home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Amiga Collections: Taifun
/
Taifun 156 (1991-03-10)(Manewaldt, A.)(DE)(PD).zip
/
Taifun 156 (1991-03-10)(Manewaldt, A.)(DE)(PD).adf
/
VT-Virenkiller
/
VT_Anleitung
< prev
next >
Wrap
Text File
|
1991-02-22
|
65KB
|
1,618 lines
VT2.10 [-vz] [-bt]
? dieser Text, dann Prg.Ende
<Par1> -vz teste Vectoren, in Ordnung = keine Anzeige
in Ordnung = verzweige nicht ins Arbeitsmenue
<Par2> -bt teste Bootblock in df0 nicht !!!!!
vermindert Schutz !!!!
die Parameter sind optional !
Heiner Schneegold, Am Steinert 8, 8701 Eibelstadt
HINWEIS:
- VT2.10 ist Shareware und n i c h t PD !!!!
- das Programm darf nur mit dieser Dok weitergegeben werden
- ein Auszug aus der Virenbeschreibung darf ohne Quellennennung
nicht verwendet werden. (es gibt ein Zitatgebot oder ???)
- die Rechte am Programm verbleiben beim Programmierer
- wer das Programm einsetzen will, soll DM 1,-- (Schueler) oder
DM 5,-- (bei Verdienst) fuer einen wohltaetigen Zweck spenden
(ist mein Ernst !!)
- das Programm darf nicht auf einer PD-Einzeldisk erscheinen,
die mehr als DM 6,-- kostet !!!!
- der Programmierer uebernimmt keine Haftung fuer Programmierfehler
- Serienersteller sollten vorher Kontakt mit mir aufnehmen !!!
Heiner
letzte Aenderung: 28.01.91
Aenderungen seit vt2.08
- FileRequester jetzt mit 27/28.01.91
Byteanzeige, d.h. "un-
sichtbare Files" sind
jetzt leichter zu er-
kennen
- Destructor 26.01.91 Dank an P.N.
- ByteBanditError 26.01.91 Dank an P.N.
- Boil (neu) (N) 23.01.91 Dank an J.K. u. W.M.
- PARATAX II 23.01.91 Dank an M.O.
- MAD II 22.01.91 Dank an M.O.
- 2001 21.01.91 Dank an M.O.
- AIDS-HIV 21.01.91 Dank an M.O.
- PARATAX 21.01.91 Dank an M.O.
Aenderungen seit vt1.99
- CCCP Virus 03/04.11.90 Dank an H.S.
- Blade Runners 20.11.90 Dank an G.B.
- Sherlock 21.11.90 Dank an G.B.
- Jeff-Butonic V1.31 07/08.12.90 Dank an P.L.
- Tomates-Gentechnic 14.12.90 Dank an T.G.
- PentagonCircleVirusSlayer3 15.12.90 Dank an T.G.
- Warsaw Avenger 17.12.90 Dank an H.S.
- Revenge of the Lamer 2 28.12.90 Dank an A.M.
- TimeBomb V0.9 29.12.90 Dank an A.M.
- TimeBomber 30.12.90 Dank an A.M.
- F.I.C.A 03.01.91 Dank an X.L.
- Morbid Angel 03.01.91 Dank an X.L.
- DIGITAL EMOTIONS 04.01.91 Dank an X.L.
- 05/06/07.01.91
- Prg-Viren koennen jetzt beim Prg.Test geloescht werden.
Die startup-sequence muss immer noch mit ed geaendert
werden.
- LinkVirenTeile koennen noch nicht entfernt werden, aber
(wenn gewuenscht) im FileRequester ganz geloescht werden.
Programmvoraussetzungen:
- fuer den PrgAblauf werden bis zu 95KB ChipMem benoetigt:
- 30KB eigenes Prg (mit Stack u. Speicher, fest im Prg. eingebaut)
- 30KB Hauptfenster (Betriebssystem)
- 15-20KB fuer Requester (Betriebssystem)
- 5KB kurzfristig fuer neu eingelegte Disk (Betriebssystem)
- 10KB FileRequester
- KickRom V1.2 oder V1.3
- KickEprom V2.0 fuer A2000C = Kick 36.202
laeuft nicht mehr mit Kick 36.141 oder 36.143 in Eprom
laeuft nicht mit exec 36.1010
- laeuft n i c h t mit A3000 (Grund: MMU ????)
- laeuft n i c h t mit Kickit B1-Bx
- mit gepatchten Kickepromversionen erwarte ich Probleme
- mit KickDisk V1.2 Vers.33.166 laeuft mein Prg. nicht
(Trackdisk.device liegt an anderer Stelle)
- PalScreen (geht nicht immer, ist Commodore bekannt !!)
Prg.ablauf:
- prg im Cli starten oder von WB starten
- oder in startup einbauen
- ich empfehle
- VT2.10 -vz
- usw.
Einschub:
bei Aufruf VT2.10 -vz meldet sich das Programm nur bei
Vectorenveraenderungen oder NichtstandardBB.
- Test auf KickRomV1.2, V1.3 oder V2.0
- Test auf PAL-Screen
- ein Fenster wird geoeffnet (muss immer kurz erscheinen !!!)
- einige Vectoren werden getestet und angezeigt
- wenn keine Veraenderung, dann Prg.ende
- wenn Veraenderung, dann:
- Suche nach bekannten Viren (s.u.) beginnt
- falls erfolgreich
- Namensausgabe
- Vectoren werden zurueckgesetzt und angezeigt
- Virenprogramm wird mit Nullen ueberschrieben
- also kein Reset mehr notwendig
- nach 2 Sekunden Prg.Ende
- falls erfolgreich 2
aus programmtechnischen Gruenden, ist es bei einigen Viren not-
wendig, vor der Vectoranzeige das VirusPrg. zu loeschen (z.B.
Extreme) und mit Null aufzufuellen. Es taucht dann der Requester
auf:
XYZ-NameVirus
war im Speicher
Weiter Weiter
- falls Nein
- Request unbekanntes Programm
im Speicher
KReset weiter
- weiter:
es werden keine Veraenderungen vorgenommen und das
Programm beendet.
- KReset:
- Vectoren werden zurueckgesetzt
- reset wird ausgefuehrt
- jetzt mit Romstartberechnung fuer Kick2.0
dieser Weg wurde gewaehlt, damit zukuenftige Viren mit
eigenen Task (hier reicht das Zuruecksetzen der Vectoren
nicht mehr, sondern es muss auch der/das Task entfernt werden)
geloescht werden koennen, ohne den Computer auszuschalten.
Einfacher ProgrammVirenTest fuer Startup-S.
-------------------------------------------
- nur wenn in df0: eine Disk liegt !!!!!!
keine Angst, wenn das LW kurz anlaeuft, es muss ja gelesen werden
- Viren werden in dieser Version nicht geloescht !!!!
- Test auf Orginal Disk-Validator KS1.2/3 Laenge: 1848 Bytes
- Test auf langen Disk-Validator Laenge: 1892 Bytes
Herkunft:unbekannt, aber harmlos
- Suche nach BGS9 I in DF0:devs
Name: A0A0A0202020A0202020A0 (fuer das verschobene OrgPrg.)
also ein indirekter BGS9 I-Test
- Suche nach BGS9 II in DF0:devs
Name: A0E0A0202020A0202020A0 (fuer das verschobene OrgPrg.)
also ein indirekter BGS9 II-Test
- Suche nach Terrorists in DF0:
Name: A0202020A02020A020A0A0 (fuer das verschobene OrgPrg.)
also ein indirekter Terrorists-Test
- Suche nach Disaster Master V2 in DF0:s
Name in startup: cls *
wichtig: ?!?!?!
Test nur auf 1.Zeile !!!!!!
- Suche nach JEFF-BUTONIC-Namen V3.00 in DF0:s
Name in startup: A0A0A0209B41
wichtig: ?!?!?!
Test nur auf 1.Zeile !!!!!!
- Suche nach Revenge of the Lamer I+II in DF0:
Name: A0A0A0A0A0
- Test auf verschiedene Tarnnamen von Jeff-Butonic V1.31
- Test auf TimeBomb V0.9
- Test auf TimeBomber
- K E I N Test auf IRQ-Programm in startup-s.
- K E I N Test auf XENO-Programm in startup-s.
- K E I N Test auf THE SMILY CANCER in startup-s.
BOOTBLOCKTEST
- kann mit -bt abgeschaltet werden
- falls nicht abgeschaltet, testet n u r df0:
- nur wenn Disk eingelegt
- keine Angst, LW muss kurz anlaufen
ARBEITSMENUE:
- zu diesem Prg.Teil kommen Sie nur, wenn -vz nicht gesetzt ist
oder ein NichtStandardBB in Df0 erkannt wurde
ZWEI BITTEN falls Sie Schreibzugriffe planen !!!!!!
