Amiga Collections: Taifun

home *** CD-ROM | disk | FTP | other *** search

/ Amiga Collections: Taifun / Taifun 220 (1992-09-10)(Manewaldt, A.)(DE)(PD).zip / Taifun 220 (1992-09-10)(Manewaldt, A.)(DE)(PD).adf / Schutz / VT.kennt < prev next >

Wrap

Text File | 1992-09-12 | 146KB | 3,314 lines

VT2.44 kennt: ============== (oder sollte erkennen) Stand: 09.09.92 - bitte lesen Sie zuerst VT.LiesMich. Danke ! - Serienersteller sollten vorher Kontakt mit mir aufnehmen !!! Heiner Schneegold Am Steinert 8 8701 Eibelstadt W-Deutschland Tel. 09303/8369 (19.00 - 20.00 Uhr) nicht sicher erkannte Viren: (die ich nicht habe, alte Viren nur 2) - Requester enthält vier umgedrehte Fragezeigen - das jeweils eine Testlangwort, wurde teilweise aus dem SourceCode mehrerer bekannten VirenschutzProgramme (PD) ent- nommen. - deshalb bei Anzeige nur Kreset oder weiter - bekannte Viren (die ich habe): ============================== (werden vom Prg. erkannt und ohne RESET (nein, drei Virus-Prg.e nicht mehr s.u.) im Speicher geloescht) Test auf drei Langworte im Speicher !!! Kein FastMem heisst, dass das VirusPrg mit FastmemKarte bei mir abstuerzt, koennte aber mit $C00000 oder einer anderen FastMemKarte laufen ???? - .info anderer Name: TimeBomb V0.9 s.u. - 16 Bit Crew Cool, im Prg. noch DoIo, FastMem ja, im Speicher immer ab $7ec00 Vermehrung: ueber BB im BB steht unverschluesselt: The 16 Bit Crew 1988 - 2001 SCA-Clone, Cool immer 7EC3E, nur anderer Text - Abraham siehe Claas Abraham - aibon-Virus siehe bei Express2.20-Virus - Aids Vkill-Clone siehe dort Unterschied: 3 Bytes 1.Byte: in der Pruefsumme 2.Byte: Vermehrungszaehler 3.Byte: Einsprung in entschluesselten Text (ein Prg. springt z.B. nach $7ebc3, das 2. Prg. nach $7eba9) - AIDS-HIV SCA-Clone, Cool immer 7EC3E, nur anderer Text - AlienNewBeat Cold, Cool, DoIo, nur KS1.2, Fastmem ja im Speicher immer ab $20000 Vermehrung: ueber BB Vermehrungszaehler: $2037e Text im BB sichtbar: z.B. THIS IS THE ALIEN NEW BEAT BOOT! - Amiga Freak Forpib-Clone s.u. nur Name im BB geaendert - AMIGAKNIGHTVIRUS Filevirus Laenge: 6048 (ungepackt) DoIo, KickTag, KickCheckSum Schreibt in Root das File init_cli und auch in startup-sequence Sonst keine Schaeden festgestellt. Nach 5 Resets wird der Bildschirm schwarz und rosa Schrift fuer Text. Der Text ist bis dahin codiert. oberer Bildschirmbereich: YEAH, THE INVASION HAS STARTED! YOUR TIME HAS RUN OUT, AND SOON WE WILL BE EVERYWHERE! Bildschirmmitte: Vektordemo unterer Bildschirmbereich: THIS IS GENERATION 0039 OF THE EVIL AMIGAKNIGHTSVIRUS GREETINGS TO DUFTY, DWARF, ASID CUCUMBER ASTERIX, ANDY, AND ALL AMIGIANS I KNOW Vectordemo: 3 TextTeile erscheinen mit Zoomeffekt nacheinander a) Toco of b) THE c) AMIGAKNIGHTS - Art Byte Bandit anderer Name: ByteBanditPlus s.u. - ASV-Virus immer $7DC00, Cool, im Prg Forbid, loescht KickTag usw. keine Vermehrungsroutine Schaden: verbiegt mit setfunction Forbid auf ChipAllocMem-Routine d.h. bei jedem Forbid-Aufruf geht ChipMem verloren. - Australian Parasite Fastmem ja, Cool, DoIo, im Prg. BeginIo Vermehrung: ueber BB ueber GraphikRoutine wird BildschirmInhalt gedreht im BB sichtbar: The Australien Parasite! By Gremlin 18/5/88! Will NOT destroy game bootsectors or corrupt disks, and kill other viruses! HINWEIS: manchmal gibt VirusX Australian Parasite aus, obwohl es sich um den SADDAM Disk-Validator handelt !!!! - AutoBootingBootProtector V2.0 anderer Name: VCCofTNT-Virus s.u. - BAHAN anderer Name BUTONIC_1.1 siehe dort - BGS9 I (schiebt Org.Prg. in devs) Bytes 2608 laueft mit KS2.04 !!!!! Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt der BGS9 I bei fehlendem devs-Verz. das OrgPrg unsichtbar in das Hauptverzeichnis. KickMem, KickTag, KickCheckSum, OpenWindow PrgTeile verschluesselt mit eori.l #$1AF45869,(a0)+ unsichtbares File in devs: A0A0A0202020A0202020A0 am Ende des Prg.Files ist mit einem Monitor zu sehen: TTV1 beim 4.Reset Textausgabe ueber GraphikRoutine: schwarzer Hintergrund, weisse Schrift A COMPUTER VIRUS IS A DISEASE TERRORISM IS A TRANSGRESSION SOFTWARE PIRACY IS A CRIME THIS IS THE CURE BGS9 BUNDESGRENZSCHUTZ SEKTION 9 SONDERKOMMANDO "EDV" Entfernung: File in devs in OrginalPrg. umbenennen BGSVirusFile loeschen OrgPrg aus devs in entsprechendes Verzeichnis kopieren Hinweis: es wird ein unsichtbares File (Name s.o.) weiterge- geben mit der Laenge #64 und dem Inhalt "Protection file!". Dieses File soll einen BGS9-Befall der Disk verhindern. Clone: 04.03.92 TTV1 durch FUCK ersetzt - BGS9 II aehnlich BGS9 I aber File in devs jetzt: A0E0A0202020A0202020A0 Hinweis: $E0 ist ein a mit Akzent Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt der BGS9 II bei fehlendem devs-Verz. das OrgPrg in das Hauptverzeichnis. Aenderung im Text: :SOFTWARE' Die Veraenderungen liegen im codierten PrgBereich Im PrgFile TTV1 sichtbar - BGS9 III s.o. Neu: unsichtbarer Filename: devs:A0,0 Entfernung: File in devs in OrginalPrg. umbenennen BGSVirusFile loeschen OrgPrg aus devs in entsprechendes Verzeichnis kopieren - BIG BOSS SCA-Clone nur Text geaendert s.u. - BLACKFLASH V2.0 Cool, DoIo, FastMem ja im Speicher immer ab $7F000 Zaehlzelle = $13 Textausgabe mit Graphikroutine (s.u.) Schrift rot, Hintergrund schwarz Vermehrung: ueber BB Text steht unverschluesselt im BB: HELLO, I AM AMIGA ! PLEASE HELP ME ! I FEEL STICK ! I HAVE A VIRUS ! ! BY BLACKFLASH ! - BlackStar anderer Name: Starfire1/NorthStar1 siehe dort - Blade Runners SCA-Clone, immer ab 7EC00, Cool, im Prg. DoIo Text: Hello! We are the Blade Runners! u.s.w. - BLF-Virus immer ab $7F000, Cool, DoIo, BeginIo loescht KickTag usw. Virusprogramm meldet sich NICHT. Programmteil decodiert mit eori.b #$28,(a1)+ u.a. zu lesen: This is the new virus by BLF Schaden und Vermehrung: BB - BlowJob KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000 Taeuscht durch Text Memory Allocator 3.01 vor Vermehrung und Schaden: Bootblock Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein Programmteil mit subi.b #$71,D0 entschluesselt und mit display- Alert der Text ausgegeben: ONCE AGAIN SOMETHING WONDERFULL HAPPENED (HE HE HE) PLEASE POWER OFF - PLEASE POWER OFF - PLEASE POWER OFF - BlueBox Filevirus, keine bekannten Vectoren werden verbogen Laenge (gecrunched) 5608, nur Kreset (tut mit leid) gedacht fuer Modembesitzer und Mailboxbetreiber, aber KEINE Voraussetzung fuer Vermehrung (enthaelt Source fuer seriellen Port $DFF030, $DFF018 ???!!!??? behindert Verbindung?!?!) Das gecrunchte Prg. (Bluebox) besteht aus 3 Teilen: - ein Taeuschprogramm: ermoeglicht Tonfolge mit Zehnertastatur - eine komplette icon.library - Laenge:6680 - zusaetzlicher Text: input.device , RAM: - andere Jahreszahl - ein Kopierteil fuer falsche icon.library - testet ob icon.library schon existiert, falls nein KEINE Aenderung - testet ob Disk validated - setzt Protection-Bits zurueck - kopiert falsche icon.library - arbeitet auch mit HD !!!!!! Nach einem Reset wird ueber icon.library ein Process 'input.device ' (mit Leerzeichen) gestartet. VT findet diesen Process, kann ihn aber nicht beenden (KReset). Erstellt auf RAM: ein unsichtbares ($A0) File (nicht immer). Ausbauhinweise: VT erkennt den VirusTraeger Bluebox nur als crunched !! Ignorieren Sie das Kreset-Angebot und loeschen Sie zuerst die falsche icon.library. Kopieren Sie dann die Orginal- icon.library auf die Disk oder HD (sonst nach Reset keine WB!!!). Zum Schluss starten Sie bitte das Kreset-Prg. Meine Maschine verhielt sich danach wieder normal. Dies kann bei Modemprg. oder MailboxPrg. anders sein ??? Probleme bitte melden. Danke Herkunft: Bluebox.lzh 23033 Bytes -Bluebox 5608 (noch einmal gecrunched) -Bluebox.info 325 -Bluebox.DOC 37271 -Bluebox.DOC.info 354 - BOMB-Bootblock es wird dieser Bootblock als Virus weiterge- geben. Die Pruefsumme ist als BOMB lesbar. VT erkennt diesen Bootblock NICHT !!! Begruendung: - die Pruefsumme meines Exemplars stimmt nicht - ich habe keinen ausfuehrbaren PrgCode gefunden also ein normaler notinstalled Bootblock - BOOTX-Virus BB KickTag, KickCheckSum auch KS2.04 anderer Name: PERVERSE I Taeuschungsversuch durch lesbaren Text in BB: BOOTX-Viruskiller by P.Stuer verraet sich bei mir bei gesetztem Schreibschutz durch Systemrequest read/write error Vermehrung: BB Schaeden: faengt ueber input.device Tastatureingaben ab und gibt Text aus. Der Text steht als RAW-Code im BB (amerik.Tastatur !!) SOFTWARE_PIRATES RUINED MY EXCELLENT PROFESSIONAL DTP_PROGRAM I REVENGE MYSELF ON THESE IDIOTS BY PROGRAMMING VIRUSES THIS IS PERVERSE I BECAUSE I LIKE ASSHOLE_FUCKING I PROGRAM VIRUSES FOR MS_DOS TOO Eine Weiterarbeit ist NICHT moeglich. Das Virusprogramm muss geloescht werden. - BRET HAWNES Filevirus Laenge: 2608 , immer ab $7F000 Kicktag, SumKickData, KickCheckSum, OpenNewLib, $6c Vermehrung und Schaden: schreibt in Root und in 1.Zeile startup: C0A0E0A0C0 nach 20 Minuten blauer Graphikbildschirm und weisse Schrift: GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN I`VE TAKEN THE CONTROLL OVER YOUR AMIGA!!! THERE`S ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! ! ! Statt der 10. Vermehrung werden Tracks zerstoert. - BS1! (noch ein SCA ) - BUTONIC 1.1 anderer Name BAHAN (im BB immer lesbar) Cool, im Prg. DoIo, immer ab $7ec00, FastMem ja Vermehrung: ueber BB wenn DOS0 gefunden Textausgabe mit PrintIText (entschluesselt mit eori.b #-1,d1 nach $7eb0c) im Speicher dann sichtbar: BUTONIC'S VIRUS 1.1 GREETINGS TO HACKMACK ... <GENERATION NR. #####> - Byte Bandit ohne FastMem Begin, KickTag, KickCheckSum, Vec5 - Byte Bandit 2 anderer Name: No Name 1 s.u. - Byte Bandit Clone ohne Fastmem Diff zu OrgByteBandit: 180 Bytes ( Byte B.. Text wurde aus BB entfernt !!) - ByteBanditError das OrginalByteBanditVirusPrg. beginnt im BB bei $0C, hier bei $32 Da die alte BB-Copy Routine verwendet wird, ist das 1.LW im neuen Copy-BB nicht DOS0, d.h. die neu verseuchte Disk ist "Not a DOS-Disk" also weder boot- noch vermehrungsfaehig - ByteBanditPlus Kick1.2 ohne FastMem Begin, KickTag, KickCheckSum, Vec5 Diff zu OBB: 92 Bytes (zusaetzlich trackdisk.... entfernt) - ByteParasite reines Zerstoerungsprogramm Laenge: 2108 soll auch $6c verbiegen, aber vorher GURU Schaeden: soll zwischen cd, dir und startup-sequence je 1 Byte austauschen, aber sehr sehr schlecht programmiert (Anfaenger spielt besser mit dem Joystick). Deshalb meist GURU. Keine Vermehrung, keine Textausgabe - BYTEPARASITE II File, Laenge ungepackt: 908 Bytes Auch mit KS2.04, keine Vektoren verbogen Taeuscht durch das Zeigen einer Fensterleiste: VirusX: Checking Device Df0: Versucht dann von df0:c VirusX nach df1:c zu kopieren und verraet sich so wenn in df1: keine Disk liegt durch einen Requester. Gefahr der Vermehrung besteht nur wenn BYTEPARASITE II als VirusX getarnt in df0:c vorhanden ist. Aus dem Text im File kann geschlossen werden, dass damit ein Antivirusprogrammierer geaergert werden soll: But now send me to : (Adresse) - BYTEPARASITE III File, Laenge ungepackt: 2160 Bytes Cool, KickMem, KickCheckSum (teilweise sinnlose Werte ausser- halb des vorhandenen Speichers) $6c (sinnvoller Wert) Das Programm MUSS !!!! im Speicher geloescht werden, sonst erscheint nach einigen Arbeiten mit dem Computer sicher Task held usw. . Dies ist nicht Absicht, sondern die sinnlosen Werte sind verantwortlich. Taeuscht durch das Zeigen einer Fensterleiste: Virus-Checker V3.0 by usw Sucht c/Virus-Checker und schreibt Prg-Teile (falls gefunden) absolut nach $7C000. Versucht in einem anderen LW mit SubDir c Virus-Checker anzulegen (bei mir IMMER dann Filelaenge 0). Verraet sich durch DOS-Requester. Hinweis: Hallo Enforcer-Freunde. VT erzeugt hier beim Test einen weiteren Enforcer-Hit. ($6c=ZeroPage) Nachtrag1: 14.01.92 Erkennungsroutine geaendert. Nachtrag2: Stand 14.02.92 Leider haben mich einige Briefe erreicht, die darauf hin- weisen, dass Hardwareschaeden (sinnlose Werte s.o.) durch BP3 verursacht werden. Stellvertretend ein Auszug: ".... musste ich feststellen, dass der Steppermotor sich am Spindel- ende zur Laufwerksmitte festgedreht hatte.... ... drehte die Spindel mit der Spitzzange zurueck... ... das Laufwerk/Schreib-Lesekopf muss neu justiert werden." Es ist also im Amiga-Bereich jetzt auch der Punkt erreicht, dass Viren Hardwareschaeden verursachen koennen. NIE !!!!! eine unbe- kannte Disk starten. Nehmen Sie sich die Zeit und testen Sie die Disk mit einem AntiVirusProgramm ihrer Wahl durch !!! - BYTE VOYAGER I Kicktag, KickCheckSum, im Prg. DoIo und $6c immer ab $7F000, verschluesselt mit $DFF006 Vermehrung und Schäden (auch HD !!): Bootblock und schreibt in Block 880 "Infected by BYTE VOYAGER !!!!!" Der Text ist bei Disks der neue Diskname. - Byte Voyager II Kicktag, KickCheckSum, im Prg. DoIo und $6c immer ab $7F000, verschluesselt mit $DFF006 Vermehrung und Schäden (auch HD !!): Bootblock und schreibt in Block 880 "Another Virus by Byte Voyager" Der Text ist bei Disks der neue Diskname. - Byte Warrior (DASA) (KickV1.2) DoIo, KickTag, KickCheckSum erster BB-Virus, der verschluesselt wurde moegliches Ursprungsprogramm: ByteWarriorCreater gepackt: 6012 Bytes (TNM) ungepackt: 7360 Bytes Erzeugt mit FastMem NDOS-Disk Schreibt ohne FastMem ByteWarrior in Bootblock von DF1: - Cameleon-Virus BB siehe bei Little Sven - CCCP-Virus Cool, im Prg. Vec3, DoIo, Openwindow, NewOpenLib !!!! erstes VirusPrg. das sich als BB und als Link vermehren kann !! im BB sichtbar: CCCP VIRUS Link: verlaengert ein File um 1044 Bytes befaellt keine Prg.e in l (z.B.libs), d (z.B.devs), f (z.B.fonts) - CENTURIONS anderer Name: THE SMILY CANCER siehe dort - Challenger trojanisches Pferd Keine Vektoren verbogen. Herkunft: FF622 challenger_d.main Laenge: 126336 Bytes Ablauf (vgl. Snoopdos): Sobald Sie das Spiel starten, wird ein Orginal-Setclock-Befehl (4884 Bytes) in SYS:devs/keymaps ange- legt und in a umbenannt. In c: wird ein neuer Setclock-Befehl angelegt: Laenge gepackt mit Imploder: 4884 (explode.lib) entpackt: 7344 Weiterhin wird in SYS:devs/keymaps noch ein File mit Namen rca angelegt: Laenge gepackt mit Imploder: 5328 (explode.lib) entpackt: 8388 Vermehrung: nur nach SYS: Der setclock-Befehl sollte in der startup-sequence stehen (ab KS2.04 NICHT mehr notwendig !!!). Deshalb rufen Sie bei jedem Boot-Vorgang auch diesen Befehl auf. Dies ist am 24. Juli eines Jahres gefaehrlich. An diesem Tag wird das File rca auch aufge- rufen. Es wird ein Text (schwarzer Hintergrund rote Schrift) ausgegeben und der Rechner blockiert. Guten Tag, hier ist der