home *** CD-ROM | disk | FTP | other *** search
/ TopWare Tools / TOOLS.iso / tools / top1573 / bloody.txt next >
Encoding:
Text File  |  1992-07-09  |  2.1 KB  |  57 lines
  1.   ═════ Software Laboratory ══════════════════════════════════════════════════
  2.   Jürgen Liskowskis             Brückleweg 19                D-7845  Buggingen
  3.   Programmierung                Tel. 07631 / 2413            Fax: 07631 / 2449
  4.   ════════════════════════════════════════════════════════════════════════════
  5.  
  6.  
  7.     Name      :  Bloody!
  8.  
  9.     Alias     :  Beijing
  10.  
  11.     Ursprung  :  Taiwan
  12.  
  13.     entdeckt  :  Jan. 1991
  14.  
  15.     Länge     :  512 Byte
  16.  
  17.     Typ       :  residenter Partitionstabellen und Bootsektor Infektor
  18.  
  19.     Entfernung:  Infizierte Part-/Bootsektoren durch das Original ersetzen
  20.  
  21.  
  22.  
  23.  
  24.  
  25.     Beschreibung:
  26.  
  27.  
  28.     Der Bloody! Virus infiziert Disketten-Bootsektoren und Festplatten-
  29.     Partitionstabellen. Wird ein System von einer infizierten Diskette
  30.     gebootet, installiert sich der Virus speicherresident ab der
  31.     Adresse [9F80:0000]. Der Rückgabewert von Interrupt 12h wird so
  32.     verändert, daß 2.048 Byte Arbeitsspeicher weniger zur Verfügung stehen,
  33.     als erwartet.
  34.  
  35.     Zu diesem Zeitpunkt wird auch die Partitionstabelle der Festplatte
  36.     infiziert. Der originale Partitionssektor wird nach Seite 0, Zylinder 0,
  37.     Sektor 6 kopiert. Von da an werden alle Zugriffe auf Disketten dazu
  38.     verwendet, den entsprechenden Bootsektor zu infizieren. Da der
  39.     Virus nicht zwischen den verschiedenen Diskettenformaten unter-
  40.     scheidet, führen Infektionen von Disketten oft zum totalen Daten-
  41.     verlust.
  42.  
  43.     Disketten können desinfiziert werden, indem von einer virenfreien,
  44.     schreibgeschützten Diskette gebootet wird und danach das DOS-Programm
  45.     SYS angewendet wird. Die sicherste Methode besteht allerdings darin,
  46.     die Dateien von infizierten Disketten auf einen virenfreien Daten-
  47.     träger zu kopieren und danach die Diskette neu zu formatieren.
  48.  
  49.     Der Virus wird bei jedem 128 Bootvorgang aktiv, indem er die folgende
  50.     Meldung auf dem Bildschirm ausgibt:
  51.  
  52.         "Bloody! Jun. 4, 1989"
  53.  
  54.     Der 4. Juni 1989 ist das Datum, an dem die chinesische Armee in
  55.     Beijing, China die Studentenunruhen blutig niederschlug. Die Meldung
  56.     ist verschlüsselt und kann im Part-/Bootsektor nicht gefunden werden.
  57.