- Setzen Sie im VorPrg. die OrgVectoren, auch wenn Sie ein fuer
Sie wichtiges Resident-Prg. spaeter neu laden muessen
- Arbeiten Sie mit einer Disk-Kopie (bedenken Sie, auch mir
koennen Fehler unterlaufen !!!!)
Erklaerung:
Ende = Prg.Ende
setze OrgVec = setzt alle wichtigen Vectoren, aber ein Prg.
wird nicht mit Nullen aufgefuellt, wie im Vorprg.
zeige Vec = Vectorenanzeige im Hauptprogramm o h n e Virustest
DfX -> Speicher
---------------
bitte entsprechendes LW anklicken
Lade Bootbloecke in Speicher und teste
Viren, die ich habe, werden auf drei !!! Langwoerter getestet im BB
Sollte ein Virenname und vier umgedrehte Fragezeigen erscheinen,
so besitze ich den BBVirus nicht und habe ein Langwort in einer
Veroeffentlichung gefunden.
Hier lehne ich jede !!!! Verantwortung ab! Bitte schicken Sie
diese Bootbloecke an mich! DANKE!
File
---------
aktiviert 03.09.90 s.u.
Speicher -> DfX
---------------
bitte ZielLW anklicken
schreibe Speicher in Bootblock 0 u 1 von DfX
Sie koennen damit also auch BBe kopieren (aber bitte keine Viren!)
k e i n e Sicherheitsabfrage !! also vorher ueberlegen !!
Speicher
--------
alle Veraenderungen werden nur im Speicher vorgenommen
auf Disk wird der Speicher erst mit s.o. geschrieben
NoBoot = erstelle Blocks ohne BootPrg.
klicke:
AD fuer altes AmigaDosSystem
FF fuer FastFileSystem
insta. = erstelle bootbare Disk
klicke:
AD fuer altes AmigaDosSystem
FF fuer FastFileSystem
BLK0/1 = Wechselgadget zur Anzeige von Blk 0 u 1 in HEX und ASCII
Lam3 = nur aktiviert, wenn Lamer3 gefunden wurde
Lamer3 verschiebt OrgBB codiert nach Block 2 u. 3
Block 2 u 3 wird entschluesselt und in Speicher geschrieben. Danach
kann man den OrgBB zurueckschreiben
Wann nuetzt das nicht viel ???
- wenn der Kopierschutz schon auf Track 0 beginnt (Longtrack usw)
(das Prg ist aber schon mit Lam3 nicht mehr gelaufen)
- wenn ein File oder BootblockIntro Block 2 u 3 belegt hat
so habe ich Lamer3 damals auf einer PD-Disk gefunden
(das File ist aber schon durch Lamer3 zerstoert worden)
PrgVTest:
=========
- entsprechende Disk einlegen u n d warten bis LW-Led aus ist!!!
- LW-Gadget anklicken
- Abbruch des Tests durch Doppelklick mit der rechten Maustaste
bin gespannt, mit welchem anderen Prg. es jetzt Probleme gibt
- ich finde bei meinem Prg MultiTasking sowieso problematisch
immerhin muessen ja z.B. einige Zeiger verbogen werden, damit
keine Dummy-BB gezeigt werden !!!! (vgl. Lamer3)
- findet IRQ I, IRQ II, BGS9 I, BGS9 II, Disaster Master, Revenge Lamer1+2,
OrgPrg.e, die von Bgs9 I, BGS9 II oder Terrorists verschoben wurden,
XENO, JEFF-BUTONIC I+II, Terrorists, THE SMILY CANCER, Traveling
Jack I+II, Return Of The Lamer (Disk-Validator), CCCP-Link
TimeBomb V0.9, TimeBomber,
- findet vielleicht Colors Virus Carrier (hab ich nicht)
- loescht jetzt auf Wunsch Prg.Viren (06.01.91)
ein Requester erscheint, es ist aber auch 'Weiter' moeglich
in der startup-sequence muss bei Bedarf mit ed die 1. Zeile
geloescht werden.
Disaster Master:
loescht cls
Revenge Lamer 1 u. 2 :
loescht A0A0A0A0A0
Jeff-Butonic 1 u. 2 :
loescht unsichtb. File oder Alias-Name (s.b. Jeff-Beschreibung)
TimeBomb V0.9:
loescht .info in c
und falls vorhanden pic.xx in Root
TimeBomber:
loescht virustest
und falls vorhanden VIRUSTEST.DATA
Return of the Lamer:
loescht Disk-Validator
(Aenderung der startup-s. nicht notwendig !!)
BGS9 1+2 und Terrorists:
versucht zuerst Rename mit unsichtbarem File
(Aenderung der startup-s. dann nicht notwendig !!)
falls unsichtbares File nicht gefunden wird, wird die Loeschung
des Viren-Prg.s angeboten
- LinkViren koennen noch nicht aus File geloescht werden.
nur Loeschung mit FileRequester moeglich
Einschraenkungen:
- der Pfad darf max. 255 Bytes (durch AmigaDos festgelegt) lang
werden - sonst Guru !!!!
also z.B. dh0:sub1/sub2...subx/PrgName max. 255 Buchstaben
- Pfad/FileNamen-Ausgabe wird nach 80 Buchstaben pro Zeile ab-
gebrochen. Hat mir das Fenster zu sehr verunstaltet.
StartUp DF0/DF1/DH0/DH1
=======================
- zeigt 1KB der startup-sequence falls vorhanden, umschalten bitte
mit BLK0/1-Gadget, hilfreich fuer schnelle Suche nach $A0 usw.
in 1. Zeile
aber bitte nicht $0A mit $A0 verwechseln !!
- zeigt n i c h t startupII oder startup-sequence.hd
(Anzeige jetzt moeglich = Umweg ueber FileRequester)
File = FileRequester
--------------------
Beide Filegadgets sind gleichwertig (frueher war ein Load- und ein
Save-Requester geplant).
WARNUNG: !!!!!!!!!!!!!
1. Arbeiten Sie bitte mit einer Kopie
2. Alle Anweisungen werden o h n e Rueckfragen ausgefuehrt, so-
lange es keine unmoeglichen Befehle sind. (Ueberlege vorher!!)
3. Arbeit mit dmouse, Mach oder aehnlichen Utilities:
Falls Sie ausserhalb des Requesters klicken, verschwindet der
Requester. Im Arbeitsfenster werden keine Befehle mehr angenom-
men. Sie muessen erst das Fenster zurueckholen (dmouse = li.Maus-
taste halten und re.Maustaste klicken) und Ende waehlen. Das
Problem haben andere Prge auch, ist grundsaetzlicher Natur und
kann nicht vernuenftig geloest werden. (Wenn Sie so ein Utility-
Prg verwenden, kennen Sie ja auch den Befehlssatz. Kein Problem
also !!)
Status: dient der Fehleranzeige
Ende: Filerequester beenden
Parent: Ein Unterverzeichnis zurueck
Laufwerksgadgets: lade Dir
Bei mehr als 200 !!! Eintraegen pro Verzeichnis gibts Aerger
Muesste aber selbst fuer DH0:c genuegen. Reserviert sind
200 x 30 = 6000 Bytes + 500 Bytes (Reserve)
Pfad:
zeigt LW und gegebenenfalls Unterverzeichnis/se
Stringadget mit max. 255 Buchst. und UnDo-Buffer. Sie koennen also
Veraenderungen vornehmen und mit re.AmigaTaste + Q rueckgaengig
machen (allerdings duerfen Sie das Gadget noch nicht verlassen
haben). Mit den Cursor-Tasten koennen Sie rechts-links scrollen.
Geben Sie z.B. hinter DH0: Assembler ein + ReturnTaste, so versucht
das Prg. von DH0: das Unterverzeichnis Assembler anzuzeigen.
Bei verschachtelten Unterverzeichnissen vergessen Sie bitte die "/"e
nicht. A B E R: das letzte Zeichen darf kein "/" sein. Einfacher
als die Eingabe von Hand ist aber die Auswahl mit der Maus (Unter-
verzeichnisse sind im grossen ScrollFenster orange dargestellt.
Datei:
hier wird die ausgewaehlte Datei angezeigt
Stringgadget mit UnDo-Buffer
DateiRe:
Stringgadget mit Undo-Buffer
Hier muessen Sie fuer die Rename-Funktion den ganzen !!!! Pfad und
den neuen Namen ihrer Datei eingeben. Geht nicht anders, da sich
Unterverzeichnisse von Alt und Neu unterscheiden koennen. s.u.
Load:
Setzt den Inhalt von Pfad + falls notwendig "/" + Inhalt von Datei
zusammen, versucht dann 1024 Bytes in den Speicher zu laden und
anzuzeigen. Anzeigewechsel mit Block0/1-Gadget. Den Inhalt von
Datei koennen Sie entweder aus dem grossen ScrollFenster mit der
Maus auswaehlen oder von Hand eingeben. Eigentlich ist dieser Teil
zum Laden eines gespeicherten BBs gedacht, aber Sie koennen damit
jede beliebige Datei (z.B. startupII) laden und die ersten 1024
Bytes anschauen.