Guru Ihres Amiga-Computers. Laut Arbeitsvertrag habe ich das Recht auf einen Medita- tionstag pro Jahr. In meinem Fall ist das der 24. Juli jeden Jahres. Da wir heute dieses Datum schreiben, stehe ich Ihnen erst morgen wieder zur Verfügung. Bitte haben Sie Verständnis dafür, denn auch wir Gurus müssen einmal ausruhen. Es sind noch weitere Texte in rca vorhanden, aber die wurden bei mir nicht ausgegeben. Die Zerstoerung von Files wurde von mir nicht festgestellt. Empfehlung: entsprechende Files in c und keymaps loeschen und setclock von OrgWB-Disk neu nach c: kopieren. Arbeit mit VT: (getestet: 16.04.92) challenger_d.main wird geloescht c:setclock es wird ein rename mit devs/keymaps/a versucht. Falls nicht vorhanden, wird setclock allein geloescht. Sie muessen dann unter KS1.3 setclock von OrgWB-Disk neu kopieren devs/keymaps/rca wird geloescht - Chaos anderer Name: Taipan-Chaos Cool, DoIo BB codiert mit Wert aus $DFF006 Schaeden: Vermehrung mit BB sobald Zaehlzelle 8 erreicht hat: alle Blocks einer Disk werden mit unsinnigen Werten gefuellt, DisplayAlert: Chaos! by Tai-Pan usw. dann reset Herkunft: Virusinstall V2.0 - CHAOS-MASTER V0.5 File PP-Laenge: 12972, ungepackt:16676 CHAOS-MASTER V0.5 im ungepackten File lesbar Filename wahrscheinlich: dir KEINE bekannten Vektoren verbogen, nicht resetfest Schaeden und Vermehrung: - dir-Befehl wird manchmal nicht ausgefuehrt. Ein kleines Fenster erscheint: Error xyz, Return-Gadget die Zahl xyz kann auch negativ sein und entspricht NICHT dem DOS-Error-Code. - Sie geben ein: dir df3: Das Inhaltsverzeichnis von df3 wird ausgegeben und das Virus-File nach df3:c/dir kopiert. Ein bereits vorhandener Dir-Befehl wird ueberschrieben. - Sie geben ein: dir prefs Das Inhaltsverzeichnis von prefs wird ausgegeben und ein File disk.info (Laenge:370 Bytes) nach prefs kopiert. Dieses File enthaelt am Anfang die Icon-Struktur. Der groessere Teil der Struktur ist durch Text ueberschrieben. Folge: Sie klicken die Prefs-Schublade an, disk.info muesste als Icon darge- stellt werden, geht aber nicht, da Struktur nicht in Ordnung. Also stellt der Computer die Arbeit ein. Reset wird notwendig. Text in disk.info: Sorry an alle User usw. - Sie geben ein: c/dir df3: Inhaltsverzeichnis wird ausgegeben und das Virus-File nach df3:c/r (!!!! Programmierfehler) geschrieben. Empfehlung: dir-Befehl loeschen (VT) und von OrgWB neu kopieren. - Charlie Braun anderer Name: Hireling Protector V1.0 ForpibClone s.u. nur Text geaendert - CHEATER HIJACKER BB auch KS2.04 LameBlame-Clone s.u. DisplayAlert-Text geaendert: -+= CHEATER HIJACKER usw. Wird auch erzeugt von VIRUS TERMINATOR V6.0 s.u. - Check Filevirus PP-crunched Laenge:18644 Process: HardDisk.device in C-Aztek Schaeden: alle 5 Min (delay $3a98) Bild (Totenkopf) und Sound fuer kurze Zeit KEINE Vermehrungsroutine gefunden - Claas Abraham andere Namen: Abraham, MCA Cold, Cool, KickTag, KickCheckSum, $68 braucht FastRam !!!!! Angefordert mit #$4,d1 und AllocMem (Programmierfehler ????) im Prg.Ablauf erst BeginIo Vermehrung: ueber BB Schaden: nach $F-Resets Formatierung Eor-Byte wird fuer neuen BB aus $DFF006 erzeugt entschluesselt steht im Speicher: >>> Claas Abraham Virus !!! <<< - Clist-Virus anderer Name: U.K.LamerStyle Begin, Kicktag, KickCheckSum entschluesselt steht im Speicher: expansion ram.trackdisk.device..clist.library.clist 33.80 (8 Oct 1986). Vermehrung: ueber BB Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF006 festgelegt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt und !!!! mit allocabs eingetragen. - CODER anderer Name: Coders Nightmare immer $7f600, DoIo, KickTag, KickCheckSum, $68 im BB steht unverschluesselt: Bootblock installed with 'CODER' - The Ultimate Viruskiller!! Vermehrung: ueber BB im Speicher steht (entschluesselt mit ror.b #2,d1): Something WONDERFUL has happened!! Your Amiga is alive, and it is infected with the 'Coders Nightmare Virus'. - The ultimate key-killer, masterminded by the megamighty Mr. N of The Power Bomb Systems!! - Coders Nightmare anderer Name: CODER s.o. - Color Filevirus Laenge: 2196Bytes DoIo immer $70000, Cool belegt sinnlos 102400 Bytes ChipMem, taeuscht durch ein Graphik-Demo, schwarzer Hintergrund und drei Balken (rot, gruen, blau) und installiert gleichzeitig ab 70000 das Virusprogramm und ab 7F000 den Virus-BB (TURK). Veraendert die startup-s. NICHT. Schaeden: Bei DoIo-Einsprung wird der Virus-BB geschrieben. Bei Cool-Einsprung wird $5000 x TURK in den Speicher geschrieben. - CompuPhagozyte File Laenge ungepackt: 1452 keine Vektoren verbogen sichtbar z.B.: The CompuPhagozyte usw. Erstellt eine Fensterleiste mit dem Text: Virus-Checker V4.0 by ... (Name) Verraet sich, wenn Sie die Fensterleiste anklicken, weil im Gegensatz zum echten Virus-Checker NICHTS passiert. Wartet auf CloseWindow und DiskInserted. Schaeden: Solange die Fensterleiste da ist, wird bei jeder neu eingelegten nicht schreibgeschuetzten Disk mit c/Virus-Checker bei mir das Org-Prg auf 1452 Bytes gekuerzt. (also keine Vermehrung) Empfehlung: loeschen und Org-Virus-Checker neu aufspielen. - CompuPhagozyte 2 File Laenge ungepackt: 1148 keine Vektoren verbogen sichtbar z.B.: The CompuPhagozyte usw. Erstellt eine Fensterleiste mit dem Text: VirusX 5.00 by ... (Name) Verraet sich, wenn Sie die Fensterleiste anklicken, weil im Gegensatz zum echten VirusX NICHTS passiert. Wartet auf Close- Window und DiskInserted. Schaeden: Solange die Fensterleiste da ist, wird bei jeder neu eingelegten nicht schreibgeschuetzten Disk mit c/VirusX bei mir das Org-Prg auf 1148 Bytes gekuerzt. (also keine Vermehrung) Empfehlung: loeschen und Org-VirusX 4.01 neu aufspielen. - CompuPhagozyte 3 File Laenge ungepackt: 568 , cool, immer $7C000 Wird in einem anderen Viren-Checker als Compuphagozyte II gefuehrt. Dieser Namensgebung kann ich nicht folgen, da die Unterschiede zu C 2 (siehe oben) zu gross sind. fuer mich KEIN Virus, Routine veraltet, KEINE Vermehrung im Prg zu lesen: THE COMPUPhagozyte in 9.91 !!! The Emperor Of usw Legt ab $7C000 ein kleines Prg ab, das durch cool resetfest sein soll (geht z.B nicht mit 1Mb). Dieses Prg loescht Cold, Warm, KickMem, KickTag, KickCheckSum. Wird von VT nur im Speicher erkannt. Empfehlung: File loeschen - CompuPhagozyte 4 File Laenge ungepackt: 916 Bytes df0:A0A0A0A0 (unsichtbar in Root) df0:s/startup-sequence COMPUPhagozyte !!! am Fileende zu lesen Testet OldOpenLib auf $FC1430 = KS 1.2 - CompuPhagozyte 4a File Laenge ungepackt: 892 Bytes :A0A0A0A0 (unsichtbar in Root) :s/startup-sequence COMPUPhagozyte am Fileanfang zu lesen - CompuPhagozyte 4 und 4a gleich: Cool immer $7C600 , OldOpenLib immer $7E000 Reserviert mit AllocAbs 3 Speicherbereiche: $7C000 ganzes VirusPrg $7C600 CoolRoutine fuer RESET $7E000 OldOpenLibRoutine fuer Vermehrung Vermehrung: Falls ein anderes Prg die oldopenlib-Routine aufruft, wird eine Vermehrung versucht. Kein Schreibschutztest vorher. Speicher ab $7C000 soll als A0A0A0A0-File auf Disk geschrieben werden. Danach wird die startup-sequence geaendert. Empfehlung: sofort loeschen und auch startup-sequence ueber- pruefen. Erkennung mit VT getestet: 08.09.92 Loeschen mit VT getestet : 08.09.92 - Crackright anderer Name: Disk-Doktors s.u. - Crime! Linkvirus verlaengert ein File um 1000 Bytes. Haengt sich an den ersten Codehunk an. Cool, AllocMem, Dos: Open, LoadSeg, Dosbase+$2e KS2.04 = NEIN Kein Meldeprogrammteil gefunden. Kann sich MEHRMALS in gleiches File haengen, da schon-befallen Routine fehlt. (nach 3 Links ans gleiche File habe ich aufgehoert) Allerdings muss dazwischen immer ein anderes File aufgerufen wer- den, damit der Filenamenbuffer (vom VirusPrg. angelegt) ueberschrie- ben wird. Im Speicher werden 19 Bytes mit eori.b #$5e,-1(a5) decodiert: Crime!00dos.library Vermehrungsbedingungen: - Flag Disk o.k. ($52) - #16 Block free - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - letzter Befehl im 1.Hunk ist #$4E75 (RTS). Virus traegt dann $4E71 (NOP) ein. oder wird bis $3E+1 Wort-Schritte zurueck gefunden. Virus traegt dann $60xy (bra.s xy) ein. - Name enthaelt nicht: #, *, -, ., ?, Speichererkennung mit VT getestet: 15.02.92 Ausbau mit VT getestet: 16.02.92 wichtig !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! Hinweis 31.08.92: Ab VT2.44 sollten mehrere CrimeLinks ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - Crime!++ Linkvirus verlaengert ein File um 872 Bytes. Haengt sich an den ersten Codehunk an. Cool, Wait, Dos: Dosbase+$2e KS2.04 = NEIN (die Linkroutine wird zwar aktiviert, aber Dosbase+$2e stimmt NICHT. Deshalb kein Link sondern haeufig GURU. Kein Meldeprogrammteil gefunden. Kann sich MEHRMALS in gleiches File haengen, da schon-befallen Routine fehlt. (nach 5 Links ans gleiche File habe ich aufgehoert) Im Speicher werden $1A5+1 Worte mit eor.w d1,(a0)+ decodiert: Crime!++ d1 wird bei jedem Linkversuch ueber $DFF00A neu festgelegt. Vermehrungsbedingungen: - Flag Disk o.k. ($52) - #16 Block free - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - letzter Befehl im 1.Hunk ist #$4E75 (RTS). Virus traegt dann $4E71 (NOP) ein. oder wird bis $3F+1 Wort-Schritte zurueck gefunden. Virus traegt dann $60xy (bra.s xy) ein. Speichererkennung mit VT getestet: 24.05.92 Ausbau mit VT getestet: 25.05.92 wichtig !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! wichtig 2: verseuchte Files sind lauffaehig: VT sollte den Urzustand wieder herstellen koennen. verseuchte Files sind NICHT lauffaehig: Die Linkroutine ist nicht ++ , sondern enthaelt mehrere Fehler- quellen, die in Crime! nicht vorhanden waren. EINEN Fehler er- kennt VT und versucht ihn beim Ausbau auszubessern. Bitte mit einer Kopie ausbauen !!!! wichtig 3: Es werden AUCH Files mit einem "." im Namen verseucht. Beweis: Es wurde ein Datablock ausgedruckt. Danach waren ver- seucht: c/print, devs/printer.device, devs/parallel.device, und devs/printer/NEC . wichtig 4: Nach dem Ausbau rufen Sie bitte BlockITest auf und loeschen alle jetzt noch gefunden Crime!++ - Bloecke (auf der Diskkopie!!!). Das entseuchte File wird nicht unbedingt an die gleiche Stelle auf der Disk zurueckgespielt und so kann ein NICHT mehr aufrufbarer Block stehenbleiben. Danach rufen Sie bitte Blockkette auf und testen die Files auf richtige Verkettung. Sollten vor BlockITest bei BlockKette alle Files noch in Ordnung gewesen sein und jetzt nicht mehr, dann fuehren Sie bitte mit der Disk, die noch nicht mit BlockItest nachbehandelt wurde ein EinzelFileCopy durch. Auch hier werden nur die belegten und benutzten Blocks kopiert. UND rufen Sie mich bitte an. Danke Hinweis 31.08.92: Ab VT2.44 sollten mehrere Crime++Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke Ursprung: driveinfo trojanisches Pferd s.u. - D-Structure A/B-Virus immer ab $7C000 oldOpenLib immer $7C06E Write (-$30) immer $7C0CC nicht resetfest Name: D-Structure in der Mitte des Files zu lesen Typ A: Filelaenge: 428 Bytes Typ B: Filelaenge: 352 Bytes (haeufig Absturz) Ablauf: - allocabs $7C000 - oldOpenlib wird gerettet und verbogen - wenn nun ein anderes Programm oldopenlib aufruft, wird getestet ob dos.library geoeffnet werden soll. wenn nein: z.B. intuition.lib - newopenlib wird ausgefuehrt und D-Structure wartet weiter wenn ja: - dosBase wird gerettet - Org-Write wird gerettet und verbogen - oldopenlib wird zurueckgesetzt - newopenlib wird ausgefuehrt beim 5. Aufruf von Write wird nun nicht das Gewuenschte ge- schrieben (in cli, auf disk usw.), sondern das VirusPrg ab $7C000. Dieses File auf Disk ist leider nicht zu retten. - VirusPrg meldet sich NICHT !!!! Empfehlung: loeschen Sie das VirusPrg und alle zerstoerten Files. Ueberpruefen Sie bitte die startup-sequence. D-Structure A/B-File-Erkennung mit VT getestet: 09.09.92 D-Structure A/B-Speicher mit VT getestet: 09.09.92 - DAG Cool, im Prg DoIo und zurueck, Fastmem ja, immer ab $7ec00 eine Meisterleistung: in den SCA-Text wurde eingebaut: Try ANTIVIRUS from DAG Erzeuger: DAG_Creator ungepackt:7000 Bytes schreibt Dag in BB von df1: - DARTH VADER File Laenge: 784 Bytes Cool und nach Reset auch OldOpenLib Vermehrung und Schaeden: - sobald OldOpenLib verbogen ist, versucht sich das Prg. im Root-Verzeichnis als $A0 zu vermehren. In die 1.Zeile der Startup-Sequence wird $A00A geschrieben. - sobald in der Zaehlzelle der Wert 6 steht, wird mit Output ausgegeben: VIRUS(V1.1) BY DARTH VADER Fehlerquellen: nicht mit KS2.04 nicht mit FastMem mit 1Mb Chip nur mit setpatch r Kann nur eine startup-sequence bis zur Groesse #1000 richtig veraendern. Empfehlung: loeschen und 1.Zeile in der startup-sequence mit Editor ebenfalls loeschen. Loeschen mit VT getestet: 26.04.92 - D&A FileVirus Laenge:1052 Bytes anderer Name SCA Dos Kill Cool immer $7E3CE und nach Reset auch DoIo KS2.04: keine BB-Verseuchung gelungen, Vektoren aber verbogen Schaeden: Das FileVirus schreibt bis KS1.3 auf eine nicht schreib- geschuetzte Disk einen BB dem die DOS0-Kennung fehlt. Dort steht dafuer $00000400 . Das Betriebssystem meldet deshalb mit einem Requester "Not a Dos Disk" . Schreiben Sie einfach einen Standard- Bootblock auf diese Disk. Der defekte BB ist ein leicht geaenderter SCA-BB (z.B. SCA! durch D&A! ersetzt). Das File muessen Sie loeschen. Schauen Sie bitte auch in der startup-sequence nach, ob dieser File- name vorkommt und loeschen Sie diese Zeile. Vermutung: Dieser BB wurde mit einem Prg. erzeugt, das aus einem BB ein Execute-File macht. Gibt es leider auch auf FF. Lesen Sie dazu auch FileTest bei SP-File-Sp in VT2.xyd . - DASA anderer Name: ByteWarrior s.o. - DAT '89 nur KS1.2 da DoIoRomEinsprung, KickTag, KickCheckSum immer 7F800, versucht durch Text im BB zu taeuschen: THIS BOOT RESETS ALL VECTORS usw. Sobald die Zaehlzelle $F erreicht, DisplayAlert: DAT '89!!! Fordert NICHT trackdisk.device !!!! Schaeden: schreibt sich in BB zerstoert Block 880 und 881 (bei Disk Root) - DATA CRIME CCCP-Clone s.o. BB Vermehrung auch mit ROM KS2.04 CCCP-VIRUS in DATA CRIME geaendert (irre Leistung) hat aber bei VT NICHTS genuetzt !!!, also lasst das - DATACRIME-killer BB s.o. ASV-BB Endlich hat es wieder jemand geschafft den ASCII-Text zu aendern .. THIS BOOTBLOCK KNOWS SOME OLD AND NEW VIRUSES usw. Wird von VT weiterhin als ASV erkannt. Pech gehabt !! - Deniz Cool SCA-Clone Vermehrung auch mit KS2.04 nur Text geaendert - DERK1 u. 2 BB richtiger Name: MALLANDER VIRUS V1.0 Hinweis: Derk1=Derk2 Beweis fuer Nichtassemblerfreaks: nutzen Sie die Funktion vgl. in VT . Die 1 und 2 in der BB-Checksum