Amiga Games: 500 MB Amiga Software

home *** CD-ROM | disk | FTP | other *** search

/ Amiga Games: 500 MB Amiga Software / 500 MB Amiga Software - Euber 130 - Amiga Games Disc & Mag.iso / apc&tcp / nocover / nocover19 / textea / lastminute.mp.pp / lastminute.mp

(.txt)

Wrap

Magnetic Pages Article | 1995-11-22 | 30KB | 94 lines

MPARTICLE <`Pq^ .XH?K 8tq6) <F 8O 090\` PV?6q ?;2<P F6#Ga F Achtung ! Ein neuer Linkvirus ist im Umlauf. Der Virus ist trickreich programmiert. Name: Illegal Access Virus0 Linkmethode: Normales Anf gen eines neues Hunks- Verl ngerung des Files: ca.4 KB (differiert)< Polomorphy: Level 2 (vergleichbar mit der des Crime`92)3 Zus tzliche Codierung: Ja (symmetrische Codierung) Debuggerfallen: JA Resourcefallen: JA F Die hnlichkeit einiger Routinen l t den Schluss nahe, da der VirusI eine Verwandtschaft mit dem Mount 972=B.E.O.L. Virus hat. Alles in allemF ein sehr komplexer Virus, der noch f r einigen Aufruhr sorgen wird... Gruss Markus Schmall O P.S.: VCBrain 1.21 soll angeblich einen Illegal Access Virus kennen. S mtlicheK Testexemplare bei mir wurden nicht erkannt, so da der Schluss nahe liegt,L dass VC nur eine Variante erkennt bzw. den Virus als Trojan eingestuft hat. I Der Virus ist auf dem Weg zu den Programmierern von VZ und VT, so da esJ m glich sein sollte, da VZ und VW in den sehr bald erscheinenden Updates# den Virus sauber entfernen k nnen. H ___________________ __________________I Markus Schmall \_____ \___ \___ \/ __ \ \ _____/\I Programmer of VirusWorkshop \\____ / / / _/___ \/ /\ ____/\\/G Tel.:+49(0)511/514944 \\___ / / /\__/ / / /___/\\/E E-Mail:M.Schmall@LDB.han.de \__/__/__/__/\_____/__/ /\___\/B \\_\\_\\_\/\____\\_\/ NL K Warnung ! Ein neuer (selten primitiver) Trojan ist erschienen. Er befindetN sich in dem Archiv exhack.lha und soll angeblich ein AmiExpress MailboxhackerJ sein. In Wirklichkeit wird versucht diverse Systemdateien (Teile der Libs etc.)I zu l schen. Der Code ist primitiv und eine Rettung mit DiskSalv ist ohne jedes Problem m glich. Gruss Markus Schmall 6 Tristar & Red Sector AV task force is back ... BWarning ! Virus in blc-lc12.lha ! This is another lame BIOMECHANIC(trojan full of bugs and $8000003 errors. )LinkCheck1.2 4640 ----rwed)Linkcheck.doc 5495 ----rwed BWarning2 ! Virus in lzx125.lha ! This is a COP trojan again, which>contains code to trash several files in the known directories. )LZX_68040 65456 ----rwed)LZX_68020 65708 ----rwed)LZX_68000EC 68492 ----rwed)LZX.guide 92373 ----rwed H ___________________ __________________I Markus Schmall \_____ \___ \___ \/ __ \ \ _____/\I Programmer of VirusWorkshop \\____ / / / _/___ \/ /\ ____/\\/G Tel.:+49(0)511/514944 \\___ / / /\__/ / / /___/\\/E E-Mail:M.Schmall@LDB.han.de \__/__/__/__/\_____/__/ /\___\/B \\_\\_\\_\/\____\\_\/ NL I Warning ! M-hac.lha and Bloody.exe contain LINKVIRUSES ! BE CAREFULL ! # Here a first BETA ANALYSE of it: ConMan 1995 Linkvirus: ---------------------- 2 Other possible names: M-Hac Virus, Bloody Virus( Detected in: M-hac.lha and Bloody.EXE) Detected when: August 1995/Germany SOS Linking method: 4eb9 (!!!!) Resident: NO Length: 1836 bytes E This is a new type of linkvirus. There are 2 installers known yet.C It simply creates a new process with the known CONMAN code , but now with different names. Possible names are: C:DIR ramlib Background_Process RAm L:FastFileSystem LIBS: gadtools.library Workbench DF0 addbuffers CON LIB:req.library CLI(0): no command loaded( CLI(1): no command loaded G Please note that several of this takss can appear in normal systems, too. E The speciality of this virus is, that it uses a intern 4eb9 linkerB to link to files. Quite tricky. Viruskillers like VT, VZ_II and5 VW should so be able to detect the infected files. F The linking routine knows the following hunksymbols: $3f2,$3f3,$3ecC and $3eb. The code is a little bit dangerous, but I will implentE in VirusWorkshop a complete reverse analyzed routine, so it should; be no problem to repair even not working infected files. C The virus adds 4 hunks to the file and the linked code is partlyC packed. It is packed with StoneCracker 4.04 and then afterwards manipulated. $ The virus is not memory resident. # Some words about the installers: m-hack.lha FILE_ID.DIZ $ .-------------------------------.$ | MASTER AMIEX ONLINE PW HACKER |$ | PREVIOUS VERSION HAVE A BUG! |$ `-------------------------------' ; The programm hack (4388 bytes long) contains the trojan. bloody.exe FILE_ID.DIZ: ! NON DOS DISK READER >>>>-BEST! ? The programm is including this ID 25560 bytes unpacked long. H ___________________ __________________I Markus Schmall \_____ \___ \___ \/ __ \ \ _____/\I Programmer of VirusWorkshop \\____ / / / _/___ \/ /\ ____/\\/G Tel.:+49(0)511/514944 \\___ / / /\__/ / / /___/\\/E E-Mail:M.Schmall@LDB.han.de \__/__/__/__/\_____/__/ /\___\/B \\_\\_\\_\/\____\\_\/ NL (Last Minute der NoCover 19 Seite 1 von 9 (Last Minute der NoCover 19 Seite 2 von 9 (Last Minute der NoCover 19 Seite 3 von 9 (Last Minute der NoCover 19 Seite 4 von 9 (Last Minute der NoCover 19 Seite 5 von 9 (Last Minute der NoCover 19 Seite 6 von 9 (Last Minute der NoCover 19 Seite 7 von 9 (Last Minute der NoCover 19 Seite 8 von 9 (Last Minute der NoCover 19 Seite 9 von 9