : `SACHSEN No. 1`
4260.  
4261. Resetvektoren: CoolCapture *
4262. Interrupts   : keine.
4263. Bibliotheks-
4264. funktions-
4265. vektoren     : DoIO () (RESET)
4266. Schäden      : keine.
4267. Anmerkung    : keine.
4268.  
4269.  
4270.  
4271.  
4272. Name         : `SADDAM HUSSEIN`
4273.  
4274. Resetvektoren: KickTagPtr *
4275.                KickCheckSum *
4276. Interrupts   : Interrupt 3 - Textausgabe
4277. Bibliotheks-
4278. funktions-
4279. vektoren     : DoIO () (RESET)
4280. Schäden      : keine.
4281. Anmerkung    : Das `SADDAM HUSSEIN`-Virus versucht im `Bootblock` durch:
4282.                `A2000 MB Memory Controller V2` zu täuschen !
4283.                ( Siehe auch `Blow Job` ! )
4284.  
4285.  
4286.  
4287.  
4288.  
4289. Name         : `SCA`
4290.  
4291. Resetvektoren: CoolCapture *
4292. Interrupts   : keine.
4293. Bibliotheks-
4294. funktions-
4295. vektoren     : DoIO () (RESET)
4296. Schäden      : natürlich keine.
4297. Anmerkung    : Das `SCA`-Virus war womöglich das erste Virus auf dem Amiga !
4298.                Um so weniger verblüfft auch die Tatsache, daß ein gewisser 
4299.                Prozentsatz aller Neuerscheinungen von `Bootblock`-Viren
4300.                `SCA`-Mutanten sind !
4301.  
4302.  
4303.  
4304.  
4305. Name         : `SCARFACE`
4306.  
4307. Resetvektoren: KickTagPtr *
4308.                KickCheckSum *
4309. Interrupts   : keine.
4310. Bibliotheks-
4311. funktions-
4312. vektoren     : BeginIO ()
4313. Schäden      : keine.
4314. Anmerkung    : keine.
4315.  
4316.  
4317.  
4318.  
4319. Name         : `Sendarion #1`
4320.  
4321. Resetvektoren: CoolCapture *
4322. Interrupts   : keine.
4323. Bibliotheks-
4324. funktions-
4325. vektoren     : DoIO ()
4326. Schäden      : keine.
4327. Anmerkung    : Bei diesem Virus handelt es sich diesmal nicht um einen `SCA`-
4328.                ,sondern `REVENGE`-Mutanten mit geändertem ASCII-Text ...
4329.  
4330.  
4331.  
4332.  
4333. Name         : `Sherlock2.0`
4334.  
4335. Resetvektoren: CoolCapture *
4336. Interrupts   : keine
4337. Bibliotheks-
4338. funktions-
4339. vektoren     : DoIO ()
4340. Schäden      : Das Antivirus `Sherlock2.0` überschreibt nach Abfrage `non-standard`-
4341.                Bootblöcke und ist somit eigentlich kein Virus !
4342. Anmerkung    : Dieses Programm ist ( so glaube ich ) das erste, das einen
4343.                deutschsprachigen ASCII-Text im `Bootblock` beinhaltet.
4344.  
4345.  
4346.  
4347.  
4348. Name         : `SS`
4349.  
4350. Resetvektoren: CoolCapture *
4351. Interrupts   : PORTS
4352.                VERTB
4353. Bibliotheks-
4354. funktions-
4355. vektoren     : keine.
4356. Schäden      : keine.
4357. Anmerkung    : Dieses Virus soll nach einem Reset eine entsprechende Grafik-
4358.                routine ausgeben, die aber wohl nicht unter `KickStart V1.2`,
4359.                sondern erst ab 1.3, funktioniert.
4360.                Das `SS`-Virus kopiert sich nicht weiter.
4361.                Dieses Virus kann nur durch einen Reset sicher gelöscht werden !
4362.  
4363.  
4364.  
4365.  
4366. Name         : `SS II`
4367.  
4368. Resetvektoren: CoolCapture *
4369. Interrupts   : PORTS
4370.                VERTB
4371. Bibliotheks-
4372. funktions-
4373. vektoren     : keine.
