home *** CD-ROM | disk | FTP | other *** search
/ EnigmA Amiga Run 1997 February / EnigmA AMIGA RUN 15 (1997)(G.R. Edizioni)(IT)[!][issue 1997-02][PLANET CD V].iso / enigma / earcd / utility / utilfile / antibl12.rdm < prev    next >
Text File  |  1997-01-18  |  7KB  |  150 lines
  1. Short:    Mem viruskiller for the new Packetviruses
  2. Author:   gzenz@ernie.mi.uni-koeln.de (Gideon Zenz)
  3. Uploader: gzenz@ernie.mi.uni-koeln.de (Gideon Zenz)
  4. Type:     util/virus
  5.  
  6. -----BEGIN PGP SIGNED MESSAGE-----
  7.  
  8. PURPOSE
  9.         As  probably  some  of  you  know,  a crazy guy postet the source of a
  10.         really  dangerous  stealth-virus  (Beol3) to the usenet.  I decided to
  11.         debug  this piece in order to protect myself from it, as the danger of
  12.         clones  with  destructive  routines  seemed  to  be pretty high.  When
  13.         testing  it, I had to make sure not to infect myself, and to clean the
  14.         memory from the virus when I finished.  So AntiBeol was born, in order
  15.         to clean the memory from all viruses working like this one.
  16.  
  17.         I got in contact with Markus Schmall (Virus Workshop) so I could maybe
  18.         help  him  a  bit,  and he encouraged me to improve AntiBeol, as other
  19.         peoples  might  find such a tool handy.  He sent me some more viri, so
  20.         it`s now able to detect and clear the most important one.
  21.  
  22.         The  difference  to  probably  the  most viruskillers is that this one
  23.         doesn`t  only notify you when it encounters a known virus, but also if
  24.         it  detects  some  abnormal  changes, so it can (hopefully) detect new
  25.         viri.
  26.  
  27.         All  in  all, it doesn`t replace a good background checker like VirusZ
  28.         is, but it gives you additionally help on this comming-up packetviri.
  29.  
  30.  
  31. USAGE
  32.         It`s  pretty  easy to use.  Just put it somewhere in your User-Startup
  33.         with a run, e.g.:
  34.  
  35.         Run <>NIL: C:AntiBeol
  36.  
  37.         You won`t notice anything on normal work, but if it detects something,
  38.         a  reqtools  requester  will  pop  up  and  inform  you about it.  The
  39.         following  viri are detected untill now:  Beol 3, Beol 2, Beol 96, and
  40.         SMEG.
  41.  
  42.         But  you  can  get  another  ones,  which  are:   Dospacket  virus and
  43.         Volumelauncher  virus.   NOTE:   These ones mean that AntiBeol found a
  44.         program  that  used  some techniques NORMALY only viri (like the above
  45.         mentioned)  use.   It  DOESN`T  need  to  be  a  virus, but it can be.
  46.         Programs like ArcHandler or DiskExpaner can cause such things, in this
  47.         case just press "Leave It" and it won`t be touched.  So IF you start a
  48.         program  you  100% KNOW about it`s virus-free (and it crashes), please
  49.         mail me, and try using the NOSTRICT option.
  50.  
  51.  
  52.  
  53. TECHNICAL
  54.         This  paragraph  is  for advanced users only, so don`t get mad because
  55.         you don`t understand a word :)
  56.  
  57.         So  how  does  this  thingie  work?  Basically quite easy:  Every five
  58.         seconds,  it  checks  some  vectors  of  the system (pr_WaitPkt of all
  59.         Volumes,  Processes,  and TC_LAUNCH of every task), as they`re used by
  60.         the  above  mentioned  viruses.   If such a virus is detected, or some
  61.         other  program  is  found there (these vectors are normaly not used by
  62.         any program I could find) they`ll get cleared, the suspicious piece of
  63.         code  get`s  disabled  and you`ll get notified.  For the curious ones:
  64.         AntiBeol  also changes it`s name randomly every 5 seks, so don`t get a
  65.         heart attack if you see a process like "CLI(15):r7a9wOeci".  This will
  66.         prevent the FindTask("SnoopDos")-trick.
  67.  
  68.         So  what do these "future-viri" requesters mean?  Dospacket means that
  69.         someone  hooked  up  in  pr_WaitPkt, either in the Processes or in the
  70.         Volumes,  and  Volumelauncher means someone hooked up in the TC_LAUNCH
  71.         field  of the Volumes` tasks.  As additionaly help you get the address
  72.         of  the  suspicious  vector.   This is a pointer to the dos structure,
  73.         e.g.  pr_WaitPkt.
  74.  
  75. LAST WORDS
  76.         I really do have to thank Markus Schmall for his help and providing of
  77.         viri!   Without  him I wouldn`t even have thought about releasing this
  78.         program!
  79.  
