home *** CD-ROM | disk | FTP | other *** search
/ BCI NET / BCI NET Dec 94.iso / archives / utilities / virus / vib9437.lha / Virus / O / Overkill < prev   
Encoding:
Text File  |  1980-12-21  |  2.5 KB  |  70 lines
  1.      Name         : Overkill
  2.  
  3.      Aliases      : No Aliases
  4.  
  5.      Type/Size    : Boot/2048
  6.  
  7.      Clones       : No Clones 
  8.  
  9.      Symptoms     : No Symptoms
  10.  
  11.      Discovered   : ?
  12.  
  13.      Way to infect: Boot infection
  14.  
  15.      Rating       : Dangerous
  16.  
  17.      Kickstarts   : 1.2/1.3/2.0
  18.  
  19.      Damage       : Overwrites boot, block 2,3, DAMAGES blocks on disk
  20.  
  21.      Manifestation: -
  22.  
  23.      Removal      : Install boot.
  24.  
  25.      Comments     : The Overkill-Virus works like the Digital Dream
  26.                     virus. It saves the virus and the original boot by
  27.                     writing 2048 bytes (block 0,1,2,3). Unfortunately
  28.                     block 2,3 will be DAMAGED (No cure, sorry). So the
  29.                     virus always executes the original boot, too, even
  30.                     if the disk is infected. If you are booting with an
  31.                     infected disk the virus does the following:
  32.  
  33.                    1) Copies a part of the virus to $7F700 and the
  34.                       crypted virus bootblock to $7FB00.
  35.  
  36.                    2) After that the virus loads the original bootblock
  37.                       (which is uncrypted) and executes it.
  38.  
  39.                    3) After execution the virus changes the kick and the
  40.                       cool-vector to stay resident in memory.
  41.  
  42.                    4) Furthermore this vectors will be patched, too:
  43.                       DoIO(), KickChkSum().
  44.  
  45.                     The KickChkSum-Patch sets the coolcapture-vector 
  46.                     always to the virusvalue.
  47.  
  48.                     The DoIO()-Vector is used to infect other disks.
  49.                     NOW, imagine you are inserting an unprotected, clean
  50.                     disk:
  51.  
  52.                    1) The virus FIRST executes a damage-routine.
  53.                       - with the help of the $DFF006-Register a block
  54.                         will be calculated.
  55.                       - the virus damages this block by writing 2048
  56.                         bytes from $7F700 (!!!!!!)
  57.                       - That means, the calculated block AND THE BLOCK
  58.                         BEHIND WILL BE DAMAGED --> No salvage possible.
  59.                       - In such damaged blocks you can read:
  60.  
  61.                           "Overkill by the ENEMY!"
  62.  
  63.                    1) After that the virus loads the bootblock 
  64.                       (original BB) from the disk at address $7F000. Now,
  65.                       the virus checks if the disk is already infected.
  66.  
  67.                    2) Now the virus writes 2048 bytes (virus+org. BB)
  68.  
  69. A.D 08-94
  70.