home *** CD-ROM | disk | FTP | other *** search
/ The Fred Fish Collection 1.5 / ffcollection-1-5-1992-11.iso / ff_disks / 300-399 / ff338.lzh / SASTools / VirusTools / JAFVK.doc < prev    next >
Text File  |  1990-03-23  |  7KB  |  159 lines
  1.        **********    *******    **********
  2.       **            **     **    **                   > Jörg Sixt       <
  3.      **            **       **    **                  > Tulpenstr. 2    <
  4.     **********    *************    **********         > 8424 Saal/Donau <
  5.            **    **           **            **        > FRG             <
  6.           **    **             **            **
  7.  **********    **               **    **********
  8.   S I C K           A M I G A          S O F T
  9.  
  10.   OFFICIAL DOCUMENTATION
  11.  
  12.   Name     :  JAFVK.asm  (= Just Another Fucking Virus Killer)
  13.   Usage    :  JAFVK
  14.   Version  :  V3.00
  15.   Date     :  07.02.1990
  16.   Author   :  Jörg Sixt
  17.   Purpose  :  checks reset vectors,find RLE-Virus and checks its own
  18.               length to detect certain link virus
  19.   Language :  A68K V1.02 , Blink V6.07 (all Fish 110)
  20.   Bugs     :  - searches only the boot disk for RLE
  21.  
  22.  
  23.   I. DISTRIBUTION AND OTHER JURIDICAL KNICK-KNACKS
  24.   ================================================
  25.  
  26.   This software may not be used as a part of commercial products without
  27.   the permission of the author (hey,that's me!!). This material MUST be
  28.   copied (don't forget the documentation) and used by every-one.
  29.   This here is freeware: You needn't send me money (but you may If you've
  30.   got too much of these neaty papers) but you MUST leave my name in the
  31.   programme, except if you produce a better version (but at least mention
  32.   me somewhere in the documentation then).
  33.  
  34.   II. INTRODUCTION
  35.   ================
  36.  
  37.   I know, you'll say: "Not again! Just Another of these Fucking Virus
  38.   Killers". My answer: "Hey,you're a clairvoyant. Where do you know the
  39.   name of my proggy?". No,no don't quit. Come on,stay a while, perhaps
  40.   you need JAFVK, however.
  41.  
  42.   Before I show you the functions of these new attack against virus, let
  43.   me start with some theory:
  44.   Generally you can differ three types of virus:
  45.  
  46.           1. bootblock virus
  47.           2. link virus
  48.           3. executable virus
  49.  
  50.   Though they're still bootblock virus on some user's disks, the virus-
  51.   family Nr.1 is becoming more and more uninteresting and unimportant:
  52.   there are already lots and lots of boot-block-checking programmes like
  53.   VirusX around. Anyway it's easy to get rid of them or check up an
  54.   infection because bootblock virus are always on the same place i.e.
  55.   he? he? Yes! Right! On the bootblock. You're really intelligent,
  56.   aren't you!!
  57.   An exception is the "Lamer Exterminator". If you boot with a Lamer
  58.   infected disk the virus will manipulate the system, so that every boot-
  59.   block seems to be a normal one even if there's a virus or a intro on it.
  60.   The newest version of the Lamer Exterminator copies the previous boot-
  61.   block to block 1 and 2. Every operation with the bootblock will be
  62.   bypassed to block 1 and 2.
  63.  
  64.   A more dangerous species are the link virus. Link virus are searching
  65.   for suitable other programmes, in which they build in their code, so
  66.   if you call an infected programme you also activate the virus. A possible
  67.   method to free the Amiga from this plague would be the implemention of
  68.   a routine in every programme that checks the code's length and warns the
  69.   user if the code is longer than originally programmed. Known link virus
  70.   on the AMIGA are e.g. IRQ or BGS.
  71.  
  72.   The third group of virus is totally unknown though it's the easiest way
  73.   to construct a virus. Executable virus are simply normal programmes that
  74.   are called e.g. via the startup-sequence. The only virus of this type,
  75.   I know, is the "Revenge of the Lamer Exterminator"(=RLE)
  76.  