ergeben sich aus den abgespeicherten unterschiedlichen DoIo's. Sonst KEINE Unterschiede . - Destructor Cold im BB sichtbar: Destructor_Virus v1.2 Written by Aldo Reset. (c) M.C.T. Ltd 1990- Everything is under control ! (eh!eh!) keine Vermehrungsroutine gefunden zerstoert beim naechsten Reset ueber Cold eine nicht schreibgeschuetzte Disk indem jeder 4. Track ueberschrieben wird. - DIGITAL AGE = Rude Xerox = Forpib-Clone nur Text geaendert - DIGITAL EMOTIONS Cool, im Prg. DoIo und zurueck, immer $7ec00 im BB immer sichtbar: *** DIGITAL EMOTIONS *** je nach Zaehlerstand - wird eigener BB geschrieben oder - Track 0 mit 'VIRUS ' beschrieben. Folge: keine Dos-Disk Textausgabe (decodiert mit -1) ueber DisplayAlert: KickStart ROM Corrupted at $c00276 - DirtyTricks richtiger Name Incognito (das VirusPrg speichert am Ende des BB`s Tabellen mit ab, die sich nach Speicherlage und Konfiguration des Amiga aendern. Beim Booten des Viruses werden die Tabellen neu angelegt !!!) - DISASTER MASTER V2 ( cls * ) 1740 Bytes eigenstaendiges Prg. fuer startup-sequence KickTag, KickCheck im Prg. DoIo und wieder zurueck Cool und Cold werden geloescht Entfernung: 1.Zeile in startup. loeschen cls in DfX:c loeschen Erstellungsprogramm: Intro-Maker von T.C.R. Laenge: 10624 Bytes (war vor der Entdeckung z.B. auf Franz 47) - Disk-Doktors (KickV1.2) Die angeblichen Mutanten unterscheiden sich in $4 (Pruefsumme) und von $390-$3A8 (Variablenablage = bei jedem Reset anders) - Disk-Herpes Cool, im Prg. DoIo, im Speicher immer ab $7ec00 wird haeufig mit Phantasmumble verwechselt, Fastmem ja Vermehrung: ueber BB Schaden: schreibt auf Track 80 (Root) Speicherinhalt ab $60000. Folge: Disk BAD Graphikroutine: Deutschlandfahne + Text (auch im BB sichtbar) --- Hello Computerfreak --- You've got now your first VIRUS ** D i s k - H e r p e s ** Many Disks are infected !! Written by >tshteopghraanptha< c 27.07.1987 in Berlin - Disk.info Laenge: 370 Bytes KEINE Vermehrung Ein OrginalWB1.3-Icon wurde in der Struktur geaendert. (Text eingebaut z.B. This is a little present for all Lamers abroad ). Sobald Sie diese Disk einlegen und es muesste das Disk-Icon auf der WB angezeigt werden, stuerzt der Rechner ab. Haben Sie die Startup-Sequence im Cli abgebrochen, so muss kein Icon dargestellt werden und deshalb koennen Sie mit dieser Disk ohne Probleme arbeiten. AbHilfe: Ersetzen Sie Disk.info . Herkunft: unbekannt (Disk-Packer ???) - Disktroyer V1.0 File Laenge ungepackt: 804 Bytes AllocMem auch mit KS2.04 Versucht durch Loeschen des Cli-Fensters zu taeuschen. Ich vermute deshalb, dass das File als Cls-Befehl getarnt wird. Im File zu lesen: Disktroyer V1.0 usw. Keine Vermehrungsroutine Schaeden, wenn: - allocmem angesprungen wird und - in der Zaehlzelle der Wert $96 steht - Disk im Laufwerk liegt - Disk nicht schreibgeschuetzt ist dann: - Kopfstep (Zerstoerung der Disk(s)) alle Laufwerke (Routinen stehen nach meiner Meinung genau so in einem bekannten Buch !!!!!) - DisplayAlert: Disktroyer V1.0 usw. Empfehlung: File loeschen (VT) und startup-sequence ueber- pruefen - DiskVal1234 Disk-Validator Laenge:1848 Bytes Grundgeruest ist der SADDAM-Disk-Validator (siehe unten) Aenderungen: nicht mehr codiert als Disk-Validator (lesbar am Fileende z.B. strap, mycon.write usw ) Veraendert Bloecke die mit 8 beginnen: Schreibt in diese Bloecke nach $5a 1234 und ab $64 dann 66x 4e71 (NOP). (Also nicht mehr Austausch von 8 mit IRAK) Rufen Sie dann ein solches File auf, so stuerzt der Rechner ab, da ja wichtiger PrgCode mit NOPs ueberschrieben wurde (bei mir wird der Bildschirm gelbbraun). So leid es mir tut, diese Files koennen NICHT gerettet wer- den. VT bietet loeschen an. Es kann also sein, dass ihre ganze Disk unbrauchbar wird. - DIVINA EXTERMINATOR I Cool, DoIo, Inter.5 und $64. Im Prg dann noch $68 und $6c. Ueberschreibt SetPatchListe ab $C0. Codiert BB neu mit Wert aus $DFF006 (steht dann im BB $3F6) nach eor.w d0,d1 ist im Speicher zu lesen: VIRGO PRESENTS DIVINA EXTERMINATOR I Versucht einen sauberen OrgBB vorzutaeuschen. Schaeden und Vermehrung: BB nach 3 Vermehrungen: beginnt die K-Taste abzufragen und bis 10 in einer Zaehlzelle abzulegen. Dann wird nach $4 (ExecBase- Zeiger) der Wert 0 geschrieben = Absturz Ursprung: -p-turbo.dms - DIVINA II s.o. DIVINA EXTERMINATOR I Das Decodierwort in $3F6 ist anders. Grund s.o. (schafft endlich die Brainfiles ab !!! und disassembliert den VirenCode sauber und vollstaendig) - DOSSPEED (Neuseeland) richtiger Name: Revenge of the Lamer - Dotty-Virus immer $7F000 KickTag, KickCheckSum im Programm: DoIo, Vec5 Fordert trackdisk.device NICHT Vermehrung: BB weitere Schaeden: modifiziert PRIVAT-intuition-struktur - DUMDUM BB auch mit KS2.04 immer ab $7FA00 Cool, im Prg DoIo, $64, $80 (Hallo Enforcer-Freunde) Text im BB lesbar: You are the owner of a DUMDUM virus please unprotect disk disk to kill! (machen Sie das BITTE NICHT) Textausgabe mit DisplayAlert Schaeden und Vermehrung: - Vermehrung ueber BB oder: - Format Disk - DriveInfo V0.91 by ESP trojanisches Pferd, Laenge: 1704 Bytes (PP-Data und ein decrunch-header davor) entpackt: Laenge: 1740 Bytes Im File ist dann z.B. zu lesen: EAST SIDE POWER 91/92 KS2.04: NEIN Findet dann KEIN Laufwerk und meldet sich mit Requester. Nach kurzer Zeit dann GURU beim Arbeiten. Versucht unter KS1.3 zu taeuschen, indem Laufwerksdaten (Drive, Volume usw.) ausgegeben werden. Verhindert hierbei AutoRequest. Installiert mit addintserver "Install yeah!" . Wird nach Crime!++ - Installierung mit Rem- IntServer wieder entfernt. Interrupt = 5 . Installiert nach etwa EINER Minute (das ist echt neu) Crime!++ im Speicher (Cool, wait usw. s.o.). Empfehlung: sofort loeschen siehe auch : Crime!++ - EM-Wurm (zielgerichtet gegen EUROMAIL) nicht resetfest immer: schreibt in startup-sequence $A0,$0A (1.Zeile) eigener Process: clipboard.device schreibt in c: $A0, Laenge: 3888 Bytes (ASCII-Text vorhanden) schreibt in 5.Byte von c:protect (falls vorhanden) $01 Folge: protect wird unbrauchbar Zerstoerungsroutine: Wird nur ausgefuehrt wenn Verzeichnis EM, EUROMAIL oder EUROSYS vorhanden ist. Ueberschreibt alle Files in obengenannten Schubladen mit Speicherinhalt ab MsgPort. In zerstoerten Files ist ab $BC clipboard.device zu lesen. Dann wird mit dosdelay $259A eine 3 Minuten Pause eingelegt. Nach dieser Pause wird die Zerstoerungsroutine wieder in der Schleife aufgerufen. Ursprungsprogramm: QuickInt PP-crunched Laenge: 3196 Bytes Mein VT loescht den Process n i c h t, sondern fuellt ihn mit NOP's. Einige Programmteile, z.B. Autorequester, con usw. konnten nicht getestet werden, weil ich EUROMAIL nicht besitze. Diese Teile werden ebenfalls mit NOP's ueberschrieben. Falls des- halb bei aktivem EUROMAIL-Programm ein GURU erscheint, bitte ich um Hilfestellung. Danke !! - Ethik-Virus siehe bei SHIT - Excreminator 1 File Laenge: 2392 Bytes auch KS2.04 KEINE verbogenen Vektoren KEINE Vermehrungsroutine KEINE Schreibroutine fuer Startup-Seq Versucht durch angeblichen Virustest zu taeuschen. Im File zu lesen: The Lame Trio usw. verraet sich durch System-Requester: Write-pro.... Schaeden: Versucht in libs Exec.library (4 Bytes) als Zaehlerfile (Startwert=5) anzulegen. Verringert dann bei jedem Aufruf den Zaehler. Bei 0 KopfStep ALLE Laufwerke Folge: Not a DOS Disk und mit DisplayAlert: LAME SUCKER usw... danach RESET Empfehlung: beide Files sofort loeschen und gegebenenfalls Startup-Seq. ueberpruefen. - Express2.20-Virus keine Vermehrung (also von Def. kein Virus) keine verbogenen Vektoren, Zerstoerungsprogramme 1. File Express2.20 Laenge: 194064 2. File aibon Laenge: 776 aibon haengt am Ende von Express2.20 und wird mit jmp ange- sprungen. Am Ende der Files ist zu lesen bbs: sys: ram: dos.library . Naja werden Sie denken wieder mal gegen Ami-Express gerichtet. Trifft mich nicht, hab ja keine Mail-Box. Halt !!!! Vorsicht ! Das Starten von Express2.20 reicht um Sie an die Decke gehen zu lassen. Zerstoerungsablauf: - Sie starten Express2.20 von Sys-Ebene (halt mal sehen was das Programm macht) - aibon wird nach :s kopiert - :s/startup-sequence wird auf EINE Zeile :s/aibon gekuerzt - Requester Datentraeger bbs einlegen - Sie haben keine Mailbox und klicken cancel - Tastatur wird gesperrt - und jetzt gehts los - jedes File in sys: wird eingelesen und mit 42 Bytes Laenge zurueckgeschrieben. Da kommt Freude auf. - Also Tastatur-Reset (geht leider nicht siehe oben) - Also nehmen Sie not validated in Kauf und schalten schnell den Computer 1 Minute aus. - Computer wieder an UND es wird weiter geloescht (richtig: sys:s/startup-sequence mit der Zeile :s/aibon existiert noch) Das merken Sie aber erst so nach 40 Sekunden, weil ihre startup-sequence fuer die Festplatte immer eine Zeit braucht. - Um hier noch etwas zu retten brauchen Sie eine WB-Disk von der Sie booten koennen und im Zweifelsfalle ihre Festplatte anmelden zu koennen. Kopieren Sie auf ihre Festplatte eine neue startup-sequence und hoffen Sie, dass Sie schnell genug waren und einige Files noch nicht zerstoert wurden. Nachtrag: Falls bbs: gefunden wurde, werden natuerlich zuerst dort alle Files zerstoert. Herkunft: d-aex220.lha Laenge 135400 angeblich neues Ami-Express Erkennung der beiden Files mit VT getestet: 09.09.92 - EXTREME DoIo, KickTag, KickCheckSum, Rasterstrahl entweder 7f800 oder ff800, da Berechnung ueber SysStkLower+$1000 lesbarer Text im BB: THE EXTREME ANTIVIRUS usw. sobald Zaehlzelle Null : Zerstoeren (Disk BAD) aller nicht schreibgeschuetzten Disks in allen LW und Alertmeldung Vermehrung: ueber BB - F.A.S.T. Cool, DoIo , FreeMem, immer ab $7F000 Alertmeldung (verschluesselt mit eori-Byte in Abhaengigkeit von $DFF006) und loeschen veraendert auch $C0-$E0 (SetPatchListe!) Vermehrung: BB - F.A.S.T. 1 FAST-Clone im BB wurde der codierte Prg.Teil um einige Bytes verschoben, um im BB-Kopf dos.library einbauen zu koennen. Die Speicher- lage wurde nicht veraendert. - F.I.C.A Beginio, KickTag, KickCheckSum, SumKickData Vermehrung: BB Besonderheit: spielt sauberen BB vor sichtbarer Text im BB ab $288 z.B. F.I.C.A RULES! - Fast Eddie starke Aehnlichkeit mit Glasnost Block 2 u 3 KickTag, KickCheckSum im Prg noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner schreibt eigenen BB bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 Fast Eddie . Dieser Block kann NICHT gerettet werden. Benennt Disknamen um ( This disk is infected (HE-HE) ) . Codiert jeden BB neu mit ByteWert von $DFF006 eor.b d1,(a0)+ . Decodiert eigenen BB mit eor.b d6,(a0)+ . Decodiert im Speicher : Call 43-444304 and ask for HENRIK HANSEN (FAST EDDIE) - FORPIB kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5 Vermehrung: ueber BB besorgt sich Speicher ueber MemList, Speicher fuer neuen VirusBB mit AllocMem Im BB sichtbar: - FORPIB - 09.88 - N° 197102 - usw. - Freedom reines Zerstoerungsprogramm Laenge: 10876Bytes Herkunft: Freedom!.LZH 8153 Bytes Fordert trackdisk.device; keine verbogenen Vektoren versucht durch Text zu taeuschen: Freedom ! by Steve Tibbett Checking df0: for 126 viruses nach kurzer Zeit wird abwechselnd ausgegeben: SADDAM-Virus removed ! oder SMILY CANCER-Virus removed ! Schaden: schreibt in jeden 5.Block (also auch Root=880) Datenmuell, der nach einigen Tracks sogar den Inhalt wechselt (vermutlich soll Blockerkennung verhindert werden). Durch die vielen zerstoerten Bloecke ist eine Rettung mit DiskSalv unwahrscheinlich. Daten also ab- schreiben und Disk formatieren. Mit etwas Glueck erkennt VT beim BitMapTest eine Freedom-Disk. Beim BlockITest meldet sich VT nicht, da der Muell von Disk zu Disk und auch nach einigen Tracks wechselt. - FrenchKiss belegt auf Track 0 Block 0 bis 5 Ich besitze nur Bl 0 u. 1 . Ein echter Virus !!! Cool, DoIo, $6c, Vec5, immer ab $7f0d0 Vermehrung: Block 0 bis 5 auf Track 0 Schaeden: Je nach Zaehlerstand wird Track 0 ueberschrieben oder Track 80 (bei Disk = Dir ) zerstoert. Mehr kann ich nicht sagen, da ich nur Block 0 u. 1 habe. Bitte schicken Sie mir Ihre verseuchte Disk. Danke !!! - Frity Forpib-Clone s.o. - Future Disaster nur KS1.2, Cool, DoIo, BeginIo, immer ab $7FB00 fordert trackdisk.device (also HD nicht) Vermehrung:BB Schaden: sobald die Zaehlzelle den Wert 7 erreicht hat: - schreibt Speicherinhalt ab $10000 nach Block 0 u 1 - schreibt Speicherinhalt ab $7Fb00 nach Block 880 und weiter Folge: Disk unbrauchbar - Gadaffi (KickRomV1.2 Floppymusik) Cool, DoIo, KickTag, KickCheckSum - Gandalf BB Cool, ExitIntr, PutMsg BB-Teile codiert mit eor.w d1,(a1)+ decodiert ist im Speicher zu lesen: Gandalf`s Rache usw. Vermehrung und Schaeden: - schreibt sich auf BB - in Abhaengigkeit von der Zaehlzelle soll die Disk zerstoert werden. Verwechselt aber Disk-Seek mit Disk-Format, DisplayBeep mit DisplayAlert usw. (Anfaenger ??) - GENESTEALER BB auch KS2.04 immer ab $7EC00 Cool, DoIo Im BB ist zu lesen: GENESTEALER VIRUS!!! by someone... Schaeden und Vermehrung: ueber BB Testet VBlank ( cmpi.b #$32,$212(a6) ) Sollte der Wert NICHT 50 sein, so wird der Rootblock zerstoert. Fordert trackdisk.device NICHT . - GENETIC PROTECTOR V2.00 BB Dotty-Clone s.o. 16.03.92 nur Text geaendert: GENETIC-ELECTRONICS usw. Pech gehabt: wird weiterhin als Dotty erkannt - Glasnost Block 0 bis 3, Laenge also 2048, KickTag, KickCheckSum im Prg noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner schreibt eigenen BB und zerstoert damit auch Files in Block 2 u. 3 bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 vier Langworte ($11111111, $22222222, $44444444, $88888888). Dieser Block kann NICHT gerettet werden. Text in Block 3: Glasnost VIRUS by Gorba!! First release - Golden Rider Linkvirus im Speicher immer $7C000 verbiegt Cool, DoIo, DosOpen Arbeitet nicht mehr mit Doslib-Version 35 oder hoeher. Verlaengert ein File um 868 Bytes, haengt sich auch mehrmals in ein File, da keine Abfrage ob schon befallen. File darf max 100000 Bytes gross sein. File muss executable sein. Filename + Pfad darf nur Zeichen ab A enthalten (Ausnahme / : 1 0 ) Eine Zeichenobergrenze wurde im Programm nicht gefunden. Eine Vermehrung findet statt bei: df0:Test/File KEINE Vermehrung mit: df3:Test/F9 Das VirusTeil enthaelt keine Melderoutinen. Haengt sich am Ende des 1.Hunks ein und ersetzt RTS durch ein NOP. Sollte kein RTS am Ende des 1. Hunks gefunden wer- den, so wird $38 Schritte ab Hunkende zurueck nach einem RTS gesucht und dann durch BRA.s ersetzt. In ersten Hunk des befallenen Files ist unverschluesselt zu lesen: >>> Golden Rider <<< by ABT VT versucht den Virusteil auszubauen und ein lauffaehiges Ursprungsprogramm abzuspeichern. KEINE Garantie !!! Arbeiten Sie mit einer Kopie !!!! Vermehrung getestet: ja Ausbau getestet: ja Hinweis: Da sich die 3 Testlangworte in 2 verschiedenen Bloecken befinden koennen, wird der Golden Rider nur im Filetest SICHER erkannt. Bei der Blockkette koennte einer beim Test NICHT ge- meldet werden. Hinweis 31.08.92: Ab VT2.44 sollten mehrere GoldenRider-Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - Gotcha LAMER Filevirus anderer Name: Lamer Bomb verlaengert File um 372 Bytes, DoIo nur in Files dir, run, cd, execute Schaeden: - KEINE Vermehrung ueber obengenannte Files hinaus - KopfStep - DisplayAlert u. RESET: "HAHAHE... Gotcha LAMER!!!" Ursprungsprogramm: MINIDEMO.EXE Laenge: 773 Bytes sucht fuer Link nach: dh0:c/dir, dh0:c/run, dh0:c/cd, dh0:c/execute - Graffiti aehnlich 16Bit Crew + 3D-Graphik FastMem ja, Cool, im Prg DoIo, im Speicher immer $7ec00 Vermehrung: ueber BB Graphikroutine mit 3D unverschluesselt im BB: VIRUS! written by Graffiti - GREMLIN Cool, KickSumData, im Prg. DoIo, im Speicher immer $7f400 Vermehrung: ueber BB Textausgabe mit GraphikRoutine: roter Hintergrund, weisse Schrift GREMLIN - GX.TEAM Fastmem ja, nur KS1.2 da absoluter DoIo-Einsprung Cool, DoIo, KickTag, KickCheckSum, im Speicher immer ab $7f4d0 Vermehrung: ueber BB Textanzeige mit displayAlert (wird mit sub.b #$41,d0 nach $7f300 entschluesselt): Mais qui voila ???C'est le nouveau VIRUS de GX.TEAM !! AAAHH! Les salauds! Les ...