home *** CD-ROM | disk | FTP | other *** search

---

/ Amiga Collections: Franz PD / Franz PD Disk #232 (1993)(Rhein-Sieg-Soft).zip / Franz PD Disk #232 (1993)(Rhein-Sieg-Soft).adf / AntiCicloVir_V2.0 / AntiCicloVir.DOK / AntiCicloVir.DOK

Wrap

Text File  |  1993-05-17  |  206KB  |  5,873 lines

---

1.        
2.                     AntiCicloVir V2.0 -Dokumentation
3.             Erstellungsdatum: 01.05.1993
4.  
5.                             C   1992,1993
6.  
7.                                  by
8.  
9.                            Matthias Gutt
10.                             Kantstr.16
11.                           W-2120 Lüneburg
12.                           Tel.:04131/49624
13.                          ( 20.30 - 21.30 Uhr )
14.                            
15.                             Beta-Spreading
16.  
17.                                1992,1993
18.  
19.                                 by
20.  
21.                         Daniel Lars Reuß
22.                          Eschenweg 10
23.                       W-6470 Büdingen-Lorbach
24.                          
25.  
26.                 Beta-Testing
27.  
28.                 1993
29.  
30.                 by
31.  
32.             Juergen Dieterich
33.             Rehhaldenweg 156
34.             W-7060 Schorndorf
35.  
36.  
37.  Inhalt:
38.  
39.  1.0 Nutzungshinweise
40.  
41.  2.0 Funktionen von AntiCicloVir V2.0
42.  
43.  2.1 Speichertest
44.  
45.  2.2 Bootsectortest
46.  
47.  2.3 Disk-Validatortest
48.  
49.  2.4 Dateitest
50.  
51.  3.0 Benutzung des Viruskillers
52.  
53.  4.0 Programminformationen
54.  
55.  5.0 Virus-Definitionen
56.  
57.      1. `Bootblock`-Viren
58.      2. `File`-Viren
59.      3. `Link`-VIren
60.      4. `Disk-Validator`-Viren
61.      5. Trojanische Pferde
62.      6. Bomben
63.  
64.  6.0 Anhang A (Computerviren)
65.  
66.      1. `Revenge of the Lamer Exterminator I+II`
67.      2. `Lamer LoadWB`
68.      3. `Lamer VirusX`
69.      4. `Return Of The Lamer Exterminator`
70.      5. `Amiga Knight`
71.      6. `BGS9 I+II`
72.      7. `Bluebox`
73.      8. `Bret Hawnes`
74.      9. `CCCP`
75.     10. `Color (TURK V1.3)`
76.     11. `CompuPhagozyte 1+2``
77.     12. `CompuPhagozyte II` oder `CompuPhagozyte 3`
78.     13. `CompuPhagozyte III A-C` oder `CompuPhagozyte 4a/b`
79.     14. `CompuPhagozyte IV` oder `CompuPhagozyte 4c`
80.     15. `D-Structure`
81.     16  `Darth Vader 1.1`
82.     17. `Disaster-Master V2`
83.     18. `Disktroyer V1.0`
84.     19. `DiskVal1234
85.     20. `Golden Rider`
86.     21. `Gotcha Lamer`   
87.     22. `Hochofen`
88.     23. `IRQ`
89.     24. `JEFF Butonic V1.31`
90.     25. `JEFF Butonic V3.00`
91.     26. `Liberator v1.21`
92.     27. `Liberator V3.0`
93.     28. `Liberator V5.01`
94.     29. `LOOOOM`
95.     30. `MENEM`s REVENGE`
96.     31. `NANO`
97.     32. `PP-BOMB`
98.     33. `QRDL 1.1`
99.     34. `Red October 1.7`
100.     35. `RISC`
101.     36. `SADDAM`
102.     37. `Smily Cancer I+II`
103.     38. `Terrorists`
104.     39. `T.F.C. Revenge LoadWB`
105.     40. `Traveling Jack 1+2`
106.     41. `Xeno`
107.  
108.  
109. 7.0 Anhang B (Bootblock-Viren)
110.  
111.      1. `16 Bit Crew`
112.      2. `2001`
113.      3. `AEK`
114.      4. `AIDS`
115.      5. `AIDS2`
116.      6. `Alien New Beat V1.0`
117.      7. `Amiga Freak`
118.      8. `Amiga Master`
119.      9. `ASV V0.000123`
120.     10. `Australian Parasite`
121.     11. `Bamiga Sector One`
122.     12. `Big Boss`
123.     13. `Blackflash V2.0`
124.     14. `Blade Runners`
125.     15. `BLF`
126.     16. `BlizzPro V3.1`
127.     17. `BlizzPro V3.3`
128.     18. `Blow Job`
129.     19. `Butonic 1.1`
130.     20. `Byte Bandit`
131.     21. `Byte Bandit +`
132.     22. `Byte Bandit 2`
133.     23. `Byte Bandit turbo`
134.     24. `Byte Voyager`
135.     25. `Byte Voyager II`
136.     26. `Byte Warrior`
137.     27. `CCCP`
138.     28. `Clonk`
139.     29. `Coders Nightmare`
140.     30. `DAG`
141.     31. `DAT`89`
142.     32. `Destructor V1.2`
143.     33. `Digital Emotions`
144.     34. `Disk-Doktors`
145.     35. `Disk Herpes`
146.     36. `Diskguard V1.0`
147.     37. `Divina Exterminator I`
148.     38. `Dotty`
149.     39. `DUMDUM`
150.     40. `Extreme`
151.     41. `F.A.S.T.`
152.     42. `F.I.C.A.`
153.     43. `Forpib`
154.     44. `Frity`
155.     45. `Gadaffi`
156.     46. `Glasnost`
157.     47. `Graffiti`
158.     48. `Gremlin`
159.     49. `GX.Team`
160.     50. `H.C.S.`
161.     51. `H.C.S. II`
162.     52. `Hilly`
163.     53. `HODEN V33.17`
164.     54. `Ice`
165.     55. `Incognito`
166.     56. `Inger IQ`
167.     57. `Ingo`
168.     58. `JITR`
169.     59. `Joshua`
170.     60. `Joshua 2`
171.     61. `Julie`
172.     62. `Kauki`
173.     63. `Kefrens`
174.     64. `L.A.D.S`
175.     65. `LAMER Exterminator (alt)`
176.     66. `LAMER Exterminator (neu)`
177.     67. `LAMER Exterminator I`
178.     68. `LAMER Exterminator II`
179.     69. `LAMER Exterminator III`
180.     70. `LAMER Exterminator IV`
181.     71. `LAMER Exterminator V`
182.     72. `LAMER Exterminator VI`
183.     73. `LAMER Exterminator VII`
184.     74. `LAMER Exterminator VIII`
185.     75. `Loverboy & Sexmachine` 
186.     76. `LSD`
187.     77. `MAD`
188.     78. `MAD II`
189.     79. `MEXX`
190.     80. `MGM 89`
191.     81. `Microsystems`
192.     82. `MOSH`
193.     83. `Nasty-Nasty`
194.     84. `North Star`
195.     85. `North Star II`
196.     86. `Obelisk`
197.     87. `Obelisk 2`
198.     88. `OPAPA`
199.     89. `PARATAX`
200.     90. `PARATAX II`
201.     91. `PARATAX III`
202.     92. `Pentagon-Slayer`
203.     93. `Pentagon-Slayer 2`
204.     94. `Pentagon-Slayer 3`
205.     95. `Plastique`
206.     96. `Revenge`
207.     97. `Revenge Bootloader`
208.     98. `SACHSEN No. 1`
209.     99. `SADDAM HUSSEIN`
210.    100. `SCA`
211.    101. `SCARFACE`
212.    102. `Sendarion #1`
213.    103. `Sherlock2.0`
214.    104. `SS`
215.    105. `SS II`
216.    106. `Supply Team`
217.    107. `Target`
218.    108. `Telstar`
219.    109. `Termigator`
220.    110. `T.F.C. Revenge``
221.    111. `TimeBomb`
222.    112. `TNK`
223.    113. `Tomates Gentechnic`
224.    114. `TURK V1.3`
225.    115. `U.K. Lamer Style`
226.    116. `Ultrafox`
227.    117. `Virus Slayer V1.0`
228.    118. `Virus V1`
229.    119. `Warhawk`
230.    120. `Warsaw Avenger`
231.    121. `Z.E.S.T.`
232.    122. `ZACCESS V1.0`
233.    123. `ZACCESS V2.0`
234.    124. `ZACCESS V3.0`
235.    125. `ZLX`
236.    126. `Zombi I`
237.  
238.  
239. 8.0 Anhang D ( Seriöse Programme )
240.  
241.      1. `ASS Virusprotector V1.0`
242.      2. `SystemZ V3.0`
243.      3. `SystemZ V4.0`
244.      4. `SystemZ V5.0
245.      5. `SystemZ V5.1
246.      6. `SystemZ V5.3`
247.      7. `SystemZ V5.4`
248.      8. `SystemZ V6.1`
249.      9. `SystemZ V6.4`
250.     10. `SystemZ V6.5`
251.     11. `ALF-2 HD`
252.  
253.  
254.                       1.0 Nutzungshinweise
255.  
256. Entgegen allen anderslautenden Meldungen, ist AntiCicloVir KEINE SHAREWARE,
257. sondern eher eine Mischung aus PD und FREEWARE !!!
258. Dieses Programmpaket, stellt eine Sammlung verschiedenster Routinen
259. dar, die den Anwender unterstuetzen sollen, die Ausbreitung von 
260. AMIGA-Viren in seinem System zu unterbinden.
261. Allerdings bin ich etwaigen Spenden gegenueber nicht abgeneigt, wie
262. beispielsweise Geld, Programmierhandbuecher, Computerzubehoer,
263. Quelltexte in C oder ASSEMBLER, Hilfsprogramme oder Compiler oder
264. einfach Fehlerberichte oder neue AMIGA-Viren !
265. Uebrigens suche ich immer noch einem guenstigen Assembler fuer MS-DOS
266. oder einen Compiler fuer C, Ada, LISP oder PROLOG !
267. Was die Rechte am Beitrag AntiCicloVir selbst anbelangt, so ist es eher
268. FREEWARE !
269. Denn jeder kann das Programm nutzen wie er will, solange er keine
270. Aenderungen am Binaerkodex des Programmes, dessen ASCII-Texten oder
271. der Dokumentation vornimmt !
272. Nur Aenderungen, die im Rahmen der Nutzung von Archivierungs- oder 
273. Komprimierungsprogrammen fuer AntiCicloVir entstehen, sind erlaubt !
274. Auch nach Rueckgaengigmachung einer Aenderung darf AntiCicloVir
275. nicht mehr verbreitet werden !
276. Das Uebernehmen von Informationen oder gar ganzen Kapiteln aus
277. der AntiCicloVir-Dokumentation ist ausdruecklich erlaubt, ja sogar
278. erwuenscht, wenn es sich um die Beschreibung von AMIGA-Viren handelt.
279. Allerdings muss dann immer eine Quellenangabe zu finden sein !
280. Die Kopierrechte an AntiCicloVir sind sozusagen PD !
281. Denn das Programm kann einzeln oder zusammen mit den beiden 
282. Dokumentationen in jeder PD-Serie und in jedem Diskettenmagazin 
283. erscheinen.
284. Es darf auch auf jeder Diskette, beispielsweise als Aufruf von der
285. `Startup-Sequence` , zum Schutz veroeffentlicht werden.
286. AntiCicloVir darf entgeltlich oder unentgeltlich auf jeder Antivirus-
287. diskette veroeffentlicht werden.
288. Fuer moegliche Schaeden, die bei der Benutzung von AntiCicloVir,
289. entweder direkt, durch fehlerhafte Befehle oder indirekt, durch
290. das unvollstaendige Entfernen von schaedlichen AMIGA-Viren, ent-
291. stehen, uebernehme ich KEINE Haftung !
292. Ich moechte aber schon jetzt erwaehnen, dass direkte Schaeden durch
293. AntiCicloVir ausgeschlossen sein sollten !!!
294. AntiCicloVir erscheint bisher in folgenden PD-Serien:
295.  
296. - AmigaLibraryDisks
297. - FRANZ_PD
298. - TIME_PD
299. - Kick_PD
300. - GPD
301. - Amiga Szene
302. - GSF_PD
303. - Schneider Verlag
304.  
305. An dieser Stelle möchte ich mich noch bei Michael Petrikowski von der PD-
306. Serie Amiga Szene, für die freundliche Unterstützung, in meinem unermüdlichen
307. Kampf gegen Programmierfehler in `AntiCicloVir`, bedanken !
308. Die neuesten `AntiCicloVir`-Versionen können auch über Daniel Lars Reuß
309. oder dem TPDS ( Jürgen Dieterich, Rehhaldenweg 156, W-7060 Schorndorf )
310. bezogen werden !
311. Als Dank fuer Juergen Dieterich`s Bemuehungen, `AntiCicloVir` populaerer zu machen,
312.  
313. habe ich mich entschlossen, an dieser Stelle einen kleinen Infotext ueber den
314.  
315. TPDS zu veroeffentlichen:
316.  
317.  
318.  
319.              T h e   P D - S w a p p e r s   -   I n f o - D i s k
320.              -----------------------------------------------------
321.  
322. Lieber PD-Freund...
323.  
324. Kennen Sie schon die "The PD-Swappers - Info-Disk"?
325.  
326. Auf dieser Disk finden Sie topaktuelle PD-Listen von privaten PD-Initiativen,
327. von Clubs und sonstigen PD-Freunden, die Ihre PD-Disks an interessierte
328. Amiga-User weitergeben möchten.
329.  
330. Wenn auch Sie im Besitz von PD-Disks sind (die Anzahl der Disks spielt dabei
331. überhaupt keine Rolle) und diese an interessierte Amiga-User weitergeben
332. möchten (entweder Verkauf zu günstigen Preisen oder Tausch), dann schicken Sie
333. mir Ihre aktuelle PD-Liste zu (bitte als ASCII-Text auf einer 3,5"-Disk) und
334. ich übernehme diese dann auf die "The PD-Swappers - Info-Disk". Wenn Sie
335. Rückporto beilegen, kopiere ich Ihnen auf Ihre Disk die aktuelle
336. "The PD-Swappers - Info-Disk" und schicke sie Ihnen zurück.
337.  
338. Durch die Veröffentlichung Ihrer PD-Liste auf der "The PD-Swappers - Info-Disk"
339. werden Sie automatisch Mitglied im "The PD-Swappers - Club", wodurch sich für
340. Sie verschiedene Vorteile ergeben, z.B. können Sie auf der "The PD-Swappers -
341. Info-Disk" kostenlose Kleinanzeigen veröffentlichen. Natürlich ist diese
342. Mitgliedschaft für Sie kostenlos und unverbindlich. Und natürlich können Sie
343. auch Mitglied werden, ohne Ihre PD-Liste für die "The PD-Swappers - Info-Disk"
344. zu schicken, indem Sie mir einfach Ihren Namen und Ihre Adresse schreiben.
345. Sofern Sie nichts dagegen haben, nehme ich Sie dann in die Mitglieder-Liste auf
346. der "The PD-Swappers - Info-Disk" auf.
347.  
348.                                  Meine Adresse:
349.  
350.                                 Jürgen Dieterich
351.                                 Rehhaldenweg 156
352.                                 7060 Schorndorf
353.  
354. Wenn Sie mir Ihre PD-Liste für die "The PD-Swappers - Info-Disk" zuschicken,
355. sollten Sie mir daraufhin regelmäßig (z.B. einmal im Monat) Ihre aktuelle
356. PD-Liste schicken, damit auf der "The PD-Swappers - Info-Disk" keine
357. veralteten PD-Listen enthalten sind.
358.  
359. Erhältlich ist die "The PD-Swappers - Info-Disk" bei mir für 3 DM inkl.
360. 3,5"-Disk und Versandkosten oder gegen Leerdisk und Rückporto.
361.  
362.  
363.  
364.  
365.  
366.  
367.  
368.             2.0 Funktionen von AntiCicloVir Virus-Statikum V2.0
369.  
370.  
371.                              
372. Das Programm AntiCicloVir ist ein recht einfach zu bedienender
373. Viruskiller.  
374. Es wird wie ein `CLI`-Befehl vom AmigaDOS aus gestartet.
375. Das ist besonders für Anfänger nützlich, die keine Zeit haben
376. komplizierte Viruskiller-Anleitungen durchzuarbeiten !
377. Beim CLI-Start MUESSEN entweder der Pfadname des zu untersuchenden
378. Verzeichnisses oder einer der folgenden drei CLI-Paramater angegeben
379. werden:
380.  
381. AntiCicloVir -m ;Hauptfunktion
382. AntiCicloVir -n ;Hauptfunktion ohne Colorcycling
383. AntiCicloVir -c ;Check-Option
384.  
385. Die Option `-m` kommt dabei einem Workbench-Aufruf gleich !
386. Es handelt sich dabei um die Hauptfunktion.
387. In der Hauptfunktion zeigt `AntiCicloVir` den Zustand von 26 `strategisch
388. wichtigen Systemvektoren` an, aus der `ExecBase`-Struktur, der `exec.library`,
389. der `dos.library`, der `intuition.library` und dem `trackdisk.device`, sowie dem `keyboard.device`  !
390. Näheres dazu erfahren Sie im anschließendem Kapitel.
391. Hiernach wird der Speicher auf AMIGA-Viren ueberprueft und eine
392. Fensterleiste installiert.
393. Nun koennen Bootsectoren & Disk-Validator jeder eingelegte Diskette
394. ueberwacht werden, bis die Fensterleiste wieder geschlossen wird.
395. Nach dem Schliessen der Fensterleiste wird noch eine eigene Reset-
396. Routine installiert !
397. Die Option `-n` hat die gleiche Wirkung wie `-m`, bloss das hierbei das
398. Colorcycling zu Beginn entfaellt.
399. Die Option `-c` eignet sich gut, fuer den Aufruf von der `Startup-
400. Sequence` aus, da hierbei keine Fensterleiste und keine Reset-Routine
401. installiert werden.
402. Bei Angabe eines Pfadnamens anstelle einer Option, wird das ausge-
403. waehlte Verzeichnis auf Link-, File- & Disk-Validator-Viren, sowie
404. Trojanischen Pferden, Bomben & unsichtbaren Dateinamen untersucht. 
405. Der Viruskiller  erkennt 126 Bootblock-Viren, 12 Linkviren, 23 Fileviren, 
406. 5 Disk-Validator-Viren,5 Trojanische Pferde und 3 Bomben !
407. Damit wären auch schon alle Aufgaben dieses Viruskillers im
408. Wesentlichen genannt !
409.  
410.  
411.  
412.  
413.                     2.1 Virus-Check im Speicher
414.  
415.  
416. Wenn Sie dieses Programm vom `CLI` aus unter Angabe der Option `-m` starten, 
417. dann wird nur ein Virus-Check im Speicher ausgeführt !
418. Zur Zeit erkennt `AntiCicloVir` die Viren `Revenge of the Lamer
419. Exterminator`,`,`Return of the Lamer Exterminator`, `Amiga Knight`, `BGS 9 I+II`,
420. `Bret Hawnes`,`CCCP`,`Color (TURK V1.3)`,`CompuPhagozyte 1`,
421. `CompuPhagozyte 2`,`CompuPhagozyte II`,`CompuPhagozyte III A-C`,
422. `CompuPhagozyte IV`, `D-Structure`, `Darth Vader 1.1`, `Disaster-Master V2`, `Disktroyer V1.0`, 
423. `DiskVal1234`, `Golden Rider`, `Gotcha Lamer`, `Hochofen`,
424. `IRQ`,`JEFF Butonic V1.31/3.00`, `LOOOOM`, `MENEM`s REVENGE`, `NANO`, `RISC`,
425. `SADDAM`, `Smily Cancer`, `Terrorists`, `Traveling Jack 1+2` und `Xeno` im Speicher und entfernt sie !
426. Sobald ein Virus im Speicher entdeckt wurde, wird eine Warnung
427. ausgegeben und das Virus automatisch gelöscht.
428. Wenn Sie dieses Programm gestartet haben, verändern sich zuerst
429. die Bildschirmfarben .
430. Dies deutet immer daraufhin, daß das Programm aktiviert wurde und
431. noch funktioniert.
432. Hierauf erscheint die `System-Vektoren-Tabelle` !
433. Im Fenstertitel wird die Versionsnr. des Betriebssystems Ihres Rechners
434. angegeben, falls diese erkannt wurde !
435. Da es immer mehr neue Betriebssysteme und AMIGA-Modelle gibt, wird dort in
436. nicht wenigen Fällen `unknown KickStart` stehen ...
437. Die Erkennung der Versionsnr. ist wichtig für`s Löschen von Viren aus dem
438. Speicher !!!
439. Ansonsten können Viren im Speicher zwar angezeigt, müßen aber in vielen
440. Fällen durch einen Reset gelöscht werden.
441. `AntiCicloVir` gibt Ihnen im Einzelfall die jeweilige Empfehlung aus !!!
442. Diese Methode soll ein absturzsicheres Arbeiten auch mit ganz neuen Betriebs-
443. systemen und AMIGA-Modellen gewährleisten !
444. Nun zur Auswertung der `Systemvektoren-Tabelle` !
445. Es werden 26 Adreßzeiger aus der `ExecBase`-Struktur, der `exec.library`,
446. der `dos.library`, der `intuition.library` und dem `trackdisk.device`,
447. sowie dem `keyboard.device` angezeigt.
448. Das sind, die meiner Meinung nach, wichtigsten Vektoren !
449. Hiermit lassen sich etwa 95% aller neuen Computerviren aufspüren !
450.  
451. Kommen wir als erstes zur `ExecBase`-Struktur.
452. Dies ist die Grundstruktur Ihres Rechners und beinhaltet zugleich auch die
453. sieben wichtigsten Systemvektoren: 
454.  
455. - ColdCapture *
456. - CoolCapture *
457. - WarmCapture *
458. - ChkSum
459. - KickMemPtr *
460. - KickTagPtr *
461. - KickCheckSum *
462. - RasterBeamInterrupt
463.  
464. Hierbei handelt es sich um die Resetvektoren.
465. So lange diese auf `$00000000` zeigen, kann sich kein resetfestes Programm
466. im Speicher befinden !!!
467. So ziemlich alle AMIGA-Viren, außer ein paar `File`- und `Linkviren` sind
468. resetfest.
469. Deshalb lassen sich AMIGA-Viren auch am leichtesten über diese Vektoren auf-
470. spüren.
471. Allerdings gibt es auch viele seriöse Programme, die resetfest sind !
472.  
473. Die `Capture`-Vektoren dienen zum Einbinden von Routinen, die der AMIGA 
474. zwischen der Resetphase durchlaufen soll.
475. Es handelt sich hierbei also nicht um vollständige Programme, sondern nur um
476. Routinen, die während des `Reset`s einige `Job`s erledigen sollen.
477. Viren benutzen sie, um in der Aufbauphase des System`s aktiv zu werden, damit
478. sie ihren Speicherbereich sichern, weitere Vektoren verbiegen und ggf. einige
479. Texte oder Grafiken zu diesem Zeitpunkt ausgeben können.
480.  
481. Der ColdCapture *-Vektor wird relativ selten genutzt.
482. Er wird am frühesten angesprungen.
483. Zu diesem Zeitpunkt ist die `exec.library` noch nicht initialisiert, die
484. Interrupt-Handler stehen noch nicht zur Verfügung, der `Stack` existiert noch
485. nicht, weshalb keine Sprünge innerhalb einer `Reset`-Routine möglich sind -
486. alles muß sequentiel abgearbeitet werden - und auf den Speicher kann auch 
487. noch nicht zugegriffen werden.
488.  
489. CoolCapture * ist da für Virusprogrammierer weitaus interessanter und dem zu
490. Folge wird dieser Resetvektor am meisten genutzt.
491. Er wird später angesprungen als ColdCapture *, weshalb nun auch die `exec.library`,
492. die `Interrupt`-Handler, der `Stack` und der Speicher zur Verfügung stehen.
493. Deshalb sind innerhalb dieser `Reset`-Routine auch wieder Sprünge möglich !
494. Die meisten Viren benutzen CoolCapture *
495.  
496. WarmCapture * hingegen, hat keine praktische Bedeutung, da er nur bei einem
497. Fehler beim Aufbau der `dos.library` angesprungen wird.
498.  
499. In `ChkSum` steht immer eine Pruefsumme ueber den unteren Bereich der `ExecBase`-
500. Struktur, welche beim Reset vom Betriebssystem ueberprueft wird !
501. Ist diese Pruefsumme falsch, so wird die `ExecBase`-Struktur neu aufgebaut und 
502. alle `Capture`-Vektoren geloescht !
503. Neue AMIGA-Viren koennen von vielen Viruskillern oft nicht komplett geloescht werden,
504. da sie ueber eigene Interrupts staendig ihre Resetvektoren kontrollieren !
505. Manche von ihnen vergessen jedoch die Pruefsumme in `ChkSum` ebenfalls zu ueberwachen,
506. so dass hier durch ein Neuberechnen der `ChkSum` derartige AMIGA-Viren geloescht werden 
507. koennen !
508.  
509. Schließlich gibt es noch eine zweite Art von `Reset`-Vektoren und das sind die
510. `Resident-Pointer` oder auch `Kick-Pointer` genannt:
511.  
512. - KickMemPtr *
513. - KickTagPtr *
514. - KickCheckSum *
515.  
516. Diese Zeiger dienen zum Ablaufen eines richtigen `Reset`-Programmes, während der
517. `Resetphase`.
518. Programme , die über diese Zeiger angesprungen werden, haben weitaus mehr
519. Zugriffsmöglichkeiten, als die `Reset`-Routinen, die über die `Capture`-Vektoren
520. gestartet werden !
521. Bis auf die `dos.library`, einigen `devices` und `resources`, kann hier schon
522. ein großer Teil des Betriebssystems genutzt werden, da diese Zeiger so ziemlich
523. zum Schluß der Aufbauphase angesprungen werden.
524. AMIGA-Viren, die diese Zeiger benutzen, brauchen ihren Speicher nicht mehr extra
525. zu sichern, sondern haben nur noch die übrigen Vektoren zu retten und können
526. ansonsten Grafiken, Texte etc. ausgeben !
527.  
528. Der KickMemPtr * zeigt dabei auf eine Speicherbelegungsliste ( `MemList`-Struktur ),
529. die dafür sorgt, daß diese Speicherbereiche auch nach einem `Reset` nicht mehr
530. überschrieben werden können.
531. So lassen sich Betriebssystem-Erweiterungen oder hilfreiche, vielbenötigte,
532. Nutzprogramme auch nach einem `Reset` erhalten und können später bei Bedarf
533. aufgerufen werden.
534. Doch aktiviert werden diese Programme nach dem `Reset` nicht !
535. Dafür dient ein anderer Zeiger, namens KickTagPtr *!
536. Wie der Name schon sagt, zeigt dieser auf einen Teil aus dieser `MemList`-Struktur,
537. die nach dem `Reset` aufgerufen werden soll.
538. Im Zeiger KickCheckSum erwartet das Betriebssystem eine Prüfsumme aus den Werten
539. von KickMemPtr * und KickTagPtr *, welche durch die SumKickData ()-Routine be-
540. rechnet werden kann.
541.  
542. Kommen wir nun zum letzten wichtigen Vektoren aus der `ExecBase`-Struktur !
543. Hierbei handelt es sich um den Rasterstrahl-Interrupt.
544. In Interrupt-Vektoren stehen Adressen von Programmen, die immer zu bestimmten
545. Ereignissen angesprungen werden sollen, da sie für`s System oder für ein
546. Programm wichtige Aufgaben zu erfüllen haben.
547. $90 wird 50 x in der Sekunde (!) angesprungen, immer dann, wenn der Rasterstrahl
548. die Zeile Null Ihres Monitors/Fernsehers erreicht hat !
549. Für AMIGA-Viren ist dies deshalb interessant, weil sie so permanent aktiviert
550. werden und Gelegenheit haben ihre Systemvektoren zu überwachen, falls diese
551. von einem anderen Programm ( Viruskiller/Virus ) gelöscht worden sind und diese
552. neu setzen können !
553.  
554. Kommen wir nun zur `exec.library` !
555. Aus dieser Systembibliothek, zeigt `AntiCicloVir` die Einsprungsvektoren zu den
556. folgenden neun System-Routinen an:
557.  
558. - DoIO ()
559. - Alert ()
560. - AllocMem ()
561. - FreeMem ()
562. - PutMsg ()
563. - OldOpenLibrary ()
564. - OpenDevice ()
565. - OpenLibrary ()
566. - SumKickData ()
567.  
568. Die DoIO ()-Routine wird vom Betriebssystem, sowie von Anwenderprogrammen
569. gleichermaßen häufig benutzt.
570. Über DoIO () kann indirekt die BeginIO ()-Routine aus den verschiedenen
571. `devices` gestartet werden.
572. Wie der Name schon sagt, dient diese Routine zum Starten von Eingabe/Ausgabe-
573. Prozessen oder kurz I/O-Prozessen.
574. Diese I/O-Prozesse bzw. Kommunikation mit der `Hardware` erledigt der Prozessor
575. des AMIGA`s über sogen. `devices`.
576. Für jedes Gerät, gibt es ein `device`: 
577. ... für das Laufwerk das `trackdisk.device`, für die Tastatur das `keyboard.device`
578.  etc ...
579. Will man also ein Gerät ansprechen, so tut man das üblicherweise, über das ent-
580. sprechende `device`.
581. Dabei muß in einer sogen. `IORequest`-Struktur definiert werden, welche Aufgabe
582. das angewählte `device` erledigen soll, nachdem es geöffnet wurde.
583. Soll diese Aufgabe ( `IORequest`-Struktur ) nun ausgeführt werden, so muß diese
584. mittels der Routine BeginIO () des jeweiliegen `devices` gestartet werden.
585. Über die Routine DoIO () aus der `exec.library` kann man nun die BeginIO ()-
586. Routine ansprechen.
587. Für AMIGA-Viren ist dies insbesondere deshalb so interessant, weil das Betriebs-
588. system die DoIO ()-Routine benutzt, um beim Einlegen oder `Booten` einer
589. Diskette, mittels des `trackdisk.devices`, auf diese zu zugreifen !
590. Ein Virus, das DoIO () verbiegt, wird somit immer aktiv, wenn von einer
591. Diskette `gebootet`, `geladen` oder auf ihr geschrieben wird oder wenn einfach
592. nur eine neue Diskette eingelegt wird ... ideal für `Bootblock`-Viren
593. DoIO () sollte immer auf einen Wert von $FCxxxx zeigen !
594.  
595. Die Routine Alert () dient zum Ausgeben eigener (?) `GURU`-Meldungen !
596. Jedoch wird sie bisher kaum benutzt ...
597. Trotzdem gibt es einige AMIGA-Viren, die den Vektor dieser Routine verbiegen.
598.  
599.  
600. Die Routinen AllocMem () & FreeMem () dienen dem Anwender zur Speicherverwaltung !
601. Die verschiedensten Anwendungsmoeglichkeiten sind hier  denkbar.
602. Mit der Routine AllocMem () wird ein Speicherbereich mit den vorgegebenen
603. Attributen fuer die jeweilige Anwendung reserviert.
604. Die Routine FreeMem () ist das Gegenstueck zur AllocMem ()-Routine und dient
605. zum Freigeben eben dieser Speicherbereiche.
606. Auch diese Vektoren werden zunehmend von Computerviren verbogen,
607. da die Viren dadurch die Moeglichkeit haben haeufiger aktiviert zu werden !
608. Also praktisch immer dann, wenn Speicherbereiche verwaltet werden muessen und
609. das ist bei allen komplexeren Programmen der Fall !
610.  
611.  
612. Die Routine PutMsg () dient zum Absenden von `Messages`.
613. Auch der Vektor dieser Routine wird immer haeufiger von
614. AMIGA-Viren verbogen !!!
615.  
616. Die Routinen OpenLibrary () & OldOpenLibrary () gehören eigentlich zusammen.
617. Sie werden immer dann angesprungen, wenn ein Programm eine Systembibliothek
618. öffnet, um mit ihr arbeiten zu können.
619. Zweckmäßigerweise geschieht dies immer beim Programmstart.
620. Wenn Sie also ein Programm von der Diskette laden, dann werden, während das
621. Laufwerk noch läuft, schon die ersten Systembibliotheken geöffnet !
622. Wenn sich jetzt ein Virus auf die Diskette kopiert, dann würden Sie`s bestimmt
623. nicht merken, oder ?
624. Deshalb verbiegen `Link`- & `Fileviren` diese Vektoren auf ihre Adresse, um
625. beim noch laufenden Laufwerk, sich unbemerkt auf die Diskette kopieren zu
626. können.
627. OldOpenLibrary () ist die Vorgängerin von OpenLibrary unter `KickStart V1.0`.
628. Da es aber noch viele Programme gibt, die OldOpenLibrary () benutzen, wurde
629. diese Routine unter allen neuen Betriebssystemen implementiert !
630. Beide zeigen gewöhnlich auf `ROM`-Adressen.
631.  
632. Die Routine OpenDevice () hat eine aehnliche Bedeutung wie OldOpenLibrary () &
633. OpenLibrary () sie haben!
634. Im Gegensatz zu diesen Routinen, dient OpenDevice () nicht zum Oeffnen von System-
635. bibliotheken, sondern zum Oeffnen von `Geraeten` wie beispielsweise dem `trackdisk.device`.
636. Dieser Vektor ist besonders fuer `Bootblock`-Viren interessant,
637. da sie so Gelegenheit finden, beim Ansteuern des `trackdisk.devices` aktiviert
638. zu werden !
639.  
640.  
641. Als Letztes bleibt noch, die schon vorhin erwähnte, Routine SumKickData ()
642. Diese dient zum Berechnen der KickCheckSum * für `Reset`-Programme.
643. Der aus der Asche auferstandene Phoenix, stand einigen Virusprogrammierern,
644. bei der Entdeckung dieses `Gag`s, wohl Pate.
645. Wenn nämlich ein anderes Virus oder ein Viruskiller ein derartiges Virus ge-
646. löscht hat, um anschließend sich selbst zu installieren, wobei es ja, mittels
647. der SumKickData ()-Routine , seine KickCheckSum * berechnen muß, dann erweckt
648. es unwissend seinen Vorgänger zu neuenm Leben und haucht damit sein  eigenes
649. aus ...
650. SumKickData () sollte immer auf eine `ROM`-Adresse im Bereich von $FCxxxx
651. zeigen !
652.  
653. So und nun noch einmal zum `trackdisk.device` !
654. Welche Bewandniss es damit auf sich hat, habe ich ja vorhin schon erwähnt ...
655. BeginIO () dient immer dazu, um einen `I/O`-Prozess des `trackdisk.device`
656. zu starten.
657. Vor allem `Bootblock`-Viren nutzen diesen Vektor gerne ...
658. Jedesmal, wenn das Laufwerk über`s `trackdisk.device` angesprochen wird, kann
659. ein solches Virus sich aktivieren und nun die Diskette infizieren - also beim
660. `Booten`, Laden, Abspeichern oder beim Diskettenwechsel !
661. Die Routine Close () aus dem `trackdisk.device` dient zum Beenden eines `I/O`-
662. Prozesses und wird neuerdings auch von AMIGA-Viren verbogen !
663.  
664. An dieser Stelle moechte ich auch gleich die Bedeutung des Vektoren BeginIO ()
665. aus dem `keyboard.device` erwaehnen !
666. Das `keyboard.device` dient dem System zur Zusammenarbeit des Prozessors
667. mit dem Eingabegeraet `Tastatur`.
668. Es ermoeglicht das direkte Einlesen von Tastatur-Daten in eigene Programme.
669. Ausserdem soll es moeglich sein, mithilfe dieses `devices` eigene Reset-Routinen
670. in`s System einzubinden - ein Leckerbissen fuer Virusprogrammierer !!!
671. Und es gibt auch schon einige AMIGA-Viren, die den BeginIO ()-Vektoren dieses
672. `devices` verbiegen !
673.  
674.  
675. Kommen wir nun zur `dos.library` !
676. Hier interessieren uns vier Vektoren:
677.  