4374. Schäden      : keine.
4375. Anmerkung    : Dieses Computervirus funktioniert wohl so ähnlich, wie das erste
4376.                `SS`-Virus und wird auch so gelöscht.
4377.                Statt mit `!SS!` wurde dieser `Bootblock` nun mit `HEIL` ver-
4378.                schlüsselt.
4379.  
4380.  
4381.  
4382.  
4383. Name         : `Supply Team`
4384.  
4385. Resetvektoren: keine.
4386. Interrupts   : keine.
4387. Bibliotheks-
4388. funktions-
4389. vektoren     : keine.
4390. Schäden      : keine
4391. Anmerkung    : Dieses Programm ist eigentlich kein Computervirus !
4392.                Es ist wohl mehr zum Löschen von Viren gedacht, kopiert sich
4393.                nicht weiter und richtet auch keine Schäden an !
4394.                
4395.  
4396.  
4397.  
4398.  
4399. Name         : `Target`
4400.  
4401. Resetvektoren: CoolCapture *
4402. Interrupts   : keine.
4403. Bibliotheks-
4404. funktions-
4405. vektoren     : DoIO () (RESET)
4406. Schäden      : Das `Target`-Virus durchsucht ab Block 880 jede Diskette nach
4407.                einer bestimmten Zeichenfolge ( Diskname ) und schreibt, falls
4408.                es fündig geworden ist, ab Spur 80 Datenmüll auf die Diskette.
4409. Anmerkung    : Das `Target`-Virus wird von `target.install ( Malta )` erzeugt.
4410.  
4411.  
4412.  
4413.  
4414.  
4415. Name         : `Telstar`
4416.  
4417. Resetvektoren: ColdCapture *
4418.                CoolCapture *
4419. Interrupts   : keine.
4420. Bibliotheks-
4421. funktions-
4422. vektoren     : keine.
4423. Schäden      : keine.
4424. Anmerkung    : Das Programm tarnt sich als `Virusprotector V5.0` von Pieter
4425.                van Leuven und erzeugt nach einigen Resets die niederländische
4426.                Flagge + `TelStar`-Text !
4427.  
4428.  
4429.  
4430. Name         : `Termigator`
4431.  
4432. Resetvektoren: CoolCapture *
4433. Interrupts   : keine.
4434. Bibliotheks-
4435. funktions-
4436. vektoren     : DoIO () - kopiert `Bootblock` & überwacht CoolCapture *
4437. Schäden      : Das `Termigator`-Virus stört manchmal den `Boot`-Vorgang, indem
4438.                es verschiedene `GURU-Meditationen` auslöst !
4439.                Ob dies Absicht ist, ist mir nicht bekannt !
4440. Anmerkung    : Wegen absoluter Einsprünge in`s ROM, funktionert es nur unter
4441.                `KickStart V1.2` !
4442.  
4443.  
4444.  
4445.  
4446.  
4447. Name         : `T.F.C. Revenge`
4448.  
4449. Resetvektoren: KickTagPtr *
4450.                KickCheckSum *
4451. Interrupts   : RasterBeam
4452. Bibliotheks-
4453. funktions-
4454. vektoren     : DoIO ()
4455. Schäden      : kann Disketten in allen Laufwerken zerstören, die nicht schreibge-
4456.                schützt sind !
4457. Anmerkung    : Dieses `Bootblock`-Virus wird vom `Filevirus` `T.F.C. Revenge
4458.                LoadWB` erzeugt, welches in `Anhang A` dokumetiert wurde !
4459.                Es steht entweder an der Speicherstelle $7F800 oder bei $FF800.
4460.                
4461.  
4462.  
4463.  
4464. Name         : `TimeBomb`
4465.  
4466. Resetvektoren: keine
4467. interrupts   : keine.
4468. Bibliotheks-
4469. funktions-
4470. vektoren     : keine.