  80. HISTORY
  81.         v1.0 (24-Sep-96)
  82.          - initial release
  83.  
  84.         v1.1 (17-Oct-96)
  85.          - Now works on 68000 machines (thx to Danny Lade)
  86.          - Recognizes DiskExpander (thx to Martin Imlau)
  87.          - Finally works with ArcHandler under every condition
  88.          - Improved the Warning requester, shows memory and you can decide
  89.            wether to kill or not to kill the suspicious code.
  90.  
  91.         v1.2 (27-Nov-96)
  92.          - Recognizes FSDirs (thx to Dave Jones)
  93.          - Removed enforcerhits, which caused an
  94.            A3000 to stall every 5 secs (thx to Nils Goers)
  95.  
  96. DISCLAIMER
  97.         This  software  is subject to the "Standard Amiga FD-Software Copyright
  98.         Note"  It is Freeware as defined in paragraph 4a.  For more information
  99.         please read "AFD-COPYRIGHT" (Version 1 or higher).
  100.  
  101. AUTHOR
  102.         If you have some comments, please don`t hesitate to contactme!
  103.  
  104.         Gideon Zenz
  105.         Giersbergstr. 41
  106.         53229 Bonn
  107.         GERMANY
  108.  
  109.         EMail: gzenz@ernie.mi.uni-koeln.de
  110.  
  111.         -Gideon Zenz, 17-Oct-96
  112.  
  113.  
  114. SECURITY
  115.         If  you  want  to  be shure you have the original programs, check with
  116.         "md5sum -c AntiBeol.readme".  (md5sum is part of the PGP package), and
  117.         of cause check the integrity of this readme with PGP!
  118.  
  119. 41f31af0209218c99b605606fbcbb1cf *AntiBeol
  120.  
  121. - -----BEGIN PGP PUBLIC KEY BLOCK-----
  122. Version: 2.6.3ia
  123.  
  124. mQCNAi3izr8AAAEEAMi+7o+iKDG26t8EuoX0NJ92iwhkviRC3GdJ1Uvef4+xJA3V
  125. ey20ZnzBg/OokPdo0a3VxhwyjD2auyFmp7DLupQTko7Wx2zLk19EzVBxI6NggUev
  126. ep+eaVvAi8V/YosYh0Xg4/dScOq391irO6k9+BPqkQPH+bRNCUBgnhXGkfElAAUR
  127. tClHaWRlb24gWmVueiA8Z3plbnpARXJuaWUuTUkuVW5pLUtvZWxuLkRFPokBFQMF
  128. EDH2trkAYAKC86RPCQEBgTUH/A8KTc/9NKi/mbzkPGUyywI3krp/HqGDAQVN89QF
  129. ynq5PtTSuKy5Q4DAmJwQ4gna9GJQytme1YbaXKjNNxMi2b33Rhd9aj5HKVHx6bRg
  130. uJ7LpgAotz6FuI6Ny76V1ccwQQnbxroy+EKOR2uOnOh/Gr4NbVz1QTVqksYyp/T5
  131. rwI1esgJlTKxow6Y9BAutyC4M3n9Snc6sViGQwZsH9Xxts9c9meI7LRjleWjSFcl
  132. 7LuZVyf6LFFuzo9jQQTt+Ak69wCeN4Qq5oTzLJQa9KzgQaxj70oP9LyTPBkdYPWH
  133. a+JYPCxgyBojY8igq7PmSRiMnJKhWkQx+uRQbnpuDHPgvgSJAJUDBRAx0dc3QGCe
  134. FcaR8SUBAciDA/4qaRFv5KZGlIbAeGphlR33+aBjMZDf1MlC1QcIk2yPY9tTMIis
  135. z06IckZw7Oq+RVBmJOvOZtJJJuVCuufyHKSg3+HRj6YE4lQ7/ojCU7yPcrdfny4o
  136. LKEpehRB/F89Mzan7cjyLI9qH07I2wq7a9wCwP4BDpa0lxMAQd9Uk+UN6g==
  137. =qm/Q
  138. - -----END PGP PUBLIC KEY BLOCK-----
  139.  
  140. -----BEGIN PGP SIGNATURE-----
  141. Version: 2.6.3ia
  142. Charset: latin1
  143.  
  144. iQCVAwUBMpx3rUBgnhXGkfElAQF6hQP7BqtR4uIuZ280THc6deCByHAlOeBCgm6d
  145. jDR6H4q2muj4PsUlUwepnbyx//xrvWZUWQHZCdN3DlJX7OXyBhThmDUN6//fdW+d
  146. jOiMGHgtnfhxvw1Zqq9VK2SCbIopYIY4FgemJQcIkqLQ0I9fYyG8yJNP2pmkqnjl
  147. ZYZEFcU2kRc=
  148. =ujCD
  149. -----END PGP SIGNATURE-----
  150.