678. - Open ()
679. - Write ()
680. - Lock ()
681. - LoadSeg ()
682.  
683. Die Routine Open () wird von Programmen immer dann angesteuert, wenn irgend-
684. etwas geöffnet werden soll.
685. `File`- & `Linkviren` gehen hierbei von Dateien aus.
686. Wenn also ein Programm eine Datei öffnet, um aus ihr etwas zu lesen oder in ihr
687. etwas zu schreiben, dann kann ein `Linkvirus` sich selbst gleich mit hinein-
688. schreiben ...
689. Allerdings können mit Open () auch viele andere Eingabe/Ausgabe-Kanäle geöffnet
690. werden: Dateien, DOS-Fenster, Druckerausgabe etc ...
691.  
692. Sehr wichtig fuer AMIGA-Viren ist die Routine Write (), denn sonst koennten sich
693. File- & Linkviren ja nicht auf Diskette abspeichern !
694. Neu ist allerdings, dass derartige Viren selbst diesen Vektor verbiegen ...
695. Wie bereits erwaehnt, dient diese Routine zum Abspeichern von Dateien auf Diskette.
696. Allerdings koennen mit ihr auch Texte in DOS-Fenster geschrieben, ueber Drucker
697. ausgegeben oder ueber Modems gesendet werden.
698. File- & Linkviren dient das Verbiegen dieses Vektors wohl zur eigenen Vermehrung !
699.  
700.  
701. Mit der Routine Lock () arbeitet vor allem auch das AmigaDOS sehr intensiv.
702. Immer dann, wenn Dateien angewaehlt, Unterverzeichnisse geoeffnet werden,
703. geschieht dies ueber einen sogen. Lock !
704. Derartige `Lock`s sind sozusagen Schloesser, mit denen sich ein Programm den
705. Zugriff auf eine Datei oder ein Verzeichnis sichern kann.
706. Die Workbench z.B. verwendet derartige `Lock`s.
707. Besorgt werden diese `Lock`s immer ueber die DOS-Routine Lock () !
708. AMIGA-Viren, die diesen Vektoren verbiegen, werden sehr haeufig aktiv !
709. So reicht z.B. schon das Einlegen einer Diskette von der Workbench aus aus,
710. um diese mit einem Virus, welches diesen Vektoren verbiegt zu infizieren !
711.  
712. Diesen Vektoren verbiegen AMIGA-Viren also, um sich selbst weiter zu kopieren !
713.  
714.  
715. Die Routine LoadSeg () wird i.d.R. von interaktiven Benutzeroberflaechen, wie z.B. 
716. der Workbench genutzt, um ausfuehrbare Programmdateien in einen Datenpuffer zu 
717. laden, damit sie später als Programme gestartet werden sollen.
718. Wie dies im Einzelnen funktioniert, soll uns an dieser Stelle nicht interessieren
719.  - nur die Tatsache, daß beim Aufrufen eines Programmes von der `WB` oder
720.  durch ein anderes, dieser Vektor angelaufen wird !
721. Dies ist für `File`- & `Linkviren` sehr interessant, da sie jedesmal, wenn ein
722. Programm gestartet wird, sich unauffällig auf die Diskette kopieren und dieses
723. Programm möglicherweise gleich mitinfizieren können !
724. Es gibt neuerdings auch einige Nutzprogramme, die diesen Vektor auf ihre
725. eigene Adresse verbiegen.
726.  
727. Ganz zum Schluß kommen wir noch zur `intuition.library`.
728. Aus dieser Systembibliothek interessieren nur der OpenWindow ()-Vektor 
729. und der DisplayAlert ()-Vektor.
730. Die Routine OpenWindow () dient zum Öffnen eines `Intuition`-Fensters und wird vom
731. Betriebssystem, wie Anwenderprogrammen gleichermaßen benutzt.
732. Er ist vor allem für einige `Fileviren` interessant, da diese sich nur beim
733. `Booten` einer Diskette, zu einem bestimmten Zeitpunkt, auf diese kopieren
734. können !
735. Deshalb hilft auch hier das Betriebssystem weiter ...
736. Jedesmal nach dem `Boot`-Vorgang, - vorm Abarbeiten der `s/startup-sequence` -
737. wird das `AmigaDOS`-Fenster für`s `CLI` geöffnet.
738. Dabei benutzt das Betriebssystem die OpenWindow ()-Routine.
739. Derartige `Fileviren` verbiegen diesen Vektor und werden so zur rechten Zeit
740. aktiv und können sich vermehren oder einen Text bzw. Grafik ausgeben !
741. Allerdings ist es bei all` den AMIGA-Viren aus meiner Sammlung so, daß sie
742. diesen Vektor kurz nach dem Benutzen wieder auf die `ROM`-Adresse setzen, so
743. daß man mit `AntiCicloVir`, hier keinen verbogenen Vektor mehr wird erkennen
744. können !
745.  
746. Die Routine DisplayAlert (), dient zum Ausgeben von sogen. `Alert`-Meldungen.
747. Manche Viruskiller benutzen sie, um den Anwender, so vor einem Virus im System
748. zu warnen.
749. AMIGA-Viren, die diesen Vektoren verbiegen, wollen den Viruskiller austricksen,
750. indem sie sich nach der Ausgabe der `Alert`-Meldung erneut installieren ...
751.  
752.  
753.  
754. Anschließend wird ein Virus-Check des Speichers durchgeführt.
755. Aber auch dann, wenn kein Virus im Speicher gefunden wurde,
756. ueberwacht `AntiCicloVir` automatisch die Vektoren ColdCapture *, 
757. CoolCapture * und KickTagPtr *.
758. Ueber einen Requester koennen Sie dann selbst entscheiden, ob `AntiCicloVir`, den
759. verbogenen Vektoren wieder zuruecksetzen soll.
760. Das automatische Loeschen dieser Vektoren hat sich als stoerend erwiesen,
761. da es immer mehr WICHTIGE Programme gibt ( `SetPatch` unter KS1.3) oder resetfeste
762. `RAM-Disks`, die diese Vektoren benuzten.
763. Wenn Sie dieses Farbsignal lästig finden oder wenn es unter Ihrem
764. Betriebssystem ( `KickStart 2.04` ??? ) evtl. einen Systemabsturz
765. verursacht, dann können Sie als Option `-n` beim Aufrufen angeben,
766. damit das Farbsignal unterdrückt wird !
767. Mit der Option `-c` wird bewirkt, daß keine Fensterleiste mehr erscheint
768. und keine Resetroutine mehr installiert wird !
769. Nachdem der Virus-Check beendet worden ist, werden Sie nach einem
770. erneuten Start von `AntiCicloVir` feststellen, daß der CoolCapture *-
771. Vektor verbogen worden ist !
772. Dabei handelt es sich nicht etwa um ein neues Virus, sondern um die
773. Reset-Routine von `AntiCicloVir` !
774. Diese Routine steht immer ab $7E000 über CoolCapture * resetfest im
775. Speicher und erzeugt nach dem Reset ein Farbsignal !
776. Außerdem wird SumKickData () auf $7E208 verbogen !
777. Solange dieses Farbsignal erscheint, bedeutet dies, daß `AntiCicloVir`
778. resetfest im Speicher steht und keine weitere Reset-Routine ( Virus )
779. mehr aktiv ist !
780. Diese Routine überwacht nach jedem Reset die System-Vektoren auf
781. Veränderungen.
782. Zeigt ein Vektor nicht mehr auf null oder CoolCapture * nicht mehr
783. auf $7E000, so werden die Vektoren gelöscht und ein zweiter Reset
784. wird ausgeführt !
785. Erscheint das Farbsignal nach dem Reset nicht mehr, obwohl `AntiCicloVir`
786. ordnungsgemäß installiert wurde, so bedeutet dies, daß sich 
787. möglicherweise ein Virus im Speicher befindet und `AntiCicloVir` ge-
788. löscht hat !
789. Wird kurz nach dem Farbsignal ein Reset von Seiten der Reset-Routine
790. ausgeführt, so deutet dies auf die Anwesenheit eines Viruses hin, welches
791. jedoch erfolgreich von `AntiCicloVir` gelöscht wurde.
792. Da die Reset-Routine die Viren nicht namentlich erkennt, sollten Sie
793. anschließend mit dem Hauptprogramm, von der Diskette aus, den Speicher
794. auf Viren untersuchen !
795. Denn `AntiCicloVir` kann auch noch einige Viren im Speicher erkennen,
796. nachdem sie gelöscht wurden.
797. Wenn Sie während des `Reset` die linke Maustaste gedrückt halten - bis zum
798. Beenden des Farbsignals - dann löscht sich die `Reset`-Routine selbst !
799. Bevor Sie unter AmigaDOS mit Files arbeiten oder mit einem Link-
800. viruskiller Disketten durchchecken, sollten Sie vorher immer den
801. Speicher überprüfen !
802. Denn manche Linkviren können sich schon beim Diskettenwechsel
803. weiterkopieren, während Sie Ihre Disketten auf Linkviren checken.
804. Es gibt einige Linkviruskiller, die Viren nur auf der Disk als
805. File erkennen können, aber gerade dies hat den Nachteil, daß diese
806. Viren nicht effektiv entfernt werden können.
807. Denn stellen Sie sich beispielsweise vor, daß Sie gerade Ihre komplette
808.  Disketten-Sammlung auf Linkviren mit einem derartigen Viruskiller
809. überprüfen, während sich ein Linkvirus im Speicher befindet !!
810. Das Ergebnis wäre, daß womöglich nun Ihre komplette Disketten-
811. Sammlung mit Linkviren verseucht wäre !!
812. Der sicherste Schutz gegen Linkviren bleibt jedoch immer noch
813. der Schreibschutz !
814. Denn es wird nie einen Viruskiller geben, der alle aktuellen Viren
815. erkennen kann.
816. Dafür gibt es einfach zu viele Virus-Programmierer !
817.  
818.  
819.  
820.  
821.  
822.                    2.2 Bootsectortest
823.  
824. Mittlerweile ist es auch moeglich mit AntiCicloVir die Boot-Sektoren
825. einer Diskette auf Bootblock-Viren zu ueberwachen !
826. Es hat mich einiges an Zeit gekostet, die verschiedenen notwendigen
827. Strukturen aus verschiedenen Buechern zusammenzusuchen, die notwendig
828. sind, um mithilfe des `trackdisk.device` an die Boot-Daten zu gelangen !
829. Und das alles noch in C (aaargh !!!) !
830. Haben Sie also ein wenig Verstaendnis dafuer, dass diese Routinen in
831. der V2.0 nur eingeschraenkt genutzt werden koennen ...
832. An den Bootsectortest gelangen Sie ueber die Hauptfunktion, welche
833. durch die Option `-m` erreicht werden kann !
834. Zuerst wird der bereits beschriebene Speichertest durchgefuehrt und
835. hiernach eine Fensterleiste installiert.
836. Nun wird jede Diskette, die in`s interne Laufwerk eingelegt wird,
837. automatisch auf Bootblock-Viren geprueft !
838. Die Betonung liegt auf `INTERNES LAUFWERK` !!!
839. Disketten in anderen Laufwerk koennen noch nicht geprueft werden !!!
840. Dabei werden die Boot-Sektoren auch nur auf folgende Bootblock-Viren
841. hin ueberwacht:
842.  
843. - `16 Bit-Crew`
844. - `2001`
845. - `AIDS`
846. - `AIDS (VKill)`
847. - `Alien New Beat V1.0`
848. - `Amiga Freak`
849. - `Amiga Master`
850. - `ASV V0.000123`
851. - `Australian Parasite`
852. - `Bamiga Sector One`
853. - `Big Boss`
854. - `Blackflash V2.0`
855. - `Blade Runners`
856. - `BLF`
857. - `BlizzPro V3.1`
858. - `BlizzPro V3.3`
859. - `Blow Job`
860. - `Butonic 1.1`
861. - `DUMDUM`
862. - `Byte Bandit`
863. - `Byte Bandit +`
864. - `Byte Bandit 2`
865. - `Byte Bandit turbo`
866. - `Byte Warrior`
867. - `CCCP`
868. - `Clonk`
869. - `Coders Nightmare`
870. - `DAG`
871. - `DAT `89`
872. - `Destructor V1.2`
873. - `Digital Emotions`
874. - `Disk-Herpes`
875. - `Disk-Doktors`
876. - `Diskguard V1.0`
877. - `Dotty`
878. - `Extreme`
879. - `F.I.C.A.`
880. - `Forpib`
881. - `Frity`
882. - `Gadaffi`
883. - `Graffiti`
884. - `Gremlin`
885. - `GX.Team`
886. - `H.C.S.`
887. - `H.C.S. II`
888. - `Hoden V33.17`
889. - `Ice`
890. - `Inger IQ`
891. - `Ingo`
892. - `JITR`
893. - `Kauki`
894. - `Kefrens`
895. - `L.A.D.S`
896. - `LSD`
897. - `Loverboy & Sexmachine`
898. - `MAD`
899. - `MAD II`
900. - `MEXX`
901. - `MGM 89`
902. - `AEK`
903. - `Microsystems`
904. - `Mosh`
905. - `Nasty-Nasty`
906. - `Northstar`
907. - `Northstar II`
908. - `Obelisk`
909. - `Obelisk 2`
910. - `OPAPA`
911. - `PARATAX`
912. - `PARATAX II`
913. - `PARATAX III`
914. - `Pentagon Slayer`
915. - `Pentagon Slayer 2`
916. - `Pentagon Slayer 3`
917. - `Plastique`
918. - `Revenge Bootloader`
919. - `Revenge`
920. - `SADDAM HUSSEIN`
921. - `SCA`
922. - `Scarface`
923. - `Sendarion #1`
924. - `Sherlock2.0`
925. - `SS`
926. - `SS II`
927. - `Supply Team`
928. - `T.F.C. Revenge`
929. - `Target`
930. - `Telstar`
931. - `Termigator`
932. - `Time Bomb`
933. - `TNK`
934. - `Tomates Gentechnic`
935. - `Turk V1.3`
936. - `Ultrafox`
937. - `Virus Slayer V1.0`
938. - `Virus V1`
939. - `Warhawk`
940. - `Warsaw Avenger`
941. - `Z.ES.T`
942. - `ZACCESS V1.0`
943. - `ZACCESS V2.0`
944. - `ZACCESS V3.0`
945. - `ZLX`
946. - `Zombi I`
947.  
948. Diese Bootblock-Viren koennen jedoch noch nicht eigenstaendig vom
949. Viruskiller geloescht werden !
950. Benutzen Sie bitte den `CLI`-Befehl `install`, nachdem Sie ein Boot-
951. block-Virus gefunden haben und sicher sind, dass es AntiCicloVir
952. auch aus dem Speicher entfernt hat.
953. Diese Bootblock-Viren werden im Anhang B dokumentiert.
954. Es werden auch noch keine Nicht-Standard-Bootbloecke angezeigt !
955. Kommt es beim Start von AntiCicloVir zur Meldung `NOT ENOUGH MEMORY`,
956. so sollten Sie den Bootsectortest erst gar nicht beginnen, da es
957. ansonsten zum Systemabsturz kommen koennte ...
958. Um den Bootsectortest und damit auch AntiCicloVir zu beenden, brauchen
959. Sie nur das Schliessymbol aus der Fensterleiste anzuklicken.
960.  
961.  
962.  
963.  
964.  
965.  
966.  
967.  
968.  
969.  
970.            2.3 Disk-Validatortest
971.  
972. Hierbei handelt es sich um einen Virustest, der speziell zur Bekaempfung
973. von Disk-Validator-Viren bestimmt ist.
974. Sie erreichen diesen Test ebenfalls ueber die Hauptfunktion von
975. AntiCicloVir, indem Sie beim Aufruf des Programmes die Option `-m`
976. angeben oder es einfach von der Workbench aus starten.
977. Zuerst wird der bereits beschriebene Speichertest durchgefuehrt und
978. anschliessend eine Fensterleiste installiert.
979. Der Disk-Validatortest laeuft nun parallel zum Bootectortest !
980. D.h., wenn Sie eine neue Diskette, bei installierter Fensterleiste,
981. in`s Laufwerk legen, so wird diese automatisch auf Disk-Validator-
982. Viren geprueft.
983. Im Gegensatz zum Bootsectortest, koennen Disk-Validator-Viren in jedem
984. angeschlossenen Laufwerk, aufgespuert werden !!!
985. Zur Zeit werden die Disk-Validator-Viren `Return of the Lamer Exterminator`,
986. `SADDAM` & `DiskVal1234` erkannt.
987. Zur genaueren Information lesen Sie bitte im Kapitel `Virus-Definitionen`
988. und im Anhang A dieser Dokumentation nach !
989. Die Disk-Validator-Viren koennen dann sofort von der Diskette entfernt
990. werden ...
991. ALLERDINGS kopieren sie sich ja schon beim Einlegen einer infizierten
992. Diskette in den Speicher und koennen hiernach neue Disketten infizieren.
993. Deshalb sollten Sie, nachdem Sie mit dem Disk-Validatortest ein Virus von
994. der Diskette geloescht haben, AntiCicloVir anschliessend erneut starten,
995. um den Speichertest zu starten und das Virus zu entfernen.
996. Ich bin sehr zuversichtlich, dass mit diesem Test ALLE Disk-Validator-Viren
997. aufgespuert werden koennen !!!
998. Denn alle AMIGA-Viren dieser Spezies sind miteinander verwandt und neuere
999. stellen oft nur eine simple ASCII-Text-Mutation dar und werden deshalb
1000. entweder als `Return of the Lamer Exterminator`- oder `SADDAM`-Virus
1001. erkannt !
1002. Im uebrigen funktionieren die Disk-Validator-Viren auch nur noch mit
1003. den Betriebssystemen KickStart V1.2/1.3 !
1004.  
1005.  
1006.  
1007.  
1008.  
1009.  
1010.  
1011.  
1012.  
1013.  
1014.  
1015.  
1016.  
1017.  
1018.  
1019.                    2.4 Dateitest
1020.  
1021.  
1022. Wenn Sie Ihre Disketten auf Linkviren checken wollen, dann müßen
1023. Sie zusätzlich zum Namen, unter dem Sie `AntiCicloVir` vom `CLI`
1024. aus aufrufen, auch noch das entsprechende Laufwerk oder Verzeichnis
1025. angeben !
1026. Dabei erscheint im Übrigen kein Grafik-Signal mehr, sondern die
1027. entsprechende Diskette wird sofort gecheckt !
1028. Doch auch bei dieser Funktion wird vorher noch der Speicher auf
1029. Linkviren überprüft !
1030. Wird ein Virus auf der Diskette gefunden, dann wird eine Warnung
1031. ausgegeben und das Virus gelöscht !
1032. Momentan erkennt `AntiCicloVir` die Viren `Revenge of the Lamer Exterminator`,
1033. `Revenge of the Lamer Exterminator II`, `Lamer LoadWB`, `Lamer VirusX`,
1034. `Amiga Knight`, `BGS 9`,`BGS 9 II`, `Bluebox`, `Bret Hawnes`,,`CCCP`,
1035. `Color (TURK V1.3)`,`CompuPhagozyte 1`, `CompuPhagozyte 2`,`CompuPhagozyte II`,
1036.  `CompuPhagozyte III A-C`, `CompuPhagozyte IV`, `D-Structure`, `DAG Creator`,
1037. `Darth Vader 1.1`, `Disaster-Master V2`, `Disktroyer V1.0`, DiskVal1234`,
1038. `Gotcha Lamer`, `Gotcha Lamer-Creator (MINIDEMO.EXE)`, `Hochofen`,
1039. `Liberator v1.21`, `Liberator V3.0`, `Liberator V5.01`, `LOOOOM`, IRQ`, 
1040. `JEFF Butonic V1.31/3.00`, `NANO`, `PP-BOMB`,`QRDL1.1`,
1041. `Red October 1.7`, `Return of the Lamer Exterminator`, `RISC` `SADDAM`, 
1042. `Smily Cancer I+II`, `T.F.C. Revenge LoadWB`,`Terrorists`,
1043. `Traveling Jack 1+2` and `Xeno` !
1044. Informationen zu diesen Viren finden Sie im Anhang A !
1045. Um Verzeichnisse zu Checken, rufen Sie `AntiCicloVir` vom `CLI` aus auf und geben
1046. anstelle einer Option einen Pfadnamen für das Verzeichnis an !
1047. Wenn hinter `AntiCicloVir` keine Option steht, dann wird jedes andere Zeichen
1048. als Verzeichnisname interpretiert !!!
1049. Beispielsweise:           `AntiCicloVir Df0:`
1050. Einzelne Dateien können nicht unterucht werden, sondern immer nur ganze
1051. Verzeichnisse !!!
1052. Deshalb sollten Sie NIE (!) einen Dateinamen angeben !
1053. Hiernach werden die Verzeichniseinträge aufgelistet und auf Virenbefall über-
1054. prüft.
1055. Im Normalfall steht dann hinter jeder Datei: `OK` ( = kein Virus gefunden ) !
1056. Ausserdem werden zu jedem Eintrag auch noch die Zustaende der `Protection-Bits`
1057. angezeigt, welche Auskunft darueber geben, ob die Datei gegen entsprechende
1058. Zugriffe geschuetzt ist !
1059. Dabei stehen folgende Zeichen fuer:
1060.  
1061. r = nicht lesegeschuetzt
1062. w = nicht schreibgeschuetzt
1063. e = Programm darf ausgefuehrt werden
1064. d = nicht loeschgeschuetzt
1065.  
1066. Neuerdings gibt es naemlich Fileviren, die sich mit gesetzten `Protection-Bits`
1067. abspeichern und nur durch Loeschen dieser Bits entfernt werden koennen.
1068. Aber natuerlich entfernt AntiCicloVir automatisch und ohne Rueckfrage
1069. diese Bits, wenn Sie sich fuer`s Loeschen eines Fileviruses entschieden
1070. haben !
1071. Hinter diesem Eintrag gibt AntiCicloVir schliesslich noch die Dateilaenge,
1072. sowie einen moeglichen Kommentar zur untersuchten Datei an.
1073. Ausserdem wird geprueft, ob es sich bei der Datei, um ein ausfuehrbres
1074. Programm oder nur um Daten handelt.
1075. Denn Linkviren koennen sich nur von ausfuehrbaren Programmen aus auf-
1076. rufen !
1077.  
1078. AntiCicloVir untersucht nun auch die Dateinamen des angewaehlten Verzeichnisses
1079. nach unsichtbaren Zeichen und gibt ggf. eine Wanung aus !
1080. Ca. 90 % der Fileviren kopieren sich als unsichtbare Datei weiter.
1081. Mit dieser Routine koennen also ca. 90 % der zukuenftigen Fileviren
1082. enttarnt werden !!!
1083. AntiCicloVir fragt Sie nun, ob es die Datei umbenennen soll.
1084. Haben Sie sich dafuer entschieden, so wird die unsichtbare Datei in
1085. `CRITICAL-Virus` umbenannt und sie koennen sie loeschen, sie sich an-
1086. schauen oder auf eine andere Diskette abspeichern ...
1087. Natuerlich wuerde ich mich freuen, wenn Sie mir dieses vermeintlich neue
1088. Filevirus zusenden wuerden !
1089.  
1090. Übrigens kann die Version 2.0 meines Linkviruskillers nun auch den
1091. Aufruf von Viren aus der `startup-sequence` löschen.
1092. Dabei wird ein Linkviruskiller-eigener Text (Eigenwerbung) in die unteren
1093. Bytes der `startup-sequence` geschrieben.
1094. Damit verschwindet automatisch ein möglicher ( unsichtbarer ) Virusaufruf.
1095. Dieser Kommentartext schützt die betroffene Diskette, auch vor einer
1096. erneuten Infektion mit manchen `Linkviren` !!!
1097. Einige `Linkviren` suchen in der `startup-sequence` an erster Stelle
1098. nach einem ASCII-Text und warten bis sie auf ein Returnzeichen treffen.
1099. Sie nehmen an, daß die ASCII-Zeichen vor dem Returnzeichen den Aufruf
1100. eines Programmes darstellen und suchen nun dieses Programm auf der
1101. Diskette, um sich dort hineinkopieren zu können.
1102. Da der Kommentartext kein gültiger Dateiname ist, werden die Viren dieses
1103. Programm nicht auf der Diskette finden und können sich somit nicht
1104. weiterkopieren !!
1105.  
1106.  
1107.  
1108.  
1109.  
1110.  
1111.  
1112.                   3.0 Benutzung von AntiCicloVir V2.0
1113.  
1114. Sie sollten sich AntiCicloVir auf jeder Diskette installieren, von der
1115. aus sie haeufig booten.
1116. Kopieren Sie sich dazu AntiCicloVir in`s Unterverzeichnis `c` und tragen
1117. Sie den Aufruf `:c/AntiCicloVir -c` in die `Startup-Sequence`, der
1118. jeweiligen Diskette, ein !
1119. Die Option `-c` bewirkt nun, dass AntiCicloVir einen Speichertest durch-
1120. fuehrt ohne dabei eine Fensterleiste zu installieren, so dass es nach dem
1121. Test in der `Startup-Sequence` gleich weiter geht.
1122. Durch diesen Test koennen Sie immer versichert sein, das keines der
1123. in dieser Dokumentation erwaehnten AMIGA-Viren, sich im Speicher befindet.
1124. Die Systemvektorentabelle gibt Ihnen 95 %ige Sicherheit, falls Sie ueber
1125. genuegend Kenntnisse verfuegen, sie auszuwerten !
1126. Allerdings werden die Resetvektoren ColdCapture, CoolCapture & KickTagPointer
1127. auch eigenstaendig von AntiCicloVir ueberwacht !
1128. Um sicher zu sein, dass sich keine AMIGA-Viren in Ihr System einschleichen
1129. koennen, sollten Sie natuerlich auch Disketten-Neuzugaenge mit AntiCicloVir
1130. ueberwachen !
1131. Benuzten Sie dazu den Bootsector- & Disk-Validatortest !
1132. Diese Tests erreichen Sie ueber die Hauptfunktion, indem Sie AntiCicloVir
1133. mit der Option `-m` oder ueber die Workbench starten.
1134. Legen Sie nun bei installierter Fensterleiste jede zu untersuchende
1135. Diskette in`s INTERNE Laufwerk  ein !
1136. Haben Sie so ein Bootblock-Virus gefunden, so sollten Sie die Diskette
1137. mit dem `CLI`-Befehl `install` installieren !!!
1138. Abschliessend ist es noch anzuraten, die Diskette, auf die immer
1139. haeufiger vorkommenden Link-, & Fileviren zu untersuchen !
1140. Gehen Sie dazu in`s `CLI` oder die `Shell` und starten AntiCicloVir
1141. mit dem Pfadnamen, fuer die zu untersuchende Diskette !
1142. Neben dem Hauptverzeichnis sollten Sie dann auch noch die Unterverzeichnisse
1143. `c`, `l` & `libs` auf Link-, & Fileviren testen.
1144.  
1145.  
1146.  
1147.  
1148.  
1149.  
1150.  
1151.  
1152.  
1153.  
1154.  
1155.  
1156.  
1157.  
1158.  
1159.  
1160.                       4.0 Programminformationen
1161.  
1162. Natürlich bin ich immer an neuen AMIGA-Viren interessiert !
1163. Sollten Sie selbst neue Viren haben, dann können Sie sie an meine
1164. Adresse mit einem entsprechenden Vermerk gekennzeichnet schicken !
1165. Ich werde Ihnen dann die neueste Version von `AntiCicloVir` zuschicken
1166. und Sie in meiner `Dokumentation` erwähnen !
1167. Ich möchte noch einmal darauf hinweisen, daß ich für die volle Fehler-
1168. freiheit von `AntiCicloVir` nicht garantieren kann.
1169. Allerdings habe ich unzählige Male alle Routinen in verschiedensten
1170. Situationen getestet und mir ist nie ein Fehler aufgefallen !
1171. AntiCicloVir wurde mit dem `masterseka v1.51` in ASSEMBLER geschrieben und müßte unter
1172. allen gängigen `KickStart`s laufen.
1173. Es werden keine bestimmten System-Bibliotheks-Versionen beansprucht
1174. und das Programm benötigt auch keine festen ROM-Adressen !
1175. Ich habe dieses Programm extra so programmiert, daß es unter allen
1176. gängigen und hoffentlich auch zukünftigen KickStart-Versionen 
1177. funktionieren müßte !
1178. Getestet wird AntiCicloVir unter KickStart V1.2 & V2.04 !
1179. Auch mit KickStart V1.3 sollte es voll zusammenarbeiten !
1180. Ausser unter KickStart V1.0 muesste AntiCicloVir jedoch mit allen
1181. Betriebsssystemsversionen zusammenarbeiten ...
1182. Nur die ROM-Adressen koennen, unter noch unbekannten KickStart-Versionen
1183. ,nicht zurueckgesetzt werden, so dass AMIGA-Viren im Speicher nur ange-
1184. zeigt werden oder durch einen Reset geloescht werden koennen.
1185. AntiCicloVir gibt Ihnen dann in jedem Einzelfall die entsprechenden
1186. Hinweise aus, was zu tun ist.
1187.  
1188. Das Programm benötigt die Datenregister : d0-d7
1189. "   "        "        "   Adressregister: a0--a6
1190. Das Programm benötigt die 
1191.                       Systembibliotheken: `exec.library ( keine Version bevorzugt. )
1192.                                           `dos.library` ( keine Version bevorzugt )
1193. "   "        "        "                   `intuition.library` ( keine Version bevorzugt )
1194.                       Geraetetreiber    : `trackdisk.device`
1195.  
1196.                    Bibliotheksfunktionen:  AddPort ()
1197.                        AllocAbs ()
1198.                                            AllocMem ()
1199.                        AllocSignal ()
1200.                                            AutoRequest ()
1201.                                            Close ()
1202.                                            CloseDevice ()
1203.                        CloseLibrary ()
1204.                                            CloseWindow ()
1205.                        CopyMem ()
1206.                                            CurrentDir ()
1207.                                            Delay ()
1208.                                            DeleteFile ()
1209.                        DoIO ()
1210.                        Examine ()
1211.                            ExNext ()
1212.                                            FreeMem ()
1213.                        FreeSignal ()
1214.                        FindSignal ()
1215.                                            FindTask ()
1216.                                            GetMsg ()
1217.                        Lock ()
1218.                                            Open ()
1219.                        OpenDevice ()
1220.                                            OpenLibrary ()
1221.                                            OpenWindow ()
1222.                                            Read ()
1223.                        RemPort ()
1224.                                            Rename ()
1225.                        SetProtection ()
1226.                        UnLock ()
1227.                        WaitIO ()
1228.                                            WaitPort ()
1229.                                            Write ()
1230.                                           
1231.  
1232. Die wichtigste Neuerung in dieser Version, ist die Routine zum Testen
1233. der Boot-Sektoren und des Disk-Validators, von jeder eingelegten Diskette,
1234. bei aktivierter Fensterleiste.
1235. Aber auch die Routine zum Untersuchen von Verzeichnissen wurde ueber-
1236. arbeitet, so dass jetzt zusaetzlich zum Dateinamen, auch noch `Protection-Bits`,
1237. Dateilaenge, Kommentar, Dateiart und unsichtbare Zeichen im Dateinamen
1238. angezeigt werden koennen.
1239. Ausserdem wurde noch eine , jetzt ueberfluessige, Routine aus dem Programm
1240. entfernt, sowie weitere kleinere Aenderungen vorgenommen, die ich nicht
1241. alle Beschreibungen moechte.
1242.  
1243.  
1244.  
1245.  
1246.  
1247.  
1248.  
1249.  
1250.  
1251.  
1252.  
1253.  
1254.  
1255.  
1256.  
1257.  
1258.  
1259.                       5.0 Virus-Definitionen
1260.  
1261. An dieser Stelle möchte ich ( vor allem für Anfänger ) noch einmal kurz be-
1262. schreiben was Computerviren eigentlich genau sind, welche Kriterien erfüllt
1263. sein müßen, damit wir von einem Computervirus sprechen können und welche Arten
1264. es momentan gibt !
1265. Mit definiert ein Computervirus eigentlich als ein Programm, welches folgende
1266. Eigenschaften erfüllt:
1267.  
1268. 1. Reproduktionsfähigkeit
1269. 2. Funktionalität
1270.  
1271. Die Reproduktionsfähigkeit ist eigentlich die wichtigste Eigenschaft, die für
1272. sich allein schon ausreicht, um von einem Computervirus sprechen zu können.
1273. Ein Programm, das sich selbst weiterkopiert ist in jedem Falle ein Virus.
1274. Man hat die Bezeichnung `Virus` aus der Biologie übernommen, wo ja ebenfalls
1275. kleinste Eiweiß-Moleküle ihren Wirtorganismen nicht selten arg beisetzen.
1276. ( Virus lat. = Gift )
1277. Bei der Funktionalität handelt es sich um die spezifische Eigenschaft eines
1278. Viruses.
1279. Dies können Textausgaben, Grafiken, Störungen, Systemabstürze, Datenverluste
1280. ja sogar in einigen wenigen Fällen `Hardware`-Schäden sein.
1281. Man könnte sagen, daß der Teil eines Viruses, der für die Reproduktions-
1282. fähigkeit sorgt, sozusagen der Informationsträger ist und die  Eigenschaft, 
1283. die Information, die der Virusprogrammierer uns so zukommen lassen möchte.
1284. Und dies können eben Grüße an bestimmte Personen oder Gruppen sein oder eben
1285. als Ausdruck von Zerstörungswut: `Software`-Schäden !
1286. Man muß aber auch noch erwähnen, daß zu der gewollten Funktionalität eine un-
1287. gewollte kommen kann, die durch Programmierfehler entsteht.
1288. Diese macht Viren ebenfalls gefährlich !!!
1289.  
1290. Sie werden vielleicht bemerkt haben, daß in meiner Sammlung einige Viren nicht
1291. vorhanden sind, die schon fast jeder andere Antivirus-Programmierer besitzt.
1292. Dabei handelt es sich i.d.R. um sogen. `Möchtegern`-Viren, die von Anfängern
1293. programmiert worden sind.
1294. Diese Programme bringen es meistens nicht weiter als bis zum `GURU` und sind
1295. deshalb nicht gefährlicher als ein fehlerhaftes PD-Programm ...
1296.  
1297.  
1298.  
1299.  
1300.  
1301.  
1302.                       1.0 `Bootblock`-Viren
1303.  
1304. Der `Bootblock` des AMIGA`s war eigentlich für spezielle Laderoutinen oder
1305. `Intro`s gedacht, wurde jedoch das erste Opfer der Virusprogrammierer.
1306. Das `SCA`-Virus war das erste seiner Art, welches auf dem AMIGA erschien.
1307. Die Blöcke 0 und 1 auf der äußeren Spur einer Diskette stellen den `Bootblock`
1308. dar.
1309. In diesem erwartet das Betriebssystem die Kennung `DOS0`, eine Prüfsumme (
1310. die `BootCheckSum` ), einen Zeiger auf den `Rootblock`, eine Routine zum
1311. Initialisieren der `dos.library` und evtl. ein ausführbares Programm.
1312. Jedesmal wenn Sie nach einem `Reset` eine Diskette einlegen, wird ein der-
1313. artiges Programm im `Bootblock` gestartet - also eine ideale Bedingung für
1314. Viren.
1315. Diese `Bootblock`-Viren brauchen sich, nach dem Durchführen der `Boot`-Prozedur
1316.  nur noch in den Speicher zu kopieren und zu installieren und zu warten
1317. bis sie dort aktiviert werden ...
1318. Die meisten AMIGA-Viren sind `Bootblock`-Viren !
1319.  
1320.  
1321.  
1322.  
1323.  
1324.  
1325.  
1326.  
1327.                       2.0 `File`-Viren
1328.  
1329. Die `Fileviren` sind die am leichtesten zu programmierende Virusart.
1330. Sie stehen wie ein normales Programm auf der Diskette und sind durch den
1331. Aufruf ihres Namens ausführbar.
1332. Das erste `Filevirus`, war das `BGS 9`-Virus, welches die `Startup-Sequence`
1333. nach dem ersten ausführbaren Programm durchsucht, es unter einem unsichtbaren
1334. Namen im Verzeichnis `DEVS:` abspeichert und sich selbst anstelle des ersten
1335. Programmes kopiert !
1336. Nach jedem Abarbeiten der `Startup-Sequence` wird als erstes das `BGS 9`-Virus
1337. aktiv und läßt das Original-Programm ausführen.
