home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Amiga Collections: Taifun
/
Taifun 192 (1992-03-10)(Manewaldt, A.)(DE)(PD).zip
/
Taifun 192 (1992-03-10)(Manewaldt, A.)(DE)(PD).adf
/
Schutz
/
VT-kennt
< prev
next >
Wrap
Text File
|
1992-02-29
|
105KB
|
2,579 lines
VT2.37 kennt:
==============
(oder sollte erkennen)
Stand: 28.01.92
- bitte lesen Sie zuerst VT.LiesMich. Danke !
- Serienersteller sollten vorher Kontakt mit mir aufnehmen !!!
Heiner Schneegold
Am Steinert 8
8701 Eibelstadt
W-Deutschland
Tel. 09303/8369
nicht sicher erkannte Viren: (die ich nicht habe, alte Viren nur 2)
- Requester enthält vier umgedrehte Fragezeigen
- das jeweils eine Testlangwort, wurde teilweise aus dem
SourceCode mehrerer bekannten VirenschutzProgramme (PD) ent-
nommen.
- deshalb bei Anzeige nur Kreset oder weiter
- bekannte Viren (die ich habe):
==============================
(werden vom Prg. erkannt und ohne RESET (nein, drei Virus-Prg.e
nicht mehr s.u.) im Speicher geloescht)
Test auf drei Langworte im Speicher !!!
Kein FastMem heisst, dass das VirusPrg mit FastmemKarte bei
mir abstuerzt, koennte aber mit $C00000 oder einer anderen
FastMemKarte laufen ????
- .info anderer Name: TimeBomb V0.9 s.u.
- 16 Bit Crew Cool, im Prg. noch DoIo, FastMem ja, im Speicher
immer ab $7ec00
Vermehrung: ueber BB
im BB steht unverschluesselt:
The 16 Bit Crew 1988
- 2001 SCA-Clone, Cool immer 7EC3E, nur anderer Text
- Abraham siehe Claas Abraham
- Aids Vkill-Clone siehe dort
Unterschied: 3 Bytes
1.Byte: in der Pruefsumme
2.Byte: Vermehrungszaehler
3.Byte: Einsprung in entschluesselten Text
(ein Prg. springt z.B. nach $7ebc3, das 2. Prg. nach $7eba9)
- AIDS-HIV SCA-Clone, Cool immer 7EC3E, nur anderer Text
- AlienNewBeat Cold, Cool, DoIo, nur KS1.2, Fastmem ja
im Speicher immer ab $20000
Vermehrung: ueber BB Vermehrungszaehler: $2037e
Text im BB sichtbar: z.B.
THIS IS THE ALIEN NEW BEAT BOOT!
- Amiga Freak Forpib-Clone s.u.
nur Name im BB geaendert
- AMIGAKNIGHTVIRUS Filevirus Laenge: 6048 (ungepackt)
DoIo, KickTag, KickCheckSum
Schreibt in Root das File init_cli und auch in startup-sequence
Sonst keine Schaeden festgestellt.
Nach 5 Resets wird der Bildschirm schwarz und rosa Schrift fuer
Text. Der Text ist bis dahin codiert.
oberer Bildschirmbereich:
YEAH, THE INVASION HAS STARTED! YOUR
TIME HAS RUN OUT, AND SOON WE WILL BE
EVERYWHERE!
Bildschirmmitte: Vektordemo
unterer Bildschirmbereich:
THIS IS GENERATION 0039 OF THE EVIL
AMIGAKNIGHTSVIRUS
GREETINGS TO DUFTY, DWARF, ASID CUCUMBER
ASTERIX, ANDY, AND ALL AMIGIANS I KNOW
Vectordemo: 3 TextTeile erscheinen mit Zoomeffekt nacheinander
a) Toco of
b) THE
c) AMIGAKNIGHTS
- Art Byte Bandit anderer Name: ByteBanditPlus s.u.
- ASV-Virus immer $7DC00, Cool, im Prg Forbid, loescht KickTag usw.
keine Vermehrungsroutine
Schaden: verbiegt mit setfunction Forbid auf ChipAllocMem-Routine
d.h. bei jedem Forbid-Aufruf geht ChipMem verloren.
- Australian Parasite Fastmem ja, Cool, DoIo, im Prg. BeginIo
Vermehrung: ueber BB
ueber GraphikRoutine wird BildschirmInhalt gedreht
im BB sichtbar:
The Australien Parasite!
By Gremlin 18/5/88!
Will NOT destroy game bootsectors or corrupt disks,
and kill other viruses!
HINWEIS: manchmal gibt VirusX Australian Parasite aus, obwohl
es sich um den SADDAM Disk-Validator handelt !!!!
- BAHAN anderer Name BUTONIC_1.1 siehe dort
- BGS9 I (schiebt Org.Prg. in devs) Bytes 2608
laueft mit KS2.04 !!!!!
Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt
der BGS9 I bei fehlendem devs-Verz. das OrgPrg unsichtbar
in das Hauptverzeichnis.
KickMem, KickTag, KickCheckSum, OpenWindow
PrgTeile verschluesselt mit eori.l #$1AF45869,(a0)+
unsichtbares File in devs: A0A0A0202020A0202020A0
am Ende des Prg.Files ist mit einem Monitor zu sehen: TTV1
beim 4.Reset Textausgabe ueber GraphikRoutine:
schwarzer Hintergrund, weisse Schrift
A COMPUTER VIRUS IS A DISEASE
TERRORISM IS A TRANSGRESSION
SOFTWARE PIRACY IS A CRIME
THIS IS THE CURE
BGS9 BUNDESGRENZSCHUTZ SEKTION 9
SONDERKOMMANDO "EDV"
Entfernung: File in devs in OrginalPrg. umbenennen
BGSVirusFile loeschen
OrgPrg aus devs in entsprechendes Verzeichnis
kopieren
- BGS9 II aehnlich BGS9 I
aber File in devs jetzt:
A0E0A0202020A0202020A0
Hinweis: $E0 ist ein a mit Akzent
Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt
der BGS9 II bei fehlendem devs-Verz. das OrgPrg in das
Hauptverzeichnis.
Aenderung im Text: :SOFTWARE'
Die Veraenderungen liegen im codierten PrgBereich
Im PrgFile TTV1 sichtbar
- BIG BOSS SCA-Clone nur Text geaendert s.u.
- BLACKFLASH V2.0 Cool, DoIo, FastMem ja
im Speicher immer ab $7F000
Zaehlzelle = $13 Textausgabe mit Graphikroutine (s.u.)
Schrift rot, Hintergrund schwarz
Vermehrung: ueber BB
Text steht unverschluesselt im BB:
HELLO, I AM AMIGA !
PLEASE HELP ME !
I FEEL STICK !
I HAVE A VIRUS !
! BY BLACKFLASH !
- BlackStar anderer Name: Starfire1/NorthStar1 siehe dort
- Blade Runners SCA-Clone, immer ab 7EC00, Cool, im Prg. DoIo
Text: Hello! We are the Blade Runners! u.s.w.
- BLF-Virus immer ab $7F000, Cool, DoIo, BeginIo
loescht KickTag usw.
Virusprogramm meldet sich NICHT.
Programmteil decodiert mit eori.b #$28,(a1)+
u.a. zu lesen: This is the new virus by BLF
Schaden und Vermehrung: BB
- BlowJob KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000
Taeuscht durch Text Memory Allocator 3.01 vor
Vermehrung und Schaden: Bootblock
Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein
Programmteil mit subi.b #$71,D0 entschluesselt und mit display-
Alert der Text ausgegeben:
ONCE AGAIN SOMETHING WONDERFULL HAPPENED (HE HE HE)
PLEASE POWER OFF - PLEASE POWER OFF - PLEASE POWER OFF
- BlueBox Filevirus, keine bekannten Vectoren werden verbogen
Laenge (gecrunched) 5608, nur Kreset (tut mit leid)
gedacht fuer Modembesitzer und Mailboxbetreiber, aber KEINE
Voraussetzung fuer Vermehrung (enthaelt Source fuer seriellen
Port $DFF030, $DFF018 ???!!!??? behindert Verbindung?!?!)
Das gecrunchte Prg. (Bluebox) besteht aus 3 Teilen:
- ein Taeuschprogramm: ermoeglicht Tonfolge mit Zehnertastatur
- eine komplette icon.library
- Laenge:6680
- zusaetzlicher Text: input.device , RAM:
- andere Jahreszahl
- ein Kopierteil fuer falsche icon.library
- testet ob icon.library schon existiert, falls nein
KEINE Aenderung
- testet ob Disk validated
- setzt Protection-Bits zurueck
- kopiert falsche icon.library
- arbeitet auch mit HD !!!!!!
Nach einem Reset wird ueber icon.library ein Process
'input.device ' (mit Leerzeichen) gestartet. VT findet
diesen Process, kann ihn aber nicht beenden (KReset).
Erstellt auf RAM: ein unsichtbares ($A0) File (nicht immer).
Ausbauhinweise:
VT erkennt den VirusTraeger Bluebox nur als crunched !!
Ignorieren Sie das Kreset-Angebot und loeschen Sie zuerst
die falsche icon.library. Kopieren Sie dann die Orginal-
icon.library auf die Disk oder HD (sonst nach Reset keine
WB!!!). Zum Schluss starten Sie bitte das Kreset-Prg.
Meine Maschine verhielt sich danach wieder normal. Dies
kann bei Modemprg. oder MailboxPrg. anders sein ??? Probleme
bitte melden. Danke
Herkunft: Bluebox.lzh 23033 Bytes
-Bluebox 5608 (noch einmal gecrunched)
-Bluebox.info 325
-Bluebox.DOC 37271
-Bluebox.DOC.info 354
- BOMB-Bootblock es wird dieser Bootblock als Virus weiterge-
geben. Die Pruefsumme ist als BOMB lesbar. VT erkennt diesen
Bootblock NICHT !!! Begruendung:
- die Pruefsumme meines Exemplars stimmt nicht
- ich habe keinen ausfuehrbaren PrgCode gefunden
also ein normaler notinstalled Bootblock
- BRET HAWNES Filevirus Laenge: 2608 , immer ab $7F000
Kicktag, SumKickData, KickCheckSum, OpenNewLib, $6c
Vermehrung und Schaden:
schreibt in Root und in 1.Zeile startup: C0A0E0A0C0
nach 20 Minuten blauer Graphikbildschirm und weisse Schrift:
GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN
I`VE TAKEN THE CONTROLL OVER YOUR AMIGA!!!
THERE`S ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! ! !
Statt der 10. Vermehrung werden Tracks zerstoert.
- BS1! (noch ein SCA )
- BUTONIC 1.1 anderer Name BAHAN (im BB immer lesbar)
Cool, im Prg. DoIo, immer ab $7ec00, FastMem ja
Vermehrung: ueber BB wenn DOS0 gefunden
Textausgabe mit PrintIText (entschluesselt mit eori.b #-1,d1
nach $7eb0c)
im Speicher dann sichtbar:
BUTONIC'S VIRUS 1.1 GREETINGS TO HACKMACK ... <GENERATION NR. #####>
- Byte Bandit ohne FastMem
Begin, KickTag, KickCheckSum, Vec5
- Byte Bandit 2 anderer Name: No Name 1 s.u.
- Byte Bandit Clone ohne Fastmem
Diff zu OrgByteBandit: 180 Bytes
( Byte B.. Text wurde aus BB entfernt !!)
- ByteBanditError
das OrginalByteBanditVirusPrg. beginnt im BB bei $0C, hier bei $32
Da die alte BB-Copy Routine verwendet wird, ist das 1.LW im neuen
Copy-BB nicht DOS0, d.h. die neu verseuchte Disk ist "Not a DOS-Disk"
also weder boot- noch vermehrungsfaehig
- ByteBanditPlus Kick1.2 ohne FastMem
Begin, KickTag, KickCheckSum, Vec5
Diff zu OBB: 92 Bytes
(zusaetzlich trackdisk.... entfernt)
- ByteParasite reines Zerstoerungsprogramm Laenge: 2108
soll auch $6c verbiegen, aber vorher GURU
Schaeden:
soll zwischen cd, dir und startup-sequence je 1 Byte austauschen, aber
sehr sehr schlecht programmiert (Anfaenger spielt besser mit dem
Joystick). Deshalb meist GURU.
Keine Vermehrung, keine Textausgabe
- BYTEPARASITE II File, Laenge ungepackt: 908 Bytes
Auch mit KS2.04, keine Vektoren verbogen
Taeuscht durch das Zeigen einer Fensterleiste:
VirusX: Checking Device Df0:
Versucht dann von df0:c VirusX nach df1:c zu kopieren und
verraet sich so wenn in df1: keine Disk liegt durch einen
Requester.
Gefahr der Vermehrung besteht nur wenn BYTEPARASITE II als
VirusX getarnt in df0:c vorhanden ist.
Aus dem Text im File kann geschlossen werden, dass damit
ein Antivirusprogrammierer geaergert werden soll:
But now send me to : (Adresse)
- BYTEPARASITE III File, Laenge ungepackt: 2160 Bytes
Cool, KickMem, KickCheckSum (teilweise sinnlose Werte ausser-
halb des vorhandenen Speichers)
$6c (sinnvoller Wert)
Das Programm MUSS !!!! im Speicher geloescht werden, sonst
erscheint nach einigen Arbeiten mit dem Computer sicher
Task held usw. . Dies ist nicht Absicht, sondern die
sinnlosen Werte sind verantwortlich.
Entschuldigung: ErkennungsRoutine geaendert, weil zwei Programme
als BP3 erkannt wurden. Beide Programme enthalten an gleicher
Stelle wie BP3 einen PrgTeil, der aufs Byte mit BP3 ueberein-
stimmt (VT testet 3LW !!).
Taeuscht durch das Zeigen einer Fensterleiste:
Virus-Checker V3.0 by usw
Sucht c/Virus-Checker und schreibt Prg-Teile (falls gefunden)
absolut nach $7C000. Versucht in einem anderen LW mit SubDir c
Virus-Checker anzulegen (bei mir IMMER dann Filelaenge 0).
Verraet sich durch DOS-Requester.