4471. Schäden      : überschreibt manchmal `Track 80` mit Speicherinhalt ab $20000 !
4472.                Dadurch wird die `AmigaDOS`-Disketten-Struktur zerstört !
4473. Anmerkung    : Mir ist nicht bekannt wie sich dieses Virus weiterkopiert und
4474.                mit meinem Amiga hat eine Vervielfachung dieses `Bootblock`-
4475.                Viruses auch nicht geklappt !
4476.                Ich habe aber irgendwo gelesen, daß sich dieses Virus nicht
4477.                über den Speicher weiterkopiert, sondern statt dessen sich
4478.                selbst beim `Booten` von der Diskette im Laufwerk `DF0` nach
4479.                `DF1` ( `Bootblcok` ) kopiert !
4480.  
4481.  
4482.  
4483.  
4484. Name         : `TNK`
4485. Resetvektoren: CoolCapture *
4486. Interrupts   : keine
4487. Bibliotheks-
4488. funktions-
4489. vektoren     : DoIO () (RESET)
4490. Schäden      : keine.
4491. Anmerkung    : ... eine `SCA`-Mutation mit geändertem ASCII-Text.
4492.  
4493.  
4494.  
4495.  
4496. Name         : `Tomates Gentechnic`
4497.  
4498. Resetvektoren: keine.
4499. Interrupts   : keine.
4500. Bibliotheks-
4501. funktions-
4502. vektoren     : keine.
4503. Schäden      : Überschreibt manchmal `Track 80` mit Speicherinhalt ab $20000 !
4504.                Dadurch wird die `AmigaDOS`-Disketten-Struktur zerstört !
4505. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des `TimeBomb`-
4506.                Viruses, wobei nur der ASCII-Text ausgetauscht wurde !
4507.                Lesen Sie also bitte auch `TimeBomb` im selben Anhang !
4508.  
4509.  
4510.  
4511.  
4512. Name         : `TURK V1.3`
4513.  
4514. Resetvektoren: CoolCapture *
4515. Interrupts   : keine.
4516. Bibliotheks-
4517. funktions-
4518. vektoren     : DoIO ()
4519. Schäden      : Das `TURK`-Virus schreibt nach $60 `TURK` in den Speicher !
4520. Anmerkung    : Dieses `Bootblock`-Virus wird vom `Filevirus` `Color` erzeugt
4521.                ( siehe Anhang A ) !
4522.                
4523.  
4524.  
4525.  
4526. Name         : `U.K. Lamer Style`
4527.  
4528. Resetvektoren: KickTagPtr *
4529.                KickCheckSum *
4530. Interrupts    : keine.
4531. Bibliotheks-
4532. funktions-
4533. vektoren     : BeginIO () - schreibt `Bootblock` und überwacht `Kick`-Vektoren
4534. Schäden      : keine.
4535. Anmerkung    : Das `U.K. Lamer Style`-Virus wird von vielen bekannten Virus-
4536.                killern mit dem `Revenge Of The Lamer Exterminator`-Virus
4537.                verwechselt !
4538.                Und in der Tat hat es auch viele Ähnlichkeiten mit diesem
4539.                `Filevirus` ( siehe Anhang A ).
4540.                Das `U.K. Lamer Style`-Virus  benutzt beispielsweise auch die `clist.
4541.                library` und ähnliche Vektoren wie das `R.L.E.`-Virus.
4542.                Es bestehen auch Ähnlichkeiten zu den `LAMER Exterminator`-
4543.                Bootblock-Viren, so daß ich es ebenfalls zur Gruppe dieser
4544.                Viren rechnen würde !
4545.                Doch im Gegensatz zu diesen zerstört es keine Disketten.
4546.                Das `U.K. Lamer Style`-Virus ist in den `Bootblöcken` immer
4547.                kodiert und auch im Speicher bleibt noch der Name `U.K. Lamer
4548.                Style` verschlüsselt.
4549.                Dem Namen nach zu urteilen vermute ich, daß dieses Virus eine
4550.                Art Verspottung bzw. `Narrenkappe` für Anfänger sein soll,
4551.                da `Lamer Style` übersetzt ja so viel bedeutet wie `Anfänger
4552.                Mode/Bekleidung` !
4553.                Dieses Virus enthält auch keine Ausgabetexte !
4554.                
4555.  
4556.  
4557.  
4558. Name         : `Ultrafox`
4559.  
