home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Belgian Amiga Club - ADF Collection
/
BS1 part 23.zip
/
BS1 part 23
/
Superkillers.adf
/
German Killer
/
VT-kennt
< prev
next >
Wrap
Text File
|
1991-06-10
|
65KB
|
1,632 lines
VT2.24 kennt:
==============
(oder sollte erkennen)
Stand: 09.06.91
- bitte lesen Sie zuerst VT.LiesMich. Danke !
- Serienersteller sollten vorher Kontakt mit mir aufnehmen !!!
Heiner Schneegold
Am Steinert 8
8701 Eibelstadt
W-Deutschland
Tel. 09303/8369
nicht sicher erkannte Viren: (die ich nicht habe, alte Viren nur 4)
- Requester enthält vier umgedrehte Fragezeigen
- das jeweils eine Testlangwort, wurde teilweise aus dem
SourceCode mehrerer bekannten VirenschutzProgramme (PD) ent-
nommen.
- deshalb bei Anzeige nur Kreset oder weiter
- bekannte Viren (die ich habe):
==============================
(werden vom Prg. erkannt und ohne RESET (nein, drei Virus-Prg.e
nicht mehr s.u.) im Speicher geloescht)
Test auf drei Langworte im Speicher !!!
Kein FastMem heisst, dass das VirusPrg mit FastmemKarte bei
mir abstuerzt, koennte aber mit $C00000 oder einer anderen
FastMemKarte laufen ????
- .info anderer Name: TimeBomb V0.9 s.u.
- 16 Bit Crew Cool, im Prg. noch DoIo, FastMem ja, im Speicher
immer ab $7ec00
Vermehrung: ueber BB
im BB steht unverschluesselt:
The 16 Bit Crew 1988
- 2001 SCA-Clone, Cool immer 7EC3E, nur anderer Text
- Abraham siehe Claas Abraham
- Aids Vkill-Clone siehe dort
Unterschied: 3 Bytes
1.Byte: in der Pruefsumme
2.Byte: Vermehrungszaehler
3.Byte: Einsprung in entschluesselten Text
(ein Prg. springt z.B. nach $7ebc3, das 2. Prg. nach $7eba9)
- AIDS-HIV SCA-Clone, Cool immer 7EC3E, nur anderer Text
- AlienNewBeat Cold, Cool, DoIo, nur KS1.2, Fastmem ja
im Speicher immer ab $20000
Vermehrung: ueber BB Vermehrungszaehler: $2037e
Text im BB sichtbar: z.B.
THIS IS THE ALIEN NEW BEAT BOOT!
- Amiga Freak Forpib-Clone s.u.
nur Name im BB geaendert
- Art Byte Bandit anderer Name: ByteBanditPlus s.u.
- ASV-Virus immer $7DC00, Cool, im Prg Forbid, loescht KickTag usw.
keine Vermehrungsroutine
Schaden: verbiegt mit setfunction Forbid auf ChipAllocMem-Routine
d.h. bei jedem Forbid-Aufruf geht ChipMem verloren.
- Australian Parasite Fastmem ja, Cool, DoIo, im Prg. BeginIo
Vermehrung: ueber BB
ueber GraphikRoutine wird BildschirmInhalt gedreht
im BB sichtbar:
The Australien Parasite!
By Gremlin 18/5/88!
Will NOT destroy game bootsectors or corrupt disks,
and kill other viruses!
- BAHAN anderer Name BUTONIC_1.1 siehe dort
- BGS9 I (schiebt Org.Prg. in devs) Bytes 2608
Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt
der BGS9 I bei fehlendem devs-Verz. das OrgPrg unsichtbar
in das Hauptverzeichnis.
KickMem, KickTag, KickCheckSum, OpenWindow
PrgTeile verschluesselt mit eori.l #$1AF45869,(a0)+
unsichtbares File in devs: A0A0A0202020A0202020A0
am Ende des Prg.Files ist mit einem Monitor zu sehen: TTV1
beim 4.Reset Textausgabe ueber GraphikRoutine:
schwarzer Hintergrund, weisse Schrift
A COMPUTER VIRUS IS A DISEASE
TERRORISM IS A TRANSGRESSION
SOFTWARE PIRACY IS A CRIME
THIS IS THE CURE
BGS9 BUNDESGRENZSCHUTZ SEKTION 9
SONDERKOMMANDO "EDV"
Entfernung: File in devs in OrginalPrg. umbenennen
BGSVirusFile loeschen
OrgPrg aus devs in entsprechendes Verzeichnis
kopieren
- BGS9 II aehnlich BGS9 I
aber File in devs jetzt:
A0E0A0202020A0202020A0
Hinweis: $E0 ist ein a mit Akzent
Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt
der BGS9 II bei fehlendem devs-Verz. das OrgPrg in das
Hauptverzeichnis.
Aenderung im Text: :SOFTWARE'
Die Veraenderungen liegen im codierten PrgBereich
Im PrgFile TTV1 sichtbar
- BLACKFLASH V2.0 Cool, DoIo, FastMem ja
im Speicher immer ab $7F000
Zaehlzelle = $13 Textausgabe mit Graphikroutine (s.u.)
Schrift rot, Hintergrund schwarz
Vermehrung: ueber BB
Text steht unverschluesselt im BB:
HELLO, I AM AMIGA !
PLEASE HELP ME !
I FEEL STICK !
I HAVE A VIRUS !
! BY BLACKFLASH !
- BlackStar anderer Name: Starfire1/NorthStar1 siehe dort
- Blade Runners SCA-Clone, immer ab 7EC00, Cool, im Prg. DoIo
Text: Hello! We are the Blade Runners! u.s.w.
- BLF-Virus immer ab $7F000, Cool, DoIo, BeginIo
loescht KickTag usw.
Virusprogramm meldet sich NICHT.
Programmteil decodiert mit eori.b #$28,(a1)+
u.a. zu lesen: This is the new virus by BLF
Schaden und Vermehrung: BB
- BlowJob KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000
Taeuscht durch Text Memory Allocator 3.01 vor
Vermehrung und Schaden: Bootblock
Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein
Programmteil mit subi.b #$71,D0 entschluesselt und mit display-
Alert der Text ausgegeben:
ONCE AGAIN SOMETHING WONDERFULL HAPPENED (HE HE HE)
PLEASE POWER OFF - PLEASE POWER OFF - PLEASE POWER OFF
- BlueBox Filevirus, keine bekannten Vectoren werden verbogen
Laenge (gecrunched) 5608, nur Kreset (tut mit leid)
gedacht fuer Modembesitzer und Mailboxbetreiber, aber KEINE
Voraussetzung fuer Vermehrung (enthaelt Source fuer seriellen
Port $DFF030, $DFF018 ???!!!??? behindert Verbindung?!?!)
Das gecrunchte Prg. (Bluebox) besteht aus 3 Teilen:
- ein Taeuschprogramm: ermoeglicht Tonfolge mit Zehnertastatur
- eine komplette icon.library
- Laenge:6680
- zusaetzlicher Text: input.device , RAM:
- andere Jahreszahl
- ein Kopierteil fuer falsche icon.library
- testet ob icon.library schon existiert, falls nein
KEINE Aenderung
- testet ob Disk validated
- setzt Protection-Bits zurueck
- kopiert falsche icon.library
- arbeitet auch mit HD !!!!!!
Nach einem Reset wird ueber icon.library ein Process
'input.device ' (mit Leerzeichen) gestartet. VT findet
diesen Process, kann ihn aber nicht beenden (KReset).
Erstellt auf RAM: ein unsichtbares ($A0) File (nicht immer).
Ausbauhinweise:
VT erkennt den VirusTraeger Bluebox nur als crunched !!
Ignorieren Sie das Kreset-Angebot und loeschen Sie zuerst
die falsche icon.library. Kopieren Sie dann die Orginal-
icon.library auf die Disk oder HD (sonst nach Reset keine
WB!!!). Zum Schluss starten Sie bitte das Kreset-Prg.
Meine Maschine verhielt sich danach wieder normal. Dies
kann bei Modemprg. oder MailboxPrg. anders sein ??? Probleme
bitte melden. Danke
Herkunft: Bluebox.lzh 23033 Bytes
-Bluebox 5608 (noch einmal gecrunched)
-Bluebox.info 325
-Bluebox.DOC 37271
-Bluebox.DOC.info 354
- BRET HAWNES Filevirus Laenge: 2608 , immer ab $7F000
Kicktag, SumKickData, KickCheckSum, OpenNewLib, $6c
Vermehrung und Schaden:
schreibt in Root und in 1.Zeile startup: C0A0E0A0C0
nach 20 Minuten blauer Graphikbildschirm und weisse Schrift:
GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN
I`VE TAKEN THE CONTROLL OVER YOUR AMIGA!!!
THERE`S ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! ! !
