home *** CD-ROM | disk | FTP | other *** search
/ Amiga Tools 2 / Amiga Tools 2.iso / virus / anticiclovir / anticiclovir.dok < prev    next >
Text File  |  1995-03-09  |  30KB  |  748 lines
  1.  
  2.         Dokumentation von AntiCicloVir V2.3a        18.09.1994
  3.         ===================================        ==========
  4.  
  5.  
  6. Inhaltsverzeichnis:
  7.  
  8. 1. Copyright
  9.  
  10. 2. Wie benutze ich AntiCicloVir ?
  11.  
  12. 3. Wie teste ich den Speicher auf Viren ?
  13.  
  14. 4. Wie teste ich Dateiverzeichnisse auf Viren ?
  15.  
  16. 5. Wie teste ich die Boot-Sektoren auf Viren ?
  17.  
  18. 6. Wie teste ich den Disk-Validator auf Viren ?
  19.  
  20. 7. Beschreibung einiger repraesentativer AMIGA-Viren:
  21.  
  22.     - SCA
  23.  
  24.     - BGS 9
  25.     - Bret Hawnes
  26.     - Disaster-Master
  27.  
  28.     - IRQ
  29.     - Golden Rider
  30.  
  31.     - SADDAM
  32.  
  33. 8. Post
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.             
  45.                 Copyright
  46.  
  47. AntiCicloVir ist nun Public Domain-Software und das bedeutet, dass Sie
  48. AntiCicloVir jetzt sowohl zum privaten Gebrauch, als auch zum kommerziellen
  49. Gebrauch verwenden koennen !
  50. Sie koennen mit AntiCicloVir Ihre eigenen Disketten auf Viren testen, es zum
  51. Schutz auf einer eigenen PD-Serie verwenden, und es jedermann zu jedem Preis
  52. weitergeben.
  53. Sie duerfen den Assembler-Quelltext dieses Programmes lesen, jede beliebige
  54. Routine aus dem Quelltext fuer eigene Programme verwenden, oder auch Teile
  55. des Assembler-Quelltextes aendern oder ergaenzen.
  56. Wenn Sie selbst ueber Assembler-Sprachkenntnisse verfuegen, dann werden Sie
  57. schnell bemerken, wie simpel es ist, diesen Viruskiller so zu erweitern, dass
  58. er neue Viren im Speicher und auf Diskette erkennt !
  59. Sie duerfen den Quelltext von AntiCicloVir auch als Basis fuer die 
  60. Programmierung eines eigenen Virenkillers verwenden !
  61. Doch es bestehen einige Beschraenkungen:
  62. Sie duerfen jedoch ein derartig veraendertes Programm nicht mehr unter dem
  63. Namen `AntiCicloVir` verbreiten, weil ich in Zukunft weitere (und bessere)
  64. Versionen von AntiCicloVir schreiben werde und denke, dass es nicht besonders
  65. nuetzlich sein duerfte, wenn dann mehrere Programme unter dem selben Namen
  66. existieren !!!!!!
  67. Weiterhin ist jegliche Aenderung am Inhalt dieser Dokumentation, sowie am
  68. Inhalt der Datei `VIRUSLIST.DOC`, untersagt !!!
  69.  
  70. Nun ja, ich hoffe, dass im Assembler-Quelltext von AntiCicloVir keine 
  71. ernsthaften, widerlichen, ekelhaften Bugs (Fehler) existieren, doch ich 
  72. glaube, dass es kein Programm ohne Bug gibt, so dass ich auch KEINE 
  73. Garantie fuer die fehlerfreie Arbeit von AntiCicloVir geben kann ...
  74. Ich werde nicht die Verantwortung fuer irgendwelche Schaeden uebernehmen, die
  75. direkt oder indirekt bei fehlerfreier oder fehlerhafter Benutzung von 
  76. AntiCicloVir entstanden sind !
  77. Das bedeutet beispielsweise fuer den Fall, dass Ihnen Hardware- oder Software-
  78. schaeden entstanden sind, welche durch ein Virus verursacht wurden, welches
  79. AntiCicloVir nicht erkannt hat, dass ich dafuer nicht die Verantwortung
  80. uebernehmen werde !
  81. Aber ich hoffe, dass derartige Dinge nicht geschehen werden.
  82.  
  83.  
  84.  
  85.  
  86.  
  87.  
  88.  
  89.  
  90.  
  91.  
  92.  
  93.  
  94.  
  95.  
  96.  
  97.  
  98.  
  99.             Wie verwende ich AntiCicloVir ?
  100.  
  101. AntiCicloVir ist ein einfach zu handhabender aber leistungsstarker 
  102. Viruskiller, wie einst VirusX.
  103.  
  104. Es ist nicht schwer, mit AntiCicloVir zu arbeiten !
  105. Heutzutage erscheinen immer mehr Superviruskiller, doch immer mehr Anfaenger
  106. haben Schwierigkeiten, diese Superviruskiller auch zu 100 Prozent effizient
  107. auszunutzen, weil diese Programme mit der Zeit so komplex geworden sind, dass
  108. man zuerst, Giga-Bytes von Dokumentationsdateien zu lesen hat, bevor man weiss,
  109. wie man solch` einen Superviruskiller am sinnvollsten einsetzt ...
  110.  
  111. Jeder, der sich intensiv mit seinem Computer beschaeftigt, weiss, dass einzelne
  112. Teilbereiche der Informatik mittlerweile so komplex und umfangreich geworden
  113. sind, dass man wirklich kaum noch Zeit hat, sich intensiv mit anderen Teil-
  114. bereichen auseinanderzusetzen ...