Hinweis: Hallo Enforcer-Freunde. VT erzeugt hier beim Test
einen weiteren Enforcer-Hit. ($6c=ZeroPage)
- BYTE VOYAGER I Kicktag, KickCheckSum, im Prg. DoIo und $6c
immer ab $7F000, verschluesselt mit $DFF006
Vermehrung und Schäden (auch HD !!):
Bootblock und schreibt in Block 880 "Infected by BYTE VOYAGER !!!!!"
Der Text ist bei Disks der neue Diskname.
- Byte Voyager II Kicktag, KickCheckSum, im Prg. DoIo und $6c
immer ab $7F000, verschluesselt mit $DFF006
Vermehrung und Schäden (auch HD !!):
Bootblock und schreibt in Block 880 "Another Virus by Byte Voyager"
Der Text ist bei Disks der neue Diskname.
- Byte Warrior (DASA) (KickV1.2)
DoIo, KickTag, KickCheckSum
erster BB-Virus, der verschluesselt wurde
moegliches Ursprungsprogramm: ByteWarriorCreater
gepackt: 6012 Bytes (TNM)
ungepackt: 7360 Bytes
Erzeugt mit FastMem NDOS-Disk
Schreibt ohne FastMem ByteWarrior in Bootblock von DF1:
- CCCP-Virus Cool, im Prg. Vec3, DoIo, Openwindow, NewOpenLib !!!!
erstes VirusPrg. das sich als BB und als Link vermehren kann !!
im BB sichtbar: CCCP VIRUS
Link: verlaengert ein File um 1044 Bytes
befaellt keine Prg.e in l (z.B.libs), d (z.B.devs), f (z.B.fonts)
- CENTURIONS anderer Name: THE SMILY CANCER siehe dort
- Chaos anderer Name: Taipan-Chaos
Cool, DoIo
BB codiert mit Wert aus $DFF006
Schaeden:
Vermehrung mit BB
sobald Zaehlzelle 8 erreicht hat:
alle Blocks einer Disk werden mit unsinnigen Werten gefuellt,
DisplayAlert: Chaos! by Tai-Pan usw.
dann reset
Herkunft: Virusinstall V2.0
- CHAOS-MASTER V0.5 File PP-Laenge: 12972, ungepackt:16676
CHAOS-MASTER V0.5 im ungepackten File lesbar
Filename wahrscheinlich: dir
KEINE bekannten Vektoren verbogen, nicht resetfest
Schaeden und Vermehrung:
- dir-Befehl wird manchmal nicht ausgefuehrt. Ein kleines
Fenster erscheint: Error xyz, Return-Gadget
die Zahl xyz kann auch negativ sein und entspricht NICHT
dem DOS-Error-Code.
- Sie geben ein: dir df3:
Das Inhaltsverzeichnis von df3 wird ausgegeben und das
Virus-File nach df3:c/dir kopiert. Ein bereits vorhandener
Dir-Befehl wird ueberschrieben.
- Sie geben ein: dir prefs
Das Inhaltsverzeichnis von prefs wird ausgegeben und ein File
disk.info (Laenge:370 Bytes) nach prefs kopiert. Dieses File
enthaelt am Anfang die Icon-Struktur. Der groessere Teil der
Struktur ist durch Text ueberschrieben. Folge: Sie klicken
die Prefs-Schublade an, disk.info muesste als Icon darge-
stellt werden, geht aber nicht, da Struktur nicht in Ordnung.
Also stellt der Computer die Arbeit ein. Reset wird notwendig.
Text in disk.info: Sorry an alle User usw.
- Sie geben ein: c/dir df3:
Inhaltsverzeichnis wird ausgegeben und das Virus-File nach
df3:c/r (!!!! Programmierfehler) geschrieben.
Empfehlung: dir-Befehl loeschen (VT) und von OrgWB neu kopieren.
- Charlie Braun anderer Name: Hireling Protector V1.0
ForpibClone s.u. nur Text geaendert
- Check Filevirus PP-crunched Laenge:18644
Process: HardDisk.device
in C-Aztek
Schaeden: alle 5 Min (delay $3a98) Bild (Totenkopf) und Sound
fuer kurze Zeit
KEINE Vermehrungsroutine gefunden
- Claas Abraham andere Namen: Abraham, MCA
Cold, Cool, KickTag, KickCheckSum, $68
braucht FastRam !!!!! Angefordert mit #$4,d1 und AllocMem
(Programmierfehler ????)
im Prg.Ablauf erst BeginIo
Vermehrung: ueber BB
Schaden: nach $F-Resets Formatierung
Eor-Byte wird fuer neuen BB aus $DFF006 erzeugt
entschluesselt steht im Speicher:
>>> Claas Abraham Virus !!! <<<
- Clist-Virus anderer Name: U.K.LamerStyle
Begin, Kicktag, KickCheckSum
entschluesselt steht im Speicher:
expansion ram.trackdisk.device..clist.library.clist 33.80 (8 Oct 1986).
Vermehrung: ueber BB
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF006 festgelegt.
Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt
und !!!! mit allocabs eingetragen.
- CODER anderer Name: Coders Nightmare
immer $7f600, DoIo, KickTag, KickCheckSum, $68
im BB steht unverschluesselt:
Bootblock installed with 'CODER' - The Ultimate Viruskiller!!
Vermehrung: ueber BB
im Speicher steht (entschluesselt mit ror.b #2,d1):
Something WONDERFUL has happened!!
Your Amiga is alive, and it is infected with the
'Coders Nightmare Virus'. - The ultimate key-killer,
masterminded by the megamighty Mr. N of
The Power Bomb Systems!!
- Coders Nightmare anderer Name: CODER s.o.
- Color Filevirus Laenge: 2196Bytes
DoIo immer $70000, Cool
belegt sinnlos 102400 Bytes ChipMem,
taeuscht durch ein Graphik-Demo, schwarzer Hintergrund und
drei Balken (rot, gruen, blau) und installiert gleichzeitig
ab 70000 das Virusprogramm und ab 7F000 den Virus-BB (TURK).
Veraendert die startup-s. NICHT.
Schaeden:
Bei DoIo-Einsprung wird der Virus-BB geschrieben.
Bei Cool-Einsprung wird $5000 x TURK in den Speicher geschrieben.
- Crackright anderer Name: Disk-Doktors s.u.
- DAG Cool, im Prg DoIo und zurueck, Fastmem ja, immer ab $7ec00
eine Meisterleistung: in den SCA-Text wurde eingebaut:
Try ANTIVIRUS from DAG
Erzeuger: DAG_Creator ungepackt:7000 Bytes
schreibt Dag in BB von df1:
- DASA anderer Name: ByteWarrior s.o.
- DAT '89 nur KS1.2 da DoIoRomEinsprung, KickTag, KickCheckSum
immer 7F800, versucht durch Text im BB zu taeuschen:
THIS BOOT RESETS ALL VECTORS usw.
Sobald die Zaehlzelle $F erreicht, DisplayAlert:
DAT '89!!!
Fordert NICHT trackdisk.device !!!!
Schaeden:
schreibt sich in BB
zerstoert Block 880 und 881 (bei Disk Root)
- DATA CRIME CCCP-Clone s.o.
BB Vermehrung auch mit ROM KS2.04
CCCP-VIRUS in DATA CRIME geaendert (irre Leistung)
hat aber bei VT NICHTS genuetzt !!!, also lasst das
- DATACRIME-killer BB s.o. ASV-BB
Endlich hat es wieder jemand geschafft den ASCII-Text zu aendern ..
THIS BOOTBLOCK KNOWS SOME OLD AND NEW VIRUSES usw.
Wird von VT weiterhin als ASV erkannt. Pech gehabt !!
- Deniz Cool SCA-Clone
Vermehrung auch mit KS2.04
nur Text geaendert
- Destructor Cold
im BB sichtbar:
Destructor_Virus v1.2 Written by Aldo Reset.
(c) M.C.T. Ltd 1990- Everything is under control !
(eh!eh!)
keine Vermehrungsroutine gefunden
zerstoert beim naechsten Reset ueber Cold eine nicht
schreibgeschuetzte Disk indem jeder 4. Track ueberschrieben
wird.
- DIGITAL AGE = Rude Xerox = Forpib-Clone
nur Text geaendert
- DIGITAL EMOTIONS Cool, im Prg. DoIo und zurueck, immer $7ec00
im BB immer sichtbar: *** DIGITAL EMOTIONS ***
je nach Zaehlerstand
- wird eigener BB geschrieben oder
- Track 0 mit 'VIRUS ' beschrieben. Folge: keine Dos-Disk
Textausgabe (decodiert mit -1) ueber DisplayAlert:
KickStart ROM Corrupted at $c00276
- DirtyTricks richtiger Name Incognito
(das VirusPrg speichert am Ende des BB`s Tabellen mit ab, die
sich nach Speicherlage und Konfiguration des Amiga aendern.
Beim Booten des Viruses werden die Tabellen neu angelegt !!!)
- DISASTER MASTER V2 ( cls * ) 1740 Bytes
eigenstaendiges Prg. fuer startup-sequence
kicktag, kickcheck
im Prg. DoIo und wieder zurueck
cool und cold werden geloescht
Entfernung: 1.Zeile in startup. loeschen
cls in DfX:c loeschen
Erstellungsprogramm:
Intro-Maker von T.C.R.
- Disk-Doktors (KickV1.2)
die angeblichen Mutanten unterscheiden sich in $4 (Pruefsumme)
und von $390-$3A8 (Variablenablage = bei jedem Reset anders)
- Disk-Herpes Cool, im Prg. DoIo, im Speicher immer ab $7ec00
wird haeufig mit Phantasmumble verwechselt, Fastmem ja
Vermehrung: ueber BB
Schaden: schreibt auf Track 80 (Root) Speicherinhalt ab
$60000. Folge: Disk BAD
Graphikroutine: Deutschlandfahne + Text (auch im BB sichtbar)
--- Hello Computerfreak ---
You've got now your first VIRUS
** D i s k - H e r p e s **
Many Disks are infected !!
Written by >tshteopghraanptha<
c 27.07.1987 in Berlin
- Disk.info Laenge: 370 Bytes KEINE Vermehrung
Ein OrginalWB1.3-Icon wurde in der Struktur geaendert. (Text
eingebaut z.B. This is a little present for all Lamers
abroad ). Sobald Sie diese Disk einlegen und es muesste das
Disk-Icon auf der WB angezeigt werden, stuerzt der Rechner
ab. Haben Sie die Startup-Sequence im Cli abgebrochen, so
muss kein Icon dargestellt werden und deshalb koennen Sie
mit dieser Disk ohne Probleme arbeiten. AbHilfe: Ersetzen
Sie Disk.info . Herkunft: unbekannt (Disk-Packer ???)
- Disktroyer V1.0 File Laenge ungepackt: 804 Bytes
AllocMem
auch mit KS2.04
Versucht durch Loeschen des Cli-Fensters zu taeuschen.
Ich vermute deshalb, dass das File als Cls-Befehl getarnt
wird.
Im File zu lesen: Disktroyer V1.0 usw.
Keine Vermehrungsroutine
Schaeden, wenn:
- allocmem angesprungen wird und
- in der Zaehlzelle der Wert $96 steht
- Disk im Laufwerk liegt
- Disk nicht schreibgeschuetzt ist dann:
- Kopfstep (Zerstoerung der Disk(s)) alle Laufwerke
(Routinen stehen nach meiner Meinung genau so in einem
bekannten Buch !!!!!)
- DisplayAlert: Disktroyer V1.0 usw.
Empfehlung: File loeschen (VT) und startup-sequence ueber-
pruefen
- DIVINA EXTERMINATOR I Cool, DoIo, Inter.5 und $64. Im Prg dann
noch $68 und $6c. Ueberschreibt SetPatchListe ab $C0.
Codiert BB neu mit Wert aus $DFF006 (steht dann im BB $3F6)
nach eor.w d0,d1 ist im Speicher zu lesen:
VIRGO PRESENTS DIVINA EXTERMINATOR I
Versucht einen sauberen OrgBB vorzutaeuschen.
Schaeden und Vermehrung: BB
nach 3 Vermehrungen: beginnt die K-Taste abzufragen und bis
10 in einer Zaehlzelle abzulegen. Dann wird nach $4 (ExecBase-
Zeiger) der Wert 0 geschrieben = Absturz
Ursprung: -p-turbo.dms
- DIVINA II s.o. DIVINA EXTERMINATOR I
Das Decodierwort in $3F6 ist anders. Grund s.o.
(schafft endlich die Brainfiles ab !!! und disassembliert
den VirenCode sauber und vollstaendig)
- DOSSPEED (Neuseeland) richtiger Name: Revenge of the Lamer
- Dotty-Virus immer $7F000 KickTag, KickCheckSum
im Programm: DoIo, Vec5
Fordert trackdisk.device NICHT
Vermehrung: BB
weitere Schaeden:
modifiziert PRIVAT-intuition-struktur
- DUMDUM BB auch mit KS2.04 immer ab $7FA00
Cool, im Prg DoIo, $64, $80 (Hallo Enforcer-Freunde)
Text im BB lesbar:
You are the owner of a DUMDUM virus please unprotect
disk disk to kill!
(machen Sie das BITTE NICHT)
Textausgabe mit DisplayAlert
Schaeden und Vermehrung:
- Vermehrung ueber BB
oder:
- Format Disk
- EM-Wurm (zielgerichtet gegen EUROMAIL)
nicht resetfest
immer:
schreibt in startup-sequence $A0,$0A (1.Zeile)
eigener Process: clipboard.device
schreibt in c: $A0, Laenge: 3888 Bytes (ASCII-Text vorhanden)
schreibt in 5.Byte von c:protect (falls vorhanden) $01
Folge: protect wird unbrauchbar
Zerstoerungsroutine:
Wird nur ausgefuehrt wenn Verzeichnis EM, EUROMAIL oder
EUROSYS vorhanden ist.
Ueberschreibt alle Files in obengenannten Schubladen mit
Speicherinhalt ab MsgPort. In zerstoerten Files ist ab $BC
clipboard.device zu lesen.