Statt der 10. Vermehrung werden Tracks zerstoert.
- BS1! (noch ein SCA )
- BUTONIC 1.1 anderer Name BAHAN (im BB immer lesbar)
Cool, im Prg. DoIo, immer ab $7ec00, FastMem ja
Vermehrung: ueber BB wenn DOS0 gefunden
Textausgabe mit PrintIText (entschluesselt mit eori.b #-1,d1
nach $7eb0c)
im Speicher dann sichtbar:
BUTONIC'S VIRUS 1.1 GREETINGS TO HACKMACK ... <GENERATION NR. #####>
- Byte Bandit ohne FastMem
Begin, KickTag, KickCheckSum, Vec5
- Byte Bandit 2 anderer Name: No Name 1 s.u.
- Byte Bandit Clone ohne Fastmem
Diff zu OrgByteBandit: 180 Bytes
( Byte B.. Text wurde aus BB entfernt !!)
- ByteBanditError
das OrginalByteBanditVirusPrg. beginnt im BB bei $0C, hier bei $32
Da die alte BB-Copy Routine verwendet wird, ist das 1.LW im neuen
Copy-BB nicht DOS0, d.h. die neu verseuchte Disk ist "Not a DOS-Disk"
also weder boot- noch vermehrungsfaehig
- ByteBanditPlus Kick1.2 ohne FastMem
Begin, KickTag, KickCheckSum, Vec5
Diff zu OBB: 92 Bytes
(zusaetzlich trackdisk.... entfernt)
- BYTE VOYAGER I Kicktag, KickCheckSum, im Prg. DoIo und $6c
immer ab $7F000, verschluesselt mit $DFF006
Vermehrung und Schäden (auch HD !!):
Bootblock und schreibt in Block 880 "Infected by BYTE VOYAGER !!!!!"
Der Text ist bei Disks der neue Diskname.
- Byte Voyager II Kicktag, KickCheckSum, im Prg. DoIo und $6c
immer ab $7F000, verschluesselt mit $DFF006
Vermehrung und Schäden (auch HD !!):
Bootblock und schreibt in Block 880 "Another Virus by Byte Voyager"
Der Text ist bei Disks der neue Diskname.
- Byte Warrior (DASA) (KickV1.2)
DoIo, KickTag, KickCheckSum
erster BB-Virus, der verschluesselt wurde
- CCCP-Virus Cool, im Prg. Vec3, DoIo, Openwindow, NewOpenLib !!!!
erstes VirusPrg. das sich als BB und als Link vermehren kann !!
im BB sichtbar: CCCP VIRUS
Link: verlaengert ein File um 1044 Bytes
befaellt keine Prg.e in l (z.B.libs), d (z.B.devs), f (z.B.fonts)
- CENTURIONS anderer Name: THE SMILY CANCER siehe dort
- Claas Abraham andere Namen: Abraham, MCA
Cold, Cool, KickTag, KickCheckSum, $68
braucht FastRam !!!!! Angefordert mit #$4,d1 und AllocMem
(Programmierfehler ????)
im Prg.Ablauf erst BeginIo
Vermehrung: ueber BB
Schaden: nach $F-Resets Formatierung
Eor-Byte wird fuer neuen BB aus $DFF006 erzeugt
entschluesselt steht im Speicher:
>>> Claas Abraham Virus !!! <<<
- Clist-Virus anderer Name: U.K.LamerStyle
Begin, Kicktag, KickCheckSum
entschluesselt steht im Speicher:
expansion ram.trackdisk.device..clist.library.clist 33.80 (8 Oct 1986).
Vermehrung: ueber BB
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF006 festgelegt.
Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt
und !!!! mit allocabs eingetragen.
- CODER anderer Name: Coders Nightmare
immer $7f600, DoIo, KickTag, KickCheckSum, $68
im BB steht unverschluesselt:
Bootblock installed with 'CODER' - The Ultimate Viruskiller!!
Vermehrung: ueber BB
im Speicher steht (entschluesselt mit ror.b #2,d1):
Something WONDERFUL has happened!!
Your Amiga is alive, and it is infected with the
'Coders Nightmare Virus'. - The ultimate key-killer,
masterminded by the megamighty Mr. N of
The Power Bomb Systems!!
- Coders Nightmare anderer Name: CODER s.o.
- Color Filevirus Laenge: 2196Bytes
DoIo immer $70000, Cool
belegt sinnlos 102400 Bytes ChipMem,
taeuscht durch ein Graphik-Demo, schwarzer Hintergrund und
drei Balken (rot, gruen, blau) und installiert gleichzeitig
ab 70000 das Virusprogramm und ab 7F000 den Virus-BB (TURK).
Veraendert die startup-s. NICHT.
Schaeden:
Bei DoIo-Einsprung wird der Virus-BB geschrieben.
Bei Cool-Einsprung wird $5000 x TURK in den Speicher geschrieben.
- Crackright anderer Name: Diskdoctors s.u.
- DAG Cool, im Prg DoIo und zurueck, Fastmem ja, immer ab $7ec00
eine Meisterleistung: in den SCA-Text wurde eingebaut:
Try ANTIVIRUS from DAG
- DASA anderer Name: ByteWarrior s.o.
- DAT '89 nur KS1.2 da DoIoRomEinsprung, KickTag, KickCheckSum
immer 7F800, versucht durch Text im BB zu taeuschen:
THIS BOOT RESETS ALL VECTORS usw.
Sobald die Zaehlzelle $F erreicht, DisplayAlert:
DAT '89!!!
Fordert NICHT trackdisk.device !!!!
Schaeden:
schreibt sich in BB
zerstoert Block 880 und 881 (bei Disk Root)
- Destructor Cold
im BB sichtbar:
Destructor_Virus v1.2 Written by Aldo Reset.
(c) M.C.T. Ltd 1990- Everything is under control !
(eh!eh!)
keine Vermehrungsroutine gefunden
zerstoert beim naechsten Reset ueber Cold eine nicht
schreibgeschuetzte Disk indem jeder 4. Track ueberschrieben
wird.
- DIGITAL EMOTIONS Cool, im Prg. DoIo und zurueck, immer $7ec00
im BB immer sichtbar: *** DIGITAL EMOTIONS ***
je nach Zaehlerstand
- wird eigener BB geschrieben oder
- Track 0 mit 'VIRUS ' beschrieben. Folge: keine Dos-Disk
Textausgabe (decodiert mit -1) ueber DisplayAlert:
KickStart ROM Corrupted at $c00276
- DISASTER MASTER V2 ( cls * ) 1740 Bytes
eigenstaendiges Prg. fuer startup-sequence
kicktag, kickcheck
im Prg. DoIo und wieder zurueck
cool und cold werden geloescht
Entfernung: 1.Zeile in startup. loeschen
cls in DfX:c loeschen
Erstellungsprogramm:
Intro-Maker von T.C.R.
- DiskDoctors (KickV1.2)
die angeblichen Mutanten unterscheiden sich in $4 (Pruefsumme)
und von $390-$3A8 (Variablenablage)=bei jedem Reset anders
- Disk-Herpes Cool, im Prg. DoIo, im Speicher immer ab $7ec00
wird haeufig mit Phantasmumble verwechselt, Fastmem ja
Vermehrung: ueber BB
Schaden: schreibt auf Track 80 (Root) Speicherinhalt ab
$60000. Folge: Disk BAD
Graphikroutine: Deutschlandfahne + Text (auch im BB sichtbar)
--- Hello Computerfreak ---
You've got now your first VIRUS
** D i s k - H e r p e s **
Many Disks are infected !!
Written by >tshteopghraanptha<
c 27.07.1987 in Berlin
- DIVINA EXTERMINATOR I Cool, DoIo, Inter.5 und $64. Im Prg dann
noch $68 und $6c. Ueberschreibt SetPatchListe ab $C0.
Codiert BB neu mit Wert aus $DFF006 (steht dann im BB $3F6)
nach eor.w d0,d1 ist im Speicher zu lesen:
VIRGO PRESENTS DIVINA EXTERMINATOR I
Versucht einen sauberen OrgBB vorzutaeuschen.
Schaeden und Vermehrung: BB
nach 3 Vermehrungen: beginnt die K-Taste abzufragen und bis
10 in einer Zaehlzelle abzulegen. Dann wird nach $4 (ExecBase-
Zeiger) der Wert 0 geschrieben = Absturz
Ursprung: -p-turbo.dms
- EM-Wurm (zielgerichtet gegen EUROMAIL)
nicht resetfest
immer:
schreibt in startup-sequence $A0,$0A (1.Zeile)
eigener Process: clipboard.device
schreibt in c: $A0, Laenge: 3888 Bytes (ASCII-Text vorhanden)
schreibt in 5.Byte von c:protect (falls vorhanden) $01
Folge: protect wird unbrauchbar
Zerstoerungsroutine:
Wird nur ausgefuehrt wenn Verzeichnis EM, EUROMAIL oder
EUROSYS vorhanden ist.
