home *** CD-ROM | disk | FTP | other *** search
/ Vectronix 2 / VECTRONIX2.iso / FILES_07 / UVK_6_1.ZIP / DOX / VIRUSES.TXT < prev   
Text File  |  1994-01-09  |  71KB  |  1,753 lines

  1.           THE KNOWN VIRUSES ON THE ST AND THEIR SYMPTOMS
  2.  
  3.  
  4.  This  is  a  systematic  description  of  all  viruses  that   are 
  5. recognized by the "Ultimate Virus Killer".  It is rather  technical 
  6. by nature; in case you are interested but you don't know what to do 
  7. with all the various phrases you get hurled at you, please refer to 
  8. other books on the subject.
  9.  
  10.  Name:  Official name of the virus. When several different versions 
  11. of one virus exist, their difference is indicated by one additional 
  12. character - "A" for the earliest or most widely spread version, "B" 
  13. for the next, etc.
  14.  Type:  The description of the virus fitting the most common  virus 
  15. classification.
  16.  Discovery date:  The date when the virus was earliest reported  to 
  17. be seen.  If the discoverer is known, his/her name is added between 
  18. brackets.
  19.  Virus  can  copy to drive(s): This indicates to which  drives  the 
  20. virus  can  copy itself.  "Current drive" implies  that  the  virus 
  21. copies to the drive that is currently in use of the ones listed.
  22.  Virus  attaches  itself  to:  Here it is  mentioned  which  system 
  23. vector(s)  the  virus  attaches itself to.  When  indicated  to  be 
  24. 'undocumented reset-proof',  this refers to the undocumented method 
  25. for  programs  to  become  reset-resistant  through  the  $12123456 
  26. method.
  27.  Disks  can  be immunized against it:  Informs of whether  a  virus 
  28. cannot  be  immunized  against,  or whether  it  can  be  immunized 
  29. against.  In the latter case,  it is indicated how one can immunize 
  30. against  it.  The  format of the  immunization  method  is:  Offset 
  31. (hexadecimal),   Byte/Word/Longword,   and  the  hexadecimal  value 
  32. expected at that offset.
  33.  Disks  can  be  immunized with UVK:  Indicates whether  or  not  a 
  34. particular  virus' immunization was capable of being  including  in 
  35. the "Ultimate Virus Killer" advanced immunization method.
  36.  What can happen:  Lists the effect that the virus is programmed to 
  37. cause to occur.
  38.  When  does  that  happen:  Specifies when the  above  will  happen 
  39. (ahem).
  40.  Reset-proof: Tells you whether or not the virus can survive a warm 
  41. reset.
  42.  Can  copy  to hard disk:  Tells you...er...well...this  is  pretty 
  43. obvious, actually.
  44.  Remarks: Here all the other things worth mentioning are summed up.
  45.  
  46. BOOTSECTOR VIRUSES
  47.  
  48. Virus #1
  49.  
  50. Name: Signum/BPL Virus A.
  51. Type: Memory-resident bootsector virus.
  52. Discovery date: November 22nd 1987 (Klaus Seligmann).
  53. Virus can copy to drive(s): A or B (current drive).
  54. Virus attaches itself to: Hdv_bpb vector.
  55. Disks can be immunized against it: Yes (0.W $6038).
  56. Immunizable with UVK: Yes.
  57. What can happen: Not known.
  58. When does that happen:  When key is found on other disks (this  has 
  59.  never been found - yet).
  60. Reset-proof: No.
  61. Can copy to hard disk: No.
  62. Remark:  This  is  the most widely  spread  virus;  an  approximate    
  63.  estimate brings it to at least 1.5 million copies worldwide!
  64.  
  65. Virus #2
  66.  
  67. Name: Mad Virus A.
  68. Type: Memory-resident bootsector virus.
  69. Discovery date: March 26th 1988 (Eerk Hofmeester).
  70. Virus can copy to drive(s): A or B (current drive).
  71. Virus attaches itself to: Hdv_rw vector.
  72. Disks can be immunized against it: Yes (0.B $60).
  73. Immunizable with UVK: Yes.
  74. What can happen:  Fools around with screen or bleeps with the sound 
  75.  chip.
  76. When does that happen:  After it makes five copies of itself,   and 
  77.  then at every disk access.
  78. Reset-proof: No.
  79. Can copy to hard disk: No.
  80. Remark:  A  relatively  harmless virus,  therefore  also  sometimes  
  81.  referred to as 'FUN Virus'.  This is improper,  however,  as there  
  82.  already is a virus sometimes called 'Fun Virus',  too (the  Merlin 
  83.  Mad  Virus,  #60).  For more remarks on the 'Mad Virus',  see  Mad 
  84.  Virus B (#49).
  85.  
  86. Virus #3
  87.  
  88. Name: Signum/BPL Virus B.
  89. Discovery date: Summer 1988 (Anton Raves).
  90. Symptoms:  Disk on which the virus is present is unreadable due  to  
  91.  a damaged BPB.
  92. Remark:  This  is  no  true  other virus,  but  a  virus  that  was  
  93.  corrupted  while  active  in the system.  For more  info  see  the 
  94.  Signum/BPL Virus A.
  95.  
  96. Virus #4
  97.  
  98. Name: ACA Virus.
  99. Type: Reset-proof memory-resident bootsector virus.
  100. Discovery date: June 29th 1988 (Little Joe).
  101. Virus can copy to drive(s): Boot device.
  102. Virus attaches itself to: Undocumented RESET-resistant.
  103. Disks can be immunized against it: Yes (0.B $60 or 4.W $4143)
  104. Immunizable with UVK: Yes.
  105. What  can happen:  Track 0 is cleared (BPB,  bootsector  and  FAT).   
  106.  Data is then irretrievably lost.
  107. When  does  that happen:  After it has made 10  copies  of  itself.   
  108.  This is done each time you press reset.
  109. Reset-proof: Yes.
  110. Can copy to hard disk: No.
  111. Remark:  This  virus is made by the ACA crew (ACA stands  for  Anti 
  112.  Copyright Association) from Sweden.  In April 1990 it became known 
  113.  that  this ACA crew also made a virus killer (with lotsa  graphics 
  114.  and a scroller in the lower border).  This killer could  allegedly 
  115.  also SPREAD viruses when you pressed a certain key combination! In 
  116.  a 1988 issue of the German "ST Magazin" an interview with ACA  was 
  117.  published,  in which they stated to have written (but not  spread) 
  118.  even worse viruses.
  119.  
  120. Virus #5
  121.  
  122. Name: Freeze Virus.
  123. Type: Memory-resident bootsector virus.
  124. Discovery date: July 12th 1988 (Carsten Frischkorn).
  125. Virus can copy to drive(s): A or B (current drive).
  126. Virus  attaches  itself  to:   Hdv_rw  vector;  also  installs  MFP   
  127.  interrupt.
  128. Disks can be immunized against it: Yes (0.B $60).
  129. Immunizable with UVK: Yes.
  130. What  can happen:  The system slows down more and  more,  until  it   
  131.  freezes.
  132. When does that happen:  Right from the beginning on, increasing  at  
  133.  every access of logical sector 11 (directory).
  134. Reset-proof: No.
  135. Can copy to hard disk: No.
  136.  
  137. Virus #6
  138.  
  139. Name: Screen Virus.
  140. Type: Memory-resident bootsector virus.
  141. Discovery date: July 12th 1988 (Carsten Frischkorn).
  142. Virus can copy to drive(s): A.
  143. Virus  attaches  itself to:  Hdv_bpb vector;  200 Hz  System  Clock   
  144.  vector; Etv_critic vector.
  145. Disks can be immunized against it: Yes (executable).
  146. Immunizable with UVK: Yes.
  147. What can happen: Screen is blackened.
  148. When does that happen: 54 minutes after virus installation.
  149. Reset-proof: No.
  150. Can copy to hard disk: No.
  151. Remark: Only works on 02.06.1986 ROMs (German pre-blitter TOS).
  152.  
  153. Virus #7
  154.  
  155. Name: C'T Virus.
  156. Type: Reset-proof memory-resident bootsector virus.
  157. Discovery date: Summer 1988 (Wim Nottroth).
  158. Virus can copy to drive(s): Any (including hard disk).
  159. Virus attaches itself to: Undocumented RESET resistant.
  160. Disks can be immunized against it: Yes (executable).
  161. Immunizable with UVK: Yes.
  162. What can happen:  Deletes FAT of floppy-and hard disk (all data    
  163.  irretrievably lost).
  164. When does that happen: If date stamp is 1987.
  165. Reset-proof: Yes.
  166. Can copy to hard disk: Yes.
  167. Remark:  This  virus was featured in a German  magazine  called  
  168.  "Computer & Technik".  The author claims he 'found it' on  one 
  169.  of  his disks.  A listing was included,  so that people  could  
  170.  reproduce and adapt the virus with ease. It writes the message  
  171.  "ARRRGGGHHH  Diskvirus hat wieder zugeschlagen" on the  screen  
  172.  when it is activated. Due to the fact that it forgets to check 
  173.  whether or not the device is higher than "B", it can also copy 
  174.  itself to hard disk.
  175.  
  176. Virus #8
  177.  
  178. Name: Maulwurf I Virus B (English TOS version).
  179. Type: Reset-proof memory-resident bootsector virus.
  180. Discovery date: September 3rd 1988 (Joerg Kruse).
  181. Virus can copy to drive(s): A of B (current drive).
  182. Virus  attaches itself to:  Reset vector,  Hdv_bpb vector  and  VBL   
  183.  vector (this virus operates out of the VBL!).
  184. Disks  can be immunized against it:  Yes (0.W $601C or  2.W  $001C,    
  185.  AND must be executable).
  186. Immunizable with UVK: Yes.
  187. What can happen:  Message on screen "Maulwurf I - SSG   (Subversive 
  188.  Software Group)" and computer locks up.
  189. When  does  that  happen:   If  original  Hdv_bpb  vector  is   re-  
  190.  installed, or  when someone changes the Hz200 counter.
  191. Reset-proof: Yes.
  192. Can copy to hard disk: No.
  193. Remark:  This  virus was made by the Subversive Software  Group  in  
  194.  Germany.  It  is also called "Caterpillar Virus",  as that is  its 
  195.  name in English.
  196.  
  197. Virus #9
  198.  
  199. Name: Bayerische Hacker Post (BHP) Virus.
  200. Type: Memory-resident bootsector virus.
  201. Discovery date: September 10th 1988 (Henrik Alt).
  202. Virus can copy to drive(s): A or B (current drive)
  203. Virus attaches itself to: Hdv_bpb vector
  204. Disks can be immunized against it: Yes (ANY value on 0.W)
  205. Immunizable with UVK: Yes
  206. What can happen: Nothing. It only copies itself
  207. When does that happen: Never (how could it?)
  208. Reset-proof: No
  209. Can copy to hard disk: No
  210. Remark:  Made  by  the  Bayerische Hacker Post.  This  is  a  small  
  211.  computer user's group in Germany that also publishes a small  club 
  212.  magazine.  In that magazine,  the virus was said to reset-  proof, 
  213.  and  that  it  would  'write  through  the  write-protect   notch'  
  214.  (haha!). None if this is true. It checks the WP notch, however, in 
  215.  a  way  that only works successfully on pre-blitter  TOS  versions 
  216.  (i.e.  TOS  version  before  1.02).  The  Bayerische  Hacker  Post 
  217.  address:  c/o  BASIS,  Adalbertstra₧e.  41b,  D-8000  München  40, 
  218.  Germany.
  219.  
