The World of Computer Software

home *** CD-ROM | disk | FTP | other *** search

/ The World of Computer Software / World_Of_Computer_Software-02-387-Vol-3of3.iso / n / nem_110.zip / NEMESIS.RPT < prev next >

Wrap

Text File | 1993-03-13 | 23KB | 350 lines

============================================================================= TEST mit 184 Viren, Robert Hörner NEMESIS 0.9, 08.Dez 1992 STATUS : EMS , FAT, INIT, INVALID CALLS ALLOWED 80386-DX-Rechner QEMM 6.0, Stealth-ROMs HD 182 MB SCSI, komplett readonly außer Partition G: mit 32MB ============================================================================= 126 Viren komplett entfernt / am residentwerden gehindert und komplett aus dem RAM entfernt. 22 Viren am residentwerden gehindert, aus dem System entfernt, aber nicht aus dem RAM gelöscht. 26 Viren nicht lauffähig auf AT oder mit NEMESIS 1 Virus (zunächst) unerkannt, dann entfernt 9 Viren mit unbekannter Aktivität 1 Virus langweilt ---------------------------------------------------------- 184 Viren insgesamt -10 Viren nicht laufähig auf AT (Exception) - 1 Virus langweilt =173 Viren als Kandidaten ---------------------------------------------- 149 Viren an Aktivität gehindert = 86 Prozent Dazu kommen diejenigen "totgeborenen" Viren, die deshalb einen Rechnerabsturz verursacht haben, weil sie versuchen im Singlestep-Verfahren bis zum DOS-Startcode zu gelangen. Das ist mit NEMESIS nicht mehr möglich. NEMESIS ist das erste Programm, das wirksam das EDDIE-Virus bekämpfen kann ! ============================================================================= ERGEBNIS-SCHLÜSSEL : R = Vollkommen entfernt r = Virus inaktiviert, nicht entfernt T = Rechner steht ? = Virus zeigt keine Aktivität / Veränderung ! = Virus wurde nicht erkannt / konnte nicht inaktiviert werden ANTWORT-Schlüssel : "N" = NEIN "J" = JA "A" = ABBRECHEN "R" = RESTAURIEREN ============================================================================= "(Zunächst) unerkannt von NEMESIS " 1 Virus ----------------------------------------------------------------------------- VIRUS-NAME VIRUS-AKTION ANTWORT ERGEBNIS ----------------------------------------------------------------------------- 1689 scheinbar keine Aktivität. Nach dem Start des _nächsten_ Programmes kommt dann : "hooked int 21H" "R" r/! ============================================================================= "nicht lauffähig auf AT oder mit NEMESIS" 26 Viren ----------------------------------------------------------------------------- VIRUS-NAME VIRUS-AKTION ANTWORT ERGEBNIS ----------------------------------------------------------------------------- BEBE keine. Exception #13 T ADVENT Exception #13 T HI Rechner steht (XT-Virus...) T 1554 Rechner steht (XT-Virus...) T NV101 Exception #13 , XT-Virus T DURBAN Exception #12, SP=0001 , XT-Virus T RUSSX5 Rechner steht sofort / XT-Virus T SVIR T AIDS-2 (endlosschleife) T Blackjack T 516 Exception #13, Verbiegt int 30h , das der ist NEMESIS-Dispatcher-Int T GUPPY "attempt to go resident" "N" "hooked int 21h" "R" Exception #13 T ANTIFAGOTT "modify bootsector of DRIVE C:" "N" Screen ist oben zerstört, Rechenfehler des virus Danach Exception #13 T FAGOTT "modify bootsector of DRIVE C:" "N" Screen