(Insultes diverses) He!He! SILENCE : GX.TEAM entre enfin dans la legende ... BYE!!! - GYROS Cool, DoIo, immer ab $7EC00 fordert trackdisk.device NICHT Vermehrung:BB Schaden: sobald die Zaehlzelle den Wert 10 erreicht hat: - blockiert Rechner im BB zu lesen: Your Amiga is fucked from a nice GYROS usw. - HARDEX VIRUS SADDAM-Clone s.u. - Hauke Byte-BanditClone s.o Text geaendert: Hauke Jean Marc usw - Haukeexterminator I Disk-DoctorClone s.o Text geaendert: Haukeexterminator I usw - HEIL Virus BB Cool immer $7C070 immer ab $7C000 Bei mir mit KS2.04 nach Reset kein neuboot von Disk. Unter KS1.3 werden nach dem Reset 2 Interrupts installiert. Nr. 3 = Ports = $7C1C6 = SS.install Nr. 5 = VERTB = $7C1E8 = SS.greets VT entfernt beim loeschen die Namen und setzt die Codezeiger auf 0 mit RemIntServer. Also keine Gefahr mehr. vgl. VT = Listen = IntVec Sobald die Zaehlzelle den Wert #$500 erreicht hat wird eine Graphikroutine angesprungen: schwarzer Hintergrund, helle Schrift Hakenkreuz,SS-Rune,Hakenkreuz und dann your computer is infected by SS-Virus! Danach ist ein Reset notwendig, da das VirusPrg. sich in einer Endlosschleife befindet. Der BB ist codiert mit eori.l #"HEIL",(a0)+ Von der Definition handelt es sich nicht um einen BB-Virus, da keine Vermehrungsroutine gefunden wurde. siehe auch MOSH, SS-Virus - Hilly KickTag, KickCheckSum, Kick1.2 DoIo im Prg mit absolutem ROMeinsprung Test auf spezielle Kickstartversion (patched bei $FC0090) Falls vorhanden kein Virusaufbau. Fordert trackdisk.device nicht an, deshalb koennen Schreib- zugriffe auf die Festplatte erfolgen !! Lage im Speicher: immer ab $7f300 (ResStruc.) Vermehrung: ueber BB sonst keine Routine gefunden (keine Graphik usw.) - Hireling Protector V1.0 anderer Name: Charlie Braun ForpibClone s.o. nur anderer Text - Hochofen Link auch mit KS2.04 verlaengert ein File um 3000 Bytes KEINE bekannten Vektoren verbogen !!!! Wurde mir als Trabbi zugeschickt. Da ich diesen Namen nicht nachvollziehen kann (kommt im Prg-code nicht vor), nenne ich ihn Hochofen (im 1. Hunk zu lesen). Taskname: Greetings to Hochofen Vermehrung: NUR moeglich beim Start eines bereits verseuchten Prgs. Scannt Root durch (examine, exnext usw.) und sucht nach Files, die - ausfuehrbar ($3F3) - kleiner als 200000 Bytes - noch nicht befallen sind. Haengt sich dann als erster Hunk an und verlaengert das File um 3000 Bytes (Hunk nicht codiert). Hinweis: NICHT jedes verseuchte File ist lauffaehig ! s.u. Schaeden: Task: Greetings to Hochofen im Task: KEIN VermehrungsPrgTeil zeitabhaengig: BildschirmHintergrund schwarz rot gelb mit Maustaste wegklicken Requester Fasten seat-belt! mit Maustaste wegklicken Task wird wieder entfernt Fehler: kennt viele Hunktypen NICHT und veraendert durch einen Schleifenfehler dann den Hunktyp um +1. Als Beispiel, weil ich es da zuerst bemerkt habe: Kennt hunksymbol ($3F0) nicht und macht daraus hunkdebug ($3F1). In unbekannten Hunks werden auch in einer Schleife Bytes FALSCH geaendert. Verseuchte Files die den Computer zum Absturz bringen, ver- aendern bei mir auch die Hardwareuhr !!!! Vermehrung getestet: ja auch mit ROM KS2.04 Ausbau getestet: ja mit VT 2.37 - HODEN V33.17 nur KS1.2, da absoluter DoIo-Einsprung DoIo, KickTag, KickCheckSum, im Speicher immer $7f000 Vermehrung: ueber BB Kennzeichen: nach fuenf Kopien wandert ein gelber Kopf von links nach rechts ueber den Bildschirm. unverschluesselt steht im BB: HODEN V33.17 - HULKSTERS-Virus BB Pentagon-Clone s.u. Text geaendert: z.B. SACHSEN/ANHALT usw. - ICE SCAClone, Cool, im Prg. DoIo, im Speicher immer ab $7ec00 Vermehrung: ueber BB Textausgabe durch GraphikRoutine unverschluesselt steht im BB: Greets from The Iceman & The IRQ usw. - Incognito anderer Name Trojan DoIo, KickMem, KickTag, KickCheckSum, FastMem ja nur KS1.2, da absoluter DoIo-Einsprung ins ROM Vermehrung: ueber BB sonst keine Schaeden und kein Text im BB: nichts zu sehen, da trackdisk.device verschluesselt. - Infiltrator Link anderer Name Klein-Virus (von mir nicht nachvollziehbar) Arbeitet erst ab dos.library-Version #36 oder hoeher (also keine Vermehrung mit KS1.2 oder KS1.3) Verbiegt OldLoadSeg (NewLoadseg wird nicht verbogen) Ueberprueft ob Virus schon installiert mit Zeichenfolge "1992". Verlaengert ein File um 1052 Bytes. Am File ist das Virusprogramm codiert mit eori.b x,(A0)+ . Das Byte x aendert sich bei jedem neuen Linkvorgang in Abhaengig- keit von $DFF006 . Im Programm ist ein Textteil codiert mit: move.w #$80,d0 loop: eor.b d0,(a0)+ dbra d0,loop Decodiert ist dann zu lesen: Howdy hacker! This is The Infiltrator! usw. Sucht auch nach einem File user.data Arbeitsweise: - Sucht nach dem Langwort, das die Laenge des 1.CodeHunks enthaelt und erhoeht den Wert um $107 . - Schreibt zu Beginn des 1. CodeHunks 6100xxyy (bsr xxyy) d.h. der OrginalSourceCode wird ueberschrieben. - Haengt sich codiert am Ende des 1.OrginalCodeHunks an. d.h. keine Erhoehung der HunkAnzahl. Vermehrungsbedingungen: - Disk validated - mindestens 8 Bloecke Platz - 1. CodeHunk nicht groesser als $1ffc * 4 = $7FF0 (von Virusprogramm getestet ) - Test 1. Wort im CodeHunk auf - $4EF9 (Jmp) falls ja keine Verseuchung - $4EB9 (Jsr) falls ja keine Verseuchung - Test ob schon von Infiltrator verseucht 1. Wort im CodeHunk auf - $6100 (bsr) falls ja 2. Test an anderer Stelle auf - $48E7FFFE falls ja schon verseucht, deshalb Ende. Ergebnis: verseucht auch libs, devices usw. AUCH auf FESTPLATTE !!!!! NACHTRAG 26.07.92 : entgegen dem schon befallen Selbsttest ist es mir gelungen das Virusprogrammteil 2x an diskfont.library zu linken !!!! Erfolg: NICHT alle Programme sind danach lauffaehig !!!!! (von Shell mehr als von WB) Ausbau: VT versucht den Orginalzustand wieder herzustellen. Falls es Probleme gibt, wenden Sie sich bitte an mich. NACH dem FileTest machen Sie bitte ein EinzelFileCopy auf eine leere formatierte Disk. Zwei Gruende: - die Fragmentierung der Files wird aufgehoben (Disk ist wieder schneller) - es werden nur benutzte Bloecke kopiert, d.h. jetzt nicht mehr von Files belegte Bloecke werden nicht mitkopiert und so kann dann auch BlockITest keinen Infiltrator auf der NEUEN Disk in einem unbenutzten Block finden. Suche: Sie MUESSEN mit FileTest suchen. Bei BlockKette kann eine Meldung unterbleiben, wenn von den 3 Testlangworten 2 im Block x und 1 LW im Block x+1 liegen. Bitte: Suchen Sie NICHT nach verseuchten Files, solange ein sogenanntes "Nutzprogramm" aktiv ist, das loadseg verbiegt. Hinter diesem Nutzprg koennte der Infiltrator liegen !!! Folge: Das Nutzprogramm ueberprueft beim Laden das File und stellt fest, dass das File von ihm NICHT zu bearbeiten ist (also z.B. nicht gepackt) und uebergibt an den "OrgLoad- Seg-Vektor". Nur leider ist der "OrgLoadSeg-Vektor" auf die Infiltrator-Routine verbogen !!!! Ihre Erfolgsaussichten sind NULL !!!!!! - Inger IQ ByteBandit/Forpib-Clone s.d. Text: ---Inger IQ Virus - Ersmark 1953--- - init_cli anderer Name: AMIGAKNIGHTVIRUS s.o. - IRQ-TeamV41.0 Link-Virus, verlaengert ein Prg. um 1096 Bytes Einsprung nach Reset: KickTag Einsprung bei Arbeit: OldOpenLib laeuft nicht mit KS2.04 Textanzeige im CliTitel: (entschluesselt mit eor.l d0,(a0)+ addq.l #3,d0 ; fuer einen neuen Virus wird der Inhalt von d0 ueber move.l alterWert,d0 u. add.l $dff004,d0 veraendert) AmigaDOS presents:a new virus by the IRQ-TeamV41.0 entweder wird c/dir oder das erste File der startup-sequence befallen. K e i n File wird zweimal befallen. Das File darf nicht laenger als 100 000 Bytes sein. Entfernung: 1.Zeile in startup. loeschen OrgFile besorgen und neu kopieren - IRQ II wie IRQ I, aber die Routine auf Test schon befallen (cmpi. #$fffe6100,30(a4,d6.l) wurde verfaelscht. Das heisst: das erste File von der startup-sequence wird solange befallen, (d.h. verlaengert) bis die Disk voll ist. Nachtrag:gilt fuer IRQI+II; mit meiner FastmemKarte ist n a c h einem Reset keine Vermehrung mehr moeglich ????? Hinweis: Ich besitze ein IRQ2-File mit sechs Links Hinweis 03.09.92: Ab VT2.44 sollten mehrere IRQ2-Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - JEFF-BUTONIC V1.31/05.11.88 PrgFileVirus 3408 Bytes DoIo, KickTag, KickCheckSum, $68 schreibt sich in die 1. Zeile der Startup-Sequence einer nicht schreibgeschuetzten Disk. Tarnnamen s.u. Texte codiert mit: eori.l #$AAAAAAAA,(a0)+ Text fuer DisplayAlert: "Einen ganz wunderschönen guten Tag!" "* I am JEFF - the new Virus generation on Amiga *" "(w) by the genious BUTONIC." "V 1.31/05.11.88 - Generation Nr.00037" "Greetings to * Hackmack *,* Atlantic *, Wolfram, Frank," "Miguel, Alex, Gerlach, and to the whole Physik-LK from MPG !!" Texte fuer die Fensterleiste: "Ich brauch jetzt'n Bier!" "Stau auf Datenbus bei Speicherkilometer 128!" "Mehr Buszyklen für den Prozessor!" "Ein dreifach MITLEID für Atarist!" "BUTONIC!" "Schon die Steinzeitmenschen benutzten MS-DOS...einige sogar heut noch!" "Schon mal den Sound vom PS/2 gehört???" "PC/XT-AT: Spendenkonto 004..." "Unabhängigkeit & Selbstbestimmung für den Tastaturprozessor!" "Paula meint, Agnus sei zu dick." "IBM PC/XT: Ein Fall für den Antiquitätenhändler..." "Sag mir, ob du Assembler kannst, und ich sage dir, wer du bist." Tarnnamen: fuer RootDir: in Startup-Sequence: AddBuffers "AddBuffers 20" Add21K "Add21K " Fault "Fault 206" break "break 1 D" changetaskpri "changetaskpri 5" wait "wait " $A0 $A020 $A0A0A0 $A0A0A020 Arthus "Arthus " Helmar "Helmar " Aloisius "Aloisius " ?? $20 $2020 ?? die Erzeugung des $20-Tarnnamen ist nicht gelungen, steht aber im Virus-Prg. - JEFF-BUTONIC V3.00/9.2.89 PrgFileVirus 2916Bytes Name im Hauptverzeichnis: A0A0A0 1.Zeile in startup. A0A0A0209B41 DoIo, KickTag, KickCheckSum Vermehrung: jede nicht schreibgeschuetzte DOS-Disk mit startup Entfernung: 1.Zeile in startup loeschen File in DfX: loeschen Entschuesselungsroutine: entschluesselter Text: move.w #$013a,D0 Hi. loop: JEFF`s speaking here... move.w (A0)+,(a1) (w) by the genious BUTONIC. eori.w #$b4ed,(A1)+ usw. insgesamt ueber $270 Bytes Text dbf D0, loop - JEFF-BUTONIC V3.10 Filevirus Laenge 2916 lesen Sie Auswirkungen unter Jeff 3.00 Programmcodeteile wurden verschoben (soll Anti-Viren-Prge wohl taeuschen ??) + codierte Texte geaendert: z.b. Sauf blos keinen Wodka! usw. Codierung weiterhin: eori.w #$b4ed,(a1)+ Ursprungprogramm: *JEFF* VIRUSKILLER Mastercruncher: 7368 entpackt: 9064 andere Namen: Jeff-Maker, Jeff-Remover taeuscht durch Texte Jeff-Suche vor, schreibt aber in Wirklich- keit JEFF 3.10 auf Disk in Df0: Virus gefunden - bitte warten Startup-Sequence desinfiziert und Virus beseitigt! usw. In diesem Prg ist JEFF V3.10 codiert [ eori.b $FF,(a0)+ ] ent- halten. - JEFF-BUTONIC V3.20 Filevirus Laenge 2900 Jeff 3.0 Clone Beweis:codierter Text gleich Die 16 gewonnenen Bytes kommen z.B. von der Adressierungsaenderung .l in .w . Das VirusPrg laeuft zwar an und verbiegt die Vektoren, aber bei einem Diskwechsel kommt der GURU. Eine Vermehrung konnte also von mir NICHT erreicht werden. Also keiner Erwaehnung wert. Leider nicht. Dieses unsichtbare File wurde auf einer A3000-HD in c gefunden. Die Startup-sequence war modifiziert und verhinderte den ordnungsgemaessen Bootvorgang. Ein 2.Fall wurde im Feb. im Fido-Netz besprochen, wobei hier aber nur ueber die Vektoren geschrieben wurde und das namentliche Nicht-Erkennen des Prg.s . Da bei einer HD der Rootblock nicht mit $6e000 gefunden werden kann, darf es gar nicht zu einer Vermehrung kommen. Ich vermute deshalb, dass ein anderes Prg. die Installierung vornimmt. Der Prg.Name ist NICHT bekannt. Stand:07.03.92 Empfehlung: SOFORT loeschen und startup-seq. ueberpruefen. - JITR Cool, DoIo, FastMem ja, im Speicher immer ab $7ec10 Vermehrung: ueber BB Sonst keine Routine vorhanden !!!! VirusPrg. nur $200 Bytes lang. Im BB lesbar: I'm a safe virus! Don't kill me! I want to travel! And now a joke : ATARI ST This virus is a product of JITR - Joshua senkrechtstehender Text Joshua (ueber Graphikroutine) Begin, Kickmem, KickTag, KickCheck, Vec5 - Joshua 2 anderer Name: Joshua3 oder Switch-Off Cold, Begin, Vec5 hat Probleme mit einem Befehl im C-SubD. von WB1.3 Bootblock jetzt verschluesselt: loop: move.b (A0),D0 eori.b #$18,D0 das eor-Byte wechselt und steht auch move.b D0,(A0)+ an $3ff des BBs. Zu erkennen ist der cmpa.l A1,A0 Joshua 2 am Ende des BBs an der Byte- bne loop folge, wobei sich aber das X je nach rts eor-Byte aendert: .XX...XXX........XX.XX.XXXX...X.XX. die Punkte koennen auch durch andere Zeichen belegt sein - Joshua 3 anderer Name und richtig: Joshua 2 es existiert eine BB-Sammlung, die einen wirklichen ByteBandit (aufs Byte im Speicher) Joshua1 nennt. Hieraus ergibt sich dann eine falsche Nummer. Nachtrag: Diese BB-Sammlung wurde inzwischen (15.04.91) in diesem Punkt korrigiert !! - Julie anderer Name Tick oder VIRUS PREDATOR immer $7f800, cool, DoIo, BeginIo und $20 arbeitet nicht sauber mit 1MB Chip testet einige Zeiger und drei Werte (z.B. auf $7ec00) Vermehrung: ohne Warnung ueber (nur ausfuehrbare) BB's decodiert mit not.b (a0)+ steht im Speicher: ` VIRUS PREDATOR (4-88-SPAIN) ID: 027798336 ` also ist der Name Julie eigentlich falsch !! - Kauki immer $7ec00, Cool, im Prg. $80, $84, $88 im Prg. auch noch DoIo, schreibt aber spaeter im Prg DoIo von KS1.2 zurueck (nach Vermehrung) den meisten Platz brauchen die Chopperlisten. Das ChopperIntro laeuft auch mit KS1.3 . Kauki im BB nicht sichtbar. - Kefrens SCA-Clone Text im BB: Ohh noo!!!! I think something is wrong! and even better... Some of your disks are sick Watch out! By Kefrens offcourse!!! - Kefrens 2 wie Kefrens = SCA-Clone nur Text verschoben - L.A.D.S DoIo, KickTag, KickCheckSum, immer $7F400 versucht eine Taeuschung durch DisplayAlert beim Booten: (Text auch im BB lesbar) L.A.D.S Virus Hunter No virus in memory Press any mouse button Entgegen der Aussage findet KEIN Virustest statt, sondern das eigene Programm wird resetfest installiert. Vermehrung: jeder BB einer Disk OHNE Rueckfrage bei Wert 5 in der Zaehlzelle: veraendert x- und y-Koordinaten bei Mausbewegungen sobald die Zaehlzelle den Wert 8 erreicht: ein Teil des Virusprogramms wird entschluesselt mit eori.b #$41,(a0)+ und mit DisplayAlert ausgegeben: AMIGA COMPUTING Presents: The GREMLIN Virus All Code (c) 1989 By Simon Rockman - LameBlame! anderer Name: Taipan-LameBlame Cool, DoIo auch KS2.04 BB codiert mit Wert aus $DFF006 Schaeden: Vermehrung mit BB sobald Zaehlzelle 8 erreicht hat: DisplayAlert: LameBlame! by Tai-Pan usw. sonst nichts Herkunft: Virusinstall V2.0 - Lameralt abcd bei $3a6 schreibt Lamer in irgendeinen Block FastMem ja, Begin, KickTag, KickCheckSum, SumKickData - Lamerneu abcd bei $396 schreibt LAMER in irgendeinen Block FastMem ja, Begin, KickTag, KickCheckSum, SumKickData - Lamer1 fedc bei $342 schreibt LAMER Begin, KickTag, KickCheckSum - Lamer2 abcd bei $392 schreibt LAMER FastMem ja, Begin, KickTag, KickCheckSum, SumKickData - Lamer3 abcd bei $3f4 (orgbb in 2 u. 3) Fastmem ja, Begin, KickTag, KickCheckSum, SumKickData - Lamer4 abcd bei $3ae BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt. - Lamer5 abcd bei $3aa FastMem ja BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt. - Lamer6 abcd bei $396 FastMem ja aehnlich Lamerneu Unterschied 48Bytes BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt. zusaetzlich im Prg. noch Remove Node, Test auf Cool u. Cold . - Lamer7 andere Namen: Selfwriter, Pseudoselfwriter keine signifikante Endekennung, Laenge BB $3BD, BeginIo, KickTag, KickCheckSum Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x Lamer! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt und !!!! mit allocabs eingetragen. (machen andere Lamer nicht) - Lamer8 keine Endekennung BeginIo, KickTag, KickCheckSum, SumKickData Vermehrung: ueber BB Schaden: Format alle LW Ein neuer BB wird wieder verschluesselt mit eori.w . Das Ver- schluesselungswort wird mit $dff006 festgelegt. BB ist verschluesselt von $3e bis $3cc - LAMER8-File haengt an VirusX Laenge: 13192 Bytes Wird im Speicher von VT als LAMER8 erkannt und entfernt. Wichtig: VirusX erkennt LAMER8 im Speicher NICHT !!!!! Vermehrung: NUR als LAMER8-Bootblock moeglich, NICHT als Linkfile !!!! Deshalb in FileTest nur Loeschangebot. Hinweis: Es wird ein "Lamer"-Bootblock weitergegeben, bei dem Lamer Exterminator im BB zu lesen ist. Dieser BB ist NICHT bootfaehig und wird deshalb von VT nur als Nicht-Standard-BB erkannt. - Lamer-LoadWB FileVirus Laenge: 4172 Bytes KickTag, KickCheckSum, SumKickData, BeginIo in SubDir c in LoadWB sichtbar: The LAMER Exterminator !!! Virus haengt vor dem LoadWB-Teil schreibt zuerst das Virusprogramm in den Speicher und fuehrt dann den LoadWB-Befehl aus. Kann sich nicht als LoadWb vermehren, sondern schreibt einen Lamer-BB - Lamer Bomb anderer Name: Gotcha LAMER s.o. - le RoLE franz. Name fuer Return of The Lamer Exterminator s.u. - Liberator virus v1.21 anderer Name: MemCheck s.u. - Little Sven BB anderer Name: Cameleon BB ist codiert (immer neu !!). Ein Teil der Codierung: eor.b d1,(a0)+ Decodiert ist im Speicher zu lesen: The Curse of Little Sven! Cool, BeginIo, Supervisor, DisplayAlert im Programm dann: DoIo, FreeSignal Vermehrung: BB Schaeden: - Codiert Datenbloecke Kennung: $ABCD0008 (Langwort 0 eines Blocks) Die Programme laufen, solange Little Sven im Speicher aktiv ist. Abhilfe: VT kann diese Datenbloecke decodieren. Falls Sie also beim FileTest oder BlockKetteTest den Requester Little Sven erhalten, brechen Sie bitte ab und starten BlockITest . - Verschiebt den Orginal-Bootblock codiert nach Block2+3. VT kann dies rueckgaengig machen (klicken Sie auf O-BB. Dieses Gadget war frueher Lam3 und schreiben Sie den BB zurueck). A B E R !!!!!!!! Falls Block 2+3 vorher von einem File belegt war, so wurden durch das Virusprogramm 2 Datenbloecke zerstoert. Das File ist unbrauchbar. Es ist KEINE Rettung moeglich. VT sollte bei BlockKetteTest b.T.Data Block 2 zeigen. Oeffnen Sie den FileRequester (Sp-File-Sp) und loeschen Sie das File. - Enthaelt eine Routine, die 80 Steps nach innen ausfuehrt und dabei Daten schreibt. Diese Routine habe ich NICHT erreicht bei Tests. Alle Daten auf der Disk waeren dann unbrauchbar ??? Wird erzeugt beim Starten von XCopyPro V6.5 (Laenge:28336) und kopiert sich dann weiter. Hinweis: im April 92 lag die OrgVersionsNr. von Xcopy erst bei 5.2x (glaub ich). Gefunden in: xcopy65e.lha Laenge: 25360 - LOGIC BOMB anderer Name: PARADOX I s.d. - LSD! (noch ein SCA!) - LZ-Virus Linkvirus, verlaengert ein File um 400 Bytes testet Hauptversionsnummer der dos.library, falls groesser 34 oder kleiner 33 keine Aktivierung, verbiegt GlobVec 06 = Write linkt sich hinter CodeHunk (meist 1.) und ersetzt z.B. $4e75 = rts durch $6004 = bra.s 4 oder $4eee = jmp durch $60XY Muss deshalb HunkAnzahl nicht veraendern, sondern nur die Anzahl der Langwoerter des befallenen Hunks um $64 erhoehen. Bedingungen fuer ein File: 0.LW = $3f3 (ausfuehrbar) 1.LW = 0 (keine Resident-Libs zu laden) (kein Overlay) es wird ein CodeHunk gefunden $3e9 der gefundene CodeHunk ist laenger als #1000 Bytes Ursprung: (Geruecht 14.07.91) SOLL ein LZ-Entpackungsprogramm sein ???? (hab ich nicht) Hinweis: MehrfachLinks an ein File gefunden !!! Hinweis 01.09.92: Ab VT2.44 sollten mehrere LZ-Virus-Links ans glei- che File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - MAD (ForpibClone) nur Text geaendert s.o. - MAD II nur KS1.2, da absoluter DoIo-ROM-Einsprung Cool, DoIo, KickTag, KickCheckSum, im Speicher immer $7FB00 im BB sichtbar: MAD II VIRUS is better usw. Vermehrung: ueber BB Sobald der Inhalt des Zaehlers groesser $D ist, wird in eine DiskStepRoutine verzweigt. Da diese falsch programmiert und somit nicht funktionsfaehig ist, wird nur der Bildschirm dunkel. Hinweis: es existiert ein MAD II, bei dem der MAD-Text mit sinn- losen Buchstabenfolgen (z.B. DAFGderFEHY) ueberschrieben wurde. Wird von VT als MAD II erkannt. - MAD IIa wie MAD II nur jetzt Warm fuer Cool und andere Source- Aenderungen z.B. $2a in $2e usw. Ergebnis bleibt gleich (Anfaenger bitte bleibt beim Joystick !!!) - MAD III nur KS1.2 Byte-Warrior-Clone s.o. geaendert: DASA0.2 in MAD.III - MAD IV LamerAltClone s.o. Unterschied: statt mit Lamer! soll der zerstoerte Block mit MAD gefuellt werden. - MALLANDER VIRUS V1.0 BB Block 0-3 auch KS2.04, braucht 1Mb Chip entgegen anderen Behauptungen: laeuft AUCH mit KS1.3 !!! KickTag, KickCheckSum, DoIo, immer ab 7F800 anderer Name: DERK ist 2x im BB zu lesen fordert trackdisk.device NICHT holt 4 Bloecke: Block 0 u. 1 = Virus Block 2 u. 3 = OrgBB nicht codiert Vermehrung und Schaeden: speichert 4 Blocke ab, d.h. ein File das Block 2 u. 3 belegt, wird zerstoert. belegt immer $4000 ChipSpeicher neu sobald kein Chip mehr frei: decodiert einen BB-Teil mit eori.w #$aaaa,(a0)+ (auch intuition.library) und gibt den Text mit DisplayAlert aus. Danach Reset = jmp FC0000 J.D. MALLANDER VIRUS V. 1.0 I need lots of money - buy my cool pd serie 'action power' Hinweis: es gibt KEINE 2 DERK, sondern einer enthaelt Vektoren von KS1.3, der andere von KS2.04 (Beweis: VT vergl.). - MCA siehe Claas Abraham - MEGAMASTER Cool, DoIo, immer $7e300 zwei codierte Bereiche im BB 1. Bereich: eori.b #-$45,(a0)+ ; testet auf andere Viren 2. Bereich: eori.b #-$11,(a0)+ ; Textausgabe ueber Graphik schwarzer Hintergrund, rote Schrift Surprise!!! Your Amiga is controlled by MEGAMASTER Vermehrung: ueber BB - MemCheck v8.1 File anderer Name: Liberator virus v1.21 gepackt (PP): 6492 Bytes ungepackt: 10936 Bytes nicht resident nach Aufruf erfolgt Textausgabe: MEMORY CLEAR usw. mit SnoopDos kann man feststellen, dass : - versucht wird Sys:.FastDir zu oeffnen - Test ob MemCheck schon in Root - versucht wird startup-sequence zu oeffnen falls ja Eintrag in erste Zeile: MemCheck s Weiterhin ist im File zu lesen: Hello from the Liberator virus v1.21 Lets play trash the harddisk I`m outta here, kiss mine you lamer! DH0: , BLVC usw. Mit Festplatte: Es wird ein File .FastDir im Root-Verz. angelegt. Sobald im File der Wert $f erreicht ist, erfolgt die Textausgabe (s.o.) und der Computer stellt die Arbeit ein. Kreset wird not- wendig. - MENEM'S REVENGE Link LoadSeg Haengt 2 Hunks (ist neu) an. Hunk 1 = $3E9 = CodeHunk Hunk 2 = $3EA = DataHunk Verlaengert ein befallenes File um #3076 Bytes. Auch mit KS2.04 Korrigiert dos.library mit SumLib. Erzeugt einen Prozess mit Namen: " ",0 Wird ein schon befallenes File danach befallenen, so wird mit FindTask ueberprueft, ob der Prozessname schon da ist. Linkbedingungen: File kleiner als #60000 Erster CodeHunk enthaelt folgende Bytefolge NICHT: $286A0164 $700C4E095 (vgl. WB1.3 in c ask usw.) Linkablauf: Sie starten ein Programm. Menem "merkt" sich dieses Prg.. Sie starten ein neues Prg.. Jetzt erst linkt sich Menem an das alte Prg. Nachweis fuer Nicht-Ass-Benutzer mit SnoopDos. Linkergebnisse mit KS1.3: - gelinktes File ausfuehrbar (auch libs usw.) - gelinktes File NICHT ausfuehrbar (Hunks des OrgFiles nicht richtig behandelt, File bringt GURU) - File enthaelt nur noch Datenmuell (keine Rettung moeglich) Unter KS2.04 entstehen weniger defekte Files. Mit timer.device werden sechs Systemzeiten abgefragt. Textausgabe dann mit DisplayAlert. Dafuer wird ein Virusprogrammteil mit asr.l #1,d0 decodiert. dc.b 0,$50,$10,"MENEM'S REVENGE HAS ARRIVED !!!" dc.b 0,1,0," ARGENTINA STILL ALIVE",0,0 Hinweis: VT setzt LoadSeg zurueck, schreibt einige RTS in den Speicher, entfernt aber den Prozess " " NICHT. Die Ver- mehrung ist dann NICHT mehr moeglich. Wenn Sie VT nicht glauben oder "110%"-Sicherheit haben wollen, fuehren Sie bitte einen RESET aus. Hinweis2: Bei den Datenmuellfiles kann VT NICHT mehr helfen. Fuer Ausbauversuche bei den anderen Filetypen verwenden Sie bitte eine Kopie der verseuchten Disk. VT versucht auch, die "falschen Hunks" wieder zu berichtigen. Hinweis3: Bedenken Sie bitte, dass inzwischen einige Programme auf dem Markt sind, die Loadseg verbiegen. Wurde Menems VORHER gestartet, so wird er "zugedeckt", bleibt ABER AKTIV !!!!!! Koennen Sie z.B. mit Snoopdos nachvollziehen. Meine Empfehlung: keine Programme verwenden, die LoadSeg patchen. - METAMORPHOSIS V1.0 BB und Link auch KS2.04 immer ab $7FA72 Fordert trackdisk.device NICHT !!! Cold, DoIo, OldOpenLib, im Prg. noch Cool Im BB und im verseuchten File ist zu lesen: -METAMORPHOSIS V1.0- the next Generation from LAMER-EXTERMINATOR ! Schaeden: Sobald der Wert in der Zaehlzelle groesser als $14 ist, Kopfstep alle Laufwerke. NeuBoot dieser Disk ergibt bei mir einen Requester: Volume has a read/write error (Tracks defekt) nicht mehr viel zu retten. Vermehrung: mit DoIo = BB mit OldOpenLib = Link an File als 1.Hunk Linkbedingungen: - sucht c: (bei mir NUR da, steht auch so im Prg.) - und dann mit examine, exnext usw Files - kein Schreibschutz - File ausfuehrbar $3F3 - File kleiner #40000 - File noch nicht befallen Fuer die Hunk-Bestimmung nimmt das VirusPrg. die IRQ-Methode. Befallene Files sind lauffaehig . Verlaengert ein File um 1060 Bytes. KEIN Eintrag in startup-sequence . Keine Textmeldung des VirusPrg's . Ausbau mit VT getestet: 11.04.92 Hinweis: Da alle Files in c: verseucht sein koennen, sollten Sie ueberlegen, ob es nicht schneller ist, alle Files neu von c einer OrgWB-Disk zu kopieren. Dann brauchen Sie mit VT nur noch aus Files den Link-Hunk auszubauen, die auf der Org-WB-Disk NICHT vorhanden waren. - MEXX SCA-Clone Text: Hello there... Here I'm again... I've infected ya Disx ! I'm a simple VIRUS and I came from a group called --- MEXX --- Yeah, reset now !!! Or I will infect more! - MGM89 anderer Name: MEGAMASTER s.o. - MG's Virus V1.0 (BB) auch mit KS2.04, aber NICHT mit 68030 KickTag, KickCheckSum, SumKickData, GetMes, BeginIo AddIntSer (5 = Vert. Beam) Codiert mit not.w (a1)+ Decodiert im Speicher zu lesen: MG's Virus V1.0 Meldet sich nicht. Taeuscht sauberen Bootblock vor bei verbogenen Vektoren Vermehrung bei: - Lesen oder schreiben Block 0 - Format Disk - MicroSystems FastMem ja nur KS1.2 holt selbst Namen aus ROM (z.B. dos.library) Cool und Cold im Prg. bei Bedarf: AddTask, RemTask und DoIo Vermehrung: ueber BB Textausgabe ueber Graphikroutine unverschluesselt steht im BB: YOUR AMIGA IS INFECTED BY A NEW GENERATION OF VIRUS CREATED IN SWEDEN BY MICROSYSTEMS - Micro-Master ( noch ein SCA! ) - Morbid Angel Forpib-Clone s.o. nur sichtbarer Text und einige unwichtige Bytes wurden geaendert. - MOSH1-BB Cool, nach Reset auch $68 immer ab $7C000 soll Virusdemo sein (so ein Schwachsinn) keine Vermehrung, codiert mit MOSH, eor.l d0,(a0)+ ueber $68 und in Abhaengigkeit von Zaehlzelle (Cmpi.l #$190,(a0)) Textausgabe ueber Graphikroutine: schwarzer Hintergrund, Gelbe Schrift MAFIA PLK usw da Endlosschleife Reset notwendig dringende Empfehlung: loeschen - MOSH2-BB s.o keine Vermehrung KS2.04: nach Reset Absturz zusaetzlich nach reset oldopenlib verbogen und ueber displayAlert Textausgabe: Hey you old lame usw. Da keine Vermehrungsroutine eigentlich kein Virus dringende Empfehlung: sofort loeschen - NaST 29.03.92 File Laenge: 2608 Bytes auch KS2.04 Grundgeruest: BGS9 KickMem, KickTag, KickCheckSum, Openwindow (int.lib) Neu: $6c, FindTask, OldOpenLib, NewOpenLib dafuer fehlt decode BitPlanes Herkunft des Namens: 2x im Virus-File zu lesen verschiebt Org-File unsichtbar nach c $A020A020A020202020A0202020A0 VT versucht zuerst rename und falls OrgFile nicht gefunden, wird angeboten das Virus-File allein zu loeschen. Dann muessen