  220. Virus #10
  221.  
  222. Name: Lab-Virus.
  223. Type: Memory-resident bootsector virus.
  224. Discovery date: September 10th 1988 (Henrik Alt).
  225. Virus can copy to drive(s): A or B (current drive).
  226. Virus attaches itself to: Hdv_bpb vector.
  227. Disks can be immunized against it: No.
  228. Immunizable with UVK: No.
  229. What can happen: Screen is made entirely black.
  230. When does that happen: After copying itself 10 times.
  231. Reset-proof: No.
  232. Can copy to hard disk: No.
  233. Remark:  Checks the write-protect status address in an illegal way, 
  234.  and  will  therefore not work correctly on any TOS  version  above 
  235.  1.04. This virus seems to be an adapted version of the BHP virus.
  236.  
  237. Virus #11
  238.  
  239. Name: FAT-Virus.
  240. Type: Reset-proof memory-resident bootsector call virus.
  241. Discovery date: May 1st 1988 (Stephen E. Schneider).
  242. Virus can copy to drive(s): A.
  243. Virus attaches itself to: Hdv_bpb and reset vector.
  244. Disks can be immunized against it: Yes (executable).
  245. Immunizable with UVK: Yes.
  246. What  can  happen:  Random  memory  accesses,  resulting  in  blots  
  247.  appearing on  the screen and current programme running crashing.
  248. When  does that happen:  After three hours,  and then at the  first 
  249.  time  $114  is changed from its original value (this  is  the  MFP 
  250.  Interrupt 5 vector).
  251. Reset-proof: Yes.
  252. Can copy to hard disk: No.
  253. Remark:  Only works on 02-06-1986 ROMs (German TOS 1.00).  It  uses 
  254.  time  delays  to  make it more difficult  to  detect.  This  virus 
  255.  spreads easily and rapidly. It is bigger than  just one bootsector 
  256.  and  also  uses the last FAT sector to write   itself  on.  It  is 
  257.  probably  made  in Switzerland,  and is  also   called  "Swiss"-or 
  258.  "Blot"-virus.
  259.  
  260. Virus #12
  261.  
  262. Name: Ghost Virus A.
  263. Type: Reset-proof memory-resident bootsector virus.
  264. Discovery date: November 20th 1988 (Carmen Brunner).
  265. Virus can copy to drive(s): A or B (current drive).
  266. Virus attaches itself to:  Hdv_bpb and resvector;  it is also  non-
  267.  documented reset-resistant.
  268. Disks can be immunized against it: No.
  269. Immunizable with UVK: No.
  270. What can happen: Mouse Y directions are inverted.
  271. When does that happen: After copying itself 10 times.
  272. Reset-proof: Yes.
  273. Can copy to hard disk: No.
  274. Remark:  RUMOURED  to be made by someone called Pash in  Doncaster, 
  275.  England.  It is very widely spread (England,  Holland,  Sweden and 
  276.  West Germany in particular). It is also  called "Mouse" virus.
  277.  
  278. Virus #13
  279.  
  280. Name: 5th Generation Virus.
  281. Type: Memory-resident bootsector virus.
  282. Discovery date: December 6th 1988.
  283. Virus can copy to drive(s): A.
  284. Virus attaches itself to: Trap #13 vector.
  285. Disks can be immunized against it: Yes (executable).
  286. Immunizable with UVK: Yes.
  287. What can happen:  Writes trash in the first 34 sectors of a   disk, 
  288.  lethally corrupting the bootsector, FAT, and directory.
  289. When  does  that  happen:  When the virus  has  reached  its  fifth   
  290.  generation.
  291. Reset-proof: No.
  292. Can copy to hard disk: No.
  293.  
  294. Virus #14
  295.  
  296. Name: OLI Virus.
  297. Type: Reset-proof memory-resident bootsector virus.
  298. Discovery date: December 10th 1988.
  299. Virus can copy to drive(s): Boot device.
  300. Virus  attaches itself to:  Hdv_rw and trap #14 vector;  also  non-   
  301.  documented reset-resistant.
  302. Disks can be immunized against it: No.
  303. Immunizable with UVK: No.
  304. What  can happen:  The text "OLI-VIRUS installed ." appears on  the 
  305.  screen.  Then,  it starts slowing down the ST by hooking itself on 
  306.  an interrupt vector.  In certain cases,  it can also corrupt  disk 
  307.  data.
  308. When does that happen: After having made 20 copies of itself.
  309. Reset-proof: Yes.
  310. Can copy to hard disk: No.
  311.  
  312. Virus #15
  313.  
  314. Name: Maulwurf I Virus A (German TOS version).
  315. Discovery date: January 1st 1989.
  316. Symptoms  and remark:  See virus #8.  Only three  branch  addresses   
  317.  are different, so as to work on German instead of English TOS.
  318.  
  319. Virus #16
  320.  
  321. Name: Kobold #2 Virus.
  322. Type: Reset-proof memory-resident bootsector virus.
  323. Discovery date: January 2nd 1989.
  324. Virus can copy to drive(s): A (?).
  325. Virus attaches itself to:  Hdv_bpb and resvector;  Vbl_queue;  also 
  326.  undocumented reset-resistant.
  327. Disks can be immunized against it: No.
  328. Immunizable with UVK: No.
  329. What can happen:  The mouse X-direction will be slightly distorted, 
  330.  resulting in the user slowly moving it off the desk.  It might  do 
  331.  something more, but it is not known WHAT.
  332. When does that happen: ?.
  333. Reset-proof: Yes.
  334. Can copy to hard disk: No.
  335. Remark:  This is the toughest virus yet. Not many statements can be 
  336.  made  about  it with certainty.  It installs itself in  memory  on 
  337.  booting,  and only after ANOTHER reset will it install the vectors 
  338.  mentioned  above.  Then,  it  will also print the  text  "KOBOLD#2 
  339.  AKTIV!" (this leads to the belief that the virus is German).  What 
  340.  it  can  actually do more (besides copying itself and  that  mouse 
  341.  stuff),  and when it does that,  is unknown (but at least it  does 
  342.  not do anything with disk data).
  343.  
  344. Virus #17
  345.  
  346. Name: Mad Virus C.
  347. Discovery date: January 1989 (Frits Couwenberg).
  348. Symptoms: See virus #2.
  349. Remark:  Some  of  the last screen fiddle/sound  routines  in  this  
  350.  virus have been corrupted by alien code.  It will therefore  crash 
  351.  when these routines are executed.
  352.  
  353. Virus #18
  354.  
  355. Name: Mutant Antivirus #1 A.
  356. Discovery date: January 28th 1989.
  357. Symptoms:  Copies  itself  to  other  disks  (except  when  they're  
  358.  executable).  Some of the latter half of its code is corrupted  by  
  359.  alien code, however, and may/will result in a system crash.
  360. Remark: Read further for more info about anti-viruses.
  361.  
  362. Virus #19
  363.  
  364. Name: Goblin Virus.
  365. Type: Reset-proof memory-resident bootsector virus.
  366. Discovery date: April 3rd 1989 (Clive Duberley).
  367. Virus  can  copy to drive(s):  A or B (drive used  by  disk  access   
  368.  call).
  369. Virus  attaches  itself  to:   Hdv_bpb  and  resvector;  also  non-  
  370.  documented reset-resistant.
  371. Disks can be immunized against it: Yes (1A2.L $27182818).
  372. Immunizable with UVK: Yes.
  373. What  can  happen:  It puts the message "The Green  Goblins  Strike  
  374.  Again" on the screen; it can also mess up the display.
  375. When  does  that happen:  The message appears after 128  copies  of 
  376.  itself have been made; the messing up of the display is done after 
  377.  16 copies of itself have been made.
  378. Reset-proof: Yes.
  379. Can copy to hard disk: No.
  380. Remark: Probably made in England.
  381.  
  382. Virus #20
  383.  
  384. Name: Mutant Antivirus #1 B.
  385. Discovery Date: March 6th 1989 (Thomas Gathen).
  386. Symptoms:  System  crashes,  mainly.  This is just  a  gigantically  
  387.  busted AntiVirus #1,  and really can't do anything  decent.   Most 
  388.  probably doesn't even multiply...
  389.  
  390. Virus #21
  391.  
  392. Name: Counter Virus.
  393. Tyoe: Memory-resident bootsector virus.
  394. Discovery Date: May 1989.
  395. Virus can copy to drive(s): A or B (current drive).
  396. Virus attaches itself to: ?.
  397. Disks can be immunized against it: ?.
  398. Immunizable with UVK: ?.
  399. What can happen: Nothing.
  400. When does that happen: Never (would it?).
  401. Reset-proof: No.
  402. Can copy to hard disk: No.
  403. Symptoms:  This  virus keeps a generation counter,  but doesn't  do   
  404.  anything more.
  405.  
  406. Virus #22
  407.  
  408. Name: Help Virus.
  409. Type: Memory-resident bootsector virus.
  410. Discovery date: September 1988.
  411. Virus can copy to drive(s): None.
  412. Virus attaches itself to: ?.
  413. Disks can be immunized against it: ?.
  414. Immunizable with UVK: ?.
  415. What can happen: Screen is filled with bombs.
  416. When does that happen: At booting.
  417. Reset-proof: No.
  418. Can copy to hard disk: No.
  419. Remark:  No real virus, because it actually cannot multiply without 
  420.  external help.  Since it resides in the bootsector,  since another 
  421.  virus  killer  classified  it  as a  'virus'  and  since  it  does 
  422.  something a computer user would not like,  it is still listed here 
  423.  as a 'virus'.
  424.  
  425. Virus #23
  426.  
  427. Name: Exception Virus.
  428. Type: Reset-proof memory-resident bootsector virus.
  429. Discovery date: September 1988.
  430. Virus can copy to drive(s): A or B (current drive).
  431. Virus  attaches  itself to:  Hdv_bpb  vector,  undocumented  reset-  
  432.  resistant.
  433. Disks can be immunized against it: No.
  434. Immunizable with UVK: No.
  435. What  can happen:  System crashes due to random values  written  to   
  436.  random  memory locations.
  437. When  does  that happen:  About 22 minutes after a vbl  routine  is 
  438.  installed,  which  happens after accessing a  non-write  protected 
  439.  disk in drive A or B.
  440. Reset-proof: Yes.
  441. Can copy to hard disk: No.
  442. Remark: Does not work when Hdv_bpb points at an address below $FFFF 
  443.  (generally this is the case when a hard disk is installed). It was 
  444.  previously  also known as Random virus,  and it only works on  TOS 
  445.  1.00 and 1.02.
  446.  
  447. Virus #24
  448.  