ist oben zerstört, Rechenfehler des virus Danach Exception #13 T AMOEBA-2 "BIOS-membyte changed", "hooked int 1Ch,21H" "R" T Nach dem Restore steht der Rechner 256 "modify" "N"o Exception #12 (stack) T SR "attempt to trace int 13h" T (!) V800 "attempt to trace int 13h" T (!) MANOWAR Erster Versuch : Rechner steht, XT-Virus Zweiter Versuch : Funktionstasten gehen nicht mehr. T PHOENIX "attempt to trace int 13h" T FDT "request to get the DOS-datasegment" Antwort : "N" Endlosschleife Antwort : "J" Rechnerabsturz T 1963 "request to get DOS-datasegment" Antwort : "N" -> Rechner in Endlosschleife Antwort : "J" -> Absturz T TAIWAN-2 sofortiger Zugriff auf drive C: Critical-error-handler meldet sich, danach Absturz T 4096 Zugriff auf Netzwerk/LPT1. Rechner steht T 1554B "hooked int 21h" "R" T/r MCB wurde aber nicht freigegeben. Nach manueller Nacharbeit am MCB + CLEARMEM : Rechner steht. TYPO "modify" "N" "hooked int 16H" "R" r/T Nachdem es so aussieht, als sei alles wieder in Ordnung, kommt das nächste gestartete Programm nicht wieder zum DOS-Prompt zurück. Neustart des Rechners. ============================================================================= "Viren entfalten keine / unbekannte Aktivität" 9 Viren ----------------------------------------------------------------------------- VIRUS-NAME VIRUS-AKTION ANTWORT ERGEBNIS ----------------------------------------------------------------------------- CVIR Aktivität. Zweck im Versuch nicht be/erkannt. ! TRASH Dropper-prog gibt an, den MBR zu zerstören. Nach Erlaubnis, dies zu tun : es ist nicht in der Lage ? S-Cardet Aktivität unbestimmbar im Versuch. Netzwerk / Drucker wurde angesprochen. ? AP-400 Aktivität unbestimmbar im Versuch. Zugriff auf Drucker oder Netzwerk. ? RUSSX4 keine Aktivität ? KILLER Sofortiger Diskzugriff. Aktivität konnte im Versuch nicht bestimmt werden. ? TEQUILLA Zeigte keine Aktivitaet. Infiziertes EXE-File ist zu klein. ? 707 Keine erkennbare Aktion. Tastaturrepeatrate auf minimum. SCAN findet nichts. ? HONGKONG system halted (Virus-Message) ? ============================================================================= " Virus nervt" 1 "Virus" ----------------------------------------------------------------------------- VIRUS-NAME VIRUS-AKTION ANTWORT ERGEBNIS ----------------------------------------------------------------------------- SLAYER "modify" *.EXE, *.COM in allen Drives ! Zu bloede. Abgebrochen. ? ============================================================================= "Viren werden abgehängt, aber nicht aus dem RAM entfernt" 22 Viren ----------------------------------------------------------------------------- VIRUS-NAME VIRUS-AKTION ANTWORT ERGEBNIS ----------------------------------------------------------------------------- 1701/cascade "hooked int 8,21h" "R" r AIDS "modify" "N" "attempt to delete a directory" "N" r 1704-C "hooked int 21h" "R" r 1701-chic "hooked int 21h" "R" r 1704-Format "hooked int 9,20h,21h" "R" r LOVECHILD "Attempt to get the DOS-datasegment" "N" "hooked int 13h" "R" r "request to get the DOS-datasegment" "Y" "hooked int 13h","DOS-Startcode changed""R" r Das Virus kopiert sich in die INTTABELLE . EDDIE "attempt to write to a bootsector" "N" Diese Warnung kommt _nicht_ bei Drive C:, dort kommt eine spezielle für Drive C:. Kam insgesamt 3 mal. Danch "A"bort getippt. "hooked int 13h,21h,27h" "R" r EDDIE "attempt to write to a bootsector" "N" "hooked int 9h,21h,27h" "R" r EDDIE "attempt to write to a bootsector" "N" "hooked int 21h,27h" "R" r ---- man beachte, dass bei drei versuchen, dreimal andere ---- interrupts verbogen wurden ! 