home *** CD-ROM | disk | FTP | other *** search
/ EnigmA Amiga Run 1997 October / EnigmA AMIGA RUN 22 (1997)(G.R. Edizioni)(IT)[!][issue 1997-10 & 11][EAR-CD VI].iso / recent2 / antbl132.rdm < prev    next >
Text File  |  1997-09-12  |  8KB  |  178 lines
  1. Short:    Mem viruskiller for the new Packetviruses
  2. Author:   gzenz@ixc.net (Gideon Zenz)
  3. Uploader: gzenz@ixc.net (Gideon Zenz)
  4. Type:     util/virus
  5.  
  6. -----BEGIN PGP SIGNED MESSAGE-----
  7.  
  8. PURPOSE
  9.         As  probably  some  of  you  know,  a crazy guy postet the source of a
  10.         really  dangerous  stealth-virus  (Beol3) to the usenet.  I decided to
  11.         debug  this piece in order to protect myself from it, as the danger of
  12.         clones  with  destructive  routines  seemed  to  be pretty high.  When
  13.         testing  it, I had to make sure not to infect myself, and to clean the
  14.         memory from the virus when I finished.  So AntiBeol was born, in order
  15.         to clean the memory from all viruses working like this one.
  16.  
  17.         I got in contact with Markus Schmall (Virus Workshop) so I could maybe
  18.         help  him  a  bit,  and he encouraged me to improve AntiBeol, as other
  19.         peoples  might  find such a tool handy.  He sent me some more viri, so
  20.         it`s now able to detect and clear the most important one.
  21.  
  22.         The  difference  to  probably  the  most viruskillers is that this one
  23.         doesn`t  only notify you when it encounters a known virus, but also if
  24.         it  detects  some  abnormal  changes, so it can (hopefully) detect new
  25.         viri.
  26.  
  27.         All  in  all, it doesn`t replace a good background checker like VirusZ
  28.         is, but it gives you additionally help on this comming-up packetviri.
  29.  
  30. USAGE
  31.         It`s  pretty  easy to use.  Just put it somewhere in your User-Startup
  32.         with a run, e.g.:
  33.  
  34.         Run <>NIL: C:AntiBeol
  35.  
  36.         You won`t notice anything on normal work, but if it detects something,
  37.         a  reqtools  requester  will  pop  up  and  inform  you about it.  The
  38.         following  viri are detected untill now:  Beol 3, Beol 2, Beol 96, and
  39.         SMEG.
  40.  
  41.         But  you  can  get  another  ones,  which  are:   Dospacket  virus and
  42.         Volumelauncher  virus.   NOTE:   These ones mean that AntiBeol found a
  43.         program  that  used  some techniques NORMALY only viri (like the above
  44.         mentioned)  use.   It  DOESN`T  need  to  be  a  virus, but it can be.
  45.         Programs like ArcHandler or DiskExpaner can cause such things, in this
  46.         case just press "Leave It" and it won`t be touched.  So IF you start a
  47.         program  you  100% KNOW about it`s virus-free (and it crashes), please
  48.         mail me, and try using the NOSTRICT option.
  49.  
  50. TECHNICAL
  51.         This  paragraph  is  for advanced users only, so don`t get mad because
  52.         you don`t understand a word :)
  53.  
  54.         So  how  does  this  thingie  work?  Basically quite easy:  Every five
  55.         seconds,  it  checks  some  vectors  of  the system (pr_WaitPkt of all
  56.         Volumes,  Processes,  and TC_LAUNCH of every task), as they`re used by
  57.         the  above  mentioned  viruses.   If such a virus is detected, or some
  58.         other  program  is  found there (these vectors are normaly not used by
  59.         any program I could find) they`ll get cleared, the suspicious piece of
  60.         code  get`s  disabled  and you`ll get notified.  For the curious ones:
  61.         AntiBeol  also changes it`s name randomly every 5 seks, so don`t get a
  62.         heart attack if you see a process like "CLI(15):r7a9wOeci".  This will
  63.         prevent the FindTask("SnoopDos")-trick.
  64.  
  65.         So  what do these "future-viri" requesters mean?  Dospacket means that
  66.         someone  hooked  up  in  pr_WaitPkt, either in the Processes or in the
  67.         Volumes,  and  Volumelauncher means someone hooked up in the TC_LAUNCH
  68.         field  of the Volumes` tasks.  As additionaly help you get the address
  69.         of  the  suspicious  vector.   This is a pointer to the dos structure,
  70.         e.g.  pr_WaitPkt.