  449. Name: Gauweiler Virus.
  450. Type: Reset-proof memory-resident bootsector virus.
  451. Discovery date: July 12th 1989 (Harald Wend).
  452. Virus can copy to drive(s): A or B (current drive).
  453. Virus attaches itself to: Hdv_bpb; undocumented reset-resistant.
  454. Disks can be immunized against it: No.
  455. Immunizable with UVK: No.
  456. What can happen: Writes "AIDS?" on the screen and zeroes track 1 of 
  457.  a  floppy  disk (irretrievably  destroying  bootsector,  FAT,  and 
  458.  directory).
  459. When does that happen: After the first reset after booting it.
  460. Reset-proof: Yes.
  461. Can copy to hard disk: No.
  462. Remark: Version 3.0 of this virus (version number contained in boot 
  463.  code)  is  supposed  to  be programmed  on  July  7th  1988  (also 
  464.  contained  in boot code).  So it was almost exactly one  year  old 
  465.  when it was discovered...
  466.  
  467. Virus #25
  468.  
  469. Name: Evil Virus.
  470. Type: Reset-proof memory-resident bootsector virus.
  471. Discovery date: May 23rd 1989 (Jeremy Hughes).
  472. Virus can copy to drive(s): A or B (current drive).
  473. Virus attaches itself to: Resetvector and Hdv_bpb.
  474. Disks can be immunized against it: Yes (0.L $60380666).
  475. Immunizable with UVK: No.
  476. What can happen: Screen colours inverted.
  477. When does that happen: After 100 copies of itself are made.
  478. Reset-proof: Yes.
  479. Can copy to hard disk: No.
  480. Remarks:  Contains the text " EVIL ! - A Gift from Old Nick". It is 
  481.  written in England.  Obviously,  the author acquired a copy  of an 
  482.  earlier version of the "Ultimate Virus Killer" - he made sure  the 
  483.  virus  was recognized to be an Atari system  disk!  Very  cleverly 
  484.  done, by using the  recognition bytes somewhere in the virus code. 
  485.  I  am glad to say  that we're now at least ONE step ahead of  this 
  486.  guy!
  487.  This virus is very often found in Scandinavian countries.
  488.  
  489. Virus #26
  490.  
  491. Name: P.M.S. Virus.
  492. Type: Reset-proof memory-resident bootsector virus.
  493. Discovery date: May 20th 1989 (Chris Dudley).
  494. Virus can copy to drive(s): A.
  495. Virus attaches itself to: XBIOS trap vector and reset vector.
  496. Disks can be immunized against it: Yes (1B4.L $2A2A2A20).
  497. Immunizable with UVK: Yes.
  498. What  can  happen:  Text "*** The Pirate Trap ***,  *  Youre  being 
  499.  watched *, *** (C) P.M.S. 1987 ***" (sic) appears on the screen.
  500. When  does  that happen:  At each fiftieth copy of itself  that  is   
  501.  made.
  502. Reset-proof: Yes.
  503. Can copy to hard disk: No.
  504. Remark:  Contains  a  copyright message for 1987  (!).  This  virus  
  505.  might  thus  be VERY old and it is a miracle that is  had  slipped  
  506.  through  the  attention  of ALL virus  killers  thus  far.  It  is  
  507.  thought  to  be made by a software vendor to prevent  people  from  
  508.  copying software in his shop.  Due to obvious reasons,  it is also 
  509.  called "Pirate Trap Virus".
  510.  This virus patched the XBIOS vector in such an effective way that, 
  511.  once the virus is in memory,  it even patches bootsector reads  to 
  512.  hide its presence.  It copies itself at each use of Floprd  (XBIOS 
  513.  8)!
  514.  
  515. Virus #27
  516.  
  517. Name: Ghost Virus B.
  518. Discovery date: June 15th 1989 (R. de Groen).
  519. Symptoms:  See  Virus  #12  (Ghost Virus).  This virus  has  a  few   
  520.  damaged bytes and will therefore crash easily.
  521.  
  522. Virus #28
  523.  
  524. Name: Arnold/Rambo Virus.
  525. Type: Memory-resident bootsector virus.
  526. Discovery date: November 1989.
  527. Virus can copy to drive(s): A or B (current drive).
  528. Virus attaches itself to: Hdv_bpb vector.
  529. Disks can be immunized against it: Yes (0.B $60).
  530. Immunizable with UVK: Yes.
  531. What can happen: Nothing.
  532. When does that happen: After five copies were made.
  533. Reset-proof: No.
  534. Can copy to hard disk: No.
  535. Remark:  This  virus was actually designed  to have  precisely  the 
  536.  same  effects as the Mad virus,  but due to a wrong branch  and  a 
  537.  non-working counter this does not work.
  538.  
  539. Virus #29
  540.  
  541. Name: Monitor Virus.
  542. Type: Reset-proof memory-resident bootsector virus.
  543. Discovery date: November 1989.
  544. Virus can copy to drive(s): A or B.
  545. Virus attaches itself to: ?.
  546. Disks can be immunized against it: ?.
  547. What can happen: Random lines are put on the screen.
  548. When does that happen: ?.
  549. Reset-proof: Yes.
  550. Can copy to hard disk: No.
  551. Symptoms:  Some  random  lines are put on  the  screen,  which  are 
  552.  probably meant to  hint at a busted monitor. Of course, this virus 
  553.  doesn't harm the monitor at all.
  554.  
  555. Virus #30
  556.  
  557. Name: Anti-ACA Virus.
  558. Type: Memory-resident bootsector virus.
  559. Discovery date: December 28th 1989.
  560. Virus can copy to drive(s): A or B (current drive).
  561. Virus attaches itself to: GEMDOS trap vector.
  562. Disks can be immunized against it: Yes (0.W $601C).
  563. Immunizable with UVK: No.
  564. What  can happen:  Text "GREETINGS TO ACA,  THE FIRST GROUP  TO  BE 
  565.  GREETED  IN A VIRUS!  (AND THEY ARE THE GUYS WHO MADE THE  1ST  ST 
  566.  VIRUS" on screen, followed by the computer crashing.
  567. When does that happen: After four copies of itself are made.
  568. Reset-proof: No.
  569. Can copy to hard disk: No.
  570. Remarks: This virus was written in Norway by someone called himself 
  571.  The  Lazy Lion (as were viruses  31-36!).  Actually,  unlike  this 
  572.  virus  claims,  the first virus on the ST was not that of the  ACA 
  573.  (but who cares).
  574.  All  these  viruses patch the GEMDOS trap  vector,  and  will  get 
  575.  active and/or copy themselves at any Fopen or Fsfirst GEMDOS call.
  576.  
  577. Virus #31
  578.  
  579. Name: Chopin Virus.
  580. Type: Memory-resident bootsector virus.
  581. Discovery date: December 28th 1989.
  582. Virus can copy to drive(s): A.
  583. Virus attaches itself to: GEMDOS trap vector.
  584. Disks can be immunized against it: No.
  585. Immunizable with UVK: No.
  586. What  can  happen:  Music  of Chopin's Death  March  start  playing 
  587.  endlessly and system freezes to a halt. At each music end, it also 
  588.  prints the message "FUCK! YOU'VE GOT A VIRUS!" on the screen.
  589. When does that happen: After 26 copies of itself are made.
  590. Reset-proof: No.
  591. Can copy to hard disk: No.
  592.  
  593. Virus #32
  594.  
  595. Name: Cookie Monster Virus A.
  596. Type: Memory-resident bootsector virus.
  597. Discovery date: December 28th 1989.
  598. Virus can copy to drive(s): A.
  599. Virus attaches itself to: GEMDOS trap vector.
  600. Disks can be immunized against it: No.
  601. Immunizable with UVK: No.
  602. What can happen:  Writes "YOU KNOW WHAT?  I WANT A COOKIE!" on  the 
  603.  screen,  and then waits for the user to type COOKIE.  After having 
  604.  done  this,  it will enable the user to continue whatever  he  was 
  605.  doing. After each 20 further copies, it appears again.
  606. When does that happen: After 30 copies of itself are made.
  607. Reset-proof: No.
  608. Can copy to hard disk: No.
  609.  
  610. Virus #33
  611.  
  612. Name: Cookie Monster Virus B.
  613. Type: Reset-proof memory-resident bootsector virus.
  614. Discovery date: December 28th 1989.
  615. Virus can copy to drive(s): A.
  616. Virus attaches itself to: GEMDOS trap vector and resvector.
  617. Disks can be immunized against it: No.
  618. Immunizable with UVK: No.
  619. What can happen: See virus #32.
  620. When does that happen: See virus #32.
  621. Reset-proof: Yes.
  622. Can copy to hard disk: No.
  623. Remark:  The  only difference with virus #32 is that it  is  reset-  
  624.  proof.
  625.  
  626. Virus #34
  627.  
  628. Name: Puke Virus A.
  629. Type: Memory-resident bootsector virus.
  630. Discovery date: December 28th 1989.
  631. Virus can copy to drive(s): A or B (current drive).
  632. Virus attaches itself to: GEMDOS trap vector.
  633. Disks can be immunized against it: Yes (0.W $601C).
  634. Immunizable with UVK: No.
  635. What can happen: First file deleted from current floppy drive.
  636. When does that happen: After five copies of itself are made.
  637. Reset-proof: No.
  638. Can copy to hard disk: No.
  639. Remark:  The  boot code also includes the address of a  well  known 
  640.  member of the ST society, who was supposed to be blackmailed using 
  641.  this virus (but who did NOT write it!).
  642.  
  643. Virus #35
  644.  
  645. Name: Puke Virus B.
  646. Type: Memory-resident bootsector virus.
  647. Discovery date: December 28th 1989.
  648. Virus can copy to drive(s): A or B (current drive).
  649. Virus attaches itself to: XBIOS trap vector.
  650. Disks can be immunized against it: Yes (19E.L $70756B65).
  651. Immunizable with UVK: Yes.
  652. What can happen: Track 1 gets the memory contents of $78000 (screen 
  653.  memory  on  half  meg  machines)  written  on  it   (irretrievably 
  654.  corrupting bootsector, FAT and directory sectors).
  655. When  does that happen:  After making five copies  of  itself,  and   
  656.  then after each second copy.
  657. Reset-proof: No.
  658. Can copy to hard disk: No.
  659. Remark: See virus #34.
  660.  
  661. Virus #36
  662.  
  663. Name: Upside Down Virus.
  664. Type: Memory-resident bootsector virus.
  665. Discovery date: December 28th 1989.
  666. Virus can copy to drive(s): A or B (current drive).
  667. Virus attaches itself to: GEMDOS trap vector.
  668. Disks can be immunized against it: Yes (0.W $601C).
  669. Immunizable with UVK: No.
  670. What can happen: Screen turns upside down.
  671. When does that happen:  After four copies of itself are made,   and 
  672.  then after each second copy.
  673. Reset-proof: No.
  674. Can copy to hard disk: No.
  675. Remark:  Due to a small bug, it seems to write only non- executable 
  676.  copies of itself?
  677.  
  678. Virus #37
  679.  
  680. Name: Mutant Antivirus #4.
  681. Discovery date: Autumn 1989.
  682. Symptoms:  As  this is an anti-virus with almost 50 percent of  its 
  683.  code destroyed, it probably only crashes the system on boot-up.