1338. Diese Methode hat sich allerdings nicht durchsetzen können ...
1339. Beliebter ist folgendes Prinzip !
1340. Das Virus kopiert sich unter einem unsichtbaren Namen oder einem Tarnnamen
1341. auf die Diskette und trägt diesen in die `Startup-Sequence` ein.
1342. Nach jedem Abarbeiten der `Startup-Sequence` wird es aktiv und kopiert sich in den
1343. Speicher und installiert sich im System !
1344.                                           
1345.  
1346.  
1347.  
1348.  
1349.  
1350.  
1351.  
1352.  
1353.  
1354.  
1355.                       3.0 `Link`-Viren
1356.  
1357. Das erste `Linkvirus` war das `IRQ`-Virus !
1358. Lange Zeit gab es wenige `Linkviren`, da sie als schwer programmierbar galten.
1359. Ein `Linkvirus` befällt immer ein Original-Programm und verlängert es um seinen
1360. eigenen Code.
1361. Das `IRQ`-Virus beispielsweise sucht in der `Startup-Sequence` nach dem ersten
1362. ausführbaren Programm und infiziert es, ansonsten infiziert es den `CLI`-Befehl
1363. `DIR` !
1364. Das Infizieren ist die schwierigste Phase !
1365. Eine Programmdatei besteht immer aus mindestens einem `Hunk` ( Brocken/Paket ).
1366. Diese `Hunk`s sind die eigentlichen Programme und werden erst beim `Linken`
1367. ( verbinden ) zu einer Programmdatei erstellt.
1368. Wenn Sie z. B. mit einem Compiler mehrere Programme und `Include`-Dateien zu
1369. einem ausführbaren Programm machen wollen, dann müßen diese von einem `Linker`
1370. verbunden werden.
1371. So ein Verbund ist eine Programmdatei, in der die einzelnen Programme in
1372. Form von `Hunk`s enthalten sind.
1373. Diese `Hunk`s müßen natürlich noch durch eine Struktur organisiert werden und
1374. das ist der `Hunk-Header` oder die `Hunk-Table` !
1375. In dieser Tabelle steht, daß es sich um eine ausführbare Programmdatei handelt,
1376. die Anzahl der `Hunk`s, deren Längen, evtl. Namen, `Reloc`-Werte für die Adreß-
1377. korrektur im Speicher etc ...
1378. Ein `Linkvirus` vom Type `IRQ` kopiert sich selbst als zusätzlicher `Hunk`
1379. in diese Programmdatei und führt die Berechnung sämtlicher o.g. Werte durch,
1380. was relativ kompliziert ist ...
1381. Doch mit dem Auftauchen von `Linkviren` wie `Golden Rider` oder `LZ`, hat sich
1382. einiges geändert !
1383. Diese `Linkviren` kopieren sich an das Ende eines `Hunk`s aus einer Programm-
1384. datei und brauchen so nur ihre Länge, zu der des Original-`Hunk`s zu addieren.
1385. Also eine weitaus einfacherer Berechnungsmethode ...
1386. Deshalb ist die Zahl der `Linkviren` in letzter Zeit wieder am Zunehmen ...
1387.  
1388.  
1389.  
1390.  
1391.  
1392.  
1393.  
1394.  
1395.  
1396.  
1397.  
1398.  
1399.  
1400.  
1401.                       4.0 `Disk-Validator`-Viren
1402.  
1403. Eine Besonderheit des AMIGA`s stellen die `Disk-Validator`-Viren dar, da sie
1404. eine Eigenart dieses Betriebssystems ausnutzten, um sich zu vermehren.
1405. Das erste `Disk-Validator`-Virus war `Return of the Lamer Exterminator` !
1406. Nun aber zur Problematik dieser Virusart !
1407. Wenn Informationen auf Disketten abgespeichert werden sollen, dann geschieht
1408. dies zweckmäßigerweise in Form von Datenblöcken.
1409. Beim AMIGA werden die Datenblöcke durch noch weitere Blöcke, die nur Disketten-
1410. Interne Informationen enthalten,  verwaltet.
1411. Dabei stehen im sogen. `BitMapBlock` oder `BAM` ( `Block Allocation Map` )
1412. die Adressen der belegten und freien Datenblöcke !
1413. Dies ist für`s Betriebssystem wichtig, da es sonst beim Abspeichern von Daten
1414. auf Diskette nicht wüßte, wo noch Platz ist und welche Blöcke schon belegt
1415. sind !
1416. Ist dieser `BitMapBlock` ungültig oder unauffindbar, so hat die Diskette einen
1417. `Disk-Validating Error` und es können keine Informationen auf ihr mehr abge-
1418. speichert, wohl aber von ihr gelesen werden !
1419. Um doch noch Informationen auf diese Diskette abspeichern zu können, hat
1420. `Commodore` den `Disk-Validator` programmieren lassen !
1421. Dieses kurze Programm steht im Verzeichnis `L:` und hat die Aufgabe, alle
1422. Adressen von belegten und freien Blöcken einzulesen und in einer provisorischen
1423. `BitMap` im Speicher abzulegen !
1424. Für diesen Zeitraum kann mit der Diskette wieder normal gearbeitet werden.
1425. Die `Disk-Validator`-Routine wird automatisch vom Betriebssystem von der
1426. Diskette gestartet, ohne daß der Anwender Einfluß darauf hat ...
1427. Die `Disk-Validator`-Viren kopieren sich selbst als `Disk-Validator` auf
1428. die `Diskette` in`s Verzeichnis `L:` und verbiegen anschließend den Zeiger
1429. auf den `BitMapBlock` im `RootBlock` auf eine sinnlose Adresse, so daß die
1430. Diskette einen `Disk-Validating Error` hat.
1431. Wird diese Diskette nun in`s Laufwerk gelegt, so lädt `AmigaDOS` automatisch
1432. das `Disk-Validator`-Virus nach und dieses kann sich so im Speicher installieren.
1433. Diese Viren sind die einzige Art, die schon durch das bloße Einlegen einer
1434. infizierten Diskette aktiv werden.
1435. Ab `KickStart 2.0` befindet sich die `Disk-Validator`-Routine jedoch im
1436. `ROM`, so daß diese Viren nur unter `KickStart 1.2 & 1.3` funktionieren.
1437.             
1438.  
1439.  
1440.  
1441.  
1442.  
1443.  
1444.  
1445.                       5.0 Trojanische Pferde 
1446.  
1447. Als Trojanische Pferde werden Programme bezeichnet, die den Anwender durch
1448. eine sinnvolle Funktion täuschen oder selbst ein Anwendungsprogramm simulieren
1449. und in Wahrheit irgendwelche unerlaubten Sachen anstellen ...
1450. Anfangs waren Trojanische Pferde vor allem in der Datenfernübertragung ver-
1451. breitet, wo sie genutzt wurden, um `SYSOP`s durch nützliche Utilities zu
1452. betören, die gleichzeitig Bandwurm-Programme installierten.
1453. Diese Bandwürmer dienten `Hacker`n dazu, um auf illegalem Wege, an Paßwörter
1454. für nicht öffentliche Datenbanken zu gelangen ...
1455. Aber so viel nur am Rande ...
1456. In der Virusprogrammierung spielen Trojanische Pferde vor allem als
1457. Installationsprogramme für Viren eine wichtige Rolle.
1458. Sie simulieren entweder simple `CLI`-Befehle oder durchaus nützliche An-
1459. wendungen und haben in Wahrheit, nur die Aufgabe Viren zu verbreiten ...
1460.                               
1461.          
1462.  
1463.  
1464.  
1465.  
1466.  
1467.  
1468.  
1469.  
1470.  
1471.  
1472.  
1473.  
1474.                       6.0 Bomben
1475.  
1476. Als Bomben bezeichnet man in der Informatik Programme, die sich für eine
1477. gewisse Zeit im System verstecken und schließlich beim Eintreten einer
1478. bestimmten Bedingung ( Datum, Diskette einlegen, Programm starten etc ...)
1479. losschlagen ...
1480. Meist` kommt es zu einem verheerenden Zwischenfall:
1481. Alle Disketten in allen angeschlossenen Laufwerken werden formatiert etc ...
1482. Diese Bomben können als Programm im Verzeichnis-System oder auch als
1483. `Bootblock` auf Diskette stehen !
1484.  
1485.  
1486.  
1487.  
1488.             
1489.  
1490.  
1491.  
1492.  
1493.  
1494.  
1495.  
1496.  
1497.  
1498.  
1499.                            Anhang A
1500.  
1501. In diesem Anhang werden noch einmal die Computerviren beschrieben,
1502. die `AntiCicloVir` erkennt.
1503.  
1504.  
1505.  
1506.  
1507.  
1508.                  `Revenge Of The LAMER Exterminator`
1509.  
1510. Von diesem Virus erkennt `AntiCicloVir` die beiden Varianten des 
1511. `Revenge of the Lamer-Exterminator`-Viruses 1 und das `Revenge of
1512. the Lamer-Exterminator`-Virus 2. 
1513. Über diese Viren wurde schon oft viel geschrieben.
1514. Momentan gibt es acht verschiedene Bootblock-Viren, des Types `LAMER
1515. Exterminator` und das `U.K. LAMER Style`-Bootblock-Virus, sowie zwei
1516.  verschiedene Fileviren dieser Art:
1517. `Revenge of the Lamer-Exterminator 1`,`Revenge of the Lamer-Exterminator 2`,
1518. Außerdem gibt es noch zwei Trojanische Pferde ( `LAMER LoadWB` & `LAMER
1519. VirusX` ), sowie ein `Disk-Validator`-Virus: `Return of the Lamer Exterminator`.
1520. Davon erkennt zur Zeit `AntiCicloVir` alle `File-`, `Disk-Validator`,
1521. `Bootblock`-Viren und Trojanische Pferde !
1522. Das `Return of the LAMER Exterminator`-Virus ist das derzeit aktuellste
1523. Virus der `LAMER Exterminators` und ich vermute wohl auch letzte,
1524. da ich schon lange von diesen Programmierern nichts mehr gelesen habe !
1525. Die `Ideologie` der Programmierer der `Lamer Exterminator`-Viren ist es,
1526. alle Anfänger bzw. Leute, die den Amiga nur zum `Daddeln` brauchen zu
1527. frustrieren, damit sie den Amiga aufgeben.
1528. Nach deren Meinung schaden diese Leute nur dem Image des Amiga`s und
1529. trugen zum erheblichen Teil dazu bei, daß dieser Rechner zum `Spiele-
1530. computer` verschrien wurde.
1531. Sie gehen davon aus, daß es sich bei diesen `LAMER`n ( bedeutet so viel,
1532. wie `Anfänger` oder `Versager`) um Leute handelt, die entweder 
1533. nicht genügend Ahnung von ihrem Rechner haben ( und auch nicht 
1534. haben wollen ) oder daß diese Leute sowieso `unintelligent` sind.
1535. Diese Viren sind somit auch gewisse `LAMER-Tests`, denn nach der
1536. Meinung der Programmierer können nur Anfänger auf derartige Programme
1537. hereinfallen und gerade die sollen ja mit diesen Programmen wohl
1538. auch getroffen werden. 
1539. Sie erhoffen sich davon, daß ständiges Formatieren und Zerstören von
1540. Disketten ihnen den Spaß am Amiga verdirbt ...
1541.  
1542. `AntiCicloVir` erkennt die beiden Varianten des `Revenge of the
1543. Lamer-Exterminator`-Viruses, sowie das `Revenge of the Lamer-Exterminator`-
1544. Virus 2 !
1545. Im Folgenden werde ich hauptsächlich nur das `R.L.E.`-Virus Nr. 1
1546. beschreiben.
1547.  
1548. Vom `Revenge of the Lamer-Exterminator`-Virus 1 gibt es zwei Varianten !
1549. Die erste tarnt sich als `Dos-speedup`-Programm mit dem Namen
1550. `DosSpeed` und kann wohl nur durch einen unwissenden Benutzer selbst
1551. aktiviert werden, der dieses Programm von der Diskette startet.
1552. Die zweite Variante tarnt sich als unsichtbares Programm auf der
1553. Diskette und schreibt ihren Aufruf in die `s/startup-sequence` !
1554. Mit jedem Abarbeiten der `s/startup-sequence` nach einem Boot-Vorgang
1555. wird das Virus aktiviert.
1556. Das Virus schreibt sich unter einem Namen, der in hexadezimal dem Wert
1557. $A0A0A0A0A0 entspricht, auf die Diskette.
1558. Geben Sie im AmigaDOS den Befehl `type "[Tastenkombination]"` an, dann
1559. können Sie dieses unsichtbare Programm aufgelistet bekommen.
1560. Auch wenn Sie die `s/startup-sequence` auflisten, können Sie den
1561. Aufruf an erster Stelle an den Bytes `A0A0A0A0A0` erkennen.
1562. Im Diskettenverzeichnis werden Sie dieses Virus jedoch vergeblich
1563. suchen, da es das Archivierungsbit setzt !
1564.  
1565. Sobald das Virus gestartet wurde, setzt es eine `MemList`-Struktur in
1566. den Speicher und verbiegt den KickTagPtr *`.
1567. So ist es nach jedem RESET aktiv.
1568. Das Virus scheint auch verschiedene Adressen und Register zu manipulieren,
1569. so daß Viruskiller beispielsweise genarrt werden.
1570. Befindet sich das Virus nämlich im Speicher, so erkennen es viele
1571. Viruskiller gar nicht auf der Diskette.
1572. Wenn Sie sich jetzt die `s/startup-sequence` einer befallenen Diskette
1573. oder etwa das Virus selbst anschauen wollen, so werden Sie nichts
1574. finden !!
1575. Denn das Virus im Speicher hat sich praktisch auf der Disk ausgeblendet.
1576. Deshalb sollten Sie sich auch IMMER vergewissern, ob sich nicht womöglich
1577. das `Revenge of the Lamer-Exterminator`-Virus im Speicher befindet,
1578. wenn Sie gerade mit einem Linkviruskiller eine Diskette auf dieses
1579. Virus hin überprüfen !!
1580. Übrigens hat dieses Virus auch einige Fehler - zumindest unter `KickStart 1.2` !
1581.  
1582. Nach einiger Zeit beginnt das Virus mit der `Formatierungsroutine`.
1583. Ist die aktuelle Diskette zu diesem Zeitpunkt schreibgeschützt, so
1584. macht sich das Virus nur durch ein verräterisches Aufblinken der
1585. `Laufwerks-LED` bemerkbar und bricht die Routine sofort wieder ab
1586. und wartet weitere zehn Minuten !!
1587.  
1588. Ist die Diskette jedoch nicht schreibgeschützt, so beginnt das Virus
1589. damit die Diskette zu formatieren und schreibt wohl in jeden Daten-
1590. block das Wort `Lamer` hinein ! 
1591. Nachdem die Diskette zerstört ist, erscheint noch ein drei Seiten ( ! )
1592. langer `Alert` !
1593. Der einfachere Weg, um sich in den Genuß derartigen Textwerkes zu
1594. bringen besteht darin, daß man sich seine Diskette von dem `Revenge
1595. of the Lamer-Exterminator`-Virus zerstören läßt und sich anschließend
1596. den `Alert` durchliest !
1597. Der etwas kompliziertere Weg wäre das Durchlesen des Anhanges A aus
1598. meiner Dokumentation.
1599. Hier folgt nun also gleich der englischsprachige Text aus diesem
1600. `Alert` !
1601. Für uns dummen `Lamer`s wurde dieser Text extra in einem sehr
1602. simplen umgangssprachlichen Englisch abgefaßt, so damit wir ( die
1603. Zielgruppe ) ihn ja auch verstehen können.
1604. Ich möchte noch einmal betonen, daß der Inhalt dieses folgenden Textes
1605. keineswegs mit meiner Meinung übereinstimmt !!!!!!
1606. Deshalb habe ich ihn auch in Anführungszeichen gesetzt !!
1607. Ebenfalls erwähnen möchte ich, daß die einzelnen Absätze mit dem
1608. von mir wiedergegebenen Text, nicht mit dem Originaltext übereinstimmen
1609. müssen !
1610. Es folgt der `Revenge of the Lamer-Exterminator`-Alert:
1611.  
1612.  
1613.  
1614.  
1615.                Revenge Of The Lamer-Exterminator
1616.  
1617.                          RED ALERT:
1618.  
1619. `It has come to my attention that the person using this computer
1620.  is a LAMER. (+)
1621.  We the people, who are responsible for the "Revenge of the LAMER
1622.  Exterminator" Virus, believe that only intelligent folk are fit
1623.  to use the AMIGA Personal Computer.
1624.  Since you were apparently not smart enough to prevent infection of
1625.  your computer and software by this virus
1626.  ( You should have used a condom )
1627.  we must assume that you are a LAMER ( a.k.a. LOSER ) and therefore
1628.  we had no alternative but to erase your floppy disk(s) in order
1629.  to get your attention.
1630.  
1631.                    - Press Any Mousebutton -
1632.  
1633.  We are eagerly looking forward to the first Amiga magazine that
1634.  explains the inner workings of this brilliant ( at least we think
1635.  so ) virus.
1636.  However, we are not very confident, since the three versions of
1637.  the original LAMER Exterminator Virus have never really been
1638.  properly analysed in any Amiga magazine.
1639.  
1640.  We have made this virus a little bit more aggressive so that more
1641.  people will recognize it and hopefully will learn something so as
1642.  to overcome the dreadful disease of LAMERism.
1643.  
1644.  By the way , the A in LAMER is pronounced like the A in DAY ( LAMER
1645.  people do not know proper English in our experience )
1646.  
1647.                    - Press Any Mousebutton -
1648.  
1649.  
1650.                   Signed
1651.  
1652.  Foundation for the Extermination of LAMERS. ( ++ )
1653.  
1654.  (+) You can recognize a LAMER or LOSER as someone who can only
1655.  use the Ctrl-Amiga-Amiga keys on his Amiga, and might even know
1656.  how to load X-Copy ...
1657.  
1658.  (++) Due to the primitive and violent nature of some LAMERS,
1659.  we have decided against revealing our real identities, so as
1660.  to prevent unnecessary visits to the local hospital on our part !`
1661.  
1662.                    Coming soon to a theatre near
1663.                               you:
1664.  
1665.                      +++ The Lamer Exterminator -
1666.                          A new Beginning +++
1667.  
1668.                             Rated PG
1669.  
1670.        - Press Any Mousebutton To Continue Being A LAMER -
1671.  
1672.  
1673. Das `Revenge of the Lamer-Exterminator`-Virus 2 funktioniert so ähnlich
1674. wie sein `Vorgänger` !
1675.  
1676. Im Gegensatz zur Version 1.0 von `AntiCicloVir`, erkennt die neue Version
1677. 1.1 das `Revenge of the Lamer-Exterminator`-Virus nun auch im
1678. Speicher und warnt Sie davor !
1679. Leider kann es das Virus nicht komplett aus dem Speicher löschen, da
1680. es einfach zu viele Vektoren verbiegt (über ein halbes Dutzend ) !
1681. Bei derartig vielen verbogenen Vektoren besteht für mich zum Einem
1682. die Gefahr, daß ich nicht weiß wie man einzelne Zeiger zurücksetzt,
1683. oder sie gar übersehe und zum Anderen die Gefahr, daß die Adressen
1684. bestimmter `ROM`-Routinen unter anderen `KickStart`-Versionen ver-
1685. schieden sind und `AntiCicloVir` so evtl. auf anderen Rechnern nicht
1686. funktioniert !!
1687. Deshalb erscheint nachdem `AntiCicloVir` dieses Virus im Speicher
1688. gefunden hat, eine Meldung in der Sie aufgefordert werden alle
1689. W I C H T I G E N Diskettenoperationen abzuschließen und anschließend
1690. einen Reset auszuführen !!
1691. Das Programm hat die Resident-Vektoren mittlerweile zurückgesetzt,
1692. so daß es nach einem Reset gelöscht ist.
1693. Aber ansonsten ist dieses Virus noch vollkommen aktiv im Speicher
1694. tätig und kann innerhalb der nächsten acht Minuten Ihre Diskette
1695. zerstören !!!
1696. Deshalb sollten Sie wirklich nur WICHTIGE Diskettenoperationen ausführen
1697. ( Beispiel: Eine wichtige Datei, die nur im Speicher steht, noch schnell
1698.             auf eine Disk abspeichern ! )
1699. A C H T U N G !!!
1700. Auch nachdem `AntiCicloVir` dieses Virus im Speicher erkannt und
1701. zwei Zeiger gelöscht hat, kann es es weiterhin nicht auf der Diskette
1702. erkennen, so lange es im Speicher steht !
1703. Deshalb am besten gleich Reset auslösen !!
1704. Dafür erkennt es aber beide Varianten des `Revenge of the Lamer-Exterminator`-
1705. Virus 1 und das `Revenge of the Lamer-Exterminator`-Virus 2 und löscht
1706. sie sofort !
1707.  
1708.  
1709.  
1710.  
1711.  
1712.  
1713.  
1714.  
1715.  
1716.  
1717.  
1718.                            `Lamer LoadWB`
1719.  
1720.  
1721. Bei diesem 4172 Bytes großen Trojanischem Pferd handelt es sich um ein Programm,
1722. welches sich im `c`- oder Hauptverzeichnis als `CLI`-Befehl
1723. `LoadWB` tarnt !
1724. Gleich nach seinem Aufruf erzeugt es allerdings das alte `LAMER 
1725. Exterminator`-Bootblock-Virus im Speicher und lädt anschließend die
1726. `Workbench` !
1727. Das `LAMER Exterminator`-Virus ist hiernach sofort aktiv und kann alle
1728. ungeschützten Disketten infizieren, indem es sich in den `Bootblock`,
1729. der jeweiligen Disketten kopiert !
1730. Das `LoadWB`-Programm kann sich jedoch selbst nicht weiterkopieren !
1731. Bei diesem Programm handelt es sich auch noch um ein sehr altes
1732. Exemplar, aus der Phase der `LAMER Exterminator`-Programmierung !
1733. Der ASCII-Text `The LAMER Exterminator ...` im Programm `LoadWB`
1734. ist beispielsweise nicht kodiert und kann so leicht als Virus
1735. identifiziert werden !
1736. `AntiCicloVir` kann das `Bootblock`-Virus `LAMER Exterminator`
1737. im Speicher löschen ! ( Bitte lesen Sie dazu auch `LAMER Exterminator (alt) `
1738. im `Anhang B` ! )
1739. Mein Viruskiller erkennt dieses Trojanische Pferd auf der Diskette und
1740. löscht es, sobald er es auf der Diskette gefunden hat.
1741. Da es sich selbst nicht weiterkopiert, kann es sich nur auf Disketten
1742. befinden, auf die es jemand mit oder ohne Absicht kopiert hat !
1743. Es wird also nicht weit verbreitet sein !
1744.  
1745.  
1746.  
1747.  
1748.  
1749.  
1750.  
1751.  
1752.  
1753.  
1754.  
1755.                            `Lamer VirusX`
1756.  
1757. Dieses 13192 Bytes große Trojanische Pferd tarnt sich als `VirusX 3.10` von Steve Tibbett !
1758. Entgegen meinen früheren Behauptungen erzeugt dieses `VirusX 3.10` nicht
1759. das alte `LAMER Exterminator`-Virus im Speicher, sondern das Virus
1760. `LAMER Exterminator VIII` !
1761. Selbstverständlich erkennt das `Lamer VirusX`-Virus das `LAMER Exterminator`-
1762. Bootblock-Virus nicht im Speicher !
1763. Dafür kann es anscheinend die `Bootblock`-Viren `Obelisk`,`North Star`,
1764. `SCA`,`Byte Bandit`,`Byte Warrior`,`Revenge`,`Pentagon-Slayer` und
1765. `SystemZ`, sowie das `IRQ`-Linkvirus erkennen !
1766. `AntiCicloVir` löscht `Lamer VirusX` sobald er es gefunden hat !
1767.  
1768.  
1769.  
1770.  
1771.  
1772.  
1773.  
1774.  
1775.  
1776.  
1777.                   `Return of the Lamer Exterminator`
1778.  
1779.  
1780. Dieses 1848 Bytes große `Disk-Validator`-Virus ist meiner Meinung nach das gefährlichste
1781. Programmvirus ,das in dieser Dokumentation beschrieben wird !
1782. Dieses Disk-Validator-Virus ist sozusagen der `Urgrossvater` aller
1783. Disk-Validator-Viren !
1784. ALLE Disk-Validator-Viren enthalten den Code von `Return of the Lamer
1785. Exterminator` !
1786. Man kann folgende Einteilung vornehmen !
1787. Die erste Generation wird vom `Return of the Lamer Exterminator`-Virus
1788. gebildet, die zweite vom `SADDAM`-Virus und die dritte von seinen
1789. Mutationen und `DiskVal1234` !
1790. Das `SADDAM`-Virus war eine sehr professionelle Mutation des `Return
1791. of the Lamer Exterminator`-Viruses !
1792. Da es erheblich verbessert wurde, konnte es sich viel schneller verbreiten,
1793. als das `Return of the Lamer Exterminator`-Virus selbst und es so in den
1794. Schatten stellen.
1795. Das `Return of the Lamer Exterminator`-Virus ist wie sonst alle Viren
1796. nur mithilfe des Befehls `SetPatch r` resetfest unter KickStart V1.3,
1797. waehrend das `SADDAM`-Virus eine spezielle Reset-Routine besitzt, die
1798. es ihm ermoeglicht, unter KS 1.3 auch einen Reset ohne `SetPatch r` zu
1799. ueberleben !
1800. Dadurch konnte es sich schneller vermehren als das `Return of the Lamer
1801. Exterminator`-Virus !
1802. Ausserdem kopiert sich das `Return of the Lamer Exterminator`-Virus nur
1803. beim Booten als `Disk-Validator` auf die Diskette, waehrend sich das
1804. `SADDAM`-Virus schon beim Einlegen einer Diskette, auf diese kopieren
1805. kann !
1806. Von entscheidendem Vorteil war aber auch die Faehigkeit, selbst das
1807. Unterverzeichnis `L` anzulegen, in dem sich der `Disk-Validator` befindet,
1808. so dass das `SADDAM`-Virus praktisch JEDE Diskette infizieren kann !
1809. ALLE neuen Disk-Validator-Viren sind Mutationen des `SADDAM`-Viruses,
1810. genauso wie `DiskVal1234` !
1811. Wie bereits erwähnt, tarnt sich das `Return of the Lamer Exterminator`-Virus
1812. als `Disk-Validator` im Verzeichnis `L` einer infizierten Diskette !
1813. Im Gegensatz zum echten `Disk-Validator`, beinhaltet es keinen `ASCII`-Text.
1814. Es kopiert sich nur auf Disketten, die selbst ein `L`-Verzeichnis besitzen
1815. und kann also kein eigenes Verzeichnis anlegen !
1816. Nachdem es eine Diskette infiziert hat, setzt es den BitMap-Zeiger der
1817. BAM ( Block Allocation Map ) aus dem Rootblock auf eine sinnlose
1818. Adresse, wo natuerlich keine gueltige BAM steht.
1819. Diese ungültige `BAM` veranlaßt das Betriebssystem Ihres Rechners, schon
1820. beim Einlegen einer infizierten Diskette, den `Disk-Validator` zu starten.
1821. Dadurch wird das Virus automatisch aktiviert !!!
1822. In der `BAM` jeder Diskette stehen die Angaben über die bereits belegten
1823. Datenblöcke einer Diskette.
1824. Diese Angaben sind für AmigaDOS wichtig, damit es beim späteren Abspeichern
1825. von Programmen weiß, welche Blöcke nicht mehr überschrieben werden können !
1826. Ist diese `BAM` ungültig, so hat die Diskette einen `Disk Validating Error`
1827. und muß `validiert` werden !
1828. Das Betriebssystem startet dafür die Routine `Disk-Validator` im Verzeichnis
1829. `L`, um alle Block-Angaben in den Speicher zu lesen, damit die Diskette
1830. doch noch beschrieben werden kann !
1831. Nur die Betriebssysteme `KickStart V1.2 & V1.3` rufen den `Disk-Validator`
1832. von der Diskette auf !
1833. Höhere Versionen beinhalten in bereits im ROM !!!
1834. Beachten Sie bei diesem Virus auch, daß es schon beim Einlegen einer
1835. infizierten Diskette als Virus im Speicher steht !
1836. Im Speicher verbiegt es die Vektoren KickTagPtr * und KickCheckSum * auf
1837. eine eigene `MemList`-Struktur, mit der es resetfest im Speicher bleibt !
1838. Ausserdem verbiegt es noch die Vektoren InitCode (), OpenWindow (),
1839. BeginIO () & Close () aus dem `trackdisk.device` und BeginIO () aus
1840. dem `keybord.device`, sowie den RasterBeam-Interrupt !
1841. Das Virus kopiert sich also beim beim Booten weiter, sofern diese Disketten 
1842. ein `L`-Verzeichnis besitzen !
1843. Besonders gemein an diesem Virus ist, daß man es nicht von der Diskette
1844. löschen kann, wenn es schon im Speicher steht !
1845. Aber nun die zweite schlechte Nachricht: 
1846. JEDESMAL WENN MAN EINE INFIZIERTE DISKETTE IN`S LAUFWERK LEGT, KOPIERT
1847. SICH DAS VIRUS SCHON IN DEN SPEICHER !!!
1848.  
1849. Löschen kann man den Virus-`Disk-Validator` deshalb nicht, weil bei jedem
1850. Versuch, wenn das `Return of the Lamer Exterminator`-Virus schon im Speicher
1851. steht, die Fehlermeldung `object in use` erscheint !
1852. Dies liegt daran, daß dieses Virus einen `Lock` auf die Datei `:L/Disk-
1853. Validator` behäl.
1854. Man kann das Virus zwar nicht löschen, dafür kann man es aber mittels
1855. des `CLI`-Befehls `Rename` umbenennen und gefährlich ist dieses Virus
1856. nur dann, wenn es als `Disk-Validator` im Verzeichnis `L` steht !
1857.  
1858. Nun zu den Zerstörungen !
1859. Das `Return of the Lamer Exterminator`-Virus schreibt nach einiger Zeit
1860. das Wort `LAMER` in einige Datenblöcke und zerstört so die Informationen
1861. in den Programmdateien !!!
1862. Das Virus ist auch in der Lage die Disketten in allen Laufwerken zu
1863. zerstören, indem es deren `Rootblöcke` mit dem Wort `LAMER` formatiert !
1864. Dabei gibt es gleichzeitig einen `Alert` aus : 
1865.               `Return of the Lamer Exterminator`
1866.  
1867. `AntiCicloVir` kann das `Return of the Lamer Exterminator`-Virus
1868. jetzt auch im Speicher erkennen.
1869. Allerdings kann es nicht gelöscht werden, da zu viele Vektoren zurück-
1870. gesetzt werden müßten, die unter anderen `KickStart`s wieder andere
1871. Adressen beinhalten !
1872. Da mein Viruskiller dieses Virus nicht löschen kann, wenn es im
1873. Speicher steht, benennt er es einfach in `:L/LAMER-Virus` um !
1874.  
1875. Zwar wird das `Return of the Lamer Exterminator`-Virus nicht aus dem
1876. Speicher gelöscht, doch das ist kein so großes Problem !
1877. Wenn Sie die Disketten auf dieses Virus hin überprüfen wollen, dann verwenden
1878. Sie bitte jedes Mal den Schreibschutz.
1879. Andernfalls könnte sich das Virus von einer infizierten Diskette aus in
1880. den Speicher kopieren und nun jede `cleane` Disk ebenfalls befallen.
1881. Haben Sie alle Disketten auf dieses Virus geprüft, so schalten Sie bitte
1882. den Amiga ab, damit es aus dem Speicher gelöscht wird !
1883. Nach dem Einschalten sollten Sie von einer virusfreien Diskette `booten`
1884. und `AntiCicloVir` und die `CLI`-Befehle in`s `RAM:` kopieren  !
1885. Jetzt können Sie alle infizierten Disketten nacheinander in`s Laufwerk
1886. legen und mit `AntiCicloVir` desinfizieren !
1887. Zwar kopiert sich das Virus wieder auf jede neue Diskette, doch das ist
1888. unwichtig, da die Disketten ja sowieso schon infiziert waren.
1889. Nachdem Sie ein `Return of the Lamer Exterminator`-Virus auf einer
1890. Diskette umbenannt haben, kopiert sich das Virus nicht anschließend
1891. wieder neu auf die Diskette !
1892. Sollten Sie alle Disketten desinfiziert haben, so müßen Sie den Rechner
1893. unbedingt ein zweites Mal ausschalten, damit das `Return of the Lamer
1894. Exterminator`-Virus auch aus den Speicher gelöscht wird !
1895. Schalten Sie nun wieder den Amiga ein, so können Sie behaupten, daß Ihr
1896. Rechner das `Lamer Exterminator Fieber` überstanden hat und wieder
1897. wohlauf ist ...
1898.  
1899. Leider werden die desinfizierten Disketten nun noch einen `Disk Validating
1900. Error` haben, an dem aber nicht der `Linkviruskiller`, sondern das
1901. Virus schuld ist.
1902. Um eine gültige `BAM` wieder herzustellen, sollten Sie diese Disketten
1903. `validiern` !
1904. Gehen Sie dabei wie folgt vor !
1905. `Booten` Sie als erstes von einer Diskette mit echtem `Disk-Validator` !
1906. Kopieren Sie sich bitte die `CLI`-Befehle von der `Workbench`-Diskette
1907. in`s `RAM` !
1908. Legen Sie nun diese `fehlerhaften` Disketten ein !
1909. Das Betriebssystem wird nun einen `Disk Validating Error` melden und nach
1910. der `Workbench`-Diskette verlangen.
1911. Anschließend wird es wieder nach der `fehlerhaften` Diskette verlangen,
1912. um sie zu `validieren`.
1913. Ist diese Diskette `validiert`, so können vorläufig wieder Schreibzugriffe
1914. auf ihr ausgeführt werden.
1915. Löschen Sie beispielsweise eine unwichtige Datei ( `:L/LAMER-Virus` ),
1916. damit die Diskette nach diesem Schreibzugriff vom Betriebssystem wieder
1917. eine gültige `BAM` erhält !
1918. Jetzt ist die Diskette wieder o.k. !
1919.  
1920. Daten auf Disketten, die das `Return of the Lamer Exterminator`-Virus 
1921. formatiert hat sind unwiederruflich verloren !!!
1922.  
1923.  
1924.  
1925.  
1926.  
1927.  
1928.  
1929.  
1930.  
1931.  
1932.                            `Amiga Knight`
1933.  
1934. Dieses 6048 Bytes grosse Filevirus gehoert zu den aelteren seiner Spezies.
1935. Es steht unter dem Namen `initial_cli` auf der infizierten Diskette und ver-
1936. sucht so eine sinnvolle Funktion vorzutaeuschen !
1937. Sobald es aufgerufen wird, laesst es sich einen Speicherbereich im CHIP-RAM
1938. zuteilen und installiert sich ueber die Residents, indem es die Vektoren
1939. KickTagPtr * & KickCheckSum* benutzt, resetfest.
1940. Ausserdem verbiegt es noch den Vektoren DoIO () !
1941. Nach fuenf Resets erscheint dann ein Vektordemo in roter Farbe !
1942. Im oberen Bildschirmbereich ist dabei folgender Text zu lesen:
1943.  
1944.         `YEAH, THE INVASION HAS STARTED !
1945.              YOUR TIME HAS RUN OUT AND SOON WE WILL BE
1946.                            EVERYWHERE !`
1947.  
1948. In der Bildschirmmitte (Vektordemo) erscheinen nacheinander die Worte:
1949.         `Toco`, `THE`, `AMIGAKNIGHTS`
1950.  
1951. Am unteren Bildschirmrand ist dann zu lesen:
1952.  