  115. Jemand, der sich beispielsweise fuer Grafikprogrammierung interessiert, hat
  116. weder Zeit noch Lust, sich auch mit Computer-Viren und Antivirusprogrammierung
  117. auseinanderzusetzen, doch er wird nicht drumrumkommen ...
  118. Leider scheint sich nun aber auch im AMIGA-Bereich immer mehr der Trend, in
  119. Richtung komplexerer Programme durchzusetzen, wie bereits im PC-Bereich ...
  120. Hier muss man erst tausendseitige Buecher waelzen, oder Giga-Bytes an Daten aus
  121. Dokumentationsdateien konsumieren, bevor man ueberhaupt weiss, welche 
  122. Funktionnen einem mit einem bestimmten Programm zur Verfuegung stehen 
  123. - Funktionen, von denen  - wie die Praxis lehrt - i.d.R. ohnehin nur die 
  124. wenigsten im konkreten Anwendungsfall sinnvoll sind ...
  125.  
  126. Mit der Programmierung von AntiCicloVir wird das Ziel verfolgt, einen 
  127. Viruskiller zu entwickeln, der es dem Anwender ermoeglicht, sich ueberhaupt 
  128. nicht mehr mit dem Thema Computer-Viren auseinandersetzen zu muessen und 
  129. gleichzeitig ein Maximum an Sicherheit gewaehrleistet !
  130. Erreicht werden soll dies durch eine optimale Hierarchie und Struktur der
  131. Viruskiller-Funktionen, die es jedem ohne umfangreiche Kenntnisse ermoeglichen
  132. soll, den Viruskiller am sinnvollsten einzusetzen.
  133. Dieses Ziel ist gewiss nocht nicht erreicht !
  134.  
  135. Wenn Sie AntiCicloVir benutzen wollen, dann brauchen Sie nur diese kurze 
  136. Dokumentation zu lesen und folgende Dinge zu wissen:
  137.  
  138. AntiCicloVir ist momentan eher ein Virenjaeger als ein Virenkiller !
  139. Es kann zwar Viren im Speicher erkennen, aber sie nicht aus demselben entfernen,
  140. da es keine Vektoren veraendert !
  141. Momentan habe ich naemlich nicht die Original-Adressen aller Systemvektoren
  142. aller Betriebssysteme, da ich leider nicht so viel Geld habe, wie einige
  143. Antivirus-Freaks, um mir alle AMIGA-Modelle zu kaufen, die Commodore `mal auf
  144. den Markt gebracht hat ...
  145.  
  146. In manchen Faellen duerfte es aber auch ausreichen, die Resetvektoren durch
  147. AntiCicloVir ruecksetzen zu lassen, um ein Virus aus dem Speicher zu entfernen.
  148. Danach sollten Sie aber einen Reset ausfuehren, damit das Virus dann endgueltig
  149. aus dem Speicher fliegt, falls es den Reset nicht ueberlebt haben sollte !!!
  150.  
  151. Wegen der geringen Dateilaenge von nur 22 KB, eignet sich AntiCicloVir besonders
  152. gut zum Einbinden in die Startup-Sequence.
  153. Kopieren Sie AntiCicloVir in`s Unterverzeichnis c und rufen Sie es von der
  154. Startup-Sequence, unter Verwendung der option `-c` fuer den schnellen Speicher-
  155. test, auf !
  156. Jedesmal wenn Sie von dieser Diskette booten, zeigt AntiCicloVir ihnen die
  157. Adressen einiger wichtiger Systemvektoren und sucht im Speicher nach bekannten
  158. Viren.
  159.  
  160. Falls AntiCicloVir ein Virus im Speicher gefunden haben sollte, dann befehlen
  161. Sie AntiCicloVir, den Resetvektoren zu loeschen und loesen Sie einen Reset aus !
  162. Nachdem Sie von einer `sauberen` Diskette gebootet haben, sollten Sie 
  163. AntiCicloVir ein zweites Mal starten, um zu sehen, ob das Virus noch im
  164. Speicher steht !
  165.  
  166. Um die Boot-Sektoren der Disketten mit AntiCicloVir auf Virenbefall zu testen,
  167. starten Sie AntiCicloVir unter Angabe der Option `-m` von der Shell oder von
  168. der Workbench-Oberflaeche aus.
  169. AntiCicloVir testet jede Diskette in allen angeschlossenen Laufwerken, sobald
  170. Sie eine in`s Laufwerk eingelegt haben.
  171. AntiCicloVir testet nicht nur die Boot-Sektoren von eingelegten Disketten, 
  172. sondern auch gleichzeitig deren Disk-Validatoren.
  173.  
  174. Wenn Sie Ihre Disketten auch auf Datei- und Linkviren hin testen wollen, dann
  175. benutzen Sie AntiCicloVir bitte von der Shell aus:
  176.  
  177. Geben Sie den Dateinamen von AntiCicloVir gefolgt vom Namen des zu 
  178. untersuchenden Verzeichnisses oder Unterverzeichnisses an !
  179.  
  180. Sie sehen, es ist sehr einfach AntiCicloVir zu verwenden !!!
  181.  
  182.  
  183.  
  184.  
  185.  
  186.  
  187.  
  188.  
  189.  
  190.  
  191.  
  192.  
  193.  
  194.  
  195.  
