home *** CD-ROM | disk | FTP | other *** search

---

/ telefisk.org / virusCollection.lzx / VirusResearch / HH2 / Hitch2

< prev

next >

Wrap

Text File  |  2012-10-02  |  4KB  |  53 lines

---

1. - Hitch-Hiker-2-Virus     Link                                         
2.       Bekannte Archive:                                                
3.       DMS 2.40 Update                                                  
4.       DeluxeGalaga   VersionsNr. unbekannt                             
5.       Fileverlaengerung: 1848-1908 Bytes in Abhaengigkeit von $DFF007  
6.       Ab KS 2.04                                                       
7.       Verbogene Vektoren LoadSeg, Write                                
8.       Geaendert: LastAlert $BADC0DED                                   
9.       Nicht Resetfest                                                  
10.       Das Teil meldet sich nicht.                                      
11.       Codierung in Abhaengigkeit von $DFF007                           
12.       Decodiert ist im Linkteil zu lesen:                              
13.          54686520 48697463 682d4869 6b65720a The Hitch-Hiker.          
14.          47656e65 72617469 6f6e3a20 30303030 Generation: 0000          
15.          30313233 0a2d2056 65727369 6f6e2032 0123.- Version 2          
16.          2e30310a 0a0a5468 616e6b73 20666f72 .01...Thanks for          
17.          20746865 20526964 652c204d 69737465  the Ride, Miste          
18.          7221210a 00000000                   r!!.....                  
19.       Einbau im Speicher:                                              
20.       LastAlert (202(a6)) wird auf $ABBAFAB4 und $BADC0DED ueberprueft.
21.       Falls ja -> Ende .  LoadSeg und Write wird verbogen. in LastAlert
22.       wird BADC0DED geschrieben.                                       
23.       Link an File hinter 1.Hunk:                                      
24.       Speichermedium validated und mind. #10 Blocks frei               
25.       File ausfuehrbar (3F3)                                           
26.       CodeHunk (3E9) wird gefunden                                     
27.       Bei Filenamen KEIN Test auf bestimmte Buchstaben                 
28.       Es wurde im Viruscode zwar eine Laengenbegrenzung gefunden, aber 
29.       diese Grenze wurde auf 68040 MEHRFACH ueberlaufen bei Test-Ver-  
30.       mehrungen.                                                       
31.       move.l 4,a6 (6 Bytes), move.l 4.w,a6 (4 Bytes) oder RTS wird im  
32.       1.Hunks gefunden.                                                
33.       Der Abstand von diesem Punkt zum Originalende des 1. Hunks       
34.       ist nicht groesser als $7FFF (bei move) oder $7F (bei RTS).      
35.       Falls diese Bedingungen zutreffen, wird der move.l 4-Befehl      
36.       durch einen BSR-Befehl ($6100uvwx) ersetzt. Falls der Original-  
37.       Befehl sechs Bytes lang war, wird noch ein NOP gesetzt, um die   
38.       Laenge anzugleichen. Der RTS-Befehl wird durch einen BRA.s-Befehl
39.       ($60uv) ersetzt.                                                 
40.       Es koennen auch MEHRERE Spruenge erzeugt werden.                 
41.       VT versucht beim Ausbau move.l und move.w in Abhaengigkeit von   
42.       gefundenem NOP zu setzen.                                        
43.       Der BRA.s-Befehl sollte von VT durch ein RTS ersetzt werden      
44.       (auch mehrfach).                                                 
45.       Mehrfach-Links an ein File konnten NICHT erzeugt werden.         
46.       Hinweis 1: Bei Testverseuchungen sind AUCH defekte Files ent-    
47.       standen. VT sollte den Ausbauversuch abbrechen und nur noch      
48.       Loeschen anbieten.                                               
49.       Hinweis 2: Falls Ihre Festplatte sehr verseucht ist, gehen Sie   
50.       bitte in Sp->File->Sp, waehlen ein Unterverzeichnis (z.B. c)     
51.       und klicken dann auf DirFTest. Gehen Sie danach weitere Unter-   
52.       verz. (libs usw.) durch.
53.