1953.         `THIS IS THE GENERATION 0039 OF THE EVIL
1954.               AMIGAKNIGHTVIRUS
1955.                  GREETINGS TO DUFTY, DWARF, ACID CUCUMBER, 
1956.                   ASTERIX, ANDY AND ALL AMIGIANS I KNOW !`
1957.  
1958. Sobald die Routine DoIO () vom Betriebssystem aufgerufen wird, wird das
1959. Filevirus wieder aktiv und infiziert jede neue eingelegte Diskette, wenn
1960. diese eine `startup-sequence` enthaelt !
1961. Dabei schreibt es sich unter seinem Tarnnamen auf die Diskette und traegt
1962. diesen in die `Startup-Sequence` ein.
1963. Im Viruscode fand ich uebrigens einen `ILLEGAL`-Befehl !?
1964. Ausserdem scheint es viele ROM-Adressen zu benutzen, so dass die Vermutung
1965. naheliegt, dass es nur unter KickStart 1.2 funktioniert ...
1966. Dieses Filevirus benutzt das `trackdisk.device', scheint allerdings keine
1967. Schaeden anzurichten.
1968. `AntiCicloVir` kann es auf Diskette & im Speicher erkennen und entfernen.
1969. Dieses Filevirus wurde mir von Erik Loevndahl Soerensen, Snaphanevej 10,
1970. 4720 Praestoe, Daenemark, von der SHI (Safe Hex International) zugesandt.
1971.  
1972.  
1973.  
1974.  
1975.  
1976.  
1977.  
1978.  
1979.  
1980.  
1981.                              `BGS 9`
1982.  
1983.  
1984. Nicht ganz so gefährlich, aber dennoch lästig ist das `BGS 9`-Virus !
1985. Es sucht sich das erste ausführbare Programm aus der `Startup-Sequence`
1986. und kopiert es unter dem unsichtbaren Namen $A0A0A0202020A0202020A0 in`s
1987. Verzeichnis `DEVS:` !
1988. Das `Filevirus` selbst kopiert sich anstelle des Original-Programmes.
1989. Nach jedem Abarbeiten der `Startup-Sequence` wird es aktiviert !
1990. Mittlerweile gibt es zwei Versionen dieses Fileviruses !
1991. Nachdem dieses Virus gestartet wurde schreibt es sich als `MemList`-Struktur
1992. in den Speicher und gibt in KickMemPtr * einen Zeiger darauf zurück !
1993. In den KickTagPtr * wird die Adresse für das Resetprogramm eingetragen und
1994. mit SumKickData () die KickCheckSum * berechnet und ebenfalls eingetragen.
1995. Nach jedem Reset verbiegt das Resetprogramm den OpenWindow ()-Vektor auf
1996. eine Vermehrungsroutine, welche beim Rücksprung diesen Vektor wieder
1997. auf die ROM-Adresse setzt !
1998. Nach vier Resets wird folgender Text ausgegeben:
1999.  
2000.  
2001. `                       A COMPUTER VIRUS IS A
2002.                              DISEASE
2003.  
2004.                           TERRORISM IS A
2005.                            TRANSGRESSION
2006.  
2007.                          SOFTWARE PIRACY IS A
2008.                                CRIME
2009.  
2010.                           THIS IS THE CURE
2011.  
2012. BBB      GGGGGG    SSSS    99999            
2013. B  B     G        S        9   9         
2014. B  B     G          S      9   9             
2015. BBB      G           S     99999              Bundesgrenzschutz Sektion 9
2016. B  B     G GGGG       S        9              Sonderkommando "EDV"
2017. B  B     G    G        S       9
2018. BBB      GGGGGG    SSSS    99999`
2019.  
2020.  
2021. `AntiCicloVir` erkennt beide Computerviren ( `BGS 9` und `BGS 9 II` )
2022. auf der Diskette und löscht sie !
2023. Dabei schreibt es nun auch die vom den Fileviren verschobene Original-Datei,
2024. an ihre urspruengliche Position zurueck !
2025.  
2026. Außerdem werden auch beide Viren im Speicher erkannt !
2027. Doch leider können die Viren `BGS 9` und `BGS 9 II` im Speicher
2028. nicht voneinander unterschieden werden !
2029. Sie sind nahezu identisch und unterscheiden sich nur in zwei Details
2030. voneinander !
2031. Zum Einen wurde ein Byte im unsichtbaren Namen des `BGS9`-Viruses auf
2032. der Diskette geändert und zum Anderen wurde ein Byte in der Kodierung
2033. des ASCII-Textes im Speicher geändert !
2034. Ich vermute, daß diese Änderungen nur vorgenommen wurden, um einen
2035. bestimmten Viruskiller zu täuschen !
2036. Die `BGS 9`-Viren funktionieren auch unter `KickStart 2.04` !
2037.  
2038.  
2039.  
2040.  
2041.  
2042.  
2043.  
2044.  
2045.  
2046.  
2047.                          `Bluebox`
2048.  
2049. Von diesem Programm besitze ich leider nur einen Teil.
2050. Ich bin mir auch nicht sicher, um was fuer eine Art Programm es sich hierbei
2051. handelt !
2052. Auch scheinen andere Antivirusprogrammierer, den Zweck von `Bluebox` nicht
2053. zu kennen !
2054. `Bluebox` ist ein Programm, welches eine Tonfolge ueber die Zehnertastatur
2055. erzeugen kann.
2056. Es ist speziell fuer den Bereich Datenfernuebertragung ausgelegt und soll wohl
2057. diese Anwendergruppe taeuschen.
2058. Denn in Wahrheit, kopiert dieses 5608 Bytes grosse Programm, eine eigene
2059. `icon.library` auf die Diskette oder Festplatte und setzt fuer diese sogar
2060. die Protectionbits.
2061. Und diese `icon.library` hat es im wahrsten Sinne des Wortes in sich ...
2062. Wurde sie aktiviert, so kann sie einen Prozess mit dem Namen `input. device `
2063. starten, welcher auf den seriellen Port ( Anschlussmoeglichkeit fuer Modems )
2064. zugreift.
2065. Diese `icon.library` hat eine Laenge von 6680 Bytes.
2066. Ausserdem kann auch noch eine unsichtbare Datei im Hauptverzeichnis erzeugt
2067. werden, welche in hexadezimal den Namen $A0 traegt.
2068. Ich besitze nur diese `icon.library` und nicht `Bluebox` selbst.
2069. Deshalb bin ich an der Zusendung von `Bluebox` sehr interessiert !!!
2070. Nur so kann ich eine abschliessende Analyse wagen !!!
2071. Fuer den jetzigen Zeitpunkt bleiben nur Spekulationen ...
2072.  
2073. ... moeglicherweise kann es sich bei diesem Programm um ein `Bandwurm`-
2074. Programm handeln, welches zum illegalen Umgehen der Passwortabfrage ver-
2075. wendet wird !
2076. Denn schliesslich sind Modem- & Mailboxbesitzer die Hauptzielgruppe von
2077. `Bluebox` !
2078. Das Taeuschprogramm `Bluebox`, welches die Tonfolge ueber die Zehnertastatur
2079. ausgibt, ist wohl eine Art Trojanisches Pferd, um Mailboxbetreiber zu taeuschen.
2080. Nutzen diese dieses Programm, so installiert es die eigene `icon.library`,
2081. welche nun automatisch beim Betreiben der Mailbox aktiviert wird.
2082. Diese `icon.library` installiert einen Prozess namens `input.device `, welcher
2083. sich nun das Passwort, desjenigen eingetragenen Benutzers merkt, welcher
2084. sich in die Mailbox einloggt.
2085. Wahrscheinlich werden alle Passworte, die sich dieser Prozess merken konnte, in
2086. diese unsichtbare Datei im Hauptverzeichnis abgespeichert ...
2087. Der Programmierer dieses `Bandwurm`-Programmes, kann sich nun durch Auslesen
2088. dieser Datei, illegal Zutritt zu dieser Mailbox verschaffen und dabei jedes
2089. Privileg ausnutzen ...
2090.  
2091. Aber wie gesagt -> NUR SPEKULATIONEN !!!
2092.  
2093. Auf jedem Fall handelt es sich hierbei um KEIN VIRUS und es werden sehr wahr-
2094. scheinlich auch keine Daten zerstoert ...
2095. Vektoren werden ebenfalls nicht verbogen und es ist auch nicht resetfest !
2096. Fuer `normale` AMIGA-Besitzer ist es also harmlos !
2097. Eine genauere Analyse wird noch folgen ...
2098. `AntiCicloVir` kann bisher nur diese `icon.library` auf der Diskette erkennen.
2099.  
2100.  
2101.  
2102.  
2103.  
2104.  
2105.  
2106.  
2107.  
2108.  
2109.  
2110.  
2111.  
2112.  
2113.  
2114.  
2115.                        `Bret Hawnes`
2116.  
2117. Dieses 2608 Bytes große `Filevirus` tarnt sich als unsichtbares Programm
2118. im Hauptverzeichnis jeder infizierten Diskette und schreibt seinen
2119. Aufruf in die `s/startup-sequence` !
2120. Somit hat das `Bret Hawnes`-Virus gewisse Ähnlichkeiten mit den `Revenge
2121. of the Lamer Exterminator`-Viren, obwohl ich schreiben muß, daß diese
2122. weit aus professioneller programmiert worden sind !
2123. Es steht als unsichtbare Datei auf der Diskette, die dem Hexadezimal-Wert:
2124. $C0A0E0A0C0 entspricht !
2125. Dieses `Filevirus` kopiert sich absolut nach $7F000 in den Speicher und
2126. setzt KickTagPtr * & KickCheckSum * auf sein Resetprogramm.
2127. Der `Interrupt`-Vektor 3 wird auf eine eigene Adresse für die Textausgabe
2128. verbogen.
2129. Waehrend des Resets werden noch die Vektoren der Routinen OpenLibrary (),
2130. OpenWindow () & SumKickData () verbogen und wieder zurueckgesetzt !
2131. Ueber den verbogenen SumKickData ()-Vektoren wird das Virus immer dann
2132. aktiviert, wenn sich ein anderes Programm ueber die `Kick`-Vektoren resetfest
2133. schreiben will.
2134. Dadurch wird `Bret Hawnes` wieder aktiviert und kann sich erneut resetfest
2135. installieren.
2136. Der Vektor OpenLibrary () wird verbogen, damit das Virus immer beim
2137. Oeffnen einer Systembibliothek nach dem Reset aktiviert wird und warten kann,
2138. bis die `intuition.library` geoffnet wird !
2139. Ist dies geschehen wird OpenLibrary () wieder auf die ROM-Adresse gesetzt
2140. und nun OpenWindow () verbogen.
2141. Jetzt wartet `Bret Hawnes` so lange, bis AmigaDOS das `CLI`-Fenster 
2142. oeffnet und schreibt sich bei dieser Gelegenheit auf die Diskette !
2143. Nach neun Vermehrungen zerstört dieses Virus Disketten und ueberschreibt
2144. den Bootblock !
2145. Sind zwanzig Minuten vergangen, so wird folgender Text ausgegeben:
2146.  
2147. `GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN
2148.  I`VE TAKEN THE CONTROL OVER YOUR AMIGA !!!
2149.  THERE IS ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! `
2150.  
2151. Das Virus löscht den Zeiger CoolCapture * 
2152. `AntiCicloVir` erkennt das Virus auf der Diskette und löscht es !
2153. Im Speicher löscht es die Zeiger KickTagPtr * und KickCheckSum * ,SumKickData()
2154. und `Interrupt 3` !
2155.  
2156.  
2157.  
2158.  
2159.  
2160.  
2161.  
2162.  
2163.  
2164.                              `CCCP`
2165.  
2166. Das `CCCP`-Virus,mit einer Länge von 1044 Bytes, war das erste, 
2167. welches sich sowohl als `Bootblock`- als auch als `Linkvirus` 
2168. weiterkopieren konnte !
2169. Es kopiert sich nach jedem Reset in den `Bootblock` nicht schreibgeschützter
2170. Disketten und schreibt sich als `Hunk` in das erste ausführbare
2171. Programm, das es im `Rootblock` findet !
2172. Im Speicher setzt es den `CoolCapture`-Vektoren auf seine eigene Adresse
2173. und verbiegt den `Interrupt-3`-Vektoren auf eine eigene Interrupt-Struktur.
2174. Diese Interrupt-Struktur überwacht nun 50 (!) mal in der Sekunde den
2175. `CoolCapture`-Vektoren und schreibt die viruseigene Adresse dort wieder
2176. hinein, sobald sie gelöscht wurde.
2177. Einmaliges Löschen des `CoolCapture`-Vektoren reicht also nicht aus, um
2178. die Reset-Routine des `CCCP`-Viruses zu entfernen !
2179. Vorher müßte unbedingt der `Interrupt-3`-Vektor auf die jeweilige ROM-
2180. Adresse wieder zurückgesetzt werden.
2181. Nachdem `RESET` werden noch drei weitere Vektoren verbogen !
2182. Einmal wird DoIO () verbogen, um beim Zugriff des Betriebssystem`s nach
2183. dem `Reset` auf die Diskette, das `CCCP`-Virus zu starten, damit es sich
2184. als `Bootblock` installieren kann.
2185. Anschließend wird dieser Vektor wieder auf`s ROM gesetzt.
2186. Dann wird OpenLibrary () auf die viruseigene Adresse verbogen und geprüft,
2187. wann die `intuition.library` verfügbar ist.
2188. Ist dies der Fall, wird OpenLibrary () wieder auf die ROM-Adresse gesetzt
2189. und OpenWindow () verbogen.
2190. Sobald nun das AmigaDOS-Fenster geöffnet wird, kopiert sich `CCCP` als `Link-
2191. virus` auf die Diskette und setzt den OpenWindow ()-Vektor wieder auf
2192. die ROM-Adresse.
2193. Mein Viruskiller kann das `CCCP`-Virus im Speicher erkennen & loeschen,
2194. in infizierten Dateien + Bootblock auf der Diskette jedoch nur anzeigen !
2195.  
2196. Benutzen Sie solch` eine infizierte Datei vorerst nicht mehr !
2197.  
2198. Desinfizieren Sie sie mit einem anderen Linkviruskiller oder kopieren Sie die Original-
2199.  
2200. Datei `drueber - das ist immer die sicherste Methode ...
2201.  
2202. Denken Sie auch daran, anschliessend Ihre Bootbloecke zu installieren ( `install` ),
2203.  
2204.  
2205. denn sonst war alle Mueh` vergebens ...
2206.  
2207. Schäden richtet das `CCCP`-Virus keine an und ist sonst auch ziemlich
2208. unauffällig.
2209.  
2210.  
2211.  
2212.  
2213.  
2214.  
2215.  
2216.  
2217.  
2218.  
2219.  
2220.                        `Color(TURK V1.3)`
2221.  
2222.  
2223. Dieses Trojanische Pferd tarnt sich als simples `Grafik-Demo` auf einer Diskette,
2224. welches drei farbige Balken auf dunklem Hintergrund erzeugt !
2225. Es ist 2196 Bytes lang.
2226. Nachdem Sie sich dieses Demo angeschaut und das Programm beendet
2227. haben, wird das `Color`-Programm ab $70000 und das `TURK V1.3`-Bootblock-
2228. Virus ab $7F000 im Speicher installiert !
2229. Der DoIO ()-Vektor wird auf die Adresse des `Color`-Programmes im Speicher
2230. und der CoolCapture *-Vektor auf eine scheinbar sinnlose Adresse
2231. verbogen !
2232. Bei jedem Diskettenwechsel schreibt das `Color`-Programm den Virus-Bootblock
2233. `TURK V1.3` auf die betroffene Diskette !
2234. Nachdem dieses Programm im Speicher stand, hat es übrigens sinnlos einen
2235. Speicherbereich von 60 - 80 kB belegt !
2236. Wenn Ihnen dieses Grafik-Demo mal auf einer Diskette begegnet, dann
2237. sollten Sie nach dem Erscheinen des DOS-Fensters NICHT gleich die rechte
2238. Maustaste drücken, um das Demo zu beenden, sondern sich es kurz
2239. anschauen und dann abbrechen !
2240. Wegen eines Programmierfehlers ( ??? ) wird bei einem Abbruch vorm
2241. Starten des `Demos`, nämlich nicht das Fenster und womöglich auch
2242. keine Systembibliothek geschlossen !
2243. Das dürfte bei nachfolgenden Programmen dann zu Fehler-Meldungen führen !
2244. Bei einem Reset stürzt der Rechner allerdings ab, da der Wert im
2245. CoolCapture *-Vektoren auf eine Adresse zeigt, die weder die des
2246. `Color`- noch die des `TURK`-Viruses ist.
2247. Ich habe aber gelesen, daß dies wohl absichtlich so sein soll.
2248. `AntiCicloVir` erkennt das `Color`-Programm nachdem es aktiviert
2249. wurde im Speicher und auf Diskette und löscht es.
2250.  
2251.  
2252.  
2253.  
2254.  
2255.  
2256.  
2257.  
2258.  
2259.  
2260.  
2261.  
2262.  
2263.  
2264.  
2265.  
2266.  
2267.  
2268.  
2269.  
2270.                        `CompuPhagozyte 1+2`
2271.  
2272. Die beiden `CompuPhagozyte`-Viren sind `Fileviren`, die sich selbst als
2273. `Viruskiller` tarnen !
2274. Allerdings könnte man diese Programme auch als Trojanische Pferde bezeichnen,
2275. da sie ja einen Viruskiller vortäuschen ...
2276. Das `CompuPhagozyte`-Virus tarnt sich als `Virus-Checker V4.0` mit einer
2277. Bytelänge von 1452 Bytes und das `CompuPhagozyte_2`-Virus tarnt sich
2278. als `VirusX 5.0` mit einer Bytelänge von 1148 Bytes !
2279. Beide Programme verbiegen keine Vektoren !
2280. Sie stehen immer im Verzeichnis `c` unter den Namen `Virus-Checker` oder
2281. `VirusX` !
2282. Werden Sie von einem unwissenden Anwender gestartet, um beispielsweise
2283. Disketten auf Viren zu untersuchen, dann kopieren die Programme zuerst
2284. eine Datei unter ihrem Namen aus dem `c`-Verzeichnis in den Speicher
2285. ab der Stelle $7C000 !
2286. Wird nun bei einem aktiviertem `Viruskiller` dieser Art eine neue Diskette
2287. zum Checken eingelegt, dann schreibt das Virus seinen eigenen Maschinen-
2288. sprachekodex aus dem Speicher in eine Datei in`s `c`-Verzeichnis unter
2289. dem Tarnnamen des Viruses !
2290. Wird mal eine Diskette eingelegt, auf der sich kein `c`-Verzeichnis befindet,
2291. dann starten die Viren eine Zerstörungsroutine !
2292. Die Diskette, die diese Routine ausgelöst hat, bleibt relativ verschont,
2293. da auf ihr nur ein paar Daten abgespeichert werden, die allerdings keinen
2294. Schaden anzurichten scheinen !
2295. Jede nachfolgende eingelegte Diskette wird jedoch komplett zerstört:
2296. `DF0:BAD` !!!
2297. `AntiCicloVir` erkennt diese Viren auf der Diskette und löscht sie.
2298. Auch im Speicher kann `AntiCicloVir` erkennen, ob diese Viren vor
2299. einiger Zeit aktiviert wurden und Sie warnen !
2300.  
2301.           
2302.  
2303.  
2304.  
2305.  
2306.  
2307.  
2308.  
2309.  
2310.  
2311.  
2312.  
2313.                           `COMPUPhagozyte II`
2314.  
2315. Diese 568 Bytes große Bombe tarnt sich als CLI-Befehl `cls` auf
2316. Disketten !
2317. Im Gegensatz zu üblichen `cls`-Befehlen löscht sie den Bildschirm nicht
2318. über eine spezielle ROM-Routine, sondern durch 30 Returncodes !
2319. Sie steht resetfest ab $7C000 über CoolCapture * im Speicher und verbiegt
2320. keine weiteren Vektoren !
2321. Die Bombe ist wahrscheinlich die harmloseste in meiner ganzen Sammlung.
2322. Es werden lediglich einige Reset-Vektoren gelöscht.
2323. Die Folge ist, daß nun ein mögliches resetfestes Programm nach dem Reset
2324. verloren geht !
2325. Sonst passiert nichts.
2326. `AntiCicloVir` sucht im Speicher und auf Diskette nach dieser Bombe
2327. und löscht sie !
2328. `COMPUPhagozyte II` aus meiner Dokumentation ist identisch mit
2329. `COMPUPhagozyte 3` aus `VT.kennt` !
2330.  
2331.  
2332.  
2333.  
2334.  
2335.  
2336.  
2337.  
2338.  
2339.  
2340.  
2341.  
2342.  
2343.  
2344.                      `COMPUPhagozyte III A-C`
2345.  
2346. Von diesem `Filevirus` gibt es drei verschiedene Typen, die sich in einigen
2347. Details unterschieden und deshalb alphabetisch geordnet worden sind.
2348. Alle drei Virustypen haben folgende Eigenschaften !
2349. Sie stehen immer als unsichtbare Datei unter dem Namen $A0A0A0A0 im Hauptver-
2350. zeichnis einer infizierten Diskette und rufen sich über die `Startup-Sequence`
2351. auf.
2352. Sobald sie gestartet wurden, reservieren sie jeweils drei Speicherbereiche und
2353. kopieren nach $7C000 die ganze Programmdatei ( $A0A0A0A0 ) von der Diskette,
2354. nach $7C600 die `Reset`-Routine und nach $7E000 die Vermehrungsroutine.
2355. Dies ist auch der Grund, weshalb diese `Fileviren` sich nur dann im Speicher
2356. installieren können, wenn sie unter dem Namen $A0A0A0A0 auf der Diskette
2357. standen !
2358. CoolCapture * wird auf die `Reset`-Routine ( $7C600 ) gesetzt und OldOpen-
2359. Library () auf die Vermehrungsroutine ( $7E000 ).
2360. Das `Filevirus` kopiert sich, nach dem Aufruf von OldOpenLibrary () durch
2361. ein Anwenderprogramm, als unsichtbare Datei auf die Diskette und überschreibt
2362. die ersten vier Bytes der `Startup-Sequence` mit seinem Namen !
2363. Dadurch wird der erste Eintrag der `Startup-Sequence` meistens halb gelöscht,
2364. was beim Abarbeiten dieser zum Fehler `unknown command` führt !
2365. Das installierte `Filevirus` wird jedoch vorher immer (!) noch aktiv und kann
2366. sich so vermehren !!!
2367. Allerdings verrät es sich durch diesen kleinen Fehler selbst ...
2368. Nur wenn der erste Eintrag der `Startup-Sequence` aus vier Zeichen bestand,
2369. werden diese überschrieben und es kommt zu keiner Fehlermeldung beim Abarbeiten
2370. der `Startup-Sequence !
2371. Die Virustypen B und C unterscheiden sich nur darin voneinander, daß Typ C
2372. 8 Bytes länger ist als B.
2373. Ansonsten sind sie gleich und werden hier daher gemeinsam erwähnt.
2374. Typ A kann sich im Gegensatz zu Typ B/C nur nach `DF0:` kopieren.
2375. Außerdem hat Typ A einige kleinere Programmierfehler, die beim Aufruf von ca.
2376. 2/3 aller Programme, die OldOpenLibrary () benutzen, zum `GURU` führen ...
2377. Allerdings konnte sich das Virus auch in diesen Fällen vorher erfolgreich
2378. vermehren !
2379. Typ A überprüft vorm installieren immer den Vektor der OldOpenLibrary ()-
2380. Routine auf `KickStart 1.2` und installiert die Vermehrungsroutine sonst
2381. nicht !!!
2382. Allerdings hat es vorher immer schon die `Reset`-Routine installiert, die ja
2383. nach jedem `Reset` den Vektor von OldOpenLibrary () auf die eigene Adresse
2384. setzt, die ja beim Fehlen von `KickStart 1.2` nicht gesetzt wurde.
2385. Da nun OldOpenLibrary () auf einen leeren Speicherbereich zeigt, kommt es
2386. beim Aufruf dieser Routine durch ein Anwenderprogramm nach dem Reset zum
2387. `GURU` !
2388. Alle drei Virustypen sind relativ harmlos und richten keine Schäden an.
2389. `File`-Längen:
2390.  
2391. Typ A: 916 Bytes
2392. Typ B: 892 Bytes
2393. Typ C: 900 Bytes
2394.  
2395. `AntiCicloVir` erkennt alle Typen dieses `Fileviruses` im Speicher und auf
2396. Diskette und löscht sie !
2397. Der `VT` bezeichnet diese Virustypen etwas anders:
2398.  
2399. `COMPUPhagoyzte III A` = `COMPUPhagozyte 4`
2400. `COMPUPhagozyte III B` = `COMPUPhagozyte 4a`
2401. `COMPUPhagozyte III C` = `COMPUPhagozyte 4b`
2402.  
2403.  
2404.  
2405.  
2406.  
2407.  
2408.  
2409.  
2410.  
2411.  
2412.  
2413.  
2414.  
2415.  
2416.                      `COMPUPhagozyte IV`
2417.  
2418. Dieses 1048 Bytes große `Filevirus`, tarnt sich unter dem unsichtbaren
2419. Namen $A0A0A0A0 als `CompuPhagozyte Protection File`, auf einer infizierten
2420. Diskette !
2421. Es versucht also als Schutzdatei gegen die o.g. Virustypen zu täuschen ...
2422. Allerdings ist es selbst ein `Filevirus` !
2423. Es kopiert sich nach seinem Aufruf nach $7C000 in den Speicher und verbiegt
2424. die Vektoren CoolCapture *, OldOpenLibrary ( Vermehrung ) und SumKickData
2425. ( Überwachen der übrigen Vektoren ) auf seine eigene Adresse !
2426. Nach jedem Aufruf von OldOpenLibrary () findet eine Vermehrung statt.
2427. Dabei wird die unsichtbare Datei auf die Diskette kopiert und ihr Name in
2428. der `Startup-Sequence` eingetragen.
2429. Bei dieser Version werden keine Bytes in der `Startup-Sequence` mehr über-
2430. schrieben, wodurch es nicht mehr auffällt ...
2431. Da es auch keine Texte etc. ausgibt und auch sonst sich nicht meldet, kann es
2432. der Anwender lange Zeit nicht bemerken !
2433. Doch zum Glück ist dieses `Filevirus` vollkommen harmlos, da es keine Schäden
2434. anrichtet !
2435. Der `VT` bezeichnet es als `COMPUPhagozyte III c` !
2436. Doch dieser Namensgebung kann ich nicht zustimmen, da der programmiertechnische
2437. Unterschied zu den Typen der Version III relativ groß ist !
2438. `AntiCicloVir` erkennt `COMPUPhagozyte IV` im Speicher und auf Diskette und
2439. entfernt es !
2440.  
2441.  
2442.  
2443.  
2444.  
2445.  
2446.  
2447.  
2448.  
2449.                           `D-Structure`
2450.  
2451. Bei diesem nur 464 Bytes großen `Filevirus` handelt es sich, um das bisher
2452. kleinste vermehrungsfähige Programm auf dem AMIGA !
2453. Im Gegensatz zu allen bisherigen Typen von `Fileviren`, kann sich dieses
2454. Virus unter jedem beliebigen Namen auf die Diskette kopieren ...
2455. Deshalb macht es keinen Sinn, unter einem möglichen unsichtbaren oder Tarn-
2456. namen zu suchen !
2457. Sobald es aufgerufen wird, kopiert es sich nach $7C000 in den Speicher und
2458. merkt sich die Original-ROM-Adresse von OldOpenLibrary (), bevor es sie auf
2459. seine eigene verbiegt.
2460. Jetzt befindet sich das Virus sozusagen im ersten Stadium ...
2461. Es ist übrigens nicht resetfest !
2462. Über OldOpenLibrary () versucht es nun herauszufinden, welche Bibliothek vom
2463. Anwenderprogramm geöffnet werden soll.
2464. Handelt es sich dabei um die `dos.library`, so wird OldOpenLibrary () wieder
2465. auf die ROM-Adresse gesetzt und das Virus merkt sich die `DosBase`-Adresse
2466. und die Adresse der Routine Write () aus der `dos.library` !
2467. Hiernach wird Write () auf die eigene Adresse verbogen und eine Zählstelle
2468. aktiviert.
2469. Nach jedem fünften Aufruf der Routine Write (), manipuliert `D-Structure` die
2470. Datenregister !
2471. Das Datenregister D2, welches die Adresse des zu schreibenden Textes/Code
2472. beinhaltet, wird auf die viruseigene Adresse verbogen und der Wert in D3,
2473. welcher die Länge enthält, wird durch den Wert der Viruslänge ersetzt !
2474. Nun wird anstelle des Gewünschten, das `Filevirus` auf Diskette kopiert !
2475. Da sich `D-Structure` in bereits bestehende Schreibprozesse einbaut, kann es sich
2476.  überall hin kopieren ...
2477. Es kann nicht nur als ausführbare Datei auf Diskette, sondern auch als Daten-
2478. block, dort stehen, wobei es jedoch zu `Read/Write Errors` kommen dürfte !
2479. Da auch Texte auf den Bildschirm mit Write () ausgegeben werden, kann der
2480. Viruscode, anstelle eines geladenen Textes, über den Bildschirm flimmern !
2481. Und selbst über den Drucker und sogar über die serielle Schnittstelle kann
2482. es sich weitergeben, wobei natürlich keine Vermehrung stattfindet !
2483. Neu an diesem Typ Virus ist, da es fast keine eigenen Routinen beinhaltet
2484. und sich allein, durch das Manipulieren von Registern, vermehren kann -
2485. was nach meinen Erkenntnissen eine neue Methode sein dürfte ...
2486. Es ruft selbst keine Bibliothek auf, hat keine eigene Schreibroutine etc.
2487. Es gibt von `D-Structure` nach eine Mutation, die sich jedoch nicht vermehren
2488. kann, da sie ein kleineres `Filevirus` erzeugt, das immer zum Absturz führt.
2489. `AntiCicloVir` erkennt `D-Structure` im Speicher und auf Diskette und entfernt
2490. es !
2491.  
2492.  
2493.  
2494.  
2495.  
2496.  
2497.  
2498.  
2499.  
2500.  
2501.                           
2502.                           `Darth Vader 1.1`
2503.  
2504. Bei diesem 784 Bytes kurzen Programm, handelt es sich um ein aeusserst simples
2505. Filevirus.
2506. Es steht unter dem unsichtbaren Namen $A0 auf der Diskette und funktioniert
2507. auch nur dann, wenn es unter diesem Namen abgespeichert worden ist !
2508. Denn es kopiert diese Programmdatei in den Speicher und benutzt sie als Vor-
2509. lage zum Erzeugen neuer Virus-Kopien.
2510. Wird es unter einem anderen Namen abgespeichert und aufgerufen, so kann es sich
2511. nicht installieren und da die Installationsroutine den Ladevorgang nicht
2512. auf Erfolg oder Misserfolg ueberprueft, kommt es zum Absturz des AMIGA`s !
2513. Ausser der Programmdatei wird auch der Viruscode im Speicher abgelegt.
2514. Dabei muessen Programmdatei und Viruscode nicht im selben Speicherbereich
2515. zu finden sein, sondern befinden sich meistens an verschiedenen Positionen.
2516. `Darth Vader` ist resetfest ueber CoolCapture *.
2517. Nach dem Reset sichert es beide Speicherbereiche und verbiegt den Vektor der
2518. Routine OldOpenLibrary () auf die eigene Adresse.
2519. Im Gegensatz zu den anderen Viren, verbiegt es den Vektor nicht `per Hand`,
2520. sondern benutzt dazu die Routine SetFunction () aus dem Betriebssystem, was
2521. zwar den Programmierern des AMIGA-Betriebssystems gefallen wird, jedoch
2522. programmiertechnisch zu umstaendlich ist, da es `per Hand` viel einfacher
2523. geht !
2524. Wird nun die Routine OldOpenLibrary () von einem Programm genutzt, so versucht
2525. es seinen unsichtbaren Namen in die `Startup-Sequence` der Diskette einzutragen
2526. und die Virusdatei aus dem Speicher unsichtbar auf die Diskette zu schreiben.
2527. Aus der eigenen Routine springt `Darth Vader` jedoch an die KS1.2-ROM-Adresse
2528. von OldOpenLibrary () zurueck, wodurch es nur unter KS1.2 funktionieren
2529. duerfte ...
2530. Es kommt zwar immer noch zu einer Vermehrung -> danach aber Absturz !!!
2531. Dabei bietet es sich gerade bei OldOpenLIbrary () an, nicht in`s ROM, sondern
2532. nach OpenLibrary () zu verzweigen - so wie es auch die `COMPUPhagozyte`-Viren
2533. machen !
2534. Ueberhaupt gleichen sich die Fileviren `Darth Vader` & `COMPUPhagozyte III`
2535. in einigen Punkten.
2536. Jedoch sind sie nicht miteinander verwandt !!!
2537. Hier hatten zwei Anfaenger wohl nur aehnliche Ideen gehabt.
2538. Nach einiger Zeit gibt `Darth Vader` folgenden Text in`s aktuelle Fenster
2539. aus:
2540.  
2541.         `VIRUS (1.1) by DARTH VADER`
2542.  
2543. Dieses Filevirus richtet keine Schaeden an.
2544. Zugesandt wurde es mir von Erik Loevendahl Soerensen, Snaphanevej 10, 4720
2545. Praestoe , Daenemark, von der SHI (Safe Hex International ).
2546. `AntiCicloVir` kann es von der Diskette und aus dem Speicher entfernen.
2547.  
2548.  
2549.  
2550.  
2551.  
2552.  
2553.  
2554.  
2555.  
2556.  
2557.                           `DAG Creator`
2558.  
2559. Dieses 7000 Bytes große Programm ist kein Virus !
2560. Hierbei handelt es sich viemehr um einen `Virusmaker`, der jedem
2561. Anwender klar zu verstehen gibt, wozu er programmiert wurde !
2562. Das Programm kopiert sich also nicht heimlich weiter und zerstört auch
2563. keine Disketten !
2564. Es erzeugt auf Wunsch auf der Diskette im Laufwerk `DF1` ein `Bootblock`-
2565. Virus namens `DAG`.
2566. Dieses `Bootblock`-Virus ist allerdings eine äußerst primitive `SCA`-
2567. Mutation, bei der nicht einmal der `SCA`-Text komplett entfernt wurde.
2568. Lesen Sie hierzu auch bitte das Kapitel `DAG` aus Anhang B !
2569. `AntiCicloVir` löscht den `DAG Creator`, sobald er ihn auf Diskette findet !
2570.   
2571.  
2572.  
2573.  
2574.  
2575.  
2576.  
2577.  
2578.  
2579.                        `DISASTER-MASTER V2`
2580.  
2581.  
2582. Dieses 1740 Bytes große Virus tarnt sich als `Clear Screen`-Befehl
2583. unter dem Namen `cls` im `c`-Verzeichnis und schreibt einen eigenen
2584. Aufruf in die `s/startup-sequence`: `cls *` !
2585. Das Virus kann entweder von einem unwissenden Anwender aktiviert werden,
2586. der es aus dem `c`-Verzeichnis als `cls` startet !
2587. Dabei wird der Bildschirm gelöscht und das Virus in den Speicher kopiert.
2588. Wenn es von der `startup-sequence` aus gestartet wird, dann benutzt es
2589. die Option `*`.
2590. Dabei wird der sichtbare Bildschirm nicht gelöscht und das Virus
2591. bleibt so unbemerkt und kann sich in den Speicher kopieren !
2592. Im Speicher setzt das `Filevirus` die Vektoren KickTagPtr * & 
2593. KickCheckSum * auf seine Adresse.
2594. Während des Reset wird auch noch der DoIO ()-Vektor zum Weiterkopieren
2595. verbogen und anschließend wieder auf`s ROM gesetzt.
2596. So ist es nach jedem Reset aktiv und kopiert sich als `cls` in`s
2597. `c`-Verzeichnis neuer Disketten und schreibt den Befehl `cls *` in
2598. die `s/startup-sequence` !
2599. Bei diesem Virus handelt es sich um einen harmlosen Parasiten, der
2600. keine Schäden anrichtet, sondern sich nur weiterkopiert !