  196.  
  197.  
  198.  
  199.  
  200.             Wie teste ich den Speicher auf Viren ?
  201.  
  202. Wenn Sie AntiCicloVir, unter Verwendung der Option `-m`, oder von der Workbench-
  203. Oberflaeche aus, starten, so wird es Ihnen zuerst die ROM-Adressen der 
  204. wichtigsten Systemvektoren anzeigen.
  205. Wenn einer der Resetvektoren ColdCapture, CoolCapture, KickTagPtr nicht mehr
  206. auf Null zeigt, wird AntiCicloVir einen Requester erzeugen, mit dem es Sie 
  207. fragt, ob es diese veraenderten Resetvektoren wieder zuruecksetzen soll.
  208. Die anderen Resetvektoren WarmCapture, KickMemPtr und KickCheckSum koennen
  209. allein, ohne die oben erwaehnten Vektoren, von Viren nicht verwendet werden.
  210.  
  211. AntiCicloVir ueberprueft nicht die Adressen der ROM-Vektoren und kann sie auch
  212. nicht auf ihre Original-ROM-Adressen zuruecksetzen, falls sie veraendert worden
  213. sind !
  214. Aber jedes Virus haengt ueber einen der oben erwaehnten Resetvektoren im
  215. Speicher herum, und das ist der Punkt, an dem AntiCicloVir jedes neue unbekannte
  216. Virus erkennen wird !
  217.  
  218. AntiCicloVir zeigt Ihnen die wichtigsten Adressen der ROM-Vektoren aus der
  219. Exec-Basis-Struktur, der exec.library, der intuition.library, der dos.library,
  220. dem trackdisk.device und dem keyboard.device.
  221.  
  222. Wenn Sie AntiCicloVir mit der Option `-c` gestartet haben, dann wird 
  223. AntiCicloVir einen schnellen Speichertest durchfuehren.
  224.  
  225. Wenn AntiCicloVir ein bekanntes Virus im Speicher gefunden hat, wird es einen
  226. Requester erzeugen, um Sie zu warnen.
  227. Aber es kann kein Virus aus dem Speicher entfernen, weil es keine Original-ROM-
  228. Adressen zuruecksetzt !!!
  229. Bitte setzen Sie mittels AntiCicloVir die Resetvektoren zurueck und fuehren
  230. einen Reset aus, um das Vius aus dem Speicher zu schmeissen, oder schalten Sie
  231. den AMIGA aus !
  232. Nachdem AntiCicloVir die Resetvektoren zurueckgesetzt und Sie einen Reset
  233. ausgeloest haben, booten Sie bitte von einer `sauberen` Diskette und starten
  234. AntiCicloVir ein zweites Mal, um zu sehen, ob das Virus noch immer im Speicher
  235. steht oder nicht ...
  236.  
  237.  
  238.  
  239.  
  240.  
  241.  
  242.  
  243.  
  244.  
  245.  
  246.  
  247.  
  248.  
  249.  
  250.  
  251.  
  252.  
  253.  
  254.  
  255.             Wie teste ich Dateiverzeichnisse auf Viren ?
  256.  
  257. Wenn Sie das Haupt- oder ein Unterverzeichniss einer Diskette auf Viren testen
  258. wollen, so muessen Sie zuerst in die Shell wechseln, um AntiCicloVir gefolgt
  259. vom Pfadnamen des zu testenden Verzeichnisses zu starten.
  260. Wollen Sie jedoch nur eine einzelne Datei untersuchen, so geben Sie bitte den
  261. korrekten Pfadnamen des Veryeichnisses, in dem sich die Datei befindet, an.
  262.  
  263. AntiCicloVir zeigt jeden Eintrag (Dateiname) eines Verzeichnisses an und dessen
  264. Schutz-Status (Protection-Bits), dessen Dateilaenge und falls vorhanden
  265. Kommentar.
  266. Ausserdem kann es den Inhalt der Dateien nach ausfuehrbarem Code und Programm-
  267. code von Datei-, Link-, und Disk-Validator-Viren, sowie nach dem von 
  268. Trojanischen Pferden und Bomben hin untersuchen !
  269. Wenn etwas von dem oben erwaehnten widerlichen  Muell in einer Datei gefunden 
  270. wurde, dann haengt AntiCicloVir eine kurze Meldung an den Dateinamen `ran 
  271. und erzeugt einen Requester, um Ihnen die Moeglichkeit zu geben, dieses Virus 
  272. zu loeschen.
  273.  
  274. AntiCicloVir kann keine unsichtbaren Dateinamen aus der Startup-Sequence ent-
  275. fernen !
  276. Wenn Sie mithilfe von AntiCicloVir ein Dateivirus entfernt haben, dann schauen
  277. Sie mittels eines Dateimonitors oder beispielsweise des Shell-Kommandos TYPE
  278. in Ihrer Startup-Sequence nach unsichtbaren Zeichen, welche Dateiviren
  279. verwenden, um sich selbst aufzurufen ...
  280. Sie muessen diese unsichtbaren Zeichen unter Verwendung der Backspace-Taste
  281. loeschen, oder Sie werden nach jedem Reboot von dieser Diskette die Fehler-
  282. meldung `unknown command` erhalten !
  283.  
  284. Da AntiCicloVir in jedem Verzeichnis nach Dateinamen, welche unsichtbare 
  285. Zeichen enthalten, sucht, kann es auch komplett neue Dateiviren aufspueren, 
  286. welche es bis zu diesem Zeitpunkt noch nicht kannte !!!
