Aminet 1 (Walnut Creek)

home *** CD-ROM | disk | FTP | other *** search

/ Aminet 1 (Walnut Creek) / Aminet - June 1993 [Walnut Creek].iso / aminet / util / virus / vt252.lha / VTest2 / Schutz / VT.Dokumente / VT.kennt < prev next >

Wrap

Text File | 1993-04-24 | 253KB | 5,544 lines

VT2.52 kennt: ============== (oder sollte erkennen) Stand: 24.04.93 - bitte lesen Sie zuerst VT.LiesMich. Danke ! - Serienersteller sollten vorher Kontakt mit mir aufnehmen !!! Heiner Schneegold Am Steinert 8 8701 Eibelstadt W-Deutschland Tel. 09303/8369 (nur 19.00 - 20.00 Uhr) nicht sicher erkannte Viren: (die ich nicht habe, alte Viren nur 2) - Requester enthält vier umgedrehte Fragezeigen - das jeweils eine Testlangwort, wurde teilweise aus dem SourceCode mehrerer bekannten VirenschutzProgramme (PD) ent- nommen. - deshalb bei Anzeige nur Kreset oder weiter - bekannte Viren (die ich habe): ============================== (werden vom Prg. erkannt und ohne RESET (nein, drei Virus-Prg.e nicht mehr s.u.) im Speicher geloescht) Test auf drei Langworte im Speicher !!! Kein FastMem heisst, dass das VirusPrg mit FastmemKarte bei mir abstuerzt, koennte aber mit $C00000 oder einer anderen FastMemKarte laufen ???? - $4EB9-Link ?? Fileauszug: 00000000: 000003f3 00000000 0000000d 00000000 ................ 00000010: 0000000c 00000004 00000014 00000630 ...............P 00000020: 400000cc 00000001 0000007c 0000042a @..............+ 00000030: 00000486 00000014 000026d8 0000007c ..........&..... 00000040: 000013aa 00000923 000003e9 00000004 .......#........ 00000050: 4eb90000 00004eb9 00000000 70004e75 N.....N.....p.Nu 00000060: 000003ec 00000001 00000001 00000002 ................ 00000070: 00000001 00000008 00000008 00000000 ................ 00000080: 000003f2 000003e9 00000014 48e7ffff ............H... Diese Struktur taucht in letzter Zeit immer haeufiger im Zusam- menhang mit gelinkten Viren auf. Bei den Viren handelt es sich in der Regel um "alte" Teile, die aber nicht erkannt werden koennen, da die Testlangworte an einer anderen Stelle liegen. Vermutlich wurde die Struktur von einer Szene-Gruppe entwickelt, um ein Intro vor ein Programm linken zu koennen. Diese Struktur wird nun abgekupfert (oder es existiert sogar ein Programm dafuer ??). Also BITTE, BITTE nicht bei jedem $4eb9 sofort loeschen, sondern nachdenken und das File erst auf eine andere Disk kopieren. Der groesste Teil der gefundenen Programme wird wahrscheinlich der Szene zuzuordnen sein, d. h. das Spiel wird nach dem Loeschen NICHT mehr laufen. Bitte helfen SIE mit, die Virus-Programme her- auszufiltern und schicken Sie die Programme bitte an mich. Wenn es geht mit Tel. Nr. . Ich rufe dann zurueck, sobald ich das Teil entschluesselt habe. Ich sichere noch einmal zu, dass sowohl Telefonnummern als auch Adressen nach Erledigung der Arbeit in den Abfalleimer wandern. Struktur: Ab $84 beginnt das gelinkte Virus-Teil Ab $48 beginnt der Ausloeser-Hunk. Er ist sehr kurz (4) und enthaelt nur 2 Sprungbefehle jsr ($4EB9), moveq 0,d0 (7000) und ein rts (4e75). Danach folgt ein Reloc-Hunk fuer die jsr-Befehle. Ablauf: Der 1. jsr-Befehl installiert das Virus-Teil und kehrt zurueck. Der 2. jsr-Befehl fuehrt das Nutzprogramm aus und kehrt nach Be- endigung des Programms zurueck. Danach wird d0 geloescht und mit rts das ganze File beendet. So einfach ist das. - .info anderer Name: TimeBomb V0.9 s.u. - 16 Bit Crew Cool, im Prg. noch DoIo, FastMem ja, im Speicher immer ab $7ec00 Vermehrung: ueber BB im BB steht unverschluesselt: The 16 Bit Crew 1988 - 2001 SCA-Clone, Cool immer 7EC3E, nur anderer Text - A.H.C.-Virus BB nur KS1.3 immer ab $7FA00 Cool $7FAFE, DoIo 7FFB3E Sollte auch mit KS1.2 laufen. Leider hat der Superprogrammierer beim Nachbau $23FC mit $33FC verwechselt. Ja das Augenlicht !!! Ursprung: groessere Teile wurden bei Sherlock_Anti.BB abge- kupfert. Fordert trackdisk.device NICHT !!!! Namensbegruendung: siehe unten Schaeden: gibt immer wieder mehrere verschiedene Alert-Meldungen aus. siehe unten Vermehrung: BB Im BB ist zu lesen: 790005bc 2048656c 6c6f2c20 412e482e y... Hello, A.H. 432e2073 7065616b 696e6720 68657265 C. speaking here 21212120 20200050 32d02020 20505245 !!! .P2. PRE 53532052 49474854 20425554 544f4e20 SS RIGHT BUTTON 20200050 50b42020 466f7220 6120676f .PP. For a go 6f642046 75636b2e 2e2e2041 2e482e43 od Fuck... A.H.C 2e212020 00202020 20200000 05e62049 .! . .... I 606d2074 68652041 2e482e43 2e2d5649 `m the A.H.C.-VI 52555320 00505000 20202020 20202020 RUS .PP. 20202020 20202020 20202020 20204920 I 636f6e74 726f6c20 796f7572 20636f6d control your com 70757465 72212121 00505000 00000000 puter!!!.PP..... 002e1eb0 2045696e 20647265 69666163 .... Ein dreifac 68657320 4d69746c 65696420 66fc7220 hes Mitleid f.r 41746172 69535400 50330020 412e482e AtariST.P3. A.H. 432e2028 68616861 68612920 20202020 C. (hahaha) 20202020 20202020 20202020 20202000 . - Abraham siehe Claas Abraham - ADAM BRIERLEY BB Cold immer $7E700 KEIN Virus !!!! Namensbegruendung: 2A202020 20434F44 45204259 20204144 * CODE BY AD 414D2042 52494552 4C455920 2020202A AM BRIERLEY * KEINE Vermehrungsroutine !!! Es handelt sich um einen Bootblock- lader, was man bei RICHTIGER Reassemblierung leicht feststellen kann. Es koennte sich sogar um einen BB handeln, aus dem eine Schutzroutine entfernt wurde (sehr viele NOPs an einer Stelle). Warum die Beschreibung doch hier steht und nicht in "VT andere BB"? Damit die Erbsenzaehler nicht 2 Texte lesen muessen !! VT kennt: 15.10.92 - aibon-Virus siehe bei Express2.20-Virus - Aids Vkill-Clone siehe dort Unterschied: 3 Bytes 1.Byte: in der Pruefsumme 2.Byte: Vermehrungszaehler 3.Byte: Einsprung in entschluesselten Text (ein Prg. springt z.B. nach $7ebc3, das 2. Prg. nach $7eba9) - AIDS-HIV SCA-Clone, Cool immer 7EC3E, nur anderer Text - AlienNewBeat Cold, Cool, DoIo, nur KS1.2, Fastmem ja im Speicher immer ab $20000 Vermehrung: ueber BB Vermehrungszaehler: $2037e Text im BB sichtbar: z.B. THIS IS THE ALIEN NEW BEAT BOOT! - Amiga Freak Forpib-Clone s.u. nur Name im BB geaendert - AMIGAKNIGHTVIRUS Filevirus Laenge: 6048 (ungepackt) DoIo, KickTag, KickCheckSum Schreibt in Root das File init_cli und auch in startup-sequence Sonst keine Schaeden festgestellt. Nach 5 Resets wird der Bildschirm schwarz und rosa Schrift fuer Text. Der Text ist bis dahin codiert. oberer Bildschirmbereich: YEAH, THE INVASION HAS STARTED! YOUR TIME HAS RUN OUT, AND SOON WE WILL BE EVERYWHERE! Bildschirmmitte: Vektordemo unterer Bildschirmbereich: THIS IS GENERATION 0039 OF THE EVIL AMIGAKNIGHTSVIRUS GREETINGS TO DUFTY, DWARF, ASID CUCUMBER ASTERIX, ANDY, AND ALL AMIGIANS I KNOW Vectordemo: 3 TextTeile erscheinen mit Zoomeffekt nacheinander a) Toco of b) THE c) AMIGAKNIGHTS - Angel-Virus BB Cool, PutMsg, Wait Fordert trackdisk.device NICHT Nach RESET GURU, da Cool absoluten Sprung enthaelt: 4EF9 000110CC JMP $110CC (Anfaenger !!) Namensbegruendung: s.u. Vermehrung: ueber BB (auch wenn die Cool-Routine falsch ist) Jeder BB sieht anders aus, da codiert mit Wert aus $DFF007 . Schaeden: Abhaengig von einer Zaehlzelle wird ueber Seek ein KopfStep ausgefuehrt. Die Textausgabe (s.u.) ist mir nicht gelungen. Text im Speicher decodiert mit: eor.b d2,(a1)+ 54686520 54726176 The Trav 656c206f 66207468 6520416e 67656c2d el of the Angel- 56697275 73204765 6e657261 74696f6e Virus Generation 204e722e 30303030 30202048 69204275 Nr.00000 Hi Bu 746f6e69 63202620 47616e64 616c6600 tonic & Gandalf. 4c617566 7765726b 20444630 3a206973 Laufwerk DF0: is 74206c65 69646572 20626573 6368e464 t leider besch.d 6967742e 2e2e0000 igt... VT-kennt: 02.12.92 - Animal-Virus SADDAM-Clone Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $363636a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 416E696D 616C2056 69727573 ... Animal Virus Behandlung: siehe bei SADDAM 28.03.93 - ANTI-KANACKEN-Virus BB SCA-Clone (s.u.) Namensbegruendung: 6f732e6c 69627261 72790000 44617320 os.library..Das 414e5449 2d4b414e 41434b45 4e205669 ANTI-KANACKEN Vi 72757320 28536965 67204865 696c292d rus (Sieg Heil)- Hallo ihr jungen Leute im wiedervereinigten Deutschland. Wollt ihr, dass die Welt Grund hat, mit dem Finger auf uns zu zeigen. So schafft ihr es bestimmt, ALLES was eure Eltern in 47 Jahren aufgebaut haben, in kurzer Zeit kaputt zu machen. Denkt BITTE nach !!! VT-kennt: 17.10.92 - Antichrist-Virus Link dosbase+$2e KS2.04: nein Grundgeruest war ein Trav. Jack (siehe unten) Namensbegruendung: im Speicher ist zu lesen: 20202020 20202020 20202020 20202020 20202020 20202020 20546865 20416e74 The Ant 69636872 69737420 332f342f 39322020 ichrist 3/4/92 20202020 20202020 20202020 20202020 Unterschiede zu Trav, Jack: - legt ab und zu ein File an mit der Laenge: #26 Bytes Name Antichrist.X (das X wechselt, siehe Beispiel). Inhalt des Textfiles siehe Beispiel Antichrist.Y 0c0a0d54 68652041 6e746963 68726973 ...The Antichris 74206973 20626163 6b0a0000 00000000 t is back....... - Codierung des VirusPrg.s fehlt. - Hunklaenge wechselnd $24f oder $250 VT erkennt und loescht im Speicher: 13.03.93 VT erkennt und baut aus im File : 14.03.93 VT erkennt und loescht neues File : 14.03.93 - Art Byte Bandit anderer Name: ByteBanditPlus s.u. - ASV-Virus immer $7DC00, Cool, im Prg Forbid, loescht KickTag usw. keine Vermehrungsroutine Schaden: verbiegt mit setfunction Forbid auf ChipAllocMem-Routine d.h. bei jedem Forbid-Aufruf geht ChipMem verloren. - ASYLANT-Virus SCA-Clone nur Test geaendert 2048616c Hal 6c6f2069 63682062 696e2065 696e2020 lo ich bin ein 4153594c 414e5420 21212121 21212121 ASYLANT !!!!!!!! - Australian Parasite Fastmem ja, Cool, DoIo, im Prg. BeginIo Vermehrung: ueber BB ueber GraphikRoutine wird BildschirmInhalt gedreht im BB sichtbar: The Australien Parasite! By Gremlin 18/5/88! Will NOT destroy game bootsectors or corrupt disks, and kill other viruses! HINWEIS: manchmal gibt VirusX Australian Parasite aus, obwohl es sich um den SADDAM Disk-Validator handelt !!!! - AutoBootingBootProtector V2.0 anderer Name: VCCofTNT-Virus s.u. - BAHAN anderer Name BUTONIC_1.1 siehe dort - BB-Prot BB Virus anderer Name: T.ET.E s.u. - BEETHOVEN 22.11.92 File Laenge:2608 immer ab $7EF00 Bret Hawnes Clone KS2.04: ja Kicktag, SumKickData, KickCheckSum, OpenNewLib, $6C Namensbegruendung : siehe bei DisplayAlert (Unterschied zu B.H.) Abhaengig von der Zeit meldet sich das VirusTeil mit DisplayAlert. Die Routine und der Text wird decodiert mit: not.b (a1) eor.b #$27,(a1)+ Da hierbei die intuition.base hardcodiert im RangerRam ($c...) abgelegt wird, wird nicht jeder in den "Genuss" des Textes kom- men. (Ich denke ein Anfaenger war am Werk) 62726172 79000000 00000096 14484559 brary........HEY 20212049 43482042 494e205a 5552dc43 ! ICH BIN ZUR.C 4b202121 21212121 21212100 01007d2d K !!!!!!!!!....- 2d3d3e20 4c554457 49472056 414e2042 -=> LUDWIG VAN B 45455448 4f56454e 203c3d2d 000100aa EETHOVEN <=-.... 46494348 204d4143 4845204d 49434820 FICH MACHE MICH 4a45545a 54204155 46204445 4d200001 JETZT AUF DEM .. 00d75541 4d494741 20425245 49542021 ..UAMIGA BREIT ! 21212120 00010096 69444153 20484945 !!! ....iDAS HIE 52204953 5420dc42 52494745 53204d45 R IST .BRIGES ME 494e204e 45554552 20564952 55530001 IN NEUER VIRUS.. 00967d48 45204845 20484520 48452048 ...HE HE HE HE H 45204845 2048452e 2e2e2e20 20000100 E HE HE.... ... 96875649 454c2053 5041df20 4e4f4348 ..VIEL SPA. NOCH 2e2e2e20 00010096 91502e53 2e204d45 ... .....P.S. ME 494e4520 4d555349 4b205741 52205343 INE MUSIK WAR SC 484549df 45200001 00bea02d 20414245 HEI.E .....- ABE 52204d45 494e4520 56495245 4e205349 R MEINE VIREN SI 4e442047 45494c20 21210001 00e1b453 ND GEIL !!.....S 55434b20 4d592044 49434b20 0001005a UCK MY DICK ...Z c3424954 54452043 4f4d5055 54455220 .BITTE COMPUTER 41555353 4348414c 54454e2e 2e2e2000 AUSSCHALTEN... . startup-sequence verseucht: c0a0e0a0 c00a636c 730a0a00 00000000 ......cls....... ^^^^^^^^^^^^^ Das Virusteil schreibt sich also in die erste Zeile der s.-seq. . Diese Aenderung muessen Sie von Hand mit einem Editor rueckgaengig machen. Das Programm selbst schreibt sich in die Root einer Disk mit $C0A0E0A0C0 (ist sichtbar) Nach 10 Vermehrungen wird bei B.H. eine Format-Routine an- gesprungen. Diese Routine fehlt bei BEETHOVEN. Stattdessen wird die DisplayAlert-Routine angesprungen. - BESTIAL-Virus Link dos.open Gefunden an das Prg. border (Torsten Juergeleit) gelinkt. Laenge dann: 7876 Bytes Namensbegruendung: im Speicher und im File ist zu lesen 02e86018 3e204245 53544941 4c204445 ..`.> BESTIAL DE 56415354 4154494f 4e203c20 243c0000 VASTATION < $<.. Anmerkungen: - Es duerfte sich um eine Anfaenger-Programmierung handeln. - Grundlage duerfte das XENO-Virus sein. - Die Decodier-Routine im XENO wurde "uebersehen". - Dafuer kommen jetzt 2 absolute JMP nach $Cxyz vor. Wer da keinen Speicher hat, sieht bei der naechsten Verwendung von dos-Open den GURU B. - Mit etwas Glueck und Absicht gelingt der Link-Vorgang. - Von 20 !!!!! gelinkten Files war KEIN File lauffaehig, das mehr als 5 Hunks hatte. GURU 3, 4 usw. - Die richtige Hunk-Behandlung bereitet Probleme. Mal werden $10 Bytes doppelt geschrieben, bei Hunkanzahl kleiner 3 oder es wird $3E9 verschluckt usw. Und dafuer hab ich 4 Stunden geopfert. - Meine Empfehlung: Leute spielt lieber mit dem Joystick !!! Speichererkennung mit VT : getestet 04.03.93 Fileausbau mit VT : getestet 08.03.93 (VT kann teilweise auch Files reparieren, die im gelinktem Zustand nicht mehr lauffaehig sind.) - BGS9 I (schiebt Orig.Prg. in devs) Bytes 2608 laueft mit KS2.04 !!!!! Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt der BGS9 I bei fehlendem devs-Verz. das OrigPrg unsichtbar in das Hauptverzeichnis. KickMem, KickTag, KickCheckSum, OpenWindow PrgTeile verschluesselt mit eori.l #$1AF45869,(a0)+ unsichtbares File in devs: A0A0A0202020A0202020A0 am Ende des Prg.Files ist mit einem Monitor zu sehen: TTV1 beim 4.Reset Textausgabe ueber GraphikRoutine: schwarzer Hintergrund, weisse Schrift A COMPUTER VIRUS IS A DISEASE TERRORISM IS A TRANSGRESSION SOFTWARE PIRACY IS A CRIME THIS IS THE CURE BGS9 BUNDESGRENZSCHUTZ SEKTION 9 SONDERKOMMANDO "EDV" Entfernung: File in devs in OriginalPrg. umbenennen BGSVirusFile loeschen OrigPrg aus devs in entsprechendes Verzeichnis kopieren Hinweis: es wird ein unsichtbares File (Name s.o.) weiterge- geben mit der Laenge #64 und dem Inhalt "Protection file!". Dieses File soll einen BGS9-Befall der Disk verhindern. Clone: 04.03.92 TTV1 durch FUCK ersetzt - BGS9 II aehnlich BGS9 I aber File in devs jetzt: A0E0A0202020A0202020A0 Hinweis: $E0 ist ein a mit Akzent Anruf 12.05.91: Auf einem A500 ohne Festplatte verschiebt der BGS9 II bei fehlendem devs-Verz. das OrigPrg in das Hauptverzeichnis. Aenderung im Text: :SOFTWARE' Die Veraenderungen liegen im codierten PrgBereich Im PrgFile TTV1 sichtbar - BGS9 III s.o. Neu: unsichtbarer Filename: devs:A0,0 Entfernung: File in devs in OriginalPrg. umbenennen BGSVirusFile loeschen OrigPrg aus devs in entsprechendes Verzeichnis kopieren - BIG BOSS SCA-Clone nur Text geaendert s.u. - BLACK KNIGHT Virus BB im Speicher immer ab $7F300 Cool $7F394, DoIo $7F3BC KS2.04: ja Fordert trackdisk.device NICHT Namensbegruendung: decodiert ist im BB zu lesen BLACK KNIGHT (12/11/91) Virus meldet sich nicht. - BLACKFLASH V2.0 Cool, DoIo, FastMem ja im Speicher immer ab $7F000 Zaehlzelle = $13 Textausgabe mit Graphikroutine (s.u.) Schrift rot, Hintergrund schwarz Vermehrung: ueber BB Text steht unverschluesselt im BB: HELLO, I AM AMIGA ! PLEASE HELP ME ! I FEEL STICK ! I HAVE A VIRUS ! ! BY BLACKFLASH ! - BlackStar anderer Name: Starfire1/NorthStar1 siehe dort - Blade Runners SCA-Clone, immer ab 7EC00, Cool, im Prg. DoIo Text: Hello! We are the Blade Runners! u.s.w. - BLF-Virus immer ab $7F000, Cool, DoIo, BeginIo loescht KickTag usw. Virusprogramm meldet sich NICHT. Programmteil decodiert mit eori.b #$28,(a1)+ u.a. zu lesen: This is the new virus by BLF Schaden und Vermehrung: BB - BlowJob KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000 Taeuscht durch Text Memory Allocator 3.01 vor Vermehrung und Schaden: Bootblock Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein Programmteil mit subi.b #$71,D0 entschluesselt und mit display- Alert der Text ausgegeben: ONCE AGAIN SOMETHING WONDERFULL HAPPENED (HE HE HE) PLEASE POWER OFF - PLEASE POWER OFF - PLEASE POWER OFF - BlueBox Filevirus, keine bekannten Vectoren werden verbogen Laenge (gecrunched) 5608, nur Kreset (tut mit leid) gedacht fuer Modembesitzer und Mailboxbetreiber, aber KEINE Voraussetzung fuer Vermehrung (enthaelt Source fuer seriellen Port $DFF030, $DFF018 ???!!!??? behindert Verbindung?!?!) Das gecrunchte Prg. (Bluebox) besteht aus 3 Teilen: - ein Taeuschprogramm: ermoeglicht Tonfolge mit Zehnertastatur - eine komplette icon.library - Laenge:6680 - zusaetzlicher Text: input.device , RAM: - andere Jahreszahl - ein Kopierteil fuer falsche icon.library - testet ob icon.library schon existiert, falls nein KEINE Aenderung - testet ob Disk validated - setzt Protection-Bits zurueck - kopiert falsche icon.library - arbeitet auch mit HD !!!!!! Nach einem Reset wird ueber icon.library ein Process 'input.device ' (mit Leerzeichen) gestartet. VT findet diesen Process, kann ihn aber nicht beenden (KReset). Erstellt auf RAM: ein unsichtbares ($A0) File (nicht immer). Ausbauhinweise: VT erkennt den VirusTraeger Bluebox nur als crunched !! Ignorieren Sie das Kreset-Angebot und loeschen Sie zuerst die falsche icon.library. Kopieren Sie dann die Original- icon.library auf die Disk oder HD (sonst nach Reset keine WB!!!). Zum Schluss starten Sie bitte das Kreset-Prg. Meine Maschine verhielt sich danach wieder normal. Dies kann bei Modemprg. oder MailboxPrg. anders sein ??? Probleme bitte melden. Danke Herkunft: Bluebox.lzh 23033 Bytes -Bluebox 5608 (noch einmal gecrunched) -Bluebox.info 325 -Bluebox.DOC 37271 -Bluebox.DOC.info 354 - BOMB-Bootblock es wird dieser Bootblock als Virus weiterge- geben. Die Pruefsumme ist als BOMB lesbar. Es wird nachge- laden von einem hohen Track (habe nur BB). in diesem Track koennten natuerlich VirenRoutinen stehen, aber es kann genausogut ein BB-Lader sein. Bitte schicken Sie mir eine funktionsfaehige Disk mit diesem hohen Track. Danke - boot-aids Virus BB KS2.04: nein Namensbegruendung: im BB ist uncodiert zu lesen: boot-aids by hiv verbogene Vektoren: BeginIo, KickTag, KickCheckSum, SumKick- Data Der Speicherbereich fuer das Virusteil wird mit $DFF007 be- stimmt. Schaeden: In Abhaengigkeit von $DFF006 soll ein Block mit HIV gefuellt werden. Vermehrung: BB Ihnen kommt das bekannt vor ? Erinnert irgendwie an Lamer ! Selbst die Endekennung $abcd ist vorhanden. - BOOTJOB File FF 760 Laenge:1356 Namensbegruendung: s.u. 23c0003c ,y......N...