home *** CD-ROM | disk | FTP | other *** search
/ Aminet 22 / Aminet 22 (1997)(GTI - Schatztruhe)[!][Dec 1997].iso / Aminet / util / virus / AntiBeol_133.readme < prev    next >
Text File  |  1997-11-02  |  9KB  |  208 lines
  1. Short:    Mem viruskiller for the new Packetviruses
  2. Author:   gzenz@ixc.net (Gideon Zenz)
  3. Uploader: gzenz@ixc.net (Gideon Zenz)
  4. Type:     util/virus
  5.  
  6. -----BEGIN PGP SIGNED MESSAGE-----
  7.  
  8. NOTE
  9.         For news please check out the HISTORY section!
  10.  
  11. PURPOSE
  12.         As  probably  some  of  you  know,  a crazy guy postet the source of a
  13.         really  dangerous  stealth-virus  (Beol3) to the usenet.  I decided to
  14.         debug  this piece in order to protect myself from it, as the danger of
  15.         clones  with  destructive  routines  seemed  to  be pretty high.  When
  16.         testing  it, I had to make sure not to infect myself, and to clean the
  17.         memory from the virus when I finished.  So AntiBeol was born, in order
  18.         to clean the memory from all viruses working like this one.
  19.  
  20.         I got in contact with Markus Schmall (Virus Workshop) so I could maybe
  21.         help  him  a  bit,  and he encouraged me to improve AntiBeol, as other
  22.         peoples  might  find such a tool handy.  He sent me some more viri, so
  23.         it`s now able to detect and clear the most important one.
  24.  
  25.         The  difference  to  probably  the  most viruskillers is that this one
  26.         doesn`t  only notify you when it encounters a known virus, but also if
  27.         it  detects  some  abnormal  changes, so it can (hopefully) detect new
  28.         viri.
  29.  
  30.         All  in  all, it doesn`t replace a good background checker like VirusZ
  31.         is, but it gives you additionally help on this comming-up packetviri.
  32.  
  33. USAGE
  34.         It`s  pretty  easy to use.  Just put it somewhere in your User-Startup
  35.         with a run, e.g.:
  36.  
  37.         Run <>NIL: C:AntiBeol
  38.  
  39.         You won`t notice anything on normal work, but if it detects something,
  40.         a  reqtools  requester  will  pop  up  and  inform  you about it.  The
  41.         following  viri are detected untill now:  Beol 3, Beol 2, Beol 96, and
  42.         SMEG.
  43.  
  44.         But  you  can  get  another  ones,  which  are:   Dospacket  virus and
  45.         Volumelauncher  virus.   NOTE:   These ones mean that AntiBeol found a
  46.         program  that  used  some techniques NORMALY only viri (like the above
  47.         mentioned)  use.   It  DOESN`T  need  to  be  a  virus, but it can be.
  48.         Programs like ArcHandler or DiskExpaner can cause such things, in this
  49.         case just press "Leave It" and it won`t be touched.  So IF you start a
  50.         program  you  100% KNOW about it`s virus-free (and it crashes), please
  51.         mail me, and try using the NOSTRICT option.
  52.  
  53. TECHNICAL
  54.         This  paragraph  is  for advanced users only, so don`t get mad because
  55.         you don`t understand a word :)
  56.  
  57.         So  how  does  this  thingie  work?  Basically quite easy:  Every five
  58.         seconds,  it  checks  some  vectors  of  the system (pr_WaitPkt of all
  59.         Volumes,  Processes,  and TC_LAUNCH of every task), as they`re used by
  60.         the  above  mentioned  viruses.   If such a virus is detected, or some
  61.         other  program  is  found there (these vectors are normaly not used by
  62.         any program I could find) they`ll get cleared, the suspicious piece of
  63.         code  get`s  disabled  and you`ll get notified.  For the curious ones:
  64.         AntiBeol  also changes it`s name randomly every 5 seks, so don`t get a
  65.         heart attack if you see a process like "CLI(15):r7a9wOeci".  This will
  66.         prevent the FindTask("SnoopDos")-trick.
  67.  
  68.         So  what do these "future-viri" requesters mean?  Dospacket means that
  69.         someone  hooked  up  in  pr_WaitPkt, either in the Processes or in the
  70.         Volumes,  and  Volumelauncher means someone hooked up in the TC_LAUNCH
  71.         field  of the Volumes` tasks.  As additionaly help you get the address
  72.         of  the  suspicious  vector.   This is a pointer to the dos structure,
  73.         e.g.  pr_WaitPkt.
  74.  
  75. LAST WORDS
  76.         I really do have to thank Markus Schmall for his help and providing of
  77.         viri!   Without  him I wouldn`t even have thought about releasing this
  78.         program!
  79.  
  80.         I also have to thank Jan Andersen from the VIRUS HELP TEAM DENMARK for
  81.         his    support.     You    can    find    the   newest   AntiBeol   on
  82.         http://home4.inet.tele.dk/vht-dk/ !