  287. Das ist sehr sinnvoll ...
  288. Bitte senden Sie neue unsichtbare Dateien an meine Adresse !
  289. Danke !
  290.  
  291.  
  292.  
  293.  
  294.  
  295.  
  296.  
  297.  
  298.  
  299.  
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.             Wie teste ich Boot-Sektoren auf Viren ?
  309.  
  310. Um die Boot-Sektoren mit AntiCicloVir auf Viren zu testen, muessen Sie 
  311. AntiCicloVir von der Shell, unter Angabe der Option `-m`, oder von der 
  312. Workbench-Oberflaeche aus, starten.
  313. Nachdem Zeigen der Adressen der wichtigsten ROM-Vektoren und Passieren des
  314. Speichertests, installiert AntiCicloVir eine Intuition-Fensterleiste am oberen
  315. Rand des aktuellen Fensters und wartet nun so lange, bis Sie irgendeine Diskette
  316. in`s Laufwerk eingelegt haben.
  317. AntiCicloVir untersucht die Boot-Sektoren aller Disketten in allen 
  318. angeschlossenen Laufwerken, sobald Sie irgendeine Diskette in irgendein
  319. Laufwerk eingelegt haben !!!
  320. Wenn AntiCicloVir ein bekanntes Bootblock-Virus gefunden hat, dann wird es 
  321. einen Requester erzeugen, um Sie zu fragen, ob es dieses Bootblock-Virus, durch
  322. Ueberschreiben mit einem Standard-Bootblock, loeschen soll.
  323.  
  324.  
  325.  
  326.  
  327.  
  328.  
  329.  
  330.  
  331.  
  332.  
  333.  
  334.  
  335.  
  336.  
  337.  
  338.  
  339.  
  340.             Wie teste ich den Disk-Validator auf Viren ?
  341.  
  342. Um den Disk-Validator Ihrer Disketten auf Disk-Validator-Viren zu testen,
  343. muessen Sie AntiCicloVir, unter Angabe der Option `-m`, von der Shell, oder
  344. von der Workbench-Oberflaeche aus, starten.
  345. Nachdem Zeigen der wichtigsten ROM-Adressen und dem Passieren des Speichertests,
  346. installiert AntiCicloVir eine Intuition-Fensterleiste am oberen Rand des
  347. aktuellen Fensters und wartet so lange, bis Sie irgendeine Diskette in`s 
  348. Laufwerk gelegt haben.
  349. Wenn irgendein Disk-Validator-Virus auf der Diskette gefunden wurde, dann er-
  350. zeugt AntiCicloVir einen Requester und ueberlaesst Ihnen die Wahl, dieses 
  351. Virus zu loeschen oder nicht zu loeschen.
  352.  
  353.  
  354.  
  355.  
  356.  
  357.  
  358.  
  359.  
  360.  
  361.  
  362.         Beschreibung einiger repraesentativer AMIGA-Viren:
  363.  
  364. - SCA:
  365.  
  366.     Dieses war das erste Virus fuer den AMIGA.
  367.     Es lebt in den ersten beiden Sektoren der Spur 0 einer Diskette -
  368.     genannt der Bootblock.
  369.     Jedesmal wenn Sie von solch` einer infizierten Diskette booten, kopiert
  370.     sich das SCA-Virus absolut in`s CHIP-RAM an die Speicherposition $7EC00.
  371.     Danach kontrolliert es, ob die dos.library resident ist und stoppt so
  372.     lange, bis die dos.library wirklich resident ist.
  373.     Das SCA-Virus setzt den Resetvektoren CoolCapture auf seine eigene
  374.     Adresse, welche $7EC3E lautet, und schlaeft nun so lange, bis Sie
  375.     einen Reset ausfuehren...
  376.     Ausserdem berechnet es eine neue Pruefsumme fuer die Exec-Basis-
  377.         Struktur.
  378.     Sobald Sie Ihren Computer rebooten, entfernt das SCA-Virus die ROM-
  379.         Adresse des Vektoren der DoIO ()-Routine und setzt dort die Adresse 
  380.         einer eigenen Routine ein.
  381.     Wenn nun der AMIGA versucht, seinen eigenen IORequest zu starten,
  382.     unter Verwendung der ROM-Routine DoIO (), um von einer Diskette zu
  383.     booten,    wird das SCA-Virus aktiviert und aendert den IORequest fuer
  384.     seinen eigenen Verwendungszweck, um den Code von der Speicherposition
  385.     $7EC00 in die ersten beiden Sektoren der Spur 0 einer Diskette - ge-
  386.     nannt Bootblock - zu schreiben ...
  387.     Danach setzt es die Original-ROM-Adresse in den Vektoren der Routine
  388.     DoIO ().
  389.     Das SCA-Virus verursacht keine Schaeden, aber es gibt die folgende
  390.     Mitteilung aus:
  391.  
  392.     `Something wonderful has happened.
  393.      Your AMIGA is alive !!!
  394.      and, even better ...
  395.      some of your disks are infected by a VIRUS
  396.      Another masterpiece of The Mega-Mighty SCA !!!`
  397.  
  398.     Viren wie SCA nennen wir Bootblock-Viren !
  399.  
  400.  
  401.  
  402. - BGS9:
  403.  