#..< ^^^^ e3b4 237c ..C...N...C...#. ^^^^ 003ce3a4 ^^^^^^^^ 45442057 49544820 424f4f54 4a4f4220 ED WITH BOOTJOB 56312e30 30205752 49545445 4e204259 V1.00 WRITTEN BY Ein Utility-Prg. zum Abspeichern eines BBs als aus- fuehrbares File. Bei Filetest und BlockKette wird BootJob erkannt. Wenn Sie wissen wollen, um welchen BB es sich handelt, gehen Sie bitte in den File-Req., klicken das File an und klicken dann auf Filetest. Es werden 2 absolute Adressen verwendet (^^^). Was macht der User, der dort keinen Speicher hat ? Empfehlung: Loeschen - BOOTJOB V1.3 File FF 814 Laenge:1356 Fehler mit absoluten Adressen behoben. - BOOTX-Virus BB KickTag, KickCheckSum auch KS2.04 anderer Name: PERVERSE I Taeuschungsversuch durch lesbaren Text in BB: BOOTX-Viruskiller by P.Stuer verraet sich bei mir bei gesetztem Schreibschutz durch Systemrequest read/write error Vermehrung: BB Schaeden: faengt ueber input.device Tastatureingaben ab und gibt Text aus. Der Text steht als RAW-Code im BB (amerik.Tastatur !!) SOFTWARE_PIRATES RUINED MY EXCELLENT PROFESSIONAL DTP_PROGRAM I REVENGE MYSELF ON THESE IDIOTS BY PROGRAMMING VIRUSES THIS IS PERVERSE I BECAUSE I LIKE ASSHOLE_FUCKING I PROGRAM VIRUSES FOR MS_DOS TOO Eine Weiterarbeit ist NICHT moeglich. Das Virusprogramm muss geloescht werden. - BRET HAWNES Filevirus Laenge: 2608 , immer ab $7F000 Kicktag, SumKickData, KickCheckSum, OpenNewLib, $6c Vermehrung und Schaden: schreibt in Root und in 1.Zeile startup: C0A0E0A0C0 nach 20 Minuten blauer Graphikbildschirm und weisse Schrift: GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN I`VE TAKEN THE CONTROLL OVER YOUR AMIGA!!! THERE`S ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! ! ! Statt der 10. Vermehrung werden Tracks zerstoert. - BS1! (noch ein SCA ) - BUTONIC 1.1 anderer Name BAHAN (im BB immer lesbar) Cool, im Prg. DoIo, immer ab $7ec00, FastMem ja Vermehrung: ueber BB wenn DOS0 gefunden Textausgabe mit PrintIText (entschluesselt mit eori.b #-1,d1 nach $7eb0c) im Speicher dann sichtbar: BUTONIC'S VIRUS 1.1 GREETINGS TO HACKMACK ... <GENERATION NR. #####> - Byte Bandit ohne FastMem Begin, KickTag, KickCheckSum, Vec5 - Byte Bandit 2 anderer Name: No Name 1 s.u. - Byte Bandit Clone ohne Fastmem Diff zu OrigByteBandit: 180 Bytes ( Byte B.. Text wurde aus BB entfernt !!) - ByteBanditError das OriginalByteBanditVirusPrg. beginnt im BB bei $0C, hier bei $32 Da die alte BB-Copy Routine verwendet wird, ist das 1.LW im neuen Copy-BB nicht DOS0, d.h. die neu verseuchte Disk ist "Not a DOS-Disk" also weder boot- noch vermehrungsfaehig - ByteBanditPlus Kick1.2 ohne FastMem Begin, KickTag, KickCheckSum, Vec5 Diff zu OBB: 92 Bytes (zusaetzlich trackdisk.... entfernt) - ByteParasite reines Zerstoerungsprogramm Laenge: 2108 soll auch $6c verbiegen, aber vorher GURU Schaeden: soll zwischen cd, dir und startup-sequence je 1 Byte austauschen, aber sehr sehr schlecht programmiert (Anfaenger spielt besser mit dem Joystick). Deshalb meist GURU. Keine Vermehrung, keine Textausgabe - BYTEPARASITE II File, Laenge ungepackt: 908 Bytes Auch mit KS2.04, keine Vektoren verbogen Taeuscht durch das Zeigen einer Fensterleiste: VirusX: Checking Device Df0: Versucht dann von df0:c VirusX nach df1:c zu kopieren und verraet sich so wenn in df1: keine Disk liegt durch einen Requester. Gefahr der Vermehrung besteht nur wenn BYTEPARASITE II als VirusX getarnt in df0:c vorhanden ist. Aus dem Text im File kann geschlossen werden, dass damit ein Antivirusprogrammierer geaergert werden soll: But now send me to : (Adresse) - BYTEPARASITE III File, Laenge ungepackt: 2160 Bytes Cool, KickMem, KickCheckSum (teilweise sinnlose Werte ausser- halb des vorhandenen Speichers) $6c (sinnvoller Wert) Das Programm MUSS !!!! im Speicher geloescht werden, sonst erscheint nach einigen Arbeiten mit dem Computer sicher Task held usw. . Dies ist nicht Absicht, sondern die sinnlosen Werte sind verantwortlich. Taeuscht durch das Zeigen einer Fensterleiste: Virus-Checker V3.0 by usw Sucht c/Virus-Checker und schreibt Prg-Teile (falls gefunden) absolut nach $7C000. Versucht in einem anderen LW mit SubDir c Virus-Checker anzulegen (bei mir IMMER dann Filelaenge 0). Verraet sich durch DOS-Requester. Hinweis: Hallo Enforcer-Freunde. VT erzeugt hier beim Test einen weiteren Enforcer-Hit. ($6c=ZeroPage) Nachtrag1: 14.01.92 Erkennungsroutine geaendert. Nachtrag2: Stand 14.02.92 Leider haben mich einige Briefe erreicht, die darauf hin- weisen, dass Hardwareschaeden (sinnlose Werte s.o.) durch BP3 verursacht werden. Stellvertretend ein Auszug: ".... musste ich feststellen, dass der Steppermotor sich am Spindel- ende zur Laufwerksmitte festgedreht hatte.... ... drehte die Spindel mit der Spitzzange zurueck... ... das Laufwerk/Schreib-Lesekopf muss neu justiert werden." Es ist also im Amiga-Bereich jetzt auch der Punkt erreicht, dass Viren Hardwareschaeden verursachen koennen. NIE !!!!! eine unbe- kannte Disk starten. Nehmen Sie sich die Zeit und testen Sie die Disk mit einem AntiVirusProgramm ihrer Wahl durch !!! - BYTE VOYAGER I Kicktag, KickCheckSum, im Prg. DoIo und $6c immer ab $7F000, verschluesselt mit $DFF006 Vermehrung und Schäden (auch HD !!): Bootblock und schreibt in Block 880 "Infected by BYTE VOYAGER !!!!!" Der Text ist bei Disks der neue Diskname. - Byte Voyager II Kicktag, KickCheckSum, im Prg. DoIo und $6c immer ab $7F000, verschluesselt mit $DFF006 Vermehrung und Schäden (auch HD !!): Bootblock und schreibt in Block 880 "Another Virus by Byte Voyager" Der Text ist bei Disks der neue Diskname. - Byte Warrior (DASA) (KickV1.2) DoIo, KickTag, KickCheckSum erster BB-Virus, der verschluesselt wurde moegliches Ursprungsprogramm: ByteWarriorCreater gepackt: 6012 Bytes (TNM) ungepackt: 7360 Bytes Erzeugt mit FastMem NDOS-Disk Schreibt ohne FastMem ByteWarrior in Bootblock von DF1: - Cameleon-Virus BB siehe bei Little Sven - CCCP-Virus Cool, im Prg. Vec3, DoIo, Openwindow, NewOpenLib !!!! erstes VirusPrg. das sich als BB und als Link vermehren kann !! im BB sichtbar: CCCP VIRUS Link: verlaengert ein File um 1044 Bytes befaellt keine Prg.e in l (z.B.libs), d (z.B.devs), f (z.B.fonts) - CENTURIONS anderer Name: THE SMILY CANCER siehe dort - Challenger trojanisches Pferd Keine Vektoren verbogen. Herkunft: FF622 challenger_d.main Laenge: 126336 Bytes Ablauf (vgl. Snoopdos): Sobald Sie das Spiel starten, wird ein Original-Setclock-Befehl (4884 Bytes) in SYS:devs/keymaps ange- legt und in a umbenannt. In c: wird ein neuer Setclock-Befehl angelegt: Laenge gepackt mit Imploder: 4884 (explode.lib) entpackt: 7344 Weiterhin wird in SYS:devs/keymaps noch ein File mit Namen rca angelegt: Laenge gepackt mit Imploder: 5328 (explode.lib) entpackt: 8388 Vermehrung: nur nach SYS: Der setclock-Befehl sollte in der startup-sequence stehen (ab KS2.04 NICHT mehr notwendig !!!). Deshalb rufen Sie bei jedem Boot-Vorgang auch diesen Befehl auf. Dies ist am 24. Juli eines Jahres gefaehrlich. An diesem Tag wird das File rca auch aufge- rufen. Es wird ein Text (schwarzer Hintergrund rote Schrift) ausgegeben und der Rechner blockiert. Guten Tag, hier ist der Guru Ihres Amiga-Computers. Laut Arbeitsvertrag habe ich das Recht auf einen Medita- tionstag pro Jahr. In meinem Fall ist das der 24. Juli jeden Jahres. Da wir heute dieses Datum schreiben, stehe ich Ihnen erst morgen wieder zur Verfügung. Bitte haben Sie Verständnis dafür, denn auch wir Gurus müssen einmal ausruhen. Es sind noch weitere Texte in rca vorhanden, aber die wurden bei mir nicht ausgegeben. Die Zerstoerung von Files wurde von mir nicht festgestellt. Empfehlung: entsprechende Files in c und keymaps loeschen und setclock von OrigWB-Disk neu nach c: kopieren. Arbeit mit VT: (getestet: 16.04.92) challenger_d.main wird geloescht c:setclock es wird ein rename mit devs/keymaps/a versucht. Falls nicht vorhanden, wird setclock allein geloescht. Sie muessen dann unter KS1.3 setclock von OrigWB-Disk neu kopieren devs/keymaps/rca wird geloescht - Chaos anderer Name: Taipan-Chaos Cool, DoIo BB codiert mit Wert aus $DFF006 Schaeden: Vermehrung mit BB sobald Zaehlzelle 8 erreicht hat: alle Blocks einer Disk werden mit unsinnigen Werten gefuellt, DisplayAlert: Chaos! by Tai-Pan usw. dann reset Herkunft: Virusinstall V2.0 - CHAOS-MASTER V0.5 File PP-Laenge: 12972, ungepackt:16676 CHAOS-MASTER V0.5 im ungepackten File lesbar Filename wahrscheinlich: dir KEINE bekannten Vektoren verbogen, nicht resetfest Schaeden und Vermehrung: - dir-Befehl wird manchmal nicht ausgefuehrt. Ein kleines Fenster erscheint: Error xyz, Return-Gadget die Zahl xyz kann auch negativ sein und entspricht NICHT dem DOS-Error-Code. - Sie geben ein: dir df3: Das Inhaltsverzeichnis von df3 wird ausgegeben und das Virus-File nach df3:c/dir kopiert. Ein bereits vorhandener Dir-Befehl wird ueberschrieben. - Sie geben ein: dir prefs Das Inhaltsverzeichnis von prefs wird ausgegeben und ein File disk.info (Laenge:370 Bytes) nach prefs kopiert. Dieses File enthaelt am Anfang die Icon-Struktur. Der groessere Teil der Struktur ist durch Text ueberschrieben. Folge: Sie klicken die Prefs-Schublade an, disk.info muesste als Icon darge- stellt werden, geht aber nicht, da Struktur nicht in Ordnung. Also stellt der Computer die Arbeit ein. Reset wird notwendig. Text in disk.info: Sorry an alle User usw. - Sie geben ein: c/dir df3: Inhaltsverzeichnis wird ausgegeben und das Virus-File nach df3:c/r (!!!! Programmierfehler) geschrieben. Empfehlung: dir-Befehl loeschen (VT) und von OrigWB neu kopieren. - Charlie Braun anderer Name: Hireling Protector V1.0 ForpibClone s.u. nur Text geaendert - CHEATER HIJACKER BB auch KS2.04 LameBlame-Clone s.u. DisplayAlert-Text geaendert: -+= CHEATER HIJACKER usw. Wird auch erzeugt von VIRUS TERMINATOR V6.0 s.u. - Check Filevirus PP-crunched Laenge:18644 Process: HardDisk.device in C-Aztek Schaeden: alle 5 Min (delay $3a98) Bild (Totenkopf) und Sound fuer kurze Zeit KEINE Vermehrungsroutine gefunden - CHRISTMAS VIOLATOR Link Soll einen zusaetzlichen 1.Hunk erzeugen. Verlaengert File um 1060 Bytes Verwendet aufs Byte genau die IRQ-Linkroutine Braucht ExecBase im Speicher ab $C00000 Cool immer $7E07a, im Prg. OldOpenLib immer $7FB88 Nur mit KS1.3, da absoluter ROM-Einsprung. Programm liegt zweigeteilt ab $7E000 und $7FB84 im Speicher. Der Linkvorgang konnte NICHT erreicht werden, da im Programm MEHRERE Fehler vorliegen. Immer GURU 3. VT-Empfehlung: loeschen Meine Empfehlung: spielt lieber mit dem Joystick. Namensbegruendung: Ein Programmteil, das NIE erreicht wird, decodiert mit eori.b #$27,(a1)+ ergibt: 203e3e3e >>> 20434852 4953544d 41532056 494f4c41 CHRISTMAS VIOLA 544f5220 62792074 68652044 7265616d TOR by the Dream 20546561 6d202d20 28484520 4845293c Team - (HE HE)< 3c3c2020 48617665 2061206e 69636520 << Have a nice 6461792e 2e2e2000 day... Sollte es sich dabei um jene Gruppe handeln, die in letzter Zeit haeufiger negativ auffaellt, so sollte man diesen Leuten einmal etwas naeher treten !!!! - Claas Abraham andere Namen: Abraham, MCA Cold, Cool, KickTag, KickCheckSum, $68 braucht FastRam !!!!! Angefordert mit #$4,d1 und AllocMem (Programmierfehler ????) im Prg.Ablauf erst BeginIo Vermehrung: ueber BB Schaden: nach $F-Resets Formatierung Eor-Byte wird fuer neuen BB aus $DFF006 erzeugt entschluesselt steht im Speicher: >>> Claas Abraham Virus !!! <<< - Clist-Virus anderer Name: U.K.LamerStyle Begin, Kicktag, KickCheckSum entschluesselt steht im Speicher: expansion ram.trackdisk.device..clist.library.clist 33.80 (8 Oct 1986). Vermehrung: ueber BB Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF006 festgelegt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt und !!!! mit allocabs eingetragen. - COBRA-Virus BB Fastmem: Nein KS2.04: Nein BeginIo, KickTag, KickCheckSum, Exec IntVec 5 Namensbegruendung: 4E714E71 4E752043 4F425241 20484157 NqNqNu COBRA HAW 20484157 20484157 200041FA 002C3010 HAW HAW .Au'.,0. Schaeden und Vermehrung: BB VT kennt: 15.10.92 - CODER anderer Name: Coders Nightmare immer $7f600, DoIo, KickTag, KickCheckSum, $68 im BB steht unverschluesselt: Bootblock installed with 'CODER' - The Ultimate Viruskiller!! Vermehrung: ueber BB im Speicher steht (entschluesselt mit ror.b #2,d1): Something WONDERFUL has happened!! Your Amiga is alive, and it is infected with the 'Coders Nightmare Virus'. - The ultimate key-killer, masterminded by the megamighty Mr. N of The Power Bomb Systems!! - Coders Nightmare anderer Name: CODER s.o. - Color Filevirus Laenge: 2196Bytes DoIo immer $70000, Cool belegt sinnlos 102400 Bytes ChipMem, taeuscht durch ein Graphik-Demo, schwarzer Hintergrund und drei Balken (rot, gruen, blau) und installiert gleichzeitig ab 70000 das Virusprogramm und ab 7F000 den Virus-BB (TURK). Veraendert die startup-s. NICHT. Schaeden: Bei DoIo-Einsprung wird der Virus-BB geschrieben. Bei Cool-Einsprung wird $5000 x TURK in den Speicher geschrieben. - Commodore-Virus File Laenge:1752 reines Zerstoerungsprogramm KEINE Vermehrung, also nach Definition kein Virus. Unter welchem Namen das Programm weitergegeben wird, ist mir nicht bekannt. Als VirusTestPrg ???? siehe unten . NICHT resetfest. Namensbegruendung: 20210054 68697320 69732074 6865206E !.This is the n 65772043 6F6D6D6F 646F7265 2D566972 ew Commodore-Vir 75732021 00425920 53544152 4C494748 us !.BY STARLIGH 5420454E 54455250 52495345 53203139 T ENTERPRISES 19 39320000 92 Verbiegt Cool auf eigenen Programmtext (Schwachsinn), also voellig unsinnig. Da ausserdem allocmem nicht benutzt wird, wird nach Programmende der Speicher von einem beliebigen anderen Programm benutzt, d.h. der Cool-Vektor zeigt auf irgendetwas, nur nicht auf den gewuenschten Text, weil dieser ja laengst ueberschrieben ist. VT erkennt beim Cool-Vektor-Test deshalb nur unbe- kanntes Programm. Gehen Sie Weiter und loeschen Sie den Vektor in VT/Tools. Danke Legt eine Zaehlzelle bei $66666 an, OHNE allocmem. Schreibt auch einen anderen Wert ins RangerRAM ($C0). Da auch der Text "dos.library" 3x im Programm vorkommt und aufgerufen wird, draengt sich der Verdacht auf, dass ein Anfaenger 3 Assemblerkursteile zusammengesetzt hat. Abhaengig von Zaehlzelle: DisplayAllert: (Zelle=2) 00961420 20204968 7220436F 6D707574 ... Ihr Comput 65722069 737420DC 62657268 69747A74 er ist überhitzt 20212121 0001007D 2D57656E 6E206573 !!!...}-Wenn es 206E6163 68206465 6D205265 73657420 nach dem Reset 65696E20 61627374 75727A20 67696274 ein absturz gibt 000100AA 46202053 4348414C 54454E20 ...S SCHALTEN 49484E20 53494520 42495454 45204155 IHN SIE BITTE AU 53000100 D7552020 20436F6D 6D6F646F S...xU Commodo 72652031 39383700 re 1987. oder Textausgabe: (Zelle=3) 0000636F 6E3A3130 2F31302F 3333302F ..con:10/10/330/ 35302F52 45515545 53542000 9B316D9B 50/REQUEST ..1m. 33336D20 4B45494E 20564952 55532049 33m KEIN VIRUS I 4E204452 49564520 4446303A 20200A20 N DRIVE DF0: . 20202020 20204745 46554E44 454E2021 GEFUNDEN ! 