home *** CD-ROM | disk | FTP | other *** search
/ NetNews Offline 2 / NetNews Offline Volume 2.iso / news / comp / sys / amiga / misc-part2 / 13509 < prev    next >
Encoding:
Text File  |  1996-08-05  |  6.8 KB  |  180 lines
  1. Path: baghira.han.de!ldb.han.de
  2. From: M.SCHMALL@LDB.han.de (Markus Schmall)
  3. Newsgroups: comp.sys.amiga.misc
  4. Subject: Warning ! Ebola-II = BBS Traveller
  5. Date: 20 Apr 96 02:00:00 +0200
  6. Message-ID: <xeNV1MD409aUz1@ldb-ms.ldb.han.de>
  7. Organization: TRSi - VirusWorkshop
  8. X-Mailer: MicroDot 1.11beta16 [REGISTERED 000409]
  9. X-Gateway: ZCONNECT UH ldb.han.de [UUCPfZ V5.73 U002]
  10. MIME-Version: 1.0
  11. Content-Type: text/plain; charset=iso-8859-1
  12. Content-Transfer-Encoding: 8bit
  13. X-ZC-Telefon: 0511-514944 (Germany)
  14. X-ZC-Post: von Graevemeyerweg 25, 30539 Hannover
  15.  
  16.  
  17.  
  18. Warning ! A new linkvirus is out. The first known infected file is
  19.  
  20. lop_mi2.lha. The FILE_ID.DIZ looks like this:
  21.  
  22.                 .
  23.     ____     .::     ______
  24.    /    |.:::::'    |  __  \_
  25.    \   _|::  ::.::::.   ¼___/
  26. .-- \____::  ::::  ::     \  --.
  27. |        `::::'::  ::_____/    |
  28. |    L▌▌P      `::::'          |
  29. |                              |
  30. |  MASTER ISO 1.22 100% CRC    |
  31. |    THIS IS THE IMPROVED      |
  32. |   INTENSITY-VERSION ...      |
  33. `------------------------------'
  34.  
  35.  
  36. The virus is linked on it normally. It doesn`t seems to be an installer,
  37. probably the guys behind it didn`t know about this infection.
  38.  
  39.  
  40. Ok, here the analyse of the little bastard:
  41.  
  42.  
  43.  
  44. Entry...............: BBS Traveller Virus
  45. Alias(es)...........: Ebola-II
  46. Virus Strain........: -
  47. Virus detected when.: 17.04.1996
  48.               where.: Germany
  49. Classification......: Linkvirus,memory-resident, not reset-resident
  50. Length of Virus.....: 1. Length on storage medium:     1536  Bytes
  51.                       2. Length in RAM:                12000 Bytes
  52.  
  53. --------------------- Preconditions ------------------------------------
  54.  
  55. Operating System(s).: AMIGA-DOS Version/Release.....: 2.04 and above (V37+)
  56. Computer model(s)...: all models/processors (MC68000-MC68060)
  57.  
  58. --------------------- Attributes ---------------------------------------
  59.  
  60. Easy Identification.: none
  61.  
  62. Type of infection...: Self-identification method in files:
  63.  
  64.                       -  Searches for $ab1590ef at the end of the first Hunk.
  65.                          (this longword comes from the EBOLA-I virus)
  66.  
  67.                       -  Searches for $24121996 at the end of the first hunk
  68.                          (selfrecognition)
  69.  
  70.                       -  Searches for $1080402 at the end of the first hunk
  71.                          (this is the recognition of the Strange Atmosphere
  72.                           linkvirus)
  73.  
  74.                       Self-identification method in memory:
  75.  
  76.                       Searches for $3D385E29 at offset -6 from the Dos LoadSeg()
  77.                       function.
  78.                       If $1020304 will be found at this position, the destruction
  79.                       counter will be manipulated (somekind of test for the
  80.                       programmer of this virus ?)
  81.  