  83.  
  84. HISTORY
  85.         v1.0 (24-Sep-96)
  86.          - initial release
  87.  
  88.         v1.1 (17-Oct-96)
  89.          - Now works on 68000 machines (thx to Danny Lade)
  90.          - Recognizes DiskExpander (thx to Martin Imlau)
  91.          - Finally works with ArcHandler under every condition
  92.          - Improved the warning requester, shows memory and you can decide
  93.            wether to kill or not to kill the suspicious code.
  94.  
  95.         v1.2 (27-Nov-96)
  96.          - Recognizes FSDirs (thx to Dave Jones)
  97.          - Removed enforcerhits, which caused an
  98.            A3000 to stall every 5 secs (thx to Nils Goers)
  99.  
  100.         v1.21 (10-Mar-97)
  101.          - Recognizes VincEd (thx to Nils Goers)
  102.          - Added new email address!
  103.  
  104.         v1.3 (25-Mar-97)
  105.          - Recognizes VMM (thx to Dave Jones)
  106.          - The warning requester will now pop up only one time
  107.            instead of every 5 secs.
  108.  
  109.         v1.32 (6-Sep-97)
  110.          - Recognizes VincEd 3.52 (thx to Nils Goers)
  111.          - Doesn`t disturb serial transfers anymore (thx to Gary Gagnon)
  112.          - BUGFIX: Recognizes again Beol3 and Beol96. Sorry for this!
  113.  
  114.         v1.33a (13-Sep-97) Only released at the VIRUS HELP TEAM DENMARK!
  115.          - Recognizes HitchHicker 4.32
  116.          - Added "DisableHH423", a tiny tool which desinfects files
  117.            Sorry, virus only gets disabled, not removed.
  118.  
  119.         v1.33 (21-Sep-97)
  120.          - Included "RemoveHH423" which really cleanes an infected file
  121.            (also files disabled with "DisableHH423").
  122.          - Removed "DisableHH423" from distribution.
  123.  
  124. DISCLAIMER
  125.         This  software  is subject to the "Standard Amiga FD-Software Copyright
  126.         Note"  It is Freeware as defined in paragraph 4a.  For more information
  127.         please read "AFD-COPYRIGHT" (Version 1 or higher).
  128.  
  129. AUTHOR
  130.         If you have some comments, please don`t hesitate to contact me!
  131.  
  132.         Gideon Zenz
  133.         Giersbergstr. 41
  134.         53229 Bonn
  135.         GERMANY
  136.  
  137.         EMail: gzenz@ixc.net
  138.  
  139.         -Gideon Zenz, 21-Sep-97
  140.  
  141. SECURITY
  142.         If  you  want  to  be shure you have the original programs, check with
  143.         "md5sum -c AntiBeol.readme".  (md5sum is part of the PGP package), and
  144.         of cause check the integrity of this readme with PGP!
  145.  
  146. 72e92394aa7a8e22a41754ca42f90175 *AntiBeol
  147. 0c64233fe99ff65bd729bbadedfe39c5 *RemoveHH423
  148.  
  149. - -----BEGIN PGP PUBLIC KEY BLOCK-----
  150. Version: 2.6.3ia
  151.  
  152. mQCNAi3izr8AAAEEAMi+7o+iKDG26t8EuoX0NJ92iwhkviRC3GdJ1Uvef4+xJA3V
  153. ey20ZnzBg/OokPdo0a3VxhwyjD2auyFmp7DLupQTko7Wx2zLk19EzVBxI6NggUev
  154. ep+eaVvAi8V/YosYh0Xg4/dScOq391irO6k9+BPqkQPH+bRNCUBgnhXGkfElAAUR