2601. Dieses Virus wird auch vom `T.C.R. Intromaker` erzeugt, der in
2602. einigen PD-Serien erschienen ist !
2603. `AntiCicloVir` kann dieses Virus von der Diskette und aus
2604. dem Speicher löschen, sobald es es erkannt hat !
2605. Wenn sich dieses Virus im Speicher befindet, kann manchmal die
2606. `AmigaDOS`-Anzeige am linken oberem Bildschirmrand verschwinden !
2607. Dieses Virus scheint aber noch ein paar `Gag`s mehr `drauf zu haben,
2608. als ich in meiner letzten Dokumtation beschrieben habe !
2609. So kann es beispielsweise nach dem `Booten` von der `Systemdiskette`,
2610. das übliche `AmigaDOS`-Fenster in einen `Screen` umwandeln, wie man
2611. ihn beispielsweise von der `Workbench`-Oberfläche oder einigen 
2612. `Textanzeigeprogrammen` her kennt !
2613. Das `Disaster Master V2`-Virus kann auch eine `Guru-Meditation` aus-
2614. lösen, wobei die Fehlernr. dem Herstellungsdatum dieses Viruses
2615. entspricht !
2616. Bei dieser Fehlermeldung gibt sich dieses Virus bekannt und bietet
2617. die Möglichkeit sich selbst zu löschen an !
2618.  
2619.  
2620.  
2621.  
2622.  
2623.  
2624.  
2625.  
2626.  
2627.  
2628.  
2629.  
2630.  
2631.                          `Disktroyer V1.0`
2632.  
2633. Diese 804 Bytes große Bombe tarnt sich als `Clear Screen`-Befehl
2634. auf jeder Diskette: `cls` !
2635. Wird sie beispielsweise von der `s/startup-sequence` aktiviert, so verbiegt
2636. sie den Vektoren der `AllocMem`-Routine auf eine eigene Routine !
2637. Jedesmal wenn ein Programm versucht mit dieser Routine freien Speicher
2638. für eigene Zwecke zu allokieren, so wird automatisch die Bombe
2639. aktiviert !
2640. Der `Disktroyer V1.0` überprüft dann sofort den Schreibschutz
2641. aller Disketten in allen angeschlossenen Laufwerken !
2642. Sind die Disketten nicht geschützt, dann werden von ihnen alle Daten
2643. gelöscht und die Disketten sind zerstört !
2644. Anschließend wird eine `Alert`-Meldung ausgegeben !
2645. `Disktroyer V1.0` verbiegt außer dem `AllocMem`-Vektor keine weiteren Zeiger und ist
2646. auch nicht resetfest !
2647. Es ist sogar sehr wahrscheinlich, daß sich die Bombe selbst zerstört,
2648. wenn ein nachfolgendes Programm auf derselben Diskette die `AllocMem`-
2649. Routine benutzt ! 
2650. `AntiCicloVir` kann diese Bombe als `cls`-Befehl erkennen und
2651. löscht sie von der Diskette, sowie aus dem Speicher !
2652.  
2653.  
2654.  
2655.  
2656.  
2657.  
2658.  
2659.  
2660.  
2661.  
2662.  
2663.                              `DiskVal1234`
2664.  
2665. Bei diesem 1848 Bytes grossen Disk-Validator-Virus handelt es sich um eine
2666. Mutation des `SADDAM`-Viruses.
2667. Das `DiskVal1234`-Virus funktioniert im Speicher, auf der Diskette und auch
2668. bei der Vermehrung so, wie das `SADDAM`-Virus.
2669. Wenn Sie wissen wollen, wie derartige Disk-Validator-Viren genau funktionieren,
2670. welche Schaeden sie anrichten, wie man diese Viren & ihre Schaeden entfernen
2671. kann, dann empfehle ich Ihnen, sich das Kapitel `SADDAM`, aus dieser Dokumentation
2672. durchzulesen !
2673. Ich habe weder Lust noch Zeit alles doppelt zu schreiben, deshalb erwaehne ich
2674. hier nur die Unterschiede zum `SADDAM`-Virus, da der Rest identisch ist !
2675. Im Gegensatz zum Original-`SADDAM`-Virus, ist das Virus weder auf Disk noch
2676. im Speicher verschluesselt - allerdings traegt es auch keinen Namen mehr.
2677. Eine Vermehrung als `Disk-Validator`, wird jetzt auch nicht mehr im internen
2678. Laufwerk versucht, sondern in `DF1:` !
2679. Hintergrund ist wohl folgender Gedanke !
2680. Fast alle AMIGA-Besitzer haben mittlerweile mind. zwei Laufwerke.
2681. Disketten-Neuzugaenge werden daher meistens in `DF1:` eingelegt.
2682. Wenn das Virus Disketten im externen Laufwerk infiziert, hat es moeglicher-
2683. weise bessere Vermehrungschancen, als das Original-`SADDAM`-Virus !
2684. Die wesentliche Aenderung betrifft jedoch die Zerstoerungsroutine.
2685. Waehrend das alte `SADDAM`-Virus sich einen OFS oder FFS Datenblock aussuchte,
2686. ihm den Namen `IRAK` gab und den Inahlt verschluesselte, sucht sich `DiskVal1234`
2687. einen Datenblock aus, der mit 8 beginnt und veraendert ihn !
2688. Dabei wird nach $5a `1234` geschrieben und ab $64 dann jeweils 66 NOPpys, also
2689. ein Maschinensprachebefehl, der nichts weiter tut, als den Stack zu erhoehen.
2690. Dabei gehen jedoch die Programmdaten verloren !!!
2691. Wenn man bedenkt, dass schon das Aendern eines einzelnen Bytes zum Abstuerzen
2692. eines Programmes fuehren kann, dann kann man sich in etwa vorstellen, was
2693. passiert, wenn die o.g. Aenderung vorgenommen wird ...
2694. Programme deren Daten in solchen Bloecken lagen, duerften nicht mehr funktionieren.
2695. Dadurch soll wohl der Eindruck von Programmierfehlern in den betroffenen
2696. Programmen entstehen !
2697. Denn die Datenstruktur der Diskette wird nicht veraendert - es erscheinen
2698. also auch keine `read/write errors` oder dergleichen ...
2699. Die betroffenen Programme verhalten sich so, als waeren sie fehlerhaft programmiert.
2700. Jedoch ist ueber einen Disketten- oder `File`-Monitor eine Unterscheidung von
2701. `echten Programmierfehlern` moeglich.
2702. Diese veraenderten Programme koennen natuerlich NICHT mehr korrigiert werden !!!
2703. `AntiCicloVir` kann dieses Disk-Validator-Virus aus dem Speicher und von der
2704. Diskette entfernen !
2705. Zugesandt wurde es mir von Erik Loevendahl Soerensen, Snaphanevej 10, 4720
2706. Praestoe, Daenemark, von der SHI (Safe Hex International ).
2707.  
2708.  
2709.  
2710.  
2711.  
2712.  
2713.  
2714.  
2715.  
2716.  
2717.  
2718.  
2719.  
2720.  
2721.  
2722.                              `Golden Rider`
2723.  
2724.  
2725. Das `Golden Rider`-Virus ist das zweite `echte Linkvirus` in meiner
2726. Dokumentation !
2727. Dieses Virus steht immer ab $7C000 über CoolCapture * resetfest im
2728. Speicher !
2729. Es verbiegt ansonsten noch die Vektoren DoIO () und Open () aus der `dos.
2730. library` !
2731. Dieses `Linkvirus` funktioniert, meiner Meinung nach anders, als übliche
2732. Linkviren !
2733. Während Linkviren wie `CCCP` oder `Smily Cancer` beispielsweise ein
2734. eigenen `Hunk` in ein infiziertes Programm schreiben und diesen in dessen
2735. `Hunk`-Tabelle eintragen, kopiert sich das `Golden Rider`-Virus selbst
2736. in den ersten Programm-`Hunk` !
2737. Dadurch kann man es nicht mehr über die `Hunk`-Tabelle erkennen, sondern
2738. muß den kompletten ersten `Hunk` eines Programmes auf dieses Virus
2739. checken !
2740. Das Virus ersetzt einfach den Befehl `RTS` am Ende des ersten `Hunk`s
2741. durch `NOP` und kopiert sich selbst dann hinter diese Stelle.
2742. Dadurch wird beim Beenden des ersten `Hunk`s nicht in die aufrufende
2743. Ebene zurückgesprungen, sondern nur der Programmzähler erhöht und
2744. anschließend das Virusprogramm ausgeführt !
2745. Das Virus zerstört keine Disketten und gibt auch keine Meldetexte aus.
2746. Momentan wird es von `AntiCicloVir` auch nur im Speicher erkannt.
2747. Dieses Virus ist ohnehin schwerer zu erkennen als andere Linkviren.
2748. Allerdings ist der Text: `>>> Golden Rider <<< by ABT` immer am Ende
2749. des ersten `Hunk`s lesbar !
2750.  
2751.  
2752.  
2753.  
2754.  
2755.  
2756.  
2757.                           `Gotcha Lamer`
2758.  
2759. Die `Gotcha Lamer`-Bombe scheint so eine Art Festplatten-Bombe zu sein.
2760. Denn diese, nur 372 Bytes große Bombe, hängt nur in einige `CLI`-
2761. Befehle im `c`-Verzeichnis der Festplatte !
2762. Ein `Reptil` namens `MINIDEMO.EXE` gilt als Erzeugerprogramm dieser Bombe !
2763. Nach seinem Aufruf wurde unter meinem `Amiga KickStart V1.2` zwar kein
2764. Demo erzeugt, dafür aber hat das Programm versucht die `Gotcha Lamer`-
2765. Bombe nach: `dh0:c/dir`,`dh0:c/run`,`dh0:c/cd` und `dh0:c/execute` zu
2766. kopieren !
2767. Im Speicher verbiegt die `Gotcha Lamer`-Bombe den DoIO ()-Vektoren auf ihre
2768. eigene Adresse.
2769. Die Bombe kann eine Zerstörungsroutine starten, wobei es auch den
2770. Text: `HAHAHE ... Gotcha LAMER !!!` ausgibt !
2771. Ob `Gotcha LAMER` als `Link` auf der Festplatte erkannt wird,
2772. konnte ich aus technischen Gruenden (habe keine Festplatte ) nicht nachpruefen !
2773.  
2774. Im Speicher wird die `Gotcha LAMER`-Bombe erkannt und gelöscht.
2775. Dafür wird aber das Erzeugerprogramm `MINIDEMO.EXE` im Haupt- oder `c`-
2776. Verzeichnis erkannt und gelöscht, wenn es unter diesem Namen abgespeichert 
2777. wurde.
2778.  
2779.  
2780.  
2781.  
2782.  
2783.  
2784.  
2785.  
2786.  
2787.                            `Hochofen`
2788.  
2789. Dieses 3000 Bytes lange Linkvirus ist nicht spreicherresident und verbiegt
2790. auch keine Vektoren.
2791. Es steht als erster `Hunk` in ausfuehrbaren Programmen und versucht sich
2792. gleich nach dem Aufruf zu vermehren.
2793. Dabei liest es das Verzeichnis der Diskette aus und baut sich in ausfuehr-
2794. bare Dateien ein.
2795. Es kann also nur Dateien infizieren, die sich auf derselben Diskette befinden.
2796. Ausserdem findet vorher auch kein Schreibschutz-Test statt.
2797. Das Virus richtet keine absichtlichen Schaeden an, kann aber Programmdateien
2798. fehlerhaft veraendern, da es viele `Hunk`-Typen nicht kennt !!!
2799. Diese Programmdateien koennen jedoch wieder korrigiert werden - nicht von
2800. `AntiCicloVir` - da keine Programmdaten zerstoert werden !
2801. Hiernach installiert es einen eigenen Prozess mit dem Namen `Greetings to
2802. Hochofen`.
2803. Dieser Prozess gibt nach einer Weile einen Requester mit dem Text 
2804. `Fasten seat-belt` aus und erzeugt die Deutschlandflagge und spielt die
2805. Nationalhymmne.
2806. Eine Vermehrung ueber diesen Prozess ist nicht moeglich - auch werden keine
2807. Schaeden angerichtet !
2808. Beim Versuch diesen Prozess zu entfernen, erhielt ich leider Systemabstuerze,
2809. weshalb `AntiCicloVir` ihn nun im Speicher nur anzeigen, aber nicht ent-
2810. fernen, kann !
2811. Auf der Diskette wird das `Hochofen`-Linkvirus ebenfalls erkannt.
2812. Zugesandt wurde es mir von Erik Loevendahl Sorensen, Snaphanevej 10, 4720
2813. Praestoe, Daenemark, von der SHI ( Safe Hex International ).
2814.  
2815.  
2816.  
2817.  
2818.  
2819.  
2820.  
2821.  
2822.  
2823.  
2824.  
2825.  
2826.  
2827.  
2828.  
2829.                              `IRQ`
2830.  
2831. Dieses 1096 Bytes große `Linkvirus`, gilt als das älteste und erste `Amiga-
2832. Linkvirus`.
2833. Es kopiert sich als `Hunk` entweder in das erste ausführbare Programm aus
2834. der `s/startup-sequence` oder es infiziert den `CLI`-Befehl `dir`, falls
2835. es kein anderes ausführbares Programm gefunden hat !
2836. Um resetfest zu bleiben setzt es die Zeiger KickTagPtr * & KickCheckSum *
2837. auf seine Adresse im Speicher.
2838. Zum Weiterkopieren wird der Vektor der Routine OldOpenLibrary () verbogen.
2839. Die `OldOpenLibrary`-Routine entstammt dem `KickStart V1.0` und sollte von
2840. neueren Programmen nicht mehr verwendet werden, da es mittlerweile eine
2841. bessere Routine namens OpenLibrary () gibt !
2842. Die `OldOpenLibrary`-Routine wurde unter den neuen Betriebssystem-Versionen
2843. nur deshalb erhalten, damit ältere Programme auf den neueren Amiga-Modellen
2844. auch noch laufen !
2845. Die `OpenLibrary`-Routinen werden von Programmen benutzt, um die System-
2846. bibliotheken zu öffnen !
2847. Denn sämtliche für Programme wichtige Routinen, sind schon im Betriebssystem
2848. enthalten und können somit von Programmen genutzt werden !
2849. Das `IRQ`-Virus richtet keine Schäden an, kann aber durch Texte in der
2850. Fensterleiste wie folgende recht nerven: `AmigaDOS presents a new virus by
2851. the IRQ-Team V41.0`.
2852. Das `IRQ`-Linkvirus arbietet nur mit KickStart V1.2 zusammen und erzeugt,
2853. bei hoeheren ROM-Versionen gleich nach dem Start Systemabstuerze.
2854. AntiCicloVir kann dieses `Linkvirus` auf Diskette anzeigen und im Speicher anzeigen & loeschen !
2855.  
2856.  
2857.  
2858.  
2859.  
2860.  
2861.  
2862.  
2863.  
2864.  
2865.  
2866.  
2867.  
2868.                        `JEFF Butonic V1.31`
2869.  
2870. Dieses `Filevirus steht immer als ausfuehrbares Programm auf der
2871. Diskette, welches von der `Startup-Sequence` aus aufgerufen wird.
2872. Es kopiert sich an eine relative Speicheradresse in`s CHIP-RAM und ist
2873. resetfest ueber die Vektoren KickTagPtr * & KickCheckSum * !
2874. Es verbiegt auch den Vektoren der Routine DoIO () auf seine eigene Adresse
2875. und setzt den Vektor $68 auf sich selbst.
2876. Interessant ist, dass das Virus einen `illegal`-Befehl beinhaltet, der jedoch
2877. nie angesprungen wird.
2878. Ausserdem kann es auch die Vektoren ColdCapture * & CoolCapture * loeschen,
2879. wobei es auch die `ChkSum` neu berechnet ... (sehr gruendlich)
2880. Nach dem Reset gibt es hin und wieder folgenden `Alert`-Text aus:
2881.  
2882.  
2883.     `Einen wunderschoenen guten Tag !
2884.      I am JEFF - the new virus generation
2885.          on Amiga *
2886.          (w) by the genious BUTONIC dHV 1.31/
2887.          05.01.88 - Generation Nr. 00011
2888.          Greetings to * Hackmack *,* Atlantic*,
2889.          Wolfram, Frank, ...
2890.          Miguel, Alex, Gerlach, and the whole
2891.          Physik - LK from MPG !!`
2892.  
2893. Ueber den verbogenen DoIO ()-Vektoren erfolgt die Vermehrung !
2894. Sobald eine Diskette eingelegt und diese nicht schreibgeschuetzt ist,
2895. wird sie infiziert !
2896. Dabei steht dem `Filevirus` ein Arsenal von Tarnnamen zur Verfuegung ...
2897. Unter folgenden Tarnnamen kann es in der `Startup-Sequence` erscheinen:
2898.  
2899. - `AddBuffers 20`
2900. - `Add21K`
2901. - `break 1 D`
2902. - `changetaskpri 5`
2903. - `wait `
2904. - `Arthus`
2905. - `Helmar`
2906. - `Aloisius`
2907. - $A0A0A020
2908. - $2020
2909.  
2910. Der Tarnname $2020 entspricht zwei Leerzeichen !
2911. Leerzeichen werden in der `Startup-Sequence` jedoch NICHT als Dateiname
2912. annerkannt, weshalb eine Vermehrung mit diesem Tarnnamen nicht moeglich sein duerfte ... 
2913. Das `Filevirus` steht immer verschluesselt auf Diskette.
2914. Der Ruecksprung aus DoIO () erfolgt uebrigens nach $FC06DC, welches die
2915. Adresse der DoIO ()-Routine unter KS1.2 ist !
2916. Unter hoeheren Betriebssystemen laeuft das Virus also nicht mehr und stuerzt
2917. nur noch ab !
2918. Ausserdem werden die `Kick`-Pointer ueber die verbogene DoIO ()-Routine ueberwacht !
2919. ueber $68 gibt das `JEFF`-Virus folgende Texte fuer die Fensterleiste aus:
2920.  
2921. - `Ich brauch jetzt`n Bier !`
2922. - `Stau auf Datenbus bei Speicherkilometer 128 !`
2923. - `Mehr Buszyklen fuer den Prozessor !`
2924. - `Ein dreifach MITLEID fuer Atari ST !`
2925. - `BUTONIC !`
2926. - `Schon die Steinzeitmenschen benutzten MS-DOS ... einige sogar heut` noch !`
2927.  
2928. - `Schon mal den Sound von PS/2 gehoert ???`
2929. - `PC/XT - AT: Spendenkonto 004 ...`
2930. - `Unabhaengigkeit & Selbstbestimmung fuer den Tastaturprozessor !`
2931.  
2932. - `Paula meint, Agnus sei viel zu dick.`
2933. - `IBM PC/XT: Ein Fall fuer den Antiquitaetenhaendler ...`
2934.  
2935. - `Sag mir, ob du Assembler kannst, und ich sag dir wer du bist ...`
2936.  
2937. Auch aus $68 erfolgt ein Ruecksprung in eine feste KS1.2-ROM-Adresse (Absturz) !
2938.  
2939. `AntiCicloVir` loescht das `Filevirus` aus dem Speicher, wenn es es gefunden hat,
2940. indem es die Vektoren DoIO() & $68 auf ihre ROM-Adressen setzt & die `Kick`-Pointer loescht.
2941.  
2942. Auch von der Diskette kann `AntiCicloVir` es loeschen und die `Startup-Sequence`
2943. korrigieren
2944.  
2945.  
2946.  
2947.  
2948.  
2949.  
2950.  
2951.  
2952.  
2953.  
2954.  
2955.  
2956.                        `JEFF Butonic V3.00`
2957.  
2958. Dieses 2916 Bytes große `Filevirus` kopiert sich unter einem unsichtbaren
2959. Namen, der in hexadezimal dem Wert $A0A0A0 entspricht, weiter !
2960. Damit funktioniert es ähnlich wie die `Fileviren` `Revenge Of The LAMER
2961. Exterminator` und `Bret Hawnes` !
2962. Außer seinen Namen schreibt dieses Virus auch noch einen Maschinensprache-
2963. befehl in die `s/startup-sequence`, so daß ein Editieren mit dem `CLI`-Befehl
2964. `ed` unmöglich ist ( `File contains binary !` ) !
2965. Sobald das `Filevirus` von der `s/startup-sequence` aus gestartet wurde,
2966. kopiert es sich in den Speicher und setzt die Zeiger KickTagPtr * und
2967. KickCheckSum * auf sein Resetprogramm !
2968. Außerdem wird noch der Vektor DoIO () verbogen, welcher jede eingelegte
2969. Diskette auf Schreibschutz überprüft und das Virus ansonsten `drauf-
2970. kopiert.
2971. Dieser Vektor überwacht auch die `Kick`-Vektoren und setzt sie nach
2972. jedem Löschen wieder neu, so daß auch DoIO () auf`s ROM gesetzt
2973. werden sollte, wenn das Virus aus dem Speicher entfernt wird !
2974. `AntiCicloVir` löscht das `Filevirus` im Speicher, falls es es gefunden
2975. hat. 
2976. Auf der Diskette erkennt `AntiCicloVir` ebenfalls das `JEFF Butonic`-Virus
2977. V3.00 und löscht auch den Aufruf aus der `s/startup-sequence` !
2978. Das `JEFF Butonic`-Virus V3.00 zerstört keine Disketten.
2979. Es wird auch von einem Programm namens `*JEFF*VIRUSKILLER` erzeugt !
2980.  
2981.  
2982.  
2983.  
2984.  
2985.  
2986.  
2987.  
2988.  
2989.  
2990.  
2991.  
2992.  
2993.                           `Liberator v1.21/3.0`
2994.                          
2995. Diese beiden Programme sind von der Definition her eigentlich keine `echten
2996. Viren`.
2997. Denn die Programme `Liberator v1.21` ( 10936 Bytes ) & `Liberator V3.0`
2998. ( 10712 Bytes ) stehen nicht im Speicher, sind nicht resident und verbiegen
2999. auch keine Vektoren.
3000. Deshalb funktionieren sie auch unter `KickStart V2.04`.
3001. Sie versuchen dem Anwender ein Nutzprogramm - in diesem Falle einen Virus-
3002. killer - vorzutaeuschen !
3003. Sie stehen unter dem Namen `cv` auf der Diskette oder Festplatte.
3004. Das Virus `Liberator V3.0` taeuscht durch folgenden Text:
3005.  
3006. `Check Vectors rev. 5.1 All Rights Reserved more TUPperware @ by Mike Hansell
3007.  Reset vectors ok, Nothing resident, Trackdisk.device not intercepted, DoIO ok,
3008.  VBlank ok, dos.library not intercepted.
3009.  System appears to be free of viruses and trojans !`
3010.  
3011. Gleichzeitig versucht `Liberator V3.0` auf der Festplatte die Datei `.fastdir  `
3012. zu erzeugen, welche es spaeter als Zaehlstelle benutzt.
3013. `Liberator V3.0` kopiert sich unter seinem Tarnnamen nach `dh0:` und veraendert
3014. dort auch die `Startup-Sequence`:
3015.  
3016. `execute s:startup-sequence 2`
3017.  cv >NIL:
3018.  endcli >NIL:`
3019.  
3020. In `dh2:` sehen die Veraenderung wie folgt aus:
3021.  
3022. `LoadWb
3023.  cv >NIL:
3024.  EndCLI >NIL:`
3025.  
3026. Und in `dh3:`:
3027.  
3028. `LoadWB -debug`
3029.  cv >NIL:
3030.  endcli >NIL:`
3031.  
3032. Das Geraet `NIL:` ist ein wahres `Datengrab` - was einmal hier eingegeben
3033. wurde verschwindet auf `nimmer Wiedersehen` ...
3034. Damit soll bewirkt werden, dass das `Liberator`-Virus V3.0 sich bei der
3035. Arbeit, nicht durch seine eigene Tarnfunktion verraet - es erscheinen also
3036. keine Ausgabetexte mehr, wie etwa beim Start vom `AmigaDOS` aus !
3037. Bei jedem Durchlauf der `Startup-Sequence`, wird die Zaehlstelle in der
3038. Datei `.fastdir  ` auf der Festplatte um eins erhoeht.
3039. Sobald der Wert 100 erreicht wird, wird folgender Text ausgegeben:
3040.  
3041.  `Congratulations your hard disk has been liberated of virus protection !!
3042.          Hello from the liberator virus v3.0 -
3043.             Digital Deviant
3044.          The anti-anti-virus is here again !
3045.           Lets play trash the hard disk
3046.             and ram the disk heads
3047.                Only hardcore belgian rove can
3048.                 truely liberate the mind
3049.              The liberator 15/01/92`
3050.  
3051. Es scheint sich hierbei also um ein `Festplattenvirus` zu handeln, welches
3052. sich jedoch nicht vermehren kann und offenbar auch keine Schaeden anrichtet.
3053. `Liberator V1.21/3.0` ist also ein recht harmloses Programm !
3054. `AntiCicloVir` kann es von der Diskette entfernen.
3055. Ob dies auch bei der Festplatte funktioniert, kann ich nicht bestaetigen,
3056. da ich keine Festplatte besitze.
3057. Zugesandt wurden mir diese beiden Viren von Erik Loevendahl Soerensen,
3058. Snaphanevej 10, 4720 Praestoe, Daenemark, von der SHI (Safe Hex International ).
3059.  
3060.  
3061.  
3062.  
3063.  
3064.  
3065.  
3066.  
3067.  
3068.  
3069.  
3070.  
3071.  
3072.  
3073.                           `Liberator V5.01`
3074.  
3075. Dieses 16924 Bytes grosse Programm funktioniert aehnlich wie `Liberator V1.21/
3076. 3.0`.
3077. Allerdings infiziert es diesmal die Disketten und nicht mehr die Festplatten.
3078. Auch dieses Programm taeuscht einen Viruskiller vor:
3079.  
3080. `PV (Protect Vectors)v1.02 by Peter Stuer July 22, 1992 FREEWARE
3081.  Reset vectors ok, Nothing resident, Trackdisk.device not intercepted, DoIO ok,
3082.  VBlank ok, low interrupts ok, dos.library not intercepted.
3083.  
3084.  monitoring vectors ...
3085.  Fully KickStartV2.xx compatible, stops all viruses, checks disk-validators.
3086.  
3087.  Use run to push this programm into background.`
3088.  
3089. Gleichzeitig kopiert sich `Liberator V5.01` nach `df1:` und zusaetzlich folgende
3090. weitere Programmdateien : `:c/run`, `:c/br`, `:c/sl.info ` !
3091. Ausserdem wird beim Kopieren immer der letzte Buchstabe von `:c/PV` geaendert -
3092. wohl um eine Erkennung zu erschweren ...
3093. Das `Liberator V5.01`-Virus befindet sich also in der Programmdatei `:c/PV`,
3094. und in `:c/sl.info ` befindet sich wieder einmal eine Zaehlstelle.
3095. Auch die `Startup-Sequence` wird geaendert:
3096.  
3097. `br c:PV`
3098.  
3099. Der Befehl `br` steht fuer `backrun`.
3100. Das Programm `PV` soll also als Hintergrundprozess laufen !
3101. Allerdings ist `Liberator V5.01` nicht resetfest und verbiegt auch keine Vektoren,
3102. kann sich aber durch diesen Mechanismus vermehren !
3103. Es beinhaltet den folgenden Ausgabetext:
3104.  
3105.      `Congratulations this disk has bean liberated of virus protection !!
3106.  
3107.         Hello from the Liberator virus v5.01 -
3108.             Random Disaster
3109.         The anti-anti-virus is here again !
3110.                  Lets play trash the hard disk
3111.             and ram the disk heads
3112.             The piracy curse
3113.         Liberator V - The future is near.
3114.          Look out for Liberator VI - The final nightmare ...
3115.          coming soon from a lame swapper near you !
3116.     Respect to the virus masters Lamer Exterminator,Crime & Contrast
3117.            And remember be excellent to each other !
3118.                         The liberator 27/07/92
3119.                            Virus Generation:`
3120.  
3121. Dieses Programm ist jedoch recht harmlos, da es keine Schaeden anrichtet.
3122. `AntiCicloVir` kann es auf der Diskette erkennen und entfernen.
3123. Zugesandt wurde mir dieses Virus von Erik Loevendahl Soerensen, Snaphanevej 10,
3124. 4720 Praestoe, Daenemark, von der `SHI`  Safe Hex International ).
3125.  
3126.  
3127.  
3128.  
3129.  
3130.  
3131.  
3132.  
3133.  
3134.  
3135.  
3136.  
3137.  
3138.                            
3139.  
3140.                             `LOOOOM`
3141.  
3142. Dieses 1848 Bytes lange Programm ist ein `Disk-Validator`-Virus.
3143. Es handelt sich hierbei jedoch um eine recht simple Mutation des `SADDAM`-
3144. Viruses, an der ausser dem Namen nichts geaendert wurde.
3145. Lesen Sie also bitte alle weiteren Informationen zu derartigen Viren unter
3146. dem Kapitel `SADDAM` nach !
3147. `AntiCicloVir` erkennt es namentlich im Speicher und entfernt es.
3148. Auf der Diskette wird es als `SADDAM`-Virus erkannt und entfernt, da es dort
3149. zu 100 % identisch mit diesem ist !
3150. Nur der verschluesselte Text lautet jetzt nicht mehr `SADDAM VIRUS`, sondern
3151. `LOOOOM VIRUS` !
3152. Zugesandt wurde es mir von Erik Loevendahl Soerensen, Snaphanevej 10, 4720
3153. Praestoe, Daenemark, von der `SHI` ( Safe Hex International ).
3154.  
3155.  
3156.  
3157.  
3158.  
3159.  
3160.  
3161.  
3162.                           `MENEM`s REVENGE`
3163.  
3164. Dieses 3076 Bytes lange `Linkvirus` gehoert zu der neuen Generayion der-
3165. artiger AMIGA-Viren.
3166. Sobald es sich in den Speicher kopiert hat, verbiegt es den Vektor der
3167. Routine LoadSeg () auf seine eigene Adresse.
3168. Jedesmal, wenn diese Routine benutzt wird, wird das Virus nun aktiv.
3169. Starten Sie beispielsweise ein Programm von der `Workbench`-Oberflaeche
3170. aus, so wartet `MENEM`s REVENGE` so lange, bis ein zweites Programm gestartet
3171. wurde.
3172. Erst jetzt wird es aktiv und befaellt das zuerst aufgerufene Programm.
3173. Dabei benutzt es die von neueren `Linkviren` verwandte Methode.
3174. Es sucht im ersten `Hunk` der Datei nach dem Maschinensprachebefehl $4E75 = `rts`
3175. und ersetzt ihn durch $4E71 = `nop` und haengt sich selbst an`s Ende des
3176. ersten `Hunk`s.
3177. So wird es immer aktiviert, wenn das Ende des aufgerufenen Programmes erreicht
3178. wird.
3179. Ausserdem startet es einen Prozess mit dem Namen ` `,0, der nach einiger Zeit
3180. ueber einen `Alert` folgenden Text ausgibt:
3181.  
3182.         `MENEM`S REVENGE HAS ARRIVIED !!!`
3183.              `ARGENTINIA STILL ALIVE`
3184.  
3185. Es wurden keine Zerstoerungsroutinen im `Linkvirus` gefunden.
3186. `AntiCicloVir` kann es bisher nur im Speicher erkennen & entfernen, jedoch
3187. nicht auf der Diskette.
3188. Zugesandt wurde es mir von Erik Loevendahl Soerensen, Snaphanevej 10, 4720
3189. Praestoe, Daenemark, von der `SHI` ( Safe Hex International ).
3190.  
3191.  
3192.  
3193.  
3194.  
3195.  
3196.  
3197.  
3198.  
3199.  
3200.  
3201.  
3202.  
3203.  
3204.  
3205.  
3206.                              `NANO`
3207.  
3208. Das 1484 Bytes große `Filevirus` namens `NANO`, tarnt sich immer unter dem
3209. unsichtbaren Namen $A0A0A0A0A0A0 im Hauptverzeichnis einer infizierten
3210. Diskette.
3211. Wenn es von der `Startup-Sequence` aufgerufen wird, kopiert es sich ab 
3212. $7C000 in den Speicher und verbiegt die Vektoren CoolCapture *, OldOpenLibrary ()
3213.  und SumKickData () !
3214. Außerdem werden zwei Zählstellen installiert !
3215. Bei jedem Aufruf der OldOpenLibrary ()-Routine durch ein Anwenderprogramm,
3216. versucht sich das Virus zu vermehren, indem es sich als unsichtbare Datei
3217. auf Diskette kopiert und seinen Namen an erster Stelle in die `Startup-Sequence`
3218.  einträgt !
3219. Nach jedem sechsten Aufruf wird folgender `Alert`-Text ausgegeben:
3220.  
3221. `                 ... another masterpiece by  N A N O  !!!
3222.  
3223.      GREETINGS TO:
3224.  
3225.      Byte Bandit, Byte Warrior, DEF JAM, DiskDoktors,
3226.      FANTASY, Foundation For The Extermination Of Lamers,
3227.      I.R.Q. Team, Obelisk Softworks Crew, S.C.A., UNIT A ...`
3228.  
3229. Nach jedem sechsten `Reset` wird mittels einer `Copper`-Grafik die Deutschland-
3230. flagge dargestellt.
3231. Beim Drücken der linken Maustaste, verschwindet die Grafik, der Bildschirm wird
3232. grün und die LED beginnt zu blinken ...
3233. Dadurch könnte bei einigen Anwendern der Eindruck entstehen, das Virus sei
3234. nun angestürzt und befinde sich nicht mehr im Speicher !
3235. Aber Vorsicht !!!
3236. Es ist danach noch weiterhin aktiv und kann sich vermehren !
3237. Bei Aufruf der SumKickData ()-Routine werden die viruseigenen Vektoren über-
3238. wacht und ggf. neu gesetzt und die übrigen evtl. verbogenen `Reset`-Vektoren
3239. gelöscht.
3240. Schäden richtet das `NANO`-Virus keine an.
3241. `AntiCicloVir` erkennt dieses Virus auf Diskette und im Speicher und löscht es.
3242.  
3243.  
3244.  
3245.  
3246.  
3247.  
3248.  
3249.  
3250.      
3251.                           `PP-BOMB`
3252.  
3253. Bei dieser 71308 Bytes großen Datei, handelt es sich um die original `power-
3254. packer.library` Version 3.0b, in welche eine Zerstörungsroutine eingebaut
3255. wurde !
3256. Natürlich stammt diese Routine nicht vom Programmierer der Bibliothek, sondern
3257. wohl von einer Cracker-Gruppe namens QUARTEX !
3258. `PP-BOMB` ist nicht resetfest, kann sich nicht weiterkopieren und verbiegt
3259. auch keine Vektoren, weshalb es nicht im Speicher gesucht werden braucht.
3260. Untersuchen Sie mit `AntiCicloVir` also das Verzeichnis `LIBS`, um diese
3261. Bombe zu finden !
3262. Ist `PP-BOMB` erst einmal aktiv geworden, so beginnt es damit nach dem Befehl
3263. `why` in dh0: und dh1: zu suchen, um ihn auf Null zu setzen, nach der Datei
3264. `AmiExpress` zu suchen, um sie ebenfalls zu verändern ...
3265. Sie sehen also, daß dieses Programm intensiv damit beschäftigt ist, einige
3266. Dateien auf Ihrer Festplatte zu verändern !
3267.  
3268.  
3269.  
3270.  
3271.  
3272.  
3273.  
3274.  
3275.                             `QRDL1.1`
3276.  
3277. Dieses 2320 Bytes lange Programm stellt ein `Linkvirus` dar, welches sich
3278. als eigenstaendiger `Hunk` in infizierte Programme einbaut.
3279. Leider funktioniert es mit meinem Rechner nicht, da ich entweder `KickStart 1.2`
3280. besitze oder keine Speichererweiterung.
3281. Somit blieb eine genaue Auswertung des `Linkviruses` versagt ...
3282. Ich werde mich aber bemuehen, es fuer die naechste Version von `AntiCicloVir`
3283. genauer auszuwerten.