  684.  
  685. Virus #38
  686.  
  687. Name: G-DATA Virus.
  688. Type: Memory-resident bootsector virus.
  689. Discovery date: May 5th 1990.
  690. Virus can copy to drive(s): A or B (current drive).
  691. Virus attaches itself to: Hdv_bpb vector.
  692. Disks can be immunized against it: Yes (0.B $60).
  693. Immunizable with UVK: Yes.
  694. What can happen: Nothing.
  695. Reset-proof: No.
  696. Can copy to hard disk: No.
  697. Remark:  This  virus was not written by G-Data (which is  a  German 
  698.  company that has also made a virus killer),  but owes its name  to 
  699.  the fact that it contains the message "ANTI-VIREN KIT 3KEIN  VIRUS 
  700.  IM  BOOTSECTOR"  (translation:  "ANTI-VIREN KIT 3NO VIRUS  IN  THE 
  701.  BOOTSECTOR"), suggesting that it is a disk immunized by the G-Data 
  702.  virus  killer (which,  of course,  it isn't).  It's based  on  the 
  703.  Exception Virus.
  704.  
  705. Virus #39
  706.  
  707. Name: Media Change Virus.
  708. Type: Reset-proof memory-resident bootsector viruses.
  709. Discovery date: October 27th 1989.
  710. Virus can copy to drive(s): All boot devices.
  711. Virus  attaches  itself to:  Mediach  (Media  Change)  vector,  and    
  712.  undocumented reset-resistant.
  713. Disks can be immunized against it: Yes (executable).
  714. Immunizable with UVK: Yes.
  715. What can happen: Text turns to screen colour.
  716. When does that happen: Every fifth copy.
  717. Reset-proof: Yes.
  718. Can copy to hard disk: Yes.
  719. Remark:  Since  it  does not check for drives higher  than  B,  and  
  720.  since it uses the BIOS Rwabs call,  it can also copy to hard  disk 
  721.  when you have booted from that!
  722.  
  723. Virus #40
  724.  
  725. Name: Ghost Virus C.
  726. Discovery date: March 9th 1990.
  727. Remark: A version of the original Ghost Virus in which three  bytes 
  728.  have been corrupted, causing the branch to be (non-fatally) misled 
  729.  and the mouse reversion routine to malfunction.  It copies without 
  730.  any problems, though, and is indeed reset-proof.
  731.  
  732. Virus #41
  733.  
  734. Name: Bat Virus.
  735. Type:  Non-executable reset-proof memory-resident bootsector   call 
  736.  virus.
  737. Discovery date: March 17th 1990 (George Woodside).
  738. Virus can copy to drive(s): Current drive.
  739. Virus  attaches itself to:  Hdv_bpb vector,  timer  vectors,  reset   
  740.  vector. Also undocumented reset-resistant.
  741. Disks can be immunized against it: No.
  742. Immunizable with UVK: No.
  743. What can happen:  Last sectors of directory can be destroyed if the 
  744.  directory is very long.  The mouse pointer will turn into a batman 
  745.  logo.
  746. When  does that happen:  The directory bit can happen each time  it 
  747.  copies itself; the mouse pointer will change after one hour.
  748. Reset-proof: Yes.
  749. Can copy to hard disk: ?.
  750. Remark: Written by some kid for a French journalist. He's an author 
  751.  who has e.g.  written articles about viruses,  and he has probably 
  752.  done  this virus to check how fast they can multiply and to  check 
  753.  how good virus killers are.  Previously, this virus was considered 
  754.  to  be 100% safe by ALL virus killers,  as the bootsector  is  NOT 
  755.  executable  - yet it is a bootsector virus!  It is really  a  very 
  756.  ingenious viruses, but the "Ultimate Virus Killer" is ahead of its 
  757.  prey!
  758.  
  759. Virus #42
  760.  
  761. Name: Grim Reaper Virus.
  762. Type: Memory-resident bootsector virus.
  763. Discovery date: May 9th 1990 (John).
  764. Virus can copy to drive(s): Drive A only.
  765. Virus attaches itself to: Hdv_bpb vector.
  766. Disks can be immunized against it: Yes (0.W $6A38, 3A.W $41FA).
  767. Immunizable with UVK: No.
  768. What can happen:  De-installs itself,  screws up the screen, prints 
  769.  garbage  on the screen and writes to contents of memory at  $78000 
  770.  (screen address on half megabyte machines) to the first 20 sectors 
  771.  of a disk, lethally corrupting bootsector, FAT and directory.
  772. When does that happen: After 47 copies of itself are made.
  773. Reset-proof: No.
  774. Can copy to hard disk: No.
  775. Remark:  A  nasty one,  this virus.  Its installation structure  is 
  776.  identical  with  George Woodside's Antivirus  "VKill  Guard".  The 
  777.  bootsector also contains the text " -= The Jumper strikes again =- 
  778.  Pirates, the grim reaper draws near  ".
  779.  
  780. Virus #43
  781.  
  782. Name: Megacunt V2.0 virus.
  783. Type: Memory-resident bootsector virus.
  784. Discovery date: December 1989 (Dave Moss).
  785. Virus can copy to drive(s):  Current drive (floppy only), and  only 
  786.  to immunized disks.
  787. Virus attaches itself to: Hdv_bpb vector.
  788. Disks can be immunized against it: No.
  789. Immunizable with UVK: No.
  790. What  can  happen:  Acid-colours will be on the  background  screen   
  791.  colour, done by the level 4 interrupt.
  792. When does that happen: After 20 copies of itself are made.
  793. Reset-proof: No.
  794. Can copy to hard disk: No.
  795. Remark:  Written  by a chap calling himself  Alcoholica,  and  only  
  796.  copies  to immunized disks (!crikey!).  Several other versions  of 
  797.  this virus are believed to exist, but none have been sighted.
  798.  
  799. Virus #44
  800.  
  801. Name: Horror Virus.
  802. Type:  Non-executable reset-proof memory-resident bootsector   call 
  803.  virus.
  804. Discovery date: August 23rd 1990.
  805. Virus can copy to drive(s): Drive A.
  806. Virus  attaches itself to:  Hdv_bpb vector,  timer C  vector.  Also   
  807.  undocumented reset-resistant.
  808. Disks can be immunized against it: No.
  809. Immunizable with UVK: No.
  810. What can happen: Screen will switch colours, sound will be  heard.
  811. When  does  that happen:  At a certain time  after  copying  itself   
  812.  five times.
  813. Reset-proof: Yes.
  814. Can copy to hard disk: No.
  815. Remark:  Written  by  a  member of ULM  from  Luxemburg,  for  test 
  816.  purposes. He did this early spring 1990. It has never been spread, 
  817.  but he gave it to me 'just in case'.  Previously,  this virus  was 
  818.  considered to be 100% safe by ALL virus killers, as the bootsector 
  819.  is  NOT  executable - yet it is a bootsector  virus  (see  'Batman 
  820.  Virus')!
  821.  
  822. Virus #45
  823.  
  824. Name: DJA Virus.
  825. Type: Memory-resident bootsector virus.
  826. Discovery date: Summer 1990.
  827. Virus can copy to drive(s): Current drive.
  828. Virus attaches itself to: Hdv_bpb vector.
  829. Disks can be immunized against it: Yes (0.W $6038).
  830. Immunizable with UVK: Yes.
  831. What  can  happen:  Message  will be displayed on  screen  ("Du  ar 
  832.  smetted  av  DJA viruset  Generatio....(generation  number)")  and 
  833.  system will lock up.
  834. When does that happen: After a fourth disk is found with the  virus 
  835.  on  it  (or  any disk starting with $6038  -  including  immunized 
  836.  ones!).
  837. Reset-proof: No.
  838. Can copy to hard disk: Yes.
  839. Remark:  Written in Norway or Denmark,  as the text it prints means 
  840.  "You are infected by the DJA virus" in one of these languages).  A 
  841.  good  thing  is  that it does not copy to immunized  disks  -  but 
  842.  unfortunately  these immunized disks DO trigger the  'destruction' 
  843.  routine!
  844.  
  845. Virus #46
  846.  
  847. Name: TOI Virus.
  848. Type: Reset-proof memory-resident bootsector virus.
  849. Discovery date: November 10th 1990 (George Woodside).
  850. Virus can copy to drive(s): Current drive.
  851. Virus attaches itself to: Hdv_bpb and resvector; it is also    non-
  852.  documented reset-resistant.
  853. Disks can be immunized against it: No.
  854. Immunizable with UVK: No.
  855. What  can happen:  Inverts the vertical mouse movements (just  like 
  856.  the  "Ghost" virus which is it's previrus).  After that,  it  also 
  857.  toggles  the  bits  of a random memory  location  (this  leads  to 
  858.  unpredictable crashes and small things going wrong).
  859. When does that happen: After five copies of itself have been  made.
  860. Reset-proof: Yes.
  861. Can copy to hard disk: No.
  862. Remark: An  adapted versions of the "Ghost" virus.  The name  comes 
  863.  from the TOI programming group in Denver,  Colorado,  USA, who are 
  864.  reported to be be responsible for this one.
  865.  
  866. Virus #47
  867.  
  868. Name: Flying Chimp Virus.
  869. Type: Memory-resident bootsector virus.
  870. Discovery date: December 15th 1990 (Les Neidig).
  871. Virus can copy to drive(s): Drive A.
  872. Virus attaches itself to: Hdv_bpb vector.
  873. Disks can be immunized against it: No.
  874. Immunizable with UVK: No.
  875. What can happen:  Message will be displayed on screen ("Zapped   by 
  876.  Waldo the Flying Chimp!").
  877. When does that happen: After it has multiplied itself five   times, 
  878.  or when it has had 20 bootsector accesses.
  879. Reset-proof: No.
  880. Can copy to hard disk: No.
  881. Remark: Thought to have been written in the USA. Also known as  the 
  882.  "Waldo Virus".
  883.  
  884. Virus #48
  885.  
  886. Name: Reset Virus.
  887. Type: Memory-resident bootsector virus.
  888. Discovery date: Summer 1988 (Volker Söhnitz).
  889. Virus can copy to drive(s): ?.
  890. Virus attaches itself to: Hdv_bpb, Hdv_rw and Hdv_mediach  vectors.
  891. Disks can be immunized against it: No.
  892. Immunizable with UVK: No.
  893. What can happen: It writes a message "Ihr Rechner hat Aids" (German 
  894.  for  "Your computer has AIDS") on the screen and then freezes  the 
  895.  system.
  896. When does that happen: Three hours after booting.
  897. Reset-proof: No.
  898. Can copy to hard disk: No.
  899. Remark: Strangely  enough,  this  virus will not copy  itself  when 
  900.  you've  got a cartridge installed with the word "Dent" at  address 
  901.  $FA0066.
  902.  
  903. Virus #49
  904.  
  905. Name: MAD Virus B.
  906. Discovery date: December 1987 (Volker Söhnitz).
  907. Symptoms: See virus #2.
  908. Remark: Published  in a magazine called "Atari  Spezial"  (German), 
  909.  and  therefore  also known under the name "Atari  Spezial  Virus". 