21202020 ! Schaeden: - loescht startup-sequence - schreibt leeres Unterverzeichnis Name: Commodore war hier !! Erkennung im Speicher mit VT: nicht moeglich (siehe oben) File-Erkennung mit VT getestet: 26.09.92 Empfehlung: einfach loeschen und gegebenenfalls in s-sequence nachschauen, ob geloeschter Programmname dort auftaucht. Dann bitte diese Zeile mit ED loeschen. - CompuPhagozyte File Laenge ungepackt: 1452 keine Vektoren verbogen sichtbar z.B.: The CompuPhagozyte usw. Erstellt eine Fensterleiste mit dem Text: Virus-Checker V4.0 by ... (Name) Verraet sich, wenn Sie die Fensterleiste anklicken, weil im Gegensatz zum echten Virus-Checker NICHTS passiert. Wartet auf CloseWindow und DiskInserted. Schaeden: Solange die Fensterleiste da ist, wird bei jeder neu eingelegten nicht schreibgeschuetzten Disk mit c/Virus-Checker bei mir das Orig-Prg auf 1452 Bytes gekuerzt. (also keine Vermehrung) Empfehlung: loeschen und Orig-Virus-Checker neu aufspielen. - CompuPhagozyte 2 File Laenge ungepackt: 1148 keine Vektoren verbogen sichtbar z.B.: The CompuPhagozyte usw. Erstellt eine Fensterleiste mit dem Text: VirusX 5.00 by ... (Name) Verraet sich, wenn Sie die Fensterleiste anklicken, weil im Gegensatz zum echten VirusX NICHTS passiert. Wartet auf Close- Window und DiskInserted. Schaeden: Solange die Fensterleiste da ist, wird bei jeder neu eingelegten nicht schreibgeschuetzten Disk mit c/VirusX bei mir das Orig-Prg auf 1148 Bytes gekuerzt. (also keine Vermehrung) Empfehlung: loeschen und Orig-VirusX 4.01 neu aufspielen. 6e2e6c69 62726172 79003a63 2f566972 n.library.:c/Vir 75735800 3a632f56 69727573 58005468 usX.:c/VirusX.Th 6520436f 6d707550 6861676f 7a797465 e CompuPhagozyte 20686173 20617474 61636865 6420746f has attached to 20796f75 72207379 7374656d 20210a57 your system !.W 61697420 666f7220 206e6577 20766972 ait for new vir 75732069 6e206f74 68657220 636f6d70 us in other comp 75746572 2d737973 74656d73 20210a20 uter-systems !. 54686520 436f6d70 75506861 676f7a79 The CompuPhagozy 74652069 6e20392e 39312062 79205468 te in 9.91 by Th 6520456d 7065726f 72204f66 20547269 e Emperor Of Tri 6c6c696f 6e202042 79746573 20210000 llion Bytes !.. 56697275 73582035 2e303020 62792053 VirusX 5.00 by S 74657665 20546962 62657474 00000000 teve Tibbett.... - CompuPhagozyte 3 File bekannte Filelaengen: 568 Bytes 592 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C000 Wahrscheinlich als cls-Befehl getarnt, da mit mehreren " ",0a das Shell-Fenster geloescht wird. fuer mich KEIN Virus, Routine veraltet, KEINE Vermehrung im Prg zu lesen: 200A5468 6520434F 4D505550 6861676F .The COMPUPhago 7A797465 20696E20 392E3931 20212121 zyte in 9.91 !!! 0A546865 20456D70 65726F72 204F6620 .The Emperor Of 5472696C 6C696F6E 20427974 65732073 Trillion Bytes s 7472696B 65732062 61636B20 21210A1F trikes back !!.. Legt ab $7C000 ein kleines Prg ab, das durch cool resetfest sein soll (geht z.B nicht mit 1Mb). Dieses Prg loescht Cold, Warm, KickMem, KickTag, KickCheckSum. KS2.04 : GURU A nach Reset Empfehlung: File loeschen Erkennung im Speicher mit VT: ja Fileerkennung mit VT : 08.10.92 - CompuPhagozyte 4 File bekannte Filelaengen : 916 Bytes : 952 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C600 , OldOpenLib immer $7E000 Reserviert mit AllocAbs 3 Speicherbereiche: $7C000 ganzes VirusPrg $7C600 CoolRoutine fuer RESET $7E000 OldOpenLibRoutine fuer Vermehrung df0:A0A0A0A0 (unsichtbar in Root) df0:s/startup-sequence A0A0A0A0 COMPUPhagozyte !!! am Fileende zu lesen (s.u.) Testet OldOpenLib auf $FC1430 = KS 1.2 , falls nein wird neue OldOpenLib-Vektor-Routine NICHT kopiert. D.h. eine Vermehrung ist nicht moeglich. Wegen der Vorgabe (s.o.) ist nur eine Ver- mehrung in DF0 moeglich. Am Anfang des Files steht KEIN Text "Compu...". KS2.04 : Nach Tastatur-Reset Uebergang in Dauer-Reset. Typ C 4: e1ce0007 e1d04446 303aa0a0 a0a00000 ......DF0:...... 4446303a 732f7374 61727475 702d7365 DF0:s/startup-se 7175656e 63650000 a0a0a0a0 0a200a54 quence....... .T 6865206d 69676874 206f6620 54686520 he might of The 456d7065 726f7220 69732075 6e6c696d Emperor is unlim 69746564 20212121 0a200a43 4f4d5055 ited !!!. .COMPU 50686167 6f7a7974 65202121 210a0000 Phagozyte !!!... - CompuPhagozyte 5 File bekannte Filelaengen: 892 Bytes 900 Bytes 936 Bytes (1.Hunk $CF) 936 Bytes (1.Hunk $CD) Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. Cool immer $7C600 , OldOpenLib immer $7E000 Reserviert mit AllocAbs 3 Speicherbereiche: $7C000 ganzes VirusPrg $7C600 CoolRoutine fuer RESET $7E000 OldOpenLibRoutine fuer Vermehrung :A0A0A0A0 (unsichtbar in Root) :s/startup-sequence Also keine Festlegung auf DF0 mehr. COMPUPhagozyte jetzt auch am Fileanfang zu lesen: 434f4d50 55506861 COMPUPha 676f7a79 74650a00 gozyte.. Neu: KEIN Test auf OldOpenLib = $FC1430 = KS 1.2 mehr. KS2.04 : Nach Tastatur-Reset Uebergang in Dauer-Reset. Vermehrung: Falls ein anderes Prg die oldopenlib-Routine aufruft, wird eine Vermehrung versucht. Kein Schreibschutztest vorher. Speicher ab $7C000 soll als A0A0A0A0-File auf Disk geschrieben werden. Danach wird die startup-sequence geaendert. Empfehlung: sofort loeschen und auch startup-sequence ueber- pruefen. Typ 5: 00000000 00000000 00000000 00003aa0 ..............:. a0a0a000 3a732f73 74617274 75702d73 ....:s/startup-s 65717565 6e636500 a0a0a0a0 0a200a54 equence...... .T 6865206d 69676874 206f6620 54686520 he might of The 456d7065 726f7220 69732075 6e6c696d Emperor is unlim 69746564 20212121 0a200a00 000003ec ited !!!. ...... - CompuPhagozyte 6 File bekannte Filelaengen: 1008 Bytes 1048 Bytes Die verschiedenen Filelaengen muessen von Hand erzeugt sein, da ein entsprechender Code im Prg nicht vorkommt. :A0A0A0A0 (unsichtbar in Root) :s/startup-sequence A0A0A0A0 immer ab $7C000 Verbogene Vektoren: Cool, OldOpenLib, NEU: jetzt wird auch SumKickData verbogen. Im File am Anfang jetzt erweiterter Text: 3e434f4d 50555068 >COMPUPh 61676f7a 79746520 50726f74 65637469 agozyte Protecti 6f6e2046 696c6520 on File Sie muessen auch die s.-seq. mit einem Editor bearbeiten. VT kennt File und Speicher: 24.11.92 - Crackright anderer Name: Disk-Doktors s.u. - CREEPING EEL BB Namensbegruendung: siehe unten KS2.04: nein Fordert trackdisk.device NICHT verbogene Vektoren: Cool, DoIo Speicherlage: immer ab $7EC00 Vermehrung und Schaeden: BB UND !!!!! Schreibt in einen Zylinder, der bei einer Disk (880kb) dem Root-Zylinder entspricht (bei Festplatte ergibt sich ein anderer Zyl.), Datenmuell aus Speicher ab $60000. Diese Disks sind NICHT MEHR zu retten. Tut mir leid. Versuchen Sie bitte mit z.B. disksalv noch einige File von anderen Zylindern zu retten. Sobald die Zaehlzelle den Wert $14 erreicht hat: - Deutschland-Farben auf dem Bildschirm - Text, der uncodiert im BB steht 2d204865 6c6c6f20 436f6d70 75746572 - Hello Computer 66726561 6b202d2d 2d000016 004e596f freak ---....NYo 75277665 20676f74 206e6f77 20796f75 u've got now you 72206669 72737420 56495255 532e0000 r first VIRUS... 002a0068 2a2a2a2a 20544845 20435245 .*.h**** THE CRE 4550494e 47204545 4c20202a 2a2a2a00 EPING EEL ****. 002f0082 4d616e79 20446973 6b732061 ./..Many Disks a 72652069 6e666563 74656420 21210000 re infected !!.. 001e00b4 57726974 74656e20 6279203e ....Written by > 4d415820 4f462053 5441524c 49474854 MAX OF STARLIGHT 3c200000 003c00be a9203239 2e30342e < ...<... 29.04. 31393932 203c3c4d 41583e3e 20200000 1992 <<MAX>> .. - Crime! Linkvirus verlaengert ein File um 1000 Bytes. Haengt sich an den ersten Codehunk an. Cool, AllocMem, Dos: Open, LoadSeg, Dosbase+$2e KS2.04 = NEIN Kein Meldeprogrammteil gefunden. Kann sich MEHRMALS in gleiches File haengen, da schon-befallen Routine fehlt. (nach 3 Links ans gleiche File habe ich aufgehoert) Allerdings muss dazwischen immer ein anderes File aufgerufen wer- den, damit der Filenamenbuffer (vom VirusPrg. angelegt) ueberschrie- ben wird. Im Speicher werden 19 Bytes mit eori.b #$5e,-1(a5) decodiert: Crime!00dos.library Vermehrungsbedingungen: - Flag Disk o.k. ($52) - #16 Block free - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - letzter Befehl im 1.Hunk ist #$4E75 (RTS). Virus traegt dann $4E71 (NOP) ein. oder wird bis $3E+1 Wort-Schritte zurueck gefunden. Virus traegt dann $60xy (bra.s xy) ein. - Name enthaelt nicht: #, *, -, ., ?, Speichererkennung mit VT getestet: 15.02.92 Ausbau mit VT getestet: 16.02.92 wichtig !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! Hinweis 31.08.92: Ab VT2.44 sollten mehrere CrimeLinks ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - Crime!++ Linkvirus verlaengert ein File um 872 Bytes. Haengt sich an den ersten Codehunk an. Cool, Wait, Dos: Dosbase+$2e KS2.04 = NEIN (die Linkroutine wird zwar aktiviert, aber Dosbase+$2e stimmt NICHT. Deshalb kein Link sondern haeufig GURU. Kein Meldeprogrammteil gefunden. Kann sich MEHRMALS in gleiches File haengen, da schon-befallen Routine fehlt. (nach 5 Links ans gleiche File habe ich aufgehoert) Im Speicher werden $1A5+1 Worte mit eor.w d1,(a0)+ decodiert: Crime!++ d1 wird bei jedem Linkversuch ueber $DFF00A neu festgelegt. Vermehrungsbedingungen: - Flag Disk o.k. ($52) - #16 Block free - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - letzter Befehl im 1.Hunk ist #$4E75 (RTS). Virus traegt dann $4E71 (NOP) ein. oder wird bis $3F+1 Wort-Schritte zurueck gefunden. Virus traegt dann $60xy (bra.s xy) ein. Speichererkennung mit VT getestet: 24.05.92 Ausbau mit VT getestet: 25.05.92 wichtig !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! wichtig 2: verseuchte Files sind lauffaehig: VT sollte den Urzustand wieder herstellen koennen. verseuchte Files sind NICHT lauffaehig: Die Linkroutine ist nicht ++ , sondern enthaelt mehrere Fehler- quellen, die in Crime! nicht vorhanden waren. EINEN Fehler er- kennt VT und versucht ihn beim Ausbau auszubessern. Bitte mit einer Kopie ausbauen !!!! wichtig 3: Es werden AUCH Files mit einem "." im Namen verseucht. Beweis: Es wurde ein Datablock ausgedruckt. Danach waren ver- seucht: c/print, devs/printer.device, devs/parallel.device, und devs/printer/NEC . wichtig 4: Nach dem Ausbau rufen Sie bitte BlockITest auf und loeschen alle jetzt noch gefunden Crime!++ - Bloecke (auf der Diskkopie!!!). Das entseuchte File wird nicht unbedingt an die gleiche Stelle auf der Disk zurueckgespielt und so kann ein NICHT mehr aufrufbarer Block stehenbleiben. Danach rufen Sie bitte Blockkette auf und testen die Files auf richtige Verkettung. Sollten vor BlockITest bei BlockKette alle Files noch in Ordnung gewesen sein und jetzt nicht mehr, dann fuehren Sie bitte mit der Disk, die noch nicht mit BlockItest nachbehandelt wurde ein EinzelFileCopy durch. Auch hier werden nur die belegten und benutzten Blocks kopiert. UND rufen Sie mich bitte an. Danke Hinweis 31.08.92: Ab VT2.44 sollten mehrere Crime++Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke Ursprung: driveinfo trojanisches Pferd s.u. - Crime'92 Linkvirus verlaengert ein File um 1800 Bytes 1.HunkEnde Namensbegruendung: decodiert im Speicher: 4372696D 65273932 000048E7 FFFE47FA Crime'92.. Fordert trackdisk.device NICHT resetfest, Virusprogramm meldet sich nicht. Liegt immer im ChipMem. Codierung wechselt. Verbogene Vektoren bis KS1.3 einschl. : Cold, Cool, Wait (exec) dosbase+$2e Verbogene Vektoren ab KS1.4 ($23) : Cool, Wait (exec), LoadSeg, NewLoadSeg 68040: NUR OHNE Cache Schaeden: abhaengig vom Wert einer Zaehlzelle: Schreibt in Block 2-7 (=6 Blocks) von Track 0 Speichermuell (der geschriebene Speicher kann auch nur Nullen enthalten). Sollten da Datenbloecke von Programmen gelegen haben, so sind diese Programme unbrauchbar. KEINE Rettung moeglich. Tut mir leid. Wenn das VirusPrg nun den Rigid-Track ihrer Festplatte zerstoert (fordert trackdisk.device NICHT), so ist die Festplatte nach dem naechsten Reset NICHT mehr ansprechbar !!!! Ich hoffe Sie haben ein Backup ????? Vermehrung: - Flag Disk o.k. ($52) (validated) - #8 Block frei - File kleiner als #102400 (#$19000) - 1.LW #$3F3 (File ausfuehrbar) - #$3E9 wird gefunden (1.Hunk ist CodeHunk) - Test auf schon befallen - Virus sucht ab Ende 1.Hunk nach RTS. Steht RTS genau am Ende, dann wird es mit den ersten zwei Bytes von $48e7fffe (movem.l d0-a6,-(a7)) ueberschrieben. Steht RTS nicht am Ende, dann wird bis $3e+1 Wort-Schritte zurueck gesucht. Virus traegt $60xy (bra.s xy) ein. Speichererkennung mit VT getestet: 22.10.92 Ausbau mit VT getestet: 23.10.92 wichtig1 !!!!!!! Bitte aktivieren Sie die DruckOption zuerst in Prefs. Es koennte mit den notwendigen Druckprogrammen Crime'92 eingeladen werden. Beim naechsten GadgetKlick im Hauptfenster MUSS VT den Crime'92 dann im Speicher finden !!!! Zumindest bei meinen Tests. wichtig2 !!!!!!!!!! VT sollte im Filetest das befallene File sicher finden. Da die anderen VT-Routinen zum Teil blockorientiert arbeiten, koennen nur 2 Langworte im Block liegen und das 3. LW im naechsten Block. VT meldet sich dann NICHT !!! Nachtrag 20.02.93: es ist ein Crime92-Clone aufgetaucht. Es sind zwei Files (assign, dir) bekannt. Laenge verseucht: assign 5020 dir 5240 Das VirusTeil ist laenger codiert. Die Vermehrung findet ABER als "normaler" Crime92 statt. Schlussfolgerungerung: Die beiden Files wurden "von Hand" verseucht um die AntiVirusPrg.e zu taeuschen. Virus wird im Speicher selbst mit der aeltesten VT- Version (die Crime92 erkennt) erkannt und geloescht. Also lasst das. Da es sich um Files fuer KS2.04 und hoeher handelt, keine Aktivierung des VirusTeils unter KS1.3 . Da in beiden Files der letzte RTS-Teil ab KS2.04 selten erreicht wird, kaum Gefahr der VirusTeil-Aktivierung ab KS2.04 . - D-Structure A/B/C-Virus immer ab $7C000 oldOpenLib immer $7C06E Write (-$30) immer $7C0CC nicht resetfest Name: D-Structure in der Mitte des Files zu lesen Typ A: Filelaenge: 428 Bytes Typ B: Filelaenge: 352 Bytes (haeufig Absturz) Typ C: Filelaenge: 464 Bytes (21.10.92) Typ A u. B : ffd24e75 0007c200 0007c204 442d5374 ..Nu........D-St 72756374 75726500 c24033ee 000003ec ructure..@3..... Typ C: C2000007 C204442D 53747275 63747572 A...A.D-Structur 65202000 000003F3 00000000 00000002 e ....o........ ^^^^ ^^ also mit zwei zusaetzlichen Leerzeichen Ablauf: - allocabs $7C000 - oldOpenlib wird gerettet und verbogen - wenn nun ein anderes Programm oldopenlib aufruft, wird getestet ob dos.library geoeffnet werden soll. wenn nein: z.B. intuition.lib - newopenlib wird ausgefuehrt und D-Structure wartet weiter wenn ja: - dosBase wird gerettet - Orig-Write wird gerettet und verbogen - oldopenlib wird zurueckgesetzt - newopenlib wird ausgefuehrt beim 5. Aufruf von Write wird nun nicht das Gewuenschte ge- schrieben (in cli, auf disk usw.), sondern das VirusPrg ab $7C000. Dieses File auf Disk ist leider nicht zu retten. - VirusPrg meldet sich NICHT !!!! Empfehlung: loeschen Sie das VirusPrg und alle zerstoerten Files. Ueberpruefen Sie bitte die startup-sequence. D-Structure A/B-File-Erkennung mit VT getestet: 09.09.92 D-Structure A/B-Speicher mit VT getestet: 09.09.92 D-Structure C mit VT getestet: 21.10.92 - DAG Cool, im Prg DoIo und zurueck, Fastmem ja, immer ab $7ec00 eine Meisterleistung: in den SCA-Text wurde eingebaut: Try ANTIVIRUS from DAG Erzeuger: DAG_Creator ungepackt:7000 Bytes schreibt Dag in BB von df1: - DARTH VADER File Laenge: 784 Bytes Cool und nach Reset auch OldOpenLib Vermehrung und Schaeden: - sobald OldOpenLib verbogen ist, versucht sich das Prg. im Root-Verzeichnis als $A0 zu vermehren. In die 1.Zeile der Startup-Sequence wird $A00A geschrieben. - sobald in der Zaehlzelle der Wert 6 steht, wird mit Output ausgegeben: VIRUS(V1.1) BY DARTH VADER Fehlerquellen: nicht mit KS2.04 nicht mit FastMem mit 1Mb Chip nur mit setpatch r Kann nur eine startup-sequence bis zur Groesse #1000 richtig veraendern. Empfehlung: loeschen und 1.Zeile in der startup-sequence mit Editor ebenfalls loeschen. Loeschen mit VT getestet: 26.04.92 - D&A FileVirus Laenge:1052 Bytes anderer Name SCA Dos Kill Cool immer $7E3CE und nach Reset auch DoIo KS2.04: keine BB-Verseuchung gelungen, Vektoren aber verbogen Schaeden: Das FileVirus schreibt bis KS1.3 auf eine nicht schreib- geschuetzte Disk einen BB dem die DOS0-Kennung fehlt. Dort steht dafuer $00000400 . Das Betriebssystem meldet deshalb mit einem Requester "Not a Dos Disk" . Schreiben Sie einfach einen Standard- Bootblock auf diese Disk. Der defekte BB ist ein leicht geaenderter SCA-BB (z.B. SCA! durch D&A! ersetzt). Das File muessen Sie loeschen. Schauen Sie bitte auch in der startup-sequence nach, ob dieser File- name vorkommt und loeschen Sie diese Zeile. Vermutung: Dieser BB wurde mit einem Prg. erzeugt, das aus einem BB ein Execute-File macht. Gibt es leider auch auf FF. Lesen Sie dazu auch FileTest bei SP-File-Sp in VT2.xyd . - DASA anderer Name: ByteWarrior s.o. - DAT '89 nur KS1.2 da DoIoRomEinsprung, KickTag, KickCheckSum immer 7F800, versucht durch Text im BB zu taeuschen: THIS BOOT RESETS ALL VECTORS usw. Sobald die Zaehlzelle $F erreicht, DisplayAlert: DAT '89!!! Fordert NICHT trackdisk.device !!!! Schaeden: schreibt sich in BB zerstoert Block 880 und 881 (bei Disk Root) - DATA CRIME CCCP-Clone s.o. BB Vermehrung auch mit ROM KS2.04 CCCP-VIRUS in DATA CRIME geaendert (irre Leistung) hat aber bei VT NICHTS genuetzt !!!, also lasst das - DATACRIME-killer BB s.o. ASV-BB Endlich hat es wieder jemand geschafft den ASCII-Text zu aendern .. THIS BOOTBLOCK KNOWS SOME OLD AND NEW VIRUSES usw. Wird von VT weiterhin als ASV erkannt. Pech gehabt !! - Deniz Cool SCA-Clone Vermehrung auch mit KS2.04 nur Text geaendert - DERK1 u. 2 BB richtiger Name: MALLANDER VIRUS V1.0 Hinweis: Derk1=Derk2 Beweis fuer Nichtassemblerfreaks: nutzen Sie die Funktion vgl. in VT . Die 1 und 2 in der BB-Checksum ergeben sich aus den abgespeicherten unterschiedlichen DoIo's. Sonst KEINE Unterschiede . - Destructor Cold im BB sichtbar: Destructor_Virus v1.2 Written by Aldo Reset. (c) M.C.T. Ltd 1990- Everything is under control ! (eh!eh!) keine Vermehrungsroutine gefunden zerstoert beim naechsten Reset ueber Cold eine nicht schreibgeschuetzte Disk indem jeder 4. Track ueberschrieben wird. - DETLEF-Virus BB KickTag, KickCheckSum, DoIo Namensbegruendung: siehe unten Fordert trackdisk.device NICHT BB wird in den Speicher decodiert mit: add.b d1,(a0)+ Jeder neu geschriebene Virus-BB wird neu codiert in Abhaengig- keit von $DFF00A . In Abhaengigkeit von $DFF006 wird mit DisplayAlert ein Text ausgegeben. Dazu wird ein Virusteil nach $73000 kopiert und mit add.b #$ad,(a0)+ decodiert. AlertText: Guten Tag. » Ich heiße DETLEF « Ich werde Sie in der nächsten Zeit etwas nerven. Gemacht wurde ich von · M A X . Vermehrung und Schaden: BB - Devil_V8_B.Door anderer Name:SwiftWare Laenge ungepackt: 44224 Ein Hunk wurde vor das Originalfile gehaengt, um das Sysop-Pass- word auslesen zu koennen und in einem neuen File abzulegen. Ein Teil des 1.Hunks decodiert mit neg.b (a0)+ ergibt: 6262 bb 733A6E6F 6465302F 6E6F6361 6C6C6572 s:node0/nocaller 73617433 30300062 62733A75 7365722E sat300.bbs:user. 64617461 00 data. Da das Teil sich nicht vermehrt, handelt es sich nach der Definition nicht um einen Virus. Namensbegruendung: Eine Gruppe (oder Einzelperson) soll fuer diese BBS-Einbrueche verantwortlich sein. Kann ich nicht nach- pruefen. VT bietet den Ausbau an. - Devil_11_B.Door Drei Files sind mir bekannt, vor die das Teil gehaengt wurde: - DLog V1.8 Laenge verseucht: 23452 - ULog V1.8 Laenge verseucht: 23452 - MsgTop V1.0 Laenge verseucht,aber einmal entpackt: 17884 Alle drei Prg.e verseucht auf A4000 = GURU 4 BackDoor-Teil ausgebaut, aber ohne BBS: = Fehler -1 Wenn Sie das BackDoorTeil entpacken, finden Sie gleich am An- fang: 000003e9 0000093d 4efa09ac 42425300 .......