  404. Nicht ganz so gefährlich, aber dennoch lästig ist das BGS 9-Virus !
  405. Es sucht sich das erste ausführbare Programm aus der Startup-Sequence
  406. und verschiebt es unter dem unsichtbaren Namen $A0A0A0202020A0202020A0 in`s
  407. Verzeichnis `DEVS:` !
  408. Das Dateivirus selbst kopiert sich anstelle des Original-Programmes.
  409. Nach jedem Abarbeiten der Startup-Sequence, wird es aktiviert !
  410. Mittlerweile gibt es zwei Versionen dieses Dateiviruses !
  411. Nachdem dieses Virus gestartet wurde, schreibt es sich als `MemList`-Struktur
  412. in den Speicher und gibt in KickMemPtr einen Zeiger darauf zurück !
  413. In den KickTagPtr wird die Adresse für das Resetprogramm eingetragen und
  414. mit SumKickData () die KickCheckSum berechnet und ebenfalls eingetragen.
  415. Nach jedem Reset verbiegt das Resetprogramm den OpenWindow ()-Vektor auf
  416. eine Vermehrungsroutine, welche beim Rücksprung diesen Vektor wieder
  417. auf die ROM-Adresse setzt !
  418. Nach vier Resets wird folgender Text ausgegeben:
  419.  
  420.  
  421. `                       A COMPUTER VIRUS IS A
  422.                              DISEASE
  423.  
  424.                           TERRORISM IS A
  425.                            TRANSGRESSION
  426.  
  427.                          SOFTWARE PIRACY IS A
  428.                                CRIME
  429.  
  430.                           THIS IS THE CURE
  431.  
  432. BBB      GGGGGG    SSSS    99999            
  433. B  B     G        S        9   9         
  434. B  B     G          S      9   9             
  435. BBB      G           S     99999              Bundesgrenzschutz Sektion 9
  436. B  B     G GGGG       S        9              Sonderkommando "EDV"
  437. B  B     G    G        S       9
  438. BBB      GGGGGG    SSSS    99999`
  439.  
  440.  
  441. Außerdem werden auch beide Viren im Speicher erkannt !
  442. Doch leider können die Viren BGS 9 und BGS 9 II im Speicher
  443. nicht voneinander unterschieden werden !
  444. Sie sind nahezu identisch und unterscheiden sich nur in zwei Details
  445. voneinander !
  446. Zum Einen wurde ein Byte im unsichtbaren Namen des BGS9-Viruses auf
  447. der Diskette geändert und zum Anderen wurde ein Byte in der Kodierung
  448. des ASCII-Textes im Speicher geändert !
  449. Ich vermute, daß diese Änderungen nur vorgenommen wurden, um einen
  450. bestimmten Viruskiller zu täuschen !
  451. Die BGS 9-Viren funktionieren auch unter OS 3.01 !
  452.  
  453.  
  454.  
  455. - Bret Hawnes:
  456.  
  457. Dieses 2608 Bytes große Dateivirus tarnt sich als unsichtbares Programm
  458. im Hauptverzeichnis jeder infizierten Diskette und schreibt seinen
  459. Aufruf in die s/startup-sequence !
  460. Somit hat das Bret Hawnes-Virus gewisse Ähnlichkeiten mit den Revenge
  461. of the Lamer Exterminator-Viren, obwohl ich schreiben muß, daß diese
  462. weitaus professioneller programmiert worden sind !
  463. Es steht als unsichtbare Datei auf der Diskette, die dem Hexadezimal-Wert:
  464. $C0A0E0A0C0 entspricht !
  465. Dieses Dateivirus kopiert sich absolut nach $7F000 in den Speicher und
  466. setzt KickTagPtr & KickCheckSum auf sein Resetprogramm.
  467. Der Interrupt-Vektor 3 wird auf eine eigene Adresse für die Textausgabe
  468. verbogen.
  469. Waehrend des Resets werden noch die Vektoren der Routinen OpenLibrary (),
  470. OpenWindow () verbogen und wieder zurueckgesetzt !
  471. Der Vektor OpenLibrary () wird verbogen, damit das Virus immer beim
  472. Oeffnen einer Systembibliothek nach dem Reset aktiviert wird und warten kann,
  473. bis die intuition.library geoffnet wird !
  474. Ist dies geschehen, wird OpenLibrary () wieder auf die ROM-Adresse gesetzt
  475. und nun OpenWindow () verbogen.
  476. Jetzt wartet Bret Hawnes so lange, bis AmigaDOS das CLI-Fenster 
  477. oeffnet und schreibt sich bei dieser Gelegenheit auf die Diskette !
  478. Nach neun Vermehrungen zerstört dieses Virus Disketten und ueberschreibt
  479. den Bootblock !
  480. Sind zwanzig Minuten vergangen, so wird folgender Text ausgegeben:
  481.  
  482. `GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN
  483.  I`VE TAKEN THE CONTROL OVER YOUR AMIGA !!!
  484.  THERE IS ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! `
  485.  
  486. Das Virus löscht den Zeiger CoolCapture.
  487.  
  488.  
  489.  
  490. - DISASTER-MASTER:
  491.  
  492.  
  493. Dieses 1740 Bytes große Virus tarnt sich als `Clear Screen`-Befehl
  494. unter dem Namen `cls` im `c`-Verzeichnis und schreibt einen eigenen
  495. Aufruf in die s/startup-sequence: `cls *` !
  496. Das Virus kann entweder von einem unwissenden Anwender aktiviert werden,
  497. der es aus dem `c`-Verzeichnis als `cls` startet !