Sie aber wahrscheinlich die 1.Zeile der startup-sequence aendern. - Nasty-Nasty BB nur KS1.2 immer ab $7F000 Cool, DoIo, Userstate, Superstate, Alert Vermehrung und Schaeden: - BB - sobald die Zaehlzelle den Wert 5 erreicht hat: format Disk Das VirusPrg gibt keine Meldung aus. Im BB ist Nasty-Nasty! zu lesen. - NO BANDIT (siehe unten Virenfinder) - No head s.b. ByteBanditPlus - No Name 1 anderer und richtiger Name : Byte Bandit 2 kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5 SpeicherLage ueber structMemList, Speicherreservierung fuer neuen BBVirus mit allocmem, Zaehlstelle: Virusstart + $1c Vermehrung: ueber BB Im BB lesbar: trackdisk.device (weit unten) ein ByteBanditClone, ohne Tastaturabfrage, nur 5 Kopien und kuerzer gesetzter Zeit - NoName2 BB Cool, DoIo, SumKickData auch KS2.04 Vermehrungszaehler: bei mir $269 Es ist mir ein Raetsel, warum dieser BB solange unbemerkt bleiben konnte. Im letzten Jahr hat es kein Virus weiter als $10 ge- bracht. Dann hat ihn jemand spaetestens entdeckt. ??? Erstinstallierung im Speicher von BB: Falls Cool und KickTag nicht Null oder DoIo nicht Orginal, dann RESET. Nach Installierung und Reset sichert der Virus sein Prg durch AllocAbs. Vermehrung und Schaden: ueber BootBlock Rueckgabewert von SumKickData in d0 enthaelt Wert aus $DFF006. Virus meldet sich NIE. Kein Name versteckt oder codiert, deshalb NoName2 . Im BB ist ab $264 trackdisk.device zu lesen. - No-Guru V2.0 Filelaenge: 1224 Bytes (mit PP-Data-Prg.teil) Nach meiner Meinung nur gefaehrlich fuer AmiExpress-Benutzer (hab ich nicht) verbiegt: Alert, Autorequest Textausgabe im Cli: u.a. Making life with AmiExpress just that little bit easier... Sucht nach bss:user.data ; Falls vorhanden werden $8000 Bytes geladen. Der geladene Teil wird nach renegade, jock rockwell oder spiral durchsucht und gegebenenfalls geaenderte Daten zurueckgeschrieben. Empfehlung: loeschen - NorthStar anderer Name: Starfire s.u. - NoVi (File) TerroristsClone s.u. Laenge:1612 Bytes Aenderungen: TTV1 geaendert in NoVi Org-File wird jetzt nach sys:c/.fastdir,$A0 verschoben. - Nuked007 siehe bei SHIT - Obelisk1 ( Deutschlandfahne + Graphiktext) Einsprung:cool schreibt in Speicherstelle $00000060 das Wort GURU zerstoert damit den Ausnahmevector, der ins ROM IR-Ebene 7 zeigt !! - Obelisk2 Begin, KickTag, KickCheckSum, Vec5 Einsprung:KickTag ,drei ZaehlZellen, Ausgabe:Graphik- text mit FormatAndrohung, wird nur durch KopfAnschlag vorgetaeuscht !! Nachweis mit TrackDisplay !! Speicherstelle $60 s.o. - OP1 (Neuseeland) richtiger Name: Joshua - OPAPA Begin, KickTag, KickCheckSum, Vec5 Zaehlzelle: ja, Vermehrung: ueber BB jedes LW Textausgabe (ueber Graphik) OPAPA-VIRUS READY STEADY FORMAT Kopf steppt nach Track 0 alle LW Clone: 04.03.92 Text entfernt - PARADOX I KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F800 Vermehrung und Schaden: Bootblock Text sichtbar im BB: * A new age of virus-production has begun ... This time PARADOX brings you the "LOGIC BOMB" Virus !!! * - PARADOX II Kicktag, KickChecksum im Prg. DoIo u $6c, immer $7F000 verschluesselt mit move.b $DFF006,D1 und eor.b d1,(a0)+ Vermehrung und Schaden: Bootblock Text nach Entschluesselung: This is the second VIRUS by PARADOX - For swapping call: 42-455416 - ask for Hendrik Hansen - PARAMOUNT nur KS1.2 Kicktag, KickCheckSum, DoIo, immer $7F800 Byte-Warrior-Clone, loescht Cold und Cool fordert trackdisk.device NICHT Vermehrung:BB im BB zu lesen: PARAMOUNT SOFTWORKS usw. - PARATAX SCA-Clone, Cool immer 7EC3E, nur anderer Text - PARATAX II Disk-Dokters-Clone, nur KS1.2 da DoIo-ROMEinsprung Cold, Cool, DoIo, im Prg. Vec5 im BB sichtbar: PARATAX II clipboard.device durch ".dos.library" ersetzt je nach Zaehlerstand wird eigener BB geschrieben oder Disk ab Cylinder 40 (ROOT) formatiert - PARATAX III 16BitCrewClone s.o. Unterschied: The 16Bit Crew 1988 in PARATAX III (!!!) geaendert eine echte Meisterleistung - PentagonCircle cool,kickchecksum Fastmem ja, im Speicher immer ab $7fb00, im Prg. noch DoIo testet auf einige Viren, Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer by Mr.Moutainlake! Hinweis: Es wird ein Pentagon-BB weitergegeben, in dem das 4.LW Null ist. Dieser Bootblock ist NICHT bootfaehig und wird deshalb von VT auch nicht als Pentagon erkannt !!!! - PentagonVirusSlayer2: cool, KickCheckSum, immer ab $7f000 Fastmem ja, im Prg. DoIo, Programmierung voellig anders als Pentagon, Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer 2 by Mr.Mountainlake! - PentagonVirusSlayer3: Cool, KickCheckSum, immer ab $7e000 Fastmem ja, im Prg. DoIo, FindResident Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer by Mr.Mountainlake! - PentagonCircle 4 cool,kickchecksum im Speicher immer ab $7fb00, im Prg. noch DoIo beim Booten immer GURU !!! Grund: es hat jemand geschafft "dos.libr" zu erzeugen. Der Rest fehlt. ABER !!!! bevor diese Fehlerquelle erreicht wird, wurde schon Cool verbogen. Wenn Sie jetzt nur 512 kb Chipmem haben und beim 2. Start die Maustaste druecken, wird der Bildschirm gruen. Jetzt legen Sie einen "echten" BB ein und schon kann sich der Pentagon-BB vermehren. Aber auch der vermehrte BB enthaelt obengenannten Fehler. Empfehlung deshalb : sofort loeschen - PERVERSE I anderer Name: BOOTX-Virus s.o. - POWERBOMB ByteBandit/Forpib-Clone s.o. Text: POWERBOMB SYSTEMS PRESENTS: BYTE BANDIT V2.0 !!! - PowerTeam BB KickTag, KickCheckSum, BeginIo nicht mit KS2.04 Teile des BB's codiert mit eor.w d1,(a0)+ Schaeden: - Sobald die Zaehlzelle den Wert $a erreicht hat, Textausgabe mit DisplayAlert und dann bei mir Absturz. Text: Virus Meditation #0026051990.PowerTeam - PP-Bomb Powerpacker, FileVirus, keine Vermehrung, Vers.Nr. 3.2 - 3 Programmteile - kurzer CodeHunk mit 2 jsr-Befehlen (notwendig fuer Ablauf) - crunched Bomb-Teil - Powerpacker 3.0b (ich glaube: NICHT veraendert und nicht ge- crunched) Bomb-Teil: wird zuerst angesprungen, decrunched Laenge: 9880 Bytes Aztec-Prg mit dt. Fehlermeldungen (z.B. Fehler bei DISKFONTBASE) - sucht zuerst SnoopDos-Task; falls ja Bomb-Ende - sucht in c von dh0: und/oder dh1: nach why und setzt das File auf 0 Bytes - enthaelt alle Dos-Befehle um Files zu veraendern (sucht auch auf dh0: und dh1:, ist getestet). - soll AmiExpress veraendern (hab ich nicht) - weitere Eintraege: BBS: DH0:BBS/ DH1:BBS/ DH0: DH1: Ursprung: qtx_pow.lzh 139670 Bytes Empfehlung: loeschen und Orginal-Powerpacker aufkopieren - Pseudoselfwriter andere Namen: Selfwriter, Lamer7 - Random Access CopperIntro schreibt GURU nach $60, nicht resident, keine Vermehrung Empfehlung: sofort loeschen von der Definition KEIN Virus, aber schaedlich wg. $60 - Red October V1.7 Link Name im Prg nicht nachvollziehbar auch KS2.04, Laenge Ursprungsfile ungepackt: 1296 Bytes keine verbogenen Vektoren, schnelle Vermehrung (20min eine Disk komplett verseucht). Haengt sich vor den ersten Hunk und verlaengert das File um 1296 Bytes. In einem verseuchten File ist um $500 zu lesen: timer.device, dos.library, ram: ram:1 . Virus meldet sich NIE. Manche verseuchten Files ver- suchten zwar noch erfolgreich eine Vermehrung, aber bei Aus- fuehrung des eigentlichen Prg.s GURU. VT kann auch diese Files retten. Schaeden in Abhaengigkeit von der Computer-Systemzeit: Computer-Sekunden teilbar durch 3 = Vermehrungsversuch Computer-Sekunden teilbar durch 16 = RESET Vermehrungsbedingungen: - nur bei Aufruf eines verseuchten Files - sucht mit lock, info, examine, exnext andere Files - testet auf Schreibschutz (#80) - File ausfuehrbar ($3F3) - File kleiner #50000 - File noch nicht befallen - KEIN Test auf Disk voll VT-Test: 27.03.92 Ursprungsfile wird geloescht Aus verseuchten Files (auch GURU-Files s.o.) wird Link aus- gebaut. ALLE Files waren wieder im Orginalzustand und voll lauffaehig. - Rene anderer Name: bei mir Lamer8 da im entschluesselten Programm The LAMER Ex... zu lesen ist und das Verhalten einem Lamervirus entspricht, halte ich eine Zuordnung zur Lamer-Gruppe fuer richtig. - Return Of The Lamer PrgFileVirus Laenge 1848 Bytes nur KRESET (Entschuldigung) tarnt sich als Disk-Validator KickTag, KickCheckSum, BeginIo und andere zu erkennen an: hat im Gegensatz zum Org.Disk-Validator keinen lesbaren ASCII-Text Schaeden in Abhaengigkeit von der Zeit: a) bestimmt eine Blocknummer ueber $DFF007 und schreibt 64 x LAMER!!! hinein b) Fastformatroutine fuer alle Laufwerke und ueber DisplayAlert Textausgabe: The Return Of The Lamer Exterminator c) schreibt den falschen Disk-Validator auf Disk - Revenge Bootloader! Begin, KickTag, KickCheckSum, Vec5 Fastmem: nein Vermehrung ueber BB - Revenge V1.2 cool,doio,vec5 , im Speicher immer $7e000 und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste) Vermehrung: ueber BB Schaden: nach einger Zeit neuer Mauszeiger im BB sichtbar: Revenge V1.2GCount: - Revenge of the Lamer PrgFileVirus Laenge 4560 Bytes nur KRESET (Entschuldigung) es werden mir zuviele Zeiger verbogen (10!!) entschluesselt steht im Speicher: dos.library.graphics.library.intuition.library. trackdisk.device.DOS s/startup.sequence usw. Name:$A0A0A0A0A0 steht im Hauptverzeichnis und 1.Zeile Startup testet vor Vermehrung ob genuegend Platz auf Disk ist nach 6 Resets (denke ich), Formatieren aller eingelegten nicht schreibgeschuetzten Disks 3 Seiten Alert-Meldung - Revenge of the Lamer 2 PrgFileVirus Laenge 4448 Bytes einige Write-Test-Routinen fehlen, sonst wie Revenge of the Lamer W A R N U N G: es ist mir beim Testen gelungen, Revenge of the Lamer 1 u. 2 so zu vermehren, dass SID und andere Prg.e die 5 A0 n i c h t anzeigen. Mein FileRequester auch nicht. Das VirusPrg. wird aber a u c h bei diesen Disks aktiviert und vermehrt sich !!! Mit einem DiskMonitor kann das Prg. ge- funden werden. Bei meinem PrgTest erscheint dann: Rev. Lam. unsichtbar Dies ist kein Schwachsinn, sondern der Sachverhalt wurde von anderen Programmierern nach meiner Entdeckung gegengeprueft und eine Fehlfunktion bei ExNext KS1.3 entdeckt. Dieser Fehler ist bei KS2.0 behoben. (vgl. auch Fish 429 Dr.doc) - RIPPER Programcode = Northstar, nur anderer Text cool im Prg. DoIo immer ab $7ec00 Vermehrung: BB Text (auch im BB sichtbar):ATARI KILLS COMMODORE! RIP! RIP THE RIPPER usw. - Riska Forpib-Clone s.o. - Rob Northern File Laenge: 2616 BGS9 Clone s.o Rob Northern im File lesbar Anfaengeraenderung: !!!! testet immer noch auf TTV1 obwohl nicht mehr vorhanden schreibt nur 2608 Bytes zurueck (Geruechte behaupten, dies waere die Orginallaenge von BGS9 ???) vergisst 3F3 zu schreiben d.h. ein vermehrtes Prg ist NICHT mehr lauffaehig d.h. die startup-sequence einer verseuchten Disk bricht ab VT findet weiterhin BGS9 im Speicher. Bei BlockKette wird Rob nicht gefunden, da 3F3 fehlt. Ausbau mit FileTest. Stand 14.03.92 - Rude Xerox = DIGITAL AGE = Forpib-Clone nur Text geaendert - SACHSEN VIRUS NO.1 Cool, immer ab $78000 fordert trackdisk.device BB-Teile codiert mit move.b #$70,d0 add.b d0,(a0)+ decodiert im Speicher: ** SACHSEN VIRUS NO.1 ** usw Vermehrung: BB sonst keine Schaeden und keine Meldung GURU-Gefahr: sobald das Virus im Speicher ist und ein RESET ausgefuehrt wird, wird CloseDevice verbogen. Mit FastMem ab $200000 dann GURU. - SACHSEN VIRUS NO.3 Cool, DoIo, Wait, immer ab $78000 belegt Block 0-3 (d.h. ein File ab Block 2 wird auch zerstoert. Fordert trackdisk.device NICHT (HD!!!!) Alle Texte codiert. Vermehrung: BootBlock 0 - 3 Schaeden: Schreibt nach Block 880 (Root bei Disk) neuen Disknamen SACHEN NO.3 ON DISK !!! Schreibt in Block (abhaengig von $DFF006) 64 x SACHSEN3 Sollte dieser Block in einem File liegen, so ist dieses File NICHT mehr zu retten. DisplayAlert und dann RESET SACHSEN VIRUS NO.3 in Generation : is running... (bei mir Generation 23) - SADDAM HUSSEIN Bootblockvirus (vgl. auch BlowJob) KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000 Taeuscht durch Text im Bootblock: A2000 MB Memory Controller V2 Vermehrung und Schaden: Bootblock Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein Programmteil mit subi.b #$71,D0 entschluesselt und mit display- Alert der Text ausgegeben: TOO BAD BROTHER ... SADDAM HUSSEIN STRIKES BACK !!! THE ONLY ESCAPE IS TO TURN THE POWER OFF !!! - SADDAM-VIRUS Disk-Validator Laenge:1848 Bytes HINWEIS: wird manchmal von VirusX mit Australian Parasite verwechselt !!!! Das erste Virusprogramm, das mit 1 MB Chip, Kick1.3 und OHNE setpatch r einen Reset mit der Tastatur uebersteht !!!!!!!! Cold, BeginIo, Close im Trackdisk.device, Rasterstrahl $90(a6) im Prg. dann noch OpenWindow, InitResident, direkte Dos.lib-Ein- spruenge. entschluesselt im Speicher mit: eor.b d0,(a0)+ subq.l #2,d0 dbra d1,loop Zum Verschluesseln eines neuen SADDAM-Disk-Validators wird ein Wert aus $DFF007 in d0 abgelegt. Speicherlage: SysStkLower - veraenderter Wert aus $DFF007 - Virus- programmlaenge Name decodiert: " SADDAM VIRUS" Schaeden und Gefahren: Das Einlegen einer Disk mit ungueltiger BitMap genuegt, um SADDAM zu aktivieren !!!! abhaengig von der Zaehlzelle: KopfStep alle Laufwerke (Disk danach BAD) und DisplayAlert: SADDAM-VIRUS Ueberschreibt jeden echten Disk-Validator auf einer ungeschuetzten Disk !!!!! Falls auf einer Disk kein l-Dir vorhanden ist, wird es erstellt und dann der verseuchte Disk-Validator hineinkopiert. Noch KEIN anderes Virusprogramm hat Unterverzeichnisse angelegt !!!! Sucht ueber den FileHeaderBlock den ersten FileDataBlock und schreibt in T.DATA das LWort IRAK . Der Rest des FileDataBlocks wird mit eor.l d1,(a0)+ dbra d0,loop verschluesselt. Bei aktivem SADDAM-VIRUS wird statt IRAK der richtige Wert 8 angezeigt! (Taeuschung !! vgl. Lamergruppe, die sauberen BB vortaeuscht!) Schreibt manchmal in ROOT in $13c (=Zeiger auf BitMapBlock) den Wert Null. Mit Glueck finden Sie in $140 den Orginalwert (abge- legt vom Virusprogramm) . Wenn Sie Pech haben, hat ein anderer Virusprogrammteil diese Stelle kurz danach auch auf Null gesetzt. Versuchen Sie dann mit einer Bootdisk den OrginalDisk-Validator zu starten oder versuchen Sie mit einem Disk-Monitor zu Fuss den BitMapBlock zu finden und wieder in $13c einzutragen. Oder lesen Sie BitMapTest.dok (11.07.91) Hinweis: Versuchen Sie bitte NICHT decode IRAK auf einem fms.device (Grund: phys. und logischer Block verschieden). Sie muessen IRAK auf einer Disk decodieren !!!!! Hinweis 2: Ich besitze inzwischen (21.10.91) einen SADDAM-Disk- Validator mit der Laenge: 1892 Bytes . Dieser Disk-Validator aktiviert sich trotz Null in $138 und $13c nicht, sondern der System-Requester erscheint !!!! Hinweis 