  910.  This is the original MAD virus,  which is exactly the same as  MAD 
  911.  virus A (which was spread the most) except for the offset of  most 
  912.  code.  It  was  written by J.  Schuppener,  and it  was  published 
  913.  towards  the end of the year 1987 in the mentioned  magazine.  The 
  914.  magazine  now seems to be defunct,  but the publisher used  to  be 
  915.  CAV-GmbH, He₧stra₧e 90, D-8000 München, Germany.
  916.  
  917. Virus #50
  918.  
  919. Name: Ghost Virus D.
  920. Discovery date: February 17th 1990.
  921. Symptoms:  See  Virus  #12  (Ghost Virus).  This virus  has  a  few   
  922.  damaged bytes and will not work properly - may even crash.
  923.  
  924. Virus #51
  925.  
  926. Name: Ghost Virus E.
  927. Discovery date: April 1991.
  928. Symptoms:  Principally it's the same as the Ghost Virus (#12),  but 
  929.  the  symptoms are different.  It does something with the  vertical 
  930.  blank queue and leaves the mouse alone.  Unfortunately the precise 
  931.  symptoms  are unknown as the copies of this virus that were  found 
  932.  were both damaged.
  933.  
  934. Virus #52
  935.  
  936. Name: Ghost virus F.
  937. Discovery date: April 1991.
  938. Symptoms: See virus #12 (Ghost Virus), Unfortunately, there is some 
  939.  corrupted  code in the virus copy routine so that it can  cause  a 
  940.  disk to be corrupted (the bootsector can be written  wrongly,  not 
  941.  corrupting the actual data but making it inaccessible).
  942.  
  943. Virus #53
  944.  
  945. Name: Megaguru & Argo 2 Virus.
  946. Type: Memory-resident bootsector virus.
  947. Discovery date: June 22nd 1991 (Paolo Munarin).
  948. Virus can copy to drive(s): A or B (current drive).
  949. Virus attaches itself to: Hdv_bpb vector.
  950. Disks can be immunized against it: No.
  951. Immunizable with UVK: No.
  952. What can happen:  At booting,  writes the text "* MEGAGURU & ARGO 2 
  953.  001  * ANTEPRIME ATARI E AMIGA PRESENTANO :" on the  screen.  When 
  954.  things go 'wrong' the screen inverts and a bleep sounds.
  955. When does that happen:  At each disk with an executable  bootsector 
  956.  that is accessed - with the exception of disks that have the virus 
  957.  on them.
  958. Reset-proof: No.
  959. Can copy to hard disk: No.
  960. Remark:  This  virus is from Italy.  It was found on a  disk  which 
  961.  contained a text file from a hacker called Megaguru,  who  (quote) 
  962.  "would like to swap Amiga and ST software".  Even his phone number 
  963.  was on it!
  964.  
  965. Virus #54
  966.  
  967. Name: Ghost virus G.
  968. Discovery date: June 1991 (Kai Holst).
  969. Symptoms:  See virus #12 (Ghost Virus). This seems to be an adapted 
  970.  version  of  the Ghost Virus,  and the pre-virus  to  most  recent 
  971.  mutant Ghost Viruses (of which there are rather an absurd lot).
  972.  
  973. Virus #55
  974.  
  975. Name: Finland Virus.
  976. Type: Memory-resident reset-proof bootsector virus.
  977. Discovery date: Early July 1991 (Steffen Fischer).
  978. Virus can copy to drive(s): A.
  979. Virus  attaches  itself  to:   Hdv_bpb  vector,   resvector.   Also   
  980.  undocumented reset-resistant.
  981. Disks can be immunized against it: Yes (executable).
  982. Immunizable with UVK: Yes.
  983. What can happen:  Fiddling with the screen colours (this comes down 
  984.  to the green and white colours of the desktop being reversed  when 
  985.  in colour mode).
  986. When does that happen: After is has done each 12th copy of  itself. 
  987.  The virus only copies to non-executable disks, or executable disks 
  988.  that have viral symptoms (i.e.  other viruses and itself) or  that 
  989.  have the word 'Boot' contained at hexadecimal offset $82 (any disk 
  990.  'protected'  by  the boot program of the German  PD  virus  killer 
  991.  "Sagrotan" has the word 'Boot' at this offset!).
  992. Reset-proof: Yes.
  993. Can copy to hard disk: No.
  994. Remark: This  virus was coded by a chap called  Toubab,  on  August 
  995.  30th 1990. It got sent to me by two people almost at the same time 
  996.  after  the  virus  was almost  one  year  old!  Both  occurrences, 
  997.  however,  were in Scandinavia (i.e. disks from Finland and Norway) 
  998.  so this leads me to believe it was written in Scandinavia.  It was 
  999.  a  real  pain  in the posterior,  as it started  with  a  longword 
  1000.  '00000000'  value,  that lead the "Ultimate Virus Killer"  to  not 
  1001.  finding it suspect!
  1002.  
  1003. Virus #56
  1004.  
  1005. Name: Ghost virus H.
  1006. Discovery date: August 5th 1991 (Harald Uenzelmann).
  1007. Symptoms:  See virus #12 (Ghost Virus). This is principally exactly 
  1008.  the same as the standard Ghost Virus, but someone apparently found 
  1009.  it necessary to change the Branch into BLS instead of BRA -  which 
  1010.  has the same result when executed but which effectively caused  it 
  1011.  not to be recognized.
  1012.  
  1013. Virus #57
  1014.  
  1015. Name: Signum virus C.
  1016. Discovery date: September 25th 1991 (Darren Laidler).
  1017. Symptoms:  See virus #1 (Signum virus A).  This is exactly the same 
  1018.  with regard to symptoms and the way it works.  The only reason why 
  1019.  it  is  basically different is that someone (probably  someone  in 
  1020.  England)  optimized it a bit,  and some machine code  instructions 
  1021.  have been replaced by others.
  1022.  
  1023. Virus #58
  1024.  
  1025. Name: Joe Virus.
  1026. Type: Memory-resident bootsector virus.
  1027. Discovery date: November 25th 1991 (ACN).
  1028. Virus can copy to drive(s): Current floppy drive (A or B).
  1029. Virus attaches itself to: Hdv_bpb vector.
  1030. Disks can be immunized against it: Yes (0.W $4E71).
  1031. Immunizable with UVK: No.
  1032. What can happen:  When it finds itself with a specific value in the 
  1033.  fourth  and fifth byte,  it will execute  itself  again,  probably 
  1034.  cluttering up the system.
  1035. When does that happen:  When it finds itself again,  and then every 
  1036.  second time.
  1037. Reset-proof: No.
  1038. Can copy to hard disk: No.
  1039. Remark:  As  this virus has no particular characteristics,  it  was 
  1040.  called  "Joe Virus" as I was listening to Jimi Hendrix' "Hey  Joe" 
  1041.  when I disassembled it.
  1042.  
  1043. Virus #59
  1044.  
  1045. Name: Directory Waster Virus.
  1046. Type: Reset-proof memory-resident bootsector virus.
  1047. Discovery date: Unknown (Michael Schussler).
  1048. Virus can copy to drive(s): Current floppy drive (A or B).
  1049. Virus  attaches  itself  to:   Hdv_bpb  vector,   resvector;   also   
  1050.  undocumented reset-resistant.
  1051. Disks can be immunized against it: No.
  1052. Immunizable with UVK: No.
  1053. What  can happen:  First twenty tracks of your disk  get  destroyed  
  1054.  (both  side  0  and side 1!) When does  that  happen:  After  each  
  1055.  twentieth copy it made of itself.
  1056. Reset-proof: Yes.
  1057. Can copy to hard disk: No.
  1058. Remark: The name is quite improper,  as it destroys about 25% of  a 
  1059.  disk  and  not just the  directory.  Initially,  this  virus  only 
  1060.  installs  itself  on the standard reset vector.  After  the  first 
  1061.  reset,  it bends the hdv_bpb vector and becomes reset-resistant in 
  1062.  the undocumented way.
  1063.  
  1064. Virus #60
  1065.  
  1066. Name: Merlin's Mad Virus.
  1067. Type: Memory-resident bootsector programme.
  1068. Discovery date: Unknown (Mike Mee).
  1069. Virus can copy to drive(s): Not at all.
  1070. Virus attaches itself to: Nowhere.
  1071. Disks can be immunized against it: No need to immunize.
  1072. Immunizable with UVK: Not applicable.
  1073. What can happen:  See the Mad Virus - it does the same things  with 
  1074.  the screen and/or makes a sound.
  1075. When  does that happen:  When booting with a disk  containing  this   
  1076.  'virus'.
  1077. Reset-proof: Not applicable (i.e. "no").
  1078. Can copy to hard disk: Not applicable.
  1079. Remark: This is no virus at all, but it has been classified here as 
  1080.  Mike  Mee  sent  it  to me who classifies it as  a  virus  in  his 
  1081.  "Professional  Virus Killer" programme.  It was written by  Merlin 
  1082.  the  Welsh  Wizard,  and it's TOTALLY HARMLESS.  It can  not  copy 
  1083.  itself,  and  only  fiddles  around with the screen  in  the  same 
  1084.  fashion as the "MAD Virus" after which it is called.
  1085.  
  1086. Virus #61
  1087.  
  1088. Name: Wolf Virus.
  1089. Type: Memory-resident bootsector virus.
  1090. Discovery date: February 4th 1991 (Carsten Frischkorn).
  1091. Virus can copy to drive(s): Current floppy drive (A or B).
  1092. Virus attaches itself to: BIOS vector.
  1093. Disks can be immunized against it: Yes (0.W $EB34).
  1094. Immunizable with UVK: No.
  1095. What can happen:  RAM memory amount it halved (this does not  imply 
  1096.  you  actually LOSE RAM,  it just means that it makes the  computer 
  1097.  THINK it has less RAM!).
  1098. When does that happen: After the eighth generation is found.
  1099. Reset-proof: No.
  1100. Can copy to hard disk: No.
  1101. Remark:  A rather nasty virus. For starters, it starts off with the 
  1102.  bytes  you'd  normally find on an  MS-DOS  disk,  i.e.  all  virus 
  1103.  killers think it's an MS-DOS bootsector. Second, it fools the user 
  1104.  by  putting the message "Kein Virus im bootsector!" on the  screen 
  1105.  at booting.  This is the boot message of the virus-free bootsector 
  1106.  of the German virus killer "Sagrotan". It de-installs itself after 
  1107.  three infections (i.e.  your computer will think you've got  1/8th 
  1108.  of your actual amount of RAM memory by then!).
  1109.  
  1110. Virus #62
  1111.  
  1112. Name: Ghost virus I.
  1113. Discovery date: October 5th 1991 (Frank Jonkers).
  1114. Symptoms: See virus #12 (Ghost Virus), Unfortunately, there is some 
  1115.  corrupted  code in the virus copy routine so that it can  cause  a 
  1116.  disk to be corrupted (the bootsector can be written  wrongly,  not 
  1117.  corrupting the actual data but making it inaccessible).
  1118.  
  1119. Virus #63
  1120.  
