home *** CD-ROM | disk | FTP | other *** search
/ BCI NET / BCI NET Dec 94.iso / archives / utilities / virus / vib9437.lha / Virus / C / CopyLock < prev    next >
Encoding:
Text File  |  1994-05-13  |  2.4 KB  |  75 lines
  1.      Name         : CopyLock
  2.  
  3.      Aliases      : No Aliases
  4.  
  5.      Type/Size    : Boot/2048
  6.  
  7.      Clones       : No Clones
  8.  
  9.      Symptoms     : No Symptoms
  10.  
  11.      Discovered   : -
  12.  
  13.      Way to infect: Boot infection
  14.  
  15.      Rating       : Dangerous
  16.  
  17.      Kickstarts   : 1.2/1.3/2.0
  18.  
  19.      Damage       : Overwrites boot + block 2 & 3.
  20.  
  21.      Removal      : Install boot.
  22.  
  23.      Comments  :    If  you  are booting with a CopyLock-infected disk the
  24.                     virus  copies itself to adderss $7F400 and changes the
  25.                     CoolCapture-Vector to stay resident. On the next reset
  26.                     the  with  patches  the  DoIO()-Vector to infect other
  27.                     disks. 
  28.  
  29.  
  30.                     Now Imagine you are inserting an unprotected disk with
  31.                     e.g.  the  X-Copy  boot block. Now, the virus does the
  32.                     following:
  33.  
  34.  
  35.                     1) Check for Write-Protection
  36.  
  37.                     2) Not protected: loads the bootblock form the current
  38.                        disk (X-Copy-Boot) into address $7F800.
  39.  
  40.                     3) Saves  44  bytes  from  the  original-bb in the own
  41.                        viruscode  and  insert in this place a virus-loader
  42.                        routine.
  43.  
  44.                     4) Then  the  virus  cryptes  itself  with $DFF006 and
  45.                        saves 2048 (!) bytes. (Original+Virus!).
  46.  
  47.  
  48.                     Block  2,3  are  now  DAMAGED  !! NO salvage possible.
  49.                     If  you  are  now  booting  with the infected disk the
  50.                     virus-loader  routine  copies the virus from the block
  51.                     2,3  in  $7F400  and  jumpes at $7F400. Then the virus
  52.                     copies  the  modified  original-bb  into  the  address
  53.                     $7F000  inserts  the  original  code  of  the  bb  and
  54.                     executes it.
  55.  
  56.  
  57.                     The  whole  virus-bb  is  coded  (See point 4). In the
  58.                     decrypted  virus  you  can read in the top of the boot
  59.                     block:
  60.  
  61.                     "Copylock Amiga (c) Rob Northern. All rights "
  62.                     "reserved."
  63.  
  64.  
  65.  
  66.                     In the end of the bootblock you can read:
  67.  
  68.  
  69.                     "* YEP ROB NORTHERN ON THE BOARD ! MY COPYLOCKS"
  70.                     "ARE FUCK. THE CRACKERS ARE BETTER THAN ME."
  71.                     "THAT`S WHY I`M WRITING VIRUSES !!! (IN THE HOPE"
  72.                     "THAT THEY ARE BETTER AS MY COPYLOCKS!) *"
  73.  
  74. A.D 04-94
  75.