3284. Bisher kann es jedoch nur auf der Diskette erkannt werden und nicht im Speicher !
3285. Es benutzt die Vektoren CoolCapture*, DoIO (), OpenLibrary () & OpenWindow ().
3286. Folgenden ASCII-Text beinhaltet das `QRDL1.1`-Linkvirus:
3287.  
3288.         `(C)1992-04-16 QRDL. RELEASE 1.1
3289.         `Born in Poland, Grt to Jack`
3290.  
3291. Es kann Daten schaedigen, indem es alle Bloecke der `BAM` (Block Allocation Map)
3292. freigibt.
3293. In der `BAM` stehen die Adressen aller belegten Bloecke einer Diskette.
3294. Werden diese Bloecke wieder freigegeben, so behandelt das Betriebssystem sie
3295. wie leere Bloecke !
3296. D.h., wenn sie ein neues Programm auf solch` einer Diskette abspeichern, dann
3297. kann es sein, dass Datenbloecke von anderen Programmen, die ueber die `BitMap`
3298. freigegeben worden sind, ueberschrieben werden !!!
3299. Diese Programme sind dann unwiderruflich verloren !!!
3300. Dieses `Linkvirus` wurde mir von Erik Loevendahl Soerensen, Snaphanevej 10,
3301. 4720 Praestoe, Daenemark, von der `SHI` ( Safe Hex International ) zugesandt.
3302.  
3303.  
3304.  
3305.  
3306.  
3307.  
3308.  
3309.  
3310.  
3311.  
3312.  
3313.  
3314.  
3315.  
3316.                          `Red October 1.7`
3317.  
3318. Dieses `Linkvirus` wird offenbar als PD weitergegeben, denn es existiert
3319. folgendes `DOC`-File hierfuer:
3320.  
3321. `The Red October Virus 1.7 (901029)
3322.  
3323. This virus program is for demonstration and testing purpose only.
3324.  
3325. The Red October virus is a non-overwriting virus and was developed
3326. and tested under AmigaDOS 1.3.
3327.  
3328. The following points influenced the development of the program:
3329.  
3330. 1. The virus should infect other programs only when system clock
3331.    seconds are evenly divisible by three.
3332.  
3333. 2. All of the infected files should continue to work properly.
3334.  
3335. 3. The manipulation task in the virus causes a system crash when
3336.    the system clock seconds are 16, 32 or 48 (evenly divisible
3337.    by sixteen).
3338.  
3339. 4. The virus only infects files which are shorter than 50000 
3340.    bytes in the current directory.
3341.  
3342. Delete the virus and the infected programs on the computer when
3343. you are done. WORK WITH COPIES ONLY.`
3344.  
3345.  
3346.  
3347. Das `Red October 1.7`-Linkvirus steht nicht im Speicher, ist nicht resetfest
3348. und verbiegt auch keine Vektoren !
3349. Deshalb laeuft es auch mit `KickStart V2.04` !
3350. `Red October 1.7` arbeitet mit dem `timer.device`.
3351. Wenn die Anzahl der Sekunden durch drei geteilt werden kann, kommt es zu einer
3352. Vermehrung.
3353. Dabei haengt es sich vor den ersten `Hunk` in eine zu infizierende Programm-
3354. datei !
3355. Es durchsucht das ganze Verzeichnis einer Diskette nach Programmdateien und
3356. kann so innerhalb kurzer Zeit die komplette Disk verseuchen !!!
3357. Ueber diese Disk hinaus, ist jedoch keine Vermehrung mehr moeglich.
3358. Ausserdem koennen auch die infizierten Programme zu Systemabstuerzen fuehren,
3359. da sich das `Linkvirus` manchmal fehlerhaft in die Programmdateien einbaut !
3360. Dabei gehen aber keine Programmdaten verloren, sondern nur die `Hunk`-Werte
3361. werden falsch zusammengestellt, so dass derartige Programme wieder korrigiert
3362. werden koennen - jedoch nicht von `AntiCicloVir` !
3363. Wenn die Sekunden durch 16 geteilt werden koennen, fuehrt `Red October 1.7`
3364. einen RESET aus.
3365. `AntiCicloVir` erkennt dieses `Linkvirus` auf der Diskette.
3366. Dieses `Linkvirus` wurde mir von Erik Loevendahl Soerensen, Snaphanevej 10,
3367. 4720 Praestoe, Daenemark, von der `SHI` ( Safe Hex International ) zugesandt.
3368.  
3369.  
3370.  
3371.  
3372.  
3373.  
3374.  
3375.  
3376.  
3377.  
3378.  
3379.  
3380.  
3381.  
3382.                              `RISC`
3383.  
3384. Dieses 1848 Bytes grosse `Disk-Validator`-Virus ist eine Mutation des
3385. `SADDAM`-Viruses.
3386. Deshalb bitte ich Sie alle weitergehenden Informationen zu diesem Virus-
3387. typ, unter dem Kapitel `SADDAM` nach zu lesen.
3388. Geaendert wurde nur der Name von `SADDAM VIRUS` in `RISC VIRUS`, sowie die
3389. Vermehrungsroutine, da sich das Virus nun nicht mehr ueber `DF0:`, sondern
3390. `DF1:` verbreiten kann.
3391. `AntiCicloVir` erkennt es im Speicher als `RISC`-Virus und loescht es, auf
3392. der Diskette wird es jedoch weiterhin als `SADDAM`-Virus erkannt, da dieses 
3393. `neue` Virus dem Original auf`s Byte gleicht, ausser dem verschluesselten
3394. Text !
3395. Zugesandt wurde es mir von der `SHI` ( Safe Hex International ), Erik
3396. Loevendahl Soerensen, Snaphanevej 10, 4720 Praestoe, Daenemark.
3397.  
3398.  
3399.  
3400.  
3401.  
3402.  
3403.  
3404.  
3405.  
3406.  
3407.  
3408.  
3409.                             `SADDAM` 
3410.  
3411.  
3412. Dieses 1848 Bytes große Virus tarnt sich als `Disk-Validator` im Verzeichnis
3413. `L` auf infizierten Disketten !
3414. Jede mit einem `SADDAM`-Virus infizierte Diskette hat einen
3415. `Disk-Validating Error`,den das `SADDAM`-Virus selbst angelegt hat.
3416. Dieses `Virus ist das erste, welches sich unter AmigaDOS selbst
3417. aufrufen kann, ohne daß es vom Anwender durch Booten oder Starten eines
3418. verseuchten Programmes etwa aktiviert  wurde !!!!!!
3419. Das Einlegen, einer mit einem `SADDAM`-Virus infizierten Diskette, reicht
3420. aus, damit sich das Virus in den Speicher kopieren kann !
3421. Es simuliert einen echten `Disk-Validator` und hat auch diesselbe Größe
3422. des Original-`Disk-Validators`, doch im Gegensatz zu diesem, ist es
3423. bis auf das Wort `BitMap CheckSum Error` total kodiert und kann so
3424. von Anfängern schwer unterschieden werden !
3425. Es kopiert sich auf jede nicht schreibgeschützte Diskette im Laufwerk
3426. `DF0:` als `Disk-Validator` !
3427. Wenn es kein `L`-Verzeichnis auf einer Diskette findet, dann kann es
3428. dieses Verzeichnis selbst anlegen !
3429. Bei bereits vorhandenem `Disk-Validator`, kopiert sich das Virus einfach
3430. `drüber !!
3431. Der `Disk-Validator` ist eine Art `externe Betriebssystem-Routine`,die
3432. von `AmigaDOS` immer dann aufgerufen wird, wenn es auf eine Diskette
3433. mit ungültiger `BAM` ( `Block Allocation Map` ) trifft !
3434. In der `BAM` jeder Diskette steht zum Beispiel wieviele und welche
3435. Blöcke schon belegt sind.
3436. Ist diese `BAM` ungültig, so hat die Diskette einen `Disk-Validating Error`
3437. und das Betriebssystem muß mit Hilfe einer Routine die entsprechenden
3438. Block-Angaben selbst herausfinden !
3439. Diese Routine ist der `Disk-Validator` im Verzeichnis `L` !
3440. Mit dessen Hilfe wird herausgefunden, wieviele und welche Blöcke
3441. einer Diskette schon belegt sind.
3442. Das `SADDAM`-Virus beinhaltet ebenfalls die Routine eines `Disk-Validators`
3443. und wird auch vom Betriebssystem bei ungültiger `BAM` aufgerufen.
3444. Dieses Virus setzt den BitMap-Zeiger im Rootblock der Diskette , auf der es 
3445. sich kopiert, auf eine sinnlose Adresse, was das Betriebssystem später ständig beim
3446. Einlegen dieser Diskette zwingen wird, den `L/Disk-Validator`, also das
3447. `SADDAM`-Virus zu starten !
3448. Das `SADDAM`-Virus setzt den Zeiger ColdCapture * auf seine Speicher-
3449. adresse und kann so auch unter `KickStart 1.3` ohne `SetPatch r` 
3450. den Reset ueberleben !
3451. Außerdem werden verbogen  InitCode (), OpenWindow (), BeginIO (), 
3452. Close (trackdisk.device) & Rasterbeam !
3453. Es ist nach jedem Reset und nach jedem Diskettenwechsel aktiv und
3454. kopiert sich auf die aktuelle Diskette !
3455. Das `SADDAM`-Virus zerstört die Disketten, indem es nach einiger Zeit
3456. einige Blöcke in `IRAK` umbenennt und deren Inhalt mit einem bestimmten
3457. Wert kodiert !
3458. Diese kodierten Datenblöcke werden von AmigaDOS nicht mehr anerkannt
3459. und lösen so `Read/Write Errors` aus !
3460. Solange sich das `SADDAM`-Virus jedoch aktiv im Speicher befindet, dekodiert
3461. es die `IRAK-Datenbloecke` und unterdrueckt so derartige Fehlermeldungen !
3462. Erst wenn es aus dem Speicher entfernt wurde, kommt es zu `read/write
3463. errors` !!!
3464. Mir ist aufgefallen, daß sich das `SADDAM`-Virus nicht auf Disketten
3465. kopieren kann, wenn man ihnen die Namen `DF1`,`DF2` oder `DF3` gibt !!!
3466. `AntiCicloVir` kann das `SADDAM`-Virus jetzt aus dem Speicher
3467. löschen.
3468. Auf der Diskette erkennt `AntiCicloVir` das `SADDAM`-Virus, warnt Sie
3469. und löscht es !
3470. Da die Gefahr besteht, daß sich schon beim Durchchecken Ihrer Sammlung,
3471. ein mögliches `SADDAM`-Virus in den Speicher kopiert, empfiehlt es
3472. sich, zuerst alle Disketten mit aktiviertem Schreibschutz zu testen !
3473. Anschließend sollten die mit einem `SADDAM`-Virus infizierten Disketten
3474. aussortiert und der Amiga ausgeschaltet werden.
3475. Danach können Sie den Amiga wieder einschalten und mit `AntiCicloVir`
3476. die `SADDAM`-Viren von den befallenen Disketten löschen !
3477. Zwar kopiert sich das Virus wieder in den Speicher, aber dafür wird
3478. es nur beim Diskettenwechsel aktiv !
3479. Wenn das `SADDAM`-Virus von einer infizierten Diskette gelöscht wurde,
3480. kopiert es sich erst wieder auf diese, wenn sie zum zweiten Mal einge-
3481. legt wird ( und das sollten Sie vermeiden !!! ) !
3482. Nachdem Sie alle Disketten vom `SADDAM`-Virus befreit haben, werden Sie
3483. merken, daß alle einen `Disk-Validating Error` haben, an dem aber nicht
3484. `AntiCicloVir`, sondern das Virus schuld ist.
3485. Gewiß kann man in komplizierter Weise diesen Fehler auch mit einem
3486. Diskettenmonitor entfernen, aber es geht auch viel einfacher mit Hilfe
3487. des Betriebssystems !
3488. Benutzt man einen Disketteneditor, so muss man zuerst die Original-Adresse
3489. des BitMap-Blocks suchen, die das `SADDAM`-Virus immer auf der betroffenen
3490. Diskette abspeichert.
3491. Anschliessend muss diese Adresse im BitMap-Zeiger des Rootblockes
3492. eingetragen werden.
3493. Dieser `Disk-Validating Error` ist zwar harmlos, aber lästig, da man
3494. auf derartigen Disketten keine Programme oder Dateien mehr abspeichern
3495. kann !
3496. Legen Sie also einfach die `Workbench`-Diskette ein, auf der sich
3497. hoffentlich der echte `Disk-Validator` befindet und booten Sie von
3498. ihr !
3499. Nachdem Sie sich im `CLI` und die `CLI`-Befehle im `RAM` befinden,
3500. sollten Sie nun eine Diskette mit dem `Disk-Validating Error` einlegen !
3501. Daraufhin wird das Betriebssystem den `Disk-Validating Error` melden
3502. und nach der `Workbench`-Diskette verlangen, auf der sich ja der
3503. `Disk-Validator` befindet.
3504. Mit Hilfe dieses `Disk-Validator`s` werden nun die Anzahl und Adressen
3505. der belegten Blöcke auf der fehlerhaften Diskette in den Speicher
3506. kopiert und somit ist die Diskette für AmigaDOS vorerst wieder gültig.
3507. Jetzt können Sie vorläufig wieder Schreibzugriffe auf diese Diskette
3508. ausüben und das sollten Sie auch tun !
3509. Denn bei jedem Schreibzugriff auf einer Diskette, wird eine neue gültige
3510. `BAM` angelegt und die Diskette hat somit keinen `Disk-Validating Error`
3511. mehr !!!
3512. Löschen Sie nun also irgendeine unwichtige oder schreiben Sie eine
3513. wichtige Datei auf diese Disk, damit die `BAM` wieder stimmt !!
3514. Sie können beispielsweise `.info` löschen !
3515.  
3516. Schwieriger ist es mit den Disketten, auf denen das `SADDAM`-Virus
3517. schon einzelne Datenblöcke kodiert hat !
3518. Wenn Sie die vorerst verloren gegangenen Daten nicht mehr brauchen,
3519. mit der Diskette aber sinnvoll weiterarbeiten wollen, dann können
3520. Sie auch das Programm `DiskDoctor` benutzen, um die `Read/Write Errors`
3521. zu beseitigen !
3522. Lesen Sie dazu bitte auch das `AmigaDOS-Handbuch` von `Commodore` !
3523.  
3524. Das `SADDAM`-Virus wurde mir von Gregory Sapsford ,Fohlenkamp 33,
3525. W-4600 Dortmund 13 zugesandt !
3526.  
3527.  
3528.  
3529.  
3530.  
3531.  
3532.  
3533.  
3534.  
3535.  
3536.  
3537.  
3538.  
3539.  
3540.                          `Smily Cancer I+II`
3541.  
3542.  
3543. Das `Smily Cancer`-Virus mit einer Bytelänge von 3916 Bytes,ist das erste
3544. `Linkvirus`, welches in dieser Dokumentation erwähnt wird !
3545. Es kopiert sich in`s jeweils erste Programm, welches von der `s/startup-
3546. sequence` aufgerufen wird !
3547. Es schreibt einen weiteren `Hunk`-Eintrag in die `Hunk-Tabelle` und setzt
3548. seinen Virus-eigenen `Hunk` an erster Stelle !
3549. So wird das Virus bei jedem Booten in den Speicher geladen !
3550. Hat sich das `Linkvirus` in den Speicher kopiert, so werden die Vektoren
3551. KickTagPtr * & KickCheckSum * auf das eigene Resetprogramm gesetzt und
3552. BeginIO () auf die Kopierroutine !
3553. Der Vektor SumKickData () wird auch noch verbogen, um beim Installieren
3554. eines fremden Resetprogrammes zu gewährleisten, daß `Smily Cancer` nicht
3555. gelöscht werden kann !
3556. Es wird beim Reset und beim Diskettenwechsel aktiv und kopiert sich so
3557. weiter !
3558. Nach 20 erfolgreichen Vermehrungen verändert sich der Mauszeiger in einen
3559. gelben Kopf ( Smily ) und es wird folgender Text ausgegeben 
3560. ( Achtung ! Mögliche Übertragungsfehler !  ):
3561.  
3562. `HI THERE !!! A NEW AGE IN VIRUS MAKING HAS BEGUN !
3563.  THANK TO US ... THANK TO: --- CENTURIONS ---
3564.  
3565.  AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME
3566.  OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE
3567.  CALLED : `THE SMILY CANCER`
3568.  HAVE FUN LOOKING FOR IT ...
3569.  AND STAY TUNED FOR OUR NEXT PRODUCTIONS.
3570.  CENTURIONS: THE FUTURE IS NEAR !`
3571.  
3572. `AntiCicloVir` erkennt das `Smily Cancer`-Linkvirus mittlerweile auch auf der Diskette, kann es aber aus der infizierten Datei nicht entfernen !
3573. Nachdem Sie vor diesem Virus gewarnt worden sind, werden die Vektoren
3574. KickTagPtr * und KickCheckSum * und SumKickData () zurückgesetzt, 
3575. so daß das Virus nicht mehr resetfest ist ! 
3576. Allerdings kann es sich noch mittels des `BeginIO`-Vektoren weiterkopieren !
3577. Da ich keine Adressen verändern möchte, die bei allen `KickStart`-Versionen
3578. verschieden sind, setzt `AntiCicloVir` in diesem Falle nicht den
3579. `BeginIO`-Vektor zurück, sondern schreibt einen Maschinensprachebefehl im
3580. `Smily Cancer`-Virus so um, daß es zwar aktiv ist, sich aber nicht
3581. mehr weiterkopieren kann !
3582. Bei dem `Smily Cancer II` handelt es sich um ein 4676 Bytes großes
3583. Trojanisches Pferd, welches sich als `CLI`-Befehl `loadwb` tarnt !
3584. Es führt die `LoadWB`-Routine aus und kopiert anschließend das alte
3585. `Smily Cancer`-Linkvirus in den Speicher !
3586. Das `Smily Cancer`-Linkvirus wurde ja auch schon von der alten Version
3587. erkannt !
3588. `AntiCicloVir` erkennt `Smily Cancer` auf der Diskette und löscht es.
3589. `Smily Cancer II` kann sich selbst nicht weiterkopieren ! ( siehe auch
3590. `Lamer LoadWB` oder `T.F.C. Revenge LoadWB` )
3591.  
3592.  
3593.  
3594.  
3595.  
3596.  
3597.  
3598.  
3599.  
3600.  
3601.  
3602.                           `Terrorists`
3603.  
3604. Das `Terrorists`-Virus ( 1612 Bytes ) ist der Vorlaeufer der `BGS9`-Viren
3605. ( siehe auch `BGS9` ) !
3606. Es sucht sich das erste ausführbare Programm aus der `Startup-Sequence` 
3607. und speichert es unter dem unsichtbaren Namen $A0202020A02020A020A0A0
3608. im Hauptverzeichnis ab.
3609. Sich selbst kopiert das `Terrorists`-Virus anstelle des Original-Programmes
3610. auf die Diskette.
3611. Bei jedem Aufruf über die `Startup-Sequence` wird das `Terrorists`-Virus
3612. so aktiviert und kann sich in den Speicher kopieren und im System installieren.
3613. Anschließend läßt es das Original-Programm ausführen.
3614. Um resetfest im Speicher zu stehen, verbiegt dieses Virus die Vektoren
3615. KickMemPtr *,KickTagPtr * und KickCheckSum * !
3616. Wie beim `BGS9`-Virus wird wohl auch hier nach dem Reset der Vektor
3617. OpenWindow () verbogen und nach Ablauf der Routine wieder auf`s ROM
3618. gesetzt !
3619. Es kopiert sich nur weiter und scheint keine weiteren Schäden anrichten
3620. zu können !
3621. Es ist jedoch ebenfalls lästig wie das `BGS 9`-Virus, da das Resetprogramm
3622. nach vier Resets`s folgenden Text ausgibt:
3623.  
3624. `THE NAME HAVE BEEN CHANGED TO PROTECT THE INNONCENT ...
3625.  THE TERRORISTS HAVE YOU UNDER CONTROL
3626.  EVERYTHING IS DESTROYED
3627.  YOUR SYSTEM IS INFECTED
3628.  THERE IS NO HOPE FOR BETTER TIMES
3629.  THE FIRST TERRORISTS VIRUS !!!`
3630.  
3631.  
3632. Dieses Virus kann von `AntiCicloVir` jetzt auch im Speicher
3633. von den `BGS 9`-Viren unterschieden werden, da die Erkennungsroutine
3634. für die Viren der Gruppe `BGS9 I/II/Terrorists` ausgewechselt wurde !
3635. Auf der Diskette erkennt es `AntiCicloVir` auch und gibt eine entsprechende
3636. Meldung aus bevor es es löscht !
3637. Dabei wird auch, das vom Virus verschobene Originalprogramm, an seine alte Stelle
3638. zurueckgeschrieben.
3639.  
3640.  
3641.  
3642.  
3643.  
3644.  
3645.  
3646.  
3647.  
3648.  
3649.  
3650.                       `T.F.C. Revenge LoadWB`
3651.  
3652. Dieses 2804 Bytes große Trojanische Pferd tarnt sich auf der Diskette als
3653. `LoadWB`-Befehl und simuliert nach seinem Aufruf diesen Befehl !
3654. Es erzeugt im Speicher das `Bootblock`-Virus `T.F.C. Revenge` ( siehe
3655. Anhang B ) !
3656. Das `Bootblock`-Virus wird in zwei verschiedene Speicherbereiche kopiert !
3657. Einmal schreibt es das `Filevirus` nach $7F800 und anschließend nach
3658. $FF800 in den Speicher !
3659. Synchron hierzu werden die Vektoren KickTagPtr *,KickCheckSum *,DoIO (),
3660. sowie der Interrupt-Vektor für den Rasterstrahl verbogen - auf die
3661. Adressen des `Bootblock`-Viruses !
3662. `AntiCicloVir` erkennt `T.F.C. Revenge LoadWB` auf der Diskette und löscht es !
3663. Auch das `Bootblock`-Virus `T.F.C. Revenge` wird erkannt.
3664. Näheres zur Verfahrensweise mit diesem Virus finden Sie im Anhang B !
3665. Lesen Sie auch die Dokumtationen zu `Lamer LoadWB` und `Smily Cancer II` !
3666.  
3667.  
3668.  
3669.  
3670.  
3671.  
3672.  
3673.  
3674.  
3675.  
3676.  
3677.  
3678.  
3679.  
3680.  
3681.                         `Traveling Jack 1+2`
3682.  
3683. Diese `Linkviren` verbiegen eine Adresse mit einem Offset von $2E oberhalb
3684. der `Dosbase`-Struktur, wobei es sich um einen `dos.library`-Vektoren
3685. handelt, der in`s ROM zeigt !
3686. `Traveling Jack` ist nicht resetfest, wird aber bei jedem Aufruf einer
3687. `dos.library`-Routine aktiv und versucht sich auf die Diskette zu kopieren.
3688. Dabei verrät es sich durch einen System-Requester:
3689.                       `disk is writeprotected`
3690. Die `Linkviren` benutzen eine variable `Hunk`-Länge und erzeugen manchmal
3691. auch eine 198 Bytes große Datei auf der Diskette:
3692.                         `VIRUS.$xxxx`
3693. Sxxxx entspricht dabei einem Hexadezimalwert, der mit Hilfe des 
3694. `CIA-A`-Registers ermittelt wird !
3695. In dieser Datei ist dann zu lesen:
3696.  
3697.           `The Traveling Jack ...
3698.            I`m traveling from town to town looking for respect,
3699.            and all the girls I could lay down make me go erect.
3700.            - Jack, 21st of September 1990`
3701.  
3702. Die beiden `Traveling Jack`-Linkviren unterscheiden sich nur durch eine
3703. unterschiedliche Berechnung der `Hunk`-Laenge und einer unterschiedlichen
3704. Verschluesselungsroutine.
3705. `AntiCicloVir` erkennt beide `Jack`s im File und im Speicher.
3706. Da diese beiden `Linkviren` einen Vektoren aus der Basis-Struktur der `dos.
3707. library` verbiegen, funktionieren sie nicht mehr mit `KickStart V2.04` !
3708. Denn `Commodore` behaelt sich das Recht vor, in sogen. `Privaten Strukturen` -
3709. und dazu gehoert die `DosBase` - beliebige Aenderungen vorzunehmen ...
3710.  
3711.  
3712.  
3713.  
3714.  
3715.  
3716.  
3717.  
3718.  
3719.  
3720.  
3721.  
3722.  
3723.  
3724.  
3725.  
3726.                               `Xeno`
3727.  
3728. Dieses 1124 Bytes große `Linkvirus` war das zweite seiner Art nach `IRQ` !
3729. Wenn es sich im System installiert hat, verbiegt es einige wichtige Vektoren
3730. aus der `dos.library`: Open (), LoadSeg () & Lock () !
3731. Dieses Virus ist also nicht resetfest !
3732. Es sucht sich die zu infizierenden Programme, aus der `Startup-Sequence`.
3733. Dabei erwartet es bestimmte Namenskonventionen !
3734. Die Dateinamen dieser Programme dürfen nur Zeichen innerhalb von `0-9`,
3735. `a-z` und `A-Z` enthalten !
3736. Programme, deren Dateinamen Sonderzeichen enthalten, werden nicht infiziert.
3737. Das `Linkvirus` erhöht die Anzahl der `Hunk`s im `Hunk-Header` nicht.
3738. Es kopiert sich ( so vermute ich ) direkt vor dem ersten `Hunk` einer
3739. befallenen Datei.
3740. `Xeno` richtet keine Schäden an, gibt dafür aber hin und wieder folgenden
3741. Text aus:
3742.      `Greetings Amiga user from the Xeno virus !`
3743.  
3744. `AntiCicloVir` kann dieses `Linkvirus` auf Diskette und im Speicher erkennen !
3745.  
3746. Allerdings wird es aus einer infizierten Programmdatei nicht ausgebaut !
3747.  
3748. Verwenden Sie entweder einen anderen Viruskiller oder kopieren Sie eine nichtinfizierte
3749. Programmdatei `drueber !
3750.  
3751.  
3752.  
3753.  
3754.  
3755.  
3756.  
3757.  
3758.  
3759.  
3760.  
3761.  
3762.         
3763.  
3764.                              `Anhang B`
3765.  
3766. In diesem Anhang werden nun noch einmal alle `Bootblock`-Viren beschrieben,
3767. die `AntiCicloVir` erkennt !
3768. Die `Bootblock`-Viren werden in Kurzform dokumentiert !
3769.  
3770.  
3771.  
3772.  
3773.  
3774.  
3775.  
3776.  
3777. Name         : `16 Bit Crew`
3778.  
3779. Resetvektoren: CoolCapture *
3780. Interrupts   : keine
3781. Vektoren für
3782. Bibliotheks-
3783. funktions-
3784. vektoren     : DoIO () (RESET)
3785. Schäden      :  keine
3786. Anmerkung    : Dieses Virus steht immer ab $7EC00 im Speicher !
3787.  
3788.  
3789.  
3790. Name         : `2001`
3791.  
3792. Resetvektoren: CoolCapture *
3793. Vektoren für
3794. Interrupts   : keine.
3795. Bibliotheks-
3796. funktions-
3797. vektoren     : DoIO () (RESET)
3798. Schäden      : keine
3799. Anmerkung    : Bei diesem Virus handelt es sich um einen der unendlich
3800.                vielen `SCA`-Mutanten !
3801.                Außer geändertem Text, wurde eine Routine so geändert, daß
3802.                nach jedem Reset, ohne Diskette im Laufwerk, eine `Guru 
3803.                Meditation` ausgelöst wird !
3804.  
3805.  
3806.  
3807. Name         : `AEK`
3808.  
3809. Resetvektoren: CoolCapture *
3810. Interrupts   : keine
3811. Bibliotheks-
3812. funktions-
3813. Vektoren     : DoIO () (RESET)
3814. Schäden      : keine.
3815. Anmerkung    : Dieses Virus ist ein schon ziemlich alter `SCA`-Mutant, bei dem
3816.                nur der ASCII-Text geändert wurde !
3817.  
3818.  
3819.  
3820.  
3821. Name         : `AIDS`
3822.  
3823. Resetvektoren: CoolCapture *
3824. Interrupts   : keine.
3825. Bibliotheks-
3826. funktions-
3827. vektoren     : DoIO () (RESET)
3828. Schäden      : keine
3829. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der Text geändert !
3830.  
3831.  
3832.  
3833.  
3834. Name         : `AIDS2`
3835.  
3836. Resetvektoren: CoolCapture *
3837. Interrupts   : keine.
3838. Bibliotheks-
3839. funktions-
3840. vektoren     : PutMsg ()
3841. Schäden      : mir sind keine bekannt.
3842. Anmerkung    : Bei diesem zweiten `AIDS`-Virus handelt es sich um eine
3843.                Mutation des `Bootblock`-Viruskillers `Vkill`, der ursprünglich
3844.                zum Löschen von `Bootblock`-Viren kreiert wurde.
3845.                Die Mutation namens `AIDS` kopiert sich nun, getarnt als
3846.                Viruskiller, auf jede Diskette und löscht so auch harmlose
3847.                `Boot-Intros` etc.
3848.                Da mir der original `Bootblock`-Viruskiller `VKill` noch nicht
3849.                vorliegt, kann es sein, daß `AntiCicloVir` diesen mit dem
3850.                `AIDS`-Virus verwechselt.
3851.                
3852.  
3853. Name         : `Alien New Beat V1.0`
3854.  
3855. Resetvektoren: ColdCapture *
3856.                CoolCapture *
3857. Interrupts   :
3858. Bibliotheks-
3859. funktions-
3860. vektoren     : DoIO ()
3861. Schäden      : Löscht `Bootblock`-Viren.
3862. Anmerkung    : Dieses `Bootblock`-Virus funktioniert nur bis `KickStart 1.2` !
3863.  
3864.  
3865.  
3866. Name         : `Amiga Freak`
3867.  
3868. Resetvektoren: KickTagPtr *
3869.                KickCheckSum *
3870. Interrupts   : keine
3871. Bibliotheks-
3872. funktions-
3873. vektoren     : BeginIO ()
3874. Schäden      : mir sind keine bekannt.
3875. Anmerkung    : Bei diesem Virus handelt es sich um einen `Forpib/Byte Bandit`-
3876.                Mutanten, bei dem nur der ASCII-Text geändert wurde !
3877.                
3878.  
3879.  
3880.  
3881. Name         : `Amiga Master`
3882.  
3883. Resetvektoren: CoolCapture *
3884. Interrupts   :
3885. Bibliotheks-
3886. funktions-
3887. vektoren     : DoIO () (RESET)
3888. Schäden      : keine.
3889. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgewechselt.
3890.  
3891.  
3892.  
3893.  
3894. Name         : `ASV V0.000123`
3895.  
3896. Resetvektoren: CoolCapture *
3897. Interrupts   :
3898. Bibliotheks-
3899. funktions-
3900. vektoren     : Forbid ()
3901. Schäden      : Dieses Virus verbiegt den Zeiger der `Forbid`-Routine auf
3902.                seine eigene Routine im Speicher, die `ChipMem` löscht !
3903. Anmerkung    : Das `ASV V0.000123`-Virus kopiert sich nicht weiter !
3904.  
3905.  
3906.  
3907.  
3908. Name         : `Australian Parasite`
3909.  
3910. Resetvektoren: CoolCapture *
3911. Interrupts   :
3912. Bibliotheks-
3913. funktions-
3914. vektoren     : DoIO ()
3915. Schäden      : Das `Australian Parasite`-Virus kann den Bildschirminhalt
3916.                verdrehen !
3917. Anmerkung    : ACHTUNG : `VirusX 4.00` verwechselt die Viren `Return of the
3918.                Lamer Exterminator` und `SADDAM` mit dem `Australian Parasite`-
3919.                Virus !!!
3920.  
3921.  
3922.  
3923. Name         : `Bamiga Sector One`
3924.  
3925. Resetvektoren: CoolCapture
3926. Interrupts   : keine.
3927. Bibliotheks-
3928. funktions-
3929. vektoren     : DoIO () (RESET)
3930. Schäden      : keine.
3931. Anmerkung    : Bei diesem `SCA`-Mutanten wurde lediglich der `ASCII`-Text
3932.                ausgetauscht.
3933.  
3934.  
3935. Name         : `Big Boss`
3936.  
3937. Resetvektoren: CoolCapture *
3938. Interrupts   : keine.
3939. Bibliotheks-
3940. funktions-
3941. vektoren     : DoIO () (RESET)
3942. Schäden      : keine.
3943. Anmerkung    : Bei diesem `SCA`-Mutanten wurde wieder einmal nur der
3944.                ASCII-Text ausgewechselt.
3945.  
3946.  
3947.  
3948. Name         : `Blackflash V2.0`
3949.  
3950. Resetvektoren: CoolCapture *
3951. Interrupts   : keine
3952. Bibliotheks-
3953. funktions-
3954. vektoren     : DoIO ()
3955. Schäden      : keine.
3956. Anmerkung    : keine.
3957.  
3958.  
3959.  
3960.  
3961. Name         : `Blade Runners`
3962.  
3963. Resetvektoren: CoolCapture *
3964. Interrupts   : keine.
3965. Bibliotheks-
3966. funktions-
3967. vektoren     : DoIO () (RESET)
3968. Schäden      : keine.
3969. Anmerkung    : Auch bei diesem `SCA`-Mutanten wurde nur der Text verändert ...
3970.  
3971.  
3972.  
3973.  
3974. Name         : `BLF`
3975.  
3976. Resetvektoren: CoolCapture *
3977. Interrupts   : keine.
3978. Bibliotheks-
3979. funktions-
3980. vektoren     : DoIO ()
3981.                BeginIO ()
3982. Schäden      : keine.
3983. Anmerkung    : keine.
3984.  
3985.  
3986.  
3987.  
3988. Name         : `BlizzPro V3.1`
3989.  
3990. Resetvektoren: CoolCapture *
3991. Interrupts   : keine.
3992. Bibliotheks-
3993. funktions-
3994. vektoren     : CloseDevice ()
3995. Schäden      : Dieses Programm löscht folgende `Bootblock`-Viren: `NORTH STAR`,
3996.                `BYTE BANDIT`,`BYTE WARRIOR`,`REVENGE`,`GADAFFI`,`LAMER EXTERMIN.` !
3997. Anmerkung    : Bei diesem Programm handelt es sich lediglich um einen `Bootblock`.
3998.                Viruskiller, der sich nur auf infizierte Disketten kopiert !
3999.  
4000.  
4001.  
4002.  
4003. Name         : `BlizzPro V3.3`
4004.  
4005. Resetvektoren: CoolCapture *
4006. Interrupts   : keine.
4007. Bibliotheks-
4008. funktions-
4009. vektoren     : CloseDevice ()
4010. Schäden      : wie `BlizzPro V3.1`
4011. Anmerkung    : Dieses Programm funktioniert in etwa ähnlich wie `BlizzPro V3.1` !
4012.  
4013.  
4014.  
4015.  
4016. Name         : `Blow Job`
4017.  
4018. Resetvektoren: KickTagPtr *
4019.                KickCheckSum *
4020. Interrupts   : Interrupt 3 für Textausgabe
4021. Bibliotheks-
4022. funktions-
4023. vektoren     : DoIO () (RESET)
4024. Schäden      : keine.
4025. Anmerkung    : Dieses Virus täuscht im `Bootblock` durch den Text: 
4026.                `Memory Allocator 3.01`.
4027.  
4028.  
4029.  
4030. Name         : `Butonic 1.1`
4031.  
4032. Resetvektoren: CoolCapture *
4033. Interrupts   : keine.
4034. Bibliotheks-
4035. funktions-
4036. vektoren     : DoIO () (RESET)
4037. Schäden      : keine.
4038. Anmerkung    : Immer wenn dieses Virus im Speicher steht und 
4039.                während des `Bootens` auf den Schreibschutz auf der einge-
4040.                legten Diskette trifft, gibt es folgenden Text auf blauem
4041.                Hintergrund aus : `Butonic 1.1 Greetings to Hackmack` !
4042.  
4043.  
4044.  
4045.         
4046. Name         : `Byte Bandit`
4047.  