Dann wird mit dosdelay $259A eine 3 Minuten Pause eingelegt.
Nach dieser Pause wird die Zerstoerungsroutine wieder in der
Schleife aufgerufen.
Ursprungsprogramm:
QuickInt PP-crunched Laenge: 3196 Bytes
Mein VT loescht den Process n i c h t, sondern fuellt ihn
mit NOP's.
Einige Programmteile, z.B. Autorequester, con usw. konnten
nicht getestet werden, weil ich EUROMAIL nicht besitze. Diese
Teile werden ebenfalls mit NOP's ueberschrieben. Falls des-
halb bei aktivem EUROMAIL-Programm ein GURU erscheint, bitte
ich um Hilfestellung. Danke !!
- Ethik-Virus siehe bei SHIT
- EXTREME
DoIo, KickTag, KickCheckSum, Rasterstrahl
entweder 7f800 oder ff800, da Berechnung ueber SysStkLower+$1000
lesbarer Text im BB: THE EXTREME ANTIVIRUS usw.
sobald Zaehlzelle Null :
Zerstoeren (Disk BAD) aller nicht schreibgeschuetzten Disks
in allen LW und Alertmeldung
Vermehrung: ueber BB
- F.A.S.T.
Cool, DoIo , FreeMem, immer ab $7F000
Alertmeldung (verschluesselt mit eori-Byte in Abhaengigkeit
von $DFF006) und loeschen
veraendert auch $C0-$E0 (SetPatchListe!)
Vermehrung: BB
- F.A.S.T. 1 FAST-Clone
im BB wurde der codierte Prg.Teil um einige Bytes verschoben,
um im BB-Kopf dos.library einbauen zu koennen. Die Speicher-
lage wurde nicht veraendert.
- F.I.C.A
Beginio, KickTag, KickCheckSum, SumKickData
Vermehrung: BB
Besonderheit: spielt sauberen BB vor
sichtbarer Text im BB ab $288
z.B. F.I.C.A RULES!
- Fast Eddie starke Aehnlichkeit mit Glasnost Block 2 u 3
KickTag, KickCheckSum
im Prg noch DoIo, $6c, im Speicher immer $7F000
fordert trackdisk.device NICHT.
Wird aktiv wenn Block 880 gelesen wird
Schaeden:
blockiert nach 15 oder 20 Min. Rechner
schreibt eigenen BB
bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt
in diesen Block ab $100 Fast Eddie .
Dieser Block kann NICHT gerettet werden.
Benennt Disknamen um ( This disk is infected (HE-HE) ) .
Codiert jeden BB neu mit ByteWert von $DFF006 eor.b d1,(a0)+ .
Decodiert eigenen BB mit eor.b d6,(a0)+ .
Decodiert im Speicher :
Call 43-444304 and ask for HENRIK HANSEN (FAST EDDIE)
- FORPIB kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5
Vermehrung: ueber BB
besorgt sich Speicher ueber MemList, Speicher fuer neuen
VirusBB mit AllocMem
Im BB sichtbar: - FORPIB - 09.88 - N° 197102 - usw.
- Freedom reines Zerstoerungsprogramm Laenge: 10876Bytes
Herkunft: Freedom!.LZH 8153 Bytes
Fordert trackdisk.device; keine verbogenen Vektoren
versucht durch Text zu taeuschen:
Freedom ! by Steve Tibbett
Checking df0: for 126 viruses
nach kurzer Zeit wird abwechselnd ausgegeben:
SADDAM-Virus removed !
oder
SMILY CANCER-Virus removed !
Schaden: schreibt in jeden 5.Block (also auch Root=880)
Datenmuell, der nach einigen Tracks sogar den Inhalt
wechselt (vermutlich soll Blockerkennung verhindert
werden). Durch die vielen zerstoerten Bloecke ist eine
Rettung mit DiskSalv unwahrscheinlich. Daten also ab-
schreiben und Disk formatieren.
Mit etwas Glueck erkennt VT beim BitMapTest eine Freedom-Disk.
Beim BlockITest meldet sich VT nicht, da der Muell von Disk zu
Disk und auch nach einigen Tracks wechselt.
- FrenchKiss belegt auf Track 0 Block 0 bis 5
Ich besitze nur Bl 0 u. 1 . Ein echter Virus !!!
Cool, DoIo, $6c, Vec5,
immer ab $7f0d0
Vermehrung: Block 0 bis 5 auf Track 0
Schaeden:
Je nach Zaehlerstand wird Track 0 ueberschrieben oder Track 80
(bei Disk = Dir ) zerstoert. Mehr kann ich nicht sagen, da ich
nur Block 0 u. 1 habe. Bitte schicken Sie mir Ihre verseuchte
Disk. Danke !!!
- Frity Forpib-Clone s.o.
- Future Disaster nur KS1.2, Cool, DoIo, BeginIo, immer ab $7FB00
fordert trackdisk.device (also HD nicht)
Vermehrung:BB
Schaden:
sobald die Zaehlzelle den Wert 7 erreicht hat:
- schreibt Speicherinhalt ab $10000 nach Block 0 u 1
- schreibt Speicherinhalt ab $7Fb00 nach Block 880 und weiter
Folge: Disk unbrauchbar
- Gadaffi (KickRomV1.2 Floppymusik)
Cool, DoIo, KickTag, KickCheckSum
- Gandalf BB Cool, ExitIntr, PutMsg
BB-Teile codiert mit eor.w d1,(a1)+
decodiert ist im Speicher zu lesen: Gandalf`s Rache usw.
Vermehrung und Schaeden:
- schreibt sich auf BB
- in Abhaengigkeit von der Zaehlzelle soll die Disk
zerstoert werden. Verwechselt aber Disk-Seek mit Disk-Format,
DisplayBeep mit DisplayAlert usw. (Anfaenger ??)
- Glasnost Block 0 bis 3, Laenge also 2048, KickTag, KickCheckSum
im Prg noch DoIo, $6c, im Speicher immer $7F000
fordert trackdisk.device NICHT.
Wird aktiv wenn Block 880 gelesen wird
Schaeden:
blockiert nach 15 oder 20 Min. Rechner
schreibt eigenen BB und zerstoert damit auch Files in Block 2 u. 3
bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt
in diesen Block ab $100 vier Langworte ($11111111, $22222222,
$44444444, $88888888). Dieser Block kann NICHT gerettet werden.
Text in Block 3: Glasnost VIRUS by Gorba!! First release
- Golden Rider Linkvirus im Speicher immer $7C000
verbiegt Cool, DoIo, DosOpen
Arbeitet nicht mehr mit Doslib-Version 35 oder hoeher.
Verlaengert ein File um 868 Bytes, haengt sich auch mehrmals
in ein File, da keine Abfrage ob schon befallen.
File darf max 100000 Bytes gross sein.
File muss executable sein.
Filename + Pfad darf nur Zeichen ab A enthalten (Ausnahme / : 1 0 )
Eine Zeichenobergrenze wurde im Programm nicht gefunden.
Eine Vermehrung findet statt bei:
df0:Test/File
KEINE Vermehrung mit:
df3:Test/F9
Das VirusTeil enthaelt keine Melderoutinen.
Haengt sich am Ende des 1.Hunks ein und ersetzt RTS durch
ein NOP. Sollte kein RTS am Ende des 1. Hunks gefunden wer-
den, so wird $38 Schritte ab Hunkende zurueck nach einem
RTS gesucht und dann durch BRA.s ersetzt.
In ersten Hunk des befallenen Files ist unverschluesselt zu
lesen: >>> Golden Rider <<< by ABT
VT versucht den Virusteil auszubauen und ein lauffaehiges
Ursprungsprogramm abzuspeichern. KEINE Garantie !!!
Arbeiten Sie mit einer Kopie !!!!
Vermehrung getestet: ja
Ausbau getestet: ja
Hinweis: Da sich die 3 Testlangworte in 2 verschiedenen Bloecken
befinden koennen, wird der Golden Rider nur im Filetest SICHER
erkannt. Bei der Blockkette koennte einer beim Test NICHT ge-
meldet werden.
- Gotcha LAMER Filevirus anderer Name: Lamer Bomb
verlaengert File um 372 Bytes, DoIo
nur in Files dir, run, cd, execute
Schaeden:
- KEINE Vermehrung ueber obengenannte Files hinaus
- KopfStep
- DisplayAlert u. RESET: "HAHAHE... Gotcha LAMER!!!"
Ursprungsprogramm:
MINIDEMO.EXE Laenge: 773 Bytes
sucht fuer Link nach:
dh0:c/dir, dh0:c/run, dh0:c/cd, dh0:c/execute
- Graffiti aehnlich 16Bit Crew + 3D-Graphik
FastMem ja, Cool, im Prg DoIo, im Speicher immer $7ec00
Vermehrung: ueber BB
Graphikroutine mit 3D
unverschluesselt im BB:
VIRUS! written by Graffiti
- GREMLIN Cool, KickSumData, im Prg. DoIo, im Speicher immer $7f400
Vermehrung: ueber BB
Textausgabe mit GraphikRoutine: roter Hintergrund, weisse Schrift
GREMLIN
- GX.TEAM Fastmem ja, nur KS1.2 da absoluter DoIo-Einsprung
Cool, DoIo, KickTag, KickCheckSum, im Speicher immer ab $7f4d0
Vermehrung: ueber BB
Textanzeige mit displayAlert (wird mit sub.b #$41,d0 nach
$7f300 entschluesselt):
Mais qui voila ???C'est le nouveau VIRUS de GX.TEAM !!
AAAHH! Les salauds! Les ...(Insultes diverses)
He!He! SILENCE :
GX.TEAM entre enfin dans la legende ...
BYE!!!
- GYROS Cool, DoIo, immer ab $7EC00
fordert trackdisk.device NICHT
Vermehrung:BB
Schaden:
sobald die Zaehlzelle den Wert 10 erreicht hat:
- blockiert Rechner
im BB zu lesen: Your Amiga is fucked from a nice GYROS usw.
- Hauke Byte-BanditClone s.o
Text geaendert: Hauke Jean Marc usw
- Haukeexterminator I Disk-DoctorClone s.o
Text geaendert: Haukeexterminator I usw
- Hilly KickTag, KickCheckSum, Kick1.2
DoIo im Prg mit absolutem ROMeinsprung
Test auf spezielle Kickstartversion (patched bei $FC0090)
Falls vorhanden kein Virusaufbau.
Fordert trackdisk.device nicht an, deshalb koennen Schreib-
zugriffe auf die Festplatte erfolgen !!
Lage im Speicher: immer ab $7f300 (ResStruc.)
Vermehrung: ueber BB
sonst keine Routine gefunden (keine Graphik usw.)
- Hireling Protector V1.0 anderer Name: Charlie Braun
ForpibClone s.o.
nur anderer Text
- Hochofen Link auch mit KS2.04 verlaengert ein File um 3000 Bytes
KEINE bekannten Vektoren verbogen !!!!
Wurde mir als Trabbi zugeschickt. Da ich diesen Namen nicht
nachvollziehen kann (kommt im Prg-code nicht vor), nenne
ich ihn Hochofen (im 1. Hunk zu lesen).
Taskname: Greetings to Hochofen
Vermehrung:
NUR moeglich beim Start eines bereits verseuchten Prgs.
Scannt Root durch (examine, exnext usw.) und sucht nach
Files, die
- ausfuehrbar ($3F3)
- kleiner als 200000 Bytes
- noch nicht befallen
sind.
Haengt sich dann als erster Hunk an und verlaengert das
File um 3000 Bytes (Hunk nicht codiert).
Hinweis: NICHT jedes verseuchte File ist lauffaehig ! s.u.
Schaeden:
Task: Greetings to Hochofen
im Task: KEIN VermehrungsPrgTeil
zeitabhaengig:
BildschirmHintergrund schwarz rot gelb
mit Maustaste wegklicken
Requester Fasten seat-belt!
mit Maustaste wegklicken
Task wird wieder entfernt
Fehler: kennt viele Hunktypen NICHT und veraendert durch
einen Schleifenfehler dann den Hunktyp um +1. Als Beispiel,
weil ich es da zuerst bemerkt habe:
Kennt hunksymbol ($3F0) nicht und macht daraus hunkdebug ($3F1).
In unbekannten Hunks werden auch in einer Schleife Bytes
FALSCH geaendert.
Verseuchte Files die den Computer zum Absturz bringen, ver-
aendern bei mir auch die Hardwareuhr !!!!
Vermehrung getestet: ja auch mit ROM KS2.04
Ausbau getestet: ja mit VT 2.37
- HODEN V33.17 nur KS1.2, da absoluter DoIo-Einsprung
DoIo, KickTag, KickCheckSum, im Speicher immer $7f000
Vermehrung: ueber BB
Kennzeichen: nach fuenf Kopien wandert ein gelber Kopf
von links nach rechts ueber den Bildschirm.
unverschluesselt steht im BB: HODEN V33.17
- ICE SCAClone, Cool, im Prg. DoIo, im Speicher immer ab $7ec00
Vermehrung: ueber BB
Textausgabe durch GraphikRoutine
unverschluesselt steht im BB:
Greets from The Iceman & The IRQ usw.
- Incognito anderer Name Trojan
DoIo, KickMem, KickTag, KickCheckSum, FastMem ja
nur KS1.2, da absoluter DoIo-Einsprung ins ROM
Vermehrung: ueber BB
sonst keine Schaeden und kein Text
im BB: nichts zu sehen, da trackdisk.device verschluesselt.
- Inger IQ ByteBandit/Forpib-Clone s.d.
Text: ---Inger IQ Virus - Ersmark 1953---
- init_cli anderer Name: AMIGAKNIGHTVIRUS s.o.
- IRQ-TeamV41.0 Link-Virus, verlaengert ein Prg. um 1096 Bytes
Einsprung nach Reset: KickTag
Einsprung bei Arbeit: OldOpenLib
laeuft nicht mit KS2.04
Textanzeige im CliTitel: (entschluesselt mit eor.l d0,(a0)+
addq.l #3,d0 ; fuer einen neuen Virus wird der Inhalt von
d0 ueber move.l alterWert,d0 u. add.l $dff004,d0 veraendert)
AmigaDOS presents:a new virus by the IRQ-TeamV41.0
entweder wird c/dir oder das erste File der startup-sequence
befallen. K e i n File wird zweimal befallen. Das File
darf nicht laenger als 100 000 Bytes sein.