  71.  
  72. LAST WORDS
  73.         I really do have to thank Markus Schmall for his help and providing of
  74.         viri!   Without  him I wouldn`t even have thought about releasing this
  75.         program!
  76.  
  77. HISTORY
  78.         v1.0 (24-Sep-96)
  79.          - initial release
  80.  
  81.         v1.1 (17-Oct-96)
  82.          - Now works on 68000 machines (thx to Danny Lade)
  83.          - Recognizes DiskExpander (thx to Martin Imlau)
  84.          - Finally works with ArcHandler under every condition
  85.          - Improved the warning requester, shows memory and you can decide
  86.            wether to kill or not to kill the suspicious code.
  87.  
  88.         v1.2 (27-Nov-96)
  89.          - Recognizes FSDirs (thx to Dave Jones)
  90.          - Removed enforcerhits, which caused an
  91.            A3000 to stall every 5 secs (thx to Nils Goers)
  92.  
  93.         v1.21 (10-Mar-97)
  94.          - Recognizes VincEd (thx to Nils Goers)
  95.          - Added new email address!
  96.  
  97.         v1.3 (25-Mar-97)
  98.          - Recognizes VMM (thx to Dave Jones)
  99.          - The warning requester will now pop up only one time
  100.            instead of every 5 secs.
  101.  
  102.         v1.32 (6-Sep-97)
  103.          - Recognizes VincEd 3.52 (thx to Nils Goers)
  104.          - Doesn`t disturb serial transfers anymore (thx to Gary Gagnon)
  105.          - BUGFIX: Recognizes again Beol3 and Beol96. Sorry for this!
  106.  
  107. DISCLAIMER
  108.         This  software  is subject to the "Standard Amiga FD-Software Copyright
  109.         Note"  It is Freeware as defined in paragraph 4a.  For more information
  110.         please read "AFD-COPYRIGHT" (Version 1 or higher).
  111.  
  112. AUTHOR
  113.         If you have some comments, please don`t hesitate to contactme!
  114.  
  115.         Gideon Zenz
  116.         Giersbergstr. 41
  117.         53229 Bonn
  118.         GERMANY
  119.  
  120.         EMail: gzenz@ixc.net
  121.  
  122.         -Gideon Zenz, 6-Sep-97
  123.  
  124. SECURITY
  125.         If  you  want  to  be shure you have the original programs, check with
  126.         "md5sum -c AntiBeol.readme".  (md5sum is part of the PGP package), and
  127.         of cause check the integrity of this readme with PGP!
  128.  
  129. 91ed97fe34a84565938c3272ad463644 *AntiBeol
  130.  
  131. - -----BEGIN PGP PUBLIC KEY BLOCK-----
  132. Version: 2.6.3ia
  133.  
  134. mQCNAi3izr8AAAEEAMi+7o+iKDG26t8EuoX0NJ92iwhkviRC3GdJ1Uvef4+xJA3V