3: Um IRAK-codierte Bloecke zu reparieren, verwenden Sie bitte BlockITest. Geht sehr schnell im Vergleich zum FileTest. Danke - SADDAM-Clones verwenden statt IRAK LAME, LOOM, RISC usw. Testen Sie mit BlockITest und verneinen Sie decode und schauen sich den Block an. Langwort 0 enthaelt das Erkennungslangwort. Decode in BlockITest sollte richtig arbeiten. Falls nein, rufen Sie mich bitte an. Danke - SADDAM-File Laenge: 14524 Bytes NICHT lauffaehig Error 121 Grund: Hunklaengenangabe immer noch $1c5 . Sofort loeschen - SADDAM ][ Disk-Validator Laenge: 1848 Bytes Verhalten: s.o. Schreibt IRAK Aenderungen: Name: " SADDAM ][ " andere Decodierroutine: z.B. subq.l #3,d0 (Org. subq.l #2,d0) - SADDAM-Clone besondere Art Name geaendert in HARDEX VIRUS Soll statt IRAK HARD schreiben. Wie das gehen soll, ist mir aber noch nicht klar. Begruendung: Der Nachprogrammierer hat nicht nur Namen geaendert, sondern auch noch 'trackdisk.device' geloescht. Deshalb kann BeginIo nicht verbogen werden. Also keine Codierung eines Blocks moeglich. VT erkennt SADDAM . Bitte einfach loeschen. - SCA Dos Kill siehe bei D&A Virus - SCA! - SCA 2 keine Gefahr, nie bootfaehig, immer GURU deshalb in meinem Prg. nur Nicht-Standard-BB Begruendung: read $200 nach $7FC00 von Zylinder 79 und dann jmp $7FA00 (alles klar Anfaenger !!) - SCARFACE BeginIo, KickTag, KickCheckSum, Vec5 FastMem nein Vermehrung: ueber BB ResetRoutine, die ueber Vec5 gesteuert wird (Zaehlzelle > $2710) Im BB sichtbar: z.B. SCARFACE - Self-Writer andere Namen: Pseudoselfwriter bei mir Lamer7 da im entschluesselten Programm The LAMER Ex... zu lesen ist und das Verhalten einem Lamervirus entspricht, halte ich eine Zuordnung zur Lamer-Gruppe fuer richtig. - Sendarian Revenge V1.2-Clone, Cool, DoIo, Vec5, im Speicher $7e000 und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste) Vermehrung: ueber BB Schaden: nach einiger Zeit neuer Mauszeiger im BB sichtbar: Sendarian #1Count: - SHIT-Virus (BB) nicht mit KS2.04, nicht mit FastMem KickTag, KickCheckSum, BeginIo, Vec5, $64, $68, $6c haeufig GURU Zeitzaehler: 8 Min setzt irgrndwann $60 auf 0 codiert mit: eor.w d0, (a0)+ add.w $xyz(pc),d0 Im codierten BB ist zu lesen: Nuked007 (wobei Nu=RTS) Zugeschickt wurde mir der BB als Ethik-BB. Diesen Namen kann ich nicht nachvollziehen. Schaeden in Abhaengigkeit von der Zaehlzelle: - schreibt $1400 Bytes ab Block 0 (Absicht ???) zerstoert also auch Files die ab Block 2 liegen - schreibt in einen Block ab $30 SHIT addiert 8 zu $10 im Block (bei OFS=NextDataBlock) addiert 8 zu $14 im Block (bei OFS=BlockCheckSum) schreibt den veraenderten Block dann 1 Position spaeter zurueck. Diese Files sind NICHT zu retten !!!!!!!! Gefaehrlich: in weniger als 5 Minuten habe ich 12 SHIT-Bloecke auf einer Disk erzeugt !!! - SS Virus BB Cool immer $7C078 immer ab $7C000 Bei mir mit KS2.04 nach Reset kein neuboot von Disk. Unter KS1.3 werden nach dem Reset 2 Interrupts installiert. Nr. 3 = Ports = $7C1D6 = SS.install Nr. 5 = VERTB = $7C1F8 = SS.greetings VT entfernt beim loeschen die Namen und setzt die Codezeiger auf 0 mit RemIntServer. Also keine Gefahr mehr. vgl. VT = Listen = IntVec Sobald die Zaehlzelle den Wert #$500 erreicht hat wird eine Graphikroutine angesprungen: schwarzer Hintergrund, helle Schrift Hakenkreuz,SS-Rune,Hakenkreuz und dann your computer is infected by SS-Virus! Danach ist ein Reset notwendig, da das VirusPrg. sich in einer Endlosschleife befindet. Der BB ist codiert mit eor.l d0,(a0)+ Von der Definition handelt es sich nicht um einen BB-Virus, da keine Vermehrungsroutine gefunden wurde. siehe auch MOSH, HEIL-Virus - STARFIRE/NorthStar 1 anderer Name BlackStar Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 1 testet nicht auf SystemZ, nur auf SCA, ByteBandit = DisplayAlert Vermehrung: ueber BB Im BB lesbar: Virus detected on this disk usw. Reset,WriteProt OFF (bei NorthStar2 nicht vorhanden) - STARFIRE/NorthStar 2 = OldNorthStar ???? Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 2 testet auf SCA, ByteBandit, SystemZ, NorthStar1, Folge=DisplayAlert Vermehrung: ueber BB Im BB lesbar: VIRUS detected on this disk usw. My AntiVirus is better! (bei NorthStar1 nicht vorhanden) - Starfire2 nur Block 0, sehr viel Text: The Virusbusters North Star Es ist kein Virus. VT erkennt Nicht Standard-BB - STARLIGHT Warhawk-Clone s.u. nur Text geaendert - STARLIGHT II MicroSystems-Clone s.o. nur Text geaendert - Suntronic cool,doio, nur Kick1.2 da absolute ROM-Einspruenge Vermehrung ueber BB , immer $7fa00 Suntronic-Text im BB sichtbar - SuperBoy Cool, im Prg DoIo, im Speicher immer ab $7ec00 Vermehrung ueber BB Alertmeldung mit .... The Famous SuperBoy - Switch-Off anderer Name: Joshua 2 s.o. - T.F.C. Revenge V1.03 Clone Extreme s.o. Text geaendert und Text im BB verschoben - T.F.C. Revenge V2.14 Versionsnummer und Datum geaendert, Rest s.o. - T.F.C. Revenge LoadWB File, Laenge ungepackt: 2804 Bytes Fuehrt LoadWB-Befehl aus und legt T.F.C. Revenge BB im Speicher ab. Verbogene Vektoren siehe bei Extreme. Vermehrung nur als Bootblock moeglich. - Taipan-Chaos anderer Name: Chaos s.o. - Taipan-LameBlame anderer Name: LameBlame s.o. - Target cool, im Prg. DoIo , immer $7ec00 schreibt auf jede nicht schreibgeschuetzte Disk, die in Block 880 ab $1b0/1 (=Diskname) eine bestimmte Zeichenfolge enthaelt, ab Track 80 bis Ende (mal was Neues) sinnlose Daten Ursprungsprogramm:target.install (Malta) - Telstar cold, cool, Zaehlzelle $c0 ganz gemein, taeuscht durch Text Virusprotector 6.0 vor, entschluesselt (neg.b) BBteile nach $7fc00, jeder 4/2.Reset Graphikausgabe (holl. Flagge und Text u.a. Telstar), keine Vermehrungsroutine gefunden. - Termigator: Kick 1.2 (da absolute ROM-Einspruenge) immer $7f4d0, Cool und DoIo entschluesselte Alertmeldung: Only the TERMIGATOR'VIRUS makes it possible! Bye!... Vermehrung: ueber BB - Terrorists PrgFileVirus Laenge 1612 Bytes KickMem, KickTag, KickCheckSum Textausgabe mit GraphikRoutine nimmt Namen des 1.Files in der Startup an verschiebt OrgPrg ins Hauptverzeichnis (unsichtbar A0202020A02020A020A0A0) Vermehrung: jede nichtschreibgeschuetzte Disk mit Startup im PrgFile sichtbar: TTV1 schwarzer Hintergrund, weisse Schrift, zeilenweise THE NAMES HAVE BEEN CHANGED TO PROTECT THE INNOCENT... THE TERRORISTS HAVE YOU UNDER CONTROL EVERYTHING IS DESTROYED YOUR SYSTEM IS INFECTED THERE IS NO HOPE FOR BETTER TIMES THE FIRST TERRORISTS VIRUS !!! Hinweis: es wird ein unsichtbares File (Name s.o.) weiterge- geben mit der Laenge #64 und dem Inhalt "Protection file!". Dieses File soll einen Terrorists-Befall der Disk verhindern. - THE SMILY CANCER LinkVirus, verlaengert das Prg. um 3916 Bytes Fastmem ja, im Speicher immer ab $7F000, KickTag, KickCheckSum, SumKickData, im Prg. noch BeginIo und $6c = Vec3 PrgTeile decodiert mit ror.b #2,d1 oder codiert mit rol.b #2,d1 befaellt das erste File der startup-sequence, testet n i c h t auf Sonderzeichen im Filenamen, d.h. jedes File wird befallen nach 20 Vermehrungen: Mauszeiger aendert sich in gelben Kopf (smily) mit blauem Hut und Endlosausgabe einer roten Laufschrift: "????????.........." " HI THERE!!! A NEW AGE IN VIRUS MAKING HAS BEGUN!!!" " THANX TO US... THANKX TO: --- CENTURIONS --- " " AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME" " OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE" " CALLED: ` THE SMILY CANCER ` " " HAVE FUN LOOKING FOR IT... AND STAY TUNED FOR OUR NEXT PRODUCTIONS. " " CENTURIONS: THE FUTURE IS NEAR!" " " Ausserdem ist im decodierten Prg noch zu lesen: (erscheint nicht in der Laufschrift) HELLO HACKERS OUT THERE!! A NEW FORCE HAS BORN IN ITALY: --- CENTURIONS ---. OUR TEAM IS COMPOSED OF 2 GUYZ: ME & HIM.(AHAHHA!) THE AIM OF - - CENTURIONS - - IS JUST VIRUS MAKING.. WE HAVE LOTTA FUN DOING THIS AND WE ALSO HOPE TO GIVE FUN TO THE KILLERS MAKERS (HI STEVE TIBBETT!) HAW! HAW! HAW! SIGNED: ME & HIM / CENTURIONS Hinweis: Ich besitze ein Smily-File mit vier Links - The Smily Cancer II Filevirus Laenge: 4676 2x verschluesselt nach 1x entschluesseln mit eori.b #$90,d1 subi.b #$22,d1 kann man am Fileende lesen: CENTURIONS STRIKES BACK: THE SMILY CANCER II Beim Starten des Programms wird der loadwb-Befehl simuliert und das Virusteil setzt sich im Speicher fest. Die Vermehrung erfolgt dann als Smily 1, d.h. es findet KEINE Vermehrung als Smily II statt. siehe oben Hinweis: Es wird ein Smily-File (Laenge 4792 Bytes, ab $200 im File Text zu lesen) in Deutschland weitergegeben, das NICHT lauffaehig ist (April 92). Dieses Prg wird von VT NICHT erkannt, da keine Gefahr besteht. Lasst solche Scherze und verunsichert nicht die Amiga-Benutzer !!!! Hinweis 03.09.92: Ab VT2.44 sollten mehrere SmilyLinks ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - The Traveller 1.0 KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F000 abhaengig vom Zaehlerstand: Textausgabe roter,gruener und blauer Balken, schwarze Schrift NEVER HEARD OF VIRUS-PROTECTION ??? -LAMER !!! Vermehrung und Schaden: BB (auch HD !!!!!!!!!) - Tick siehe unter Julie - TimeBomb V0.9 Trojanisches Pferd wird mit dem Prg. BMassacre erzeugt (da steht auch TimeBomb V0.9) besteht aus 2 Teilen in SubDir c und Root: in c: .info = Virus Laenge: 7840 Bytes in Root: pic.xx = Zaehler (Startwert=6) Laenge: 1 Byte in der 1.Zeile der startup steht: c/.info nicht resident, keine Vermehrungsroutine in .info Verhalten: vermindert bei jedem Neustart den Wert in pic.xx um 1 . Sobald 0 erreicht ist, wird die Disk formatiert (Track 0-159) . Damit der Wert in pic.xx geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird immer ausgegeben: RAM CHECKED - NO VIRUS FOUND. - TimeBomb V0.9 Clone Trojanisches Pferd Wird von VT als Timebomb erkannt. besteht aus 2 Teilen in SubDir c und Root: in c: .info = Virus Laenge mit PP: 1584 Bytes in Root: setmap = Zaehler (Startwert=FF) Laenge: 1 Byte in der 1.Zeile der startup steht: c/.info nicht resident, keine Vermehrungsroutine in .info Verhalten: vermindert bei jedem Neustart den Wert in setmap um 1 . Sobald 0 erreicht ist, wird die Disk formatiert (Track 0-150) . Textausgabe danach: Hey Looser ! Boot again ! Damit der Wert in df0:setmap geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird ausgegeben: DISC SPEEDER BY BUD usw VT bietet im FileTest loeschen an und sucht auch nach setmap (1Byte). Falls gefunden, wird auch setmap im Rootverzeichnis geloescht. - TimeBomb V1.0 BB-Virus ( verbiegt keine "bekannten" Zeiger ) (je nach Zaehlerstand wird eigener BootBlock geschrieben, (( Einsprung bei #$70208)) oder Track 80 (Directory) mit Speicherinhalt ab #$20000 ueberschrieben = Disk wird unlesbar !!!) (( Einsprung bei #$70026)) - TimeBomber Trojanisches Pferd wird mit dem Prg. TimeBomber erzeugt besteht aus 2 Teilen in RootDir: virustest = Virus Laenge: 936 Bytes virustest.data = Zaehler (Startwert=5) Laenge: 1 Byte in der 1.Zeile der startup steht: virustest nicht resident, keine Vermehrungsroutine in virustest Verhalten: vermindert bei jedem Neustart den Wert in virustest.data um 1 .Sobald 0 erreicht ist, wird die Disk formatiert. Damit der Wert in virustest.data geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird immer ausgegeben: RAM checked - no virus found. - TNK noch ein SCA-Clone 08.04.92 im BB zu lesen: This was The New Kid usw. - Tomates-Gentechnic-Service = TimeBomb-BB-Clone nur der Text wurde veraendert - Trabbi Link anderer Name: Hochofen s.o. - Traveling Jack LinkVirusPrg mit variabler HunkLaenge verbiegt DosBase+$2E (= dos.library-Zeiger ins ROM), nicht resetfest a) schreibt ein File auf Disk VIRUS.xy Laenge immer 198 Bytes x u. y sind HexZahlen, die ueber $BFE801 bestimmt werden. Text in VIRUS.xy: The Traveling Jack.... I'm traveling from town to town looking for respect, and all the girls I could lay down make me go erect. -Jack, 21st of September 1990 b) linkt sich an andere Prg.e Bedingungen: DOS0-Disk, Disk validated, 12 Bloecke frei auf Disk, Filelaenge mind. 2000 Bytes, FileName mind. 5 Zeichen, FileName enthaelt kein Zeichen kleiner als $40, kein Info.File Typ A: LinkHunkLaengenBerechnung: $24C + Wert aus $DFF006 decodiert im Speicher $909+1 Bytes Typ B: LinkHunkLaengenBerechnung: $25B + Wert aus $DFF006 decodiert im Speicher $945+1 Bytes - Travelling Jack 3 gibt es nicht, es handelt sich um Typ B, glauben Sie mir. Einige andere VirenChecker machen einen Fehler, indem sie die Hunklaengenaenderung nicht beachten und erkennen deshalb nur EINEN Typ B, obwohl mehrere moeglich sind. (Stand 28.09.91) - TRIPLEX-Virus BB Cool, DoIo auch KS2.04 belegt im Speicher $800 Bytes, ist 2x im Speicher Vermehrung und Schaeden: BB VirusPrg. meldet sich NICHT im BB ist zu lesen: This nice little Virus was written in 1990 usw. - TRISECTOR 911 Virus BB immer $7F000 KS2.04 : nein fordert trackdisk.device NICHT KickTag, KickChecksum nach 1. Reset auch: DoIo, Vermehrung und Schaeden: BB und $94(a6) fuer Zeitbestimmung - TRISTAR-Viruskiller V1.0 Es ist NICHT der Orginal TRISTAR- BB gemeint, sondern jemand hat den Text in einen Target-BB (sehr kurzer Code) eingesetzt. Oh, ihr Anfaenger !! VT erkennt Target s.o. - Trojan anderer Name: Incognito s.o. - TURK_V1.3 Cool, DoIo, im Speicher immer $7f000 schreibt TURK nach $60 Vermehrung: ueber BB Textausgabe (entschluesselt mit subq #6,d0) ueber DisplayAlert: Amiga Failure... Cause: TURK VIRUS Version 1.3! im BB sichtbar: TURK - TWINZ SANTA CLAUS Coder-Clone s.o. Text geaendert im BB: THE SANTA CLAUS VIRUS !!!! usw. - U.K.LamerStyle anderer Name: Clist s.o. - UF-Virus anderer Name: UltraFox s.u. - ULDV8 kein Fastmem, KickTag, KickCheckSum, BeginIo, IntVec 5 im BB sichtbar: ULDV8 fordert trackdisk.device Vermehrung:BB - UltraFox Cool, DoIo, FastMem ja, nur KS1.2 da $fc06dc Vermehrung: ueber BB im Speicher immer ab $7eb00 Zaehlzelle groesser $f = Textausgabe, Graphikroutine Hintergrund dunkelblau, Balken hellblau, Schrift gelb. Greetings from ULTRAFOX of Aust. - Umyj Dupe nur KS1.2, da absoluter DoIo-Romeinsprung KickTag, KickCheckSum, DoIo, immer ab $7F800 Fordert trackdisk.device nicht !!! Schaeden und Vermehrung: Bootblock Schreibt in Block 880 (ist nur bei Disk der RootBlock) Umyj Dupe usw. DisplayAlert: Umyj Dupe usw. - VCCofTNT-Virus BB Graphikausgabe: VCC of TNT ACCESS FORBIDDEN Schreibt VCC9 nach #34(a6) Fordert trackdisk.device NICHT auch KS2.04 Schaeden: schreibt sofort unsinnige Werte aus dem Speicher in den BB und den Root-Block Ergebnis: Not a Dos Disk Empfehlung: sofort loeschen Wird auch als