Entfernung: 1.Zeile in startup. loeschen
OrgFile besorgen und neu kopieren
- IRQ II wie IRQ I, aber die Routine auf Test schon befallen
(cmpi. #$fffe6100,30(a4,d6.l) wurde verfaelscht. Das heisst:
das erste File von der startup-sequence wird solange befallen,
(d.h. verlaengert) bis die Disk voll ist.
Nachtrag:gilt fuer IRQI+II; mit meiner FastmemKarte ist n a c h
einem Reset keine Vermehrung mehr moeglich ?????
Hinweis: Ich besitze ein IRQ2-File mit sechs Links
- JEFF-BUTONIC V1.31/05.11.88 PrgFileVirus 3408 Bytes
DoIo, KickTag, KickCheckSum, $68
schreibt sich in die 1. Zeile der Startup-Sequence einer
nicht schreibgeschuetzten Disk. Tarnnamen s.u.
Texte codiert mit: eori.l #$AAAAAAAA,(a0)+
Text fuer DisplayAlert:
"Einen ganz wunderschönen guten Tag!"
"* I am JEFF - the new Virus generation on Amiga *"
"(w) by the genious BUTONIC."
"V 1.31/05.11.88 - Generation Nr.00037"
"Greetings to * Hackmack *,* Atlantic *, Wolfram, Frank,"
"Miguel, Alex, Gerlach, and to the whole Physik-LK from MPG !!"
Texte fuer die Fensterleiste:
"Ich brauch jetzt'n Bier!"
"Stau auf Datenbus bei Speicherkilometer 128!"
"Mehr Buszyklen für den Prozessor!"
"Ein dreifach MITLEID für Atarist!"
"BUTONIC!"
"Schon die Steinzeitmenschen benutzten MS-DOS...einige sogar heut noch!"
"Schon mal den Sound vom PS/2 gehört???"
"PC/XT-AT: Spendenkonto 004..."
"Unabhängigkeit & Selbstbestimmung für den Tastaturprozessor!"
"Paula meint, Agnus sei zu dick."
"IBM PC/XT: Ein Fall für den Antiquitätenhändler..."
"Sag mir, ob du Assembler kannst, und ich sage dir, wer du bist."
Tarnnamen:
fuer RootDir: in Startup-Sequence:
AddBuffers "AddBuffers 20"
Add21K "Add21K "
Fault "Fault 206"
break "break 1 D"
changetaskpri "changetaskpri 5"
wait "wait "
$A0 $A020
$A0A0A0 $A0A0A020
Arthus "Arthus "
Helmar "Helmar "
Aloisius "Aloisius "
?? $20 $2020 ??
die Erzeugung des $20-Tarnnamen ist nicht gelungen, steht aber im
Virus-Prg.
- JEFF-BUTONIC V3.00/9.2.89 PrgFileVirus 2916Bytes
Name im Hauptverzeichnis: A0A0A0
1.Zeile in startup. A0A0A0209B41
DoIo, KickTag, KickCheckSum
Vermehrung: jede nicht schreibgeschuetzte DOS-Disk mit startup
Entfernung: 1.Zeile in startup loeschen
File in DfX: loeschen
Entschuesselungsroutine:
entschluesselter Text: move.w #$013a,D0
Hi. loop:
JEFF`s speaking here... move.w (A0)+,(a1)
(w) by the genious BUTONIC. eori.w #$b4ed,(A1)+
usw. insgesamt ueber $270 Bytes Text dbf D0, loop
- JEFF-BUTONIC V3.10 Filevirus Laenge 2916
lesen Sie Auswirkungen unter Jeff 3.00
Programmcodeteile wurden verschoben (soll Anti-Viren-Prge wohl
taeuschen ??) + codierte Texte geaendert: z.b. Sauf blos keinen
Wodka! usw. Codierung weiterhin: eori.w #$b4ed,(a1)+
Ursprungprogramm:
*JEFF* VIRUSKILLER Mastercruncher: 7368
entpackt: 9064
andere Namen: Jeff-Maker, Jeff-Remover
taeuscht durch Texte Jeff-Suche vor, schreibt aber in Wirklich-
keit JEFF 3.10 auf Disk in Df0:
Virus gefunden - bitte warten
Startup-Sequence desinfiziert
und Virus beseitigt! usw.
In diesem Prg ist JEFF V3.10 codiert [ eori.b $FF,(a0)+ ] ent-
halten.
- JITR Cool, DoIo, FastMem ja, im Speicher immer ab $7ec10
Vermehrung: ueber BB
Sonst keine Routine vorhanden !!!! VirusPrg. nur $200 Bytes lang.
Im BB lesbar:
I'm a safe virus! Don't kill me! I want to travel!
And now a joke : ATARI ST
This virus is a product of JITR
- Joshua
senkrechtstehender Text Joshua (ueber Graphikroutine)
Begin, Kickmem, KickTag, KickCheck, Vec5
- Joshua 2 anderer Name: Joshua3 oder Switch-Off
Cold, Begin, Vec5
hat Probleme mit einem Befehl im C-SubD. von WB1.3
Bootblock jetzt verschluesselt: loop: move.b (A0),D0
eori.b #$18,D0
das eor-Byte wechselt und steht auch move.b D0,(A0)+
an $3ff des BBs. Zu erkennen ist der cmpa.l A1,A0
Joshua 2 am Ende des BBs an der Byte- bne loop
folge, wobei sich aber das X je nach rts
eor-Byte aendert: .XX...XXX........XX.XX.XXXX...X.XX.
die Punkte koennen auch durch andere Zeichen belegt sein
- Joshua 3 anderer Name und richtig: Joshua 2
es existiert eine BB-Sammlung, die einen wirklichen ByteBandit
(aufs Byte im Speicher) Joshua1 nennt. Hieraus ergibt sich
dann eine falsche Nummer. Nachtrag: Diese BB-Sammlung wurde
inzwischen (15.04.91) in diesem Punkt korrigiert !!
- Julie anderer Name Tick oder VIRUS PREDATOR
immer $7f800, cool, DoIo, BeginIo und $20
arbeitet nicht sauber mit 1MB Chip
testet einige Zeiger und drei Werte (z.B. auf $7ec00)
Vermehrung: ohne Warnung ueber (nur ausfuehrbare) BB's
decodiert mit not.b (a0)+ steht im Speicher:
` VIRUS PREDATOR (4-88-SPAIN) ID: 027798336 `
also ist der Name Julie eigentlich falsch !!
- Kauki immer $7ec00, Cool, im Prg. $80, $84, $88
im Prg. auch noch DoIo, schreibt aber spaeter im Prg DoIo von
KS1.2 zurueck (nach Vermehrung)
den meisten Platz brauchen die Chopperlisten. Das ChopperIntro
laeuft auch mit KS1.3 . Kauki im BB nicht sichtbar.
- Kefrens SCA-Clone
Text im BB:
Ohh noo!!!!
I think something is wrong!
and even better...
Some of your disks are sick
Watch out!
By Kefrens
offcourse!!!
- Kefrens 2 wie Kefrens = SCA-Clone nur Text verschoben
- L.A.D.S DoIo, KickTag, KickCheckSum, immer $7F400
versucht eine Taeuschung durch DisplayAlert beim Booten:
(Text auch im BB lesbar)
L.A.D.S Virus Hunter
No virus in memory
Press any mouse button
Entgegen der Aussage findet KEIN Virustest statt, sondern das
eigene Programm wird resetfest installiert.
Vermehrung: jeder BB einer Disk OHNE Rueckfrage
bei Wert 5 in der Zaehlzelle:
veraendert x- und y-Koordinaten bei Mausbewegungen
sobald die Zaehlzelle den Wert 8 erreicht:
ein Teil des Virusprogramms wird entschluesselt mit
eori.b #$41,(a0)+
und mit DisplayAlert ausgegeben:
AMIGA COMPUTING Presents:
The GREMLIN Virus
All Code (c) 1989 By Simon Rockman
- LameBlame! anderer Name: Taipan-LameBlame
Cool, DoIo
BB codiert mit Wert aus $DFF006
Schaeden:
Vermehrung mit BB
sobald Zaehlzelle 8 erreicht hat:
DisplayAlert: LameBlame! by Tai-Pan usw.
sonst nichts
Herkunft: Virusinstall V2.0
- Lameralt abcd bei $3a6
schreibt Lamer in irgendeinen Block
FastMem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamerneu abcd bei $396
schreibt LAMER in irgendeinen Block
FastMem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamer1 fedc bei $342
schreibt LAMER
Begin, KickTag, KickCheckSum
- Lamer2 abcd bei $392
schreibt LAMER
FastMem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamer3 abcd bei $3f4
(orgbb in 2 u. 3)
Fastmem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamer4 abcd bei $3ae
BeginIo, KickTag, KickCheckSum und SumKickData
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt.
- Lamer5 abcd bei $3aa FastMem ja
BeginIo, KickTag, KickCheckSum und SumKickData
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt.
- Lamer6 abcd bei $396 FastMem ja
aehnlich Lamerneu Unterschied 48Bytes
BeginIo, KickTag, KickCheckSum und SumKickData
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt.
zusaetzlich im Prg. noch Remove Node, Test auf Cool u. Cold .
- Lamer7 andere Namen: Selfwriter, Pseudoselfwriter
keine signifikante Endekennung, Laenge BB $3BD,
BeginIo, KickTag, KickCheckSum
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x Lamer! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt
und !!!! mit allocabs eingetragen. (machen andere Lamer nicht)
- Lamer8 keine Endekennung
BeginIo, KickTag, KickCheckSum, SumKickData
Vermehrung: ueber BB
Schaden: Format alle LW
Ein neuer BB wird wieder verschluesselt mit eori.w . Das Ver-
schluesselungswort wird mit $dff006 festgelegt.
BB ist verschluesselt von $3e bis $3cc
- LAMER8-File haengt an VirusX Laenge: 13192 Bytes
Wird im Speicher von VT als LAMER8 erkannt und entfernt.
Wichtig:
VirusX erkennt LAMER8 im Speicher NICHT !!!!!
Vermehrung:
NUR als LAMER8-Bootblock moeglich, NICHT als Linkfile !!!!
Deshalb in FileTest nur Loeschangebot.
Hinweis:
Es wird ein "Lamer"-Bootblock weitergegeben, bei dem Lamer
Exterminator im BB zu lesen ist. Dieser BB ist NICHT bootfaehig
und wird deshalb von VT nur als Nicht-Standard-BB erkannt.
- Lamer-LoadWB FileVirus Laenge: 4172 Bytes
KickTag, KickCheckSum, SumKickData, BeginIo
in SubDir c
in LoadWB sichtbar: The LAMER Exterminator !!!
Virus haengt vor dem LoadWB-Teil
schreibt zuerst das Virusprogramm in den Speicher und fuehrt dann
den LoadWB-Befehl aus.
Kann sich nicht als LoadWb vermehren, sondern schreibt einen
Lamer-BB
- Lamer Bomb anderer Name: Gotcha LAMER s.o.
- le RoLE franz. Name fuer Return of The Lamer Exterminator s.u.
- Liberator virus v1.21 anderer Name: MemCheck s.u.
- LOGIC BOMB anderer Name: PARADOX I s.d.
- LSD! (noch ein SCA!)
- LZ-Virus
Linkvirus, verlaengert ein File um 400 Bytes
testet Hauptversionsnummer der dos.library, falls groesser 34 oder
kleiner 33 keine Aktivierung, verbiegt GlobVec 06 = Write
linkt sich hinter CodeHunk (meist 1.) und ersetzt z.B. $4e75 = rts
durch $6004 = bra 4 oder $4eee = jmp durch $60XY
Muss deshalb HunkAnzahl nicht veraendern, sondern nur die Anzahl
der Langwoerter des befallenen Hunks um $64 erhoehen.
Bedingungen fuer ein File:
0.LW = $3f3 (ausfuehrbar)
1.LW = 0 (keine Resident-Libs zu laden)
(kein Overlay)
es wird ein CodeHunk gefunden $3e9
der gefundene CodeHunk ist laenger als #1000 Bytes
Ursprung: (Geruecht 14.07.91)
SOLL ein LZ-Entpackungsprogramm sein ???? (hab ich nicht)
- MAD (ForpibClone) nur Text geaendert s.o.
- MAD II nur KS1.2, da absoluter DoIo-ROM-Einsprung
Cool, DoIo, KickTag, KickCheckSum, im Speicher immer $7FB00
im BB sichtbar: MAD II VIRUS is better usw.
Vermehrung: ueber BB
Sobald der Inhalt des Zaehlers groesser $D ist, wird in eine
DiskStepRoutine verzweigt. Da diese falsch programmiert und somit
nicht funktionsfaehig ist, wird nur der Bildschirm dunkel.
Hinweis: es existiert ein MAD II, bei dem der MAD-Text mit sinn-
losen Buchstabenfolgen (z.B. DAFGderFEHY) ueberschrieben wurde.
Wird von VT als MAD II erkannt.
- MAD IIa wie MAD II nur jetzt Warm fuer Cool und andere Source-
Aenderungen z.B. $2a in $2e usw. Ergebnis bleibt gleich
(Anfaenger bitte bleibt beim Joystick !!!)
- MAD III nur KS1.2 Byte-Warrior-Clone s.o.
geaendert: DASA0.2 in MAD.III
- MAD IV LamerAltClone s.o.
Unterschied: statt mit Lamer! soll der zerstoerte Block mit MAD
gefuellt werden.
- MemCheck v8.1 File anderer Name: Liberator virus v1.21
gepackt (PP): 6492 Bytes ungepackt: 10936 Bytes
nicht resident
nach Aufruf erfolgt Textausgabe: MEMORY CLEAR usw.
mit SnoopDos kann man feststellen, dass :
- versucht wird Sys:.FastDir zu oeffnen
- Test ob MemCheck schon in Root
- versucht wird startup-sequence zu oeffnen
falls ja Eintrag in erste Zeile:
MemCheck s
Weiterhin ist im File zu lesen:
Hello from the Liberator virus v1.21
Lets play trash the harddisk
I`m outta here, kiss mine you lamer!