  1121. Name: Menace Virus.
  1122. Type: Reset-proof memory-resident bootsector call virus.
  1123. Discovery date: Spring 1992 (David of H-Street).
  1124. Virus can copy to drive(s): Current floppy drive (A or B).
  1125. Virus  attaches  itself  to:   Xbios  vector,  Hdv_bpb  vector  and  
  1126.  interrupt level 4 interrupt; also undocumented reset-resistant.
  1127. Disks can be immunized against it: No.
  1128. Immunizable with UVK: No.
  1129. What  can  happen:  Overwrites the bootsector of your  floppy  disk   
  1130.  with a message in an Elfish language (Tolkien).
  1131. When does that happen: After having made ten copies ot itself.
  1132. Resetproof: Yes.
  1133. Can copy to harddisk: No.
  1134. Remark:  This virus uses TWO sectors on disk, sector 1 and 10. It's 
  1135.  rather  cleverly written and thought to come from  Malta.  Several 
  1136.  versions are believed to exist.
  1137.  
  1138. Virus #64
  1139.  
  1140. Name: Ashton Nirvana Virus.
  1141. Type: Reset-proof memory-resident bootsector virus.
  1142. Discovery date: Spring 1992 (David of H-Street).
  1143. Virus can copy to drive(s): Current floppy drive (A or B).
  1144. Virus  attaches  itself  to:   Hdv_bpb  vector;  also  undocumented   
  1145.  reset-resistant.
  1146. Disks can be immunized against it: No.
  1147. Immunizable with UVK: No.
  1148. What can happen: Random sectors will be read from the current drive 
  1149.  (including hard disk!) and written back with the word "ASHTON"  in 
  1150.  it.  This obviously corrupts your media, at one sector per Hdv_bpb 
  1151.  use.
  1152. When does that happen:  Each time a floppy/hard disk is read   from 
  1153.  or written to.
  1154. Resetproof: Yes.
  1155. Can copy to harddisk: No.
  1156. Remark:  Perhaps  this virus was written by the same person as  the 
  1157.  "Menace" virus.  It's a nasty one as it can corrupt hard disks  as 
  1158.  well!
  1159.  
  1160. Virus #65
  1161.  
  1162. Name: Lietuva Virus.
  1163. Type: Reset-proof memory-resident bootsector virus.
  1164. Discovery date: Spring 1992 (Paragraph Headquarters).
  1165. Virus can copy to drive(s): Current floppy drive (A or B).
  1166. Virus   attaches  itself   to:   Vbl   queue,   resetvector;   also   
  1167.  undocumented reset-resistant.
  1168. Disks can be immunized against it: No.
  1169. Immunizable with UVK: No.
  1170. What can happen: Bootsector will be zeroed.
  1171. When does that happen:  After the first eight copies of itself  are 
  1172.  made, and every six copies afterwards. A copy is made every time a 
  1173.  disk's bootsector is read/written.
  1174. Resetproof: Yes.
  1175. Can copy to harddisk: No.
  1176. Remark:  Written by a chap in the former U.S.S.R.  who now lives in 
  1177.  Lithuania. It does not bend any actual system variable which makes 
  1178.  it rather revolutionary.
  1179.  
  1180. Virus #66
  1181.  
  1182. Name: Signum virus D.
  1183. Discovery date: March 25th 1992 (Volker Söhnitz).
  1184. Remark:  This  is  an optimized version of the  original  Signum  A 
  1185.  virus,  which  is also somewhat smaller in size.  It is no  longer 
  1186.  immunizable with the standard Signum immunization (0.W $6038)  but 
  1187.  instead requires to be immunized with 2.W $07C4.  This effectively 
  1188.  makes  it  impossible  to immunize it  with  the  "Ultimate  Virus 
  1189.  Killer"...
  1190.  
  1191. Virus #67
  1192.  
  1193. Name: Zorro Virus A.
  1194. Type: Reset-proof memory-resident bootsector virus.
  1195. Discovery date: June 1992 (P. van Zanten)
  1196. Virus can copy to drive(s): Current floppy drive (A or B).
  1197. Virus  attaches itself to:  Hdv_rw,  Hdv_bpb,  resvector  and  also 
  1198.  undocumented reset-resistant.
  1199. Disks can be immunized against it: No.
  1200. Immunizable with UVK: No.
  1201. What can happen: System will lock itself.
  1202. When does that happen: After a specific number of copies are made.
  1203. Resetproof: Yes.
  1204. Can copy to harddisk: No.
  1205. Remark:  A very complex virus that evaded virus killers  previously 
  1206.  by  being recognized as an MS-DOS bootsector.  It's heavily  coded 
  1207.  and  installs itself in memory in a very complex way.  On  top  of 
  1208.  that it seems capable of installing differently coded versions  of 
  1209.  itself so that per definition each copy of this virus differs from 
  1210.  all other copies of it.
  1211.  
  1212. Virus #68
  1213.  
  1214. Name: Zoch Virus.
  1215. Type: Memory-resident bootsector virus.
  1216. Discovery date: December 1992.
  1217. Virus can copy to drive(s): Current floppy drive (A or B).
  1218. Virus attaches itself to: Hdv_bpb.
  1219. Disks can be immunized against it: Yes (0.L $5A4F4348, "ZOCH").
  1220. Immunizable with UVK: No.
  1221. What can happen:  Text on screen (The Night Force Virus Breaker  by 
  1222.  Zoch), and copies itself.
  1223. When  does that happen:  Text appears on  installation.  It  copies 
  1224.  itself to all disk it is not on already.
  1225. Resetproof: No.
  1226. Can copy to harddisk: No.
  1227. Remark:  To  all  intent and purpose this virus was written  as  an 
  1228.  antivirus.  Unfortunately it copies itself across ALL  bootsectors 
  1229.  it  finds  with the exception of ones it  finds  itself  on.  This 
  1230.  means that it will destroy any previous program in the bootsector, 
  1231.  whether needed or virus!
  1232.  
  1233. Virus #69
  1234.  
  1235. Name: Macumba 3.3 Virus.
  1236. Type: Reset-proof memory-resident bootsector virus.
  1237. Discovery date: February 1993 (Chris Brookes).
  1238. Virus can copy to drive(s): Current floppy drive (A or B).
  1239. Virus attaches itself to: Hdv_bpb, undocumented reset-resistant.
  1240. Disks can be immunized against it: No.
  1241. Immunizable with UVK: No.
  1242. What can happen: The system freezes totally and abruptly.
  1243. When does that happen:  After a specific number of copies have been 
  1244.  made of itself.
  1245. Resetproof: Yes.
  1246. Can copy to harddisk: No.
  1247. Remark: This virus also codes itself and also fakes to be an MS-DOS 
  1248.  disk (just like the Zorro Virus). Quite naughty.
  1249.  
  1250. Virus #70
  1251.  
  1252. Name: Zorro Virus B.
  1253. Discovery date: February 17th 1993 (Kenneth Elofsson)
  1254. Remark:   Virtually  identical  to  Zorro  Virus  A,  so  refer  to 
  1255.  information given there. Only a few bytes have been changed.
  1256.  
  1257. Virus #71
  1258.  
  1259. Name: Beilstein Virus.
  1260. Type: Reset-proof memory-resident bootsector call virus.
  1261. Discovery date: March 16th 1993 (Volker Söhnitz).
  1262. Virus can copy to drive(s): Current floppy drive (A or B).
  1263. Virus attaches itself to:  Hdv_bpb,  Vbl_queue,  Hdv_rw,  Hdv_boot, 
  1264.  Gemdos,  Xbios,  regularly reset-resistant AND undocumented reset-
  1265.  resistant.
  1266. Disks can be immunized against it: No.
  1267. Immunizable with UVK: No.
  1268. What  can happen,  and when:  1) It can delete specific files  when 
  1269.  these are loaded by the user. These files are 'SAGROTAN', 'MDISK', 
  1270.  'FCOPYIII',   'FCOPY3??',   'DISKUS',  'DISKDEMO',  'TED_???'  and 
  1271.  'G_COPY', 2) It can clear partition "C" of your hard disk when the 
  1272.  virus  in memory discovers that you are trying to trace it  (trace 
  1273.  bit set,  for example in a debugger),  3) It can create garbage on 
  1274.  your screen,  4) Keyboard,  mouse and joystick can be disabled, 5) 
  1275.  Mouse movements can be inverted (like with the "Ghost Virus"),  6) 
  1276.  Printer output can be corrupted, 7) Modem output can be corrupted, 
  1277.  8) A bomb error can be created,  9) The system can be frozen until 
  1278.  you  enter the password "Apokalypse",  10) Memory can be  cleared, 
  1279.  followed  by a reset,  11) The first hundred sectors of  a  floppy 
  1280.  disk  can be cleared,  and 12) It can delete a folder.  These  are 
  1281.  quite an amount of things that can go wrong!
  1282. Resetproof: Yes.
  1283. Can copy to harddisk: No.
  1284. Remarks:  This virus also codes itself and also fakes to be an  MS-
  1285.  DOS  disk (just like the Zorro Virus).  On top of that it uses  an 
  1286.  ingenious  system  where bits of its code are swapped  around  and 
  1287.  where  different bootsector offsets are used to make things  extra 
  1288.  difficult.  Even  when  not  yet coded,  there  are  at  least  10 
  1289.  different  versions that this virus can generate of  itself.  With 
  1290.  coding added,  over 650,000 versions of this virus can exist.  But 
  1291.  that's not everything:  The bootsector that was on the disk before 
  1292.  it got infected (e.g.  a virus free disk) is stored somewhere else 
  1293.  and executed after the virus installs itself.  This means that the 
  1294.  message  "this is a virus free disk" will STILL appear even  after 
  1295.  the disk has been infected! It is a very complex virus that, apart 
  1296.  from  the  bootsector,  uses four other sectors on disk  that  are 
  1297.  marked  BAD in the FAT to make sure they're not  overwritten.  The 
  1298.  use  of  these four extra sectors enable the virus  to  be  bigger 
  1299.  (hence the many different destruction routines) and also allow  it 
  1300.  to buffer the original bootsector previously present on the  disk. 
  1301.  The  last  naughty bit about this virus is  that,  when  it  bends 
  1302.  system  variables,  it supplies regular XBRA ID codes  of  popular 
  1303.  harmless  applications to itself (for example  HABO,  VREP,  VIRA, 
  1304.  CB2K,  SBTS  and  WINZ).  The "Ultimate  Virus  Killer"  correctly 
  1305.  recognizes it anyway!
  1306.  This is without a doubt the most nasty virus yet.  It was  written 
  1307.  by  a student from Beilstein,  a town in South Germany (hence  its 
  1308.  name).  It  has  only  been  supplied  to  specific  virus  killer 
  1309.  programmers and has so far not actually been spread as such. Let's 
  1310.  hope it will stay that way!
  1311.  
  1312. Virus #72
  1313.  
  1314. Name: Temporary Madness Virus.
  1315. Type: Reset-proof memory-resident bootsector virus.
  1316. Discovery date: March 16th 1993 (Volker Söhnitz).
  1317. Virus can copy to drive(s): Current floppy drive (A or B).
  1318. Virus attaches itself to: Hdv_bpb, undocumented reset-resistant.
  1319. Disks can be immunized against it: No.
  1320. Immunizable with UVK: No.
  1321. What can happen,  and when:  Every 65536 vertical blanks (on colour 
  1322.  that means about every 22 minutes) the mouse movement is  inverted 
  1323.  for about 10 seconds.