Ueberschreibt alle Files in obengenannten Schubladen mit
Speicherinhalt ab MsgPort. In zerstoerten Files ist ab $BC
clipboard.device zu lesen.
Dann wird mit dosdelay $259A eine 3 Minuten Pause eingelegt.
Nach dieser Pause wird die Zerstoerungsroutine wieder in der
Schleife aufgerufen.
Ursprungsprogramm:
QuickInt PP-crunched Laenge: 3196 Bytes
Mein VT loescht den Process n i c h t, sondern fuellt ihn
mit NOP's.
Einige Programmteile, z.B. Autorequester, con usw. konnten
nicht getestet werden, weil ich EUROMAIL nicht besitze. Diese
Teile werden ebenfalls mit NOP's ueberschrieben. Falls des-
halb bei aktivem EUROMAIL-Programm ein GURU erscheint, bitte
ich um Hilfestellung. Danke !!
- EXTREME
DoIo, KickTag, KickCheckSum
entweder 7f800 oder ff800, da Berechnung ueber SysStkLower
Alertmeldung und Zerstoeren (Disk BAD) aller nicht schreibge-
schuetzten Disks in allen LW
Vermehrung: ueber BB
- F.A.S.T.
Cool, DoIo , FreeMem, immer ab $7F000
Alertmeldung (verschluesselt mit eori-Byte in Abhaengigkeit
von $DFF006) und loeschen
veraendert auch $C0-$E0 (SetPatchListe!)
Vermehrung: BB
- F.A.S.T. 1 FAST-Clone
im BB wurde der codierte Prg.Teil um einige Bytes verschoben,
um im BB-Kopf dos.library einbauen zu koennen. Die Speicher-
lage wurde nicht veraendert.
- F.I.C.A
Beginio, KickTag, KickCheckSum, SumKickData
Vermehrung: BB
Besonderheit: spielt sauberen BB vor
sichtbarer Text im BB ab $288
z.B. F.I.C.A RULES!
- FORPIB kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5
Vermehrung: ueber BB
besorgt sich Speicher ueber MemList, Speicher fuer neuen
VirusBB mit AllocMem
Im BB sichtbar: - FORPIB - 09.88 - N° 197102 - usw.
- FrenchKiss belegt auf Track 0 Block 0 bis 5
Ich besitze nur Bl 0 u. 1 . Ein echter Virus !!!
Cool, DoIo, $6c, Vec5,
immer ab $7f0d0
Vermehrung: Block 0 bis 5 auf Track 0
Schaeden:
Je nach Zaehlerstand wird Track 0 ueberschrieben oder Track 80
(bei Disk = Dir ) zerstoert. Mehr kann ich nicht sagen, da ich
nur Block 0 u. 1 habe. Bitte schicken Sie mir Ihre verseuchte
Disk. Danke !!!
- Frity Forpib-Clone s.o.
- Gadaffi (KickRomV1.2 Floppymusik)
Cool, DoIo, KickTag, KickCheckSum
- Graffiti aehnlich 16Bit Crew + 3D-Graphik
FastMem ja, Cool, im Prg DoIo, im Speicher immer $7ec00
Vermehrung: ueber BB
Graphikroutine mit 3D
unverschluesselt im BB:
VIRUS! written by Graffiti
- GREMLIN Cool, KickSumData, im Prg. DoIo, im Speicher immer $7f400
Vermehrung: ueber BB
Textausgabe mit GraphikRoutine: roter Hintergrund, weisse Schrift
GREMLIN
- GX.TEAM Fastmem ja, nur KS1.2 da absoluter DoIo-Einsprung
Cool, DoIo, KickTag, KickCheckSum, im Speicher immer ab $7f4d0
Vermehrung: ueber BB
Textanzeige mit displayAlert (wird mit sub.b #$41,d0 nach
$7f300 entschluesselt):
Mais qui voila ???C'est le nouveau VIRUS de GX.TEAM !!
AAAHH! Les salauds! Les ...(Insultes diverses)
He!He! SILENCE :
GX.TEAM entre enfin dans la legende ...
BYE!!!
- Hilly KickTag, KickCheckSum, Kick1.2
DoIo im Prg mit absolutem ROMeinsprung
Test auf spezielle Kickstartversion (patched bei $FC0090)
Falls vorhanden kein Virusaufbau.
Fordert trackdisk.device nicht an, deshalb koennen Schreib-
zugriffe auf die Festplatte erfolgen !!
Lage im Speicher: immer ab $7f300 (ResStruc.)
Vermehrung: ueber BB
sonst keine Routine gefunden (keine Graphik usw.)
- HODEN V33.17 nur KS1.2, da absoluter DoIo-Einsprung
DoIo, KickTag, KickCheckSum, im Speicher immer $7f000
Vermehrung: ueber BB
Kennzeichen: nach fuenf Kopien wandert ein gelber Kopf
von links nach rechts ueber den Bildschirm.
unverschluesselt steht im BB: HODEN V33.17
- ICE SCAClone, Cool, im Prg. DoIo, im Speicher immer ab $7ec00
Vermehrung: ueber BB
Textausgabe durch GraphikRoutine
unverschluesselt steht im BB:
Greets from The Iceman & The IRQ usw.
- Incognito anderer Name Trojan
DoIo, KickMem, KickTag, KickCheckSum, FastMem ja
nur KS1.2, da absoluter DoIo-Einsprung ins ROM
Vermehrung: ueber BB
sonst keine Schaeden und kein Text
im BB: nichts zu sehen, da trackdisk.device verschluesselt.
- Inger IQ ByteBandit/Forpib-Clone s.d.
Text: ---Inger IQ Virus - Ersmark 1953---
- IRQ-TeamV41.0 Link-Virus, verlaengert ein Prg. um 1096 Bytes
Einsprung nach Reset: KickTag
Einsprung bei Arbeit: OldOpenLib
Textanzeige im CliTitel: (entschluesselt mit eor.l d0,(a0)+
addq.l #3,d0 ; fuer einen neuen Virus wird der Inhalt von
d0 ueber move.l alterWert,d0 u. add.l $dff004,d0 veraendert)
AmigaDOS presents:a new virus by the IRQ-TeamV41.0
entweder wird c/dir oder das erste File der startup-sequence
befallen. K e i n File wird zweimal befallen. Das File
darf nicht laenger als 100 000 Bytes sein.
Entfernung: 1.Zeile in startup. loeschen
OrgFile besorgen und neu kopieren
- IRQ II wie IRQ I, aber die Routine auf Test schon befallen
(cmpi. #$fffe6100,30(a4,d6.l) wurde verfaelscht. Das heisst:
das erste File von der startup-sequence wird solange befallen,
(d.h. verlaengert) bis die Disk voll ist.
Nachtrag:gilt fuer IRQI+II; mit meiner FastmemKarte ist n a c h
einem Reset keine Vermehrung mehr moeglich ?????
Hinweis: Ich besitze ein IRQ2-File mit sechs Links
- JEFF-BUTONIC V1.31/05.11.88 PrgFileVirus 3408 Bytes
DoIo, KickTag, KickCheckSum, $68
schreibt sich in die 1. Zeile der Startup-Sequence einer
nicht schreibgeschuetzten Disk. Tarnnamen s.u.
Texte codiert mit: eori.l #$AAAAAAAA,(a0)+
Text fuer DisplayAlert:
"Einen ganz wunderschönen guten Tag!"
"* I am JEFF - the new Virus generation on Amiga *"
"(w) by the genious BUTONIC."
"V 1.31/05.11.88 - Generation Nr.00037"
"Greetings to * Hackmack *,* Atlantic *, Wolfram, Frank,"
"Miguel, Alex, Gerlach, and to the whole Physik-LK from MPG !!"
Texte fuer die Fensterleiste:
"Ich brauch jetzt'n Bier!"
"Stau auf Datenbus bei Speicherkilometer 128!"
"Mehr Buszyklen für den Prozessor!"
"Ein dreifach MITLEID für Atarist!"
"BUTONIC!"
"Schon die Steinzeitmenschen benutzten MS-DOS...einige sogar heut noch!"
"Schon mal den Sound vom PS/2 gehört???"
"PC/XT-AT: Spendenkonto 004..."
"Unabhängigkeit & Selbstbestimmung für den Tastaturprozessor!"
"Paula meint, Agnus sei zu dick."
"IBM PC/XT: Ein Fall für den Antiquitätenhändler..."
"Sag mir, ob du Assembler kannst, und ich sage dir, wer du bist."