  498. Dabei wird der Bildschirm gelöscht und das Virus in den Speicher kopiert.
  499. Wenn es von der startup-sequence aus gestartet wird, dann benutzt es
  500. die Option `*`.
  501. Dabei wird der sichtbare Bildschirm nicht gelöscht und das Virus
  502. bleibt so unbemerkt und kann sich in den Speicher kopieren !
  503. Im Speicher setzt das Dateivirus die Vektoren KickTagPtr & 
  504. KickCheckSum auf seine Adresse.
  505. Waehrend der Resetphase verbiegt das Virus den Vektoren DoIO () auf eine
  506. eigene Routine, welche auf den Zeitpunkt wartet, zu dem die `intuition.library`
  507. verfuegbar ist.
  508. Ist dies der Fall, so wird der Vektor OpenWindow () aus der `intuition.library`
  509. auf eine viruseigene Adresse verbogen und DoIO () wieder auf die ROM-Adresse
  510. gesetzt.
  511. Ueber OpenWindow () findet nun die Vermehrung statt, sobald das 
  512. Betriebssystem das AmigaDOS-Fenster oeffnet !
  513. Anschliessend wird auch OpenWindow () wieder auf die ROM-Adresse gesetzt.
  514. So ist es nach jedem Reset aktiv und kopiert sich als `cls` in`s
  515. `c`-Verzeichnis neuer Disketten und schreibt den Befehl `cls *` in
  516. die s/startup-sequence !
  517. Dieses Virus wird auch vom T.C.R. Intromaker erzeugt, der in
  518. einigen PD-Serien erschienen ist !
  519. Wenn sich dieses Virus im Speicher befindet, kann manchmal die
  520. AmigaDOS-Anzeige am linken oberem Bildschirmrand verschwinden !
  521. Dieses Virus scheint aber noch ein paar Gag`s mehr `drauf zu haben,
  522. als ich in meiner letzten Dokumtation beschrieben habe !
  523. So kann es beispielsweise nach dem Booten von der Systemdiskette,
  524. das übliche AmigaDOS-Fenster in einen Screen umwandeln, wie man
  525. ihn beispielsweise von der Workbench-Oberfläche oder einigen 
  526. Textanzeigeprogrammen her kennt !
  527. Das Disaster Master-Virus kann auch eine `Guru-Meditation` aus-
  528. lösen, wobei die Fehlernr. dem Herstellungsdatum dieses Viruses
  529. entspricht !
  530. Mit dieser Fehlermeldung stellt sich Ihnen das Dateivirus vor und bietet
  531. die Moeglichkeit, es zu loeschen an
  532. Im Virencode befindet sich auch eine Routine zum Zerstoeren von Disketten,
  533. von der ich allerdings nicht weiss, ob diese je erreicht wird ...
  534. Moeglicherweise wird diese Routine nach einer bestimmten Anzahl von
  535. Vermehrungen angesprungen.
  536.  
  537.  
  538.  
  539.  
  540. - IRQ:
  541.  
  542. Dieses 1096 Bytes große Linkvirus gilt als das älteste und erste Amiga-
  543. Linkvirus.
  544. Es kopiert sich als Hunk entweder in das erste ausführbare Programm aus
  545. der s/startup-sequence oder es infiziert den CLI-Befehl DIR, falls
  546. es kein anderes ausführbares Programm gefunden hat !
  547. Um resetfest zu bleiben, setzt es die Zeiger KickTagPtr & KickCheckSum 
  548. auf seine Adresse im Speicher.
  549. Zum Weiterkopieren wird der Vektor der Routine OldOpenLibrary () verbogen.
  550. Die OldOpenLibrary-Routine entstammt dem KickStart V1.0 und sollte von
  551. neueren Programmen nicht mehr verwendet werden, da es mittlerweile eine
  552. bessere Routine namens OpenLibrary () gibt !
  553. Die OldOpenLibrary-Routine wurde unter den neuen Betriebssystem-Versionen
  554. nur deshalb erhalten, damit ältere Programme auf den neueren Amiga-Modellen
  555. auch noch laufen !
  556. Die OpenLibrary-Routinen werden von Programmen benutzt, um die System-
  557. bibliotheken zu öffnen !
  558. Denn sämtliche für Programme wichtige Routinen sind schon im Betriebssystem
  559. enthalten und können somit von Programmen genutzt werden !
  560. Das IRQ-Virus richtet keine Schäden an, kann aber durch Texte in der
  561. Fensterleiste wie folgende recht nerven: `AmigaDOS presents a new virus by
  562. the IRQ-Team V41.0`.
  563. Das IRQ-Linkvirus arbietet nur mit KickStart V1.2 zusammen und erzeugt
  564. bei hoeheren ROM-Versionen gleich nach dem Start Systemabstuerze.
  565.  
  566.  
  567.  
  568. - Golden Rider:
  569.  
  570.  
  571. Das Golden Rider-Virus ist das zweite `echte Linkvirus` in meiner
  572. Dokumentation !
  573. Dieses Virus steht immer ab $7C000 über CoolCapture resetfest im
  574. Speicher !
  575. Es verbiegt ansonsten noch die Vektoren DoIO () und Open () aus der `dos.
  576. library` !
  577. Dieses Linkvirus funktioniert, meiner Meinung nach, anders als übliche
  578. Linkviren !
  579. Während Linkviren wie CCCP oder Smily Cancer beispielsweise einen
  580. eigenen Hunk in ein infiziertes Programm schreiben und diesen in dessen
  581. Hunk-Tabelle eintragen, kopiert sich das Golden Rider-Virus selbst
  582. in den ersten Programm-Hunk !