  1324. Resetproof: Yes.
  1325. Can copy to harddisk: No.
  1326. Remark:  In Germany,  this virus is known as the "Mouse Coordinate" 
  1327.  virus.
  1328.  
  1329. Virus #73
  1330.  
  1331. Name: Darkness Virus (Nightmare of Brooklyn #2 'Darkness').
  1332. Type: Reset-proof memory-resident bootsector virus.
  1333. Discovery date: July 17th 1993 (Piotr Kowalczyk).
  1334. Virus can copy to drive(s): Current floppy drive (A or B).
  1335. Virus attaches itself to:  Hdv_bpb,  undocumented  reset-resistant, 
  1336.  resvector, vbl_queue.
  1337. Disks can be immunized against it: No.
  1338. Immunizable with UVK: No.
  1339. What can happen:  It can write garbage on the first 9 sectors of  a 
  1340.  random  track between 1 and 79.  The first of those  sectors  will 
  1341.  then contain the text between quotes mentioned above with  'Name'. 
  1342.  Additionally, the virus can screen black.
  1343. When does that happen: The disk track garbage writing happens every 
  1344.  other  8 copies that it writes of itself.  The  screen  blackening 
  1345.  happens every 32768 vertical blanks (i.e.  after about 11  minutes 
  1346.  on colour monitors, about 7.5 minutes on monochrome).
  1347. Resetproof: Yes.
  1348. Can copy to harddisk: No.
  1349. Remark:  First discovered in Poland.  This virus uses an  intricate 
  1350.  coding  method  which,  like other recent viruses,  allows  it  to 
  1351.  create hundreds of differently recognizable versions of itself.
  1352.  
  1353. Virus #74
  1354.  
  1355. Name: Small Virus.
  1356. Type: Memory-resident bootsector virus.
  1357. Discovery date: Autumn 1993 (Chris Brookes).
  1358. Virus can copy to drive(s): Current floppy drive (A or B).
  1359. Virus attaches itself to: Hdv_bpb.
  1360. Disks can be immunized against it: No.
  1361. Immunizable with UVK: No.
  1362. What can happen:  Nothing harmful actually.  It has no  destruction 
  1363.  routine nor a trigger routine.
  1364. When does that happen: Never.
  1365. Resetproof: No.
  1366. Can copy to harddisk: No.
  1367. Remark:  Named after the fact that it is very small, less than half 
  1368.  the bootsector size. Only copies itself. Nothing else.
  1369.  
  1370. Virus #75
  1371.  
  1372. Name: Ghost Virus J.
  1373. Type: Reset-proof memory-resident bootsector virus.
  1374. Discovery date: Autumn 1993 (ORQ Computer Group).
  1375. Virus can copy to drive(s): Current floppy drive (A or B).
  1376. Virus attaches itself to:  Hdv_bpb and resvector;  it is also  non-
  1377.  documented reset-resistant.
  1378. Disks can be immunized against it: No.
  1379. Immunizable with UVK: No.
  1380. What  can  happen:  Most  likely nothing.  It is  changed  (or  has 
  1381.  mutated)  so that it manipulated a wrong memory value.  The  mouse 
  1382.  pointer Y direction is NOT inverted.
  1383. When does that happen: After copying itself 10 times.
  1384. Resetproof: Yes.
  1385. Can copy to harddisk: No.
  1386. Remark:  It is almost identical to "Ghost Virus A",  much more than 
  1387.  the other variants. It was discovered in Australia, and also known 
  1388.  as "Silent Virus".
  1389.  
  1390. Virus #76
  1391.  
  1392. Name: Zorro Virus C.
  1393. Type: Reset-proof memory-resident bootsector virus.
  1394. Discovery date: November 2nd 1993 (Piotr Kowalczyk).
  1395. Virus can copy to drive(s): Current floppy drive (A or B).
  1396. Virus  attaches itself to:  Hdv_rw,  Hdv_bpb,  resvector  and  also 
  1397.  undocumented reset-resistant.
  1398. Disks can be immunized against it: No.
  1399. Immunizable with UVK: No.
  1400. What can happen: System will lock itself.
  1401. When does that happen: After a specific number of copies are made.
  1402. Resetproof: Yes.
  1403. Can copy to harddisk: No.
  1404. Remark:  Although it does almost exactly the same as Zorro Virus A, 
  1405.  it is much more different from it than Zorro Virus B. For starters 
  1406.  all its individual routines are interchanged,  causing the uncoded 
  1407.  virus start to be quite different too.  It also installs itself on 
  1408.  a  different location in memory.  This virus is believed  to  have 
  1409.  been  done  in  Poland,  which seems to indicate  that  all  Zorro 
  1410.  viruses were coded there.  It also goes by the name of  "Wredniak" 
  1411.  (which is Polish for "Nasty Virus").
  1412.  
  1413. LINK VIRUSES
  1414.  
  1415. Virus #1
  1416.  
  1417. Name: Milzbrand.
  1418. Type: Non-resident non-overwriting link virus.
  1419. Discovery date: Spring 1988 (Wim Nottroth).
  1420. Symptoms: When the date stamp is set to 1987, it clears track 0  of 
  1421.  your  floppy  disk,  destroying  all  FAT  data  and  filling  the  
  1422.  bootsector  with  a  message "Dies ist ein  Virus!"  ("This  is  a  
  1423.  virus!").  Symptoms  can vary because the virus was offered as  a,  
  1424.  fully documented, type-in-listing (!) in the German mag  "Computer 
  1425.  &  Technik"  and  the  reader could  easily  adapt  the   routines 
  1426.  himself.
  1427. Remark:  This  virus was written by Eckhard Krabel,  who  lives  in  
  1428.  Berlin,  Germany.  The editorial address of C'T Magazine is Verlag 
  1429.  Heinz Heise GmbH,  Helstorfer Str.  7,  Postfach 61 04 07,  D-3000 
  1430.  Hannover 61, West Germany. Telephone (Germany) (0)511/5352-0. It's 
  1431.  also  called  "Anthrax Virus" (which is English for  the  original 
  1432.  name in German).
  1433.  
  1434. Virus #2
  1435.  
  1436. Name: Virus Construction Set Part II.
  1437. Type: Non-resident non-overwriting link virus.
  1438. Discovery date: September 4th 1988 (Frank Lemmen).
  1439. Symptoms: These vary from the message "You have ten seconds to find 
  1440.  out how to prevent a reset" (after which a countdown  follows  and 
  1441.  a  reset) to routines that can be written by the user   himself  - 
  1442.  the  "Virus Construction Set" is a programme with which  the  user 
  1443.  can create his own viruses! Symptoms are therefore  without limit!
  1444. Remark:  The "Virus Construction Set Part II" was published by  GFE 
  1445.  R.  Becker KG,  Königsteiner Str.  76, D-6232 Bad Soden am Taunus, 
  1446.  West Germany. It used to be for sale at 80 German Marks, but isn't 
  1447.  any more.
  1448.  
  1449. Virus #3
  1450.  
  1451. Name: Uluru.
  1452. Type: Memory-resident non-overwriting link virus.
  1453. Discovery date: November 1988.
  1454. Symptoms:  Installs itself in memory but is not reset-resistant. It 
  1455.  infects  every  programme that will be started  once  an  infected 
  1456.  programme  has caused it to be installed,  and only does  this  on 
  1457.  drive A or B, and on files that are at least 10,000 bytes in size. 
  1458.  After  a certain time,  it writes a dummy text file on  disk  when 
  1459.  infecting  a  file.  This  text file contains  the  sentence  'MAD 
  1460.  Zimmermann will be watching you'.
  1461. Remark: Also called "Mad Zimmermann Virus", for obvious  reasons.
  1462.  
  1463. Virus #4
  1464.  
  1465. Name: Papa & Garfield.
  1466. Type: Memory-resistant reset-proof non-overwriting link virus.
  1467. Discovery date: November 1988.
  1468. Symptoms:  This  is a reset-proof virus,  that installs  itself  in 
  1469.  memory  when an infected programme is loaded.  After  that,  every 
  1470.  other programme that is loaded into memory is infected.  It can be 
  1471.  recognized  by  a  flashing pixel in the left top  corner  of  the 
  1472.  screen and the message "Garfield and Papa was here",  preceded  by 
  1473.  a bleep sound.
  1474. Remark:  Probably  only works on one megabyte machines (or  higher) 
  1475.  since it uses the absolute screen address $F8000.
  1476.  
  1477. Virus #5
  1478.  
  1479. Name: Crash.
  1480. Type: Memory-resident reset-proof non-overwriting link virus.
  1481. Discovery Date: March 20th 1989 (Claus-Peter Moeller).
  1482. Symptoms:  A reset-proof virus,  that also installs itself in  your 
  1483.  system and then infects every programme you load in afterwards. Is 
  1484.  only  active on the current drive,  but can copy itself  into  any 
  1485.  folder. It can even infect files that have been immunized with the 
  1486.  "Ultimate Virus Killer".
  1487. Remark: Probably programmed in Switzerland.
  1488.  
  1489. ANTI-VIRUSES
  1490.  
  1491.  An  Anti-virus is a small programme that works just like a  virus, 
  1492. but that doesn't format your disk,  clear FAT sectors,  lock up the 
  1493. system or do anything of the kind. Instead of doing evil things, it 
  1494. e.g.  warns  you when it finds an executable disk in the drive  (it 
  1495. can then for example start bleeping and flashing).  This is a  good 
  1496. way  to  find  out if a disk has an executable  bootsector  or  not 
  1497. (which does not mean that it has or hasn't a virus!). For First Aid 
  1498. help,  anti-viruses  are quite neat.  They also copy themselves  to 
  1499. other disks (not to hard disk),  except when these already  contain 
  1500. an executable bootsector (in which case they warn you).
  1501.  
  1502. Anti-virus #1
  1503.  
  1504. Name: AntiVirus.
  1505. Remark:  There  are sixteen different versions of  this  AntiVirus, 
  1506.  which were all written by Helmut Neunkirchen.  The following table 
  1507.  includes  them all.  They are all recognized by the UVK,  and  the 
  1508.  English  versions  of 5.1 can be written using the  'REPAIR  DISK' 
  1509.  option.  The texts vary slightly and are not specified here.  None 
  1510.  of them copy to hard disk, and none of them are reset-proof.
  1511. * Version 3.0GB
  1512. Discovery date: August 8th 1988.
  1513. Written on May 3rd 1988.
  1514. Symptoms:  On  system boot-up,  a message appears on  your  screen: 
  1515.  "This  Anti-virus  beeps and flashes if the actual  bootsector  is 
  1516.  executable then that might be a virus!  Remove this Anti-virus  by 
  1517.  reset!"  It  multiplies itself  to  other,  non-executable  floppy 
  1518.  disks.