DH0: , BLVC usw.
Mit Festplatte:
Es wird ein File .FastDir im Root-Verz. angelegt. Sobald im
File der Wert $f erreicht ist, erfolgt die Textausgabe (s.o.)
und der Computer stellt die Arbeit ein. Kreset wird not-
wendig.
- MG's Virus V1.0 (BB) auch mit KS2.04, aber NICHT mit 68030
KickTag, KickCheckSum, SumKickData, GetMes, BeginIo
AddIntSer (5 = Vert. Beam)
Codiert mit not.w (a1)+
Decodiert im Speicher zu lesen: MG's Virus V1.0
Meldet sich nicht.
Taeuscht sauberen Bootblock vor bei verbogenen Vektoren
Vermehrung bei:
- Lesen oder schreiben Block 0
- Format Disk
- MicroSystems FastMem ja nur KS1.2
holt selbst Namen aus ROM (z.B. dos.library)
Cool und Cold
im Prg. bei Bedarf: AddTask, RemTask und DoIo
Vermehrung: ueber BB
Textausgabe ueber Graphikroutine
unverschluesselt steht im BB:
YOUR AMIGA IS INFECTED BY
A NEW GENERATION OF VIRUS
CREATED IN SWEDEN BY
MICROSYSTEMS
- MCA siehe Claas Abraham
- MEGAMASTER
Cool, DoIo, immer $7e300
zwei codierte Bereiche im BB
1. Bereich: eori.b #-$45,(a0)+ ; testet auf andere Viren
2. Bereich: eori.b #-$11,(a0)+ ; Textausgabe ueber Graphik
schwarzer Hintergrund, rote Schrift
Surprise!!!
Your Amiga is controlled by
MEGAMASTER
Vermehrung: ueber BB
- MEXX SCA-Clone
Text: Hello there...
Here I'm again...
I've infected ya Disx !
I'm a simple VIRUS
and I came from a group called
--- MEXX ---
Yeah, reset now !!!
Or I will infect more!
- MGM89 anderer Name: MEGAMASTER s.o.
- Micro-Master ( noch ein SCA! )
- Morbid Angel Forpib-Clone s.o.
nur sichtbarer Text und einige unwichtige Bytes wurden
geaendert.
- Nasty-Nasty BB nur KS1.2 immer ab $7F000
Cool, DoIo, Userstate, Superstate, Alert
Vermehrung und Schaeden:
- BB
- sobald die Zaehlzelle den Wert 5 erreicht hat:
format Disk
Das VirusPrg gibt keine Meldung aus. Im BB ist Nasty-Nasty! zu
lesen.
- NO BANDIT (siehe unten Virenfinder)
- No head s.b. ByteBanditPlus
- No Name 1 anderer und richtiger Name : Byte Bandit 2
kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5
SpeicherLage ueber structMemList, Speicherreservierung fuer
neuen BBVirus mit allocmem, Zaehlstelle: Virusstart + $1c
Vermehrung: ueber BB
Im BB lesbar: trackdisk.device (weit unten)
ein ByteBanditClone, ohne Tastaturabfrage, nur 5 Kopien und
kuerzer gesetzter Zeit
- No-Guru V2.0 Filelaenge: 1224 Bytes (mit PP-Data-Prg.teil)
Nach meiner Meinung nur gefaehrlich fuer AmiExpress-Benutzer
(hab ich nicht)
verbiegt: Alert, Autorequest
Textausgabe im Cli: u.a.
Making life with AmiExpress just that little bit easier...
Sucht nach bss:user.data ; Falls vorhanden werden $8000 Bytes
geladen. Der geladene Teil wird nach renegade, jock rockwell
oder spiral durchsucht und gegebenenfalls geaenderte Daten
zurueckgeschrieben.
Empfehlung: loeschen
- NorthStar anderer Name: Starfire s.u.
- NoVi (File) TerroristsClone s.u. Laenge:1612 Bytes
Aenderungen: TTV1 geaendert in NoVi
Org-File wird jetzt nach sys:c/.fastdir,$A0 verschoben.
- Nuked007 siehe bei SHIT
- Obelisk1 ( Deutschlandfahne + Graphiktext) Einsprung:cool
schreibt in Speicherstelle $00000060 das Wort GURU
zerstoert damit den Ausnahmevector, der ins ROM
IR-Ebene 7 zeigt !!
- Obelisk2 Begin, KickTag, KickCheckSum, Vec5
Einsprung:KickTag ,drei ZaehlZellen, Ausgabe:Graphik-
text mit FormatAndrohung, wird nur durch KopfAnschlag
vorgetaeuscht !! Nachweis mit TrackDisplay !!
Speicherstelle $60 s.o.
- OP1 (Neuseeland) richtiger Name: Joshua
- OPAPA Begin, KickTag, KickCheckSum, Vec5
Zaehlzelle: ja, Vermehrung: ueber BB jedes LW
Textausgabe (ueber Graphik) OPAPA-VIRUS READY STEADY FORMAT
Kopf steppt nach Track 0 alle LW
- PARADOX I KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F800
Vermehrung und Schaden: Bootblock
Text sichtbar im BB:
* A new age of virus-production has begun ...
This time PARADOX brings you the "LOGIC BOMB" Virus !!! *
- PARADOX II Kicktag, KickChecksum im Prg. DoIo u $6c, immer $7F000
verschluesselt mit move.b $DFF006,D1 und eor.b d1,(a0)+
Vermehrung und Schaden: Bootblock
Text nach Entschluesselung:
This is the second VIRUS by PARADOX -
For swapping call: 42-455416 - ask for Hendrik Hansen
- PARAMOUNT nur KS1.2 Kicktag, KickCheckSum, DoIo, immer $7F800
Byte-Warrior-Clone, loescht Cold und Cool
fordert trackdisk.device NICHT
Vermehrung:BB
im BB zu lesen: PARAMOUNT SOFTWORKS usw.
- PARATAX SCA-Clone, Cool immer 7EC3E, nur anderer Text
- PARATAX II Disk-Dokters-Clone, nur KS1.2 da DoIo-ROMEinsprung
Cold, Cool, DoIo, im Prg. Vec5
im BB sichtbar: PARATAX II
clipboard.device durch ".dos.library" ersetzt
je nach Zaehlerstand wird eigener BB geschrieben oder
Disk ab Cylinder 40 (ROOT) formatiert
- PARATAX III 16BitCrewClone s.o.
Unterschied: The 16Bit Crew 1988 in PARATAX III (!!!)
geaendert
eine echte Meisterleistung
- PentagonCircle cool,kickchecksum
Fastmem ja, im Speicher immer ab $7fb00, im Prg. noch DoIo
testet auf einige Viren, Alert-Meldung
Vermehrung: ueber BB
Text im BB sichtbar: z.B.
The Pentagon Circle VirusSlayer by Mr.Moutainlake!
Hinweis: Es wird ein Pentagon-BB weitergegeben, in dem das
4.LW Null ist. Dieser Bootblock ist NICHT bootfaehig und
wird deshalb von VT auch nicht als Pentagon erkannt !!!!
- PentagonVirusSlayer2: cool, KickCheckSum, immer ab $7f000
Fastmem ja, im Prg. DoIo, Programmierung voellig anders
als Pentagon, Alert-Meldung
Vermehrung: ueber BB
Text im BB sichtbar: z.B.
The Pentagon Circle VirusSlayer 2 by Mr.Mountainlake!
- PentagonVirusSlayer3: Cool, KickCheckSum, immer ab $7e000
Fastmem ja, im Prg. DoIo, FindResident
Alert-Meldung
Vermehrung: ueber BB
Text im BB sichtbar: z.B.
The Pentagon Circle VirusSlayer by Mr.Mountainlake!
- POWERBOMB ByteBandit/Forpib-Clone s.o.
Text: POWERBOMB SYSTEMS PRESENTS: BYTE BANDIT V2.0 !!!
- PP-Bomb Powerpacker, FileVirus, keine Vermehrung, Vers.Nr. 3.2
- 3 Programmteile
- kurzer CodeHunk mit 2 jsr-Befehlen (notwendig fuer Ablauf)
- crunched Bomb-Teil
- Powerpacker 3.0b (ich glaube: NICHT veraendert und nicht ge-
crunched)
Bomb-Teil:
wird zuerst angesprungen, decrunched Laenge: 9880 Bytes
Aztec-Prg mit dt. Fehlermeldungen (z.B. Fehler bei DISKFONTBASE)
- sucht zuerst SnoopDos-Task; falls ja Bomb-Ende
- sucht in c von dh0: und/oder dh1: nach why und setzt das File
auf 0 Bytes
- enthaelt alle Dos-Befehle um Files zu veraendern (sucht auch
auf dh0: und dh1:, ist getestet).
- soll AmiExpress veraendern (hab ich nicht)
- weitere Eintraege: BBS: DH0:BBS/ DH1:BBS/ DH0: DH1:
Ursprung:
qtx_pow.lzh 139670 Bytes
Empfehlung:
loeschen und Orginal-Powerpacker aufkopieren
- Pseudoselfwriter andere Namen: Selfwriter, Lamer7
- Rene anderer Name: bei mir Lamer8
da im entschluesselten Programm The LAMER Ex... zu lesen ist und
das Verhalten einem Lamervirus entspricht, halte ich eine
Zuordnung zur Lamer-Gruppe fuer richtig.
- Return Of The Lamer PrgFileVirus Laenge 1848 Bytes
nur KRESET (Entschuldigung)
tarnt sich als Disk-Validator
KickTag, KickCheckSum, BeginIo und andere
zu erkennen an: hat im Gegensatz zum Org.Disk-Validator keinen
lesbaren ASCII-Text
Schaeden in Abhaengigkeit von der Zeit:
a) bestimmt eine Blocknummer ueber $DFF007 und schreibt 64 x
LAMER!!! hinein
b) Fastformatroutine fuer alle Laufwerke und ueber DisplayAlert
Textausgabe:
The Return Of The Lamer Exterminator
c) schreibt den falschen Disk-Validator auf Disk
- Revenge Bootloader! Begin, KickTag, KickCheckSum, Vec5
Fastmem: nein
Vermehrung ueber BB
- Revenge V1.2 cool,doio,vec5 , im Speicher immer $7e000
und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste)
Vermehrung: ueber BB
Schaden: nach einger Zeit neuer Mauszeiger
im BB sichtbar: Revenge V1.2GCount:
- Revenge of the Lamer PrgFileVirus Laenge 4560 Bytes
nur KRESET (Entschuldigung)
es werden mir zuviele Zeiger verbogen (10!!)
entschluesselt steht im Speicher:
dos.library.graphics.library.intuition.library.
trackdisk.device.DOS s/startup.sequence usw.
Name:$A0A0A0A0A0 steht im Hauptverzeichnis und
1.Zeile Startup
testet vor Vermehrung ob genuegend Platz auf Disk ist
nach 6 Resets (denke ich), Formatieren aller eingelegten
nicht schreibgeschuetzten Disks
3 Seiten Alert-Meldung
- Revenge of the Lamer 2
PrgFileVirus Laenge 4448 Bytes
einige Write-Test-Routinen fehlen,
sonst wie Revenge of the Lamer
W A R N U N G: es ist mir beim Testen gelungen, Revenge of the
Lamer 1 u. 2 so zu vermehren, dass SID und andere Prg.e die
5 A0 n i c h t anzeigen. Mein FileRequester auch nicht. Das
VirusPrg. wird aber a u c h bei diesen Disks aktiviert und
vermehrt sich !!! Mit einem DiskMonitor kann das Prg. ge-
funden werden. Bei meinem PrgTest erscheint dann:
Rev. Lam. unsichtbar
Dies ist kein Schwachsinn, sondern der Sachverhalt wurde von
anderen Programmierern nach meiner Entdeckung gegengeprueft und
eine Fehlfunktion bei ExNext KS1.3 entdeckt. Dieser Fehler ist
bei KS2.0 behoben.
(vgl. auch Fish 429 Dr.doc)
- RIPPER Programcode = Northstar, nur anderer Text
cool im Prg. DoIo immer ab $7ec00
Vermehrung: BB
Text (auch im BB sichtbar):ATARI KILLS COMMODORE! RIP! RIP THE RIPPER
usw.
- Riska Forpib-Clone s.o.
- Rude Xerox = DIGITAL AGE = Forpib-Clone
nur Text geaendert
- SACHSEN VIRUS NO.1 Cool, immer ab $78000
fordert trackdisk.device
BB-Teile codiert mit move.b #$70,d0
add.b d0,(a0)+
decodiert im Speicher: ** SACHSEN VIRUS NO.1 ** usw
Vermehrung: BB
sonst keine Schaeden und keine Meldung
GURU-Gefahr: sobald das Virus im Speicher ist und ein RESET
ausgefuehrt wird, wird CloseDevice verbogen. Mit FastMem ab
$200000 dann GURU.
- SACHSEN VIRUS NO.3 Cool, DoIo, Wait, immer ab $78000
belegt Block 0-3 (d.h. ein File ab Block 2 wird auch zerstoert.
Fordert trackdisk.device NICHT (HD!!!!)
Alle Texte codiert.
Vermehrung: BootBlock 0 - 3
Schaeden:
Schreibt nach Block 880 (Root bei Disk) neuen Disknamen
SACHEN NO.3 ON DISK !!!
Schreibt in Block (abhaengig von $DFF006) 64 x SACHSEN3
Sollte dieser Block in einem File liegen, so ist dieses
File NICHT mehr zu retten.
DisplayAlert und dann RESET
SACHSEN VIRUS NO.3 in Generation : is running...
(bei mir Generation 23)
- SADDAM HUSSEIN Bootblockvirus (vgl. auch BlowJob)
KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000
Taeuscht durch Text im Bootblock:
A2000 MB Memory Controller V2
Vermehrung und Schaden: Bootblock
Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein
Programmteil mit subi.b #$71,D0 entschluesselt und mit display-
Alert der Text ausgegeben:
TOO BAD BROTHER ... SADDAM HUSSEIN STRIKES BACK !!!