  583. Dadurch kann man es nicht mehr über die Hunk-Tabelle erkennen, sondern
  584. muß den kompletten ersten Hunk eines Programmes auf dieses Virus
  585. checken !
  586. Das Virus ersetzt einfach den Befehl `RTS` am Ende des ersten Hunk`s
  587. durch `NOP` und kopiert sich selbst dann hinter diese Stelle.
  588. Dadurch wird beim Beenden des ersten Hunk`s nicht in die aufrufende
  589. Ebene zurückgesprungen, sondern nur der Programmzähler erhöht und
  590. anschließend das Virusprogramm ausgeführt !
  591. Das Virus zerstört keine Disketten und gibt auch keine Meldetexte aus.
  592. Allerdings ist der Text: `>>> Golden Rider <<< by ABT` immer am Ende
  593. des ersten Hunk`s lesbar !
  594.  
  595.  
  596.  
  597.  
  598. - SADDAM: 
  599.  
  600. Dieses 1848 Bytes große Virus tarnt sich als Disk-Validator im Verzeichnis
  601. `L` auf infizierten Disketten !
  602. Jede mit einem SADDAM-Virus infizierte Diskette hat einen
  603. Disk-Validating Error, den das SADDAM-Virus selbst angelegt hat.
  604. Dieses Virus ist das erste, welches sich unter AmigaDOS selbst
  605. aufrufen kann, ohne daß es vom Anwender durch Booten oder Starten eines
  606. verseuchten Programmes etwa aktiviert  wurde !!!!!!
  607. Das Einlegen einer mit einem SADDAM-Virus infizierten Diskette reicht
  608. aus, damit sich das Virus in den Speicher kopieren kann !
  609. Es simuliert einen echten Disk-Validator und hat auch diesselbe Größe
  610. des Original-Disk-Validators, doch im Gegensatz zu diesem, ist es
  611. bis auf das Wort BitMap CheckSum Error total kodiert und kann so
  612. von Anfängern schwer unterschieden werden !
  613. Es kopiert sich auf jede nicht schreibgeschützte Diskette im Laufwerk
  614. DF0: als Disk-Validator !
  615. Wenn es kein `L`-Verzeichnis auf einer Diskette findet, dann kann es
  616. dieses Verzeichnis selbst anlegen !
  617. Bei bereits vorhandenem Disk-Validator, kopiert sich das Virus einfach
  618. `drüber !! 
  619. Der Disk-Validator ist eine Art `externe Betriebssystem-Routine`, die
  620. von AmigaDOS immer dann aufgerufen wird, wenn es auf eine Diskette
  621. mit ungültiger BAM ( Block Allocation Map ) trifft !
  622. In der BAM jeder Diskette steht zum Beispiel wieviele und welche
  623. Blöcke schon belegt sind.
  624. Ist diese BAM ungültig, so hat die Diskette einen Disk-Validating Error,
  625. und das Betriebssystem muß mit Hilfe einer Routine die entsprechenden
  626. Block-Angaben selbst herausfinden !
  627. Diese Routine ist der Disk-Validator im Verzeichnis `L` !
  628. Mit dessen Hilfe wird herausgefunden, wieviele und welche Blöcke
  629. einer Diskette schon belegt sind.
  630. Das SADDAM-Virus beinhaltet ebenfalls die Routine eines Disk-Validators
  631. und wird auch vom Betriebssystem bei ungültiger BAM aufgerufen.
  632. Dieses Virus setzt den BitMap-Zeiger im Rootblock der Diskette , auf der es 
  633. sich kopiert, auf eine sinnlose Adresse, was das Betriebssystem später 
  634. ständig beim Einlegen dieser Diskette zwingen wird, den :L/Disk-Validator - 
  635. also das SADDAM-Virus - zu starten !
  636. Das SADDAM-Virus setzt den Zeiger ColdCapture auf seine Speicher-
  637. adresse und kann so auch unter KickStart 1.3 ohne SetPatch r 
  638. den Reset ueberleben !
  639. Außerdem werden verbogen  InitCode (), OpenWindow (), BeginIO (), 
  640. Close (trackdisk.device) & Rasterbeam !
  641. Es ist nach jedem Reset und nach jedem Diskettenwechsel aktiv und
  642. kopiert sich auf die aktuelle Diskette !
  643. Das SADDAM-Virus zerstört die Disketten, indem es nach einiger Zeit
  644. einige Blöcke in IRAK umbenennt und deren Inhalt mit einem bestimmten
  645. Wert kodiert !
  646. Diese kodierten Datenblöcke werden von AmigaDOS nicht mehr anerkannt
  647. und lösen so Read/Write Errors aus !
  648. Solange sich das SADDAM-Virus jedoch aktiv im Speicher befindet, dekodiert
  649. es die IRAK-Datenbloecke und unterdrueckt so derartige Fehlermeldungen !
  650. Erst wenn es aus dem Speicher entfernt wurde, kommt es zu read/write
  651. errors !!!
  652. Mir ist aufgefallen, daß sich das SADDAM-Virus nicht auf Disketten
  653. kopieren kann, wenn man ihnen die Namen` DF1`,`DF2` oder `DF3` gibt !!!
  654.  