4048. Resetvektoren: KickTagPtr *
4049.                KickCheckSum *
4050. Interrupts   : keine.
4051. Bibliotheks-
4052. funktions-
4053. vektoren     : BeginIO ()
4054. Schäden      : mir sind keine bekannt !
4055. Anmerkung    : `Byte Bandit` kann sich mit KS2.04 nicht weiterkopieren.
4056.  
4057.  
4058.  
4059.  
4060. Name         : `Byte Bandit +`
4061.  
4062. Resetvektoren: KickTagPtr *
4063.                KickCheckSum *
4064. Interrupts   : keine.
4065. Bibliotheks-
4066. funktions-
4067. vektoren     : BeginIO ()
4068. Schäden      : Dieses neue `Byte Bandit`-Virus belegt sinnlos Speicherbereich,
4069.                so daß größere Programme nicht laufen.
4070. Anmerkung    : keine.
4071.  
4072.  
4073.  
4074.  
4075. Name         : `Byte Bandit 2`
4076.  
4077. Resetvektoren: KickTagPtr *
4078.                KickCheckSum *
4079. Interrupts   : keine.
4080. Bibliotheks-
4081. funktions-
4082. vektoren     : BeginIO ()
4083. Schäden      : Mir sind keine Schäden zu diesem Virus bekannt.
4084. Anmerkung    : Merkwürdigerweise ruft dieses `Byte Bandit`-Virus gleich zweimal
4085.                die `dos.library` auf !
4086.                
4087.  
4088.  
4089. Name         : `Byte Bandit turbo`
4090.  
4091. Resetvektoren: KickTagPtr *
4092.                KickCheckSum *
4093. Interrupts   : keine.
4094. Bibliotheks-
4095. funktions-
4096. vektoren     : BeginIO ()
4097. Schäden      : Zu diesem Virus sind mir keine Schäden bekannt !
4098. Anmerkung    : Dieses `Byte Bandit`-Virus ist kürzer als alle anderen
4099.                `Byte Bandit`-Viren, was darauf schließen läßt, daß einige
4100.                Routinen entfernt worden sind ( möglicherweise der `Copy-Counter )
4101.                .
4102.                Auf der Diskette, die mir Michael Flühler ( Knobelstr. 13, CH-
4103.                8855 Wangen ) zugesandt hatte, war dieses Virus als `Turbo-
4104.                Bootblock` getarnt !
4105.                Daher der Name.
4106.                Allerdings wird der Zusatz `turbo` nicht weiterkopiert.
4107.                Einige andere Viruskiller bezeichnen dieses Bootblock-Virus,
4108.            als `NoName`-Virus, da sie offenbar nicht die Aehnlichkeiten
4109.            mit `Byte Bandit` erkannt haben ..
4110.                Schafft bloss die `NoName`-Viren ab und gebt ihnen sinnvollere
4111.            Namen, sonst weiss eines Tages niemand mehr, wer welches
4112.            Virus erkennt !!!
4113.  
4114.  
4115.  
4116.  
4117.  
4118. Name         : `Byte Voyager`
4119.  
4120. Resetvektoren: KickTagPtr *
4121.                KickCheckSum *
4122. Interrupts   : Interrupt 3
4123. Bibliotheks-
4124. funktions-
4125. vektoren     : DoIO ()
4126. Schäden      : Dieses `Bootblock`-Virus zerstört Disketten, indem es in
4127.                Block 880 schreibt: `Infected by BYTE VOYAGER !!!!!!` !
4128. Anmerkung    : keine.
4129.  
4130.  
4131.  
4132. Name         : `Byte Voyager II`
4133.  
4134. Resetvektoren: KickTagPtr *
4135.                KickCheckSum *
4136. Interrupts   : Interrupt 3
4137. Bibliotheks-
4138. funktions-
4139. vektoren     : DoIO ()
4140. Schäden      : Auch das `Byte Voyager`-Virus II zerstört Disketten dadurch, daß
4141.                es in Block 880 schreibt: `Another Virus by Byte Voyager` !
4142. Anmerkung    : keine.
4143.  
4144.  
4145.  
4146. Name         : `Byte Warrior`
4147.  
4148. Resetvektoren: KickTagPtr *
4149.                KickCheckSum *
4150. Interrupts   : keine.
4151. Bibliotheks-
4152. funktions-
4153. vektoren     : DoIO ()
4154. Schäden      : keine.
4155. Anmerkung    : Das `Byte Warrior`-Virus funktioniert, wegen eines festen ROM-
4156.                Rücksprunges aus der `DoIO`-Routine, nur noch unter `KickStart 1.2` !
4157.  
4158.  
4159.  
4160.  
4161. Name         : `CCCP`
4162.  
4163. Resetvektoren: CoolCapture *
4164. Interrupts   : Interrupt 3 - überwacht CoolCapture *
4165. Bibliotheks-
4166. funktions-
4167. vektoren     : OpenLibrary () (RESET) - schreibt `Link`
4168.                DOIO () (RESET) - schreibt `Bootblock` 
4169.                OpenWindow () (RESET) - schreibt `Link`
4170. Schäden      : Mir sind keine Schäden bekannt !
4171. Anmerkung    : Das `CCCP`-Virus ist das erste Virus, welches sich gleichzeitig
4172.                als `Bootblock`- und `Linkvirus` weiterkopieren kann !
4173.                Lesen Sie dazu auch `Anhang A` !
4174.  
4175.  
4176.      
4177. Name         : `CLONK`
4178.  
4179. Resetvektoren: KickMemPtr *
4180.                KickTagPtr *
4181.                KickCheckSum *
4182. Interrupts   : keine.
4183. Bibliotheks-
4184. funktions-
4185. vektoren     : DoIO () 
4186. Schäden      : Dieser `Bootblock`-Viruskiller kopiert sich nach Abfrage über
4187.                jeden `non-standard`-Bootblock !
4188. Anmerkung    : Das `CLONK`-Virus wird von den älteren Versionen von `AntiCicloVir`
4189.                mit den Viren der Gruppe `BGS9 I/II/Terrorists` verwechselt.
4190.                `VirusX 4.00` verwechselt `CLONK` mit dem `Disk-Doktors`-Virus.
4191.                
4192.  
4193.  
4194. Name         : `Coders Nightmare`
4195.  
4196. Resetvektoren: KickTagPtr *
4197.                KickCheckSum *
4198. Interrupts   : $68
4199. Bibliotheks-
4200. funktions-
4201. vektoren     : DoIO ()
4202. Schäden      : Dieses `Bootblock`-Virus simuliert einen Viruskiller !
4203. Anmerkung    : keine.
4204.  
4205.  
4206.  
4207.  
4208. Name         : `DAG`
4209.  
4210. Resetvektoren: CoolCapture *
4211. Interrupts   : keine.
4212. Bibliotheks-
4213. funktions-
4214. vektoren     : DoIO ()
4215. Schäden      : keine.
4216. Anmerkung    : Hier war mal wieder einer ganz fleißig gewesen und hat es
4217.                geschaft, einen Teil des ASCII-Textes aus dem `SCA`-Virus
4218.                gegen `Try ANTIVIRUS from DAG` auszutauschen !
4219.                Da der restliche Teil des ASCII-Textes noch dem des `SCA`-
4220.                Viruses entspricht, wird es von älteren `AntiCicloVir`-Versionen
4221.                mit dem `SCA`-Virus verwechselt !
4222.                Das `DAG`-Bootblock-Virus wird vom `DAG Creator` ( siehe Anhang A)
4223.                in `DF1:` erzeugt !
4224.  
4225.  
4226.  
4227. Name         : `DAT`89`
4228.  
4229. Resetvektoren: KickTagPtr *
4230.                KickCheckSum *
4231. Interrupts   : keine.
4232. Bibliotheks-
4233. funktions-
4234. vektoren     : DoIO ()
4235. Schäden      : Dieses `Bootblock`-Virus simuliert einen Viruskiller !
4236.                Doch in Wahrheit zerstört es die `Root`-Blöcke von Disketten,
4237.                wodurch diese unlesbar werden und sämtliche Daten verloren
4238.                gehen !
4239. Anmerkung    : Es steht immer ab $7F800 im Speicher und funktioniert nur noch
4240.                unter `KickStart 1.2` !
4241.  
4242.  
4243.  
4244. Name         : `Destructor V1.2`
4245.  
4246. Resetvektoren: ColdCapture *
4247. Interrupts   : keine.
4248. Bibliotheks-
4249. funktions-
4250. vektoren     : keine.
4251. Schäden      : Dieses Virus überschreibt nach dem ersten Reset jeden vierten
4252.                Track und zerstörten so Disketten !
4253. Anmerkung    : Das `Destructor V1.2`-Virus kann sich selbst nicht weiterkopieren.
4254.                
4255.  
4256.  
4257.  
4258. Name         : `Digital Emotions`
4259.  
4260. Resetvektoren: CoolCapture *
4261. Interrupts   : keine.
4262. Bibliotheks-
4263. funktions-
4264. vektoren     : DoIO () (RESET)
4265. Schäden      : Dieses `Bootblock`-Virus überschreibt manchmal Track 0 mit
4266.                dem Wort `Virus` und kann so `Read/Write Errors` verursachen.
4267. Anmerkung    : keine.
4268.  
4269.  
4270.  
4271.  
4272. Name         : `Disk-Doktors`
4273.  
4274. Resetvektoren: ColdCapture *
4275.                CoolCapture *
4276.                WarmCapture *
4277. Interrupts   : ???
4278. Bibliotheks-
4279. funktions-
4280. vektoren     : DoIO ()
4281. Schäden      : Dieses `Bootblock`-Virus kopiert einige Daten aus der `ExecBase`-
4282.                Struktur in den Speicher und verbraucht so sinnlos Speicher-
4283.                kapazität  !
4284.                Es zerstört nach einiger Zeit Disketten, indem es den `Rootblock`
4285.                ( Zylinder 40 ) formatiert !
4286. Anmerkung    : Das `Disk-Doktors`-Virus gehört zu einer ganz neuen Generation
4287.                von `Bootblock`-Viren !
4288.                Dieses Bootblock-Virus, war das erste, welches einen eigenen
4289.            Prozess erzeugen konnte, welcher permanent den Inhalt der
4290.            verbogenen Vektoren, auf die eigenen Adressen hin ueber-
4291.            prueft.
4292.                Das `Disk-Doktors`-Virus funktioniert nur unter `KickStart 1.2`.
4293.  
4294.  
4295.  
4296.  
4297. Name         : `Disk-Herpes`
4298.  
4299. Resetvektoren: CoolCapture *
4300. Interrupts   : keine.
4301. Bibliotheks-
4302. funktions-
4303. vektoren     : DoIO () (RESET)
4304. Schäden      : Das `Disk-Herpes`-Virus überschreibt manchmal den `Root`-Block
4305.                mit dem Speicherinhalt ab $60000 und kann dadurch ganze 
4306.                Disketten zerstören !
4307. Anmerkung    : Das `Disk-Herpes`-Virus steht immer ab $7EC00 im Speicher !
4308.                Viele bekannte Viruskiller verwechseln `Disk-Herpes` übrigens
4309.                im Speicher und im `Bootblock` mit dem `Phantasnumble`-Virus !
4310.  
4311.  
4312.  
4313.  
4314. Name         : `Diskguard V1.0`
4315.  
4316. Resetvektoren: CoolCapture *
4317. Interrupts   : ???
4318. Bibliotheks-
4319. funktions-
4320. vektoren     : DoIO () (RESET)
4321. Schäden      : Dieses Programm ist ein `Bootblock`-Viruskiller und kopiert sich
4322.                selbst nach Abfrage auf `non-standard` Bootblöcke !
4323. Anmerkung    : keine.
4324.  
4325.  
4326.  
4327. Name         : `Divina Exterminator I`
4328.  
4329. Resetvektoren: CoolCapture *
4330. Interrupts   : $64
4331. Bibliotheks-
4332. funktions-
4333. vektoren     : DoIO ()
4334. Schäden      : Nach drei Vermehrungen wird die `K`-Taste abgefragt und bis
4335.                zur zehnten in einer Zählstelle abgelegt.
4336.                Danach wird in die Adresse der `ExecBase`-Struktur eine Null
4337.                geschrieben, was einige Zeit darauf zu einem Systemabsturz
4338.                führen dürfte !
4339. Anmerkung    : Dieses Virus überschreibt die `SetPatch`-Liste ab $C0, was
4340.                für `KickStart V1.3`-Benutzer wichtig sein dürfte.
4341.                Es ist außerdem in der Lage den Original-`Bootblock` vorzu-
4342.                täuschen !!!
4343.                
4344.  
4345.  
4346.  
4347. Name         : `Dotty`
4348.  
4349. Resetvektoren: KickTagPtr *
4350.                KickCheckSum *
4351. Interrupts   : keine.
4352. Bibliotheks-
4353. funktions-
4354. vektoren     : DoIO ()
4355. Schäden      : Dieses Virus soll die `PRIVAT - intuition -struktur` erweitern.
4356.            Es macht irgendetwas mit dem Mauszeiger.
4357. Anmerkung    : keine.
4358.  
4359.  
4360.  
4361.  
4362. Name         : `DUMDUM`
4363.  
4364. Resetvektoren: CoolCapture *
4365. Interrupts   : $64
4366. Bibliotheks-
4367. funktions-
4368. vektoren     : DoIO ()
4369. Schäden      : Mit diesem `Bootblock`-Virus können Sie Ihre Disketten
4370.                formatieren !!!
4371. Anmerkung    : keine.
4372.  
4373.  
4374.  
4375.            
4376. Name         : `Extreme`
4377.  
4378. Resetvektoren: KickTagPtr *
4379.                KickCheckSum *
4380. Interrupts   : RasterBeam - überwacht KickTagPtr * aber NICHT KickCheckSum * !
4381. Bibliotheks-
4382. funktions-
4383. vektoren     : DoIO ()
4384. Schäden      :Dieses Virus tarnt sich als Viruskiller und löscht Viren von
4385.               allen Disketten indem es sie zerstört ! (Auch `ne Möglichkeit
4386.               Viren loszuwerden ...)
4387. Anmerkung    : Das `Extreme`-Virus steht gleichzeitig ab $ 7F800 und ab
4388.                $ FF800 im Speicher !
4389.                
4390.  
4391.  
4392.  
4393. Name         : `F.A.S.T.`
4394.  
4395. Resetvektoren: CoolCapture *
4396. Interrupts   : keine.
4397. Bibliotheks-
4398. funktions-
4399. vektoren     : DoIO ()
4400.                FreeMem ()
4401. Schäden      : Mir sind keine Schäden bekannt.
4402. Anmerkung    : Dieses Virus stammt von der `Federation against Software-
4403.                Piracy` und ist offenbar wohl nur gegen Raubkopierer gerichtet.
4404.                Jedenfalls hat es sich auf meinen Disketten ( `Workbench-Diskette` )
4405.                nicht weiter kopieren können !
4406.                
4407.  
4408.  
4409.  
4410. Name         : `F.I.C.A.`
4411.  
4412. Resetvektoren: KickTagPtr
4413.                KickCheckSum
4414. Interrupts   : keine.
4415. Bibliotheks-
4416. funktions-
4417. vektoren     : BeginIO ()
4418.                SumKickData () - überwacht `Kick`-Vektoren
4419. Schäden      : ... wohl keine, da es `nur` gegen `QUARTEX` und nicht gegen
4420.                uns Anwender gerichtet ist !
4421. Anmerkung    : Dieses `Bootblock`-Virus ist übrigens auch in der Lage auf den
4422.                Disketten einen `Standard Bootblock` vorzutäuschen, wenn es
4423.                im Speicher steht.
4424.                
4425.  
4426.  
4427.  
4428. Name         : `Forpib`
4429.  
4430. Resetvektoren: KickTagPtr *
4431.                KickCheckSum *
4432. Interrupts   : keine.
4433. Bibliotheks-
4434. funktions-
4435. vektoren     : BeginIO ()
4436. Schäden      : Mir sind keine bekannt.
4437. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des
4438.                `Byte Bandit`-Viruses und es wird auch genauso wie dieses
4439.                gelöscht !
4440.  
4441.  
4442.  
4443. Name         : `Frity`
4444.  
4445. Resetvektoren: KickTagPtr *
4446.                KickCheckSum *
4447. Interrupts   : keine.
4448. Bibliotheks-
4449. funktions-
4450. vektoren     : BeginIO ()
4451. Schäden      : Mir sind keine bekannt.
4452. Anmerkung    : Genauso wie `Forpib`, bloß anderer Name.
4453.  
4454.  
4455.  
4456.  
4457.    
4458. Name         : `Gadaffi`
4459.  
4460. Resetvektoren: CoolCapture *
4461.                KickTagPtr *
4462.                KickCheckSum *
4463. Interrupts   : keine.
4464. Bibliotheks-
4465. funktions-
4466. vektoren     : DoIO ()
4467. Schäden      : `foltert` und `quält` Ihr Laufwerk ... ich hatte an meinem
4468.                internen Laufwerk schon `mal Hardware-Schäden gehabt !
4469. Anmerkung    : Wegen einer festen Rücksprungadresse aus der `DoIO`-Routine
4470.                zum ROM funktioniert dieses Virus nur unter `KickStart 1.2` !
4471.  
4472.  
4473.  
4474.  
4475. Name         : `Glasnost`
4476.  
4477. Resetvektoren: KickTagPtr
4478.                KickCheckSum
4479. Interrupts   : ???
4480. Bibliotheks-
4481. funktions-
4482. vektoren     : DoIO ()
4483. Schäden      : Das `Glasnost`-Virus blockiert nach 15 bis 20 Minuten den
4484.                Amiga und schreibt einen 4(!) Block großen `Bootblock` !
4485.                Dabei werden Programme, die in Block 2 & 3 abgespeichert
4486.                worden sind, zerstört !!!
4487.                Danach sucht sich das Virus einen Datenblock von der Diskette
4488.                aus und schreibt in diesen vier Langworte.
4489.                Programme, in denen ein solcher Datenblock enthalten war, werden
4490.                zerstört !!!
4491. Anmerkung    : Da ich das `Glasnost`-Virus bisher noch nicht testen konnte,
4492.                kann `AntiCicloVir` es nur im Speicher anzeigen, aber nicht
4493.                löschen !
4494.  
4495.  
4496.  
4497.  
4498. Name         : `Graffiti`
4499.  
4500. Resetvektoren: CoolCapture *
4501. Interrupts   : keine.
4502. Bibliotheks-
4503. funktions-
4504. vektoren     : DoIO () (RESET)
4505. Anmerkung    : Dieses Virus soll 3D-Grafiken erzeugen können.
4506.                `VirusX 4.00` verwechselt es im Speicher mit dem `16 BIT-Crew`-
4507.                Virus !
4508.  
4509.  
4510. Name         : `Gremlin`
4511.  
4512. Resetvektoren: CoolCapture *
4513. Interrupts   : keine
4514. Bibliotheks-
4515. funktions-
4516. vektoren     : DoIO ()
4517.                SumKickData () - überwacht CoolCapture *
4518. Schäden      : keine.
4519. Anmerkung    : keine.
4520.  
4521.  
4522.  
4523. Name         : `GX.Team`
4524.  
4525. Resetvektoren: CoolCapture *
4526.                KickTagPtr *
4527.                KickCheckSum *
4528. Interrupts   : keine.
4529. Bibliotheks-
4530. funktions-
4531. vektoren     : DoIO ()
4532. Schäden      : Richtet keine Schäden an.
4533. Anmerkung    : Dieses Virus funktioniert, wegen eines direkten ROM-Einsprunges
4534.                in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
4535.                
4536.  
4537.  
4538.  
4539. Name         : `H.C.S.`
4540.  
4541. Resetvektoren: CoolCapture *
4542. Interrupts   : ???
4543. Bibliotheks-
4544. funktions-
4545. vektoren     : DoIO () (RESET)
4546. Schäden      : keine
4547. Anmerkung    : Dieses Virus fällt durch das ständige und nervige Geblinke
4548.                der `Power`-LED auf. `AntiCicloVir` löscht auch diese
4549.                Routine !
4550.  
4551.  
4552.  
4553. Name         : `H.C.S. II`
4554.  
4555. Resetvektoren: CoolCapture *
4556. Interrupts   : ???
4557. Bibliotheks-
4558. funktions-
4559. vektoren     : DoIO () (RESET)
4560. Schäden      : keine.
4561. Anmerkung    : Dieses Virus soll so eine Art `Antivirus` sein und erkennt
4562.                einige andere `Bootblock`-Viren: `SCA`,`Byte Warrior`,`North
4563.                Star I+II`,`SYSTEMZ`,`BlizzPro`, etc ...
4564.                Außer daß die `Power-LED` nun schneller blinkt und evtl.
4565.                einige `Bootblock`-Viren mehr erkannt werden, hat sich sonst
4566.                nicht viel geändert.
4567.                Wenn `AntiCicloVir` versucht die `Power-LED` wieder normal
4568.                einzuschalten, dann kann dies mit einiger Verzögerung ein-
4569.                treten.
4570.  
4571.  
4572.  
4573. Name         : `Hilly`
4574.  
4575. Resetvektoren: KickTagPtr *
4576.                KickCheckSum *
4577. Interrupts   : keine.
4578. Bibliotheks-
4579. funktions-
4580. vektoren     : DoIO ()
4581. Schäden      : mögliche Schreibzugriffe auf die Festplatte ???
4582. Anmerkung    : Dieses Virus funktioniert, wegen eines direkten ROM-Einsprunges
4583.                in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
4584.                Das `Hilly`-Virus sucht auch nach bestimmten `KickStart`-
4585.                Versionen und installiert sich nicht, falls diese vorhanden
4586.                sind.
4587.  
4588.  
4589.  
4590.  
4591. Name         : `HODEN V33.17`
4592.  
4593. Resetvektoren: KickTagPtr *
4594.                KickCheckSum *
4595. Interrupts   : keine.
4596. Bibliotheks-
4597. funktions-
4598. vektoren     : DoIO ()
4599. Schäden      : keine.
4600. Anmerkung    : Auch dieses Virus funktioniert, wegen eines direkten Einsprunges
4601.                in die `DoIO`-Routine, nur noch unter `KickStart V1.2` !
4602.                
4603.  
4604.  
4605.  
4606. Name         : `ICE`
4607.  
4608. Resetvektoren: CoolCapture *
4609. Interrupts   : keine.
4610. Bibliotheks-
4611. funktions-
4612. vektoren     : DoIO () (RESET)
4613. Schäden      : keine.
4614. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgewechselt.
4615.  
4616.  
4617.  
4618.  
4619. Name         : `Incognito`
4620.  
4621. Resetvektoren: KickMemPtr * 
4622.                KickTagPtr *
4623.                KickCheckSum *
4624. Interrupts   : keine.
4625. Bibliotheks-
4626. funktions-
4627. vektoren     : DoIO ()
4628. Schäden      : keine.
4629. Anmerkung    : Das `Incognito`-Virus funktioniert, wegen eines direkten Ein-
4630.                sprunges in die `DoIO`-Routine, nur noch unter `KickStart V1.2`.
4631.                Dieses Virus soll am Ende des `Bootblockes` Tabellen abspeichern,
4632.                die sich je nach Speicherlage und Konfiguration des Amigas
4633.                ändern.
4634.                Wenn das Virus `gebootet` wird, werden die Tabellen erneuert.
4635.                Bei meinem Amiga hat sich das `Incognito`-Virus nicht weiter-
4636.                kopiert.
4637.                Die Versionen 1.0 - 1.2 von `AntiCicloVir` verwechseln es mit
4638.                den Viren der Gruppe `BGS9 I/II/Terrorists` !
4639.  
4640.  
4641.  
4642.  
4643. Name         : `Inger IQ`
4644.  
4645. Resetvektoren: KickTagPtr *
4646.                KickCheckSum *
4647. Interrupts   : keine.
4648. Bibliotheks-
4649. funktions-
4650. vektoren     : BeginIO ()
4651. Schäden      : Mir sind keine bekannt.
4652. Anmerkung    : Bei diesem `Byte Bandit`-Mutanten wurde nur der Text geändert.
4653.                Er wird genauso gelöscht wie `Byte Bandit` selbst !
4654.  
4655.  
4656.  
4657. Name         : `Ingo`
4658. Resetvektoren: KickTagPtr *
4659.                KickCheckSum *
4660. Interrupts   : keine.
4661. Bibliotheks-
4662. funktions-
4663. vektoren     : DoIO ()
4664. Schäden      : keine.
4665. Anmerkung    : Bei diesem `Bootblock`-Virus handelt es sich um eine Mutation
4666.                des `L.A.D.S`-Virus, aus dem die Textausgaberoutine entfernt
4667.                und der ASCII-Text geändert worden ist !
4668.  
4669.  
4670.  
4671.  
4672. Name         : `JITR`
4673.  
4674. Resetvektoren: CoolCapture *
4675. Interrupts   : keine.
4676. Bibliotheks-
4677. funktions-
4678. vektoren     : DoIO ()
4679. Schäden      : keine.
4680. Anmerkung    : keine.
4681.  
4682.  
4683.  
4684.  
4685. Name         : `Joshua`
4686.  
4687. Resetvektoren: KickMemPtr *
4688.                KickTagPtr *
4689.                KickCheckSum *
4690. Interrupts   : ?
4691. Bibliotheks-
4692. funktions-
4693. vektoren     : BeginIO ()
4694. Schäden      : keine Schäden.
4695. Anmerkung    : Dieses Virus erzeugt über eine Grafik-Routine einen senkrecht
4696.                stehenden Text.
4697.                ACHTUNG !!!
4698.                Die Versionen 1.0 - 1.2 von `AntiCicloVir` verwechseln das
4699.                `Joshua`-Virus mit den Viren der Gruppe `BGS 9 I/II/Terrorists` !
4700.  
4701.  
4702.  
4703.  
4704. Name         : `Joshua 2`
4705.  
4706. Resetvektoren: ColdCapture *
4707. Interrupts   : keine.
4708. Bibliotheks-
4709. funktions-
4710. vektoren     : BeginIO ()
4711. Schäden      : keine Schäden.
4712. Anmerkung    : keine.
4713.  
4714.  
4715.  
4716. Name         : `Julie`
4717.  
4718. Resetvektoren: CoolCapture *
4719. Interrupts   : $20
4720. Bibliotheks-
4721. funktions-
4722. vektoren     : DoIO ()
4723.                BeginIO ()
4724. Schäden      : keine.
4725. Anmerkung    : keine.
4726.  
4727.  
4728.  
4729.  
4730. Name         : `Kauki`
4731.  
4732. Resetvektoren: CoolCapture *
4733. Interrupts   : $80 (RESET)
4734.                $84 (RESET)
4735.                $88 (RESET)
4736. Bibliotheks-
4737. funktions-
4738. vektoren     : DoIO ()
4739. Schäden      : keine.
4740. Anmerkung    : Dieses Virus erzeugt beim `Booten` ein `Chopper-Intro`.
4741.  
4742.  
4743.  
4744.  
4745. Name         : `Kefrens`
4746.  
4747. Resetvektoren: CoolCapture *
4748. Interrupts   : keine.
4749. Bibliotheks-
4750. funktions-
4751. vektoren     : DoIO () (RESET)
4752. Schäden      : keine.
4753. Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der ASCII-Text ausgetauscht.
4754.  
4755.  
4756.  
4757. Name         : `L.A.D.S`
4758. Resetvektoren: KickTagPtr *
4759.                KickCheckSum *
4760. Interrupts   : keine.
4761. Bibliotheks-
4762. funktions-
4763. vektoren     : DoIO ()
4764. Schäden      : keine.
4765. Anmerkung    : Dieses Programm tarnt sich selbst als `virus-hunter`, obwohl
4766.                es selbst ein Virus ist !
4767.                Beim `Booten` gibt es einen `Alert` aus :
4768.                `            L.A.D.S virus hunter
4769.  
4770.                                no virus in memory
4771.  
4772.                              Press any mousebutton    `
4773.                Tatsächlich findet jedoch kein Virus-Test statt !!!
4774.                Dafür kopiert sich aber nun `L.A.D.S` selbst als Virus
4775.                weiter !
4776.                
4777.  
4778.  
4779.  
4780. Name         : `LAMER Exterminator (alt)`
4781.  
4782. Resetvektoren: KickTagPtr *
4783.                KickCheckSum *
4784. Interrupts   : keine.
4785. Bibliotheks-
4786. funktions-
4787. vektoren     : BeginIO ()
4788.                SumKickData () - überwacht `Kick`-Vektoren
4789. Schäden      : Das  alte `LAMER Exterminator`-Virus beginnt nach einigen
4790.                `Rebootes` damit, in einige Datenblöcke das Wort `Lamer` zu
4791.                 schreiben, wodurch `read/write errors` entstehen.
4792. Anmerkung    : Das alte `LAMER Exterminator`-Virus kann von `AntiCicloVir`
4793.                nicht zu 100 % gelöscht werden.
4794.                Dieses Virus wurde beim Testen übrigens NICHT von `VirusX 4.00`
4795.                im Speicher erkannt !
4796.  
4797.                Grundsätzliches über `LAMER`-Exterminator-Viren:
4798.  
4799.                Bevor ich die nächsten `LAMER Exterminator`-Viren dokumentiere,
4800.                möchte ich noch auf einige Fakten hinweisen, die für alle
4801.                `LAMER Exterminator`-Viren gelten !
4802.                Um den `Sinn` der `LAMER Exterminations` zu verstehen, sollten
4803.                Sie das Kapitel `Revenge Of The LAMER Exterminator` aus dem
4804.                `Anhang A` lesen !
4805.                Die `LAMER Exterminator`-Viren waren die ersten auf dem Amiga,
4806.                die die Gefahren eines unzulässigen Virenschutzes am anschaulichsten
4807.                darstellten ...
4808.                Sie sind praktisch jedem Amiga-Besitzer bekannt !
4809.                Auf infizierten Disketten erzeugen sie oft `key checksum errors`.
4810.                Stehen sie erst einmal im Speicher, dann sind sie auch in der
4811.                Lage, auf infizierten Disketten Standard-`Bootblöcke` vorzu-
4812.                täuschen.
4813.                Außerdem wechseln sie ständig ihr Aussehen, so daß sie in jedem
4814.                `Bootblock` anders erscheinen, was mit der Verschlüsselungs-
4815.                routine bewirkt wird.
4816.  
4817.  
4818.  
4819.  
4820. Name         : `LAMER Exterminator (neu)`
4821.  
4822. Resetvektoren: KickTagPtr *
4823.                KickCheckSum *
4824. Interrupts   : keine.
4825. Bibliotheks-
4826. funktions-
4827. vektoren     : BeginIO ()
4828.                SumKickData () -ueberwacht `Kick`-Zeiger
4829. Schaeden     : Das neue `LAMER Exterminator`-Virus zerstoert Disketten,
4830.  
4831.                indem es einige Datenbloecke mit dem Wort `LAMER!!!` ueberschreibt.
4832.  
4833. Anmerkung    : Weiteres koennen Sie auch unter `LAMER Exterminator (alt)` lesen !
4834.  
4835.  
4836.  
4837.  
4838. Name         : `LAMER Exterminator I`
4839.               
4840.  
4841. Resetvektoren: KickTagPtr *
4842.                KickCheckSum *               
4843. Interrupts   : keine.
4844. Bibliotheks-
4845. funktions-
4846. vektoren     : BeginIO ()
4847.                SumKickData () - überwacht `Kick`-Vektoren
4848. Schäden      : Das `LAMER Exterminator`-Virus I zerstört einzelne Datenblöcke,
4849.                indem es sie mit dem Wort `LAMER` überschreibt !
4850. Anmerkung    : Weiteres können Sie unter `LAMER Exterminator (alt)` lesen !
4851.                Dieses Virus wurde von `VirusX 4.00` ebenfalls nicht im
4852.                Speicher erkannt !
4853.  
4854.  
4855.  
4856.       
4857. Name         : `LAMER Exterminator II`
4858.  
4859. Resetvektoren: KickTagPtr *
4860.                KickCheckSum *
4861. Interrupts   : keine
4862. Bibliotheks-
4863. funktions-
4864. vektoren     : BeginIO ()
4865.                SumKickData () - überwacht `Kick`-Vektoren 
4866. Schäden      : Dieses Virus zerstört ebenfalls Disketten, indem es das Wort
4867.                `LAMER` in einige Datenblöcke schreibt und dadurch `read/write
4868.                errors` hervorruft !
4869. Anmerkung    : Beim Testen mit `VirusX 4.00` wurde dieses Virus ebenfalls nicht
4870.                erkannt !
4871.                Weiteres können Sie unter `LAMER Exterminator (alt)` lesen.
4872.  
4873.  
4874.  
4875.  
4876.  
4877. Name         : `LAMER Exterminator III`
4878.  
4879. Resetvektoren: KickTagPtr *
4880.                KickCheckSum *
4881. Interrupts    : keine.
4882. Bibliotheks-
4883. funktions-
4884. vektoren     : BeginIO ()
4885.                SumKickData () - überwacht `Kick`-Vektoren
4886. Schäden      : Das Virus `LAMER Exterminator III` verschiebt den Original-
4887.                `Bootblock` in die Blöcke 2 & 3 und kann dadurch ein Programm,
4888.                welches aus diesen Datenblöcken bestand, zerstören.
4889.                Beim `Booten` startet das Virus anschließend den echten
4890.                `Bootblock` und versucht so, eine `saubere` Disk vorzutäuschen.
4891. Anmerkung    : `AntiCicloVir` kann leider das alte `LAMER Exterminator`- und
4892.                das `LAMER Exterminator`-Virus III nicht auseinanderhalten !
4893.                Das `LAMER Exterminator`-Virus III wurde von `VirusX 4.00` nicht
4894.                erkannt !
4895.                Weiteres können Sie unter `LAMER Exterminator (alt)` lesen.
4896.          
4897.  
4898.  
4899.  
4900. Name         : `LAMER Exterminator IV`
4901.  
4902. Resetvektoren: KickTagPtr *
4903.                KickCheckSum *
4904. Interrupts    : keine.
4905. Bibliotheks-
4906. funktions-
4907. vektoren      : BeginIO ()
4908.                 SumKickData () - überwacht `Kick`-Vektoren
4909. Schäden      : Das `LAMER Exterminator`-Virus IV überschreibt einen Datenblock
4910.                85 * mit dem Wort `LAMER` und zerstört so Programme !
4911. Anmerkung    : Weiteres zu den `LAMER Exterminator`-Viren können Sie auch
4912.                unter `LAMER Exterminator (alt)` lesen !
4913.                Dieses Virus wurde zwar von `VirusX 4.00` im Speicher als
4914.                `LAMER Exterminator` erkannt, doch kam es leider zu einem
4915.                `Address Error` (GURU) !
4916.  
4917.  
4918.  
4919. Name         : `LAMER Exterminator V`
4920.  
4921. Resetvektoren: KickTagPtr *
4922.                KickCheckSum *
4923. Interrupts   : keine.
4924. Bibliotheks-
4925. funktions-
4926. vektoren     : BeginIO ()
4927.                SumKickData () - überwacht `Kick`-Vektoren
4928. Schäden      : Auch dieses Virus überschreibt einen Datenblock 85 * mit dem
4929.                Wort `LAMER` und richtet damit ähnliche Schäden an, wie
4930.                `LAMER Exterminator IV` !
4931. Anmerkung    : Weitere Informationen über die `LAMER Exterminator`-Viren
4932.                erhalten Sie auch unter `LAMER Exterminator (alt)` !
4933.                Dieses Virus wurde von `VirusX 4.00` nicht erkannt.
4934.                `AntiCicloVir` kann leider die `LAMER Exterminator`-Viren IV & V
4935.                im Speicher nicht voneinander unterscheiden !
4936.  
4937.  
4938.  
4939.  
4940. Name         : `LAMER Exterminator VI`
4941.  
4942. Resetvektoren: KickTagPtr *
4943.                KickCheckSum *
4944. Interrupts   : keine.
4945. Bibliotheks-
4946. funktions-
4947. vektoren     : BeginIO ()
4948.                SumKickData () - überwacht `Kick`-Vektoren
4949. Schäden      : Auch das `LAMER Exterminator`-Virus VI schreibt 85 * das Wort
4950.                `LAMER` in einen Datenblock ...