4560. Resetvektoren: CoolCapture *
4561. Interrupts   : keine.
4562. Bibliotheks-
4563. funktions-
4564. vektoren     : DoIO ()
4565. Schäden      : keine.
4566. Anmerkung    : Wegen eines absoluten `DoIO`-ROM-Einsprunges, funktioniert auch
4567.                dieses `Bootblock`-Virus nur noch unter `KickStart V1.2` !
4568.  
4569.  
4570.  
4571.  
4572. Name         : `Virus Slayer V1.0`
4573.  
4574. Resetvektoren: CoolCapture *
4575. Interrupts   : keine.
4576. Bibliotheks-
4577. funktions-
4578. vektoren     : DoIO ()
4579. Schäden      : keine.
4580. Anmerkung    : Dieses Programm ist eigentlich ein Antivirus und richtet sich
4581.                gegen `Bootblock`-Viren !
4582.                Auch hier ist es so, daß wegen absoluter Adressierung bezüglich
4583.                des `DoIO`-Vektoren, ein Weiterarbeiten außerhalb von `KickStart
4584.                V1.2` nicht möglich ist !
4585.                
4586.  
4587.  
4588.  
4589. Name         : `Virus V1`
4590.  
4591. Resetvektoren: CoolCapture *
4592. Interrupts   : keine.
4593. Bibliotheks-
4594. funktions-
4595. vektoren     : DoIO ()
4596. Schäden      : keine.
4597. Anmerkung    : Dieses `Bootblock`-Virus arbeitet auch mit `KickStart V2.04` !
4598.                
4599.  
4600.  
4601.  
4602.  
4603. Name         : `Warhawk`
4604.  
4605. Resetvektoren: CoolCapture *
4606. Interrupts   : keine.
4607. Bibliotheks-
4608. funktions-
4609. vektoren     : DoIO () (RESET)
4610. Schäden      : keine.
4611. Anmerkung    : keine.
4612.  
4613.  
4614.  
4615. Name         : `Z.E.S.T.`
4616.  
4617. Resetvektoren: KickTagPtr *
4618.                KickCheckSum *
4619. Interrupts   : keine.
4620. Bibliotheks-
4621. funktions-
4622. vektoren     : DoIO ()
4623. Schäden      : ... tarnt sich als Viruskiller !
4624. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation von `L.A.D.S`,
4625.                bei der nur der ASCII-Text ausgetauscht wurde.
4626.                Auch diese Mutation tarnt sich als Viruskiller ( siehe L.A.D.S )!
4627.  
4628.  
4629.  
4630. Name         : `ZACCESS V1.0`
4631.  
4632. Resetvektoren: CoolCapture *
4633. Interrupts   : keine.
4634. Bibliotheks-
4635. funktions-
4636. vektoren     : DoIO () (RESET)
4637. Schäden      : keine.
4638. Anmerkung    : Bei diesem Virus handelt es sich wieder einmal um eine `SCA`-
4639.                Mutation mit geändertem ASCII-Text !
4640.  
4641.  
4642.  
4643.  
4644. Name         : `ZACCESS V2.0`
4645.  
4646. Resetvektoren: KickTagPtr *
4647.                KickCheckSum *
4648. Interrupts   : keine.
4649. Bibliotheks-
4650. funktions-
4651. vektoren     : BeginIO ()
4652. Schäden      : mir sind keine bekannt.
4653. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des `Byte Bandit`-
4654.                Viruses, bei der nur der ASCII-Text ausgewechselt wurde und die
4655.                genauso gelöscht wird wie das `Byte Bandit`-Virus selbst !
4656.  
4657.  
4658.  
4659.  
4660. Name         : `ZACCESS V3.0`
4661.  
4662. Resetvektoren: KickTagPtr *
4663.                KickCheckSum *
4664. Interrupts   : RasterBeam
4665. Bibliotheks-
4666. funktions-
4667. vektoren     : DoIO ()
4668. Schäden      : löscht wie `Extreme` Viren, indem es ganze Disketten formatiert.
4669. Anmerkung    : Bei diesem Virus handelt es sich um eine `Extreme`-Mutation mit
4670.                geändertem ASCII-Text !
4671.                Dieses Virus muß wie `Extreme` aus dem Speicher entfernt werden !
4672.  
4673.  
4674.  