Save:
Setzt den Inhalt von Pfad + falls notwendig "/" + Inhalt von Datei
zusammen und versucht dann 1024 Bytes aus dem Speicher abzuspeichern.
Den Filenamen sollten sie von Hand in Datei eingeben. Waehlen Sie
mit der Maus einen Dateinamen und veraendern ihn nicht, so geht die
alte Datei o h n e Rueckfrage verloren !!!!! Diese Funktion eignet
sich n u r zum Sichern von Bootbloecken, da immer 1024 Bytes abge-
speichert werden.
Delete:
Setzt den Inhalt von Pfad + falls notwendig "/" + Inhalt von Datei
zusammen, entfernt falls notwendig die ProtectionBits und unter-
nimmt einen Loeschversuch. Die Datei koennen Sie mit der Maus aus-
waehlen oder von Hand im Datei-Stringadget eingeben.
Hinweis:
Ich kenne drei Loeschschutzvarianten, die das Loeschen einer
Datei mit DOS-Routinen verhindern, also auch mit meinem Prg. nicht
geloescht werden koennen. Geht dann nur mit Disk-Monitor.
Rename:
Setzt den Inhalt von Pfad + falls notwendig "/" + Inhalt von Datei
zusammen = AltName
Nimmt den Inhalt von DateiRe = NeuName und versucht ein Rename.
Im DateiRe-Stringgadget muessen Sie den ganzen Pfad und den Datei-
namen eingeben, also z.B. DH0:aa/ddddd/Nameneu
Ein Renamen ueber verschiedene Laufwerke wird von AmigaDOS n i c h t
unterstuetzt. Es geht also nicht:
rename df0:aa/dddd/AltName df1:aa/dddd/NeuName
da verschiedene Laufwerke
es geht aber:
rename df0:aa/dddd/AltName df0:xxx/yyy/NeuName
wenn die Unter/Unterverzeichnisse vorhanden sind.
Edit:
----- noch nicht aktiviert
was kann das Prg. nicht:
- ist nicht speicherresident
- bitte P-Bit nicht setzen - sicherer Guru !!!!
- IRQ I oder II aus befallenem File entfernen
- Xeno aus befallenem File entfernen
- THE SMILEY CANCER aus befallenem File entfernen
- DISASTER MASTER aus startup-sequence entfernen
- JEFF-Butonic aus startup-sequence entfernen
- THE SMILEY CANCER aus startup-sequence entfernen
Bitten:
Ich suche fuer mein VT-Prg. noch einige alte Viren und natuerlich
a l l e Neuerscheinungen !!!!!
- wer hat Joshua3 (vgl.ACT-Killer1.3)
- wer hat Pseudo-Self-Writer (vgl.ZeroVirus)
- wer hat Self-Writer
- wer hat Switch-OFF (vgl.ZeroVirus)
- wer hat U.K. LamerStyle (vgl.ZeroVirus)
- wer hat Disaster Master V1 (vgl. DFUE-Liste)
- wer hat ABC (DFUE-Liste)
(bitte mit Track 0) vermutlich kein Virus
- wer hat Kobold #2 (DFUE-Liste)
- wer hat P-Cracks (DFUE-Liste)
- wer hat UCA (DFUE-Liste)
- wer hat Zorro/Willow (DFUE-Liste)
- wer hat Commodore (DFUE-Liste)
- wer hat OHIO (vgl. Novirus)
- wer Hat RIMEDNAC (vgl. Novirus)
- wer hat colors virus carrier (PrgFileVirus)
- wer hat L.A.D.S.
- wer hat Gyros (vgl. Amiga Welt 5/89 S.69)
- wer hat Paramount (vgl. Amiga Welt 5/89 S.70)
- wer hat UCAIDS (vgl. Amiga Welt 5/89 S.71)
- wer hat Phantasmumble (vgl. virusx)
(bitte nicht mit Disk-Herpes verwechseln, anderer Text)
- wer hat Phantastograph
(bitte nicht mit Disk-Herpes verwechseln, anderer Text)
- wer hat WAFT (vgl. actkiller)
- wer hat einen Lamer, der loadwb missbraucht (vgl. AmigaWelt 5/89 S.69)
als Gegenleistung biete ich eine VT-Version, die diesen
Virus dann mit Namen erkennt und zerstoert.
Danke
Heiner Schneegold
Am Steinert 8
8701 Eibelstadt
W-Deutschland
Tel. 09303/8369
Keine Angst:
Mein Prg. kennt oben genannte Viren nicht namentlich, gibt aber
auf jeden Fall "unbekanntes Programm im Speicher" aus.
(hoffe ich oder GURU ????)
nicht sicher erkannte Viren: (die ich nicht habe, alte Viren nur 4)
- Requester enthält vier umgedrehte Fragezeigen
- das jeweils eine Testlangwort, wurde teilweise aus dem
SourceCode mehrerer bekannten VirenschutzProgramme (PD) ent-
nommen.
- deshalb bei Anzeige nur Kreset oder weiter
- bekannte Viren (die ich habe):
==============================
(werden vom Prg. erkannt und ohne RESET (nein, drei Virus-Prg.e
nicht mehr s.u.) im Speicher geloescht)
Test auf drei Langworte im Speicher !!!
Kein FastMem heisst, dass das VirusPrg mit FastmemKarte bei
mir abstuerzt, koennte aber mit $C00000 oder einer anderen
FastMemKarte laufen ????
- .info anderer Name: TimeBomb V0.9 s.u.
- 16 Bit Crew Cool, im Prg. noch DoIo, FastMem ja, im Speicher
immer ab $7ec00
Vermehrung: ueber BB
im BB steht unverschluesselt:
The 16 Bit Crew 1988
- 2001 SCA-Clone, Cool immer 7EC3E, nur anderer Text
- Abraham siehe Claas Abraham
- Aids Vkill-Clone siehe dort
Unterschied: 3 Bytes
1.Byte: in der Pruefsumme
2.Byte: Vermehrungszaehler
3.Byte: Einsprung in entschluesselten Text
(ein Prg. springt z.B. nach $7ebc3, das 2. Prg. nach $7eba9)
- AIDS-HIV SCA-Clone, Cool immer 7EC3E, nur anderer Text
- AlienNewBeat Cold, Cool, DoIo, nur KS1.2, Fastmem ja
im Speicher immer ab $20000
Vermehrung: ueber BB Vermehrungszaehler: $2037e
Text im BB sichtbar: z.B.
THIS IS THE ALIEN NEW BEAT BOOT!
- Amiga Freak Forpib-Clone s.u.
nur Name im BB geaendert
- Art Byte Bandit anderer Name: ByteBanditPlus s.u.
- Australian Parasite Fastmem ja, Cool, DoIo, im Prg. BeginIo
Vermehrung: ueber BB
ueber GraphikRoutine wird BildschirmInhalt gedreht
im BB sichtbar:
The Australien Parasite!
By Gremlin 18/5/88!
Will NOT destroy game bootsectors or corrupt disks,
and kill other viruses!
- BAHAN anderer Name BUTONIC_1.1 siehe dort
- BGS9 I (schiebt Org.Prg. in devs) Bytes 2608
KickMem, KickTag, KickCheckSum, OpenWindow
PrgTeile verschluesselt mit eori.l #$1AF45869,(a0)+
unsichtbares File in devs: A0A0A0202020A0202020A0
am Ende des Prg.Files ist mit einem Monitor zu sehen: TTV1
beim 4.Reset Textausgabe ueber GraphikRoutine:
schwarzer Hintergrund, weisse Schrift
A COMPUTER VIRUS IS A DISEASE
TERRORISM IS A TRANSGRESSION
SOFTWARE PIRACY IS A CRIME
THIS IS THE CURE
BGS9 BUNDESGRENZSCHUTZ SEKTION 9
SONDERKOMMANDO "EDV"
Entfernung: File in devs in OrginalPrg. umbenennen
BGSVirusFile loeschen
OrgPrg aus devs in entsprechendes Verzeichnis
kopieren
- BGS9 II aehnlich BGS9 I
aber File in devs jetzt:
A0E0A0202020A0202020A0
Hinweis: $E0 ist ein a mit Akzent
Aenderung im Text: :SOFTWARE'
Die Veraenderungen liegen im codierten PrgBereich
Im PrgFile TTV1 sichtbar
- BLACKFLASH V2.0 Cool, DoIo, FastMem ja
im Speicher immer ab $7F000
Zaehlzelle = $13 Textausgabe mit Graphikroutine (s.u.)
Schrift rot, Hintergrund schwarz
Vermehrung: ueber BB
Text steht unverschluesselt im BB:
HELLO, I AM AMIGA !
PLEASE HELP ME !
I FEEL STICK !
I HAVE A VIRUS !