  135. ey20ZnzBg/OokPdo0a3VxhwyjD2auyFmp7DLupQTko7Wx2zLk19EzVBxI6NggUev
  136. ep+eaVvAi8V/YosYh0Xg4/dScOq391irO6k9+BPqkQPH+bRNCUBgnhXGkfElAAUR
  137. tBtHaWRlb24gWmVueiA8Z3plbnpAaXhjLm5ldD6JARUDBRAz36dHCen5CopyTkUB
  138. AUrFB/9cdPzCbD0H6z3CDBRA2rhFQblNvC3R/Cjl5+EQhafJZ5egiMncEbH/rgR2
  139. xmAqj789+ClC2cxtvRJpEeldB/BTqh0Ta/2i752xaH/AZP8Z6LFiLufW8EFRKmTz
  140. QZEV2uQ9iIEUAZaxP6482Sqymvp4WmqFWWuDnS+G6PjPwIl1gSvFhVaZSZfmbZGs
  141. YDePjL4yEHJymKW19hNkyG4u7TRpvWVHLuuqYUS+gjvXKfJkEr1epfVbUkgPqbyZ
  142. vQ5eJ097oL6m7dZwhgLmdwZ2EUNWH45pHXNTyOSFhkWkt9wMCQ4dzDSgmvD0T9Tw
  143. WhExUoTDX6r1tYdvGrg52y5PtLTEiQCVAwUQMySwfUBgnhXGkfElAQGJcgP/b6Hf
  144. GYzF1TBvXbmubxzkvPJtnX4PNQP3PF97vjwqBpkUuYv1esxSgbvuN8wbYwsOoNW1
  145. cDDIxM/sAXBrMHxX5cFf+au46hovwAQT9Uj9t47bQRVSqHKPGVjUUEP5jVfEQy6j
  146. 842QJ5hANHQjvmZAR0dwaPJ35nqJ+h414KY7hq20Ok5PVEU6IDxnemVuekBFcm5p
  147. ZS5NSS5VbmktS29lbG4uREU+IGlzIG5vdCB2YWxpZCBhbnkgbW9yZSGJAJUDBRAz
  148. JLCqQGCeFcaR8SUBAZ8pA/9yXKDclBIxx/BiKdxNSDBgaNC5hyHyCC2iZK0/F2zP
  149. uvuqkhCIQCdzMFLsJLFslamhjVDFZVKRtpSA3vblWivpM5n6yt4kxi+bMkK3LW2q
  150. r4CBWw3SriShT1BgGhuLbV4YcVNB/PIeAOJ4Z82tLxLQzuwKsYOxPkGSS/maSxOB
  151. +LQpR2lkZW9uIFplbnogPGd6ZW56QEVybmllLk1JLlVuaS1Lb2Vsbi5ERT6JAJUC
  152. BRAysg5ltvkN3Lttr4EBAVI4BACG972YynotdH9MLDVoZZydI6NMEYF//vf/bTn/
  153. QDN9DcW9VfTHNhbcsBbs4VOrvqX9Dww2d/91u3+HYaA3crz00mN5uVjkCE9FMH3v
  154. QNykrKmBMnajDpqY0E9dJAyYu4C8NaYCzypEeA6oGzrllTTa++9h2VoGCTVrcCBg
  155. 4fa9MYkBFQMFEDH2trkAYAKC86RPCQEBgTUH/A8KTc/9NKi/mbzkPGUyywI3krp/
  156. HqGDAQVN89QFynq5PtTSuKy5Q4DAmJwQ4gna9GJQytme1YbaXKjNNxMi2b33Rhd9
  157. aj5HKVHx6bRguJ7LpgAotz6FuI6Ny76V1ccwQQnbxroy+EKOR2uOnOh/Gr4NbVz1
  158. QTVqksYyp/T5rwI1esgJlTKxow6Y9BAutyC4M3n9Snc6sViGQwZsH9Xxts9c9meI
  159. 7LRjleWjSFcl7LuZVyf6LFFuzo9jQQTt+Ak69wCeN4Qq5oTzLJQa9KzgQaxj70oP
  160. 9LyTPBkdYPWHa+JYPCxgyBojY8igq7PmSRiMnJKhWkQx+uRQbnpuDHPgvgSJAJUD
  161. BRAx0dc3QGCeFcaR8SUBAciDA/4qaRFv5KZGlIbAeGphlR33+aBjMZDf1MlC1QcI
  162. k2yPY9tTMIisz06IckZw7Oq+RVBmJOvOZtJJJuVCuufyHKSg3+HRj6YE4lQ7/ojC
  163. U7yPcrdfny4oLKEpehRB/F89Mzan7cjyLI9qH07I2wq7a9wCwP4BDpa0lxMAQd9U
  164. k+UN6g==
  165. =bdm/
  166. - -----END PGP PUBLIC KEY BLOCK-----
  167.  
  168. -----BEGIN PGP SIGNATURE-----
  169. Version: 2.6.3ia
  170. Charset: latin1
  171.  
  172. iQCVAwUBNBIH1kBgnhXGkfElAQHbQQP+LKLZmZs7IiXuMkuSMiA68rZxqcur3eBb
  173. 98fsbuaa4UbzO3MVE8o+yy24OdyzTdiFacHjWH9nCtJjFE0kq+EtMSc1Mexa/b+e
  174. XOQ+5r6XU0ffDHzVswiy+MU/+wQKeg/HVhN+5TmMwd2/PoYQwwCL2vRbheL+CN95
  175. WpQGqcXRthI=
  176. =GADn
  177. -----END PGP SIGNATURE-----
  178.