Tarnnamen:
fuer RootDir: in Startup-Sequence:
AddBuffers "AddBuffers 20"
Add21K "Add21K "
Fault "Fault 206"
break "break 1 D"
changetaskpri "changetaskpri 5"
wait "wait "
$A0 $A020
$A0A0A0 $A0A0A020
Arthus "Arthus "
Helmar "Helmar "
Aloisius "Aloisius "
?? $20 $2020 ??
die Erzeugung des $20-Tarnnamen ist nicht gelungen, steht aber im
Virus-Prg.
- JEFF-BUTONIC V3.00/9.2.89 PrgFileVirus 2916Bytes
Name im Hauptverzeichnis: A0A0A0
1.Zeile in startup. A0A0A0209B41
DoIo, KickTag, KickCheckSum
Vermehrung: jede nicht schreibgeschuetzte DOS-Disk mit startup
Entfernung: 1.Zeile in startup loeschen
File in DfX: loeschen
Entschuesselungsroutine:
entschluesselter Text: move.w #$013a,D0
Hi. loop:
JEFF`s speaking here... move.w (A0)+,(a1)
(w) by the genious BUTONIC. eori.w #$b4ed,(A1)+
usw. insgesamt ueber $270 Bytes Text dbf D0, loop
- JITR Cool, DoIo, FastMem ja, im Speicher immer ab $7ec10
Vermehrung: ueber BB
Sonst keine Routine vorhanden !!!! VirusPrg. nur $200 Bytes lang.
Im BB lesbar:
I'm a safe virus! Don't kill me! I want to travel!
And now a joke : ATARI ST
This virus is a product of JITR
- Joshua
senkrechtstehender Text Joshua (ueber Graphikroutine)
Begin, Kickmem, KickTag, KickCheck, Vec5
- Joshua 2 anderer Name: Joshua3 oder Switch-Off
Cold, Begin, Vec5
hat Probleme mit einem Befehl im C-SubD. von WB1.3
Bootblock jetzt verschluesselt: loop: move.b (A0),D0
eori.b #$18,D0
das eor-Byte wechselt und steht auch move.b D0,(A0)+
an $3ff des BBs. Zu erkennen ist der cmpa.l A1,A0
Joshua 2 am Ende des BBs an der Byte- bne loop
folge, wobei sich aber das X je nach rts
eor-Byte aendert: .XX...XXX........XX.XX.XXXX...X.XX.
die Punkte koennen auch durch andere Zeichen belegt sein
- Joshua 3 anderer Name und richtig: Joshua 2
es existiert eine BB-Sammlung, die einen wirklichen ByteBandit
(aufs Byte im Speicher) Joshua1 nennt. Hieraus ergibt sich
dann eine falsche Nummer. Nachtrag: Diese BB-Sammlung wurde
inzwischen (15.04.91) in diesem Punkt korrigiert !!
- Julie anderer Name Tick
immer $7f800, cool, DoIo, BeginIo und $20
arbeitet nicht sauber mit 1MB Chip
testet einige Zeiger und drei Werte (z.B. auf $7ec00)
Vermehrung: ohne Warnung ueber (nur ausfuehrbare) BB's
- Kauki immer $7ec00, Cool, im Prg. $80, $84, $88
im Prg. auch noch DoIo, schreibt aber spaeter im Prg DoIo von
KS1.2 zurueck (nach Vermehrung)
den meisten Platz brauchen die Chopperlisten. Das ChopperIntro
laeuft auch mit KS1.3 . Kauki im BB nicht sichtbar.
- Kefrens SCA-Clone
Text im BB:
Ohh noo!!!!
I think something is wrong!
and even better...
Some of your disks are sick
Watch out!
By Kefrens
offcourse!!!
- L.A.D.S DoIo, KickTag, KickCheckSum, immer $7F400
versucht eine Taeuschung durch DisplayAlert beim Booten:
(Text auch im BB lesbar)
L.A.D.S Virus Hunter
No virus in memory
Press any mouse button
Entgegen der Aussage findet KEIN Virustest statt, sondern das
eigene Programm wird resetfest installiert.
Vermehrung: jeder BB einer Disk OHNE Rueckfrage
sobald die Zaehlzelle den Wert 8 erreicht:
ein Teil des Virusprogramms wird entschluesselt mit
eori.b #$41,(a0)+
und mit DisplayAlert ausgegeben:
AMIGA COMPUTING Presents:
The GREMLIN Virus
All Code (c) 1989 By Simon Rockman
- Lameralt abcd bei $3a6
schreibt Lamer in irgendeinen Block
FastMem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamerneu abcd bei $396
schreibt LAMER in irgendeinen Block
FastMem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamer1 fedc bei $342
schreibt LAMER
Begin, KickTag, KickCheckSum
- Lamer2 abcd bei $392
schreibt LAMER
FastMem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamer3 abcd bei $3f4
(orgbb in 2 u. 3)
Fastmem ja, Begin, KickTag, KickCheckSum, SumKickData
- Lamer4 abcd bei $3ae
BeginIo, KickTag, KickCheckSum und SumKickData
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt.
- Lamer5 abcd bei $3aa FastMem ja
BeginIo, KickTag, KickCheckSum und SumKickData
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt.
- Lamer6 abcd bei $396 FastMem ja
aehnlich Lamerneu Unterschied 48Bytes
BeginIo, KickTag, KickCheckSum und SumKickData
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt.
zusaetzlich im Prg. noch Remove Node, Test auf Cool u. Cold .
- Lamer7 andere Namen: Selfwriter, Pseudoselfwriter
keine signifikante Endekennung, Laenge BB $3BD,
BeginIo, KickTag, KickCheckSum
Vermehrung: ueber BB
Zerstoerung: ueberschreibt einen Block mit 85 x Lamer! und da
zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird
mit $DFF006 ermittelt.
Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver-
schluesselungsByte wird mit $DFF007 festgelegt.
Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt
und !!!! mit allocabs eingetragen. (machen andere Lamer nicht)
- Lamer8 keine Endekennung
BeginIo, KickTag, KickCheckSum, SumKickData
Vermehrung: ueber BB
Schaden: Format alle LW
Ein neuer BB wird wieder verschluesselt mit eori.w . Das Ver-
schluesselungswort wird mit $dff006 festgelegt.
BB ist verschluesselt von $3e bis $3cc
Hinweis:
Es wird ein "Lamer"-Bootblock weitergegeben, bei dem Lamer
Exterminator im BB zu lesen ist. Dieser BB ist NICHT bootfaehig
und wird deshalb von VT nur als Nicht-Standard-BB erkannt.
- le RoLE franz. Name fuer Return of The Lamer Exterminator s.u.
- LOGIC BOMB anderer Name: PARADOX I s.d.
- LSD! (noch ein SCA!)
- MAD (ForpibClone) nur Text geaendert s.o.
- MAD II nur KS1.2, da absoluter DoIo-ROM-Einsprung
Cool, DoIo, KickTag, KickCheckSum, im Speicher immer $7FB00
im BB sichtbar: MAD II VIRUS is better usw.
Vermehrung: ueber BB
Sobald der Inhalt des Zaehlers groesser $D ist, wird in eine
DiskStepRoutine verzweigt. Da diese falsch programmiert und somit
nicht funktionsfaehig ist, wird nur der Bildschirm dunkel.
- MAD III nur KS1.2 Byte-Warrior-Clone s.o.
geaendert: DASA0.2 in MAD.III
- MAD IV LamerAltClone s.o.
Unterschied: statt mit Lamer! soll der zerstoerte Block mit MAD
gefuellt werden.
- MicroSystems FastMem ja nur KS1.2
holt selbst Namen aus ROM (z.B. dos.library)
Cool und Cold
im Prg. bei Bedarf: AddTask, RemTask und DoIo
Vermehrung: ueber BB
Textausgabe ueber Graphikroutine
unverschluesselt steht im BB:
YOUR AMIGA IS INFECTED BY
A NEW GENERATION OF VIRUS
CREATED IN SWEDEN BY
MICROSYSTEMS
- MCA siehe Claas Abraham
- MEGAMASTER
Cool, DoIo, immer $7e300
zwei codierte Bereiche im BB
1. Bereich: eori.b #-$45,(a0)+ ; testet auf andere Viren
2. Bereich: eori.b #-$11,(a0)+ ; Textausgabe ueber Graphik
schwarzer Hintergrund, rote Schrift
Surprise!!!
Your Amiga is controlled by
MEGAMASTER
Vermehrung: ueber BB
- MEXX SCA-Clone
Text: Hello there...
Here I'm again...
I've infected ya Disx !
I'm a simple VIRUS
and I came from a group called
--- MEXX ---
Yeah, reset now !!!
Or I will infect more!
- MGM89 anderer Name: MEGAMASTER s.o.
- Micro-Master ( noch ein SCA! )
- Morbid Angel Forpib-Clone s.o.
nur sichtbarer Text und einige unwichtige Bytes wurden
geaendert.
