home *** CD-ROM | disk | FTP | other *** search

---

/ Belgian Amiga Club - ADF Collection / BS1 part 43.zip / ANC 21.adf / a.doc

< prev

next >

Wrap

Text File  |  1988-01-19  |  14KB  |  351 lines

---

1.  
2.                   -VirusX-
3.  
4.               by Steve Tibbett
5.  
6.  
7.    - The Complete Virus Removal System! -
8.  
9. VirusX - Fourth in a growing line of "X-Utilities".
10.  
11. REMEMBER: STUFF NEW TO THE LATEST VERSION IS AT THE _END_ OF THIS
12. FILE!
13.  
14. Version Notes:
15. --------------
16. V1.01: V1.01 is just 1.0 with a bug fixed.  Also cleaned up the source
17. a tad (one less Goto).
18.  
19. V1.2: V1.2 is the same as 1.01 but also adds detection of the Byte
20. Bandit virus both in RAM and on Disk.
21.  
22. V1.21: V1.21 is just 1.2 cleaned up a little bit, V1.2 shouldn't have
23. been released the way it was (Just one printf where it shouldn't have
24. been).
25.  
26. V1.3: V1.3 is V1.21 but cleaned up a bunch, and is now less than 7K! 
27. Even more reason to make it resident.
28.  
29. V1.4: New version, to handle the REVENGE virus.
30.  
31. V1.5: Done specifically for the Byte Warrior virus. 
32.  
33. V1.7: Mistake.
34.  
35. V1.71 : Cleaned up again, made smaller, and a new virus.
36.  
37. V2.00 : Wow, the big jump!  V2.00 notes are at the end of this file.
38.  
39.  
40. Somewhere along the way, I rigged VirusX so it would notice any of the
41. 4 current viruses in RAM and remove it.  Thus, if you've got VirusX in
42. your startup sequence, there's NO way a virus can be around (unless
43. it's one I haven't seen yet).
44.  
45.  -> READ V1.2 Byte Bandit Virus notes at the <-
46.            -> end of this file! <-
47.    -> And the new Revenge Virus notes <-
48.   -> AND the new Northstar Virus Notes <-
49.  
50. NOTE!  TO RUN VIRUSX IN YOUR STARTUP SEQUENCE, YOU MUST USE "RUNBACK
51. VIRUSX" AND NOT "RUN VIRUSX" OR THE INITIAL CLI WILL NEVER CLOSE.  A
52. LOT of people asked me about this- Runback is in this archive - Copy
53. it onto your boot disk and use it to run VirusX (Arp users can use
54. ARun).
55.  
56. The SCA Virus is something that's been following us around for a
57. couple of months now, and I think it's about time we got rid of it for
58. good.
59.  
60. There are a number of CLI-based Virus Checkers out there, which do
61. their job just fine, but if you're not into using CLI, what do you do?
62. You use VirusX!
63.  
64. Please, I encourage you to give this program to anybody who might
65. have the virus.  Including your local dealer - some of the dealers in
66. this area have the virus all over their disks, which they allow
67. customers to copy, and they don't do anything about it because they
68. don't know how.  VirusX makes it extremely simple.
69.  
70. You can put VirusX in your Startup-Sequence.  When run, it will open a
71. small window so you know it's there (and it will display the
72. occasional message in it).  Whenever a disk is inserted into any of
73. the 3.5" drives, that disk is automagically checked for the SCA virus,
74. and also checked to see if it's boot sector is "Standard".  If the
75. disk has a nonstandard boot sector, it is either a new form of virus
76. which I don't know about yet, or it is a commercial program which uses
77. the boot block for  something constructive (like booting their game).
78.  
79. If VirusX finds a boot block it is suspicious about, it will present
80. the user with a requester either warning him that the disk has the SCA
81. virus, or telling him that the boot code is nonstandard.  In either
82. case, he is given the option to either ignore it, or to Remove it.
83.  
84. If the user selects Remove, after he says he's SURE he wants to
85. rewrite the disk's boot sector (Remember: Never rewrite the boot
86. sector of a commercial program unless you KNOW that program doesn't
87. use it for something else.  If the program gives you the AmigaDOS
88. window before running, you know it is safe to repair that disk.).  
89. The boot code written back to the disk by VirusX is the same boot code