AutoBootingBootProtector V2.0 weitergegeben. - VIPHS-Virus BB BeginIo, Kicktag, KickCheckSum, Vec5, im Prg $6c KS2.04: nein Versucht zu taeuschen im BB durch: ANTIVIRUS 1989 by VIPHS Verwendet den ByteBandit-Code um $20 verschoben und $6c Auswirkungen s.o. bei ByteBandit - Vermin Cool, im Prg DoIo immer ab $7eb10 fuellt nicht benoetigten Platz im BB mit Inhalt von $DFF006 auf. Vermehrung und Schaden: Bootblock - VIRUS FIGHTER V1.0 BB auch mit KS2.04 VKill-Clone s.u. Prg-Code = VKill DecodierLW geaendert: "1991" (nuetzt bei VT NICHTS!! ) decodierter Text fuer Requester anders: VIRUS FIGHTER V1.0 usw. - VIRUS PREDATOR BB: anderer und eigentlich falscher Name: Julie s.o. - VIRUS TERMINATOR V6.0 trojanisches Pferd Mega1-Cr: 1880 Bytes auch KS2.04 Versucht durch Text zu taeuschen: VIRUS TERMINATOR V6.0 by Rudolf Neiber (1992) usw. Installiert in Wirklichkeit im Speicher CHEATER HIJACKER Virus-BB Wird von VT im Speicher als CHEATER HIJACKER erkannt. Sollte von VT im FileTest als VIRUS TERMINATOR 6 erkannt wer- den. Empfehlung: sofort loeschen - Virus V1 immer ab $7EC00 Cool $7ec62, DoIo $7eca8 Arbeitet auch mit KS2.04 ! Fordert trackdisk.device NICHT !!! Schaeden und Vermehrung: ueber Bootblock sobald die Zaehlzelle den Wert $F erreicht hat: Textausgabe mit Graphics-Routinen dunkler Hintergrund Virus V1 (rot) Wir sind wieder da ahaaa.. (gruen) Der letzte Text ist auch im BB zu lesen - Virusblaster V2.3 ungepackt 9232 Bytes keine Vermehrung, keine Vektoren verbogen, (also von der Definition her KEIN Virus, aber auf Zerstoerung ausgelegt) zerstoert Disk in Df0 meldet sich im Cli als AntiVirenProgramm von M&T 7/91 einfach loeschen Herkunft: Virusblaster.LZH 27944 Bytes - Doc-File (geaendertes VT2.26doc-File) - Virusblaster PP 7292 Bytes - virustest anderer Name: TimeBomber s.o. - VKill 1.0 anderer Name: Aids, veraendert PutMsg mit FastMem: (loescht j e d e n nicht schreibgeschuetzten Bootblock o h n e Warnung !!!, auch wenn es ein Org. Bootblock ist !! ) mit nur ChipMem: (schreibt ohne Warnung eigenen Bootblock) EntschluesselungsLW: " KEN" - WAFT BB Cool, DoIo auch mit KS2.04 Vermehrung Teile des BB`s codiert mit eori.b #-$31,(a0)+ ergibt u.a. Text: W A F T usw Vermehrung u. Schaeden: - BB - DisplayAlert - sucht Screen- u. Windowstruktur - Warhawk Cool, im Prg. DoIo, liegt immer ab $7e600 Clone: 04.03.92 Text entfernt - Warshaw Avenger BeginIo, KickTag, KickChechSum, SumKickData grosse Aehnlichkeiten mit Lamer, BB aber unverschluesselt schreibt je nach Zaehlerstand BB oder schreibt in einen Diskblock (Lage je nach $dff006) $55 x Warsaw und 1 x !! . - XCopyPro6.5-Trojan Erzeugt beim Starten von XCopyPro V6.5 (Laenge:28336) den BB Little Sven Hinweis: im April 92 lag die OrgVersionsNr. von Xcopy erst bei 5.2x (glaub ich). Gefunden in: xcopy65e.lha Laenge: 25360 Empfehlung: sofort loeschen und Orginal-XCopyPro besorgen. - XENO Link-Virus, verlaengert das befallene Prg. um 1124 Bytes verbiegt DosOpen, DosLock und DosLoadSeg erhoeht Hunk-Zahl im File-Header nicht !!! testet vor Befall Filenamen auf 0-9, a-z und A-Z, Folge: Programme, deren Namen SonderZeichen enthalten, werden n i c h t befallen. Ausserdem werden a l l e Prg., die im Unterverzeichnis l oder devs stehen, n i c h t verseucht. Textausgabe (Output, Write) in Abhaengigkeit von $DFF006 Text wird erst zur Ausgabe decodiert ( eori.b #-$80,(a0)+ ) : Greetings Amiga user from the Xeno virus! in einem verseuchten File ist in der Naehe von $460 mit einem Monitor zu sehen: l.devs.fastfilesystem. - XENO a kleine Veraenderung um AntiVirusPrg.e zu taeuschen 09.03.92 - Xerox = DIGITAL AGE = Forpib-Clone nur Text geaendert - Z.E.S.T BB LADS-Clone s.o Aenderung: lesbarer Text, kein TaeuschAlert, verschluesselter Text ist gleich (Anfaenger) lesbarer Text: Z.E.S.T is the B.E.S.T Virus-Killer usw. - ZACCESS V1.0 16Bit-Clone s.o. nur Text geaendert - ZACCESS V2.0 Forpib-Clone s.o. nur Text geaendert - ZACCESS V3.0 Extreme-Clone s.o. nur Text geaendert - ZOMBI I-Virus Cool, im Prg DoIo, immer ab $7A000 fordert trackdisk.device NICHT Vermehrung: BB Schaeden: Sobald die Zaehlzelle den Wert $F erreicht hat: - RootBlock und Bitmapblock neu schreiben !!!! - Name der Disk dann: Zombi I - Textausgabe mit DisplayAlert Text wird decodiert nach $70000 mit eori.l #$AAAAAAAA,(A0)+ >>>>> Hello AMIGA User !!!!! <<<<< HERE IS ZOMBI I If you want to clean your Disks use Zombie I without risks ! Da der BitMapBlock immer nach $371 geschrieben wird, was aber im DOS nicht zwingend festgelegt ist, kann ein File, das beim Block $371 beginnt, zerstoert werden. Alle Hashwerte im Root- Block werden auf Null gesetzt. Beim BitMapTest erkennen Sie diese Disk am Namen Zombi I ab $1B0. Rettung: DiskDoc oder DiskSalv aufrufen. - erkannte Virenfinder: ===================== teilweise KickRomV1.2, haeufig mit Bootblock-Schreibzugriff, veraltet, resident, werden nach Abfrage geloescht - ACID Terminator V3.0 AntiVirusBB nicht fuer KS2.04 geeignet, da absolute Werte geschrieben werden. Empfehlung deshalb: loeschen - AmigaDOS Viruskiller V2.1 immer ab 7F3F0, resetfest verbiegt DoIo, KickTag, OpenOldLib, und im Prg OpenWindow Schreibt in CLI-Leiste AmigaDOS Viruskiller 2.1 meldet veraenderten Bootblock und bietet BB-AmigaDOS an. GURU mit KS2.04 deshalb Empfehlung loeschen - Anti-Virus_Boot V1.1 c1991 by Hoeppelsoft KickTag, KickMem, KickCheckSum bei Erstinstallierung: gruener Bildschirm bei Reset : Bildschirm mit blauen Streifen eigentlich harmlos, aber: verhindert bei mir mit KS2.04 booten von Festplatte Empfehlung deshalb : loeschen - ASS VirusProtector V1.0 (KickV1.2, Tonfolge) FastMem ja, KickTag, KickCheckSum, Vec5 - Blizzard Protector V1.0 testet Cool, Vec3, falls veraendert wird ohne Warnung eigener BB geschrieben (verwendet dazu ueber den verbogenen CoolVector das andere Prg (jsr 82(a0)) Empfehlung: loeschen - BlizzPro V3.1 cool, Fastmem ja, im Prg. closedevice (oh, was neues) Vermehrung: ueber BB erkennt einige Viren, schreibt aber KS1.2 DoIo zurueck Meldung ueber DisplayAlert unverschluesselter Text im BB: BlizzPro V3.1 und Virennamen - BlizzPro V3.3 Cool gegenueber BlizzPro V3.1 verschoben NICHT mit KS2.04 kein Virus = Bildschirm gruen sonst s.o. unverschluesselter Text im BB: BlizzPro V3.3 und Virennamen Empfehlung: sofort loeschen - CLONK! DoIo, KickMem, KickTag, KickCheckSum, SumKickData nur 512KB Chip (oder resetfestes 1MB), da zur Aktivierung immer ein Reset ausgefuehrt wird. (7D042 nach $80, TRAP 0) Ursprungsprogramm: Clonk! (Alcatraz) - DISKGUARD v1.0 cool, im Prg DoIo, immer $7FA00 Vermehrung: ueber BB Meldung fremder BB.e: mit DisplayAlert schreibt immer DoIo von KS1.2, Folge: Guru mit KS1.3 Empfehlung: loeschen - Exterminator 2 cool, im Prg DoIo FastMem: nein KS2.04: nein Empfehlung deshalb: L=loeschen - H.C.S I veraendert cool, im Prg DoIo, loescht KickTag im Speicher immer ab $7EC00 Vermehrung: jeder DOS-BB ohne Warnung !!!! - H.C.S II veraendert cool erkennt einige alte BBViren ( Alertmeldung ) beim ersten Bootblockschreiberfolg wird noch der DoIo-Vector verbogen und bleibt verbogen bei leerem Laufwerk blinkt PowerLed - Outlaw-VirusChecker keine Vermehrung, erkennt SCA. Schreibt aber immer KS1.2 Werte (z.B. Vec5 $fc12fc) zurueck. Folge: GURU mit KS1.3 nicht resident Empfehlung: loeschen - M&U V5.5 u. V6.1 KickTag, KickCheckSum immer $7F400 nach Reset auch DoIo, prueft die Standard-Vektoren und springt bei der Erstinstallation, falls diese nicht 0 sind, ins ROM zum Reset. Fehler: or.l $550(a6),d0 (richtig:$226) Stand: Feb. u. Maerz 90 Empfehlung deshalb: sofort loeschen - Monkey-Killer AssProt-Clone Empfehlung loeschen s.o. Endlich hat es jemand geschafft den Text abzuaendern. Leider erkennt VT diesen BB weiterhin als ASS-Prot.BB . - NO BANDIT soll ByteBandit am Bootblockbefall hindern Text: NO BANDIT ANYMORE! R.T. Empfehlung: loeschen - Sherlock AntiVirenBB , Cool, DoIo, resident im Speicher, im Speicher immer ab 7FA00, benutzt zusaetzlich 7CA00, Textausgabe mit DisplayAlert schreibt bei mehr als 512KB BeginIo an falsche Stelle, Empfehlung: loeschen Hinweis: 04.03.92 (Brief) soll Disks zerstoeren. Getestet: nicht aufgetreten - SystemZ V3.0, 4.0, 5.0, 5.1, 5.3, 5.4, 6.1, 6.3, 6.4, 6.5 KickTag, KickCheckSum, loescht Cool, im Prg. DoIo Melodie und Farbbalken ab 6.3 keine speicherabsolute Adresse mehr neuer Name Virusprotector (meldet sich vor Schreibzugriff) - Trackers Antivirus V1.2 blauer Streifen, helle Schrift 2 alte absolute ROM-Einspruenge Empfehlung deshalb: sofort loeschen - VIRUS HUNTER Kicktag $7F300, KickCheckSum $7F307 immer ab $7F300 war ein AntiVirusBB fuer KS1.2 Empfehlung heute: sofort loeschen Begruendung: direkte RomEinspruenge jsr $FC06DC, $94(a6)=$FC12FC, schreibt nach $238(a6) dieser Teil wird aber seit KS2.04 genutzt !!! usw. - Virus-Killer KickMem, KickTag, KickCheckSum - VIRUS SLAYER V1.0 Cool, DoIo, im Speicher immer $7FA00 nur KS1.2 da DoIo absolut ROM veraltet, Empfehlung: loeschen Vermehrung: ueber BB - ZVirusKiller V1.5 BB KickTag, KickCheckSum, veraltet Empfehlung: loeschen Text: ZViruskiller V 1.5 usw. - harmlose Programme: =================== - ANTI-Disk-Validator Laenge: 1848 Bytes in einen Disk-Validator von WB1.3 wurde das Wort ANTI ein- gebaut. Ueber diesen String wird mit bra.s hinweggesprungen. Die zusaetzlichen 8 Bytes werden wieder eingespart durch die Umwandlung von zwei Longs in Short im weiteren Programm. Dieses Programm ist harmlos. Um aber das Durcheinander bei den Disk-Validatoren gering zu halten, empfehle ich: LOESCHEN !!!!! - schaedliche Programme: ====================== - Blieb6 Laenge: 7612 Oeffnet dh0:bbs/config1 oder dh1:bbs/config1 und verlaengert das File auf 1972 Bytes. Versucht dann explode.library zu laden, um sich selbst weiter zu entpacken. Dabei erscheint bei mir sofort der GURU auf jedem Test-Rechner und bei jeder KS . Falls Sie mehr Glueck haben, bitte eine Nachricht. Danke - BootblockMassacre gepackt: 9592 bietet install von verschiedenen alten BB-Viren (1988) - BootX5.02 gibt es noch gar nicht (Stand:26.06.92) Jemand mit Filemonitorkenntnis hat mehrmals das Wort Porky eingebaut. Sofort loeschen - ByteWarriorCreater gepackt: 6012 Bytes (TNM) ungepackt: 7360 Bytes Erzeugt mit Fastmem eine NDOS-Disk Ohne Fastmem wird der ByteWarrior in den Bootblock geschrieben - DAG_Creator ungepackt: 7000 Bytes anderer Name: Infector V2.0 gepackt:4956 schreibt DAG-Virus in BB von df1: - Disk.info Laenge: 370 Bytes KEINE Vermehrung Ein OrginalWB1.3-Icon wurde in der Struktur geaendert. (Text eingebaut z.B. This is a little present for all Lamers abroad ). Sobald Sie diese Disk einlegen und es muesste das Disk-Icon auf der WB angezeigt werden, stuerzt der Rechner ab. Haben Sie die Startup-Sequence im Cli abgebrochen, so muss kein Icon dargestellt werden und deshalb koennen Sie mit dieser Disk ohne Probleme arbeiten. AbHilfe: Ersetzen Sie Disk.info . - DiskRepair V2.6 Laenge:37740 Schreibt nach dem ersten Scandurchgang einen LEEREN RootBlock mit Namen PHOENIX . Beim 2. Durchgang werden aber dann die Files wieder eingetragen. ABER !!!!! es wird immer ein nicht ausfuehrbarer BootBlock geschrieben ??? Der Fehler liegt nach meiner Meinung im File bei $80d0 . Ich rate also von diesem Prg. ab !!! - DM-Trash 06.08.92 gegen AmiExpress ??? wird von VT NICHT erkannt dm-tr.lha 5135 Bytes entpackt: dm-trash 4764 Bytes folgender Text (doc) ist enthalten: New virus ...caused by the new FIXED (?) Version of DMS 1.11 Turbo! It is some kind of linkvirus and uses Devices like DH0:, LIBS:, and BBS: (!!) usw. Eigene Versuche mit FangFiles (habe AmiExpress nicht) haben ergeben, dass eben von dm-trash folgende Files veraendert wer- den: bbs:config1 bbs:user.data bbs:user.key die Files wurden verlaengert und z.B. folgende ASCII-Zeichen gefunden: BLXFGZ ZAPA PaddZn usw. Es scheint mir nicht DMS ist das trojanische Pferd, sondern dm-trash. Vermutlich soll ein Superlevel fuer einen Boxzu- gang geschaffen werden. Also fuer normale Amiga-User kein Problem. - Guardian.DMS sofort loeschen Nach dem Entpacken auf Disk entsteht guardian.config, startup-sequence und andere Files. Gefaehrlich: guardian.config v1.0 dh0:bbs/ v1.0 dh1:bbs/ 2 - v1.0 ist in c auf der Disk ein umbenannter delete-Befehl startup-sequence echo " " echo " GUARDIAN MULTITOOL INSTALL " echo " " echo "Please wait" v1.0 dh0:bbs/user.data v1.0 dh0:bbs/user.keys v1.0 dh0:bbs/config1 v1.0 dh0:s/startup-sequence check drive dh0: Name Guardian-Multi wait 3 echo " " echo "Operation complete " - check ist in c auf der Disk ein umbenannter format-Befehl - Infect Laenge ungepackt: 1384 schreibt File (z.B. BB) in BB eines LW's DFx kann sowohl positiv als auch negativ genutzt werden - Infector V2.0 = DAG_Creator s.o. - Lhwarp_V1.40 Laenge: 47880 Bytes (ungepackt) Hinweis eines Users: mit Impl: 24788, mit PP: 27828 Schreibt bei mir auf Zieldisk, falsche DiskStruktur beim Entpacken. Disk dann unbrauchbar. Bitte fuehren Sie aber mit unwichtigen Disks selbst Tests durch und testen Sie mit BlockKette. - LZ 2.0 Hinweis: Stand 21.09.91 In Boxen ist ein LZ2.0 aufgetaucht, mit Laenge 37380 Bytes entpackt. Muss sich um einen Patch handeln und soll Archive zerstoeren. Hab ich, wird aber von VT nicht erkannt. Die hoechste OrginalVersionsNummer von LZ war am 22.09.91 LZ 1.92 . - Show Sysops Util 06.08.92 wird von VT NICHT erkannt Laenge: 5780 entpackt: 7860 Sucht nach BBS:USER.DATA und gibt Daten am Bildschirm aus. An einem FangFile konnten keine Veraenderungen festge- stellt werden. Dies kann aber bei einem Mailboxprg. anders sein. Fuer normale Amiga User nach meiner Meinung keine Gefahr und Sysops wissen sich zu helfen oder ?? - Sysinfo V2.2 PP: 3928 ungepackt: 5656 enthaelt: delete BBS:#? all Diese Funktion konnte ich bei Tests auf keinem Amiga-Typ, mit dem ich testen kann, ausloesen. Das Programm belegt Speicher und zeigt dann sehr schnell den GURU bei irgendeiner Arbeit auf der WB. Falls Sie mehr "Glueck" haben, bitte eine Nach- richt. Danke - uinfo Laenge:13048 wird von VT NICHT erkannt Sucht nach AEDoorPort (AmiExpress ???) und Userdaten. Also fuer NormalUser ohne MailBox keine Gefahr. 10.09.92 - Virusmaker erzeugt nach Wahl: Byte Bandit, Byte Warrior, S.C.A., North- Star 1+2, System Z - X-Ripper V1.1 Laenge: 41360 Bytes (ungepackt) erlaubt mit inst 5 das Schreiben eines Lamer-BBs. Es wird aber eine NDos-Disk daraus, weil die DOS0-Kennung um 8 Bytes verschoben angelegt wird. Heiner Schneegold Am Steinert 8 8701 Eibelstadt (W-Deutschland) Tel: 09303/8369 (19.00 - 20.00 Uhr) Heiner