4951. Anmerkung    : Mehr zum Thema `LAMER Exterminator` finden Sie unter `LAMER
4952.                Exterminator (alt)` in diesem Anhang !
4953.                Das `LAMER Exterminator`-Virus VI überwacht auch noch die
4954.                Vektoren `ColdCapture` und `CoolCapture`.
4955.                `VirusX 4.00` hatte beim Testen dieses Virus mit `Lamer II`
4956.                verwechselt !
4957.  
4958.  
4959.  
4960.  
4961. Name         : `LAMER Exterminator VII`
4962. Resetvektoren: KickTagPtr *
4963.                KickCheckSum *
4964. Interrupts   : keine.
4965. Bibliotheks-
4966. funktions-
4967. vektoren     : BeginIO ( überwacht auch Resident-Vektoren ! )
4968. Schäden      : Das `LAMER`-Exterminator`-Virus VII zerstört Disketten, indem
4969.                es Datenblöcke 85 * mit dem Wort `LAMER!` überschreibt, was
4970.                `Read/Write Error`s hervorruft !
4971. Anmerkung    : Mehr zum Thema `LAMER Exterminator` finden Sie im Kapitel
4972.                `LAMER Exterminator (alt)` !
4973.  
4974.  
4975.  
4976.  
4977. Name         : `LAMER Exterminator VIII`
4978.  
4979. Resetvektoren: KickTagPtr *
4980.                KickCheckSum *
4981. Interrupts   : keine.
4982. Bibliotheks-
4983. funktions-
4984. vektoren     : BeginIO ()
4985.                SumKickData () - überwacht `Kick`-Vektoren
4986. Schäden      : Dieses Virus beinhaltet eine Formatierungsroutine für alle
4987.                Laufwerke und kann so gleich mehrere Disketten zerstören ...
4988. Anmerkung    : Auch an dieser Stelle möchte ich noch einmal auf `LAMER
4989.                Exterminator (alt)` verweisen !
4990.                Dieses Virus wird natürlich erst recht nicht von `VirusX 4.00`
4991.                erkannt !
4992.  
4993.  
4994.  
4995.  
4996. Name         : `Loverboy & Sexmachine`
4997.  
4998. Resetvektoren: CoolCapture *
4999. Interrupts   : keine.
5000. Bibliotheks-
5001. funktions-
5002. vektoren     : DoIO () (RESET)
5003. Schäden      : keine.
5004. Anmerkung    : Bei diesem `16 Bit-Crew`-Mutanten wurde nur der ASCII-Text aus-
5005.                getauscht !
5006.  
5007.  
5008.  
5009.               
5010. Name         : `LSD`
5011.  
5012. Resetvektoren: CoolCapture *
5013. Interrupts   : keine.
5014. Bibliotheks-
5015. funktions-
5016. vektoren     : DoIO () (RESET)
5017. Schäden      : keine
5018. Anmerkung    : Ein weiterer `SCA`-Mutant bei dem nur der Text geändert wurde .
5019.  
5020.  
5021.  
5022. Name         : `MAD`
5023.  
5024. Resetvektoren: keine
5025. Interrupts   : keine.
5026. Bibliotheks-
5027. funktions-
5028. vektoren     : BeginIO ()
5029. Schäden      : mir sind keine bekannt ...
5030. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des
5031.                `Byte Bandit`-Virus !
5032.                Außer das der Text geändert wurde, ist dieses Virus nun auch
5033.                nicht mehr resetfest.
5034.                
5035.  
5036.  
5037. Name         : `MAD II`
5038.  
5039. Resetvektoren: WarmCapture *
5040.                KickTagPtr *
5041.                KickCheckSum *
5042. Interrupts   : keine.
5043. Bibliotheks-
5044. funktions-
5045. vektoren     : DoIO ()
5046. Schäden      : versucht Kurzschluß auszulösen, durch `patchen` des Wertes im
5047.                Register für die Netzspannungs-Frequenz ( ExecBase ) ???
5048. Anmerkung    : Wegen einer festen Rücksprungadresse zum ROM aus der `DoIO`-
5049.                Routine stürzt auch dieses `Bootblock`-Virus unter allen
5050.                anderen `KickStart`s außer 1.2 ab !
5051.  
5052.  
5053.  
5054.  
5055. Name         : `MEXX`
5056.  
5057. Resetvektoren: CoolCapture *
5058. Interrupts   : keine.
5059. Bibliotheks-
5060. funktions-
5061. vektoren     : DoIO () (RESET)
5062. Schäden      : keine.
5063. Anmerkung    : Auch bei diesem `SCA`-Mutanten wurde nur der ASCII-Text geändert !
5064.  
5065.  
5066.  
5067.  
5068. Name         : `MGM 89`
5069.  
5070. Resetvektoren: CoolCapture *
5071. Interrupts   : keine.
5072. Bibliotheks-
5073. funktions-
5074. vektoren     : DoIO ()
5075. Schäden      : keine.
5076. Anmerkung    : keine.
5077.  
5078.  
5079.  
5080.  
5081. Name         : `Microsystems`
5082.  
5083. Resetvektoren: ColdCapture *
5084.                CoolCapture *
5085. Interrupts   : keine
5086. Bibliotheks-
5087. funktions-
5088. vektoren     : DoIO () (RESET)
5089.                RemTask () (RESET)
5090.                AddTask () (RESET)
5091. Schäden      : keine.
5092. Anmerkung    : Im `Bootblock` hat dieses Virus ziemlich viel Ähnlichkeit mit
5093.                einem `SCA`-Virus und besitzt sogar die selbe `Boot CheckSum` !
5094.                Deshalb wird es von so manch einem Viruskiller mit dem `SCA`-
5095.                Virus verwechselt !!!
5096.                Aber es ist keines und funktioniert im Speicher auch ganz anders.!
5097.                So holt es beispielsweise die Namen für Bibliotheksaufrufe
5098.                direkt aus dem ROM.
5099.                `Microsystems` arbeitet nur unter KickStart V1.2.
5100.  
5101.  
5102.  
5103. Name         : `MOSH`
5104. Resetvektoren: CoolCapture *
5105. Interrupts   : $68
5106. Bibliotheks-
5107. funktions-
5108. vektoren     : keine.
5109. Schäden      : keine.
5110. Anmerkung    : `MOSH` kopiert sich selbst NICHT weiter und erzeugt nur nach dem
5111.                `RESET` ein Grafikdemo !
5112.  
5113.  
5114.  
5115. Name         : `Nasty-Nasty`
5116.  
5117. Resetvektoren: CoolCapture *
5118. Interrupts   : keine.
5119. Bibliotheks-
5120. funktions-
5121. vektoren     : DoIO ()
5122.                Alert ()
5123.                SuperState ()
5124.                UserState ()
5125. Schäden      : Das `Nasty-Nasty`-Virus zerstört nach jeder fünften Kopie
5126.                Disketten !
5127. Anmerkung    : Wegen Direkteinsprünge in einige ROM-Routinen funktioniert es
5128.                nur unter `KickStart V1.2` !
5129.  
5130.  
5131.  
5132.             
5133. Name         : `North Star`
5134.  
5135. Resetvektoren: CoolCapture *
5136. Interrupts   : keine
5137. bibliotheks-
5138. funktions-
5139. vektoren     : DoIO () (RESET)
5140. Schäden      : keine.
5141. Anmerkung    : keine.
5142.  
5143.  
5144.  
5145.  
5146. Name         : `North Star II`
5147.  
5148. Resetvektoren: CoolCapture *
5149. Interrupts   : keine.
5150. Bibliotheks-
5151. funktions-
5152. vektoren     : DoIO () (RESET)
5153. Schäden      : keine.
5154. Anmerkung    : keine.
5155.  
5156.  
5157.  
5158.  
5159. Name         : `Obelisk`
5160.  
5161. Resetvektoren: CoolCapture *
5162. Interrupts   : keine.
5163. Bibliotheks-
5164. funktions-
5165. vektoren     : DoIO ()
5166. Schäden      : Das `Obelisk`-Virus schreibt manchmal das Wort `GURU` nach $60
5167.                und zerstört dadurch den Ausnahmevektor, der in`s ROM ( IR-Ebene 7 )
5168.                weist !
5169. Anmerkung    : Dieses Virus verrät sich sehr leicht durch ein eigenes `Boot-
5170.                Intro` ( Deutschlandflagge + Schrift: `OBELISK SOFTWORKS CREW` )
5171.                , welches es nach jedem Systemstart erzeugt !
5172.  
5173.  
5174.  
5175.  
5176.  
5177. Name         : `Obelisk 2`
5178.  
5179. Resetvektoren: KickTagPtr *
5180.                KickCheckSum *
5181. Interrupts   : keine.
5182. Bibliotheks-
5183. funktions-
5184. vektoren     : BeginIO ()
5185. Schäden      : Eigentlich keine.
5186.                Allerdings ist das Virus in der Lage eine `Disk-Format`-Routine
5187.                vorzutäuschen, bei der jedoch nichts zerstört wird !
5188. Anmerkung    : `VirusX 4.00` zeigt zuerst das `Australian Parasite`-Virus im
5189.                Speicher an und dann `Obelisk 2` !
5190.  
5191.  
5192.  
5193.  
5194. Name         : `OPAPA`
5195. Resetvektoren: KickTagPtr *
5196.                KickCheckSum *
5197. Interrupts   : keine.
5198. Bibliotheks-
5199. funktions-
5200. vektoren     : BeginIO ()
5201. Schäden      : Das `OPAPA`-Virus gibt nach einiger Zeit eine Grafik mit folgendem
5202.                Text aus: `... OPAPA-VIRUS READY STEADY FORMAT`.
5203.                Dabei werden die Disketten in allen angeschlossenen Laufwerken
5204.                zerstört !
5205. Anmerkung    : keine.
5206.  
5207.  
5208.  
5209.  
5210. Name         : `PARATAX`
5211.  
5212. Resetvektoren: CoolCapture *
5213. Interrupts   : keine.
5214. Bibliotheks-
5215. funktions-
5216. vektoren     : DoIO () (RESET)
5217. Anmerkung    : Hierbei handelt es sich wieder einmal um einen `SCA`-Mutanten
5218.                mit geändertem ASCII-Text.
5219.  
5220.  
5221.  
5222.  
5223. Name         : `PARATAX II`
5224.  
5225. Resetvektoren: ColdCapture *
5226.                CoolCapture *
5227. Interrupts   : ???
5228. Bibliotheks-
5229. funktions-
5230. vektoren     : DoIO ()
5231. Schäden      : Aus `faulheitstechnischen Gründen` habe ich leider keine Lust
5232.                alles noch einmal aufzuschreiben und verweise Sie deshalb zum
5233.                `DiskDoktors`-Kapitel ...
5234. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des `DiskDoktors`-
5235.                Virus, bei der hauptsächlich der ASCII-Text geändert wurde.
5236.                Neu ist ansonsten noch, daß das Virus nun nicht mehr den
5237.                `WarmCapture`-Vektoren benutzt !
5238.  
5239.  
5240.  
5241.  
5242. Name         : `PARATAX III`
5243.  
5244. Resetvektoren: CoolCapture *
5245. Interrupts   : keine.
5246. Bibliotheks-
5247. funktions-
5248. vektoren     : DoIO () (RESET)
5249. Schäden      : keine.
5250. Anmerkung    : Hier hat sich `mal wieder ein `Lamer` besonders viel Mühe gemacht
5251.                und den `16 Bit-Crew`-Text gegen einen eigenen ausgetauscht, sowie
5252.                50 (!) * in den `Bootblock` `PARATAX` geschrieben ... schön doof.
5253.  
5254.  
5255.  
5256. Name         : `Pentagon-Slayer`
5257.  
5258. Resetvektoren: CoolCapture *
5259. Interrupts   : keine.
5260. Bibliotheks-
5261. funktions-
5262. vektoren     : DoIO () (RESET)
5263. Schäden      : `killt` einige `Bootblock`-Viren.
5264. Anmerkung    : keine.
5265.  
5266.  
5267.  
5268.  
5269. Name         : `Pentagon-Slayer 2`
5270.  
5271. Resetvektoren: CoolCapture *
5272. Interrupts   : keine.
5273. Bibliotheks-
5274. funktions-
5275. vektoren     : DoIO () (RESET)
5276. Schäden      : erkennt und löscht einige bekannte `Bootblock`-Viren.
5277. Anmerkung    : keine.
5278.  
5279.  
5280.  
5281.  
5282. Name         : `Pentagon-Slayer 3`
5283.  
5284. Resetvektoren: CoolCapture *
5285. Interrupts   : keine.
5286. Bibliotheks-
5287. funktions-
5288. vektoren     : DoIO () (RESET)
5289. Schäden      : erkennt und löscht einige bekannte `Bootblock`-Viren
5290. Anmerkung    : keine.
5291.  
5292.  
5293.  
5294. Name         : `Plastique`
5295. Resetvektoren: CoolCapture *
5296. Interrupts   : keine
5297. Bibliotheks-
5298. funktions-
5299. vektoren     : DoIO ()
5300. Schäden      : Sobald eine Zählstelle im Programm den Wert 10 erreicht hat,
5301.                werden einige Vektoren auf ROM-Beginn verbogen, was einen
5302.                Absturz zur Folge hat !
5303. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des `16 Bit-
5304.                Crew`-Viruses !
5305.                Da die `Reset`-Routine und einige andere Programmteile ver-
5306.                schoben worden sind, zeigt der verbogene Vektor DoIO () nicht
5307.                mehr auf die Vermehrungsroutine des Viruses, weshalb es sich
5308.                auch nicht weiterkopieren kann !
5309.  
5310.  
5311.  
5312.  
5313.  
5314. Name         : `Revenge`
5315.  
5316. Resetvektoren: CoolCapture *
5317. Interrupts   : keine.
5318. Bibliotheks-
5319. funktions-
5320. vektoren     : DoIO ()
5321. Schäden      : keine
5322. Anmerkung    : Nach einiger Zeit verändert das Virus Ihren Mauszeiger in ...
5323.                ( ach ja wie schrieb Steve Tibbett doch : `... brings up an
5324.                 obscene pointer ...` )
5325.                Das `Revenge`-Virus steht immer ab $7E000 im Speicher !
5326.  
5327.  
5328.  
5329. Name         : `Revenge Bootloader`
5330.  
5331. Resetvektoren: KickTagPtr *
5332.                KickCheckSum *
5333. Interrupts   : keine.
5334. Bibliotheks-
5335. funktions-
5336. vektoren     : BeginIO ()
5337. Schäden      : keine.
5338. Anmerkung    : Es sind Ähnlichkeiten mit `Byte Bandit` vorhanden, die aber
5339.                nicht auf eine Mutation, sondern wohl eher auf die selbe Quelle
5340.                hindeuten !
5341.  
5342.  
5343.       
5344. Name         : `SACHSEN No. 1`
5345.  
5346. Resetvektoren: CoolCapture *
5347. Interrupts   : keine.
5348. Bibliotheks-
5349. funktions-
5350. vektoren     : DoIO () (RESET)
5351. Schäden      : keine.
5352. Anmerkung    : keine.
5353.  
5354.  
5355.  
5356.  
5357. Name         : `SADDAM HUSSEIN`
5358.  
5359. Resetvektoren: KickTagPtr *
5360.                KickCheckSum *
5361. Interrupts   : Interrupt 3 - Textausgabe
5362. Bibliotheks-
5363. funktions-
5364. vektoren     : DoIO () (RESET)
5365. Schäden      : keine.
5366. Anmerkung    : Das `SADDAM HUSSEIN`-Virus versucht im `Bootblock` durch:
5367.                `A2000 MB Memory Controller V2` zu täuschen !
5368.                ( Siehe auch `Blow Job` ! )
5369.  
5370.  
5371.  
5372.  
5373.  
5374. Name         : `SCA`
5375.  
5376. Resetvektoren: CoolCapture *
5377. Interrupts   : keine.
5378. Bibliotheks-
5379. funktions-
5380. vektoren     : DoIO () (RESET)
5381. Schäden      : natürlich keine.
5382. Anmerkung    : Das `SCA`-Virus war womöglich das erste Virus auf dem Amiga !
5383.                Um so weniger verblüfft auch die Tatsache, daß ein gewisser 
5384.                Prozentsatz aller Neuerscheinungen von `Bootblock`-Viren
5385.                `SCA`-Mutanten sind !
5386.                Das `SCA`-Virus soll unter KickStart V2.04 nicht mehr
5387.            funktionieren.
5388.  
5389.  
5390.  
5391.  
5392.  
5393.  
5394. Name         : `SCARFACE`
5395.  
5396. Resetvektoren: KickTagPtr *
5397.                KickCheckSum *
5398. Interrupts   : keine.
5399. Bibliotheks-
5400. funktions-
5401. vektoren     : BeginIO ()
5402. Schäden      : keine.
5403. Anmerkung    : keine.
5404.  
5405.  
5406.  
5407.  
5408. Name         : `Sendarion #1`
5409.  
5410. Resetvektoren: CoolCapture *
5411. Interrupts   : keine.
5412. Bibliotheks-
5413. funktions-
5414. vektoren     : DoIO ()
5415. Schäden      : keine.
5416. Anmerkung    : Bei diesem Virus handelt es sich diesmal nicht um einen `SCA`-
5417.                ,sondern `REVENGE`-Mutanten mit geändertem ASCII-Text ...
5418.  
5419.  
5420.  
5421.  
5422. Name         : `Sherlock2.0`
5423.  
5424. Resetvektoren: CoolCapture *
5425. Interrupts   : keine
5426. Bibliotheks-
5427. funktions-
5428. vektoren     : DoIO ()
5429. Schäden      : Das Antivirus `Sherlock2.0` überschreibt nach Abfrage `non-standard`-
5430.                Bootblöcke und ist somit eigentlich kein Virus !
5431. Anmerkung    : Dieses Programm ist ( so glaube ich ) das erste, das einen
5432.                deutschsprachigen ASCII-Text im `Bootblock` beinhaltet.
5433.  
5434.  
5435.  
5436.  
5437. Name         : `SS`
5438.  
5439. Resetvektoren: CoolCapture *
5440. Interrupts   : PORTS
5441.                VERTB
5442. Bibliotheks-
5443. funktions-
5444. vektoren     : keine.
5445. Schäden      : keine.
5446. Anmerkung    : Dieses Virus soll nach einem Reset eine entsprechende Grafik-
5447.                routine ausgeben, die aber wohl nicht unter `KickStart V1.2`,
5448.                sondern erst ab 1.3, funktioniert.
5449.                Das `SS`-Virus kopiert sich nicht weiter.
5450.                Dieses Virus kann nur durch einen Reset sicher gelöscht werden !
5451.  
5452.  
5453.  
5454.  
5455. Name         : `SS II`
5456.  
5457. Resetvektoren: CoolCapture *
5458. Interrupts   : PORTS
5459.                VERTB
5460. Bibliotheks-
5461. funktions-
5462. vektoren     : keine.
5463. Schäden      : keine.
5464. Anmerkung    : Dieses Computervirus funktioniert wohl so ähnlich, wie das erste
5465.                `SS`-Virus und wird auch so gelöscht.
5466.                Statt mit `!SS!` wurde dieser `Bootblock` nun mit `HEIL` ver-
5467.                schlüsselt.
5468.  
5469.  
5470.  
5471.  
5472. Name         : `Supply Team`
5473.  
5474. Resetvektoren: keine.
5475. Interrupts   : keine.
5476. Bibliotheks-
5477. funktions-
5478. vektoren     : keine.
5479. Schäden      : keine
5480. Anmerkung    : Dieses Programm ist eigentlich kein Computervirus !
5481.                Es ist wohl mehr zum Löschen von Viren gedacht, kopiert sich
5482.                nicht weiter und richtet auch keine Schäden an !
5483.                
5484.  
5485.  
5486.  
5487.  
5488. Name         : `Target`
5489.  
5490. Resetvektoren: CoolCapture *
5491. Interrupts   : keine.
5492. Bibliotheks-
5493. funktions-
5494. vektoren     : DoIO () (RESET)
5495. Schäden      : Das `Target`-Virus durchsucht ab Block 880 jede Diskette nach
5496.                einer bestimmten Zeichenfolge ( Diskname ) und schreibt, falls
5497.                es fündig geworden ist, ab Spur 80 Datenmüll auf die Diskette.
5498. Anmerkung    : Das `Target`-Virus wird von `target.install ( Malta )` erzeugt.
5499.  
5500.  
5501.  
5502.  
5503.  
5504. Name         : `Telstar`
5505.  
5506. Resetvektoren: ColdCapture *
5507.                CoolCapture *
5508. Interrupts   : keine.
5509. Bibliotheks-
5510. funktions-
5511. vektoren     : keine.
5512. Schäden      : keine.
5513. Anmerkung    : Das Programm tarnt sich als `Virusprotector V5.0` von Pieter
5514.                van Leuven und erzeugt nach einigen Resets die niederländische
5515.                Flagge + `TelStar`-Text !
5516.  
5517.  
5518.  
5519. Name         : `Termigator`
5520.  
5521. Resetvektoren: CoolCapture *
5522. Interrupts   : keine.
5523. Bibliotheks-
5524. funktions-
5525. vektoren     : DoIO () - kopiert `Bootblock` & überwacht CoolCapture *
5526. Schäden      : Das `Termigator`-Virus stört manchmal den `Boot`-Vorgang, indem
5527.                es verschiedene `GURU-Meditationen` auslöst !
5528.                Ob dies Absicht ist, ist mir nicht bekannt !
5529. Anmerkung    : Wegen absoluter Einsprünge in`s ROM, funktionert es nur unter
5530.                `KickStart V1.2` !
5531.  
5532.  
5533.  
5534.  
5535.  
5536. Name         : `T.F.C. Revenge`
5537.  
5538. Resetvektoren: KickTagPtr *
5539.                KickCheckSum *
5540. Interrupts   : RasterBeam
5541. Bibliotheks-
5542. funktions-
5543. vektoren     : DoIO ()
5544. Schäden      : kann Disketten in allen Laufwerken zerstören, die nicht schreibge-
5545.                schützt sind !
5546. Anmerkung    : Dieses `Bootblock`-Virus wird vom `Filevirus` `T.F.C. Revenge
5547.                LoadWB` erzeugt, welches in `Anhang A` dokumetiert wurde !
5548.                Es steht entweder an der Speicherstelle $7F800 oder bei $FF800.
5549.                
5550.  
5551.  
5552.  
5553. Name         : `TimeBomb`
5554.  
5555. Resetvektoren: keine
5556. interrupts   : keine.
5557. Bibliotheks-
5558. funktions-
5559. vektoren     : keine.
5560. Schäden      : überschreibt manchmal `Track 80` mit Speicherinhalt ab $20000 !
5561.                Dadurch wird die `AmigaDOS`-Disketten-Struktur zerstört !
5562. Anmerkung    : Mir ist nicht bekannt wie sich dieses Virus weiterkopiert und
5563.                mit meinem Amiga hat eine Vervielfachung dieses `Bootblock`-
5564.                Viruses auch nicht geklappt !
5565.                Ich habe aber irgendwo gelesen, daß sich dieses Virus nicht
5566.                über den Speicher weiterkopiert, sondern statt dessen sich
5567.                selbst beim `Booten` von der Diskette im Laufwerk `DF0` nach
5568.                `DF1` ( `Bootblcok` ) kopiert !
5569.  
5570.  
5571.  
5572.  
5573. Name         : `TNK`
5574. Resetvektoren: CoolCapture *
5575. Interrupts   : keine
5576. Bibliotheks-
5577. funktions-
5578. vektoren     : DoIO () (RESET)
5579. Schäden      : keine.
5580. Anmerkung    : ... eine `SCA`-Mutation mit geändertem ASCII-Text.
5581.  
5582.  
5583.  
5584.  
5585. Name         : `Tomates Gentechnic`
5586.  
5587. Resetvektoren: keine.
5588. Interrupts   : keine.
5589. Bibliotheks-
5590. funktions-
5591. vektoren     : keine.
5592. Schäden      : Überschreibt manchmal `Track 80` mit Speicherinhalt ab $20000 !
5593.                Dadurch wird die `AmigaDOS`-Disketten-Struktur zerstört !
5594. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des `TimeBomb`-
5595.                Viruses, wobei nur der ASCII-Text ausgetauscht wurde !
5596.                Lesen Sie also bitte auch `TimeBomb` im selben Anhang !
5597.  
5598.  
5599.  
5600.  
5601. Name         : `TURK V1.3`
5602.  
5603. Resetvektoren: CoolCapture *
5604. Interrupts   : keine.
5605. Bibliotheks-
5606. funktions-
5607. vektoren     : DoIO ()
5608. Schäden      : Das `TURK`-Virus schreibt nach $60 `TURK` in den Speicher !
5609.            Auch der Rootblock wird mit `TURK` ueberschrieben !
5610. Anmerkung    : Dieses `Bootblock`-Virus wird vom `Filevirus` `Color` erzeugt
5611.                ( siehe Anhang A ) !
5612.                
5613.  
5614.  
5615.  
5616. Name         : `U.K. Lamer Style`
5617.  
5618. Resetvektoren: KickTagPtr *
5619.                KickCheckSum *
5620. Interrupts    : keine.
5621. Bibliotheks-
5622. funktions-
5623. vektoren     : BeginIO () - schreibt `Bootblock` und überwacht `Kick`-Vektoren
5624. Schäden      : keine.
5625. Anmerkung    : Das `U.K. Lamer Style`-Virus wird von vielen bekannten Virus-
5626.                killern mit dem `Revenge Of The Lamer Exterminator`-Virus
5627.                verwechselt !
5628.                Und in der Tat hat es auch viele Ähnlichkeiten mit diesem
5629.                `Filevirus` ( siehe Anhang A ).
5630.                Das `U.K. Lamer Style`-Virus  benutzt beispielsweise auch die `clist.
5631.                library` und ähnliche Vektoren wie das `R.L.E.`-Virus.
5632.                Es bestehen auch Ähnlichkeiten zu den `LAMER Exterminator`-
5633.                Bootblock-Viren, so daß ich es ebenfalls zur Gruppe dieser
5634.                Viren rechnen würde !
5635.                Doch im Gegensatz zu diesen zerstört es keine Disketten.
5636.                Das `U.K. Lamer Style`-Virus ist in den `Bootblöcken` immer
5637.                kodiert und auch im Speicher bleibt noch der Name `U.K. Lamer
5638.                Style` verschlüsselt.
5639.                Dem Namen nach zu urteilen vermute ich, daß dieses Virus eine
5640.                Art Verspottung bzw. `Narrenkappe` für Anfänger sein soll,
5641.                da `Lamer Style` übersetzt ja so viel bedeutet wie `Anfänger
5642.                Mode/Bekleidung` !
5643.                Dieses Virus enthält auch keine Ausgabetexte !
5644.                
5645.  
5646.  
5647.  
5648. Name         : `Ultrafox`
5649.  
5650. Resetvektoren: CoolCapture *
5651. Interrupts   : keine.
5652. Bibliotheks-
5653. funktions-
5654. vektoren     : DoIO ()
5655. Schäden      : keine.
5656. Anmerkung    : Wegen eines absoluten `DoIO`-ROM-Einsprunges, funktioniert auch
5657.                dieses `Bootblock`-Virus nur noch unter `KickStart V1.2` !
5658.  
5659.  
5660.  
5661.  
5662. Name         : `Virus Slayer V1.0`
5663.  
5664. Resetvektoren: CoolCapture *
5665. Interrupts   : keine.
5666. Bibliotheks-
5667. funktions-
5668. vektoren     : DoIO ()
5669. Schäden      : keine.
5670. Anmerkung    : Dieses Programm ist eigentlich ein Antivirus und richtet sich
5671.                gegen `Bootblock`-Viren !
5672.                Auch hier ist es so, daß wegen absoluter Adressierung bezüglich
5673.                des `DoIO`-Vektoren, ein Weiterarbeiten außerhalb von `KickStart
5674.                V1.2` nicht möglich ist !
5675.                
5676.  
5677.  
5678.  
5679. Name         : `Virus V1`
5680.  
5681. Resetvektoren: CoolCapture *
5682. Interrupts   : keine.
5683. Bibliotheks-
5684. funktions-
5685. vektoren     : DoIO ()
5686. Schäden      : keine.
5687. Anmerkung    : Dieses `Bootblock`-Virus arbeitet auch mit `KickStart V2.04` !
5688.                
5689.  
5690.  
5691.  
5692.  
5693. Name         : `Warhawk`
5694.  
5695. Resetvektoren: CoolCapture *
5696. Interrupts   : keine.
5697. Bibliotheks-
5698. funktions-
5699. vektoren     : DoIO () (RESET)
5700. Schäden      : keine.
5701. Anmerkung    : keine.
5702.  
5703.  
5704.  
5705. Name         : `Warsaw Avenger`
5706.  
5707. Resetvektoren: KickTagPtr *
5708.                KickCheckSum *
5709. Interrupts   : keine.
5710. Bibliotheks-
5711. funktions-
5712. vektoren     : BeginIO () (ueberwacht auch `Kick`-Pointer) 
5713.                SumKickData ()
5714. Schaeden     : Nach vier Reset`s sucht es sich einige OFS oder FFS Datenbloecke
5715.                und ueberschreibt deren Inhalt 55 mal mit dem Wort `Warsaw!`.
5716.  
5717.                Das verursacht `Read/Write Errors` und
5718.                Datenverluste !!!
5719. Anmerkung    : Das `Warsaw Avenger`-Virus ist zwar kein
5720.                billiger `ASCII-Mutant` des `LAMER Exterminator`, allerdings
5721.                finden sich in diesem Virus viele Routinen des `LAMER Exterminator`
5722.                wieder !!!
5723.                Der `Bootblock` ist jedoch nicht verschluesselt.
5724.  
5725.  
5726.  
5727.  
5728.  
5729. Name         : `Z.E.S.T.`
5730.  
5731. Resetvektoren: KickTagPtr *
5732.                KickCheckSum *
5733. Interrupts   : keine.
5734. Bibliotheks-
5735. funktions-
5736. vektoren     : DoIO ()
5737. Schäden      : ... tarnt sich als Viruskiller !
5738. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation von `L.A.D.S`,
5739.                bei der nur der ASCII-Text ausgetauscht wurde.
5740.                Auch diese Mutation tarnt sich als Viruskiller ( siehe L.A.D.S )!
5741.  
5742.  
5743.  
5744. Name         : `ZACCESS V1.0`
5745.  
5746. Resetvektoren: CoolCapture *
5747. Interrupts   : keine.
5748. Bibliotheks-
5749. funktions-
5750. vektoren     : DoIO () (RESET)
5751. Schäden      : keine.
5752. Anmerkung    : Bei diesem Virus handelt es sich wieder einmal um eine `SCA`-
5753.                Mutation mit geändertem ASCII-Text !
5754.  
5755.  
5756.  
5757.  
5758. Name         : `ZACCESS V2.0`
5759.  
5760. Resetvektoren: KickTagPtr *
5761.                KickCheckSum *
5762. Interrupts   : keine.
5763. Bibliotheks-
5764. funktions-
5765. vektoren     : BeginIO ()
5766. Schäden      : mir sind keine bekannt.
5767. Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des `Byte Bandit`-
5768.                Viruses, bei der nur der ASCII-Text ausgewechselt wurde und die
5769.                genauso gelöscht wird wie das `Byte Bandit`-Virus selbst !
5770.  
5771.  
5772.  
5773.  
5774. Name         : `ZACCESS V3.0`
5775.  
5776. Resetvektoren: KickTagPtr *
5777.                KickCheckSum *
5778. Interrupts   : RasterBeam
5779. Bibliotheks-
5780. funktions-
5781. vektoren     : DoIO ()
5782. Schäden      : löscht wie `Extreme` Viren, indem es ganze Disketten formatiert.
5783. Anmerkung    : Bei diesem Virus handelt es sich um eine `Extreme`-Mutation mit
5784.                geändertem ASCII-Text !
5785.                Dieses Virus muß wie `Extreme` aus dem Speicher entfernt werden !
5786.  
5787.  
5788.  
5789.  
5790. Name         : `ZLX`
5791.  
5792. Resetvektoren: CoolCapture *
5793. Interrupts   : keine.
5794. Bibliotheks-
5795. funktions-
5796. vektoren     : DoIO () (RESET)
5797. Schäden      : keine.
5798. Anmerkung    : Und nun wieder einmal ein `SCA`-Mutant ...
5799.  
5800.  
5801.  
5802.  
5803.  
5804. Name         : `Zombi I`
5805.  
5806. Resetvektoren: CoolCapture *
5807. Interrupts   : keine.
5808. Bibliotheks-
5809. funktions-
5810. vektoren     : DoIO (RESET)
5811. Schäden      : Das `Zombi`-Virus schreibt den `Root`- & `BitMap`-Block ( `BAM` )
5812.                neu !
5813.                Dabei erhält die Diskette den Namen `Zombi I` !
5814.                Da das Virus den `BitMap`-Block immer nach $371 schreibt, was
5815.                jedoch nicht so bei allen AmigaDOS-Versionen geregelt ist, kann
5816.                eine Datei, die dort steht, zerstört werden !!!
5817.                Außerdem werden alle Hashwerte auf Null gesetzt.
5818.                Das bedeutet, dass alle Datei-Eintraege verloren gehen.
5819. Anmerkung    : keine.
5820.  
5821.  
5822.  
5823.  
5824.                           `Anhang C `
5825.  
5826. In diesem Anhang werden nun alle Programme aufgeführt,
5827. die mit absoluter Sicherheit harmlos sind und von `AntiCicloVir` deshalb
5828. im Speicher und/oder auf Disk weder verändert noch gelöscht werden !
5829.  
5830.  
5831. - `ASS Virusprotector V1.0`:
5832.  
5833.   Hierbei dürfte es sich um ein älteres Antivirusprogramm handeln !
5834.   Es steht im `Bootblock` und überwacht die Zeiger CoolCapture * &
5835.   KickTagPtr * !
5836.   Zeigt CoolCapture * nicht auf null, so warnt das Programm Sie vorm
5837.   `SCA`-Virus, zeigt KickTagPtr * nicht auf null vorm `Byte Bandit`-Virus
5838.   und löscht den Zeiger !
5839.   Das Antivirus-Programm `ASS` installiert sich in den Speicher mittels
5840.   des KickTagPtr * & KickCheckSum * und überwacht nun den Zeiger
5841.   CoolCapture * !
5842.  
5843. - `SystemZ V3.0-V6.5`:
5844.  
5845.   Hierbei handelt es sich um Pieter van Leuven`s bekannten `Virusprotector`,
5846.   der schon von Anfang an bei der Virenbekämpfung dabei war !
5847.   Das Programm ist resetfest und erzeugt nach jedem Reset ein audio-visuelles
5848.   Signal - beim `Booten` wird der Bildschirm grün !
5849.   `SystemZ` erkennt mehrere `Bootblock`-Viren im Speicher & auf Diskette
5850.   und kopiert sich nach Abfrage selbst über ein `Bootblock`-Virus !
5851.   Da die Zahl der `Bootblock`-Viren wohl schon 200 überschritten hat und
5852.   im `Bootblock` ( 1024 Bytes ) nur begrenzt Platz ist, dürfte `SystemZ`
5853.   seine Zeit bereits hinter sich haben ...
5854.  
5855.  
5856. - `ALF-2 HD`
5857.  
5858.    Von einem `AntiCicloVir`-Benutzer erhielt ich die Mitteilung, daß mein
5859.    Viruskiller `ALF-2 HD` im Speicher nicht erkennen würde und es
5860.    deshalb gelöscht würde.
5861.    Ich habe nun eine Routine programmiert, die die `Kick`-Vektoren, auf
5862.    `ALF`-spezifische Adressen überwacht.
5863.    Da ich `ALF-2 HD` selbst nicht besitze konnte ich dies nicht überprüfen !
5864.    Ich habe aber gelesen, daß `ALF-2 HD` nun erkannt werden soll !
5865.  
5866.   
5867.  
5868. Matthias Gutt              
5869. Kantstr.16
5870. W-2120 Lüneburg
5871. Tel.: 04131/49624 ( 20.30 -21.30 Uhr )
5872.  
5873.