600 "hooked int 21h" "R" r TP33 "hooked int 1CH,21H" "R" r HYMN-X "MCB changed" "R" r ZEROBUG sofortiger Diskzugriff. Critical-Error-handler meldet sich : "abort retry ignore" Ich wähle "i"gnore. "modify COMMAND.COM" "N" "hooked int 1CH,21H" "R" r SVC-1064 "Hooked int 21h" "R" r FRANCE "hooked int 1CH,21h" "R" r 483 "hooked int 21h" "R" r ("r", weil es sich in die Interrupttabelle gelegt hat, und dort nicht entfernt wurde) HERO "hooked int 21h" "R" r ("r", weil es sich in die Interrupttabelle gelegt hat, und dort nicht entfernt wurde) ZELENG "modify a bootsector" ( nicht C:!) "N" "hooked int 9,20,21,27,2F" "R" r BADBOY "request to get DOS-datasegment" Antwort : "N" -> "attempt to trace int 13" Antwort : "J" -> "attempt to trace int 13" r BADBOY-2 "request to get DOS-datasegment" Antwort : "N" -> "attempt to trace int 13" Antwort : "J" -> "attempt to trace int 13" r HYMN "MCB changed" "R" r ============================================================================= "Viren werden abgehängt und komplett aus dem RAM entfernt" 126 Viren ----------------------------------------------------------------------------- VIRUS-NAME VIRUS-AKTION ANTWORT ERGEBNIS ----------------------------------------------------------------------------- DARTH.VADER-1 "request to get the DOS-datasegment" "N" R "J" R Geht nicht resident (INIT-Parameter) DARTH-VADER-2 Geht nicht resident (INIT-Parameter) R DARTH-VADER-3 Geht nicht resident (INIT-Parameter) R DARTH-VADER-4 Geht nicht resident (INIT-Parameter) R STACK/TT "DOS-startcode changed" "R" R BESTWISHES "attempt to trace int 13h" R V2000 "attempt to trace int 13h" R V2100 "attempt to trace int 13h" R ANTHRAX "attempt to trace int 13h" R SENTINEL "attempt to trace int 13h" R NOMNKALTURA "attempt to trace int 13h" R 512 "attempt to trace int 13h" R 394 "hooked INT 21H" "R"estore R TURBO99 "hooked int 21h" "R"estore R 1689_a "hooked int 21H" "R" R SARATOGA "hooked int 21h" "R" R KYIIE "hooked int 21h" "R" R FLIP-2343 "hooked int 21h" "R" R AT144 "hooked int 21h" "R" R LEECH "hooked int 21h" "R" R CEMETERY "hooked int 21h" "R" R VORONEZH "hooked int 21h" "R" R MURPHY-1 "hooked int 21h" "R" R MURPHY-3 "hooked int 21h" "R" R TINY "hooked int 21h" "R" R SHAKE "hooked int 21h" "R" R MLTI830 "hooked int 21h" "R" R MIGRAM "hooked int 21h" "R" R 529 "hooked int 21h" "R" R ANARKIA-2 "hooked int 21h" "R" R 529B "hooked int 21H" "R" R ATTENTION "hooked int 21h" "R" R 10813 "hooked int 21h" "R" R TURBO "hooked int 21H" "R" R 11325 "hooked int 21h" "R" R ARMAGEDON "hooked int 21h" "R" R MIX-2 "hooked int 21H" "R" R PERFUME "hooked int 21h" "R" R FREREJ "hooked int 21h" "R" R 905 "hooked int 8,21H" "R" R Black Monday "hooked int 8,21h" "R"estore R DAMAGE "hooked int 8,21h" "R" R 1704/cascade "hooked int 8,21h" "R" R GREEMLIN "hooked int 8,21h" "R" R HORESE2 "hooked int 