- NO BANDIT (siehe unten Virenfinder)
- No head s.b. ByteBanditPlus
- No Name 1 anderer und richtiger Name : Byte Bandit 2
kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5
SpeicherLage ueber structMemList, Speicherreservierung fuer
neuen BBVirus mit allocmem, Zaehlstelle: Virusstart + $1c
Vermehrung: ueber BB
Im BB lesbar: trackdisk.device (weit unten)
ein ByteBanditClone, ohne Tastaturabfrage, nur 5 Kopien und
kuerzer gesetzter Zeit
- NorthStar anderer Name: Starfire s.u.
- Obelisk1 ( Deutschlandfahne + Graphiktext) Einsprung:cool
schreibt in Speicherstelle $00000060 das Wort GURU
zerstoert damit den Ausnahmevector, der ins ROM
IR-Ebene 7 zeigt !!
- Obelisk2 Begin, KickTag, KickCheckSum, Vec5
Einsprung:KickTag ,drei ZaehlZellen, Ausgabe:Graphik-
text mit FormatAndrohung, wird nur durch KopfAnschlag
vorgetaeuscht !! Nachweis mit TrackDisplay !!
Speicherstelle $60 s.o.
- OPAPA Begin, KickTag, KickCheckSum, Vec5
Zaehlzelle: ja, Vermehrung: ueber BB jedes LW
Textausgabe (ueber Graphik) OPAPA-VIRUS READY STEADY FORMAT
Kopf steppt nach Track 0 alle LW
- PARADOX I KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F800
Vermehrung und Schaden: Bootblock
Text sichtbar im BB:
* A new age of virus-production has begun ...
This time PARADOX brings you the "LOGIC BOMB" Virus !!! *
- PARADOX II Kicktag, KickChecksum im Prg. DoIo u $6c, immer $7F000
verschluesselt mit move.b $DFF006,D1 und eor.b d1,(a0)+
Vermehrung und Schaden: Bootblock
Text nach Entschluesselung:
This is the second VIRUS by PARADOX -
For swapping call: 42-455416 - ask for Hendrik Hansen
- PARATAX SCA-Clone, Cool immer 7EC3E, nur anderer Text
- PARATAX II Disk-Dokters-Clone, nur KS1.2 da DoIo-ROMEinsprung
Cold, Cool, DoIo, im Prg. Vec5
im BB sichtbar: PARATAX II
clipboard.device durch ".dos.library" ersetzt
je nach Zaehlerstand wird eigener BB geschrieben oder
Disk ab Cylinder 40 (ROOT) formatiert
- PARATAX III 16BitCrewClone s.o.
Unterschied: The 16Bit Crew 1988 in PARATAX III (!!!)
geaendert
eine echte Meisterleistung
- PentagonCircle cool,kickchecksum
Fastmem ja, im Speicher immer ab $7fb00, im Prg. noch DoIo
testet auf einige Viren, Alert-Meldung
Vermehrung: ueber BB
Text im BB sichtbar: z.B.
The Pentagon Circle VirusSlayer by Mr.Moutainlake!
- PentagonVirusSlayer2: cool, KickCheckSum, immer ab $7f000
Fastmem ja, im Prg. DoIo, Programmierung voellig anders
als Pentagon, Alert-Meldung
Vermehrung: ueber BB
Text im BB sichtbar: z.B.
The Pentagon Circle VirusSlayer 2 by Mr.Mountainlake!
- PentagonVirusSlayer3: Cool, KickCheckSum, immer ab $7e000
Fastmem ja, im Prg. DoIo, FindResident
Alert-Meldung
Vermehrung: ueber BB
Text im BB sichtbar: z.B.
The Pentagon Circle VirusSlayer by Mr.Mountainlake!
- POWERBOMB ByteBandit/Forpib-Clone s.o.
Text: POWERBOMB SYSTEMS PRESENTS: BYTE BANDIT V2.0 !!!
- Pseudoselfwriter andere Namen: Selfwriter, Lamer7
- Rene anderer Name: bei mir Lamer8
da im entschluesselten Programm The LAMER Ex... zu lesen ist und
das Verhalten einem Lamervirus entspricht, halte ich eine
Zuordnung zur Lamer-Gruppe fuer richtig.
- Return Of The Lamer PrgFileVirus Laenge 1848 Bytes
nur KRESET (Entschuldigung)
tarnt sich als Disk-Validator
KickTag, KickCheckSum, BeginIo und andere
zu erkennen an: hat im Gegensatz zum Org.Disk-Validator keinen
lesbaren ASCII-Text
Schaeden in Abhaengigkeit von der Zeit:
a) bestimmt eine Blocknummer ueber $DFF007 und schreibt 64 x
LAMER!!! hinein
b) Fastformatroutine fuer alle Laufwerke und ueber DisplayAlert
Textausgabe:
The Return Of The Lamer Exterminator
c) schreibt den falschen Disk-Validator auf Disk
- Revenge Bootloader! Begin, KickTag, KickCheckSum, Vec5
Fastmem: nein
Vermehrung ueber BB
- Revenge V1.2 cool,doio,vec5 , im Speicher immer $7e000
und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste)
Vermehrung: ueber BB
Schaden: nach einger Zeit neuer Mauszeiger
im BB sichtbar: Revenge V1.2GCount:
- Revenge of the Lamer PrgFileVirus Laenge 4560 Bytes
nur KRESET (Entschuldigung)
es werden mir zuviele Zeiger verbogen (10!!)
entschluesselt steht im Speicher:
dos.library.graphics.library.intuition.library.
trackdisk.device.DOS s/startup.sequence usw.
Name:$A0A0A0A0A0 steht im Hauptverzeichnis und
1.Zeile Startup
testet vor Vermehrung ob genuegend Platz auf Disk ist
nach 6 Resets (denke ich), Formatieren aller eingelegten
nicht schreibgeschuetzten Disks
3 Seiten Alert-Meldung
- Revenge of the Lamer 2
PrgFileVirus Laenge 4448 Bytes
einige Write-Test-Routinen fehlen,
sonst wie Revenge of the Lamer
W A R N U N G: es ist mir beim Testen gelungen, Revenge of the
Lamer 1 u. 2 so zu vermehren, dass SID und andere Prg.e die
5 A0 n i c h t anzeigen. Mein FileRequester auch nicht. Das
VirusPrg. wird aber a u c h bei diesen Disks aktiviert und
vermehrt sich !!! Mit einem DiskMonitor kann das Prg. ge-
funden werden. Bei meinem PrgTest erscheint dann:
Rev. Lam. unsichtbar
Dies ist kein Schwachsinn, sondern der Sachverhalt wurde von
anderen Programmierern nach meiner Entdeckung gegengeprueft und
eine Fehlfunktion bei ExNext KS1.3 entdeckt. Dieser Fehler ist
bei KS2.0 behoben.
(vgl. auch Fish 429 Dr.doc)
- RIPPER Programcode = Northstar, nur anderer Text
cool im Prg. DoIo immer ab $7ec00
Vermehrung: BB
Text (auch im BB sichtbar):ATARI KILLS COMMODORE! RIP! RIP THE RIPPER
usw.
- Riska Forpib-Clone s.o.
- SADDAM HUSSEIN Bootblockvirus (vgl. auch BlowJob)
KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000
Taeuscht durch Text im Bootblock:
A2000 MB Memory Controller V2
Vermehrung und Schaden: Bootblock
Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein
Programmteil mit subi.b #$71,D0 entschluesselt und mit display-
Alert der Text ausgegeben:
TOO BAD BROTHER ... SADDAM HUSSEIN STRIKES BACK !!!
THE ONLY ESCAPE IS TO TURN THE POWER OFF !!!
- SADDAM-VIRUS Disk-Validator Laenge:1848 Bytes
Das erste Virusprogramm, das mit 1 MB Chip, Kick1.3 und OHNE
setpatch r einen Reset mit der Tastatur uebersteht !!!!!!!!
Cold, BeginIo, Close im Trackdisk.device, Rasterstrahl $90(a6)
im Prg. dann noch OpenWindow, InitResident, direkte Dos.lib-Ein-
spruenge.
entschluesselt im Speicher mit: eor.b d0,(a0)+
subq.l #2,d0
dbra d1,loop
Zum Verschluesseln eines neuen SADDAM-Disk-Validators wird
ein Wert aus $DFF007 in d0 abgelegt.
Speicherlage: SysStkLower - veraenderter Wert aus $DFF007 - Virus-
programmlaenge
Schaeden und Gefahren:
Das Einlegen einer Disk mit ungueltiger BitMap genuegt,
um SADDAM zu aktivieren !!!!
abhaengig von der Zaehlzelle:
KopfStep alle Laufwerke (Disk danach BAD) und DisplayAlert:
SADDAM-VIRUS
Ueberschreibt jeden echten Disk-Validator auf einer ungeschuetzten
Disk !!!!!