=N...BBS. 44483000 44483100 4844303a 00484431 DH0.DH1.HD0:.HD1 3a004448 30004448 31004844 303a0048 :.DH0.DH1.HD0:.H 44313a00 4242533a 00444830 3a424253 D1:.BBS:.DH0:BBS 2f004448 313a4242 532f0048 44303a42 /.DH1:BBS/.HD0:B 42532f00 4844313a 4242532f 00444830 BS/.HD1:BBS/.DH0 3a004448 313a0048 44303a00 4844313a :.DH1:.HD0:.HD1: Mit SnoopDos koennen Sie das nachvollziehen. Schaden: (Die folgende Aussage wurde uebernommen) Sucht nach Files mit Laenge 1972 Bytes und aendert sie so ab, dass ab Level 10 Account edit und Sysop download moeglich wird. Da das Teil sich nicht vermehrt, handelt es sich nach der Definition nicht um einen Virus. Namensbegruendung: Eine Gruppe (oder Einzelperson) soll fuer diese BBS-Einbrueche verantwortlich sein. Kann ich nicht nach- pruefen. VT bietet den Ausbau an. - dailer-BBS V2.8g Von der Definition kein Virus, da keine Ver- mehrung. Ein Einbruchswerkzeug in BBS . Das Hauptprogramm duerfte eine Bluebox sein. Gepackt mit CrunchMania: Laenge: 11992 Bytes Laenge entpackt: 33908 Bytes Wird von VT entpackt als XLink erkannt. Also war meine Ver- mutung, dass auch dieses Programm fuer Viren missbraucht wird, RICHTIG !!!! Im File ist dann zu lesen: 79006262 733a7573 65722e64 61746100 y.bbs:user.data. 6262733a 6e6f6465 312f4e4f 43414c4c bbs:node1/NOCALL 45525341 54333030 00010000 000003ec ERSAT300........ ;....... 4469616c 65722076 322e3867 2f555044 Dialer v2.8g/UPD 41544544 20425920 53545249 4b455220 ATED BY STRIKER Oeffnet user.data und speichert ein paar Bytes in NOCALLERSAT300 ab. - Died siehe bei PP-Bomb - DIGITAL AGE = Rude Xerox = Forpib-Clone nur Text geaendert - DIGITAL EMOTIONS Cool, im Prg. DoIo und zurueck, immer $7ec00 im BB immer sichtbar: *** DIGITAL EMOTIONS *** je nach Zaehlerstand - wird eigener BB geschrieben oder - Track 0 mit 'VIRUS ' beschrieben. Folge: keine Dos-Disk Textausgabe (decodiert mit -1) ueber DisplayAlert: KickStart ROM Corrupted at $c00276 - DirtyTricks richtiger Name Incognito (das VirusPrg speichert am Ende des BB`s Tabellen mit ab, die sich nach Speicherlage und Konfiguration des Amiga aendern. Beim Booten des Viruses werden die Tabellen neu angelegt !!!) - DISASTER MASTER V2 ( cls * ) 1740 Bytes eigenstaendiges Prg. fuer startup-sequence KickTag, KickCheck im Prg. DoIo und wieder zurueck Cool und Cold werden geloescht Entfernung: 1.Zeile in startup. loeschen cls in DfX:c loeschen Erstellungsprogramm: Intro-Maker von T.C.R. Laenge: 10624 Bytes (war vor der Entdeckung z.B. auf Franz 47) - DISGUST BB Cool $7EDDE, DoIo $7ECA4 im Speicher immer $7EC00 KS2.04: GURU nach RESET Fordert trackdisk.device NICHT Schaden und Vermehrung: ueber BB Versucht durch im BB lesbaren Text zu taeuschen: 003e2041 6d696761 .> Amiga 20353030 20557469 6c697479 2020426f 500 Utility Bo 6f74426c 6f636b20 56310030 20546869 otBlock V1.0 Thi 73206973 204e4f20 56697275 73203c00 s is NO Virus <. Namensbegruendung: Decodiert mit : not.b (a1) eori.b #$28,(a1)+ steht im Speicher: 20546869 Thi 73206973 20746865 20444953 47555354 s is the DISGUST 202d2056 69727573 20627920 4d617820 - Virus by Max - Disk Speed Check V1.01ß Virus anderer Name: DSC101 s.u. - Disk-Doktors (KickV1.2) Die angeblichen Mutanten unterscheiden sich in $4 (Pruefsumme) und von $390-$3A8 (Variablenablage = bei jedem Reset anders) - Disk-Herpes Cool, im Prg. DoIo, im Speicher immer ab $7ec00 wird haeufig mit Phantasmumble verwechselt, Fastmem ja Vermehrung: ueber BB Schaden: schreibt auf Track 80 (Root) Speicherinhalt ab $60000. Folge: Disk BAD Graphikroutine: Deutschlandfahne + Text (auch im BB sichtbar) --- Hello Computerfreak --- You've got now your first VIRUS ** D i s k - H e r p e s ** Many Disks are infected !! Written by >tshteopghraanptha< c 27.07.1987 in Berlin - Disk.info Laenge: 370 Bytes KEINE Vermehrung Ein OriginalWB1.3-Icon wurde in der Struktur geaendert. (Text eingebaut z.B. This is a little present for all Lamers abroad ). Sobald Sie diese Disk einlegen und es muesste das Disk-Icon auf der WB angezeigt werden, stuerzt der Rechner ab. Haben Sie die Startup-Sequence im Cli abgebrochen, so muss kein Icon dargestellt werden und deshalb koennen Sie mit dieser Disk ohne Probleme arbeiten. AbHilfe: Ersetzen Sie Disk.info . Herkunft: unbekannt (Disk-Packer ???) - DISK-KILLER V1.0 File Laenge ungepackt: 1368 Bytes Unter welchem Filenamen das Programm weitergegeben wird, ist mir unbekannt. Namensbegruendung: im File steht uncodiert: 20204449 534b2d4b 494c4c45 52205631 DISK-KILLER V1 2e302020 200a .0 . Nach dem Fileaufruf wird folgender Text ausgegeben: " DISK-KILLER V1.0 ",10 "HEY YOU IN FRONT OF THE SCREEN !",10 "YOU ARE A LAMER !!!! HE HE HE ",10 "WHY ????",10 "- BECAUSE YOU HAVE A VIRUS !!",10 "HE HE HE ",10 "THIS WAS DONE IN TEN MINUTES",10 "BY THE MEGA-MIGHTY MAX ",10 "BYE BYE DISK !!",10 "GREETS ARE GOING TO:",10 "> LAMER EXTERMINATOR <",10 "SUFFER...",10 Danach beginnt SOFORT die Zerstoerungsarbeit in ALLEN Disk- Laufwerken. Die Disketten sind danach WERTLOS. Sie muessen sie neu formatieren. Das Virusteil ist also NICHT im Speicher zu finden, sondern nur beim Filetest. Von der Definition her handelt es sich nicht um ein Virus-Programm, da keine Ver- mehrung angestrebt wird. VT getestet: 21.11.92 Bitte ueber- pruefen Sie nach dem Loeschen des Files auch die startup- sequence ihrer Disk - Disk-Terminator Virus BB SCA-Clone siehe unten Namensbegruendung: im BB ist zu lesen 20202044 69736b2d 5465726d 696e6174 Disk-Terminat 6f722056 69727573 20202020 2020d2aa or Virus .. Anfaengerprogrammierung: graphics.library liegt an ungerader Adresse. GURU ist sicher fe018000 00ffffff fe0428ff fafbd367 ..........(....g 72617068 6963732e 6c696272 61727900 raphics.library. ^ Weiterer Auszug: 43fa lea 743(PC)(=$a030f),A1 2c79 move.l $000004,A6 4eae jsr -96(A6) 2040 move.l D0,A0 2068 move.l 22(A0),A0 7000 moveq #$00,D0 4e75 rts doslibname wird an ungerader Adresse gesucht, ist aber an ge- rader Adresse. Also wird nach Name gesucht, der mit 0 beginnt. (siehe ^ ) GURU ist sicher. Verantwortlich zeichnet SLASH - Disktroyer V1.0 File Laenge ungepackt: 804 Bytes AllocMem auch mit KS2.04 Versucht durch Loeschen des Cli-Fensters zu taeuschen. Ich vermute deshalb, dass das File als Cls-Befehl getarnt wird. Im File zu lesen: Disktroyer V1.0 usw. Keine Vermehrungsroutine Schaeden, wenn: - allocmem angesprungen wird und - in der Zaehlzelle der Wert $96 steht - Disk im Laufwerk liegt - Disk nicht schreibgeschuetzt ist dann: - Kopfstep (Zerstoerung der Disk(s)) alle Laufwerke (Routinen stehen nach meiner Meinung genau so in einem bekannten Buch !!!!!) - DisplayAlert: Disktroyer V1.0 usw. Empfehlung: File loeschen (VT) und startup-sequence ueber- pruefen - DiskVal1234 Disk-Validator Laenge:1848 Bytes Grundgeruest ist der SADDAM-Disk-Validator (siehe unten) Aenderungen: nicht mehr codiert als Disk-Validator (lesbar am Fileende z.B. strap, mycon.write usw ) Veraendert Bloecke die mit 8 beginnen: Schreibt in diese Bloecke nach $5a 1234 und ab $64 dann 66x 4e71 (NOP). (Also nicht mehr Austausch von 8 mit IRAK) Rufen Sie dann ein solches File auf, so stuerzt der Rechner ab, da ja wichtiger PrgCode mit NOPs ueberschrieben wurde (bei mir wird der Bildschirm gelbbraun). So leid es mir tut, diese Files koennen NICHT gerettet wer- den. VT bietet loeschen an. Es kann also sein, dass ihre ganze Disk unbrauchbar wird. - DIVINA EXTERMINATOR I Cool, DoIo, Inter.5 und $64. Im Prg dann noch $68 und $6c. Ueberschreibt SetPatchListe ab $C0. Codiert BB neu mit Wert aus $DFF006 (steht dann im BB $3F6) nach eor.w d0,d1 ist im Speicher zu lesen: VIRGO PRESENTS DIVINA EXTERMINATOR I Versucht einen sauberen OrigBB vorzutaeuschen. Schaeden und Vermehrung: BB nach 3 Vermehrungen: beginnt die K-Taste abzufragen und bis 10 in einer Zaehlzelle abzulegen. Dann wird nach $4 (ExecBase- Zeiger) der Wert 0 geschrieben = Absturz Ursprung: -p-turbo.dms - DIVINA II s.o. DIVINA EXTERMINATOR I Das Decodierwort in $3F6 ist anders. Grund s.o. (schafft endlich die Brainfiles ab !!! und disassembliert den VirenCode sauber und vollstaendig) - DLog V1.8 siehe oben Devil_11_B.Door - DM-Trash File siehe bei ZAPA-B.Door - DOpus-Virus Filename:dopusrt Laenge ungepackt: 6408 Bytes Bleibt NICHT im Speicher. Von der Definition kein Virus, da keine Vermehrung. Einbruchswerkzeug gegen Mailboxen. Veraendert zwei Files und fuehrt dann das OrigPrg aus. Empfehlung: loeschen VT erkennt File: 15.01.93 Im File ist zu lesen: 61727900 00626273 3A757365 722E6461 ary..bbs:user.da 74610000 00000000 00000000 00000000 ta.............. ;...... 00000000 00000000 6262733A 75736572 ........bbs:user 2E6B6579 73000000 00000000 00000000 .keys........... ;...... 00000000 00000000 00000000 416E6479 ............Andy 2F446563 61646500 00000000 00000000 /Decade......... 00000000 00000000 00000031 39393200 ...........1992. 00000000 3E2D442D 452D432D 412D442D ....>-D-E-C-A-D- 452D3C00 00000000 00000000 00000000 E-<............. 00003034 302F3735 35333637 32000000 ..040/7553672... Nachtrag 04.03.93: Es ist ein 2. File aufgetaucht, an das dieses gleiche Teil angelinkt ist. Auch dieses File ge- hoert zu DOpus. CRC Laenge ungepackt: 20716 Bytes Nachtrag 06.03.93: Da jetzt 2 Testfiles vorhanden sind, wurde eine Ausbauroutine eingebaut. Da diese Routine nur an zwei Files getestet werden kann, koennte sie wackeln. Fertigen Sie bitte deshalb vor dem Ausbauversuch UNBEDINGT eine Kopie des verseuchten Files an. Danke - DOSSPEED (Neuseeland) richtiger Name: Revenge of the Lamer - Dotty-Virus immer $7F000 KickTag, KickCheckSum im Programm: DoIo, Vec5 Fordert trackdisk.device NICHT Vermehrung: BB weitere Schaeden: modifiziert PRIVAT-intuition-struktur - DUMDUM BB auch mit KS2.04 immer ab $7FA00 Cool, im Prg DoIo, $64, $80 (Hallo Enforcer-Freunde) Text im BB lesbar: You are the owner of a DUMDUM virus please unprotect disk disk to kill! (machen Sie das BITTE NICHT) Textausgabe mit DisplayAlert Schaeden und Vermehrung: - Vermehrung ueber BB oder: - Format Disk - DriveInfo V0.91 by ESP trojanisches Pferd, Laenge: 1704 Bytes (PP-Data und ein decrunch-header davor) entpackt: Laenge: 1740 Bytes Im File ist dann z.B. zu lesen: EAST SIDE POWER 91/92 KS2.04: NEIN Findet dann KEIN Laufwerk und meldet sich mit Requester. Nach kurzer Zeit dann GURU beim Arbeiten. Versucht unter KS1.3 zu taeuschen, indem Laufwerksdaten (Drive, Volume usw.) ausgegeben werden. Verhindert hierbei AutoRequest. Installiert mit addintserver "Install yeah!" . Wird nach Crime!++ - Installierung mit Rem- IntServer wieder entfernt. Interrupt = 5 . Installiert nach etwa EINER Minute (das ist echt neu) Crime!++ im Speicher (Cool, wait usw. s.o.). Empfehlung: sofort loeschen siehe auch : Crime!++ - DSC101-Virus Zerstoerungsfile gegen BBS: Ungepackt Laenge: 33152 Bytes . VT kennt nur die ungepackte Version, weil mir das Prg. ungepackt zugeschickt wurde. Von der Definition KEIN Virus, da keine Vermehrungsroutine vorhanden. Grosse Teile des Prg.s bestehen nur aus Null-Bytes. Ein Teil des wirklichen Prg.s ist codiert mit: not.b (a0)+ Das Prg. bleibt NICHT im Speicher Das Prg versucht durch eine Cli-Ausgabe zu taeuschen: Disk Speed Check V1.01ß - © Micro-Tech Softwares® 1992 Programming by Alan Forslake. (1.10.1992) Usage : DSC -mode <drive>, Where mode is : 1=disk speed check 2=scsi speed test Didnt` found a supported SCSI drive, sorry! Try to contact Alan Forslake on :223/22/32 in@sf@com In Wirklichkeit wird versucht (aber wirklich nur versucht) folgende Teile zu loeschen: bbs:user.keys bbs:user.data sys:s/startup-sequence s:acp.startup Empfehlung: einfach loeschen VT Fileerkennung getestet: 19.10.92 - EM-Wurm (zielgerichtet gegen EUROMAIL) nicht resetfest immer: schreibt in startup-sequence $A0,$0A (1.Zeile) eigener Process: clipboard.device schreibt in c: $A0, Laenge: 3888 Bytes (ASCII-Text vorhanden) schreibt in 5.Byte von c:protect (falls vorhanden) $01 Folge: protect wird unbrauchbar Zerstoerungsroutine: Wird nur ausgefuehrt wenn Verzeichnis EM, EUROMAIL oder EUROSYS vorhanden ist. Ueberschreibt alle Files in obengenannten Schubladen mit Speicherinhalt ab MsgPort. In zerstoerten Files ist ab $BC clipboard.device zu lesen. Dann wird mit dosdelay $259A eine 3 Minuten Pause eingelegt. Nach dieser Pause wird die Zerstoerungsroutine wieder in der Schleife aufgerufen. Ursprungsprogramm: QuickInt PP-crunched Laenge: 3196 Bytes Mein VT loescht den Process n i c h t, sondern fuellt ihn mit NOP's. Einige Programmteile, z.B. Autorequester, con usw. konnten nicht getestet werden, weil ich EUROMAIL nicht besitze. Diese Teile werden ebenfalls mit NOP's ueberschrieben. Falls des- halb bei aktivem EUROMAIL-Programm ein GURU erscheint, bitte ich um Hilfestellung. Danke !! - Ethik-Virus siehe bei SHIT - EXCREMENT-Virus BB Cool: $7F47A DoIo: $7F4C2 immer ab: $7F400 KS2.06: GURU B nach Reset Fordert trackdisk.device NICHT Namensbegruendung: im BB ist zu lesen: 61727900 45584352 454d454e 54002d7c ary.EXCREMENT.