! BY BLACKFLASH !
- BlackStar anderer Name: Starfire1/NorthStar1 siehe dort
- Blade Runners SCA-Clone, immer ab 7EC00, Cool, im Prg. DoIo
Text: Hello! We are the Blade Runners! u.s.w.
- BS1! (noch ein SCA )
- BUTONIC 1.1 anderer Name BAHAN (im BB immer lesbar)
Cool, im Prg. DoIo, immer ab $7ec00, FastMem ja
Vermehrung: ueber BB wenn DOS0 gefunden
Textausgabe mit PrintIText (entschluesselt mit eori.b #-1,d1
nach $7eb0c)
im Speicher dann sichtbar:
BUTONIC'S VIRUS 1.1 GREETINGS TO HACKMACK ... <GENERATION NR. #####>
- Byte Bandit ohne FastMem
Begin, KickTag, KickCheckSum, Vec5
- Byte Bandit 2 anderer Name: No Name 1 s.u.
- Byte Bandit Clone ohne Fastmem
Diff zu OrgByteBandit: 180 Bytes
( Byte B.. Text wurde aus BB entfernt !!)
- ByteBanditError
das OrginalByteBanditVirusPrg. beginnt im BB bei $0C, hier bei $32
Da die alte BB-Copy Routine verwendet wird, ist das 1.LW im neuen
Copy-BB nicht DOS0, d.h. die neu verseuchte Disk ist "Not a DOS-Disk"
also weder boot- noch vermehrungsfaehig
- ByteBanditPlus Kick1.2 ohne FastMem
Begin, KickTag, KickCheckSum, Vec5
Diff zu OBB: 92 Bytes
(zusaetzlich trackdisk.... entfernt)
- Byte Warrior (DASA) (KickV1.2)
DoIo, KickTag, KickCheckSum
- CCCP-Virus Cool, im Prg. Vec3, DoIo, Openwindow, NewOpenLib !!!!
erstes VirusPrg. das sich als BB und als Link vermehren kann !!
im BB sichtbar: CCCP VIRUS
Link: verlaengert ein File um 1044 Bytes
befaellt keine Prg.e in l (z.B.libs), d (z.B.devs), f (z.B.fonts)
- CENTURIONS anderer Name: THE SMILY CANCER siehe dort
- Claas Abraham andere Namen: Abraham, MCA
Cold, Cool, KickTag, KickCheckSum, $68
braucht FastRam !!!!! Angefordert mit #$4,d1 und AllocMem
(Programmierfehler ????)
im Prg.Ablauf erst BeginIo
Vermehrung: ueber BB
Schaden: nach $F-Resets Formatierung
Eor-Byte wird fuer neuen BB aus $DFF006 erzeugt
entschluesselt steht im Speicher:
>>> Claas Abraham Virus !!! <<<
- Clist-Virus
Begin, Kicktag, KickCheckSum
entschluesselt steht im Speicher:
expansion ram.trackdisk.device..clist.library.clist 33.80 (8 Oct 1986).
Vermehrung: ueber BB
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF006 festgelegt.
Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt
und !!!! mit allocabs eingetragen.
- CODER immer $7f600, DoIo, KickTag, KickCheckSum, $68
im BB steht unverschluesselt:
Bootblock installed with 'CODER' - The Ultimate Viruskiller!!
Vermehrung: ueber BB
im Speicher steht (entschluesselt mit ror.b #2,d1):
Something WONDERFUL has happened!!
Your Amiga is alive, and it is infected with the
'Coders Nightmare Virus'. - The ultimate key-killer,
masterminded by the megamighty Mr. N of
The Power Bomb Systems!!
- DAG Cool, im Prg DoIo und zurueck, Fastmem ja, immer ab $7ec00
eine Meisterleistung: in den SCA-Text wurde eingebaut:
Try ANTIVIRUS from DAG
- Destructor Cold
im BB sichtbar:
Destructor_Virus v1.2 Written by Aldo Reset.
(c) M.C.T. Ltd 1990- Everything is under control !
(eh!eh!)
keine Vermehrungsroutine gefunden
zerstoert beim naechsten Reset ueber Cold eine nicht
schreibgeschuetzte Disk indem jeder 4. Track ueberschrieben
wird.
- DIGITAL EMOTIONS Cool, im Prg. DoIo und zurueck, immer $7ec00
im BB immer sichtbar: *** DIGITAL EMOTIONS ***
je nach Zaehlerstand
- wird eigener BB geschrieben oder
- Track 0 mit 'VIRUS ' beschrieben. Folge: keine Dos-Disk
Textausgabe (decodiert mit -1) ueber DisplayAlert:
KickStart ROM Corrupted at $c00276
- DISASTER MASTER V2 ( cls * ) 1740 Bytes
eigenstaendiges Prg. fuer startup-sequence
kicktag, kickcheck
im Prg. DoIo und wieder zurueck
cool und cold werden geloescht
Entfernung: 1.Zeile in startup. loeschen
cls in DfX:c loeschen
Erstellungsprogramm:
Intro-Maker von T.C.R.
- Disk Doc V1.0,V1.1,V1.2 (KickV1.2)
- Disk-Herpes Cool, im Prg. DoIo, im Speicher immer ab $7ec00
wird haeufig mit Phantasmumble verwechselt, Fastmem ja
Vermehrung: ueber BB
Schaden: schreibt auf Track 80 (Root) Speicherinhalt ab
$60000. Folge: Disk BAD
Graphikroutine: Deutschlandfahne + Text (auch im BB sichtbar)
--- Hello Computerfreak ---
You've got now your first VIRUS
** D i s k - H e r p e s **
Many Disks are infected !!
Written by >tshteopghraanptha<
c 27.07.1987 in Berlin
- EXTREME
DoIo, KickTag, KickCheckSum
entweder 7f800 oder ff800, da Berechnung ueber SysStkLower
Alertmeldung und Zerstoeren (Disk BAD) aller nicht schreibge-
schuetzten Disks in allen LW
Vermehrung: ueber BB
- F.A.S.T.
Cool, DoIo , FreeMem, immer ab $7F000
Alertmeldung (verschluesselt mit eori-Byte in Abhaengigkeit
von $DFF006) und loeschen
veraendert auch $C0-$E0 (SetPatchListe!)
Vermehrung: BB
- F.A.S.T. 1 FAST-Clone
im BB wurde der codierte Prg.Teil um einige Bytes verschoben,
um im BB-Kopf dos.library einbauen zu koennen. Die Speicher-
lage wurde nicht veraendert.
- F.I.C.A
Beginio, KickTag, KickCheckSum, SumKickData
Vermehrung: BB
Besonderheit: spielt sauberen BB vor
sichtbarer Text im BB ab $288
z.B. F.I.C.A RULES!
- FORPIB kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5
Vermehrung: ueber BB
besorgt sich Speicher ueber MemList, Speicher fuer neuen
VirusBB mit AllocMem
Im BB sichtbar: - FORPIB - 09.88 - N° 197102 - usw.
- Gadaffi (KickRomV1.2 Floppymusik)
Cool, DoIo, KickTag, KickCheckSum
- Graffiti aehnlich 16Bit Crew + 3D-Graphik
FastMem ja, Cool, im Prg DoIo, im Speicher immer $7ec00
Vermehrung: ueber BB
Graphikroutine mit 3D
unverschluesselt im BB:
VIRUS! written by Graffiti
- GREMLIN Cool, KickSumData, im Prg. DoIo, im Speicher immer $7f400
Vermehrung: ueber BB
Textausgabe mit GraphikRoutine: roter Hintergrund, weisse Schrift
GREMLIN
- GX.TEAM Fastmem ja, nur KS1.2 da absoluter DoIo-Einsprung
Cool, DoIo, KickTag, KickCheckSum, im Speicher immer ab $7f4d0
Vermehrung: ueber BB
Textanzeige mit displayAlert (wird mit sub.b #$41,d0 nach
$7f300 entschluesselt):
Mais qui voila ???C'est le nouveau VIRUS de GX.TEAM !!
AAAHH! Les salauds! Les ...(Insultes diverses)
He!He! SILENCE :
GX.TEAM entre enfin dans la legende ...
BYE!!!
- Hilly KickTag, KickCheckSum, Kick1.2
Vermehrung: ueber BB
sonst keine Routine gefunden (keine Graphik usw.)
- HODEN V33.17 nur KS1.2, da absoluter DoIo-Einsprung
DoIo, KickTag, KickCheckSum, im Speicher immer $7f000
Vermehrung: ueber BB
Kennzeichen: nach fuenf Kopien wandert ein gelber Kopf
von links nach rechts ueber den Bildschirm.
unverschluesselt steht im BB: HODEN V33.17
- ICE SCAClone, Cool, im Prg. DoIo, im Speicher immer ab $7ec00
Vermehrung: ueber BB
Textausgabe durch GraphikRoutine
unverschluesselt steht im BB:
Greets from The Iceman & The IRQ usw.