Falls auf einer Disk kein l-Dir vorhanden ist, wird es erstellt
und dann der verseuchte Disk-Validator hineinkopiert. Noch KEIN
anderes Virusprogramm hat Unterverzeichnisse angelegt !!!!
Sucht ueber den FileHeaderBlock den ersten FileDataBlock und
schreibt in T.DATA das LWort IRAK . Der Rest des FileDataBlocks
wird mit eor.l d1,(a0)+
dbra d0,loop
verschluesselt. Bei aktivem SADDAM-VIRUS wird statt IRAK
der richtige Wert 8 angezeigt! (Taeuschung !! vgl. Lamergruppe,
die sauberen BB vortaeuscht!)
Schreibt manchmal in ROOT in $13c (=Zeiger auf BitMapBlock) den
Wert Null. Mit Glueck finden Sie in $140 den Orginalwert (abge-
legt vom Virusprogramm) .
Wenn Sie Pech haben, hat ein anderer Virusprogrammteil diese
Stelle kurz danach auch auf Null gesetzt. Versuchen Sie dann mit
einer Bootdisk den OrginalDisk-Validator zu starten oder versuchen
Sie mit einem Disk-Monitor zu Fuss den BitMapBlock zu finden und
wieder in $13c einzutragen.
- SCA!
- SCA 2 keine Gefahr, nie bootfaehig, immer GURU
deshalb in meinem Prg. nur Nicht-Standard-BB
Begruendung: read $200 nach $7FC00 von Zylinder 79 und
dann jmp $7FA00 (alles klar Anfaenger !!)
- SCARFACE BeginIo, KickTag, KickCheckSum, Vec5
FastMem nein
Vermehrung: ueber BB
ResetRoutine, die ueber Vec5 gesteuert wird (Zaehlzelle > $2710)
Im BB sichtbar: z.B. SCARFACE
- Self-Writer andere Namen: Pseudoselfwriter bei mir Lamer7
da im entschluesselten Programm The LAMER Ex... zu lesen ist und
das Verhalten einem Lamervirus entspricht, halte ich eine
Zuordnung zur Lamer-Gruppe fuer richtig.
- Sendarian Revenge V1.2-Clone, Cool, DoIo, Vec5, im Speicher $7e000
und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste)
Vermehrung: ueber BB
Schaden: nach einiger Zeit neuer Mauszeiger
im BB sichtbar: Sendarian #1Count:
- STARFIRE/NorthStar 1 anderer Name BlackStar
Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 1
testet nicht auf SystemZ, nur auf SCA, ByteBandit = DisplayAlert
Vermehrung: ueber BB
Im BB lesbar:
Virus detected on this disk usw.
Reset,WriteProt OFF (bei NorthStar2 nicht vorhanden)
- STARFIRE/NorthStar 2 = OldNorthStar ????
Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 2
testet auf SCA, ByteBandit, SystemZ, NorthStar1, Folge=DisplayAlert
Vermehrung: ueber BB
Im BB lesbar:
VIRUS detected on this disk usw.
My AntiVirus is better! (bei NorthStar1 nicht vorhanden)
- STARFIRE/NorthStar 3 = 1 (bis auf 5 unwichtige Bytes??!!)
- Suntronic cool,doio, nur Kick1.2 da absolute ROM-Einspruenge
Vermehrung ueber BB , immer $7fa00
Suntronic-Text im BB sichtbar
- SuperBoy Cool, im Prg DoIo, im Speicher immer ab $7ec00
Vermehrung ueber BB
Alertmeldung mit .... The Famous SuperBoy
- Switch-Off anderer Name: Joshua 2 s.o.
- Target cool, im Prg. DoIo , immer $7ec00
schreibt auf jede nicht schreibgeschuetzte Disk, die in Block
880 ab $1b0/1 (=Diskname) eine bestimmte Zeichenfolge
enthaelt, ab Track 80 bis Ende (mal was Neues) sinnlose Daten
Ursprungsprogramm:target.install (Malta)
- Termigator: Kick 1.2 (da absolute ROM-Einspruenge)
immer $7f4d0, Cool und DoIo
entschluesselte Alertmeldung:
Only the TERMIGATOR'VIRUS makes it possible! Bye!...
Vermehrung: ueber BB
- Terrorists PrgFileVirus Laenge 1612 Bytes
KickMem, KickTag, KickCheckSum
Textausgabe mit GraphikRoutine
nimmt Namen des 1.Files in der Startup an
verschiebt OrgPrg ins Hauptverzeichnis (unsichtbar s.o.)
Vermehrung: jede nichtschreibgeschuetzte Disk mit Startup
im PrgFile sichtbar: TTV1
schwarzer Hintergrund, weisse Schrift, zeilenweise
THE NAMES HAVE BEEN CHANGED
TO PROTECT THE INNOCENT...
THE TERRORISTS HAVE YOU UNDER CONTROL
EVERYTHING IS DESTROYED
YOUR SYSTEM IS INFECTED
THERE IS NO HOPE FOR BETTER TIMES
THE FIRST TERRORISTS VIRUS !!!
- THE SMILY CANCER LinkVirus, verlaengert das Prg. um 3916 Bytes
Fastmem ja, im Speicher immer ab $7F000, KickTag, KickCheckSum,
SumKickData, im Prg. noch BeginIo und $6c = Vec3
PrgTeile decodiert mit ror.b #2,d1 oder codiert mit rol.b #2,d1
befaellt das erste File der startup-sequence,
testet n i c h t auf Sonderzeichen im Filenamen,
d.h. jedes File wird befallen
nach 20 Vermehrungen:
Mauszeiger aendert sich in gelben Kopf (smily) mit blauem Hut
und Endlosausgabe einer roten Laufschrift:
"????????.........."
" HI THERE!!! A NEW AGE IN VIRUS MAKING HAS BEGUN!!!"
" THANX TO US... THANKX TO: --- CENTURIONS --- "
" AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME"
" OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE"
" CALLED: ` THE SMILY CANCER ` "
" HAVE FUN LOOKING FOR IT... AND STAY TUNED FOR OUR NEXT PRODUCTIONS. "
" CENTURIONS: THE FUTURE IS NEAR!"
" "
Ausserdem ist im decodierten Prg noch zu lesen:
(erscheint nicht in der Laufschrift)
HELLO HACKERS OUT THERE!! A NEW FORCE HAS BORN IN ITALY:
--- CENTURIONS ---. OUR TEAM IS COMPOSED OF 2 GUYZ:
ME & HIM.(AHAHHA!)
THE AIM OF - - CENTURIONS - - IS JUST VIRUS MAKING..
WE HAVE LOTTA FUN DOING THIS AND WE ALSO HOPE TO GIVE FUN TO THE
KILLERS MAKERS (HI STEVE TIBBETT!) HAW! HAW! HAW!
SIGNED: ME & HIM / CENTURIONS
Hinweis: Ich besitze ein Smily-File mit vier Links
- The Smily Cancer II Filevirus Laenge: 4676 2x verschluesselt
nach 1x entschluesseln mit eori.b #$90,d1
subi.b #$22,d1
kann man am Fileende lesen:
CENTURIONS STRIKES BACK: THE SMILY CANCER II
Beim Starten des Programms wird der loadwb-Befehl simuliert und
der Virusteil setzt sich im Speicher fest. Die Vermehrung erfolgt
dann als Smily 1, d.h. es findet KEINE Vermehrung als Smily II
statt. siehe oben
- The Traveller 1.0
KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F000
abhaengig vom Zaehlerstand: Textausgabe
roter,gruener und blauer Balken, schwarze Schrift
NEVER HEARD OF VIRUS-PROTECTION ??? -LAMER !!!
Vermehrung und Schaden: BB (auch HD !!!!!!!!!)
- Tick
siehe unter Julie
- TimeBomb V0.9 Trojanisches Pferd
wird mit dem Prg. BMassacre erzeugt (da steht auch TimeBomb V0.9)
besteht aus 2 Teilen in SubDir c und Root:
in c: .info = Virus Laenge: 7840 Bytes
in Root: pic.xx = Zaehler (Startwert=6) Laenge: 1 Byte
in der 1.Zeile der startup steht: c/.info
nicht resident, keine Vermehrungsroutine in .info
Verhalten: vermindert bei jedem Neustart den Wert in pic.xx um 1 .
Sobald 0 erreicht ist, wird die Disk formatiert.
Damit der Wert in pic.xx geaendert werden kann, darf die Disk
nicht schreibgeschuetzt sein. Falls doch, erscheint:
User Request : Please remove write Protection and press
left Mouse Button to continue..
Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung
der Disk nicht moeglich.
Im Cli wird immer ausgegeben:
RAM CHECKED - NO VIRUS FOUND.