-. Vermehrung: BB Schaeden: Sobald eine Zaehlzelle den Wert $A erreicht hat, blinkt die LED. Mehr ist bei mir nicht passiert. - EXCREMENT-Installer File Laenge: 1180 Bytes VT erkennt EXCREMENT-Virus. Ein File das aus dem BB (s.o.) und ein paar Speicher-Install- Bytes besteht. Das Teil kann sich dann nur als BB und NICHT als File vermehren. Einfach loeschen. - Excreminator 1 File Laenge: 2392 Bytes auch KS2.04 KEINE verbogenen Vektoren KEINE Vermehrungsroutine KEINE Schreibroutine fuer Startup-Seq Versucht durch angeblichen Virustest zu taeuschen. Im File zu lesen: The Lame Trio usw. verraet sich durch System-Requester: Write-pro.... Schaeden: Versucht in libs Exec.library (4 Bytes) als Zaehlerfile (Startwert=5) anzulegen. Verringert dann bei jedem Aufruf den Zaehler. Bei 0 KopfStep ALLE Laufwerke Folge: Not a DOS Disk und mit DisplayAlert: LAME SUCKER usw... danach RESET Empfehlung: beide Files sofort loeschen und gegebenenfalls Startup-Seq. ueberpruefen. - EXECUTORS BB Cool $7EC74 DoIo $7ED4A im Speicher immer $7EC00 Herpes-Clone KS2.04: ja Fordert trackdisk.device NICHT Namensbegruendung: s.u. Vermehrung: ueber BB Schaden: Zerstoert Track ab $6E000 (Bei Disk Root) Sobald eine Zaehlzelle den Wert 5 erreicht hat, wird ein Text ausgegeben: Hintergrund: Deutschland-Fahne HI ! THE EXECUTORS ARE HERE Some of your fucking Disks are infected with the Virus V1 Greets are going to : M A X O F S T A R L I G H T Lamer....FUCK OFF! - Express2.20-Virus keine Vermehrung (also von Def. kein Virus) keine verbogenen Vektoren, Zerstoerungsprogramme 1. File Express2.20 Laenge: 194064 2. File aibon Laenge: 776 aibon haengt am Ende von Express2.20 und wird mit jmp ange- sprungen. Am Ende der Files ist zu lesen bbs: sys: ram: dos.library . Naja werden Sie denken wieder mal gegen Ami-Express gerichtet. Trifft mich nicht, hab ja keine Mail-Box. Halt !!!! Vorsicht ! Das Starten von Express2.20 reicht um Sie an die Decke gehen zu lassen. Zerstoerungsablauf: - Sie starten Express2.20 von Sys-Ebene (halt mal sehen was das Programm macht) - aibon wird nach :s kopiert - :s/startup-sequence wird auf EINE Zeile :s/aibon gekuerzt - Requester Datentraeger bbs einlegen - Sie haben keine Mailbox und klicken cancel - Tastatur wird gesperrt - und jetzt gehts los - jedes File in sys: wird eingelesen und mit 42 Bytes Laenge zurueckgeschrieben. Da kommt Freude auf. - Also Tastatur-Reset (geht leider nicht siehe oben) - Also nehmen Sie not validated in Kauf und schalten schnell den Computer 1 Minute aus. - Computer wieder an UND es wird weiter geloescht (richtig: sys:s/startup-sequence mit der Zeile :s/aibon existiert noch) Das merken Sie aber erst so nach 40 Sekunden, weil ihre startup-sequence fuer die Festplatte immer eine Zeit braucht. - Um hier noch etwas zu retten brauchen Sie eine WB-Disk von der Sie booten koennen und im Zweifelsfalle ihre Festplatte anmelden zu koennen. Kopieren Sie auf ihre Festplatte eine neue startup-sequence und hoffen Sie, dass Sie schnell genug waren und einige Files noch nicht zerstoert wurden. Nachtrag: Falls bbs: gefunden wurde, werden natuerlich zuerst dort alle Files zerstoert. Herkunft: d-aex220.lha Laenge 135400 angeblich neues Ami-Express Erkennung der beiden Files mit VT getestet: 09.09.92 Loeschen der beiden Files mit VT getestet : 09.09.92 aibon: 00000000 00000000 00006262 733a0073 ..........bbs:.s 79733a00 72616d3a 00646f73 2e6c6962 ys:.ram:.dos.lib - EXTREME DoIo, KickTag, KickCheckSum, Rasterstrahl entweder 7f800 oder ff800, da Berechnung ueber SysStkLower+$1000 lesbarer Text im BB: THE EXTREME ANTIVIRUS usw. sobald Zaehlzelle Null : Zerstoeren (Disk BAD) aller nicht schreibgeschuetzten Disks in allen LW und Alertmeldung Vermehrung: ueber BB - F.A.S.T. Cool, DoIo , FreeMem, immer ab $7F000 Alertmeldung (verschluesselt mit eori-Byte in Abhaengigkeit von $DFF006) und loeschen veraendert auch $C0-$E0 (SetPatchListe!) Vermehrung: BB - F.A.S.T. 1 FAST-Clone im BB wurde der codierte Prg.Teil um einige Bytes verschoben, um im BB-Kopf dos.library einbauen zu koennen. Die Speicher- lage wurde nicht veraendert. - F.I.C.A Beginio, KickTag, KickCheckSum, SumKickData Vermehrung: BB Besonderheit: spielt sauberen BB vor sichtbarer Text im BB ab $288 z.B. F.I.C.A RULES! - Fast Eddie starke Aehnlichkeit mit Glasnost Block 2 u 3 KickTag, KickCheckSum im Prg noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner schreibt eigenen BB bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 Fast Eddie . Dieser Block kann NICHT gerettet werden. Benennt Disknamen um ( This disk is infected (HE-HE) ) . Codiert jeden BB neu mit ByteWert von $DFF006 eor.b d1,(a0)+ . Decodiert eigenen BB mit eor.b d6,(a0)+ . Decodiert im Speicher : Call 43-444304 and ask for HENRIK HANSEN (FAST EDDIE) - FORPIB kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5 Vermehrung: ueber BB besorgt sich Speicher ueber MemList, Speicher fuer neuen VirusBB mit AllocMem Im BB sichtbar: - FORPIB - 09.88 - N° 197102 - usw. - Freedom reines Zerstoerungsprogramm Laenge: 10876Bytes Herkunft: Freedom!.LZH 8153 Bytes Fordert trackdisk.device; keine verbogenen Vektoren versucht durch Text zu taeuschen: Freedom ! by Steve Tibbett Checking df0: for 126 viruses nach kurzer Zeit wird abwechselnd ausgegeben: SADDAM-Virus removed ! oder SMILY CANCER-Virus removed ! Schaden: schreibt in jeden 5.Block (also auch Root=880) Datenmuell, der nach einigen Tracks sogar den Inhalt wechselt (vermutlich soll Blockerkennung verhindert werden). Durch die vielen zerstoerten Bloecke ist eine Rettung mit DiskSalv unwahrscheinlich. Daten also ab- schreiben und Disk formatieren. Mit etwas Glueck erkennt VT beim BitMapTest eine Freedom-Disk. Beim BlockITest meldet sich VT nicht, da der Muell von Disk zu Disk und auch nach einigen Tracks wechselt. - FrenchKiss belegt auf Track 0 Block 0 bis 5 Ich besitze nur Bl 0 u. 1 . Ein echter Virus !!! Cool, DoIo, $6c, Vec5, immer ab $7f0d0 Vermehrung: Block 0 bis 5 auf Track 0 Schaeden: Je nach Zaehlerstand wird Track 0 ueberschrieben oder Track 80 (bei Disk = Dir ) zerstoert. Mehr kann ich nicht sagen, da ich nur Block 0 u. 1 habe. Bitte schicken Sie mir Ihre verseuchte Disk. Danke !!! - FRESHMAKER-Virus BB immer ab $78000 Cool $78154 Nach Reset dann noch: DoIo, Findres, Supervisor Vermehrung nur: mit KS1.3, da absolute ROM-Einspruenge und ExecBase im Speicher ab $C00000 Versucht durch lesbaren Text im BB zu taeuschen: 203E2056 69727573 50726F74 6563746F > VirusProtecto 72205631 2E30203C 2000 r V1.0 < Nach #10 Vermehrungen Textausgabe mit intuition. Text wird mit eori.b #$27,(a1)+ decodiert: ES IST WIRKLICH NICHT ZU GLAUBEN. DU BOOTEST MIT EINER UNGESCHÜTZTEN DISK ! ES IST WIRKLICH SCHADE (!), DAß ES SOLCHE LAMER (!) NOCH GIBT. DU HAST WOHL KEINE ANGST VOR VIREN ??? ICH WÜNSCHE DIR NOCH VIEL SPAß (!) MIT DEINEM AMIGA... UNTERZEICHNET: THE FRESHMAKER IN 1991 ! - Frity Forpib-Clone s.o. - fuck.device-Virus BB Cool, DoIo Namensbegruendung: siehe unten Fordert trackdisk.device NICHT Das Virusteil meldet sich nicht. Schaeden und Vermehrung: je nach dem Wert in der Zaehlzelle wird: - der Virus-BB geschrieben (#1024 Bytes) - oder Block 0 und 1 zerstoert mit fuck.device. Da hier aber $800 Bytes geschrieben werden, wird in Block 2 und 3 Speicher- muell geschrieben. Sollte ein File Block 2 und 3 belegt haben, so ist dieses File NICHT mehr zu retten. 6675636b 2e646576 69636500 00667563 fuck.device..fuc 6b2e6465 76696365 00006675 636b2e64 k.device..fuck.d 65766963 65000066 75636b2e 64657669 evice..fuck.devi Kopieren Sie mit VT einen neuen DOS-BB auf. - Future Disaster nur KS1.2, Cool, DoIo, BeginIo, immer ab $7FB00 fordert trackdisk.device (also HD nicht) Vermehrung:BB Schaden: sobald die Zaehlzelle den Wert 7 erreicht hat: - schreibt Speicherinhalt ab $10000 nach Block 0 u 1 - schreibt Speicherinhalt ab $7Fb00 nach Block 880 und weiter Folge: Disk unbrauchbar - Gadaffi (KickRomV1.2 Floppymusik) Cool, DoIo, KickTag, KickCheckSum - Gandalf BB Cool, ExitIntr, PutMsg BB-Teile codiert mit eor.w d1,(a1)+ decodiert ist im Speicher zu lesen: Gandalf`s Rache usw. Vermehrung und Schaeden: - schreibt sich auf BB - in Abhaengigkeit von der Zaehlzelle soll die Disk zerstoert werden. Verwechselt aber Disk-Seek mit Disk-Format, DisplayBeep mit DisplayAlert usw. (Anfaenger ??) - GCA-Virus BB Forpib-Clone nur Text geaendert 26.11.92 4765726d 616e2043 7261636b 696e6720 German Cracking 4167656e 63792028 47434129 20212121 Agency (GCA) !!! 20a92031 39383820 56312e30 20212121 . 1988 V1.0 !!! - GENESTEALER BB auch KS2.04 immer ab $7EC00 Cool, DoIo Im BB ist zu lesen: GENESTEALER VIRUS!!! by someone... Schaeden und Vermehrung: ueber BB Testet VBlank ( cmpi.b #$32,$212(a6) ) Sollte der Wert NICHT 50 sein, so wird der Rootblock zerstoert. Fordert trackdisk.device NICHT . - GENETIC PROTECTOR V2.00 BB Dotty-Clone s.o. 16.03.92 nur Text geaendert: GENETIC-ELECTRONICS usw. Pech gehabt: wird weiterhin als Dotty erkannt - Germany-Virus Forpib-Clone nur Text geaendert 4765726d 616e7920 21204c6f 76652020 Germany ! Love 6974206f 72206c65 61766520 69742021 it or leave it ! 21212121 21212121 21212020 20202020 !!!!!!!!!! - Glasnost Block 0 bis 3, Laenge also 2048, KickTag, KickCheckSum im Prg noch DoIo, $6c, im Speicher immer $7F000 fordert trackdisk.device NICHT. Wird aktiv wenn Block 880 gelesen wird Schaeden: blockiert nach 15 oder 20 Min. Rechner schreibt eigenen BB und zerstoert damit auch Files in Block 2 u. 3 bestimmt einen Block ueber $DFF006 durch mulu #6,d7 und schreibt in diesen Block ab $100 vier Langworte ($11111111, $22222222, $44444444, $88888888). Dieser Block kann NICHT gerettet werden. Text in Block 3: Glasnost VIRUS by Gorba!! First release - Golden Rider Linkvirus im Speicher immer $7C000 verbiegt Cool, DoIo, DosOpen Arbeitet nicht mehr mit Doslib-Version 35 oder hoeher. Verlaengert ein File um 868 Bytes, haengt sich auch mehrmals in ein File, da keine Abfrage ob schon befallen. File darf max 100000 Bytes gross sein. File muss executable sein. Filename + Pfad darf nur Zeichen ab A enthalten (Ausnahme / : 1 0 ) Eine Zeichenobergrenze wurde im Programm nicht gefunden. Eine Vermehrung findet statt bei: df0:Test/File KEINE Vermehrung mit: df3:Test/F9 Das VirusTeil enthaelt keine Melderoutinen. Haengt sich am Ende des 1.Hunks ein und ersetzt RTS durch ein NOP. Sollte kein RTS am Ende des 1. Hunks gefunden wer- den, so wird $38 Schritte ab Hunkende zurueck nach einem RTS gesucht und dann durch BRA.s ersetzt. In ersten Hunk des befallenen Files ist unverschluesselt zu lesen: >>> Golden Rider <<< by ABT VT versucht den Virusteil auszubauen und ein lauffaehiges Ursprungsprogramm abzuspeichern. KEINE Garantie !!! Arbeiten Sie mit einer Kopie !!!! Vermehrung getestet: ja Ausbau getestet: ja Hinweis: Da sich die 3 Testlangworte in 2 verschiedenen Bloecken befinden koennen, wird der Golden Rider nur im Filetest SICHER erkannt. Bei der Blockkette koennte einer beim Test NICHT ge- meldet werden. Hinweis 31.08.92: Ab VT2.44 sollten mehrere GoldenRider-Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - Gotcha LAMER Filevirus anderer Name: Lamer Bomb verlaengert File um 372 Bytes, DoIo nur in Files dir, run, cd, execute Schaeden: - KEINE Vermehrung ueber obengenannte Files hinaus - KopfStep - DisplayAlert u. RESET: "HAHAHE... Gotcha LAMER!!!" Ursprungsprogramm: MINIDEMO.EXE Laenge: 773 Bytes sucht fuer Link nach: dh0:c/dir, dh0:c/run, dh0:c/cd, dh0:c/execute - Graffiti aehnlich 16Bit Crew + 3D-Graphik FastMem ja, Cool, im Prg DoIo, im Speicher immer $7ec00 Vermehrung: ueber BB Graphikroutine mit 3D unverschluesselt im BB: VIRUS! written by Graffiti - GREMLIN Cool, KickSumData, im Prg. DoIo, im Speicher immer $7f400 Vermehrung: ueber BB Textausgabe mit GraphikRoutine: roter Hintergrund, weisse Schrift GREMLIN - GX.TEAM Fastmem ja, nur KS1.2 da absoluter DoIo-Einsprung Cool, DoIo, KickTag, KickCheckSum, im Speicher immer ab $7f4d0 Vermehrung: ueber BB Textanzeige mit displayAlert (wird mit sub.b #$41,d0 nach $7f300 entschluesselt): Mais qui voila ???C'est le nouveau VIRUS de GX.TEAM !! AAAHH! Les salauds! Les ...(Insultes diverses) He!He! SILENCE : GX.TEAM entre enfin dans la legende ... BYE!!! - GYROS Cool, DoIo, immer ab $7EC00 fordert trackdisk.device NICHT Vermehrung:BB Schaden: sobald die Zaehlzelle den Wert 10 erreicht hat: - blockiert Rechner im BB zu lesen: Your Amiga is fucked from a nice GYROS usw. - HAPPY NEW YEAR BB 21.11.92 Cool, im Programm DoIo immer ab $7EC00 Namensbegruendung: im BB ist zu lesen: 2d2b2d20 48415050 59204e45 57205945 -+- HAPPY NEW YE 4152202d 2b2d4ef9 0fc00000 43f90007 AR -+-N.....C... Vermehrung: kaum moeglich Begruendung: endlich hat es jemand geschafft, einen HunkReloc32 im BB unterzubringen. 000003ec ................ 00000006 00000000 000000e4 000000dc ................ 000000bc 0000006e 0000003e 00000022 .......n...>..." 00000000 000003f2 00000000 00000000 ................ Dies hat zur Folge, dass der OrigDoIo an einer Stelle abgelegt wird, und sobald er gebraucht wird, an einer ganz anderen Stelle im BB gesucht wird. Die Folgen sind klar. Meine Empfehlung: Anfaenger uebt weiter am Joystick. Glaubt mir, da ist euer Erfolgserlebnis groesser. - HARDEX VIRUS SADDAM-Clone s.u. - Hauke Byte-BanditClone s.o Text geaendert: Hauke Jean Marc usw - Haukeexterminator I Disk-DoctorClone s.o Text geaendert: Haukeexterminator I usw - HEIL Virus BB Cool immer $7C070 immer ab $7C000 Bei mir mit KS2.04 nach Reset kein neuboot von Disk. Unter KS1.3 werden nach dem Reset 2 Interrupts installiert. Nr. 3 = Ports = $7C1C6 = SS.install Nr. 5 = VERTB = $7C1E8 = SS.greets VT entfernt beim loeschen die Namen und setzt die Codezeiger auf 0 mit RemIntServer. Also keine Gefahr mehr. vgl. VT = Listen = IntVec Sobald die Zaehlzelle den Wert #$500 erreicht hat wird eine Graphikroutine angesprungen: schwarzer Hintergrund, helle Schrift Hakenkreuz,SS-Rune,Hakenkreuz und dann your computer is infected by SS-Virus! Danach ist ein Reset notwendig, da das VirusPrg. sich in einer Endlosschleife befindet. Der BB ist codiert mit eori.l #"HEIL",(a0)+ Von der Definition handelt es sich nicht um einen BB-Virus, da keine Vermehrungsroutine gefunden wurde. siehe auch MOSH, SS-Virus - Hilly KickTag, KickCheckSum, Kick1.2 DoIo im Prg mit absolutem ROMeinsprung Test auf spezielle Kickstartversion (patched bei $FC0090) Falls vorhanden kein Virusaufbau. Fordert trackdisk.device nicht an, deshalb koennen Schreib- zugriffe auf die Festplatte erfolgen !! Lage im Speicher: immer ab $7f300 (ResStruc.) Vermehrung: ueber BB sonst keine Routine gefunden (keine Graphik usw.) - Hireling Protector V1.0 anderer Name: Charlie Braun ForpibClone s.o. nur anderer Text - Hochofen Link auch mit KS2.04 verlaengert ein File um 3000 Bytes KEINE bekannten Vektoren verbogen !!!! Wurde mir als Trabbi zugeschickt. Da ich diesen Namen nicht nachvollziehen kann (kommt im Prg-code nicht vor), nenne ich ihn Hochofen (im 1. Hunk zu lesen). Taskname: Greetings to Hochofen Vermehrung: NUR moeglich beim Start eines bereits verseuchten Prgs. Scannt Root durch (examine, exnext usw.) und sucht nach Files, die - ausfuehrbar ($3F3) - kleiner als 200000 Bytes - noch nicht befallen sind. Haengt sich dann als erster Hunk an und verlaengert das File um 3000 Bytes (Hunk nicht codiert). Hinweis: NICHT jedes verseuchte File ist lauffaehig ! s.u. Schaeden: Task: Greetings to Hochofen im Task: KEIN VermehrungsPrgTeil zeitabhaengig: BildschirmHintergrund schwarz rot gelb mit Maustaste wegklicken Requester Fasten seat-belt! mit Maustaste wegklicken Task wird wieder entfernt Fehler: kennt viele Hunktypen NICHT und veraendert durch einen Schleifenfehler dann den Hunktyp um +1. Als Beispiel, weil ich es da zuerst bemerkt habe: Kennt hunksymbol ($3F0) nicht und macht daraus hunkdebug ($3F1). In unbekannten Hunks werden auch in einer Schleife Bytes FALSCH geaendert. Verseuchte Files die den Computer zum Absturz bringen, ver- aendern bei mir auch die Hardwareuhr !!!! Vermehrung getestet: ja auch mit ROM KS2.04 Ausbau getestet: ja mit VT 2.37 - HODEN V33.17 nur KS1.2, da absoluter DoIo-Einsprung DoIo, KickTag, KickCheckSum, im Speicher immer $7f000 Vermehrung: ueber BB Kennzeichen: nach fuenf Kopien wandert ein gelber Kopf von links nach rechts ueber den Bildschirm. unverschluesselt steht im BB: HODEN V33.17 - HULKSTERS-Virus BB Pentagon-Clone s.u. Text geaendert: z.B. SACHSEN/ANHALT usw. - HunkLab-Virus Link von VT NUR im ungepackten Zustand erkannt !!! Es soll sich um ein XCopy-Programm handeln, dass es er- moeglicht, NutzPrg.e als auch Viren vor bereits vorhandene Programme zu haengen. Ganz ehrlich. Ich verstehe die Welt nicht mehr. Wie kann eine Firma so ein Programm verkaufen, das es jedem Anfaenger AUCH erlaubt, Viren an ein vor- handenes Programm zu linken ????? Aber noch einmal: Nicht jedes mit Hunklab veraendertes Programm muss ein Virus- teil enthalten. Zu Beginn des 1.Hunks ist zu lesen: 58892f49 003c4cdf 7fff4e75 556e6974 X./I.<L...NuUnit 6564a046 6f726365 53000000 00000001 ed.ForceS....... Bitte nehmen Sie fuer den Ausbau eine Kopie ihrer Disk. Ich habe nur 5 verseuchte Files (AIBON). Da ich Hunk- Lab nicht besitze, kann ich keine weiteren Files linken. Die Routine koennte also wackeln. Bitte teilen Sie mir festgestellte Fehler mit. Danke Fileerkennung und Ausbau mit VT: 05/06.12.92 Hinweis 30.12.92: Es soll in der Szene ein modifiziertes Hunklabprogramm (oder aehnlich programmiert) Verwendung finden. Es kann also zu Verwechslungen kommen und die Programme sind vielleicht nach dem Ausbau NICHT mehr lauffaehig. Fertigen Sie also BITTE eine Kopie und ver- suchen Sie mit dieser den Ausbau. - ICE SCAClone, Cool, im Prg. DoIo, im Speicher immer ab $7ec00 Vermehrung: ueber BB Textausgabe durch GraphikRoutine unverschluesselt steht im BB: Greets from The Iceman & The IRQ usw. - Incognito anderer Name Trojan DoIo, KickMem, KickTag, KickCheckSum, FastMem ja nur KS1.2, da absoluter DoIo-Einsprung ins ROM Vermehrung: ueber BB sonst keine Schaeden und kein Text im BB: nichts zu sehen, da trackdisk.device verschluesselt. - INDIANA JONES BB Cool immer $7E656 immer ab $7E600 im Prg: DoIo $7E690, FindRes $7E676 KS2.04: ja Fordert trackdisk.device NICHT Warhawk-Clone Unterschied: die Textausgabe ueber Graphik-Routine wurde entfernt. Vermehrung: BB Namensbegruendung: Wenn Sie im BB die 7F-Zeichen richtig anordnen, ergibt sich: ····#··#··.#·##···#·####·#···#·####······####·####·#···#·###·### ····#··##·.#·#·#··#·#..#·##··#·#··#·········#·#··#·##··#·#···#·· ····#··#·#.#·#··#·#·# .#·#·#·#·#··#·········#·#··#·#·#·#·##.·### ····#··#·.##·#·#··#·####·#··##·####·······#·#·#··#·#··##·#···..# ····#··#··.#·##···#.#·.