- Incognito anderer Name Trojan
DoIo, KickMem, KickTag, KickCheckSum, FastMem ja
nur KS1.2, da absoluter DoIo-Einsprung ins ROM
Vermehrung: ueber BB
sonst keine Schaeden und kein Text
im BB: nichts zu sehen, da trackdisk.device verschluesselt.
- IRQ-TeamV41.0 Link-Virus, verlaengert ein Prg. um 1096 Bytes
Einsprung nach Reset: KickTag
Einsprung bei Arbeit: OldOpenLib
Textanzeige im CliTitel: (entschluesselt mit eor.l d0,(a0)+
addq.l #3,d0 ; fuer einen neuen Virus wird der Inhalt von
d0 ueber move.l alterWert,d0 u. add.l $dff004,d0 veraendert)
AmigaDOS presents:a new virus by the IRQ-TeamV41.0
entweder wird c/dir oder das erste File der startup-sequence
befallen. K e i n File wird zweimal befallen. Das File
darf nicht laenger als 100 000 Bytes sein.
Entfernung: 1.Zeile in startup. loeschen
OrgFile besorgen und neu kopieren
- IRQ II wie IRQ I, aber die Routine auf Test schon befallen
(cmpi. #$fffe6100,30(a4,d6.l) wurde verfaelscht. Das heisst:
das erste File von der startup-sequence wird solange befallen,
(d.h. verlaengert) bis die Disk voll ist.
Nachtrag:gilt fuer IRQI+II; mit meiner FastmemKarte ist n a c h
einem Reset keine Vermehrung mehr moeglich ?????
- JEFF-BUTONIC V1.31/05.11.88 PrgFileVirus 3408 Bytes
DoIo, KickTag, KickCheckSum, $68
schreibt sich in die 1. Zeile der Startup-Sequence einer
nicht schreibgeschuetzten Disk. Tarnnamen s.u.
Texte codiert mit: eori.l #$AAAAAAAA,(a0)+
Text fuer DisplayAlert:
"Einen ganz wunderschönen guten Tag!"
"* I am JEFF - the new Virus generation on Amiga *"
"(w) by the genious BUTONIC."
"V 1.31/05.11.88 - Generation Nr.00037"
"Greetings to * Hackmack *,* Atlantic *, Wolfram, Frank,"
"Miguel, Alex, Gerlach, and to the whole Physik-LK from MPG !!"
Texte fuer die Fensterleiste:
"Ich brauch jetzt'n Bier!"
"Stau auf Datenbus bei Speicherkilometer 128!"
"Mehr Buszyklen für den Prozessor!"
"Ein dreifach MITLEID für Atarist!"
"BUTONIC!"
"Schon die Steinzeitmenschen benutzten MS-DOS...einige sogar heut noch!"
"Schon mal den Sound vom PS/2 gehört???"
"PC/XT-AT: Spendenkonto 004..."
"Unabhängigkeit & Selbstbestimmung für den Tastaturprozessor!"
"Paula meint, Agnus sei zu dick."
"IBM PC/XT: Ein Fall für den Antiquitätenhändler..."
"Sag mir, ob du Assembler kannst, und ich sage dir, wer du bist."
Tarnnamen:
fuer RootDir: in Startup-Sequence:
AddBuffers "AddBuffers 20"
Add21K "Add21K "
Fault "Fault 206"
break "break 1 D"
changetaskpri "changetaskpri 5"
wait "wait "
$A0 $A020
$A0A0A0 $A0A0A020
Arthus "Arthus "
Helmar "Helmar "
Aloisius "Aloisius "
?? $20 $2020 ??
die Erzeugung des $20-Tarnnamen ist nicht gelungen, steht aber im
Virus-Prg.
- JEFF-BUTONIC V3.00/9.2.89 PrgFileVirus 2916Bytes
Name im Hauptverzeichnis: A0A0A0
1.Zeile in startup. A0A0A0209B41
DoIo, KickTag, KickCheckSum
Vermehrung: jede nicht schreibgeschuetzte DOS-Disk mit startup
Entfernung: 1.Zeile in startup loeschen
File in DfX: loeschen
Entschuesselungsroutine:
entschluesselter Text: move.w #$013a,D0
Hi. loop:
JEFF`s speaking here... move.w (A0)+,(a1)
(w) by the genious BUTONIC. eori.w #$b4ed,(A1)+
usw. insgesamt ueber $270 Bytes Text dbf D0, loop
- JITR Cool, DoIo, FastMem ja, im Speicher immer ab $7ec10
Vermehrung: ueber BB
Sonst keine Routine vorhanden !!!! VirusPrg. nur $200 Bytes lang.
Im BB lesbar:
I'm a safe virus! Don't kill me! I want to travel!
And now a joke : ATARI ST
This virus is a product of JITR
- Joshua
senkrechtstehender Text Joshua (ueber Graphikroutine)
Begin, Kickmem, KickTag, KickCheck, Vec5
- Joshua 2 Text s.o.
Cold, Begin, Vec5
hat Probleme mit einem Befehl im C-SubD. von WB1.3
Bootblock jetzt verschluesselt: loop: move.b (A0),D0
eori.b #$18,D0
das eor-Byte wechselt und steht auch move.b D0,(A0)+
an $3ff des BBs. Zu erkennen ist der cmpa.l A1,A0
Joshua 2 am Ende des BBs an der Byte- bne loop
folge, wobei sich aber das X je nach rts
eor-Byte aendert: .XX...XXX........XX.XX.XXXX...X.XX.
die Punkte koennen auch durch andere Zeichen belegt sein
- Julie anderer Name Tick
immer $7f800, cool, DoIo, BeginIo und $20
arbeitet nicht sauber mit 1MB Chip
testet einige Zeiger und drei Werte (z.B. auf $7ec00)
Vermehrung: ohne Warnung ueber (nur ausfuehrbare) BB's
- Kauki immer $7ec00, Cool, im Prg. $80, $84, $88
im Prg. auch noch DoIo, schreibt aber spaeter im Prg DoIo von
KS1.2 zurueck (nach Vermehrung)
den meisten Platz brauchen die Chopperlisten. Das ChopperIntro
laeuft auch mit KS1.3 . Kauki im BB nicht sichtbar.
- Lameralt abcd bei $3a6
schreibt Lamer in irgendeinen Block
FastMem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamerneu abcd bei $396
schreibt LAMER in irgendeinen Block
FastMem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamer1 fedc bei $342
schreibt LAMER
Begin, KickTag, KickCheckSum
- Lamer2 abcd bei $392
schreibt LAMER
FastMem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamer3 abcd bei $3f4
(orgbb in 2 u. 3)
Fastmem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamer4 abcd bei $3ae
BeginIo, KickTag, KickCheckSum und SumKickData
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt.
- Lamer5 abcd bei $3aa FastMem ja
BeginIo, KickTag, KickCheckSum und SumKickData
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt.
- Lamer6 abcd bei $396 FastMem ja
aehnlich Lamerneu Unterschied 48Bytes
BeginIo, KickTag, KickCheckSum und SumKickData
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt.
zusaetzlich im Prg. noch Remove Node, Test auf Cool u. Cold .
- Lamer7 keine signifikante Endekennung
Laenge BB $3bd,
BeginIo, KickTag, KickCheckSum
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x Lamer! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt
und !!!! mit allocabs eingetragen. (machen andere Lamer nicht)
- Lamer8 keine Endekennung
BeginIo, KickTag, KickCheckSum, SumKickData
Vermehrung: ueber BB
Schaden: Format alle LW
Ein neuer BB wird wieder verschluesselt mit eori.w . Das Ver-
schluesselungswort wird mit $dff006 festgelegt.
BB ist verschluesselt von $3e bis $3cc
- LSD! (noch ein SCA!)
- MAD II nur KS1.2, da absoluter DoIo-ROM-Einsprung
Cool, DoIo, KickTag, KickCheckSum, im Speicher immer $7FB00
im BB sichtbar: MAD II VIRUS is better usw.
Vermehrung: ueber BB
Sobald der Inhalt des Zaehlers groesser $D ist, wird in eine
DiskStepRoutine verzweigt. Da diese falsch programmiert und somit
nicht funktionsfaehig ist, wird nur der Bildschirm dunkel.
- MicroSystems FastMem ja nur KS1.2
holt selbst Namen aus ROM (z.B. dos.library)
Cool und Cold
im Prg. bei Bedarf: AddTask, RemTask und DoIo
Vermehrung: ueber BB
Textausgabe ueber Graphikroutine
unverschluesselt steht im BB:
YOUR AMIGA IS INFECTED BY
A NEW GENERATION OF VIRUS
CREATED IN SWEDEN BY
MICROSYSTEMS
- MCA siehe Claas Abraham
- MEGAMASTER
Cool, DoIo, immer $7e300
zwei codierte Bereiche im BB
1. Bereich: eori.b #-$45,(a0)+ ; testet auf andere Viren
2. Bereich: eori.b #-$11,(a0)+ ; Textausgabe ueber Graphik
schwarzer Hintergrund, rote Schrift
Surprise!!!