- TimeBomb V1.0 BB-Virus
( verbiegt keine "bekannten" Zeiger )
(je nach Zaehlerstand wird eigener BootBlock geschrieben,
(( Einsprung bei #$70208))
oder Track 80 (Directory) mit Speicherinhalt ab #$20000 ueberschrieben
= Disk wird unlesbar !!!)
(( Einsprung bei #$70026))
- TimeBomber Trojanisches Pferd
wird mit dem Prg. TimeBomber erzeugt
besteht aus 2 Teilen in RootDir:
virustest = Virus Laenge: 936 Bytes
virustest.data = Zaehler (Startwert=5) Laenge: 1 Byte
in der 1.Zeile der startup steht: virustest
nicht resident, keine Vermehrungsroutine in virustest
Verhalten: vermindert bei jedem Neustart den Wert in virustest.data
um 1 .Sobald 0 erreicht ist, wird die Disk formatiert.
Damit der Wert in virustest.data geaendert werden kann, darf die
Disk nicht schreibgeschuetzt sein. Falls doch, erscheint:
User Request : Please remove write Protection and press
left Mouse Button to continue..
Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung
der Disk nicht moeglich.
Im Cli wird immer ausgegeben:
RAM checked - no virus found.
- Tomates-Gentechnic-Service = TimeBomb-BB-Clone
nur der Text wurde veraendert
- Traveling Jack
LinkVirusPrg mit variabler HunkLaenge
verbiegt DosBase+$2E (= dos.library-Zeiger ins ROM), nicht resetfest
a) schreibt ein File auf Disk VIRUS.xy Laenge immer 198 Bytes
x u. y sind HexZahlen, die ueber $BFE801 bestimmt werden.
Text in VIRUS.xy:
The Traveling Jack....
I'm traveling from town to town looking for respect,
and all the girls I could lay down make me go erect.
-Jack, 21st of September 1990
b) linkt sich an andere Prg.e
Bedingungen:
DOS0-Disk, Disk validated, 12 Bloecke frei auf Disk, Filelaenge
mind. 2000 Bytes, FileName mind. 5 Zeichen, FileName enthaelt
kein Zeichen kleiner als $40,
kein Info.File
Typ A:
LinkHunkLaengenBerechnung:
$24C + Wert aus $DFF006
decodiert im Speicher $909+1 Bytes
Typ B:
LinkHunkLaengenBerechnung:
$25B + Wert aus $DFF006
decodiert im Speicher $945+1 Bytes
- TRISTAR-Viruskiller V1.0
Es ist NICHT der Orginal TRISTAR- BB gemeint, sondern jemand hat
den Text in einen Target-BB (sehr kurzer Code) eingesetzt.
Oh, ihr Anfaenger !! VT erkennt Target s.o.
- Trojan anderer Name: Incognito s.o.
- TURK_V1.3 Cool, DoIo, im Speicher immer $7f000
schreibt TURK nach $60
Vermehrung: ueber BB
Textausgabe (entschluesselt mit subq #6,d0) ueber DisplayAlert:
Amiga Failure... Cause: TURK VIRUS Version 1.3!
im BB sichtbar: TURK
- U.K.LamerStyle anderer Name: Clist s.o.
- UF-Virus anderer Name: UltraFox s.u.
- UltraFox Cool, DoIo, FastMem ja, nur KS1.2 da $fc06dc
Vermehrung: ueber BB
im Speicher immer ab $7eb00
Zaehlzelle groesser $f = Textausgabe, Graphikroutine
Hintergrund dunkelblau, Balken hellblau, Schrift gelb.
Greetings from ULTRAFOX of Aust.
- Vermin Cool, im Prg DoIo immer ab $7eb10
fuellt nicht benoetigten Platz im BB mit Inhalt von $DFF006 auf.
Vermehrung und Schaden: Bootblock
- virustest anderer Name: TimeBomber s.o.
- VKill 1.0 anderer Name: Aids, veraendert PutMsg
mit FastMem:
(loescht j e d e n nicht schreibgeschuetzten Bootblock o h n e Warnung !!!,
auch wenn es ein Org. Bootblock ist !! )
mit nur ChipMem:
(schreibt ohne Warnung eigenen Bootblock)
EntschluesselungsLW: " KEN"
- Warhawk Cool, im Prg. DoIo, liegt immer ab $7e600
- Warshaw Avenger BeginIo, KickTag, KickChechSum, SumKickData
grosse Aehnlichkeiten mit Lamer, BB aber unverschluesselt
schreibt je nach Zaehlerstand BB oder schreibt in einen
Diskblock (Lage je nach $dff006) $55 x Warsaw und 1 x !! .
- XENO Link-Virus, verlaengert das befallene Prg. um 1124 Bytes
verbiegt DosOpen, DosLock und DosLoadSeg
erhoeht Hunk-Zahl im File-Header nicht !!!
testet vor Befall Filenamen auf 0-9, a-z und A-Z,
Folge: Programme, deren Namen SonderZeichen enthalten, werden
n i c h t befallen.
Ausserdem werden a l l e Prg., die im Unterverzeichnis
l oder devs stehen, n i c h t verseucht.
Textausgabe (Output, Write) in Abhaengigkeit von $DFF006
Text wird erst zur Ausgabe decodiert ( eori.b #-$80,(a0)+ ) :
Greetings Amiga user from the Xeno virus!
in einem verseuchten File ist in der Naehe von $460 mit einem
Monitor zu sehen:
l.devs.fastfilesystem.
- ZACCESS V1.0 16Bit-Clone s.o.
nur Text geaendert
- ZACCESS V2.0 Forpib-Clone s.o.
nur Text geaendert
- erkannte Virenfinder:
=====================
teilweise KickRomV1.2, haeufig mit Bootblock-Schreibzugriff,
veraltet, resident, werden nach Abfrage geloescht
- ASS VirusProtector V1.0 (KickV1.2, Tonfolge)
FastMem ja, KickTag, KickCheckSum, Vec5
- Blizzard Protector V1.0
testet Cool, Vec3, falls veraendert wird ohne Warnung
eigener BB geschrieben (verwendet dazu ueber den verbogenen
CoolVector das andere Prg (jsr 82(a0))
Empfehlung: loeschen
- BlizzPro V3.1 cool, Fastmem ja,
im Prg. closedevice (oh, was neues)
Vermehrung: ueber BB
erkennt einige Viren, schreibt aber KS1.2 DoIo zurueck
Meldung ueber DisplayAlert
unverschluesselter Text im BB:
BlizzPro V3.1 und Virennamen
- CLONK! DoIo, KickMem, KickTag, KickCheckSum, SumKickData
nur 512KB Chip (oder resetfestes 1MB), da zur Aktivierung
immer ein Reset ausgefuehrt wird. (7D042 nach $80, TRAP 0)
Ursprungsprogramm: Clonk! (Alcatraz)
- DISKGUARD v1.0 cool, im Prg DoIo, immer $7FA00
Vermehrung: ueber BB
Meldung fremder BB.e: mit DisplayAlert
schreibt immer DoIo von KS1.2, Folge: Guru mit KS1.3
Empfehlung: loeschen
- H.C.S I veraendert cool, im Prg DoIo, loescht KickTag
im Speicher immer ab $7EC00
Vermehrung: jeder DOS-BB ohne Warnung !!!!
- H.C.S II veraendert cool
erkennt einige alte BBViren ( Alertmeldung )
beim ersten Bootblockschreiberfolg wird noch der
DoIo-Vector verbogen und bleibt verbogen
bei leerem Laufwerk blinkt PowerLed
- NO BANDIT soll ByteBandit am Bootblockbefall hindern
Text: NO BANDIT ANYMORE! R.T.
Empfehlung: loeschen
- Sherlock AntiVirenBB , Cool, DoIo, resident im Speicher,
im Speicher immer ab 7FA00, benutzt zusaetzlich 7CA00,
Textausgabe mit DisplayAlert
schreibt bei mehr als 512KB BeginIo an falsche Stelle,
Empfehlung: loeschen
- SystemZ V3.0, 4.0, 5.0, 5.1, 5.3, 5.4, 6.1, 6.3, 6.4, 6.5
KickTag, KickCheckSum, loescht Cool, im Prg. DoIo
Melodie und Farbbalken
ab 6.3 keine speicherabsolute Adresse mehr
neuer Name Virusprotector (meldet sich vor Schreibzugriff)
- Virus-Killer
KickMem, KickTag, KickCheckSum
- VIRUS SLAYER V1.0 Cool, DoIo, im Speicher immer $7FA00
nur KS1.2 da DoIo absolut ROM
veraltet, Empfehlung: loeschen
Vermehrung: ueber BB
- erkannte Nutzprogramme:
=======================
teilweise mit Kennung (N) versehen
- ACT-Killer ;BeginIo, KickTag, KickCheckSum, SumKickData
(Antivirenprogramm)
- ALF2-HD ;KickTag, KickCheckSum, KickMem
- ATool ;fast alle Vectoren
(Utilities)
- Berserker 5 (AntiVirenPrg.)