4675.  
4676. Name         : `ZLX`
4677.  
4678. Resetvektoren: CoolCapture *
4679. Interrupts   : keine.
4680. Bibliotheks-
4681. funktions-
4682. vektoren     : DoIO () (RESET)
4683. Schäden      : keine.
4684. Anmerkung    : Und nun wieder einmal ein `SCA`-Mutant ...
4685.  
4686.  
4687.  
4688.  
4689.  
4690. Name         : `Zombi I`
4691.  
4692. Resetvektoren: CoolCapture *
4693. Interrupts   : keine.
4694. Bibliotheks-
4695. funktions-
4696. vektoren     : DoIO (RESET)
4697. Schäden      : Das `Zombi`-Virus schreibt den `Root`- & `BitMap`-Block ( `BAM` )
4698.                neu !
4699.                Dabei erhält die Diskette den Namen `Zombi I` !
4700.                Da das Virus den `BitMap`-Block immer nach $371 schreibt, was
4701.                jedoch nicht so bei allen AmigaDOS-Versionen geregelt ist, kann
4702.                eine Datei, die dort steht, zerstört werden !!!
4703.                Außerdem werden alle Hashwerte auf Null gesetzt.
4704.  
4705.  
4706.  
4707.  
4708.                           `Anhang C `
4709.  
4710. In diesem Anhang werden nun alle Resetroutinen & -programme aufgeführt,
4711. die mit absoluter Sicherheit harmlos sind und von `AntiCicloVir` deshalb
4712. im Speicher weder verändert noch gelöscht werden !
4713.  
4714.  
4715. - `ASS Virusprotector V1.0`:
4716.  
4717.   Hierbei dürfte es sich um ein älteres Antivirusprogramm handeln !
4718.   Es steht im `Bootblock` und überwacht die Zeiger CoolCapture * &
4719.   KickTagPtr * !
4720.   Zeigt CoolCapture * nicht auf null, so warnt das Programm Sie vorm
4721.   `SCA`-Virus, zeigt KickTagPtr * nicht auf null vorm `Byte Bandit`-Virus
4722.   und löscht den Zeiger !
4723.   Das Antivirus-Programm `ASS` installiert sich in den Speicher mittels
4724.   des KickTagPtr * & KickCheckSum * und überwacht nun den Zeiger
4725.   CoolCapture * !
4726.  
4727. - `SystemZ V3.0-V6.5`:
4728.  
4729.   Hierbei handelt es sich um Pieter van Leuven`s bekannten `Virusprotector`,
4730.   der schon von Anfang an bei der Virenbekämpfung dabei war !
4731.   Das Programm ist resetfest und erzeugt nach jedem Reset ein audio-visuelles
4732.   Signal - beim `Booten` wird der Bildschirm grün !
4733.   `SystemZ` erkennt mehrere `Bootblock`-Viren im Speicher & auf Diskette
4734.   und kopiert sich nach Abfrage selbst über ein `Bootblock`-Virus !
4735.   Da die Zahl der `Bootblock`-Viren wohl schon 200 überschritten hat und
4736.   im `Bootblock` ( 1024 Bytes ) nur begrenzt Platz ist, dürfte `SystemZ`
4737.   seine Zeit bereits hinter sich haben ...
4738.  
4739.  
4740. - `ALF-2 HD`
4741.  
4742.    Von einem `AntiCicloVir`-Benutzer erhielt ich die Mitteilung, daß mein
4743.    `Linkviruskiller` `ALF-2 HD` im Speicher nicht erkennen würde und es
4744.    deshalb gelöscht würde.
4745.    Ich habe nun eine Routine programmiert, die die `Kick`-Vektoren, auf
4746.    `ALF`-spezifische Adressen überwacht.
4747.    Da ich `ALF-2 HD` selbst nicht besitze konnte ich dies nicht überprüfen !
4748.    Ich habe aber gelesen, daß `ALF-2 HD` nun erkannt werden soll !
4749.  
4750.   
4751.  
4752. Matthias Gutt              
4753. Kantstr.16
4754. W-2120 Lüneburg
4755. Tel.: 04131/49624 ( 20.30 -21.30 Uhr )
4756.  
4757.