Your Amiga is controlled by
MEGAMASTER
Vermehrung: ueber BB
- MGM89 anderer Name: MEGAMASTER s.o.
- Micro-Master ( noch ein SCA! )
- Morbid Angel Forpib-Clone s.o.
nur sichtbarer Text und einige unwichtige Bytes wurden
geaendert.
- No head s.b. ByteBanditPlus
- No Name 1 anderer Name: Byte Bandit 2
kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5
SpeicherLage ueber structMemList, Speicherreservierung fuer
neuen BBVirus mit allocmem, Zaehlstelle: Virusstart + $1c
Vermehrung: ueber BB
Im BB lesbar: trackdisk.device (weit unten)
ein ByteBanditClone, ohne Tastaturabfrage, nur 5 Kopien und
kuerzer gesetzter Zeit
- Obelisk1 ( Deutschlandfahne + Graphiktext) Einsprung:cool
schreibt in Speicherstelle $00000060 das Wort GURU
zerstoert damit den Ausnahmevector, der ins ROM
IR-Ebene 7 zeigt !!
- Obelisk2 Begin, KickTag, KickCheckSum, Vec5
Einsprung:KickTag ,drei ZaehlZellen, Ausgabe:Graphik-
text mit FormatAndrohung, wird nur durch KopfAnschlag
vorgetaeuscht !! Nachweis mit TrackDisplay !!
Speicherstelle $60 s.o.
- OPAPA Begin, KickTag, KickCheckSum, Vec5
Zaehlzelle: ja, Vermehrung: ueber BB jedes LW
Textausgabe (ueber Graphik) OPAPA-VIRUS READY STEADY FORMAT
Kopf steppt nach Track 0 alle LW
- PARATAX SCA-Clone, Cool immer 7EC3E, nur anderer Text
- PARATAX II Disk-Dokters-Clone, nur KS1.2 da DoIo-ROMEinsprung
Cold, Cool, DoIo, im Prg. Vec5
im BB sichtbar: PARATAX II
clipboard.device durch ".dos.library" ersetzt
je nach Zaehlerstand wird eigener BB geschrieben oder
Disk ab Cylinder 40 (ROOT) formatiert
- PentagonCircle cool,kickchecksum
Fastmem ja, im Speicher immer ab $7fb00, im Prg. noch DoIo
testet auf einige Viren, Alert-Meldung
Vermehrung: ueber BB
Text im BB sichtbar: z.B.
The Pentagon Circle VirusSlayer by Mr.Moutnlake!
- PentagonVirusSlayer2: cool, KickCheckSum, immer ab $7f000
Fastmem ja, im Prg. DoIo, Programmierung voellig anders
als Pentagon, Alert-Meldung
Vermehrung: ueber BB
Text im BB sichtbar: z.B.
The Pentagon Circle VirusSlayer 2 by Mr.Mountainlake!
- PentagonVirusSlayer3: Cool, KickCheckSum, immer ab $7e000
Fastmem ja, im Prg. DoIo, FindResident
Alert-Meldung
Vermehrung: ueber BB
Text im BB sichtbar: z.B.
The Pentagon Circle VirusSlayer by Mr.Mountainlake!
- Return Of The Lamer PrgFileVirus Laenge 1848 Bytes
nur KRESET (Entschuldigung)
tarnt sich als Disk-Validator
KickTag, KickCheckSum, BeginIo und andere
zu erkennen an: hat im Gegensatz zum Org.Disk-Validator keinen
lesbaren ASCII-Text
Schaeden in Abhaengigkeit von der Zeit:
a) bestimmt eine Blocknummer ueber $DFF007 und schreibt 64 x
LAMER!!! hinein
b) Fastformatroutine fuer alle Laufwerke und ueber DisplayAlert
Textausgabe:
The Return Of The Lamer Exterminator
c) schreibt den falschen Disk-Validator auf Disk
- Revenge Bootloader! Begin, KickTag, KickCheckSum, Vec5
Fastmem: nein
Vermehrung ueber BB
- Revenge V1.2 cool,doio,vec5 , im Speicher immer $7e000
und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste)
Vermehrung: ueber BB
Schaden: nach einger Zeit neuer Mauszeiger
im BB sichtbar: Revenge V1.2GCount:
- Revenge of the Lamer PrgFileVirus Laenge 4560 Bytes
nur KRESET (Entschuldigung)
es werden mir zuviele Zeiger verbogen (10!!)
entschluesselt steht im Speicher:
dos.library.graphics.library.intuition.library.
trackdisk.device.DOS s/startup.sequence usw.
Name:$A0A0A0A0A0 steht im Hauptverzeichnis und
1.Zeile Startup
testet vor Vermehrung ob genuegend Platz auf Disk ist
nach 6 Resets (denke ich), Formatieren aller eingelegten
nicht schreibgeschuetzten Disks
3 Seiten Alert-Meldung
- Revenge of the Lamer 2
PrgFileVirus Laenge 4448 Bytes
einige Write-Test-Routinen fehlen,
sonst wie Revenge of the Lamer
W A R N U N G: es ist mir beim Testen gelungen, Revenge of the
Lamer 1 u. 2 so zu vermehren, dass SID und andere Prg.e die
5 A0 n i c h t anzeigen. Mein FileRequester auch nicht. Das
VirusPrg. wird aber a u c h bei diesen Disks aktiviert und
vermehrt sich !!! Mit einem DiskMonitor kann das Prg. ge-
funden werden. Bei meinem PrgTest erscheint dann:
Rev. Lam. unsichtbar
Dies ist kein Schwachsinn, sondern der Sachverhalt wurde von
anderen Programmierern nach meiner Entdeckung gegengeprueft !!!
- RIPPER Programcode = Northstar, nur anderer Text
cool im Prg. DoIo immer ab $7ec00
Vermehrung: BB
Text (auch im BB sichtbar):ATARI KILLS COMMODORE! RIP! RIP THE RIPPER
usw.
- SCA!
- SCARFACE BeginIo, KickTag, KickCheckSum, Vec5
FastMem nein
Vermehrung: ueber BB
ResetRoutine, die ueber Vec5 gesteuert wird (Zaehlzelle > $2710)
Im BB sichtbar: z.B. SCARFACE
- Self-Writer (Name bei ZeroVirus III, warum ????)
bei mir: Lamer 7 s.o.
- Sendarian Revenge V1.2-Clone, Cool, Doio, Vec5, im Speicher $7e000
und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste)
Vermehrung: ueber BB
Schaden: nach einiger Zeit neuer Mauszeiger
im BB sichtbar: Sendarian #1Count:
- STARFIRE/NorthStar 1 anderer Name BlackStar
Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 1
testet nicht auf SystemZ, nur auf SCA, ByteBandit = DisplayAlert
Vermehrung: ueber BB
Im BB lesbar:
Virus detected on this disk usw.
Reset,WriteProt OFF (bei NorthStar2 nicht vorhanden)
- STARFIRE/NorthStar 2 = OldNorthStar ????
Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 2
testet auf SCA, ByteBandit, SystemZ, NorthStar1, Folge=DisplayAlert
Vermehrung: ueber BB
Im BB lesbar:
VIRUS detected on this disk usw.
My AntiVirus is better! (bei NorthStar1 nicht vorhanden)
- STARFIRE/NorthStar 3 = 1 (bis auf 5 unwichtige Bytes??!!)
- Suntronic cool,doio, nur Kick1.2 da absolute ROM-Einspruenge
Vermehrung ueber BB , immer $7fa00
Suntronic-Text im BB sichtbar
- SuperBoy Cool, im Prg DoIo, im Speicher immer ab $7ec00
Vermehrung ueber BB
Alertmeldung mit .... The Famous SuperBoy
- Target cool, im Prg. DoIo
formatiert jede nicht schreibgeschuetzte Bootdisk, die in Block
880 ab $1b0/1 nicht eine bestimmte Zeichenfolge enthaelt, ab
Track 40 bis Ende (mal was Neues)
- Termigator: Kick 1.2 (da absolute ROM-Einspruenge)
immer $7f4d0, Cool und DoIo
entschluesselte Alertmeldung:
Only the TERMIGATOR'VIRUS makes it possible! Bye!...
Vermehrung: ueber BB
- Terrorists PrgFileVirus Laenge 1612 Bytes
KickMem, KickTag, KickCheckSum
Textausgabe mit GraphikRoutine
nimmt Namen des 1.Files in der Startup an
verschiebt OrgPrg ins Hauptverzeichnis (unsichtbar s.o.)
Vermehrung: jede nichtschreibgeschuetzte Disk mit Startup
im PrgFile sichtbar: TTV1
schwarzer Hintergrund, weisse Schrift, zeilenweise
THE NAMES HAVE BEEN CHANGED
TO PROTECT THE INNOCENT...