- BOIL3-HD ;KickTag, KickCheckSum, KickMem
- BootPic ;KickMen, KickTag, KickCheckSum
- Bootpreventor ;Cool, im Prg DoIo
Empfehlung: loeschen
- FaccII ;BeginIo
(FloppySpeeder)
- Guardian V1.1/V1.2 ;KickMem, KickTag, KickCheckSum
(Antivirenprogramm)
- MemGuard 4 (Speicherueberwachung)
- MemWatch (Speicherueberwachung)
- Protec III ;KickTag, KickCheckSum
(Antivirenprogramm)
- Pseudo-Ops ;KickMem, KickTag, KickCheckSum
(Antivirenprogramm)
- RAD: (RAMB0) ; KickTag
- RETRAX ;Cool, $6c
(Antivirenprogramm)
- RRam Disk ;KickMem, KickTag, KickCheckSum
(Recoverable Ram Disk)
- Setpatch r V1.34 1MB RAD ; Cold
- TurboPrint II+Prof ;KickTag, KickCheckSum, (Prof. auch Cold)
(Drucker-Utility) (Prof. 21.04.91)
- Ultrakill ;Cold, Cool
(AntiVirenProgramm)
- VD0: (ASDG-RamDisk)
- VirusControlV2.0 ;Cold, Cool, DoIo, BeginIo
(AntiVirenProgramm)
- VIRUS MURDERER ;Cold immer $7EC00
testet Vectoren
- andere Bootbloecke:
===================
- Amiga Action Replay harmlos
- Anachos Virus-Slayer 3.12 harmlos
- AntiRipperBoot anderer Name: The Punisher s.u.
- BootGirl harmlos sichtbar im BB: BBM 1987
- Bootpreventor harmlos sichtbar:Bootpreventor
- countach v1 testet Vectoren, keine Schreibroutine, harmlos
- DiskSafe PROTECTOR v1.0 harmlos
- Fastloader by Byte Warrior
aendert nur Werte in der Portstruktur (step-Schleife und
Zeitschleife fuer Kopfberuhigung)
nicht resident, keine Vermehrung, Reset falls beim Bootvorgang
linke Maustaste gedrueckt.
Meine Meinung: Install, da neue Werte zu extrem (WriteErrors!!)
im BB sichtbar: >>Fastloader by Byte Warrior !<<
- Hallon Boot F1-F6 Menue
Empfehlung: loeschen
- Hypnosis Boot harmlos
- INTERFERON harmlos, nicht resident
testet Cold, Cool, Kicktag auf Null, falls nein: ROM-Reset
Textausgabe ueber Graphikroutine
im BB sichtbar: I N T E R F E R O N usw.
- MemoryAllocator V1.3
harmlos
- MemoryController V1.3
harmlos
- NoBoot
Cold, Cool, im Prg. DoIo usw. , keine Vermehrung
vgl. Kickstart 10.90 S87ff
- NOLL DETECTOR harmlos, nicht resident
testet Cold, Cool, Kicktag auf Null, falls nein: ROM-Reset
Textausgabe ueber Graphikroutine
im BB sichtbar: DIETMAR NOLL usw.
- N.O.M.A.D harmlos
- Outlaw-VirusChecker
keine Vermehrung, erkennt SCA. Schreibt aber immer KS1.2 Werte
(z.B. Vec5 $fc12fc) zurueck. Folge: GURU mit KS1.3
nicht resident
- PROBOOT 1.0 F1-F7 Menue, testet Vectoren
mit Install !?!? (auf Wunsch), sonst harmlos
- Random Access CopperIntro
schreibt GURU nach $60, nicht resident, keine Vermehrung
Empfehlung: loeschen
- Scoopex utility V1.0
harmloser, nuetzlicher Bootblock,
- Seek & Destroy harmlos
- Sinister Syndicate , nicht resident
wird von ZeroVirus 3 als Virus erkannt
ich halte das fuer ein CopperIntro, ohne eor- oder Vermehrungs-
routine, GURU wird in $60 geschrieben, kann im Arbeitsmenue
zurueckgesetzt werden (vgl. Obelisk)
- Telstar cold, cool, Zaehlzelle $c0
ganz gemein, taeuscht durch Text Virusprotector 6.0 vor, entschluesselt
(neg.b) BBteile nach $7fc00, jeder 4/2.Reset Graphikausgabe (holl.
Flagge und Text u.a. Telstar), keine Vermehrungsroutine gefunden.
- The IRQ Protector (BB) und FilePrg
keine Vermehrung
Verbiegt OpenLibVector nach $120, prueft aber vorher nicht, ob
dieser Vector vielleicht schon falsch ist.
FilePrg: verbiegt OldOpenLib an eine beliebige Speicherstelle,
ohne Vectorpruefung.
Empfehlung: loeschen
- The Punisher anderer Name: AntiRipperBoot, Cold
verbiegt Cold und schreibt einen Wert kleiner $FF in diese Zelle.
Folge: wird von einer anderen Disk, die diesen BB nicht ent-
haelt gebootet, so erfolgt ein Reset.
Empfehlung: loeschen
- The Supply Team
nicht resident, keine Vermehrung, aber schreibt nur KS1.2-Vectoren
Empfehlung deshalb: Install
loescht Cool, KickMem, KickTag, KickCheckSum. Aber schreibt immer
nur absolute KS1.2-Vectoren: DoIo, BeginIo, Vec5
Anschließend: Textausgabe ueber GraphikRoutine, dunkler Hinter-
grund, hellbrauner Balken, dunkelbraune Schrift
Text auch im BB sichtbar: The Supply Team
- UNICORN V1.1 harmlos
nach meiner Meinung ein CrackerBB mit Bildladefunktion
einige Virenkiller glauben eine Formatroutine zu finden:
der Befehl move.w #$b,$1c(a1) kommt vor, aber bis diese Zeile
erreicht wird, ist das trackdisk.device schon wieder abge-
meldet und input.device angemeldet. (Writeevent?)
- Viruscope V1.0 BB
harmlos
- VIRUS MURDERER als BB harmlos
- VirusTerminator 1.0 = A.C.I.D
keine Vermehrung, erkennt SCA, Byte und DASA. Schreibt aber immer
KS1.2 Werte (z.B. DoIo $fc06dc) zurueck. Folge: GURU mit KS1.3
nicht resident
- VirusTerminator 3.0 = A.C.I.D
keine Vermehrung, erkennt einige Viren, DisplayAlert, loescht
dann Cool und fuehrt einen Reset mit ROM-Einsprung aus.
nicht resident, harmlos, da keine falschen Zeiger gesetzt werden.
Es werden nur Viren ohne KReset geloescht, die ich selbst reassembliert habe.
Leider werden die Virenroutinen immer besser (immer mehr Listen und Zeiger
veraendert), sodass mit vernuenftigen Aufwand der Org.Zustand nicht mehr
hergestellt werden kann. Deshalb inzwischen auch bei einigen Viren, die
ich reassembliert habe, nur noch KRESET !!
Alles andere ist mir zu gefaehrlich !! (Zeiger vergessen, Task nicht erkannt
usw.)
Cruncher:
=========
- Black & Decker V2.0
- Byte Killer V1.2+
- Compacker+ V4.2
- Crunch Master V1.0
- DEFJAM Packer V3.2
- Double Action V1.0
- DRAGPACK v1.0
- High Pressure Cruncher
- HQC-Compress
- HQC-Cruncher
- Imploder
- ISC V1.5 (Rainbow Trio)
- Mastercruncher V3.0
- Mega Cruncher V1.2
- PackIt V1.0
- PowerPacker
- PowerPacker-Data
- PowerPacker-Clone
- Relokit V1.0
- RSI-Cruncher
- Super Cruncher V2.7
- SupplexCruncher
- Syncro Packer V4.6
- Tetra-Crunch V1.1
- Tetra-Pack V2.1, V2.2
- Time-Cruncher V1.7
- TITANICS-Cruncher
- TNM-Cruncher V1.1
- TryIt V1.01
- TUC-Cruncher
- TURBOSQUEEZER V8.0
Archive:
========
- ARC
- compress
- LHSFX
- LhArc
- LhArcA
- LZ
- PKAZip
- ZOO 2.0
Disk- und Trackcruncher:
========================
- Lhwarp
- The Disk Masher (DMS)
- Warp
- ZOOM 4.1
Heiner Schneegold
Am Steinert 8
8701 Eibelstadt
(W-Deutschland)
Tel: 09303/8369
(19.00 - 20.00 Uhr)
bis bald !!
Heiner