  1519. * Version 3.0NL
  1520. Remark: This was a simple translation job by yours truly.
  1521. * Version 4.0
  1522. Written on August 21st 1988.
  1523. * Version 4.1
  1524. Written on September 21st 1988.
  1525. Remark:  Also  recognizes  IBM  disks on which  it  does  not  copy  
  1526.  itself.
  1527. * Version 4.2
  1528. Written on September 21st 1988.
  1529. Remark: A version of 4.2 that does not copy itself to other  disks.
  1530. * Version 4.5
  1531. Written on October 18th 1988.
  1532. Remark: There are German and English versions of this  AntiVirus.
  1533. * Version 4.6
  1534. Written on October 18th 1988.
  1535. Remark: A version of 4.5 that does not copy itself to other  disks.
  1536. * Version 4.8
  1537. Written on December 5th 1988.
  1538. Remark: Uses XBRA structures, completely reprogrammed.
  1539. * Version 4.10
  1540. Written on May 19th 1989.
  1541. Remark: Calls itself 'VirusLähmer'.
  1542. * Version 4.11
  1543. Written on June 24th 1989.
  1544. Remark:  A  version  of  4.10 that does not copy  itself  to  other  
  1545. disks.
  1546. * Version 5.0
  1547. Written on May 12th 1989.
  1548. Remark: This was a version released by mistake, and actually  older 
  1549.  than 4.11.
  1550. * Version 5.1
  1551. Written on April 23rd 1990.
  1552. Remark:   There  are  cloning  and  non-cloning  versions  of  this 
  1553.  AntiVirus,  each in in a German and an English version. Recognizes 
  1554.  mutation, and recognizes disks that are immunized using the UVK.
  1555. * Version 5.2
  1556. Written on ?
  1557. Remark:  Helmut  has  in  the  mean  time  stopped  developing  the 
  1558.  AntiVirus.
  1559.  
  1560. Anti-virus #2
  1561.  
  1562. Name: Antivirus #2.
  1563. Discovery date: September 10th 1988.
  1564. Symptoms:  On system boot-up,  a message appears on your screen  at 
  1565.  the  top line:  "ANTI-VIRUS".  It multiplies itself to other  non-
  1566.  executable disks,  except when it's already present on them.  When 
  1567.  an  executable  bootsector is found,  it inverts all  colours  and 
  1568.  bleeps.
  1569.  
  1570. Anti-virus #3
  1571.  
  1572. Name: Antivirus User V1.4.
  1573. Discovery date: May 30th 1989 (Carmen Brunner).
  1574. Symptoms:  Installs  itself in memory and warns you when  it  finds  
  1575.  certain disks: RED = Virus 1 (Signum Virus), PURPLE = Virus 2 (Mad 
  1576.  Virus),  BLUE = Bootsector,  WHITE = Nothing. It multiplies itself 
  1577.  to  WHITE disks on drive A only.  Its virus recognition  is   very 
  1578.  bad,  and  many  other disks are also suspected of being  RED   or 
  1579.  PURPLE - including perfectly harmless ones.
  1580. Remark: Written by someone called Le Fele.
  1581.  
  1582. Anti-virus #4
  1583.  
  1584. Name: Antivirus #4.
  1585. Discovery date: June 28th 1989 (Wim Maarse).
  1586. Symptoms: This antivirus is reset-proof. It probably only works  on 
  1587.  German Blitter TOS (TOS 1.02 version from 22.04.87), since it uses 
  1588.  an  absolute ROM jump address to the Get_BPB routine of that  TOS. 
  1589.  It copies to other disks.
  1590.  
  1591. Anti-virus #5
  1592.  
  1593. Name: Terminator V1.0.
  1594. Discovery date: March 1990.
  1595. Symptoms:  Does not copy itself,  and is reset-proof. Automatically 
  1596.  checks  disks for executable bootsectors,  and checks  memory  for 
  1597.  resident programmes.
  1598. Remark:   Written  by  Claus-Georg  Frein  for  a  commercial  copy  
  1599.  programme called "Turbobooster".
  1600.  
  1601. Anti-virus #6
  1602.  
  1603. Name: Pashley Antivirus.
  1604. Discovery date: January 18th 1990 (Terry Simmons).
  1605. Symptoms:  Copies itself to other disks, and will flash the  screen 
  1606.  and beep when an executable bootsector is found.
  1607. Remark: Written by Simeon Pashley.
  1608.  
  1609. Anti-virus #7
  1610.  
  1611. Name: Powell Antivirus.
  1612. Discovery date: July 30th 1989 (George Woodside).
  1613. Symptoms:  Does  not  copy itself to other disks.  Will  bleep  and   
  1614.  flash the screen when an executable bootsector is found.
  1615. Remark: Written by virus killer programmer Mark S. Powell.
  1616.  
  1617. Anti-virus #8
  1618.  
  1619. Name: The Killer V2.0.
  1620. Discovery date: March 18th 1990 (George Woodside).
  1621. Symptoms:  Does not copy itself. Gives out messages in French  when  
  1622.  executable bootsector is found.
  1623. Remark: Written by Emmanuel Collignon/Omikron France.
  1624.  
  1625. Anti-virus #9
  1626.  
  1627. Name: VKill Guard.
  1628. Discovery date: May 14th 1990.
  1629. Symptoms:  Does not copy itself,  yet installs itself in memory and 
  1630.  flashes and beeps when executable bootsectors are found. Its sign-
  1631.  on  message  is  'This Guard remains active  until  reset.  If  it 
  1632.  detects  an  executable bootsector,  it will beep  and  flash  the 
  1633.  screen.'
  1634. Remark: Written by George Woodside for his programme "VKill".
  1635.  
  1636. Anti-virus #10
  1637.  
  1638. Name: New Order Antivirus 1.02.
  1639. Discovery date: May 22nd 1990 (Glenn Robison).
  1640. Symptoms:  Prints message and locks up the computer when a virus is 
  1641.  found to bend a bector. It checks the following vectors: Hdv_init, 
  1642.  Hdv_bpb, Hdv_rw, Hdv_boot, Hdv_mediach, BIOS and XBIOS.
  1643.  
  1644. Anti-virus #11
  1645.  
  1646. Name: Floppyshop Antivirus.
  1647. Disovery date: April 29th 1990 (Kevin Brown).
  1648. Symptoms:   Beeps  and  flashes  the  screen  when  an   executable 
  1649.  bootsector is found that doesn't contain itself. Doesn't multiply.
  1650.  
  1651. Anti-virus #12
  1652.  
  1653. Name: Protector II Antivirus.
  1654.  
  1655. Anti-virus #13
  1656.  
  1657. Name: Incoder Antivirus.
  1658. Discovery date: July 1990.
  1659. Symptoms:  Checks the bootsector for the occurrence of the  Hdv_bpb 
  1660.  address ($472).  Checks if Hdv_bpb points at $FCxxxx or not  (will 
  1661.  therefore  imply something is wrong when you work on  an  STE,  ST 
  1662.  Book or when you use a hard disk). If things are wrong, it colours 
  1663.  the  screen and locks the system.  If things are OK it will  print 
  1664.  "The Incoders - safe boot" and flash one colour.
  1665.  
  1666. Anti-virus #14
  1667.  
  1668. Name: Auntie-Virus.
  1669. Discovery date: Summer 1990 (David Heiland).
  1670. Symptoms: Same as Anti-virus #1. Only the texts have been  changed.
  1671. Remark: Probably made in England.
  1672.  
  1673. Anti-virus #15
  1674.  
  1675. Name: Shadow Antivirus.
  1676. Discovery date: July 1990.
  1677. Symptoms:  Checks  the  system for  reset-resistant  programmes  in 
  1678.  memory on boot-up. Not resident, does not copy itself.
  1679. Remark: Written by the Shadow of the Dynamic Duo, England.
  1680.  
  1681. Anti-virus #16
  1682.  
  1683. Name: Fury Antivirus.
  1684. Discovery date: August 24th 1990.
  1685. Symptoms:  Same  at  Antivirus  #13,  of which  it  is  an  adapted  
  1686.  version.
  1687. Remark: Made by Fury of Legacy (ex-Replicants).
  1688.  
  1689. Anti-virus #17
  1690.  
  1691. Name: Unicorn Anti-Virus-Reset Antivirus.
  1692. Discovery date: December 11th 1990.
  1693. Symptoms:  It  is  a resident programme that will clear  all  reset  
  1694.  vectors upon reset.
  1695. Remark: Probably written in Holland.
  1696.  
  1697. Anti-virus #18
  1698.  
  1699. Name: Zarko Berberski Antivirus.
  1700. Discovery date: Unknown (Mike Mee).
  1701. Symptoms:  There  are two different versions of  this.  One  copies 
  1702.  itself and one doesn't.  They both have the additional ability  to 
  1703.  wait 'x' seconds until the hard disk has finished booting.
  1704. Remark:   Written   by  Zarko  Berberski  from  what  used  to   be  
  1705.  Jugoslavia.
  1706.  
  1707. Anti-virus #19
  1708.  
  1709. Name: Odie Antivirus.
  1710. Discovery date: Unknown (Mike Mee).
  1711. Symptoms:  Puts  a  picture  of Odie  (dog  character  in  Garfield 
  1712.  cartoons) on the screen.  Is resident,  and checks for  executable 
  1713.  disks.  It will copy itself on non-executable disks,  and it  will 
  1714.  warn when it finds an executable disk that does not have itself on 
  1715.  it (the screen is turned red).
  1716. Remark: Uses the XBRA protocol.
  1717.  
  1718. Anti-virus #20
  1719.  
  1720. Name: TDT 4.0 Antighost.
  1721. Discovery date: June 1992.
  1722. Symptoms:  Is  a  resident antivirus that copies  itself  across  a  
  1723.  bootsector that it finds the Ghost virus on.
  1724. Remark: Written by Altair in France.
  1725.  
  1726. Anti-virus #21
  1727.  
  1728. Name: Caledonia Exorcist 2.0.
  1729. Discovery date: December 1992.
  1730. Symptoms:  At  startup it will put the message "Caledonia  Exorcist 
  1731.  2.0"  on the screen.  Whenever an executable bootsector  is  found 
  1732.  during it being resident in memory,  it will warn you. At any time 
  1733.  you  can press ALT-HELP to have this antivirus install  itself  on 
  1734.  the current disk.  It will not copy itself without you wanting  it 
  1735.  to.
  1736. Remark:  Written for/by the Caledonia PD library.  The copy routine 
  1737.  crashes  on  my system.  Not to be confused with some  virus  free 
  1738.  disks of the same name made by some French hackers.
  1739.  
  1740. Anti-virus #22
  1741.  
  1742. Name: Agrajag Boot 2.
  1743. Discovery date: July 1993.
  1744. Symptoms:  At  startup it will put the message "AGRABOOT 2" on  the 
  1745.  screen.  Whenever  an executable bootsector is found while  it  is 
  1746.  present in memory,  the screen will flash.  It will flash RED when 
  1747.  such a bootsector is suspicious.  Upon starting it will also  find 
  1748.  reset-proof programs and the like.  It will not copy itself to any 
  1749.  other disks of its own accord.
  1750. Remark: Written by Michael James from Glasgow, autumn 1992. Quite a 
  1751.  good Anti-virus actually.
  1752.  
  1753.