THE TERRORISTS HAVE YOU UNDER CONTROL
EVERYTHING IS DESTROYED
YOUR SYSTEM IS INFECTED
THERE IS NO HOPE FOR BETTER TIMES
THE FIRST TERRORISTS VIRUS !!!
- THE SMILY CANCER LinkVirus, verlaengert das Prg. um 3916 Bytes
Fastmem ja, im Speicher immer ab $7F000, KickTag, KickCheckSum,
SumKickData, im Prg. noch BeginIo und $6c = Vec3
PrgTeile decodiert mit ror.b #2,d1 oder codiert mit rol.b #2,d1
befaellt einmal das erste File der startup-sequence,
testet n i c h t auf Sonderzeichen im Filenamen,
d.h. jedes File wird befallen
nach 20 Vermehrungen:
Mauszeiger aendert sich in gelben Kopf (smily) mit blauem Hut
und Endlosausgabe einer roten Laufschrift:
"????????.........."
" HI THERE!!! A NEW AGE IN VIRUS MAKING HAS BEGUN!!!"
" THANX TO US... THANKX TO: --- CENTURIONS --- "
" AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME"
" OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE"
" CALLED: ` THE SMILY CANCER ` "
" HAVE FUN LOOKING FOR IT... AND STAY TUNED FOR OUR NEXT PRODUCTIONS. "
" CENTURIONS: THE FUTURE IS NEAR!"
" "
Ausserdem ist im decodierten Prg noch zu lesen:
(erscheint nicht in der Laufschrift)
HELLO HACKERS OUT THERE!! A NEW FORCE HAS BORN IN ITALY:
--- CENTURIONS ---. OUR TEAM IS COMPOSED OF 2 GUYZ:
ME & HIM.(AHAHHA!)
THE AIM OF - - CENTURIONS - - IS JUST VIRUS MAKING..
WE HAVE LOTTA FUN DOING THIS AND WE ALSO HOPE TO GIVE FUN TO THE
KILLERS MAKERS (HI STEVE TIBBETT!) HAW! HAW! HAW!
SIGNED: ME & HIM / CENTURIONS
- Tick
siehe unter Julie
- TimeBomb V0.9 Trojanisches Pferd
wird mit dem Prg. BMassacre erzeugt (da steht auch TimeBomb V0.9)
besteht aus 2 Teilen in SubDir c und Root:
in c: .info = Virus Laenge: 7840 Bytes
in Root: pic.xx = Zaehler (Startwert=6) Laenge: 1 Byte
in der 1.Zeile der startup steht: c/.info
nicht resident, keine Vermehrungsroutine in .info
Verhalten: vermindert bei jedem Neustart den Wert in pic.xx um 1 .
Sobald 0 erreicht ist, wird die Disk formatiert.
Damit der Wert in pic.xx geaendert werden kann, darf die Disk
nicht schreibgeschuetzt sein. Falls doch, erscheint:
User Request : Please remove write Protection and press
left Mouse Button to continue..
Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung
der Disk nicht moeglich.
Im Cli wird immer ausgegeben:
RAM CHECKED - NO VIRUS FOUND.
- TimeBomb V1.0 BB-Virus
( verbiegt keine "bekannten" Zeiger )
(je nach Zaehlerstand wird eigener BootBlock geschrieben,
(( Einsprung bei #$70208))
oder Track 40 (Directory) mit Speicherinhalt ab #$20000 ueberschrieben
= Disk wird unlesbar !!!)
(( Einsprung bei #$70026))
- TimeBomber Trojanisches Pferd
wird mit dem Prg. TimeBomber erzeugt
besteht aus 2 Teilen in RootDir:
virustest = Virus Laenge: 936 Bytes
virustest.data = Zaehler (Startwert=5) Laenge: 1 Byte
in der 1.Zeile der startup steht: virustest
nicht resident, keine Vermehrungsroutine in virustest
Verhalten: vermindert bei jedem Neustart den Wert in virustest.data
um 1 .Sobald 0 erreicht ist, wird die Disk formatiert.
Damit der Wert in virustest.data geaendert werden kann, darf die
Disk nicht schreibgeschuetzt sein. Falls doch, erscheint:
User Request : Please remove write Protection and press
left Mouse Button to continue..
Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung
der Disk nicht moeglich.
Im Cli wird immer ausgegeben:
RAM checked - no virus found.
- Tomates-Gentechnic-Service = TimeBomb-BB-Clone
nur der Text wurde veraendert
- Traveling Jack
LinkVirusPrg mit variabler HunkLaenge
verbiegt DosBase+$2E (= dos.library-Zeiger ins ROM), nicht resetfest
a) schreibt ein File auf Disk VIRUS.xy Laenge immer 198 Bytes
x u. y sind HexZahlen, die ueber $BFE801 bestimmt werden.
Text in VIRUS.xy:
The Traveling Jack....
I'm traveling from town to town looking for respect,
and all the girls I could lay down make me go erect.
-Jack, 21st of September 1990
b) linkt sich an andere Prg.e
Bedingungen:
DOS0-Disk, Disk validated, 12 Bloecke frei auf Disk, Filelaenge
mind. 2000 Bytes, FileName mind. 5 Zeichen, FileName enthaelt
kein Zeichen kleiner als $40,
kein Info.File
Typ A:
LinkHunkLaengenBerechnung:
$24C + Wert aus $DFF006
decodiert im Speicher $909+1 Bytes
Typ B:
LinkHunkLaengenBerechnung:
$25B + Wert aus $DFF006
decodiert im Speicher $945+1 Bytes
- Trojan anderer Name: Incognito s.o.
- TURK_V1.3 Cool, DoIo, im Speicher immer $7f000
schreibt TURK nach $60
Vermehrung: ueber BB
Textausgabe (entschluesselt mit subq #6,d0) ueber DisplayAlert:
Amiga Failure... Cause: TURK VIRUS Version 1.3!
im BB sichtbar: TURK
- UF-Virus anderer Name: UltraFox s.u.
- UltraFox Cool, DoIo, FastMem ja, nur KS1.2 da $fc06dc
Vermehrung: ueber BB
im Speicher immer ab $7eb00
Zaehlzelle groesser $f = Textausgabe, Graphikroutine
Hintergrund dunkelblau, Balken hellblau, Schrift gelb.
Greetings from ULTRAFOX of Aust.
- virustest anderer Name: TimeBomber s.o.
- VKill 1.0 anderer Name: Aids, veraendert PutMsg
mit FastMem:
(loescht j e d e n nicht schreibgeschuetzten Bootblock o h n e Warnung !!!,
auch wenn es ein Org. Bootblock ist !! )
mit nur ChipMem:
(schreibt ohne Warnung eigenen Bootblock)
EntschluesselungsLW: " KEN"
- Warhawk Cool, im Prg. DoIo, liegt immer ab $7e600
- Warshaw Avenger BeginIo, KickTag, KickChechSum, SumKickData
grosse Aehnlichkeiten mit Lamer, BB aber unverschluesselt
schreibt je nach Zaehlerstand BB oder schreibt in einen
Diskblock (Lage je nach $dff006) $55 x Warsaw und 1 x !! .
- XENO Link-Virus, verlaengert das befallene Prg. um 1124 Bytes
verbiegt DosOpen, DosLock und DosLoadSeg
erhoeht Hunk-Zahl im File-Header nicht !!!
testet vor Befall Filenamen auf 0-9, a-z und A-Z,
Folge: Programme, deren Namen SonderZeichen enthalten, werden
n i c h t befallen.
Ausserdem werden a l l e Prg., die im Unterverzeichnis
l oder devs stehen, n i c h t verseucht.
Textausgabe (Output, Write) in Abhaengigkeit von $DFF006
Text wird erst zur Ausgabe decodiert ( eori.b #-$80,(a0)+ ) :
Greetings Amiga user from the Xeno virus!
in einem verseuchten File ist in der Naehe von $460 mit einem
Monitor zu sehen:
l.devs.fastfilesystem.
- erkannte Virenfinder:
=====================
teilweise KickRomV1.2, haeufig mit Bootblock-Schreibzugriff,
veraltet, resident, werden nach Abfrage geloescht
- ASS VirusProtector V1.0 (KickV1.2, Tonfolge)
FastMem ja, KickTag, KickCheckSum, Vec5
- Blizzard Protector V1.0
testet Cool, Vec3, falls veraendert wird ohne Warnung
eigener BB geschrieben (verwendet dazu ueber den verbogenen
CoolVector das andere Prg (jsr 82(a0))
Empfehlung: loeschen
- BlizzPro V3.1 cool, Fastmem ja,
im Prg. closedevice (oh, was neues)
Vermehrung: ueber BB
erkennt einige Viren, schreibt aber KS1.2 DoIo zurueck
Meldung ueber DisplayAlert
unverschluesselter Text im BB:
BlizzPro V3.1 und Virennamen
- CLONK! DoIo, KickMem, KickTag, KickCheckSum, SumKickData
nur 512KB Chip (oder resetfestes 1MB), da zur Aktivierung
immer ein Reset ausgefuehrt wird. (7D042 nach $80, TRAP 0)
- DISKGUARD v1.0 cool, im Prg DoIo, immer $7FA00
Vermehrung: ueber BB
Meldung fremder BB.e: mit DisplayAlert
schreibt immer DoIo von KS1.2, Folge: Guru mit KS1.3
Empfehlung: loeschen
- H.C.S I veraendert cool, im Prg DoIo, loescht KickTag
im Speicher immer ab $7EC00
Vermehrung: jeder DOS-BB ohne Warnung !!!!