  82.                       System infection:
  83.                       -  non RAM resident, infects the following functions:
  84.                          Dos LoadSeg(), Dos ReadARGS(), Exec Findname(),
  85.                          Exec Findtask, Exec SetFunktion() and Exec Addport()
  86.  
  87.  
  88.                       Infection preconditions:
  89.                        - File to be infected is bigger then 2600 bytes and
  90.                          smaller then 290000 bytes
  91.                        - Device must have more than 6000 sectors
  92.                        - First hunk contains a $4eaexxxx command in the 16
  93.                          bit range to the end of the file (test for the first
  94.                          entry)
  95.                        - the file is not already infected (the at long of the
  96.                          end of the hunk)
  97.                        - HUNK_HEADER and HUNK_CODE are found
  98.  
  99.  
  100.  
  101. Infection Trigger...: Accessing files via LoadSeg()
  102.                       Files starting with "v","V","." or "-" will be NOT
  103.                       infected.
  104.  
  105. Storage media affected:
  106.                       all DOS-devices
  107.  
  108. Interrupts hooked...: None
  109.  
  110.  
  111. Damage..............: Permanent damage:
  112.                       - Formatting the drive
  113.                       Transient damage:
  114.                       - none
  115. Damage Trigger......: Permanent damage:
  116.                       - Formatting the drive, when an internal counter reaches
  117.                         5000.
  118.                       Transient damage:
  119.                       - None
  120.  
  121. Particularities.....: The crypt/decrypt routines are partly aware of processor
  122.                       caches. The cryptroutine are non polymorphic and only
  123.                       consists of some logical stuff. The virus uses some
  124.                       simple retro technics to stop viruskillers searching
  125.                       for itself.
  126.  
  127. Similarities........: Link-method is comparable to the method invented with
  128.                       the infiltrator-virus. Damage routine is taken from the
  129.                       Strange Atmosphere linkvirus. The virus is a typical
  130.                       mixture from the EBOLA and the Strange Atmosphere
  131.                       linkviruses. We think that all 3 ones come from the
  132.                       same programmer, probably in the east or north of
  133.                       Germany.
  134.  
  135. Stealth.............: If the viruskiller VT up to version 2.82 will be started,
  136.                       the virus removes itself completly from memory. If one of
  137.                       the following programms will be found in memory, no link
  138.                       try will be started:
  139.  
  140.                       SetFunktionManager
  141.                       VirusChecker
  142.                       VirusZ_II
  143.                       SnoopDos
  144.                       SnoopDos 3
  145.                       VW-Save!
  146.  
  147. Armouring...........: The virus uses only a single armouring technique to
  148.                       confuse people. It only crypts it`s code based on the
  149.                       position of the rasterbeam.
  150.  
  151. Comments............: The name EBOLA is the name of a virus, which humans
  152.                       can get infected with. CARO rules say, that no names
  153.                       of persons etc. may be used to call a virus, but I
  154.                       spoke to other persons and they already recognized
  155.                       this virus in this way. The virus contains the string
  156.                       "BBS Traveller", but this is just a clone from the
  157.                       EBOLA linkvirus with some enhancements.
  158.  
  159.  
  160. --------------------- Agents -------------------------------------------
  161.  
  162. Countermeasures.....: VW6.1 beta
  163. above Standard means......: -
  164.  
  165. --------------------- Acknowledgement ----------------------------------
  166.  
  167. Location............: Hannover, Germany 19.04.1996.
  168. Classification by...: Markus Schmall and Heiner Schneegold
  169. Documentation by....: Markus Schmall (C)
  170. Date................: April,19. 1996
  171. Information Source..: Reverse engineering of original virus
  172. Copyright...........: This document is copyrighted and may be not used
  173.                       in any SHI publication
  174.  
  175. ===================== End of BBS Traveller Virus =========================
  176.  
  177.  
  178.   
  179.  
  180.