#·#···#·#··#······#··#·####·#···#·###·### ··········································##···················· - Infiltrator Link anderer Name Klein-Virus (von mir nicht nachvollziehbar) Arbeitet erst ab dos.library-Version #36 oder hoeher (also keine Vermehrung mit KS1.2 oder KS1.3) Verbiegt OldLoadSeg (NewLoadseg wird nicht verbogen) Ueberprueft ob Virus schon installiert mit Zeichenfolge "1992". Verlaengert ein File um 1052 Bytes. Am File ist das Virusprogramm codiert mit eori.b x,(A0)+ . Das Byte x aendert sich bei jedem neuen Linkvorgang in Abhaengig- keit von $DFF006 . Im Programm ist ein Textteil codiert mit: move.w #$80,d0 loop: eor.b d0,(a0)+ dbra d0,loop Decodiert ist dann zu lesen: Howdy hacker! This is The Infiltrator! usw. Sucht auch nach einem File user.data Arbeitsweise: - Sucht nach dem Langwort, das die Laenge des 1.CodeHunks enthaelt und erhoeht den Wert um $107 . - Schreibt zu Beginn des 1. CodeHunks 6100xxyy (bsr xxyy) d.h. der OriginalSourceCode wird ueberschrieben. - Haengt sich codiert am Ende des 1.OriginalCodeHunks an. d.h. keine Erhoehung der HunkAnzahl. Vermehrungsbedingungen: - Disk validated - mindestens 8 Bloecke Platz - 1. CodeHunk nicht groesser als $1ffc * 4 = $7FF0 (von Virusprogramm getestet ) - Test 1. Wort im CodeHunk auf - $4EF9 (Jmp) falls ja keine Verseuchung - $4EB9 (Jsr) falls ja keine Verseuchung - Test ob schon von Infiltrator verseucht 1. Wort im CodeHunk auf - $6100 (bsr) falls ja 2. Test an anderer Stelle auf - $48E7FFFE falls ja schon verseucht, deshalb Ende. Ergebnis: verseucht auch libs, devices usw. AUCH auf FESTPLATTE !!!!! NACHTRAG 26.07.92 : entgegen dem schon befallen Selbsttest ist es mir gelungen das Virusprogrammteil 2x an diskfont.library zu linken !!!! Erfolg: NICHT alle Programme sind danach lauffaehig !!!!! (von Shell mehr als von WB) Ausbau: VT versucht den Originalzustand wieder herzustellen. Falls es Probleme gibt, wenden Sie sich bitte an mich. NACH dem FileTest machen Sie bitte ein EinzelFileCopy auf eine leere formatierte Disk. Zwei Gruende: - die Fragmentierung der Files wird aufgehoben (Disk ist wieder schneller) - es werden nur benutzte Bloecke kopiert, d.h. jetzt nicht mehr von Files belegte Bloecke werden nicht mitkopiert und so kann dann auch BlockITest keinen Infiltrator auf der NEUEN Disk in einem unbenutzten Block finden. Suche: Sie MUESSEN mit FileTest suchen. Bei BlockKette kann eine Meldung unterbleiben, wenn von den 3 Testlangworten 2 im Block x und 1 LW im Block x+1 liegen. Bitte: Suchen Sie NICHT nach verseuchten Files, solange ein sogenanntes "Nutzprogramm" aktiv ist, das loadseg verbiegt. Hinter diesem Nutzprg koennte der Infiltrator liegen !!! Folge: Das Nutzprogramm ueberprueft beim Laden das File und stellt fest, dass das File von ihm NICHT zu bearbeiten ist (also z.B. nicht gepackt) und uebergibt an den "OrigLoad- Seg-Vektor". Nur leider ist der "OrigLoadSeg-Vektor" auf die Infiltrator-Routine verbogen !!!! Ihre Erfolgsaussichten sind NULL !!!!!! - INFLUENZA BB Cool $7F320, DoIo $7F0FC, $60, immer ab $7F000 Fordert trackdisk.device NICHT Turk-Clone Unterschiede: - Cool-Einsprung im Prg. verschoben - keine DisplayAlert-Routine Vermehrung: ueber BB Schaeden: - schreibt FUCK nach $60 - Sobald in $300 (absolut!) der Wert #10 steht, wird die Disk von Zylinder 0-39 formatiert. Namensbegruendung: im BB ist zu lesen: 20202020 48452048 45203c2d 20202d2b HE HE <- -+ 2d204920 4e204620 4c205520 45204e20 - I N F L U E N 5a204120 2d2b2d20 202d3e20 20205355 Z A -+- -> SU - Inger IQ ByteBandit/Forpib-Clone s.d. Text: ---Inger IQ Virus - Ersmark 1953--- - INGO BB DoIo, KickTag, KickCheckSum KS2.04: ja Fordert trackdisk.device NICHT LADS/ZEST-Clone s.u. Unterschied: DisplayAlert abgeschaltet Namensbegruendung: im BB ist zu lesen: f00f494e 474f2049 53205350 45414b49 ..INGO IS SPEAKI 4e472021 212100ff 00fc2344 45415448 NG !!!....#DEATH - INGO'S RETURN BB abcd bei $396 duerfte zur Lamer-Familie gehoeren. schreibt FUCK!! in irgendeinen Block BeginIo, KickTag, KickCheckSum, SumKickData KS2.04 nein Codiert jeden Virus-BB neu Namensbegruendung: decodiert mit eor.b d0,(a0)+ ist im Speicher zu lesen: >>INGO`S RETURN << suffer! Von INGO`S RETURN zerstoerte Bloecke in einem File sind NICHT mehr zu retten. Tut mir leid. - init_cli anderer Name: AMIGAKNIGHTVIRUS s.o. - IRQ-TeamV41.0 Link-Virus, verlaengert ein Prg. um 1096 Bytes Einsprung nach Reset: KickTag Einsprung bei Arbeit: OldOpenLib laeuft nicht mit KS2.04 Textanzeige im CliTitel: (entschluesselt mit eor.l d0,(a0)+ addq.l #3,d0 ; fuer einen neuen Virus wird der Inhalt von d0 ueber move.l alterWert,d0 u. add.l $dff004,d0 veraendert) AmigaDOS presents:a new virus by the IRQ-TeamV41.0 entweder wird c/dir oder das erste File der startup-sequence befallen. K e i n File wird zweimal befallen. Das File darf nicht laenger als 100 000 Bytes sein. Entfernung: 1.Zeile in startup. loeschen OrigFile besorgen und neu kopieren - IRQ II wie IRQ I, aber die Routine auf Test schon befallen (cmpi. #$fffe6100,30(a4,d6.l) wurde verfaelscht. Das heisst: das erste File von der startup-sequence wird solange befallen, (d.h. verlaengert) bis die Disk voll ist. Nachtrag:gilt fuer IRQI+II; mit meiner FastmemKarte ist n a c h einem Reset keine Vermehrung mehr moeglich ????? Hinweis: Ich besitze ein IRQ2-File mit sechs Links Hinweis 03.09.92: Ab VT2.44 sollten mehrere IRQ2-Links ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - JEFF-BUTONIC V1.31/05.11.88 PrgFileVirus 3408 Bytes DoIo, KickTag, KickCheckSum, $68 schreibt sich in die 1. Zeile der Startup-Sequence einer nicht schreibgeschuetzten Disk. Tarnnamen s.u. Die Anzahl der neuen Buchstaben wird am Ende der Startup-Sequence weg- genommen. Texte codiert mit: eori.l #$AAAAAAAA,(a0)+ Text fuer DisplayAlert: "Einen ganz wunderschönen guten Tag!" "* I am JEFF - the new Virus generation on Amiga *" "(w) by the genious BUTONIC." "V 1.31/05.11.88 - Generation Nr.00037" "Greetings to * Hackmack *,* Atlantic *, Wolfram, Frank," "Miguel, Alex, Gerlach, and to the whole Physik-LK from MPG !!" Texte fuer die Fensterleiste: "Ich brauch jetzt'n Bier!" "Stau auf Datenbus bei Speicherkilometer 128!" "Mehr Buszyklen für den Prozessor!" "Ein dreifach MITLEID für Atarist!" "BUTONIC!" "Schon die Steinzeitmenschen benutzten MS-DOS...einige sogar heut noch!" "Schon mal den Sound vom PS/2 gehört???" "PC/XT-AT: Spendenkonto 004..." "Unabhängigkeit & Selbstbestimmung für den Tastaturprozessor!" "Paula meint, Agnus sei zu dick." "IBM PC/XT: Ein Fall für den Antiquitätenhändler..." "Sag mir, ob du Assembler kannst, und ich sage dir, wer du bist." Tarnnamen: fuer RootDir: in Startup-Sequence: AddBuffers "AddBuffers 20" Add21K "Add21K " Fault "Fault 206" break "break 1 D" changetaskpri "changetaskpri 5" wait "wait " $A0 $A020 $A0A0A0 $A0A0A020 Arthus "Arthus " Helmar "Helmar " Aloisius "Aloisius " ?? $20 $2020 ?? die Erzeugung des $20-Tarnnamen ist nicht gelungen, steht aber im Virus-Prg. Nachtrag 03.03.93: Es ist ein JEFF-BUTONIC V1.31 Clone aufgetaucht. Laenge bleibt 3408 Bytes. Nur Texte geaendert. Bilden Sie sich selbst ihre Meinung. Wird von VT als JEFF-BUTONIC V1.31. erkannt. DisplayAlert-Text: Es tut mir leid es ihnen zu sagen ! *Ihr computer hat AiDS ein neuer Virus* Gemacht von Donald & Micky IM Jahre 1992 - Generation Nr.05426 Grüße gehen an : Metalwarrior - Mozart - Tiger 1 - Poge Außerdem noch an : Meinen Virus-Freund David Hasselhoff ! Texte fuer Fensterleiste: Tina zeig mir deine Votz Hey du Depp am Computer ! was is ? Hilfe die NFL-Kappen Kommen ! Redskins - Fickt euch alle !!! Evil C ! Der Vorkotzer er will nicht kotzen !! Rechtfertige er sich ! Easy and fast-- Schnebber-Pax !! Burger du Drecksack !! Popper überfährt man mit einem Chopper !! Rod Grod Med Flod !! Fuck for oil And for NLF-Deppen !! Ihr Assigen NFL-Ficker ihr seid alle schwul und dumm !! neue Dateinamen fuer das Virus-file: "D.Hasselhoff " "Jesus " "Archippus" "Philemon " "-->PAX<-- " "---->",$3E $A020 $A0A020 "NKOTB " "Ephesus" "Guardians" $2020 $2020 - JEFF-BUTONIC V3.00/9.2.89 PrgFileVirus 2916Bytes Name im Hauptverzeichnis: A0A0A0 1.Zeile in startup. A0A0A0209B41 DoIo, KickTag, KickCheckSum Vermehrung: jede nicht schreibgeschuetzte DOS-Disk mit startup Entfernung: 1.Zeile in startup loeschen File in DfX: loeschen Entschuesselungsroutine: entschluesselter Text: move.w #$013a,D0 Hi. loop: JEFF`s speaking here... move.w (A0)+,(a1) (w) by the genious BUTONIC. eori.w #$b4ed,(A1)+ usw. insgesamt ueber $270 Bytes Text dbf D0, loop - JEFF-BUTONIC V3.10 Filevirus Laenge 2916 lesen Sie Auswirkungen unter Jeff 3.00 Programmcodeteile wurden verschoben (soll Anti-Viren-Prge wohl taeuschen ??) + codierte Texte geaendert: z.b. Sauf blos keinen Wodka! usw. Codierung weiterhin: eori.w #$b4ed,(a1)+ Ursprungprogramm: *JEFF* VIRUSKILLER Mastercruncher: 7368 entpackt: 9064 andere Namen: Jeff-Maker, Jeff-Remover taeuscht durch Texte Jeff-Suche vor, schreibt aber in Wirklich- keit JEFF 3.10 auf Disk in Df0: Virus gefunden - bitte warten Startup-Sequence desinfiziert und Virus beseitigt! usw. In diesem Prg ist JEFF V3.10 codiert [ eori.b $FF,(a0)+ ] ent- halten. - JEFF-BUTONIC V3.20 Filevirus Laenge 2900 Jeff 3.0 Clone Beweis:codierter Text gleich Die 16 gewonnenen Bytes kommen z.B. von der Adressierungsaenderung .l in .w . Das VirusPrg laeuft zwar an und verbiegt die Vektoren, aber bei einem Diskwechsel kommt der GURU. Eine Vermehrung konnte also von mir NICHT erreicht werden. Also keiner Erwaehnung wert. Leider nicht. Dieses unsichtbare File wurde auf einer A3000-HD in c gefunden. Die Startup-sequence war modifiziert und verhinderte den ordnungsgemaessen Bootvorgang. Ein 2.Fall wurde im Feb. im Fido-Netz besprochen, wobei hier aber nur ueber die Vektoren geschrieben wurde und das namentliche Nicht-Erkennen des Prg.s . Da bei einer HD der Rootblock nicht mit $6e000 gefunden werden kann, darf es gar nicht zu einer Vermehrung kommen. Ich vermute deshalb, dass ein anderes Prg. die Installierung vornimmt. Der Prg.Name ist NICHT bekannt. Stand:07.03.92 Empfehlung: SOFORT loeschen und startup-seq. ueberpruefen. - JITR Cool, DoIo, FastMem ja, im Speicher immer ab $7ec10 Vermehrung: ueber BB Sonst keine Routine vorhanden !!!! VirusPrg. nur $200 Bytes lang. Im BB lesbar: I'm a safe virus! Don't kill me! I want to travel! And now a joke : ATARI ST This virus is a product of JITR - Joshua senkrechtstehender Text Joshua (ueber Graphikroutine) Begin, Kickmem, KickTag, KickCheck, Vec5 - Joshua 2 anderer Name: Joshua3 oder Switch-Off Cold, Begin, Vec5 hat Probleme mit einem Befehl im C-SubD. von WB1.3 Bootblock jetzt verschluesselt: loop: move.b (A0),D0 eori.b #$18,D0 das eor-Byte wechselt und steht auch move.b D0,(A0)+ an $3ff des BBs. Zu erkennen ist der cmpa.l A1,A0 Joshua 2 am Ende des BBs an der Byte- bne loop folge, wobei sich aber das X je nach rts eor-Byte aendert: .XX...XXX........XX.XX.XXXX...X.XX. die Punkte koennen auch durch andere Zeichen belegt sein - Joshua 3 anderer Name und richtig: Joshua 2 es existiert eine BB-Sammlung, die einen wirklichen ByteBandit (aufs Byte im Speicher) Joshua1 nennt. Hieraus ergibt sich dann eine falsche Nummer. Nachtrag: Diese BB-Sammlung wurde inzwischen (15.04.91) in diesem Punkt korrigiert !! - Julie anderer Name Tick oder VIRUS PREDATOR immer $7f800, cool, DoIo, BeginIo und $20 arbeitet nicht sauber mit 1MB Chip testet einige Zeiger und drei Werte (z.B. auf $7ec00) Vermehrung: ohne Warnung ueber (nur ausfuehrbare) BB's decodiert mit not.b (a0)+ steht im Speicher: ` VIRUS PREDATOR (4-88-SPAIN) ID: 027798336 ` also ist der Name Julie eigentlich falsch !! - Kauki immer $7ec00, Cool, im Prg. $80, $84, $88 im Prg. auch noch DoIo, schreibt aber spaeter im Prg DoIo von KS1.2 zurueck (nach Vermehrung) den meisten Platz brauchen die Chopperlisten. Das ChopperIntro laeuft auch mit KS1.3 . Kauki im BB nicht sichtbar. - Kefrens SCA-Clone Text im BB: Ohh noo!!!! I think something is wrong! and even better... Some of your disks are sick Watch out! By Kefrens offcourse!!! - Kefrens 2 wie Kefrens = SCA-Clone nur Text verschoben - KICK-Virus SADDAM-Clone wird von VT als SADDAM-Clone erkannt Blocklangwort: KICK Namensbegruendung: im Speicher ist decodiert zu lesen 6b2e6465 76696365 00010820 204b4943 k.device... KIC 4b202056 49525553 00000000 03f30000 K VIRUS........ 00000000 00010000 00000000 00000000 ................ 01c50000 03e90000 01c55573 65204b69 ..........Use Ki 636b7374 61727420 312e322f 312e3300 ckstart 1.2/1.3. 00000000 00000000 00000000 00000000 ................ Use Kick... ist uncodiert im Disk-Validator-File zu lesen. Behandlung: siehe bei SADDAM 09.04.93 - Killed Virus BB immer $7EC00, Cool $7EC92, DoIo $7ECCA KS2.04: ja Fordert trackdisk.device NICHT Vermehrung und Schaden: BB Namensbegruendung: im BB zu lesen: 72790020 4b696c6c 65642000 4ef90000 ry. Killed .N... 0000ffff fdf6436f 70793a30 32390000 ......Copy:029.. Beim Boot-Vorgang li.MT Text ueber Graphik heller Hintergrund, dunkle Schrift Copy:029 Danach re. MT: gleiche Farben: Killed - L.A.D.S DoIo, KickTag, KickCheckSum, immer $7F400 versucht eine Taeuschung durch DisplayAlert beim Booten: (Text auch im BB lesbar) L.A.D.S Virus Hunter No virus in memory Press any mouse button Entgegen der Aussage findet KEIN Virustest statt, sondern das eigene Programm wird resetfest installiert. Vermehrung: jeder BB einer Disk OHNE Rueckfrage bei Wert 5 in der Zaehlzelle: veraendert x- und y-Koordinaten bei Mausbewegungen sobald die Zaehlzelle den Wert 8 erreicht: ein Teil des Virusprogramms wird entschluesselt mit eori.b #$41,(a0)+ und mit DisplayAlert ausgegeben: AMIGA COMPUTING Presents: The GREMLIN Virus All Code (c) 1989 By Simon Rockman Hinweis 17.11.92: siehe auch MKV-Filevirus - LameBlame! anderer Name: Taipan-LameBlame Cool, DoIo auch KS2.04 BB codiert mit Wert aus $DFF006 Schaeden: Vermehrung mit BB sobald Zaehlzelle 8 erreicht hat: DisplayAlert: LameBlame! by Tai-Pan usw. sonst nichts Herkunft: Virusinstall V2.0 - Lameralt abcd bei $3a6 = Lamer! Exterminator schreibt Lamer!!! in irgendeinen Block FastMem ja, Begin, KickTag, KickCheckSum, SumKickData - Lamerneu abcd bei $396 = LAMER! Exterminator schreibt LAMER!!! in irgendeinen Block FastMem ja, Begin, KickTag, KickCheckSum, SumKickData - Lamer1 fedc bei $342 schreibt LAMER Begin, KickTag, KickCheckSum - Lamer2 abcd bei $392 schreibt LAMER FastMem ja, Begin, KickTag, KickCheckSum, SumKickData - Lamer3 abcd bei $3f4 (OrigBB in 2 u. 3) Fastmem ja, Begin, KickTag, KickCheckSum, SumKickData - Lamer4 abcd bei $3ae BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt. - Lamer5 abcd bei $3aa FastMem ja BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt. - Lamer6 abcd bei $396 FastMem ja aehnlich Lamerneu Unterschied 48Bytes BeginIo, KickTag, KickCheckSum und SumKickData Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x LAMER! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber SysStkLower besorgt. zusaetzlich im Prg. noch Remove Node, Test auf Cool u. Cold . - Lamer7 andere Namen: Selfwriter, Pseudoselfwriter keine signifikante Endekennung, Laenge BB $3BD, BeginIo, KickTag, KickCheckSum Vermehrung: ueber BB Zerstoerung: ueberschreibt einen Block mit 85 x Lamer! und da zwei Bytes uebrig bleiben, dann !! . Die Blocknummer wird mit $DFF006 ermittelt. Ein neuer BB wird wieder verschluesselt mit eori.b. Das Ver- schluesselungsByte wird mit $DFF007 festgelegt. Speicher fuer VirusHauptPrg wird ueber StructMemList besorgt und !!!! mit allocabs eingetragen. (machen andere Lamer nicht) - Lamer8 keine Endekennung BeginIo, KickTag, KickCheckSum, SumKickData Vermehrung: ueber BB Schaden: Format alle LW Ein neuer BB wird wieder verschluesselt mit eori.w . Das Ver- schluesselungswort wird mit $dff006 festgelegt. BB ist verschluesselt von $3e bis $3cc - LAMER8-File haengt an VirusX Laenge: 13192 Bytes Wird im Speicher von VT als LAMER8 erkannt und entfernt. Wichtig: VirusX erkennt LAMER8 im Speicher NICHT !!!!! Vermehrung: NUR als LAMER8-Bootblock moeglich, NICHT als Linkfile !!!! Deshalb in FileTest nur Loeschangebot. - Lamer! Exterminator-File gepackt: 2260 Bytes (Zahl stimmt) ungepackt: 1824 Bytes KS2.04: Ja Verbogene Vektoren: siehe oben Tarnung: Fuehrt neben Installierung von Lameralt.BB im Speicher auch den endcli-Befehl (KS1.3) aus. Aenderung gegenueber OrigBefehl: process wird zu task, 2 Werte $52 werden zu $51 Vermehrung: NUR als Lameralt-Bootblock moeglich, NICHT als Linkfile !!!! Da jeder den endcli-Befehl in c hat (KS2.04 nicht mehr), gibt es in FileTest nur Loeschangebot. Danach bitte von OrigWB endcli nach c neu kopieren. VT kennt: 16.10.92 Hinweis: Es wird ein "Lamer"-Bootblock weitergegeben, bei dem Lamer Exterminator im BB zu lesen ist. Dieser BB ist NICHT bootfaehig und wird deshalb von VT nur als Nicht-Standard-BB erkannt. - Lamer-LoadWB FileVirus Laenge: 4172 Bytes KickTag, KickCheckSum, SumKickData, BeginIo in SubDir c in LoadWB sichtbar: The LAMER Exterminator !!! Virus haengt vor dem LoadWB-Teil schreibt zuerst das Virusprogramm in den Speicher und fuehrt dann den LoadWB-Befehl aus. Kann sich nicht als LoadWb vermehren, sondern schreibt einen Lamer-BB - Lamer Bomb anderer Name: Gotcha LAMER s.o. - Laurin-Virus SADDAM-Clone Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $a0a0a0a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 4C617572 696E2056 69727573 ... Laurin Virus Behandlung: siehe bei SADDAM - le RoLE franz. Name fuer Return of The Lamer Exterminator s.u. - Liberator virus v1.21 anderer Name: MemCheck s.u. - Liberator Virus V3.0 Laenge: ungepackt 10712 (ich hab nur die un- gepackte Version, deshalb erkennt VT auch nur das ungepackte File !!!) Namensbegruendung: s.u. KS2.04: JA 68030: JA bleibt NICHT im Speicher nach Aenderung von .fastdir . Richtiger Name fuer das File: cv Versucht durch Cli-Ausgabe zu taeuschen: Check Vectors rev 5.1 All Rights Reserved more TUPperware © by Mike Hansell Reset vectors ok, Nothing resident, Trackdisk.device not intercepted, DoIO ok, VBlank ok, dos.library not intercepted. System appears to be free of viruses and trojans! Legt in Wirklichkeit .fastdir an (bei mir auf 3 SCSI-HD in einem Durchlauf). Laenge: 2/3 Bytes . Startwert auf allen Festplatten in .fastdir $310a = 1 Return . Hinweis: .fastdir hat danach im Namen noch 2 leerzeichen ($20) Auszug aus FileheaderBlock: 0 0 0 ............ 