- H.C.S II veraendert cool
erkennt einige alte BBViren ( Alertmeldung )
beim ersten Bootblockschreiberfolg wird noch der
DoIo-Vector verbogen und bleibt verbogen
bei leerem Laufwerk blinkt PowerLed
- Sherlock AntiVirenBB , Cool, DoIo, resident im Speicher,
im Speicher immer ab 7FA00, benutzt zusaetzlich 7CA00,
Textausgabe mit DisplayAlert
schreibt bei mehr als 512KB BeginIo an falsche Stelle,
Empfehlung: loeschen
- SystemZ V3.0, 4.0, 5.0, 5.1, 5.3, 5.4, 6.1, 6.4, 6.5
KickTag, KickCheckSum, loescht Cool, im Prg. DoIo
Melodie und Farbbalken
ab 6.4 keine speicherabsolute Adresse mehr
neuer Name Virusprotector (meldet sich vor Schreibzugriff)
- Virus-Killer
KickMem, KickTag, KickCheckSum
- erkannte Nutzprogramme:
=======================
teilweise mit Kennung (N) versehen
- ACT-Killer ;BeginIo, KickTag, KickCheckSum, SumKickData
(AntiVirenProgramm)
- ALF2-HD ;KickTag, KickCheckSum, KickMem
- ATool ;fast alle Vectoren
(Utilities)
- BOIL3-HD ;KickTag, KickCheckSum, KickMem
- Berserker 5 (AntiVirenPrg.)
- FaccII ;BeginIo
(FloppySpeeder)
- Guardian V1.1/V1.2 ;KickMem, KickTag, KickCheckSum
(AntiVirenProgramm)
- MemGuard 4 (Speicherueberwachung)
- MemWatch (Speicherueberwachung)
- Pseudo-Ops ;KickMem, KickTag, KickCheckSum
(AntiVirenProgramm)
- RAD: (RAMB0) ; KickTag
- RRam Disk ;KickMem, KickTag, KickCheckSum
(Recoverable Ram Disk)
- Setpatch r V1.34 1MB RAD ; Cold
- TurboPrint II ;KickTag, KickCheckSum,
(Drucker-Utility)
- Ultrakill ;Cold, Cool
(AntiVirenProgramm)
- VD0: (ASDG-RamDisk)
- VirusControlV2.0 ;Cold, Cool, DoIo, BeginIo
(AntiVirenProgramm)
- andere Bootbloecke:
===================
- AntiRipperBoot anderer Name: The Punisher s.u.
- Fastloader by Byte Warrior
aendert nur Werte in der Portstruktur (step-Schleife und
Zeitschleife fuer Kopfberuhigung)
nicht resident, keine Vermehrung, Reset falls beim Bootvorgang
linke Maustaste gedrueckt.
Meine Meinung: Install, da neue Werte zu extrem (WriteErrors!!)
im BB sichtbar: >>Fastloader by Byte Warrior !<<
- MemoryAllocator V1.3
harmlos
- MemoryController V1.3
harmlos
- NoBoot
Cold, Cool, im Prg. DoIo usw. , keine Vermehrung
vgl. Kickstart 10.90 S87ff
- Outlaw-VirusChecker
keine Vermehrung, erkennt SCA. Schreibt aber immer KS1.2 Werte
(z.B. Vec5 $fc12fc) zurueck. Folge: GURU mit KS1.3
nicht resident
- Random Access CopperIntro
schreibt GURU nach $60, nicht resident, keine Vermehrung
Empfehlung: loeschen
- Scoopex utility V1.0
harmloser, nuetzlicher Bootblock,
- Sinister Syndicate , nicht resident
wird von ZeroVirus 3 als Virus erkannt
ich halte das fuer ein CopperIntro, ohne eor- oder Vermehrungs-
routine, GURU wird in $60 geschrieben, kann im Arbeitsmenue
zurueckgesetzt werden (vgl. Obelisk)
- Telstar cold, cool, Zaehlzelle $c0
ganz gemein, taeuscht durch Text Virusprotector 6.0 vor, entschluesselt
(neg.b) BBteile nach $7fc00, jeder 4/2.Reset Graphikausgabe (holl.
Flagge und Text u.a. Telstar), keine Vermehrungsroutine gefunden.
- The IRQ Protector
keine Vermehrung
verbiegt OpenLibVector nach $120, prueft aber vorher nicht, ob
dieser Vector vielleicht schon falsch ist.
Empfehlung: loeschen
- The Punisher anderer Name: AntiRipperBoot, Cold
verbiegt Cold und schreibt einen Wert kleiner $FF in diese Zelle.
Folge: wird von einer anderen Disk, die diesen BB nicht ent-
haelt gebootet, so erfolgt ein Reset.
Empfehlung: loeschen
- The Supply Team
nicht resident, keine Vermehrung, aber schreibt nur KS1.2-Vectoren
Empfehlung deshalb: Install
loescht Cool, KickMem, KickTag, KickCheckSum. Aber schreibt immer
nur absolute KS1.2-Vectoren: DoIo, BeginIo, Vec5
Anschließend: Textausgabe ueber GraphikRoutine, dunkler Hinter-
grund, hellbrauner Balken, dunkelbraune Schrift
Text auch im BB sichtbar: The Supply Team
- Viruscope V1.0 BB
harmlos
- VirusTerminator 1.0 = A.C.I.D
keine Vermehrung, erkennt SCA, Byte und DASA. Schreibt aber immer
KS1.2 Werte (z.B. DoIo $fc06dc) zurueck. Folge: GURU mit KS1.3
nicht resident
- VirusTerminator 3.0 = A.C.I.D
keine Vermehrung, erkennt einige Viren, DisplayAlert, loescht
dann Cool und fuehrt einen Reset mit ROM-Einsprung aus.
nicht resident, harmlos, da keine falschen Zeiger gesetzt werden.
Es werden nur Viren ohne KReset geloescht, die ich selbst reassembliert habe.
Leider werden die Virenroutinen immer besser (immer mehr Listen und Zeiger
veraendert), sodass mit vernuenftigen Aufwand der Org.Zustand nicht mehr
hergestellt werden kann. Deshalb inzwischen auch bei einigen Viren, die
ich reassembliert habe, nur noch KRESET !!
Alles andere ist mir zu gefaehrlich !! (Zeiger vergessen, Task nicht erkannt
usw.)
BEKANNTE PROBLEME:
==================
- Probleme mit Mach2.4, dann nehmen Sie bitte MachII V2.6 (z.B.Fish254)
und lesen Sie bitte Mach2.6Doc !!
Tip von J.K. fuer Mach2.4 :
waehrend des Aufbaus meines Prg.s Mauszeiger bewegen
- oder MachIII (z.B.Fish378)
- weitere Probleme bitte melden
- Fuer Aenderungswuensche bin ich dankbar !!
(Texte bitte auf Disk und kennzeichnen mit "an Heiner")
(aber bitte nicht gecruncht, sondern als ASCII, Ihr
Text- oder CrunchPrg besitze ich nach Murphy bestimmt nicht)
D A N K E !! D A N K E !!
Bitte Disk mit "Viren" kennzeichnen !!!
Adresse und Tel. nicht vergessen, kleiner Text waere nicht schlecht
(Beides aber nicht unbedingt notwendig, nur das VIRUS-Prg. zaehlt)
Hinweis: Ich suche n u r Viren !! , Disk wird nach Kopieren des
VirusBBs oder des VirusPrgs formatiert.
Adresse und Tel. wandert nach Virusanalyse in Papierkorb !!
(da keine Rueckfrage mehr notwendig)
Ich pflege meine Zusagen auch einzuhalten !!
Heiner Schneegold
Am Steinert 8
8701 Eibelstadt
(W-Deutschland)
Tel: 09303/8369
(19.00 - 20.00 Uhr)
bis bald !!
Heiner
Bei Zusendung von einem der gesuchten Viren übersenden wir Ihnen eine
neue AntiVirusDisk mit neuestem VT-Programm, welches diesen Virus dann
auch erkennt!
A.P.S. -electronic- Sonnenborstel 31 3071 Steimbke Tel. 05026/1700