  655. Da die Gefahr besteht, daß sich schon beim Durchchecken Ihrer Sammlung,
  656. ein mögliches SADDAM-Virus in den Speicher kopiert, empfiehlt es
  657. sich, zuerst alle Disketten mit aktiviertem Schreibschutz zu testen !
  658. Anschließend sollten die mit einem SADDAM-Virus infizierten Disketten
  659. aussortiert und der Amiga ausgeschaltet werden.
  660. Danach können Sie den Amiga wieder einschalten, und mit AntiCicloVir
  661. die SADDAM-Viren von den befallenen Disketten löschen !
  662. Zwar kopiert sich das Virus wieder in den Speicher, aber dafür wird
  663. es nur beim Diskettenwechsel aktiv !
  664. Wenn das SADDAM-Virus von einer infizierten Diskette gelöscht wurde,
  665. kopiert es sich erst wieder auf diese, wenn sie zum zweiten Mal einge-
  666. legt wird ( und das sollten Sie vermeiden !!! ) !
  667. Nachdem Sie alle Disketten vom SADDAM-Virus befreit haben, werden Sie
  668. merken, daß alle einen Disk-Validating Error haben, an dem aber nicht
  669. AntiCicloVir, sondern das Virus schuld ist.
  670. Gewiß kann man in komplizierter Weise diesen Fehler auch mit einem
  671. Diskettenmonitor entfernen, aber es geht auch viel einfacher mit Hilfe
  672. des Betriebssystems !
  673. Benutzt man einen Disketteneditor, so muss man zuerst die Original-Adresse
  674. des BitMap-Blocks suchen, die das SADDAM-Virus immer auf der betroffenen
  675. Diskette abspeichert.
  676. Anschliessend muss diese Adresse im BitMap-Zeiger des Rootblockes
  677. eingetragen werden.
  678. Dieser Disk-Validating Error ist zwar harmlos, aber lästig, da man
  679. auf derartigen Disketten keine Programme oder Dateien mehr abspeichern
  680. kann !
  681. Legen Sie also einfach die Workbench-Diskette ein, auf der sich
  682. hoffentlich der echte Disk-Validator befindet und booten Sie von
  683. ihr !
  684. Nachdem Sie sich im CLI und die CLI-Befehle im RAM befinden,
  685. sollten Sie nun eine Diskette mit dem Disk-Validating Error einlegen !
  686. Daraufhin wird das Betriebssystem den Disk-Validating Error melden
  687. und nach der Workbench-Diskette verlangen, auf der sich ja der
  688. Disk-Validator befindet.
  689. Mit Hilfe dieses Disk-Validator`s`, werden nun die Anzahl und Adressen
  690. der belegten Blöcke auf der fehlerhaften Diskette in den Speicher
  691. kopiert und somit ist die Diskette für AmigaDOS vorerst wieder gültig.
  692. Jetzt können Sie vorläufig wieder Schreibzugriffe auf diese Diskette
  693. ausüben und das sollten Sie auch tun !
  694. Denn bei jedem Schreibzugriff auf einer Diskette, wird eine neue gültige
  695. BAM angelegt und die Diskette hat somit keinen Disk-Validating Error
  696. mehr !!!
  697. Löschen Sie nun also irgendeine unwichtige oder schreiben Sie eine
  698. wichtige Datei auf diese Disk, damit die BAM wieder stimmt !!
  699. Sie können beispielsweise .info löschen !
  700.  
  701. Schwieriger ist es mit den Disketten, auf denen das SADDAM-Virus
  702. schon einzelne Datenblöcke kodiert hat !
  703. Wenn Sie die vorerst verloren gegangenen Daten nicht mehr brauchen,
  704. mit der Diskette aber sinnvoll weiterarbeiten wollen, dann können
  705. Sie auch das Programm DiskDoctor benutzen, um die Read/Write Errors
  706. zu beseitigen !
  707. Lesen Sie dazu bitte auch das Amiga-Benutzerhandbuch von Commodore !
  708.  
  709. Das SADDAM-Virus wurde mir von Gregory Sapsford ,Fohlenkamp 33,
  710. W-4600 Dortmund 13 zugesandt !
  711.  
  712.  
  713.  
  714.  
  715.  
  716.  
  717.  
  718.  
  719.  
  720.  
  721.  
  722.  
  723.  
  724.  
  725.  
  726.         Post
  727.  
  728. Sollten Sie neue AMIGA-Viren, Bootbloecke, Komprimierungsprogramme oder
  729. residente Programme erhalten haben, dann bitte ich Sie, mir dieses Material
  730. zu zusenden !
  731. Ich bin an jedem Fehlerbericht ueber AntiCicloVir interessiert !
  732. Sollten Sie irgendwelche Fragen, Tips oder Anregungen zum Assembler-Quelltext
  733. von AntiCicloVir haben, so senden Sie Ihre Briefe bitte an die Adresse, die am
  734. Ende dieser Datei erscheint !
  735. ... aber Sie koennen diese Adresse auch nutzen, wenn Sie Assembler-Programmierer
  736. sind und einfach nur Quelltexte mit mir austauschen wollen ...
  737.  
  738. Mit dieser Dokumentationsdatei duerfte dann wohl der endgueltige Beweis fuer
  739. die Aussage erbracht worden sein, die an gleicher Position am Ende der
  740. englisch-sprachigen Dokumentation gemacht wurde ...
  741.  
  742. Matthias Gutt
  743. (Member of SHI)
  744. Kantstr. 16
  745. 21335 Lueneburg
  746.  
  747. Germany
  748.