THE ONLY ESCAPE IS TO TURN THE POWER OFF !!!
- SADDAM-VIRUS Disk-Validator Laenge:1848 Bytes
HINWEIS: wird manchmal von VirusX mit Australian Parasite
verwechselt !!!!
Das erste Virusprogramm, das mit 1 MB Chip, Kick1.3 und OHNE
setpatch r einen Reset mit der Tastatur uebersteht !!!!!!!!
Cold, BeginIo, Close im Trackdisk.device, Rasterstrahl $90(a6)
im Prg. dann noch OpenWindow, InitResident, direkte Dos.lib-Ein-
spruenge.
entschluesselt im Speicher mit: eor.b d0,(a0)+
subq.l #2,d0
dbra d1,loop
Zum Verschluesseln eines neuen SADDAM-Disk-Validators wird
ein Wert aus $DFF007 in d0 abgelegt.
Speicherlage: SysStkLower - veraenderter Wert aus $DFF007 - Virus-
programmlaenge
Schaeden und Gefahren:
Das Einlegen einer Disk mit ungueltiger BitMap genuegt,
um SADDAM zu aktivieren !!!!
abhaengig von der Zaehlzelle:
KopfStep alle Laufwerke (Disk danach BAD) und DisplayAlert:
SADDAM-VIRUS
Ueberschreibt jeden echten Disk-Validator auf einer ungeschuetzten
Disk !!!!!
Falls auf einer Disk kein l-Dir vorhanden ist, wird es erstellt
und dann der verseuchte Disk-Validator hineinkopiert. Noch KEIN
anderes Virusprogramm hat Unterverzeichnisse angelegt !!!!
Sucht ueber den FileHeaderBlock den ersten FileDataBlock und
schreibt in T.DATA das LWort IRAK . Der Rest des FileDataBlocks
wird mit eor.l d1,(a0)+
dbra d0,loop
verschluesselt. Bei aktivem SADDAM-VIRUS wird statt IRAK
der richtige Wert 8 angezeigt! (Taeuschung !! vgl. Lamergruppe,
die sauberen BB vortaeuscht!)
Schreibt manchmal in ROOT in $13c (=Zeiger auf BitMapBlock) den
Wert Null. Mit Glueck finden Sie in $140 den Orginalwert (abge-
legt vom Virusprogramm) .
Wenn Sie Pech haben, hat ein anderer Virusprogrammteil diese
Stelle kurz danach auch auf Null gesetzt. Versuchen Sie dann mit
einer Bootdisk den OrginalDisk-Validator zu starten oder versuchen
Sie mit einem Disk-Monitor zu Fuss den BitMapBlock zu finden und
wieder in $13c einzutragen. Oder lesen Sie BitMapTest.dok (11.07.91)
Hinweis: Versuchen Sie bitte NICHT decode IRAK auf einem fms.device
(Grund: phys. und logischer Block verschieden). Sie muessen
IRAK auf einer Disk decodieren !!!!!
Hinweis 2: Ich besitze inzwischen (21.10.91) einen SADDAM-Disk-
Validator mit der Laenge: 1892 Bytes . Dieser Disk-Validator
aktiviert sich trotz Null in $138 und $13c nicht, sondern der
System-Requester erscheint !!!!
- SCA!
- SCA 2 keine Gefahr, nie bootfaehig, immer GURU
deshalb in meinem Prg. nur Nicht-Standard-BB
Begruendung: read $200 nach $7FC00 von Zylinder 79 und
dann jmp $7FA00 (alles klar Anfaenger !!)
- SCARFACE BeginIo, KickTag, KickCheckSum, Vec5
FastMem nein
Vermehrung: ueber BB
ResetRoutine, die ueber Vec5 gesteuert wird (Zaehlzelle > $2710)
Im BB sichtbar: z.B. SCARFACE
- Self-Writer andere Namen: Pseudoselfwriter bei mir Lamer7
da im entschluesselten Programm The LAMER Ex... zu lesen ist und
das Verhalten einem Lamervirus entspricht, halte ich eine
Zuordnung zur Lamer-Gruppe fuer richtig.
- Sendarian Revenge V1.2-Clone, Cool, DoIo, Vec5, im Speicher $7e000
und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste)
Vermehrung: ueber BB
Schaden: nach einiger Zeit neuer Mauszeiger
im BB sichtbar: Sendarian #1Count:
- SHIT-Virus (BB) nicht mit KS2.04, nicht mit FastMem
KickTag, KickCheckSum, BeginIo, Vec5, $64, $68, $6c
haeufig GURU
Zeitzaehler: 8 Min
setzt irgrndwann $60 auf 0
codiert mit: eor.w d0, (a0)+
add.w $xyz(pc),d0
Im codierten BB ist zu lesen: Nuked007 (wobei Nu=RTS)
Zugeschickt wurde mir der BB als Ethik-BB. Diesen Namen kann
ich nicht nachvollziehen.
Schaeden in Abhaengigkeit von der Zaehlzelle:
- schreibt $1400 Bytes ab Block 0 (Absicht ???)
zerstoert also auch Files die ab Block 2 liegen
- schreibt in einen Block ab $30 SHIT
addiert 8 zu $10 im Block (bei OFS=NextDataBlock)
addiert 8 zu $14 im Block (bei OFS=BlockCheckSum)
schreibt den veraenderten Block dann 1 Position
spaeter zurueck.
Diese Files sind NICHT zu retten !!!!!!!!
Gefaehrlich: in weniger als 5 Minuten habe ich 12 SHIT-Bloecke
auf einer Disk erzeugt !!!
- STARFIRE/NorthStar 1 anderer Name BlackStar
Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 1
testet nicht auf SystemZ, nur auf SCA, ByteBandit = DisplayAlert
Vermehrung: ueber BB
Im BB lesbar:
Virus detected on this disk usw.
Reset,WriteProt OFF (bei NorthStar2 nicht vorhanden)
- STARFIRE/NorthStar 2 = OldNorthStar ????
Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 2
testet auf SCA, ByteBandit, SystemZ, NorthStar1, Folge=DisplayAlert
Vermehrung: ueber BB
Im BB lesbar:
VIRUS detected on this disk usw.
My AntiVirus is better! (bei NorthStar1 nicht vorhanden)
- STARLIGHT Warhawk-Clone s.u.
nur Text geaendert
- STARLIGHT II MicroSystems-Clone s.o.
nur Text geaendert
- Suntronic cool,doio, nur Kick1.2 da absolute ROM-Einspruenge
Vermehrung ueber BB , immer $7fa00
Suntronic-Text im BB sichtbar
- SuperBoy Cool, im Prg DoIo, im Speicher immer ab $7ec00
Vermehrung ueber BB
Alertmeldung mit .... The Famous SuperBoy
- Switch-Off anderer Name: Joshua 2 s.o.
- T.F.C. Revenge V1.03 Clone Extreme s.o.
Text geaendert und Text im BB verschoben
- T.F.C. Revenge V2.14
Versionsnummer und Datum geaendert, Rest s.o.
- T.F.C. Revenge LoadWB File, Laenge ungepackt: 2804 Bytes
Fuehrt LoadWB-Befehl aus und legt T.F.C. Revenge BB im Speicher
ab. Verbogene Vektoren siehe bei Extreme.
Vermehrung nur als Bootblock moeglich.
- Taipan-Chaos anderer Name: Chaos s.o.
- Taipan-LameBlame anderer Name: LameBlame s.o.
- Target cool, im Prg. DoIo , immer $7ec00
schreibt auf jede nicht schreibgeschuetzte Disk, die in Block
880 ab $1b0/1 (=Diskname) eine bestimmte Zeichenfolge
enthaelt, ab Track 80 bis Ende (mal was Neues) sinnlose Daten
Ursprungsprogramm:target.install (Malta)
- Termigator: Kick 1.2 (da absolute ROM-Einspruenge)
immer $7f4d0, Cool und DoIo
entschluesselte Alertmeldung:
Only the TERMIGATOR'VIRUS makes it possible! Bye!...
Vermehrung: ueber BB
- Terrorists PrgFileVirus Laenge 1612 Bytes
KickMem, KickTag, KickCheckSum
Textausgabe mit GraphikRoutine
nimmt Namen des 1.Files in der Startup an
verschiebt OrgPrg ins Hauptverzeichnis (unsichtbar s.o.)
Vermehrung: jede nichtschreibgeschuetzte Disk mit Startup
im PrgFile sichtbar: TTV1
schwarzer Hintergrund, weisse Schrift, zeilenweise
THE NAMES HAVE BEEN CHANGED
TO PROTECT THE INNOCENT...
THE TERRORISTS HAVE YOU UNDER CONTROL
EVERYTHING IS DESTROYED
YOUR SYSTEM IS INFECTED
THERE IS NO HOPE FOR BETTER TIMES
THE FIRST TERRORISTS VIRUS !!!
- THE SMILY CANCER LinkVirus, verlaengert das Prg. um 3916 Bytes
Fastmem ja, im Speicher immer ab $7F000, KickTag, KickCheckSum,
SumKickData, im Prg. noch BeginIo und $6c = Vec3
PrgTeile decodiert mit ror.b #2,d1 oder codiert mit rol.b #2,d1
befaellt das erste File der startup-sequence,
testet n i c h t auf Sonderzeichen im Filenamen,
d.h. jedes File wird befallen
nach 20 Vermehrungen:
Mauszeiger aendert sich in gelben Kopf (smily) mit blauem Hut
und Endlosausgabe einer roten Laufschrift:
"????????.........."
" HI THERE!!! A NEW AGE IN VIRUS MAKING HAS BEGUN!!!"
" THANX TO US... THANKX TO: --- CENTURIONS --- "
" AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME"
" OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE"
" CALLED: ` THE SMILY CANCER ` "
" HAVE FUN LOOKING FOR IT... AND STAY TUNED FOR OUR NEXT PRODUCTIONS. "
" CENTURIONS: THE FUTURE IS NEAR!"
" "
Ausserdem ist im decodierten Prg noch zu lesen:
(erscheint nicht in der Laufschrift)
HELLO HACKERS OUT THERE!! A NEW FORCE HAS BORN IN ITALY:
--- CENTURIONS ---. OUR TEAM IS COMPOSED OF 2 GUYZ:
ME & HIM.(AHAHHA!)
THE AIM OF - - CENTURIONS - - IS JUST VIRUS MAKING..
WE HAVE LOTTA FUN DOING THIS AND WE ALSO HOPE TO GIVE FUN TO THE
KILLERS MAKERS (HI STEVE TIBBETT!) HAW! HAW! HAW!
SIGNED: ME & HIM / CENTURIONS
Hinweis: Ich besitze ein Smily-File mit vier Links
- The Smily Cancer II Filevirus Laenge: 4676 2x verschluesselt
nach 1x entschluesseln mit eori.b #$90,d1
subi.b #$22,d1
kann man am Fileende lesen:
CENTURIONS STRIKES BACK: THE SMILY CANCER II
Beim Starten des Programms wird der loadwb-Befehl simuliert und
der Virusteil setzt sich im Speicher fest. Die Vermehrung erfolgt
dann als Smily 1, d.h. es findet KEINE Vermehrung als Smily II
statt. siehe oben
- The Traveller 1.0
KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F000
abhaengig vom Zaehlerstand: Textausgabe
roter,gruener und blauer Balken, schwarze Schrift
NEVER HEARD OF VIRUS-PROTECTION ??? -LAMER !!!
Vermehrung und Schaden: BB (auch HD !!!!!!!!!)
- Tick
siehe unter Julie
- TimeBomb V0.9 Trojanisches Pferd
wird mit dem Prg. BMassacre erzeugt (da steht auch TimeBomb V0.9)
besteht aus 2 Teilen in SubDir c und Root:
in c: .info = Virus Laenge: 7840 Bytes
in Root: pic.xx = Zaehler (Startwert=6) Laenge: 1 Byte
in der 1.Zeile der startup steht: c/.info
nicht resident, keine Vermehrungsroutine in .info
Verhalten: vermindert bei jedem Neustart den Wert in pic.xx um 1 .
Sobald 0 erreicht ist, wird die Disk formatiert.
Damit der Wert in pic.xx geaendert werden kann, darf die Disk
nicht schreibgeschuetzt sein. Falls doch, erscheint:
User Request : Please remove write Protection and press
left Mouse Button to continue..
Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung
der Disk nicht moeglich.
Im Cli wird immer ausgegeben:
RAM CHECKED - NO VIRUS FOUND.
- TimeBomb V1.0 BB-Virus
( verbiegt keine "bekannten" Zeiger )
(je nach Zaehlerstand wird eigener BootBlock geschrieben,
(( Einsprung bei #$70208))
oder Track 80 (Directory) mit Speicherinhalt ab #$20000 ueberschrieben
= Disk wird unlesbar !!!)
(( Einsprung bei #$70026))
- TimeBomber Trojanisches Pferd
wird mit dem Prg. TimeBomber erzeugt
besteht aus 2 Teilen in RootDir:
virustest = Virus Laenge: 936 Bytes
virustest.data = Zaehler (Startwert=5) Laenge: 1 Byte
in der 1.Zeile der startup steht: virustest
nicht resident, keine Vermehrungsroutine in virustest
Verhalten: vermindert bei jedem Neustart den Wert in virustest.data
um 1 .Sobald 0 erreicht ist, wird die Disk formatiert.
Damit der Wert in virustest.data geaendert werden kann, darf die
Disk nicht schreibgeschuetzt sein. Falls doch, erscheint:
User Request : Please remove write Protection and press
left Mouse Button to continue..
Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung
der Disk nicht moeglich.
Im Cli wird immer ausgegeben:
RAM checked - no virus found.
- Tomates-Gentechnic-Service = TimeBomb-BB-Clone
nur der Text wurde veraendert
- Trabbi Link anderer Name: Hochofen s.o.