90. that the AmigaDOS INSTALL command (and it's compatible counterpart on
91. one of the fish disks) uses.  
92.  
93. If you run across a strain of the virus, or any other virus that
94. VirusX doesn't specifically warn of, PLEASE send me a copy of a disk
95. with that virus on it!  I want to keep VirusX current, and to do so, I
96. need the viruses.   I have heard tell of two other viruses besides
97. SCA, but I don't know much about them - yet.
98.  
99. Of course, there are those of you who are thinking that I am some nut
100. case trying to spread my own virus hidden under the guise of a virus
101. checker.  Well, just for you, I've included the C source code. 
102. Please, if you don't trust me, don't discard a useful utility as
103. untrustworthy for no reason, CHECK THE SOURCE!  Recompile it if you
104. think I'm trying to slip a fast one on you.  I just want to see the
105. virus out of all of our lives.
106.  
107. I want feedback on this!  Send me a letter!  This program is
108. Copyrighted, but is freely redistributable (It's NOT Shareware).  Do
109. what you want with it, but  Please don't use it for evil purposes. 
110. That's what I'm trying to prevent.
111.  
112. My address:
113.  
114.     Steve Tibbett
115.     2710 Saratoga Pl. #1108
116.     Gloucester, Ontario
117.     K1T 1Z2
118.  
119.     My BBS: OMX BBS, 613-731-3419.
120.  
121.     I can be reached on BIX as "s.tibbett" and on People/Link
122.     as "SteveX".
123.  
124.  
125. ---------------------------------------------------------------
126.  
127. Note:
128.  
129.  - When VirusX finds and removes the Byte Bandit Virus in RAM
130.    on a German A2000, the machine will sometimes crash.  I
131.    don't know why this happens, but it works perfectly on the
132.    B2000 and the 500 and 1000...
133.  
134.  
135. BYTE BANDIT VIRUS:
136.  
137. The Byte Bandit virus is the main reason for this release of
138. VirusX.  What the Byte Bandit virus does is once it's in
139. memory, it copies itself to just above the high memory
140. pointer on the first hunk of RAM it can find (Which means
141. it's not always in the same place), wedges itself into the
142. Interrupt Server chain, into the Trackdisk.device's vectors,
143. and creates itself a Resident structure so it can hang
144. around after reboot.
145.  
146. It watches EVERY disk inserted, and will write itself to ANY
147. bootable disk that is inserted!  This one can spread like
148. wildfire - every disk you insert into your external drive during
149. a session with this Virus loaded will result in all those disks
150. being infected.  Ouch.
151.  
152. Also, if you Install a disk while this virus is going, it will 
153. just copy itself back to the disk - which is why I had to wipe
154. it from memory in VirusX 1.2...
155.  
156. When VirusX finds this virus on a disk, it will also display a "Copy
157. Count" which is the number of disks that have been infected by that
158. "Branch" on the "Tree" that the virus is on -  If you infect a disk
159. with your copy, and your copy is number 300, then that copy will be
160. #301.  If he infects somebody,  that will be #302, but on YOUR copy,
161. two infectations down the line, there will be another #302... Anyways,
162. the copy count on MY Byte Bandit virus is #879... 
163.  
164. Note that VirusX will check RAM for this virus as well as the disk. 
165. This was necessary as you can tell from the description above.
166.  
167. Special thanks must go here to Dave Hewett, who, 2 days after I gave
168. him a copy of the virus, gave me a printed, commented disassembly of
169. the virus with meaningful labels and everything I needed to stomp it -
170. Thanks Dave!
171.  
172. Thanks must also go to Bruce Dawson of CygnusSoft Software, who  went
173. to the trouble of being the First person to send me this Virus.  (As
174. of yet, he's also the ONLY person - Geez, folks, I need YOUR help to
175. do this too, eh?)
176.  
177. ---------------------------------------------------------------
178.  
179. VirusX 1.4 Notes:
180.  
181.    New to this version of VirusX:
182.  
183.     1: Seek-out-and-destroy the new 'Revenge' virus.
184.  
185.     2: Allow viewing of the ASCII stuff in the boot block
186.  
187.     3: Notify the user and remove the SCA virus from RAM.
188.  
189.  
190. 1: "The Revenge Virus"
191. ----------------------
192. This version of VirusX was released mainly to deal with the  "Revenge"
193. Virus.  This virus is not yet common in North America (I think I'm the
194. first person here to have a copy of it), but it is apparently making
195. the rounds in Sweden and Germany, so that's who this version of VirusX
196. is more or less directed to.  (I'm sure we'll get that virus over here
197. soon enough!)
198.  
199. What this virus does, is everything that the Byte Bandit virus does,
200. PLUS, after infecting a disk, it will wait one  minute after every
201. reboot, and change your mouse pointer  into an image of a certain part
202. of the Male anatomy. 8-)
203.  
204. I think the reason this virus is called the "Revenge" virus is because
205. it looks specifically for the Byte Bandit and for the SCA Virus.  If
206. it finds either of these, it Rigs THAT virus so that it will CRASH the
207. machine unless THIS virus is loaded first.  Note that I might be wrong
208. about this - that's the way it looks from the disassembly, but I don't
209. have an SCA virus here to  test it with.   I tried it with the Byte
210. Bandit, and it didn't seem to do anything like this - but be warned,
211. in case it pops up later or something.
212.  
213. He stays in RAM via changing the CoolCapture vector to point to his
214. own code.  He then intercepts the DoIO() call and watches for any
215. attempts to rewrite or to read the boot block and acts accordingly. 
216. He also has an interrupt around counting VBlanks until it's time to
217. bring up his sicko pointer.
218.  
219. To get this virus out of memory is Simple - Hold down the Joystick
220. button (Plug a joystick into port 2, and hold down the button while
221. you are rebooting), and the screen will briefly turn RED during the
222. boot, and it's out of memory. (If you hold down Joystick button AND
223. mouse button, it will half-remove himself from RAM and turn the screen
224. Blue)
225.  
226. VirusX will alert you if the virus is present in RAM and will render
227. it helpless in RAM before telling you about  it.  It will also report
228. it's presence on disk.  
229.  
230. 2: Allow viewing of ASCII text in Boot Blocks
231. ---------------------------------------------
232. If you click in the little "VirusX" window, and type a number from 0
233. to 3, (Corresponding to the drive # you would like to look at), VirusX
234. will resize it's window to fit in the ASCII text of these two blocks,
235. and allow you to view it.  When you run across a "Nonstandard Boot
236. Block", you can now check and see if the boot block is some sort of
237. new Virus (Assuming that the author of the Virus left a string in it)
238. as you will see something like "Revenge Virus 1.2G" or whatever string
239. that identifies the virus.  
240.  
241. Also, you can check to see which strain of the SCA virus you have
242. (VirusX will report "an SCA virus", but will not tell you if it is the
243. "LSD" virus, or the "Zorro/Willow" virus or whatever new ones may
244. appear).
245.  
246.  
247. 3: Find the SCA in RAM and Remove it.
248. -------------------------------------
249. This version of VirusX also notices the SCA virus in RAM and Disables
250. it, giving you a notice of that.  I should have done this long ago,
251. but anyways, here it is.
252.  
253. I'd like to thank Lasse Wilkund for being the first (And only so far)
254. person to send me this virus on disk.  Lasse is part of a Swedish users
255. group with over 700 members!
256.  
257. --------------------------------------------------------------
258.  
259. V1.5 Notes:
260.  
261.     This version of VirusX adds the new Byte Warrior virus to
262. it's list of viruses.  
263.  
264. The Byte Warrior Virus is a lot like the Byte Bandit virus, except