13f1 3d5 484 ............ a2e6661 73746469 72202000 ..fastdir . 0 0 0 ............ Schreibt in :s/startup-sequence: cv >NIL: in DH0 bei mir (Auszug): execute s:startup-sequence2 cv >NIL: ;also fast am Schluss !!!! endcli >NIL: DH1 bei mir= Wechselplatte zu der Zeit nicht gemounted in DH2 bei mir (AusZug): LoadWB cv >NIL: ;also fast am Schluss !!!!! EndCLI >NIL: in DH3 bei mir: LoadWB -debug cv >NIL: ;also fast am Schluss !!!!! endcli >NIL: Es wurden ALLE 3 s-seq in EINEM Durchgang veraendert !!!! MUESSEN Sie also nach dem Entfernen des VirusFiles AUCH loeschen Das Virus-File cv wird NICHT kopiert !!! Beim naechsten Start (vgl. s-seq) wird der Wert in .fastdir er- hoeht. Auszug: 0000: 320A 2. spaeter wird .fastfile-Laenge von 2 auf 3 und dann auf 4 Bytes erhoeht. Sobald erreicht ist: 3130300a = #100 wird ein Text ausgegeben: Congratulations your hard disk has been liberated of virus protection!! Hello from the Liberator virus v3.0 - Digital Deviant The anti-anti-virus is here again! Lets play trash the hard disk and ram the disk heads Only hardcore belgian rave can truely liberate the mind! The liberator 15/01/92 Empfehlung: Liberator 3 und .fastdir loeschen . s.-seq in den den Ursprungszustand zuruecksetzen. Hinweis: Durch die Virus-Programmierung kann es passieren, dass nach der Aktivierung Locks auf .fastdir noch bestehen. VirusPrg gibt den lock nicht frei. Diese Gefahr besteht nur, wenn sich das aktive VirusPrg ueber ihre BootDisk (s-seq) gestartet hat. VT meldet dann beim Loeschversuch DOS-Fehler. Entfernen Sie dann bitte die Zeile aus der s-seq und booten Sie neu. Da das VirusPrg nicht mehr aktiviert wird, koennen keine locks mehr entstehen und das Loeschen der Virus-Files MUSS moeglich sein. Fileerkennung mit VT getestet: 18.10.92 - Liberator Virus V5.01 Laenge: ungepackt 16924 (ich hab nur die un- gepackte Version, deshalb erkennt VT auch nur das ungepackte File !!!) Weiterentwicklung von V3.0 (sehr viele source-Teile gleich) Der "richtige" Name duerfte PV (s.u.) sein. Liberator-Namensbegruendung s.u. Versucht durch Cli-Ausgabe zu taeuschen: PV(Protect Vectors) v1.02 by Peter Stuer July 22, 1992 FREEWARE Reset vectors ok, Nothing resident, Trackdisk.device not intercepted, DoIO ok, VBlank ok, low interrupts ok, dos.library not intercepted. monitoring vectors... Fully Kickstartv2.xx compatible, stops all viruses, checks disk-validators, Use run to push this program into the background. Die Tests wurden mit df0: und df1: durchgefuehrt. Nach der Cli-Ausgabe wird gesucht und nach df1: kopiert :c/run, :c/br (runback), :s/.info (nach o ein Leerzeichen = $20) .info-Laenge: 4 Bytes, .info-Startinhalt bei mir: $00000064 Hinweis: Sie MUESSEN also neben dem eigentlichen Virusfile auch .info in s loeschen. Kopiert :c/PV . Dabei wird IMMER der letzte Buchstabe des Files zufallsbedingt geaendert (also aus PV wird Pe oder Pb usw.) . Vermutlich um die Erkennung ueber Filenamen unmoeglich zu machen. Aendert die s.-seq . (MUESSEN Sie von Hand zuruecksetzen) vorher: cls nach Befall: br c:pe cls Das VirusFile enthaelt noch folgenden Text: Congratulations this disk has been liberated of virus protection!! Hello from the Liberator virus v5.01 - Random Disaster The anti-anti-virus is here again! Lets play trash the hard disk and ram the disk heads The piracy curse Liberator V - The future is near. Look out for Liberator VI - The final nightmare ... coming soon from a lame swapper near you! Respect to the virus masters Lamer Exterminator,crime & Contrast. And remember - be excellent to each other! The liberator 27/07/92 Virus Generation : Diesen Text habe ich auf dem Bildschirm im Gegensatz zu Lib 3 NICHT gesehen. Vermutlich weil mir das Prg c:stars fehlt . Bei stars duerfte es sich um eine Animation handeln, die hinter dem Text ablaeuft. Empfehlung: Liberator 5, .info loeschen und s.-seq. aendern . Hinweis: Durch die Virus-Programmierung kann es passieren, dass nach der Aktivierung Locks auf s/.info noch bestehen. VirusPrg gibt den lock nicht frei. Diese Gefahr besteht nur, wenn sich das aktive VirusPrg ueber ihre BootDisk (s-seq) gestartet hat. VT meldet dann beim Loeschversuch DOS-Fehler. Entfernen Sie dann bitte die Zeile aus der s-seq und booten Sie neu. Da das VirusPrg nicht mehr aktiviert wird, koennen keine locks mehr entstehen und das Loeschen der Virus-Files MUSS moeglich sein. Fileerkennung mit VT getestet: 18.10.92 - Little Sven BB anderer Name: Cameleon BB ist codiert (immer neu !!). Ein Teil der Codierung: eor.b d1,(a0)+ Decodiert ist im Speicher zu lesen: The Curse of Little Sven! Cool, BeginIo, Supervisor, DisplayAlert im Programm dann: DoIo, FreeSignal Vermehrung: BB Schaeden: - Codiert Datenbloecke Kennung: $ABCD0008 (Langwort 0 eines Blocks) Die Programme laufen, solange Little Sven im Speicher aktiv ist. Abhilfe: VT kann diese Datenbloecke decodieren. Falls Sie also beim FileTest oder BlockKetteTest den Requester Little Sven erhalten, brechen Sie bitte ab und starten BlockITest . - Verschiebt den Original-Bootblock codiert nach Block2+3. VT kann dies rueckgaengig machen (klicken Sie auf O-BB. Dieses Gadget war frueher Lam3 und schreiben Sie den BB zurueck). A B E R !!!!!!!! Falls Block 2+3 vorher von einem File belegt war, so wurden durch das Virusprogramm 2 Datenbloecke zerstoert. Das File ist unbrauchbar. Es ist KEINE Rettung moeglich. VT sollte bei BlockKetteTest b.T.Data Block 2 zeigen. Oeffnen Sie den FileRequester (Sp-File-Sp) und loeschen Sie das File. - Enthaelt eine Routine, die 80 Steps nach innen ausfuehrt und dabei Daten schreibt. Diese Routine habe ich NICHT erreicht bei Tests. Alle Daten auf der Disk waeren dann unbrauchbar ??? Wird erzeugt beim Starten von XCopyPro V6.5 (Laenge:28336) und kopiert sich dann weiter. Hinweis: im April 92 lag die OrigVersionsNr. von Xcopy erst bei 5.2x (glaub ich). Gefunden in: xcopy65e.lha Laenge: 25360 - LOGIC BOMB anderer Name: PARADOX I s.d. - LSD! (noch ein SCA!) - LZ-Virus Linkvirus, verlaengert ein File um 400 Bytes testet Hauptversionsnummer der dos.library, falls groesser 34 oder kleiner 33 keine Aktivierung, verbiegt GlobVec 06 = Write linkt sich hinter CodeHunk (meist 1.) und ersetzt z.B. $4e75 = rts durch $6004 = bra.s 4 oder $4eee = jmp durch $60XY Muss deshalb HunkAnzahl nicht veraendern, sondern nur die Anzahl der Langwoerter des befallenen Hunks um $64 erhoehen. Bedingungen fuer ein File: 0.LW = $3f3 (ausfuehrbar) 1.LW = 0 (keine Resident-Libs zu laden) (kein Overlay) es wird ein CodeHunk gefunden $3e9 der gefundene CodeHunk ist laenger als #1000 Bytes Ursprung: (Geruecht 14.07.91) SOLL ein LZ-Entpackungsprogramm sein ???? (hab ich nicht) Hinweis: MehrfachLinks an ein File gefunden !!! Hinweis 01.09.92: Ab VT2.44 sollten mehrere LZ-Virus-Links ans glei- che File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke - MAD (ForpibClone) nur Text geaendert s.o. - MAD II nur KS1.2, da absoluter DoIo-ROM-Einsprung Cool, DoIo, KickTag, KickCheckSum, im Speicher immer $7FB00 im BB sichtbar: MAD II VIRUS is better usw. Vermehrung: ueber BB Sobald der Inhalt des Zaehlers groesser $D ist, wird in eine DiskStepRoutine verzweigt. Da diese falsch programmiert und somit nicht funktionsfaehig ist, wird nur der Bildschirm dunkel. Hinweis: es existiert ein MAD II, bei dem der MAD-Text mit sinn- losen Buchstabenfolgen (z.B. DAFGderFEHY) ueberschrieben wurde. Wird von VT als MAD II erkannt. - MAD IIa wie MAD II nur jetzt Warm fuer Cool und andere Source- Aenderungen z.B. $2a in $2e usw. Ergebnis bleibt gleich (Anfaenger bitte bleibt beim Joystick !!!) - MAD III nur KS1.2 Byte-Warrior-Clone s.o. geaendert: DASA0.2 in MAD.III - MAD IV LamerAltClone s.o. Unterschied: statt mit Lamer! soll der zerstoerte Block mit MAD gefuellt werden. - MagiCall es ist KEIN Virus wird deshalb von VT nicht erkannt Es ist ein MagiCall (Laenge: 149664) aufgetaucht, an das am Anfang ein einfacher Hunk (mit Namen) angehaengt wur- de. Wenn Sie MagiCall aus dem Cli starten, passiert nichts. Starten Sie dagegen mit dem Icon, so beschwert sich MagiCall mit DisplayAlert ueber die falsche Hunkanzahl. Das Programm selbst enthaelt nach meiner Meinung keinen Virus. - MALLANDER VIRUS V1.0 BB Block 0-3 auch KS2.04, braucht 1Mb Chip entgegen anderen Behauptungen: laeuft AUCH mit KS1.3 !!! KickTag, KickCheckSum, DoIo, immer ab 7F800 anderer Name: DERK ist 2x im BB zu lesen fordert trackdisk.device NICHT holt 4 Bloecke: Block 0 u. 1 = Virus Block 2 u. 3 = OrigBB nicht codiert Vermehrung und Schaeden: speichert 4 Blocke ab, d.h. ein File das Block 2 u. 3 belegt, wird zerstoert. belegt immer $4000 ChipSpeicher neu sobald kein Chip mehr frei: decodiert einen BB-Teil mit eori.w #$aaaa,(a0)+ (auch intuition.library) und gibt den Text mit DisplayAlert aus. Danach Reset = jmp FC0000 J.D. MALLANDER VIRUS V. 1.0 I need lots of money - buy my cool pd serie 'action power' Hinweis: es gibt KEINE 2 DERK, sondern einer enthaelt Vektoren von KS1.3, der andere von KS2.04 (Beweis: VT vergl.). - MCA siehe Claas Abraham - MEGAMASTER Cool, DoIo, immer $7e300 zwei codierte Bereiche im BB 1. Bereich: eori.b #-$45,(a0)+ ; testet auf andere Viren 2. Bereich: eori.b #-$11,(a0)+ ; Textausgabe ueber Graphik schwarzer Hintergrund, rote Schrift Surprise!!! Your Amiga is controlled by MEGAMASTER Vermehrung: ueber BB - MegaMon siehe bei PP-Bomb - MemCheck v8.1 File anderer Name: Liberator virus v1.21 gepackt (PP): 6492 Bytes ungepackt: 10936 Bytes nicht resident nach Aufruf erfolgt Textausgabe: MEMORY CLEAR usw. mit SnoopDos kann man feststellen, dass : - versucht wird Sys:.FastDir zu oeffnen - Test ob MemCheck schon in Root - versucht wird startup-sequence zu oeffnen falls ja Eintrag in erste Zeile: MemCheck s Weiterhin ist im File zu lesen: Hello from the Liberator virus v1.21 Lets play trash the harddisk I`m outta here, kiss mine you lamer! DH0: , BLVC usw. Mit Festplatte: Es wird ein File .FastDir im Root-Verz. angelegt. Sobald im File der Wert $f erreicht ist, erfolgt die Textausgabe (s.o.) und der Computer stellt die Arbeit ein. Kreset wird not- wendig. - MemSearcher-Virus BB $6c, $80, immer ab $7EC00 Eine Speicherlupe bis $80000 im BB Da keine Vermehrung eigentlich von der Definition her kein Virus. Aber auf Grund der verbogenen Vektoren dringende Loesch- empfehlung. - MENEM'S REVENGE Link LoadSeg Haengt 2 Hunks (ist neu) an. Hunk 1 = $3E9 = CodeHunk Hunk 2 = $3EA = DataHunk Verlaengert ein befallenes File um #3076 Bytes. Auch mit KS2.04 Korrigiert dos.library mit SumLib. Erzeugt einen Prozess mit Namen: " ",0 Wird ein schon befallenes File danach befallenen, so wird mit FindTask ueberprueft, ob der Prozessname schon da ist. Linkbedingungen: File kleiner als #60000 Erster CodeHunk enthaelt folgende Bytefolge NICHT: $286A0164 $700C4E095 (vgl. WB1.3 in c ask usw.) Linkablauf: Sie starten ein Programm. Menem "merkt" sich dieses Prg.. Sie starten ein neues Prg.. Jetzt erst linkt sich Menem an das alte Prg. Nachweis fuer Nicht-Ass-Benutzer mit SnoopDos. Linkergebnisse mit KS1.3: - gelinktes File ausfuehrbar (auch libs usw.) - gelinktes File NICHT ausfuehrbar (Hunks des OrigFiles nicht richtig behandelt, File bringt GURU) - File enthaelt nur noch Datenmuell (keine Rettung moeglich) Unter KS2.04 entstehen weniger defekte Files. Mit timer.device werden sechs Systemzeiten abgefragt. Textausgabe dann mit DisplayAlert. Dafuer wird ein Virusprogrammteil mit asr.l #1,d0 decodiert. dc.b 0,$50,$10,"MENEM'S REVENGE HAS ARRIVED !!!" dc.b 0,1,0," ARGENTINA STILL ALIVE",0,0 Hinweis: VT setzt LoadSeg zurueck, schreibt einige RTS in den Speicher, entfernt aber den Prozess " " NICHT. Die Ver- mehrung ist dann NICHT mehr moeglich. Wenn Sie VT nicht glauben oder "110%"-Sicherheit haben wollen, fuehren Sie bitte einen RESET aus. Hinweis2: Bei den Datenmuellfiles kann VT NICHT mehr helfen. Fuer Ausbauversuche bei den anderen Filetypen verwenden Sie bitte eine Kopie der verseuchten Disk. VT versucht auch, die "falschen Hunks" wieder zu berichtigen. Hinweis3: Bedenken Sie bitte, dass inzwischen einige Programme auf dem Markt sind, die Loadseg verbiegen. Wurde Menems VORHER gestartet, so wird er "zugedeckt", bleibt ABER AKTIV !!!!!! Koennen Sie z.B. mit Snoopdos nachvollziehen. Meine Empfehlung: keine Programme verwenden, die LoadSeg patchen. - METAMORPHOSIS V1.0 BB und Link auch KS2.04 immer ab $7FA72 Fordert trackdisk.device NICHT !!! Cold, DoIo, OldOpenLib, im Prg. noch Cool Im BB und im verseuchten File ist zu lesen: -METAMORPHOSIS V1.0- the next Generation from LAMER-EXTERMINATOR ! Schaeden: Sobald der Wert in der Zaehlzelle groesser als $14 ist, Kopfstep alle Laufwerke. NeuBoot dieser Disk ergibt bei mir einen Requester: Volume has a read/write error (Tracks defekt) nicht mehr viel zu retten. Vermehrung: mit DoIo = BB mit OldOpenLib = Link an File als 1.Hunk Linkbedingungen: - sucht c: (bei mir NUR da, steht auch so im Prg.) - und dann mit examine, exnext usw Files - kein Schreibschutz - File ausfuehrbar $3F3 - File kleiner #40000 - File noch nicht befallen Fuer die Hunk-Bestimmung nimmt das VirusPrg. die IRQ-Methode. Befallene Files sind lauffaehig . Verlaengert ein File um 1060 Bytes. KEIN Eintrag in startup-sequence . Keine Textmeldung des VirusPrg's . Ausbau mit VT getestet: 11.04.92 Hinweis: Da alle Files in c: verseucht sein koennen, sollten Sie ueberlegen, ob es nicht schneller ist, alle Files neu von c einer OrigWB-Disk zu kopieren. Dann brauchen Sie mit VT nur noch aus Files den Link-Hunk auszubauen, die auf der Orig-WB-Disk NICHT vorhanden waren. - MEXX SCA-Clone Text: Hello there... Here I'm again... I've infected ya Disx ! I'm a simple VIRUS and I came from a group called --- MEXX --- Yeah, reset now !!! Or I will infect more! - MGM89 anderer Name: MEGAMASTER s.o. - MG's Virus V1.0 (BB) auch mit KS2.04, aber NICHT mit 68030 KickTag, KickCheckSum, SumKickData, GetMes, BeginIo AddIntSer (5 = Vert. Beam) Codiert mit not.w (a1)+ Decodiert im Speicher zu lesen: MG's Virus V1.0 Meldet sich nicht. Taeuscht sauberen Bootblock vor bei verbogenen Vektoren Vermehrung bei: - Lesen oder schreiben Block 0 - Format Disk - MicroSystems FastMem ja nur KS1.2 holt selbst Namen aus ROM (z.B. dos.library) Cool und Cold im Prg. bei Bedarf: AddTask, RemTask und DoIo Vermehrung: ueber BB Textausgabe ueber Graphikroutine unverschluesselt steht im BB: YOUR AMIGA IS INFECTED BY A NEW GENERATION OF VIRUS CREATED IN SWEDEN BY MICROSYSTEMS - Micro-Master ( noch ein SCA! ) - Morbid Angel Forpib-Clone s.o. nur sichtbarer Text und einige unwichtige Bytes wurden geaendert. - MOSH1-BB Cool, nach Reset auch $68 immer ab $7C000 soll Virusdemo sein (so ein Schwachsinn) keine Vermehrung, codiert mit MOSH, eor.l d0,(a0)+ ueber $68 und in Abhaengigkeit von Zaehlzelle (Cmpi.l #$190,(a0)) Textausgabe ueber Graphikroutine: schwarzer Hintergrund, Gelbe Schrift MAFIA PLK usw da Endlosschleife Reset notwendig dringende Empfehlung: loeschen - MOSH2-BB s.o keine Vermehrung KS2.04: nach Reset Absturz zusaetzlich nach reset oldopenlib verbogen und ueber displayAlert Textausgabe: Hey you old lame usw. Da keine Vermehrungsroutine eigentlich kein Virus dringende Empfehlung: sofort loeschen - MsgTop V1.0 siehe oben Devil_11_B.Door Laenge gepackt: 13548 VT erkennt Imploder Laenge einmal entpackt: 17884 VT erkennt Devil_11 - mount-Virus Laenge: 1072 KEINE verbogenen Vektoren reines Zerstoerungsprogramm KS1.3: NEIN GURU 3 KS2.04: JA laeuft aber unter KS2.04 mit ORIG-Mount-Befehl von KS1.3 . Guru-Fehler liegt im VirusPrg. Von der Definition KEIN Virus, da keine Vermehrung. Namensbegruendung: im File ist am Anfang zu lesen 633A c: 6D6F756E 74000000 00000000 00000000 mount........... Liegt in c: als mount Laenge 1072 Braucht in c:why . Wird von mount-Virus aufgerufen. Der why- Befehl ist ein umbenannter Orginal-Mount-Befehl. Die Version des Orginal-Mount-Befehls spielt keine Rolle. (wurde getestet) Den why-Befehl gibt es unter KS2.04 NICHT mehr in c: !!!! Ablauf: In jeder s-seq ist wahrscheinlich der mount-Befehl enthalten. mount aux usw. Das Virus-Mount-Prg. wird also gestartet. Das VirusPrg. sucht sich selbst (c:mount) und ueberprueft ob die Zaehlzelle im Prg. schon den Wert #20 erreicht hat. Wenn nein, wird der Zaehler um 1 erhoeht und zurueckgeschrieben (open, seek, read, write, close). KEINE Gefahr !!! Wenn ja : Zaehlerzelle = #20 Aufruf von c:why (= Orig.