  77.   Most virus are reset-resistent. That means if you use CTRL-A-A or if a
  78.   guru appears the virus will not get killed like all other normal
  79.   programmes. To reach this effect the virus installs different pointers
  80.   within the execbase:
  81.           ColdCapture,CoolCapture,WarmCapture,
  82.           KickTagPtr,KickMemPtr,KickChecksum (= a checksum for the latter
  83.                                                            both vectors).
  84.   Mostly if one or more of these vectors aren't zero a virus is in your
  85.   system. BUT BE CAREFUL: Also "legal" programmes use this way to make
  86.   themselves reset-resistent e.g. vd0:,guardian,...
  87.  
  88.   III. FUNCTION
  89.   =============
  90.  
  91.   Some of these reflection were now put into JAFVK:
  92.  
  93.       1. Vectors
  94.       ----------
  95.       JAFVK prints the reset-vectors I've already mentioned. If they are
  96.       all zero nothing special will happen. Otherwise JAFVK will asks you
  97.       whether you want to delete (press "y") the pointers or not (press
  98.       anything else).
  99.  
  100.       2. Revenge of the Lamer Exterminator (=RLE)
  101.       -------------------------------------------
  102.       The RLE is a executable virus. First it writes 5 times the ascii
  103.       code $A0 at the very beginning of the startup-sequence. These 5
  104.       $A0 are the name of the actual virus in the root directory of the
  105.       disk. JAFVK checks the startup-sequence for this code and if it has
  106.       found it it will warn you.
  107.       (Information found in the German AMIGA-MAGAZIN. THANKS !!!)
  108.       KILL:
  109.         - Switch off your machine and reboot with a non-infected disk
  110.         - cd <infected disk>
  111.         - KillRLE
  112.  
  113.       3. LINK-VIRUS-PROTECTION
  114.       ------------------------
  115.       A very common way for link virus to find suitable "host programmes"
  116.       is to take the first command in a startup-sequence (so,an IRQ-in-
  117.       fected RLE would be possible) and to infect it then. In my opinion
  118.       also future link virus will use this algorithm.
  119.       If you put JAFVK at the top of the startup-sequence a possible
  120.       in your system existing link virus would infect JAFVK. But JAFVK
  121.       has got a routine that checks its own length every time you start
  122.       it. So if a link virus infects JAFVK JAFVK will immediately warn
  123.       you. Pretty, isn't it?
  124.       INSTALL:
  125.       If you want to use the third function as a part of your startup-
  126.       sequence you have to put the command on the very beginning of it.
  127.       In addition to that you have to put a copy of JAFVK in the c:-
  128.       directory and put another copy of the code somewhere else if you
  129.       have to delete the infected JAFVK-copy in the c-directory
  130.       KILL:
  131.       Use other programmes like Zero-Virus or VirusX/kv, if the virus is
  132.       already known. Otherwise send it to e.g. Steve Tibett or any
  133.       other "virus hunter" (don't send it to me!!!).
  134.       WARNING:
  135.       If virus-programmer find new ways of hiding link-virus this simple
  136.       mechanism might not work anymore. JAFVK is NOT the final protection
  137.       against link-virus. SO BEWARE !!
  138.  
  139.   IV. THE FAMEST LAST WORDS
  140.   =========================
  141.  
  142.   Greetings to Charlie Gibbs,Brian R. Anderson,Software-Distellery,all
  143.                people who hate me and of course to Fredl Fisch(=Bavarian
  144.                translation of Fred Fish - is only valid if he puts these
  145.                programmes into his library),Mike Mehrl,Leo Schwab
  146.  
  147.   If you want to send me something neaty.... I need:
  148.   money,more money, last version of a68k and blink,much more money,
  149.   records,CDs,disks,lots and lots of money and a sun workstation
  150.  
  151.   Bugs,remarks,payements,bribery,improvements,better version to:
  152.         Jörg Sixt
  153.         sick amiga software
  154.         Tulpenstr.2
  155.         8424 Saal/Donau
  156.         FRG
  157.  
  158.   PS: Sory for my bed englisch !!
  159.