- Traveling Jack
LinkVirusPrg mit variabler HunkLaenge
verbiegt DosBase+$2E (= dos.library-Zeiger ins ROM), nicht resetfest
a) schreibt ein File auf Disk VIRUS.xy Laenge immer 198 Bytes
x u. y sind HexZahlen, die ueber $BFE801 bestimmt werden.
Text in VIRUS.xy:
The Traveling Jack....
I'm traveling from town to town looking for respect,
and all the girls I could lay down make me go erect.
-Jack, 21st of September 1990
b) linkt sich an andere Prg.e
Bedingungen:
DOS0-Disk, Disk validated, 12 Bloecke frei auf Disk, Filelaenge
mind. 2000 Bytes, FileName mind. 5 Zeichen, FileName enthaelt
kein Zeichen kleiner als $40,
kein Info.File
Typ A:
LinkHunkLaengenBerechnung:
$24C + Wert aus $DFF006
decodiert im Speicher $909+1 Bytes
Typ B:
LinkHunkLaengenBerechnung:
$25B + Wert aus $DFF006
decodiert im Speicher $945+1 Bytes
- Travelling Jack 3 gibt es nicht, es handelt sich um Typ B, glauben
Sie mir. Einige andere VirenChecker machen einen Fehler, indem sie
die Hunklaengenaenderung nicht beachten und erkennen deshalb nur
EINEN Typ B, obwohl mehrere moeglich sind. (Stand 28.09.91)
- TRISTAR-Viruskiller V1.0
Es ist NICHT der Orginal TRISTAR- BB gemeint, sondern jemand hat
den Text in einen Target-BB (sehr kurzer Code) eingesetzt.
Oh, ihr Anfaenger !! VT erkennt Target s.o.
- Trojan anderer Name: Incognito s.o.
- TURK_V1.3 Cool, DoIo, im Speicher immer $7f000
schreibt TURK nach $60
Vermehrung: ueber BB
Textausgabe (entschluesselt mit subq #6,d0) ueber DisplayAlert:
Amiga Failure... Cause: TURK VIRUS Version 1.3!
im BB sichtbar: TURK
- TWINZ SANTA CLAUS Coder-Clone s.o.
Text geaendert im BB: THE SANTA CLAUS VIRUS !!!! usw.
- U.K.LamerStyle anderer Name: Clist s.o.
- UF-Virus anderer Name: UltraFox s.u.
- ULDV8 kein Fastmem, KickTag, KickCheckSum, BeginIo, IntVec 5
im BB sichtbar: ULDV8
fordert trackdisk.device
Vermehrung:BB
- UltraFox Cool, DoIo, FastMem ja, nur KS1.2 da $fc06dc
Vermehrung: ueber BB
im Speicher immer ab $7eb00
Zaehlzelle groesser $f = Textausgabe, Graphikroutine
Hintergrund dunkelblau, Balken hellblau, Schrift gelb.
Greetings from ULTRAFOX of Aust.
- Umyj Dupe nur KS1.2, da absoluter DoIo-Romeinsprung
KickTag, KickCheckSum, DoIo, immer ab $7F800
Fordert trackdisk.device nicht !!!
Schaeden und Vermehrung:
Bootblock
Schreibt in Block 880 (ist nur bei Disk der RootBlock)
Umyj Dupe usw.
DisplayAlert:
Umyj Dupe usw.
- Vermin Cool, im Prg DoIo immer ab $7eb10
fuellt nicht benoetigten Platz im BB mit Inhalt von $DFF006 auf.
Vermehrung und Schaden: Bootblock
- VIRUS FIGHTER V1.0 BB auch mit KS2.04 VKill-Clone s.u.
Prg-Code = VKill
DecodierLW geaendert: "1991" (nuetzt bei VT NICHTS!! )
decodierter Text fuer Requester anders:
VIRUS FIGHTER V1.0 usw.
- VIRUS PREDATOR BB: anderer und eigentlich falscher Name: Julie s.o.
- Virus V1 immer ab $7EC00 Cool $7ec62, DoIo $7eca8
Arbeitet auch mit KS2.04 !
Fordert trackdisk.device NICHT !!!
Schaeden und Vermehrung:
ueber Bootblock
sobald die Zaehlzelle den Wert $F erreicht hat:
Textausgabe mit Graphics-Routinen
dunkler Hintergrund
Virus V1 (rot)
Wir sind wieder da ahaaa.. (gruen)
Der letzte Text ist auch im BB zu lesen
- Virusblaster V2.3 ungepackt 9232 Bytes
gepackte Version (Powerpacker ??) fehlt mir
keine Vermehrung, keine Vektoren verbogen,
(also von der Definition her KEIN Virus, aber auf Zerstoerung
ausgelegt)
zerstoert Disk in Df0
meldet sich im Cli als AntiVirenProgramm von M&T 7/91
einfach loeschen
Herkunft: Virusblaster.LZH 27944 Bytes
- Doc-File (geaendertes VT2.26doc-File)
- Virusblaster PP 7292 Bytes
- virustest anderer Name: TimeBomber s.o.
- VKill 1.0 anderer Name: Aids, veraendert PutMsg
mit FastMem:
(loescht j e d e n nicht schreibgeschuetzten Bootblock o h n e Warnung !!!,
auch wenn es ein Org. Bootblock ist !! )
mit nur ChipMem:
(schreibt ohne Warnung eigenen Bootblock)
EntschluesselungsLW: " KEN"
- WAFT BB Cool, DoIo auch mit KS2.04 Vermehrung
Teile des BB`s codiert mit eori.b #-$31,(a0)+
ergibt u.a. Text: W A F T usw
Vermehrung u. Schaeden:
- BB
- DisplayAlert
- sucht Screen- u. Windowstruktur
- Warhawk Cool, im Prg. DoIo, liegt immer ab $7e600
- Warshaw Avenger BeginIo, KickTag, KickChechSum, SumKickData
grosse Aehnlichkeiten mit Lamer, BB aber unverschluesselt
schreibt je nach Zaehlerstand BB oder schreibt in einen
Diskblock (Lage je nach $dff006) $55 x Warsaw und 1 x !! .
- XENO Link-Virus, verlaengert das befallene Prg. um 1124 Bytes
verbiegt DosOpen, DosLock und DosLoadSeg
erhoeht Hunk-Zahl im File-Header nicht !!!
testet vor Befall Filenamen auf 0-9, a-z und A-Z,
Folge: Programme, deren Namen SonderZeichen enthalten, werden
n i c h t befallen.
Ausserdem werden a l l e Prg., die im Unterverzeichnis
l oder devs stehen, n i c h t verseucht.
Textausgabe (Output, Write) in Abhaengigkeit von $DFF006
Text wird erst zur Ausgabe decodiert ( eori.b #-$80,(a0)+ ) :
Greetings Amiga user from the Xeno virus!
in einem verseuchten File ist in der Naehe von $460 mit einem
Monitor zu sehen:
l.devs.fastfilesystem.
- Xerox = DIGITAL AGE = Forpib-Clone
nur Text geaendert
- ZACCESS V1.0 16Bit-Clone s.o.
nur Text geaendert
- ZACCESS V2.0 Forpib-Clone s.o.
nur Text geaendert
- ZACCESS V3.0 Extreme-Clone s.o.
nur Text geaendert
- ZOMBI I-Virus Cool, im Prg DoIo, immer ab $7A000
fordert trackdisk.device NICHT
Vermehrung: BB
Schaeden:
Sobald die Zaehlzelle den Wert $F erreicht hat:
- RootBlock und Bitmapblock neu schreiben !!!!
- Name der Disk dann: Zombi I
- Textausgabe mit DisplayAlert
Text wird decodiert nach $70000 mit eori.l #$AAAAAAAA,(A0)+
>>>>> Hello AMIGA User !!!!! <<<<<
HERE IS ZOMBI I
If you want to clean your Disks
use Zombie I without risks !
Da der BitMapBlock immer nach $371 geschrieben wird, was aber
im DOS nicht zwingend festgelegt ist, kann ein File, das beim
Block $371 beginnt, zerstoert werden. Alle Hashwerte im Root-
Block werden auf Null gesetzt. Beim BitMapTest erkennen Sie
diese Disk am Namen Zombi I ab $1B0.
Rettung: DiskDoc oder DiskSalv aufrufen.
- erkannte Virenfinder:
=====================
teilweise KickRomV1.2, haeufig mit Bootblock-Schreibzugriff,
veraltet, resident, werden nach Abfrage geloescht
- AmigaDOS Viruskiller V2.1 immer ab 7F3F0, resetfest
verbiegt DoIo, KickTag, OpenOldLib, und im Prg OpenWindow
Schreibt in CLI-Leiste AmigaDOS Viruskiller 2.1
meldet veraenderten Bootblock und bietet BB-AmigaDOS an.
GURU mit KS2.04 deshalb Empfehlung loeschen
- ASS VirusProtector V1.0 (KickV1.2, Tonfolge)
FastMem ja, KickTag, KickCheckSum, Vec5
- Blizzard Protector V1.0
testet Cool, Vec3, falls veraendert wird ohne Warnung
eigener BB geschrieben (verwendet dazu ueber den verbogenen
CoolVector das andere Prg (jsr 82(a0))
Empfehlung: loeschen
- BlizzPro V3.1 cool, Fastmem ja,
im Prg. closedevice (oh, was neues)
Vermehrung: ueber BB
erkennt einige Viren, schreibt aber KS1.2 DoIo zurueck
Meldung ueber DisplayAlert
unverschluesselter Text im BB:
BlizzPro V3.1 und Virennamen
- BlizzPro V3.3 Cool gegenueber BlizzPro V3.1 verschoben
NICHT mit KS2.04
kein Virus = Bildschirm gruen
sonst s.o.
unverschluesselter Text im BB:
BlizzPro V3.3 und Virennamen
Empfehlung: sofort loeschen
- CLONK! DoIo, KickMem, KickTag, KickCheckSum, SumKickData
nur 512KB Chip (oder resetfestes 1MB), da zur Aktivierung
immer ein Reset ausgefuehrt wird. (7D042 nach $80, TRAP 0)
Ursprungsprogramm: Clonk! (Alcatraz)
- DISKGUARD v1.0 cool, im Prg DoIo, immer $7FA00
Vermehrung: ueber BB
Meldung fremder BB.e: mit DisplayAlert
schreibt immer DoIo von KS1.2, Folge: Guru mit KS1.3
Empfehlung: loeschen
- H.C.S I veraendert cool, im Prg DoIo, loescht KickTag
im Speicher immer ab $7EC00
Vermehrung: jeder DOS-BB ohne Warnung !!!!
- H.C.S II veraendert cool
erkennt einige alte BBViren ( Alertmeldung )
beim ersten Bootblockschreiberfolg wird noch der
DoIo-Vector verbogen und bleibt verbogen
bei leerem Laufwerk blinkt PowerLed
- Monkey-Killer AssProt-Clone Empfehlung loeschen s.o.
Endlich hat es jemand geschafft den Text abzuaendern. Leider
erkennt VT diesen BB weiterhin als ASS-Prot.BB .
- NO BANDIT soll ByteBandit am Bootblockbefall hindern
Text: NO BANDIT ANYMORE! R.T.
Empfehlung: loeschen
- Sherlock AntiVirenBB , Cool, DoIo, resident im Speicher,
im Speicher immer ab 7FA00, benutzt zusaetzlich 7CA00,
Textausgabe mit DisplayAlert
schreibt bei mehr als 512KB BeginIo an falsche Stelle,
Empfehlung: loeschen
- SystemZ V3.0, 4.0, 5.0, 5.1, 5.3, 5.4, 6.1, 6.3, 6.4, 6.5
KickTag, KickCheckSum, loescht Cool, im Prg. DoIo
Melodie und Farbbalken
ab 6.3 keine speicherabsolute Adresse mehr
neuer Name Virusprotector (meldet sich vor Schreibzugriff)
- Virus-Killer
KickMem, KickTag, KickCheckSum
- VIRUS SLAYER V1.0 Cool, DoIo, im Speicher immer $7FA00
nur KS1.2 da DoIo absolut ROM
veraltet, Empfehlung: loeschen
Vermehrung: ueber BB
- erkannte Nutzprogramme:
=======================
teilweise mit Kennung (N) versehen
- ACT-Killer ;BeginIo, KickTag, KickCheckSum, SumKickData
(Antivirenprogramm)
- alert.hook ;KickMem, KickTag, KickCheckSum
(NewAlert)
- ALF-HD ;KickTag, KickCheckSum, KickMem
- ATool ;fast alle Vectoren
(Utilities)
- Berserker 5 (AntiVirenPrg.)
- BOIL3-HD ;KickTag, KickCheckSum, KickMem
- BootPic ;KickMem, KickTag, KickCheckSum
- Bootpreventor ;Cool, im Prg DoIo
Empfehlung: loeschen
- BootSelector ;KickMem, KickTag, KickCheckSum
- Cache-Disk ;BeginIo
Taskname: CacheDisk.device
- FaccII ;BeginIo
(FloppySpeeder)
- fixvideo ;KickMem, KickTag, KickCheckSum
(verhindert NTSC-BOOT mit KS1.3)
- Guardian V1.1/V1.2 ;KickMem, KickTag, KickCheckSum
(Antivirenprogramm)
- ICD-HD ;KickMem, KickTag, KickCheckSum
- LVD ueberwacht loadseg
Variante b: aendert auch KickTag
Hinweis: eine Prg.- Version
hat Probleme mit Overlay-
programmen z.B. dPaint III
- MemGuard 4 (Speicherueberwachung)
- MemWatch (Speicherueberwachung)
- PatchLoadSeg ;loadseg
(Pieter van Leuven)
- PCL deluxe V1.10 ;Cold, Cool, SumKickData, Vec5
(Antivirenprogramm)
- Power-Utility ;BeginIo, KickTag, KickMem, KickCheckSum
- PP-Patcher ;Fish 515 veraendert dos.lib
; open, close, write, examine
;solange PP-Patcher aktiv ist, erkennt VT
;PP-Data nicht, da diese beim Laden ja
;entpackt werden!!!!