8,21h" "R" R DAMAGE-B "hooked int 8,21h" "R" R JERUSALEM-B "hooked int 8,21h" "R" R A-204 "hooked int 8,21h" "R" R GREEK "hooked int 8,21h" "R" R FREREJACQUE "hooked int 8,21h" "R" R ALABAMA "hooked int 9,21h" "R" R DEMO "hooked int 9,21h" "R" R ALABAMA "hooked int 9,21h" "R" R 1813 "hooked int 13h,21h" "R"estore R 948-E "hooked int 1CH,21H" "R" R DIAMOND "hooked int 1CH,21H" "R" R SORRY "hooked int 1CH,21h" "R" R GRLINKS "hooked int 1CH,21H" "R" R VIR-UDV "hooked int 9,20h,21h" "R" R ANTICHRIST "Hooked int 21h,27h" "R" R V600 "Hooked int 21h,27h" "R" R 711 "hooked int 8,13h,21h" "R" R EIGHT TUNES "hooked int 8,9,1CH,21H" "R" R HORSE "hooked int 8,9,1CH,21H" "R" R 948 "hooked int 8,13h,1ch,21h" "R" R HORSE-5 "hooked int 9,20,21,27,2F" "R" R SEX-11 "change bootsector in DRIVE A:" "N" R PAKISTANI BRAIN "change bootsector in DRIVE A:" "N" R DISK-KILLER "change bootsector in DRIVE A:" "N" R KEYDROP "modify bootsector od DRIVE A:" "N" R PLAGUE "modify" "N" R WWT-02 "modify" "R" R DATACRIME "modify" "N" R VHP "modify" "N" R PARITY "modify" "V"erbieten R VHP-627 "modify" "N" R VIOLATOR-B "modify" "N" R 311 "modify" "N" R USSR275B "modify" "N" R KEMEROVO "modify" "N" R VHP-623 "modify" "N" R TI "modify" "N" R NEPOLIM "modify" "N" R V2P6 "modify" "N" R 1260 "modify" "N" R 435 "modify" "N" R unknown/XDV "modify" "N" R XMAS-J "create" "N" R AKUKU "modify" "N" R VCS "modify" "N" R INCOM "modify" "N" R 7808 "modify" "N" R AMSTRAD-?? "modify" "N"(vier Viren) R 847-xx "modify" "N"(drei viren) R 257 "modify" "N" R 299-FL "modify" "N" R 847V3 "modify" "N" R 405 "modify" erstes .COM "N" R AMSTRAD "modify" *.COM im akt. Pfad "N" R ARF sofortiger Zugriff auf alle Drives ! "modify" "N" R BOOTHORSE "modify bootsector of DRIVE A:" "N" R 994 "request to get the systemfiletable" "N" "modify" "N" R ANTICAD "allow to go resident ?" "N"o "hooked int 8" "R"estore R BEEPER "modify partsector C:" "N"o "hooked int 8,21h" "R"estore R 541 1. Aufruf : Zugriff auf Drive A:, Rename *.EXE in COM 2. Aufruf : "modify" *.COM "R"/"N" R DATALOCK "modify COMMAND.COM" "N" "hooked int 21H" "R" R TUMEN-05 "BIOS-memorybyte changed" "hooked int 9,1CH,21H" "R" R TUMEN-20 "modify the bootsector of DRIVE C:" "N" "BIOS-memorybyte changed" "hooked int 9,1CH,21H" "R" R FUCKYOU "BIOS-memorybyte changed" "hooked int 8,9,1CH,21H" "R" R FISH#6 wird nicht beim Residentwerden erwischt. R MEM.EXE zeigt zuwenig Speicher an, aber keinen MCB. DOS-Speichergröße im MCB wurde verändert, dies wird nicht angezeigt, wenn sonst nichts verändert wurde (Um Fehlalarmen vorzubeugen). FISH im Sgement 9DF6:0000 resident, aber "tot". Da der FISH zum DOS-entry tracen will, und NEMESIS das verhindert, ist es trotzdem ein Erfolg von NEMESIS. V801 Erster Versuch : keine Aktivität / XT-Virus Zweiter Versuch : "modify" "N" R DIASPRON sofortiger Zugriff auf Drive A: Dort Versuch *.EXE in COM umzubennenen "N" R BLACKJACK-x "create" vorhandenes COM ( sieben Viren) Antwort "N" -> Rechner steht Antwort "J" -> infiziert, indem er sich davorschreibt R DATACRIME sofortiger Zugriff auf Drive C: "modify" im Pfad C:\ "N" R DIABOLIC "modify" "N" "BIOS-memorybyte changed from 280->200" "R" R -----------------------------------------------------------------------------