  155. tBtHaWRlb24gWmVueiA8Z3plbnpAaXhjLm5ldD6JARUDBRAz36dHCen5CopyTkUB
  156. AUrFB/9cdPzCbD0H6z3CDBRA2rhFQblNvC3R/Cjl5+EQhafJZ5egiMncEbH/rgR2
  157. xmAqj789+ClC2cxtvRJpEeldB/BTqh0Ta/2i752xaH/AZP8Z6LFiLufW8EFRKmTz
  158. QZEV2uQ9iIEUAZaxP6482Sqymvp4WmqFWWuDnS+G6PjPwIl1gSvFhVaZSZfmbZGs
  159. YDePjL4yEHJymKW19hNkyG4u7TRpvWVHLuuqYUS+gjvXKfJkEr1epfVbUkgPqbyZ
  160. vQ5eJ097oL6m7dZwhgLmdwZ2EUNWH45pHXNTyOSFhkWkt9wMCQ4dzDSgmvD0T9Tw
  161. WhExUoTDX6r1tYdvGrg52y5PtLTEiQCVAwUQMySwfUBgnhXGkfElAQGJcgP/b6Hf
  162. GYzF1TBvXbmubxzkvPJtnX4PNQP3PF97vjwqBpkUuYv1esxSgbvuN8wbYwsOoNW1
  163. cDDIxM/sAXBrMHxX5cFf+au46hovwAQT9Uj9t47bQRVSqHKPGVjUUEP5jVfEQy6j
  164. 842QJ5hANHQjvmZAR0dwaPJ35nqJ+h414KY7hq20Ok5PVEU6IDxnemVuekBFcm5p
  165. ZS5NSS5VbmktS29lbG4uREU+IGlzIG5vdCB2YWxpZCBhbnkgbW9yZSGJAJUDBRAz
  166. JLCqQGCeFcaR8SUBAZ8pA/9yXKDclBIxx/BiKdxNSDBgaNC5hyHyCC2iZK0/F2zP
  167. uvuqkhCIQCdzMFLsJLFslamhjVDFZVKRtpSA3vblWivpM5n6yt4kxi+bMkK3LW2q
  168. r4CBWw3SriShT1BgGhuLbV4YcVNB/PIeAOJ4Z82tLxLQzuwKsYOxPkGSS/maSxOB
  169. +LQpR2lkZW9uIFplbnogPGd6ZW56QEVybmllLk1JLlVuaS1Lb2Vsbi5ERT6JAJUC
  170. BRAysg5ltvkN3Lttr4EBAVI4BACG972YynotdH9MLDVoZZydI6NMEYF//vf/bTn/
  171. QDN9DcW9VfTHNhbcsBbs4VOrvqX9Dww2d/91u3+HYaA3crz00mN5uVjkCE9FMH3v
  172. QNykrKmBMnajDpqY0E9dJAyYu4C8NaYCzypEeA6oGzrllTTa++9h2VoGCTVrcCBg
  173. 4fa9MYkBFQMFEDH2trkAYAKC86RPCQEBgTUH/A8KTc/9NKi/mbzkPGUyywI3krp/
  174. HqGDAQVN89QFynq5PtTSuKy5Q4DAmJwQ4gna9GJQytme1YbaXKjNNxMi2b33Rhd9
  175. aj5HKVHx6bRguJ7LpgAotz6FuI6Ny76V1ccwQQnbxroy+EKOR2uOnOh/Gr4NbVz1
  176. QTVqksYyp/T5rwI1esgJlTKxow6Y9BAutyC4M3n9Snc6sViGQwZsH9Xxts9c9meI
  177. 7LRjleWjSFcl7LuZVyf6LFFuzo9jQQTt+Ak69wCeN4Qq5oTzLJQa9KzgQaxj70oP
  178. 9LyTPBkdYPWHa+JYPCxgyBojY8igq7PmSRiMnJKhWkQx+uRQbnpuDHPgvgSJAJUD
  179. BRAx0dc3QGCeFcaR8SUBAciDA/4qaRFv5KZGlIbAeGphlR33+aBjMZDf1MlC1QcI
  180. k2yPY9tTMIisz06IckZw7Oq+RVBmJOvOZtJJJuVCuufyHKSg3+HRj6YE4lQ7/ojC
  181. U7yPcrdfny4oLKEpehRB/F89Mzan7cjyLI9qH07I2wq7a9wCwP4BDpa0lxMAQd9U
  182. k+UN6g==
  183. =bdm/
  184. - -----END PGP PUBLIC KEY BLOCK-----
  185.  
  186. -----BEGIN PGP SIGNATURE-----
  187. Version: 2.6.3ia
  188. Charset: latin1
  189.  
  190. iQCVAwUBNCXIU0BgnhXGkfElAQFEeAP+Kj6l/nR3Eunq/lnKtAOqgCkjZE4Qf5B6
  191. sLeyO9+JRFC0UA+BC9miQI9suTqRv5emAacrSRyBPHS884T4/Z2USOfyDEi0JT2N
  192. eSdCNBr8U4qVuBPHZLzXZB4vQHrrnTEWtRqHtgXkF8JTy3mmr3cwRTqi2YNvPyee
  193. dmZcZtZeJMU=
  194. =ctUo
  195. -----END PGP SIGNATURE-----
  196.  
  197.  
  198. ============================= Archive contents =============================
  199.  
  200. Original  Packed Ratio    Date     Time    Name
  201. -------- ------- ----- --------- --------  -------------
  202.     7266    2858 60.6% 08-Jul-95 12:00:00  AFD-COPYRIGHT
  203.     2024    1556 23.1% 21-Sep-97 19:08:54  AntiBeol
  204.     8891    4857 45.3% 21-Sep-97 19:22:50  AntiBeol_133.readme
  205.      900     514 42.8% 21-Sep-97 19:14:08  RemoveHH423
  206. -------- ------- ----- --------- --------
  207.    19081    9785 48.7% 21-Sep-97 23:15:46   4 files
  208.