265. it is not designed to hurt anything - it will start an "Alarm"
266. sound if it sees another virus (or at least I think it does - 
267. it hasn't for me), but other than that, it will write itself to
268. any disk inserted.  There is also a hidden message in it, asking us
269. to spread it around and not to erase it.  Ya, right.
270.  
271. Also, V1.5 is smaller than V1.4 (I don't know how THAT happened...)
272.  
273. --------------------------------------------------------------
274.  
275. V1.6 Notes:
276.  
277. The only new thing here is support for the North Star
278. 'AntiVirus'.  it's a virus itself that alerts you to other ones - 
279. I think this sort of idea is stupid because it can do just as 
280. much damage as the rest of them.
281.  
282. Oh, and VirusX doesn't eat a bunch of memory whenever you insert
283. a disk any more.  (Ha ha ha ha nobody noticed)
284.  
285. Also, this is the first release where I didn't include the Source
286. for VirusX.  Seeing how far this file gets, and seeing how little
287. the source is actually used (Not at all, I hope), and hoping that
288. you all trust me now, I don't feel it's necessary to include the
289. source.  If you WANT the source, send me a disk and a SASE.
290.  
291. ----------------------------------------------------------------
292.  
293. V1.7 Notes:
294.  
295. One new virus showed up for this version, the "Obelisk Softworks
296. Crew" virus.  It was sent to me by Jason Allen Smith.  Thanks, 
297. Jason!
298.  
299. Other changes this version - it's now a bunch smaller (again!) thanks
300. to a bit of a rewrite in assembler, and some reorganization.
301.  
302. New feature:  Hitting "C" while the VirusX window is selected will
303. cause it to re-check all the disks.  What this is good for, is when
304. you get a "Nonstandard boot block", and you want to take a look at
305. the disk. Previously, you had to cancel the requester, click in the
306. VirusX window, hit "0" to have it show you the boot block, then
307. remove the disk and re-insert it if you indeed want to kill
308. whatever's nonstandard about it.  Now, just hit C.
309.  
310. Also, the source is back, by VERY POPULAR demand!
311.  
312. -------------------------------------------------------------------
313.  
314. V2.00 NOTES:
315.  
316. I was running out of V1.x numbers, so I had to make a 2.0.  I figured
317. I should probably do SOMETHING to make the jump seem significant, so
318. here are the features new to this version:
319.  
320.   - VirusX no longer needs to be "RunBack"-ed to get it to go from
321.     the startup-sequence.  Just stick a line in your startup
322.     sequence saying "VirusX", (not even Run VirusX), and it will
323.     pop open it's window, and the rest of your startup sequence
324.     will finish and the CLI window will close.
325.  
326.   - This version will now check the "CoolCapture", "WarmCapture",
327.     and "ColdCapture" vectors when first run, and will alert you 
328.     if it sees anything abnormal.  Since all of the viruses so far
329.     (I think) use this, it will probably be a good way to spot
330.     future viruses.  Why am I not checking the KickTagPtr list, 
331.     you ask?  Because the Commodore RRD uses it, I say, and it
332.     would be darn annoying forcing a requester on everybody who
333.     uses it.
334.  
335.   - If you click in the VirusX window, and hit "I", you will see
336.     Stats!  (Information, actually).  This replaces the text that
337.     was hidden on the title bar in previous versions.  Also, 
338.     VirusX is still active while these stats are visible, so if you
339.     are checking a number of disks, you might as well leave this
340.     open.
341.  
342. Unfortunately, it grew a bit for this version.  It's 2K bigger, I
343. think - hope you don't mind too much.
344.  
345. -------------------------------------------------------------------
346.  
347. There are MORE viruses out there!  Please, send them to me!
348.  
349.     ...Steve
350.  
351.