- PPLoadseg ;LoadSeg und ab KS2.0 auch NewLoadSeg
- ProKiller V1.03 ;Antivirenprogramm
- Protec III ;KickTag, KickCheckSum
(Antivirenprogramm)
- Pseudo-Ops ;KickMem, KickTag, KickCheckSum
(Antivirenprogramm)
- RAD: ; KickTag, KickMem, KickCheckSum (auch KS2.04)
(Commodore resetfestes RamDrive)
- RETRAX ;Cool, $6c
(Antivirenprogramm)
- RRam Disk ;KickMem, KickTag, KickCheckSum
(Recoverable Ram Disk)
- Setpatch r V1.34 1MB RAD ; Cold
- SnoopDos ;Open usw.
- Superlock ;verhindert Zugriffe auf Speichermedien
auf Dos-Ebene, NICHT aber auf Device-Ebene
- TrackSalve V1.3 ;Disk-Utility
- TurboPrint II+Prof ;KickTag, KickCheckSum, (Prof. auch Cold)
(Drucker-Utility)
- Ultrakill ;Cold, Cool
(AntiVirenProgramm)
- VD0: (ASDG-RamDisk)
- VirusControl ;Cold, Cool, DoIo, BeginIo
(AntiVirenProgramm)
;neuere Version:
Cold, Cool, KickTag, KickCheckSum
- VIRUS MURDERER ;Cold immer $7EC00
testet Vectoren
- harmlose Programme:
===================
- ANTI-Disk-Validator Laenge: 1848 Bytes
in einen Disk-Validator von WB1.3 Worte das Wort ANTI ein-
gebaut. Ueber diesen String wird mit bra.s hinweggesprungen.
Die zusaetzlichen 8 Bytes werden wieder eingespart durch die
Umwandlung von zwei Longs in Short im weiteren Programm.
Dieses Programm ist harmlos. Um aber das Durcheinander bei
den Disk-Validatoren gering zu halten, empfehle ich:
LOESCHEN !!!!!
- schaedliche Programme:
======================
- ByteWarriorCreater gepackt: 6012 Bytes (TNM)
ungepackt: 7360 Bytes
Erzeugt mit Fastmem eine NDOS-Disk
Ohne Fastmem wird der ByteWarrior in den Bootblock geschrieben
- DAG_Creator ungepackt: 7000 Bytes
schreibt DAG-Virus in BB von df1:
- Disk.info Laenge: 370 Bytes KEINE Vermehrung
Ein OrginalWB1.3-Icon wurde in der Struktur geaendert. (Text
eingebaut z.B. This is a little present for all Lamers
abroad ). Sobald Sie diese Disk einlegen und es muesste das
Disk-Icon auf der WB angezeigt werden, stuerzt der Rechner
ab. Haben Sie die Startup-Sequence im Cli abgebrochen, so
muss kein Icon dargestellt werden und deshalb koennen Sie
mit dieser Disk ohne Probleme arbeiten. AbHilfe: Ersetzen
Sie Disk.info .
- Lhwarp_V1.40 Laenge: 47880 Bytes (ungepackt)
Hinweis eines Users: mit Impl: 24788, mit PP: 27828
Schreibt bei mir auf Zieldisk, falsche DiskStruktur beim Entpacken.
Disk dann unbrauchbar. Bitte fuehren Sie aber mit unwichtigen
Disks selbst Tests durch und testen Sie mit BlockKette.
- LZ 2.0 Hinweis: Stand 21.09.91
In Boxen ist ein LZ2.0 aufgetaucht, mit Laenge 37380 Bytes
entpackt. Muss sich um einen Patch handeln und soll Archive
zerstoeren. Hab ich, wird aber von VT nicht erkannt.
Die hoechste OrginalVersionsNummer von LZ war am 22.09.91
LZ 1.92 .
- Virusmaker
erzeugt nach Wahl: Byte Bandit, Byte Warrior, S.C.A., North-
Star 1+2, System Z
- X-Ripper V1.1 Laenge: 41360 Bytes (ungepackt)
erlaubt mit inst 5 das Schreiben eines Lamer-BBs. Es wird
aber eine NDos-Disk daraus, weil die DOS0-Kennung um 8 Bytes
verschoben angelegt wird.
- andere Bootbloecke:
===================
- Amiga Action Replay harmlos
- Anachos Virus-Slayer 3.12 harmlos
- AntiRipperBoot anderer Name: The Punisher s.u.
- Bavarian nach meiner Meinung harmlos
andere Prge. meinen SinMut
- BootGen V3.4 Bootmenue harmlos
- BootGirl harmlos sichtbar im BB: BBM 1987
- BootIntro V1.2 von R.F. harmlos
Laufschrift
- BootLeg V2.1 harmlos
- Boot Menu v3.1 Peter Stuer harmlos
- Bootpreventor harmlos sichtbar:Bootpreventor
- Copylock 91 harmlos
Stand 01.10.91 : wieder entfernt, da zu viele Varianten
- countach v1 testet Vectoren, keine Schreibroutine, harmlos
- DiskSafe PROTECTOR v1.0 harmlos
- Fastloader by Byte Warrior
aendert nur Werte in der Portstruktur (step-Schleife und
Zeitschleife fuer Kopfberuhigung)
nicht resident, keine Vermehrung, Reset falls beim Bootvorgang
linke Maustaste gedrueckt.
Meine Meinung: Install, da neue Werte zu extrem (WriteErrors!!)
im BB sichtbar: >>Fastloader by Byte Warrior !<<
- Hallon Boot F1-F6 Menue
Empfehlung: loeschen
- Hypnosis Boot harmlos
- Install 2 BB Ralph Babel harmlos
schaltet externe LW ab
- INTERFERON harmlos, nicht resident
testet Cold, Cool, Kicktag auf Null, falls nein: ROM-Reset
Textausgabe ueber Graphikroutine
im BB sichtbar: I N T E R F E R O N usw.
- INTERFERON PRO! harmlos
testet Vektoren und bietet F-Tastenmenue an
- LSD BOOT v1.1 harmlos
- Magic BB harmlos
testet Vektoren und PAL
- Meikel BB harmlos
testet Vektoren
- MemoryAllocator V1.3
harmlos
- MemoryController V1.3
harmlos
- MOSH-BB Cool, nach Reset auch $68 immer ab $7C000
soll Virusdemo sein (so ein Schwachsinn)
keine Vermehrung, codiert mit MOSH, eor.l d0,(a0)+
dringende Empfehlung: loeschen
- NoBoot
Cold, Cool, im Prg. DoIo usw. , keine Vermehrung
vgl. Kickstart 10.90 S87ff
- NOLL DETECTOR harmlos, nicht resident
testet Cold, Cool, Kicktag auf Null, falls nein: ROM-Reset
Textausgabe ueber Graphikroutine
im BB sichtbar: DIETMAR NOLL usw.
- N.O.M.A.D harmlos
- Outlaw-VirusChecker
keine Vermehrung, erkennt SCA. Schreibt aber immer KS1.2 Werte
(z.B. Vec5 $fc12fc) zurueck. Folge: GURU mit KS1.3
nicht resident
- Peter Stuer V5.0 BB harmlos
testet Vektoren
- POWER POINT Antivirus harmlos
- PROBOOT 1.0 F1-F7 Menue, testet Vectoren
mit Install !?!? (auf Wunsch), sonst harmlos
- PVL Sound BB harmlos
gruener Bildschirm, Tonfolge, schliesst graphics.library nicht
- Random Access CopperIntro
schreibt GURU nach $60, nicht resident, keine Vermehrung
Empfehlung: loeschen
- REVENGE OF MAD ganz normaler BB
Der Speichermuell (REVENGE OF MAD usw) im BB wird NIE erreicht !!!
- Scoopex utility V1.0
harmloser Bootblock,
- SD-Boot Fish561
auch mit KS2.04, schaltet LW`e ab
- Seek & Destroy harmlos
- Sinister Syndicate , nicht resident
wird von ZeroVirus 3 als Virus erkannt
ich halte das fuer ein CopperIntro, ohne eor- oder Vermehrungs-
routine, GURU wird in $60 geschrieben, kann im Arbeitsmenue
zurueckgesetzt werden (vgl. Obelisk)
- STARLIGHT harmlos
Endlich hat es jemand geschafft den Text von Viruscope V1.0BB
zu aendern. Kann leider weiterhin nur als Viruscope erkannt
werden. Tut mir leid wegen den vergeblichen Bemuehungen ???
- Telstar cold, cool, Zaehlzelle $c0
ganz gemein, taeuscht durch Text Virusprotector 6.0 vor, entschluesselt
(neg.b) BBteile nach $7fc00, jeder 4/2.Reset Graphikausgabe (holl.
Flagge und Text u.a. Telstar), keine Vermehrungsroutine gefunden.
- The IRQ Protector (BB) und FilePrg
keine Vermehrung
Verbiegt OpenLibVector nach $120, prueft aber vorher nicht, ob
dieser Vector vielleicht schon falsch ist.
FilePrg: verbiegt OldOpenLib an eine beliebige Speicherstelle,
ohne Vectorpruefung.
Empfehlung: loeschen
- The Punisher anderer Name: AntiRipperBoot, Cold
verbiegt Cold und schreibt einen Wert kleiner $FF in diese Zelle.
Folge: wird von einer anderen Disk, die diesen BB nicht ent-
haelt gebootet, so erfolgt ein Reset.
Empfehlung: loeschen
- The Supply Team
nicht resident, keine Vermehrung, aber schreibt nur KS1.2-Vectoren
Empfehlung deshalb: Install
loescht Cool, KickMem, KickTag, KickCheckSum. Aber schreibt immer
nur absolute KS1.2-Vectoren: DoIo, BeginIo, Vec5
Anschließend: Textausgabe ueber GraphikRoutine, dunkler Hinter-
grund, hellbrauner Balken, dunkelbraune Schrift
Text auch im BB sichtbar: The Supply Team
- UNICORN V1.1 harmlos
nach meiner Meinung ein CrackerBB mit Bildladefunktion
einige Virenkiller glauben eine Formatroutine zu finden:
der Befehl move.w #$b,$1c(a1) kommt vor, aber bis diese Zeile
erreicht wird, ist das trackdisk.device schon wieder abge-
meldet und input.device angemeldet. (Writeevent?)
- VirKill V2.0 harmlos
- Viruscope V1.0 BB
harmlos
- VIRUS MURDERER als BB harmlos
- Virus v4.2 harmlos
DisplayAlert beim Booten I controll your computer usw.
keine Vektoren verbogen, keine VermehrungsRoutine
Empfehlung: loeschen
- VirusTerminator 1.0 = A.C.I.D
keine Vermehrung, erkennt SCA, Byte und DASA. Schreibt aber immer
KS1.2 Werte (z.B. DoIo $fc06dc) zurueck. Folge: GURU mit KS1.3
nicht resident
- VirusTerminator 3.0 = A.C.I.D
keine Vermehrung, erkennt einige Viren, DisplayAlert, loescht
dann Cool und fuehrt einen Reset mit ROM-Einsprung aus.
nicht resident, harmlos, da keine falschen Zeiger gesetzt werden.
- XCOPY harmlos
Textausgabe mit Graphikroutine: NO VIRUS ON BOOTBLOCK!
- ZeroVirus III harmlos
Markierte Bootbloecke:
- TuBu-Disk-defekt-BB
TurboBackup hat beim Kopieren auf der Zieldisk HardErrors erkannt
und die Bootblockmarkierung nicht zurueckgesetzt.
- Comm-Disk-defekt-BB
Orginal-Format von WB1.3 u. 2.0 hat beim formatieren auf der
Zieldisk HardErrors erkannt und die Bootblockmarkierung nicht
zurueckgesetzt.
Es werden nur Viren ohne KReset geloescht, die ich selbst reassembliert habe.
Leider werden die Virenroutinen immer besser (immer mehr Listen und Zeiger
veraendert), sodass mit vernuenftigen Aufwand der Org.Zustand nicht mehr
hergestellt werden kann. Deshalb inzwischen auch bei einigen Viren, die
ich reassembliert habe, nur noch KRESET !!
Alles andere ist mir zu gefaehrlich !! (Zeiger vergessen, Task nicht erkannt
usw.)
Cruncher:
=========
- Black & Decker V2.0
- Byte Killer V1.2+
- Compacker+ V4.2
- Crunch Master V1.0
- DEFJAM Packer V3.2
- Double Action V1.0
- DRAGPACK v1.0
- High Pressure Cruncher
- HQC-Compress
- HQC-Cruncher
- Imploder (mit 4.0)
- ISC V1.5 (Rainbow Trio)
- Kompress (nur Texte)
- LightPack V1.5
- LzHuf
- Mastercruncher V3.0
- Max Packer V1.2
- Mega Cruncher V1.2
- P-Compress
- PackIt V1.0
- PowerPacker (mit 4.0a)
- PowerPacker-Data
- PowerPacker-Clone
- Relokit V1.0
- RSI-Cruncher
- Stone Cracker V2.99b
- Super Cruncher V2.7
- SupplexCruncher
- Syncro Packer V4.6
- Tetra-Crunch V1.1
- Tetra-Pack (r,t,o)
- Time-Cruncher V1.7
- TITANICS-Cruncher
- TNM-Cruncher V1.1
- TryIt V1.01
- TUC-Cruncher
- TURBOSQUEEZER V8.0
- Ultimate Packer V1.1b
Archive:
========
- APE
- ARC
- ARJ
- compress
- LhArc
- LhArcA
- LhASFX (SFX!)
- LhPak V1.3 (LSFX)
- LHSFX
- LZ (mit -lh5-) Laenge: LZ1.92 52428 Bytes
Vorsicht mit LZ 2.0 s.o.
- PKAZip
- Unpack (AmigaPlus)
- ZOO 2.x
Disk- und Trackcruncher:
========================
- Disk Imploder
- Lhwarp Vorsicht mit LHwarp V1.40 s.o.
- The Disk Masher (DMS)
- Warp
- ZOOM 4.x
- ZOOM 5.3
SoundPacker:
============
- NoisePacker
- SoundTracker V1.0 (mit Data)
Heiner Schneegold
Am Steinert 8
8701 Eibelstadt
(W-Deutschland)
Tel: 09303/8369
(19.00 - 20.00 Uhr)
Heiner