-mount) mit execute Suche in Liste nach DH (also keine Zerstoerung von df0: usw.) Info besorgen, Blockanzahl besorgen, allocmem leer Blocklaenge, Mit DoIo ueber Schleife jeden Block leer neu schreiben. Wenn fertig Motor aus. Suche in Liste naechstes DH . Sie koennen so ihre Festplatten ohne Probleme unbrauchbar machen. Tests wurden durchgefuehrt mit df0: gemountet als DH0: . Erfolg siehe oben Fileerkennung getestet mit VT : 28.09.92 Empfehlung: mount und why einfach loeschen und neu aufkopieren. Nachtrag 06.01.93: Ein User hat das Install-Programm gefunden. siehe bei SMBX-Mount Virus - MUTILATOR-Virus BB Namensbegruendung: siehe unten Fordert trackdisk.device NICHT Im Speicher immer ab $7CAD0 Verbogene Vektoren: Cool, DoIo Decodiert mit eori.b #$27,(a1)+ steht im Speicher: 00000000 00aa0c54 48495320 49532054 .......THIS IS T 4845204e 4557204d 5554494c 41544f52 HE NEW MUTILATOR 2d564952 55532021 000100d2 14425920 -VIRUS !.....BY 4d415820 4f462053 5441524c 49474854 MAX OF STARLIGHT 00000000 00005468 616e7820 746f2054 ......Thanx to T 68652045 78656375 746f7273 20666f72 he Executors for 20537072 65616469 6e672074 68697320 Spreading this 47524541 5420636f 64652021 20646f6e GREAT code ! don 653a202d 20313939 32202d20 00000000 e: - 1992 - .... Vermehrung: BB Vermehrung mit DoIo ist nur moeglich, wenn Speicher ab $C000000 vorhanden ist !!!! Schaeden: Sobald eine Zaehlzelle den Wert $e0 und eine andere den Wert 3 erreicht hat, Textausgabe (s.o.) - MVK 17.11.92 FileVirus Laenge: 1052 Bytes wird weitergegeben als MVK.lzh Laenge: 1171 Bytes Namensbegruendung: aus Readme.file in Archiv Laenge: 469 Bytes Yeah, SUPPLEX presents a new Mini-Virus-Killer !!! To Start write > MVK < and MVK is than aktiv in your Memory, don't panic it is not a Virus.......... MVK-Archiv contains : MVK.exe Readme.file ( You read this now ) Im File ist uncodiert zu lesen: 2A2C202F 41414600 F00F412E 492E442E *, /AAF.d.A.I.D. 53205649 5255532D 48554E54 455200FF S VIRUS-HUNTER.y Es handelt sich also um eine Meisterleistung: - jemand hat es geschafft L.A.D.S in A.I.D.S umzuwandeln. - jemand hat es geschafft mit einem UtilityPrg einen BB in ein ausfuehrbares Prg. umzuwandeln. - jemand hat es NICHT geschafft die codierte Graphik-Text-Routine zu aendern Es handelt sich also in Wirklichkeit um den LADS-BB-Virus. Lesen Sie bitte dort nach. Das Prg vermehrt sich NUR als BB. Da die DOS0-BB-Kennung fehlt, entsteht eine nicht bootbare Disk !!! VT erkennt im Speicher und beim FileTest LADS-Virus. - MwB-Virus BB ein echter Julie s.o. Da der Julie.BB nicht den ganzen BB braucht, hat es jemand geschafft, einen Text einzubauen, der NIE erreicht wird. VT erkennt weiterhin Julie . ccccc9df df000000 4d77422f 4777482f ........MwB/GwH/ 74686520 62657374 20696e20 686f6c6c the best in holl 616e6400 00000000 00000000 00000000 and............. - NANO File-Virus Laenge: 1484 Bytes KS2.04: ja Im Speicher immer ab: $7C000 Cool $7C0DE, OldOpenLib $7C1CC und SumKickData $7C3B2 Grundgeruest ist die Compuphagozyte-Familie, erweitert um zwei Ausgaberoutinen. Schreibt in erste Zeile der startup-sequence: $A0A0A0A0A0A0," ",$0A Schreibt sich als unsichtbares ($A0A0A0A0A0A0) Programm in die Root-Dir (erzwungen durch : ). Beim Test gab es Probleme fuer das Virus-Prg, die richtige Startup- Sequence-Laenge zurueckzuschreiben. Sie muessen also mit dem Total- verlust der Startup-Sequence rechnen. Weiterhin wird die startup- sequence immer wieder verseucht (Beispiel s.u.), OHNE Test auf schon veraendert. Also eine typische ANFAENGER-Programmierung. a0a0a0a0 a0a0200a a0a0a0a0 a0a0200a . . a0a0a0a0 a0a0200a a0a0a0a0 a0a0200a . . a0a0a0a0 a0a0200a 636c730a 0a020000 .cls..... Hat zwei Zaehlzellen: a) Ausgabe der Deutschlandfarben b) DisplayAlert: ... another masterpiece by N A N O !!! GREETINGS TO: Byte Bandit, Byte Warrior, DEF JAM, DiskDoktors FANTASY, Foundation For The Extermination Of Lamers, I.R.Q. Team, Obelisk Softworks Crew, S.C.A., UNIT A ... VT2.52 erkennt und loescht: 31.03.93 Bitte denken Sie daran, auch die startup-sequence zu aendern !!! - NaST 29.03.92 File Laenge: 2608 Bytes auch KS2.04 Grundgeruest: BGS9 KickMem, KickTag, KickCheckSum, Openwindow (int.lib) Neu: $6c, FindTask, OldOpenLib, NewOpenLib dafuer fehlt decode BitPlanes Herkunft des Namens: 2x im Virus-File zu lesen verschiebt Orig-File unsichtbar nach c $A020A020A020202020A0202020A0 VT versucht zuerst rename und falls OrigFile nicht gefunden, wird angeboten das Virus-File allein zu loeschen. Dann muessen Sie aber wahrscheinlich die 1.Zeile der startup-sequence aendern. - Nasty-Nasty BB nur KS1.2 immer ab $7F000 Cool, DoIo, Userstate, Superstate, Alert Vermehrung und Schaeden: - BB - sobald die Zaehlzelle den Wert 5 erreicht hat: format Disk Das VirusPrg gibt keine Meldung aus. Im BB ist Nasty-Nasty! zu lesen. - NO BANDIT (siehe unten Virenfinder) - No head s.b. ByteBanditPlus - No Name 1 anderer und richtiger Name : Byte Bandit 2 kein FastMem, BeginIo, KickTag, KickCheckSum, Vec5 SpeicherLage ueber structMemList, Speicherreservierung fuer neuen BBVirus mit allocmem, Zaehlstelle: Virusstart + $1c Vermehrung: ueber BB Im BB lesbar: trackdisk.device (weit unten) ein ByteBanditClone, ohne Tastaturabfrage, nur 5 Kopien und kuerzer gesetzter Zeit - NoName2 BB Cool, DoIo, SumKickData auch KS2.04 Vermehrungszaehler: bei mir $269 Es ist mir ein Raetsel, warum dieser BB solange unbemerkt bleiben konnte. Im letzten Jahr hat es kein Virus weiter als $10 ge- bracht. Dann hat ihn jemand spaetestens entdeckt. ??? Erstinstallierung im Speicher von BB: Falls Cool und KickTag nicht Null oder DoIo nicht Original, dann RESET. Nach Installierung und Reset sichert der Virus sein Prg durch AllocAbs. Vermehrung und Schaden: ueber BootBlock Rueckgabewert von SumKickData in d0 enthaelt Wert aus $DFF006. Virus meldet sich NIE. Kein Name versteckt oder codiert, deshalb NoName2 . Im BB ist ab $264 trackdisk.device zu lesen. - No-Guru V2.0 Filelaenge: 1224 Bytes (mit PP-Data-Prg.teil) Nach meiner Meinung nur gefaehrlich fuer AmiExpress-Benutzer (hab ich nicht) verbiegt: Alert, Autorequest Textausgabe im Cli: u.a. Making life with AmiExpress just that little bit easier... Sucht nach bss:user.data ; Falls vorhanden werden $8000 Bytes geladen. Der geladene Teil wird nach renegade, jock rockwell oder spiral durchsucht und gegebenenfalls geaenderte Daten zurueckgeschrieben. Empfehlung: loeschen - NorthStar anderer Name: Starfire s.u. - NoVi (File) TerroristsClone s.u. Laenge:1612 Bytes Aenderungen: TTV1 geaendert in NoVi Orig-File wird jetzt nach sys:c/.fastdir,$A0 verschoben. - Nuked007 siehe bei SHIT - Obelisk1 ( Deutschlandfahne + Graphiktext) Einsprung:cool schreibt in Speicherstelle $00000060 das Wort GURU zerstoert damit den Ausnahmevector, der ins ROM IR-Ebene 7 zeigt !! - Obelisk2 Begin, KickTag, KickCheckSum, Vec5 Einsprung:KickTag ,drei ZaehlZellen, Ausgabe:Graphik- text mit FormatAndrohung, wird nur durch KopfAnschlag vorgetaeuscht !! Nachweis mit TrackDisplay !! Speicherstelle $60 s.o. - OP1 (Neuseeland) richtiger Name: Joshua - OPAPA Begin, KickTag, KickCheckSum, Vec5 Zaehlzelle: ja, Vermehrung: ueber BB jedes LW Textausgabe (ueber Graphik) OPAPA-VIRUS READY STEADY FORMAT Kopf steppt nach Track 0 alle LW Clone: 04.03.92 Text entfernt - Overkill VIRUS BB Block 0-3 auch KS2.04, immer ab $7F700 Cool, KickCheckSum,SumKickData, DoIo fordert trackdisk.device NICHT = auch HD !!!!!!! Namensbegruendung: decodiert ist im Speicher zu lesen: Overkill by the ENEMY ! Decodierroutineteil: sub.b d6,d5 move.b d5,(a5)+ holt 4 Bloecke: Block 0 u. 1 = Virus Block 2 u. 3 = OrigBB nicht codiert Vermehrung: Codiert jeden Virus fuer BB neu in Abhaengigkeit von $DFF006 speichert 4 Blocke ab, d.h. ein File das Block 2 u. 3 belegt, wird zerstoert. Schaden: (auch HD!!!!!!!!) - Bestimmt ueber $DFF006 eine Blocknummer - Schreibt ZWEI Bloecke (ist neu) mit Speicherinhalt. d.h. im unguenstigen Fall wird Block1 an das Ende eines Files und Block2 an den Beginn eines zweiten Files geschrieben. Diese Files sind NICHT zu retten. Im 1.ZerstoerungsBlock steht ab $22 Overkill by the ENEMY !. Da KEINE Blockaus- wertung erfolgt, kann auch ein Dir-Block, ListBlock usw. zerstoert werden. Versuchen Sie bitte mit disksalv zu retten, was noch brauchbar ist. Zyl 0 Block 55 ^ 0000: 0007f708 00000000 4afc0007 f7080007 ........J....... 0010: ff00011f 00450007 f7220007 f7220007 .....E..."...".. 0020: f7d64f76 65726b69 6c6c2062 79207468 ..Overkill by th 0030: 6520454e 454d5920 21002879 0007fab0 e ENEMY !.(y.... Sie sehen: Es kann auch den Rigid-Bereich erwischen !!! Mit OrigBB koennen Sie den Block2-3 nach Block0-1 kopieren und abspeichern. VT kennt BB und Speicher: 17.10.92 - PARADOX I KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F800 Vermehrung und Schaden: Bootblock Text sichtbar im BB: * A new age of virus-production has begun ... This time PARADOX brings you the "LOGIC BOMB" Virus !!! * - PARADOX II Kicktag, KickChecksum im Prg. DoIo u $6c, immer $7F000 verschluesselt mit move.b $DFF006,D1 und eor.b d1,(a0)+ Vermehrung und Schaden: Bootblock Text nach Entschluesselung: This is the second VIRUS by PARADOX - For swapping call: 42-455416 - ask for Hendrik Hansen - PARAMOUNT nur KS1.2 Kicktag, KickCheckSum, DoIo, immer $7F800 Byte-Warrior-Clone, loescht Cold und Cool fordert trackdisk.device NICHT Vermehrung:BB im BB zu lesen: PARAMOUNT SOFTWORKS usw. - PARATAX SCA-Clone, Cool immer 7EC3E, nur anderer Text - PARATAX II Disk-Dokters-Clone, nur KS1.2 da DoIo-ROMEinsprung Cold, Cool, DoIo, im Prg. Vec5 im BB sichtbar: PARATAX II clipboard.device durch ".dos.library" ersetzt je nach Zaehlerstand wird eigener BB geschrieben oder Disk ab Cylinder 40 (ROOT) formatiert - PARATAX III 16BitCrewClone s.o. Unterschied: The 16Bit Crew 1988 in PARATAX III (!!!) geaendert eine echte Meisterleistung - PentagonCircle cool,kickchecksum Fastmem ja, im Speicher immer ab $7fb00, im Prg. noch DoIo testet auf einige Viren, Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer by Mr.Moutainlake! Hinweis: Es wird ein Pentagon-BB weitergegeben, in dem das 4.LW Null ist. Dieser Bootblock ist NICHT bootfaehig und wird deshalb von VT auch nicht als Pentagon erkannt !!!! - PentagonVirusSlayer2: cool, KickCheckSum, immer ab $7f000 Fastmem ja, im Prg. DoIo, Programmierung voellig anders als Pentagon, Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer 2 by Mr.Mountainlake! - PentagonVirusSlayer3: Cool, KickCheckSum, immer ab $7e000 Fastmem ja, im Prg. DoIo, FindResident Alert-Meldung Vermehrung: ueber BB Text im BB sichtbar: z.B. The Pentagon Circle VirusSlayer by Mr.Mountainlake! - PentagonCircle 4 cool,kickchecksum im Speicher immer ab $7fb00, im Prg. noch DoIo beim Booten immer GURU !!! Grund: es hat jemand geschafft "dos.libr" zu erzeugen. Der Rest fehlt. ABER !!!! bevor diese Fehlerquelle erreicht wird, wurde schon Cool verbogen. Wenn Sie jetzt nur 512 kb Chipmem haben und beim 2. Start die Maustaste druecken, wird der Bildschirm gruen. Jetzt legen Sie einen "echten" BB ein und schon kann sich der Pentagon-BB vermehren. Aber auch der vermehrte BB enthaelt obengenannten Fehler. Empfehlung deshalb : sofort loeschen - PERVERSE I anderer Name: BOOTX-Virus s.o. - PLASTIQUE BB Cool $7ED5E immer ab: $7EC00 auch KS2.04 von der Definition kein Virus, da keine Vermehrung. Die Routinen sind zwar vorhanden, werden aber NIE erreicht. Namensbegruendung: im BB zu lesen: 00000000 00000000 00000000 003e3e3e .............>>> 2050204c 20412053 20542049 20512055 P L A S T I Q U 20452020 3c3c3c2e 2e2e2e00 00000000 E <<<......... Grundgeruest ist der 16-Bit-Crew-BB. Der Cool-Einsprung wurde geaendert, deshalb ist keine Vermehrung ueber DoIo moeglich. Schaeden: Sobald eine Zaehlzelle den Wert #10 erreicht hat, werden mehrere Vektoren auf den ROM-Beginn verbogen, d.h. sobald die Vektoren benutzt werden, wird ein Absturz her- vorgerufen. - POWERBOMB ByteBandit/Forpib-Clone s.o. Text: POWERBOMB SYSTEMS PRESENTS: BYTE BANDIT V2.0 !!! - PowerTeam BB KickTag, KickCheckSum, BeginIo nicht mit KS2.04 Teile des BB's codiert mit eor.w d1,(a0)+ Schaeden: - Sobald die Zaehlzelle den Wert $a erreicht hat, Textausgabe mit DisplayAlert und dann bei mir Absturz. Text: Virus Meditation #0026051990.PowerTeam - PP-Bomb Powerpacker, File-Trojan, keine Vermehrung, Vers.Nr. 3.2 - 3 Programmteile - kurzer CodeHunk mit 2 jsr-Befehlen (notwendig fuer Ablauf) - crunched Bomb-Teil - Powerpacker 3.0b (ich glaube: NICHT veraendert und nicht ge- crunched) Bomb-Teil: wird zuerst angesprungen, decrunched Laenge: 9880 Bytes Aztec-Prg mit dt. Fehlermeldungen (z.B. Fehler bei DISKFONTBASE) - sucht zuerst SnoopDos-Task; falls ja Bomb-Ende - sucht in c von dh0: und/oder dh1: nach why und setzt das File auf 0 Bytes - enthaelt alle Dos-Befehle um Files zu veraendern (sucht auch auf dh0: und dh1:, ist getestet). - soll AmiExpress veraendern (hab ich nicht) - weitere Eintraege: BBS: DH0:BBS/ DH1:BBS/ DH0: DH1: Ursprung: qtx_pow.lzh 139670 Bytes Empfehlung: (s.u.) loeschen und Original-Powerpacker aufkopieren Nachtrag 29.12.92: Es wurde mir ein weiteres verseuchtes File zugeschickt. Name: snap Laenge: 44260 Bytes Daraufhin wurden die Linkversuche mit PP wiederholt und mit snap neu durchgefuehrt. An beide Files kann sich der PP-Bomb- Teil NICHT von selbst linken. Es hat also jemand nachgehol- fen. Nachtrag 30.12.92: Es wurde in VT eine PP-Bomb-Ausbauroutine eingebaut. Diese Routine koennte wackeln. Fertigen Sie BITTE deshalb VOR dem Ausbauversuch ein Kopie an. Testen Sie nach dem Ausbau bitte die Lauffaehigkeit des verkuerzten Programms. Danke Nachtrag 16.02.93: Es ist ein weiterer PP-Bomb Clone aufgetaucht. Haengt an Died. Died verseucht Laenge: 67028 Bytes Ausgabe: PP-Bomb 2 Besonderheit: Das PP-Bomb-Trojan-Teil wurde in der Laenge ge- kuerzt !!! Da im gepackten Teil eine Hunk-Kennung von $3EA auf $3E9 geaendert wurde, besteht Absturzgefahr ???? (2.Start von verseuchtem Died auf A4000 = GURU) Erkennung und Ausbau mit VT getestet: 16/17.02.93 Nachtrag 17.02.93: Es ist ein weiterer PP-Bomb Clone aufgetaucht. Haengt an MegaMon. MegaMon verseucht Laenge: 26856 Bytes Ausgabe: PP-Bomb 3 Besonderheit: Das PP-Bomb-Trojan-Teil wurde in der Laenge ge- kuerzt !!! Erkennung und Ausbau mit VT getestet: 17.02.93 PP-Bomb-Virusteil entpackt Auszug: 42425300 BBS. 44483000 44483100 44483000 44483100 DH0.DH1.DH0.DH1. 4242533a 00444830 3a424253 2f004448 BBS:.DH0:BBS/.DH 313a4242 532f0044 48303a00 4448313a 1:BBS/.DH0:.DH1: ...... 536e6f6f 70446f73 00433a57 `...SnoopDos.C:W 68790077 hy.w - Pstats-Virus File Laenge ungepackt: 19784 Bytes GFA-Basic-Programm. Keine verbogenen Vektoren Zielgerichtet gegen PHOBOS. Ein Mailbox-Programm (kenne ich nicht). Bleibt nicht im Speicher. Von der Definition ein reines Zer- stoerungsprogramm und kein Virus, da keine Vermehrung. Also KEINE Gefahr fuer "normale" Amiga-User. Es wird nach einigen Filenamen gesucht und dann deren Inhalt mit Speichermuell ueberschrieben. S:PHOBOS.CONF NETZCONFIG BRETTERCONFIG USERCONFIG Einige der oben genannten Filenamen werden auch noch mit der Er- weiterung .TAPO, .BAK, .CONF1 usw. gesucht. Nach der Zerstoerungs- arbeit wird also das Mailboxsystem nicht mehr laufen. Empfehlung: loeschen Es gibt da nichts auszubauen, da das Virusteil IM GFA-Teil sitzt. Der Programmierer MUSS also den sourcecode von pstats besitzen. Zumindestens ist mir kein Recompiler fuer GFA-Basic bekannt. - Pseudoselfwriter andere Namen: Selfwriter, Lamer7 - QRDL V1.1 Link verlaengert ein File um 2320 Bytes Vermehrung nur gelungen mit KS1.3 und Chip 512 kein Fastmem KS37.300 (A600) : immer GURU 3 Haengt sich als 1.Hunk (neuer) ein. Zuerst gefunden an: PPLoadSeg Laenge verseucht: 3484 Bytes Namensbegruendung: nach eor.b d5,(a0)+ ist im Speicher zu lesen: 00000000 28432931 3939322D 30342D31 ....(C)1992-04-1 36205152 444C2E20 52656C65 61736520 6 QRDL. Release 312E3120 426F726E 20696E20 506F6C61 1.1 Born in Pola 6E642C20 47727420 746F204A 61636B20 nd, Grt to Jack Verbogene Vektoren je nach Aktivierungsstand: Cool, DoIo, NewOpenLib, OpenWindow, $78(a6)->, Schaden A: Sucht den BitMapBlock einer Disk und gibt alle Bloecke frei. Fehler konnte erzeugt werden. Schaden B: Linkt sich an das erste File der startup-sequence. Mit KS1.3 (s.o.) gelungen Speichererkennung getestet: 20.11.92 Fileerkennung und Ausbau getestet: 20.11.92 Hinweis: Sie muessen auf Aufforderung PPLOADSeg loeschen, sonst besteht die Gefahr, dass VT den QRDL im Speicher uebersieht. Ich wiederhole mich ungern, aber noch einmal: Fuer einen sinnvollen Filetest mit VT MUSS!!!! der Speicher sauber sein. Dies gilt nicht nur fuer QRDL, sondern allge- mein. - Random Access CopperIntro schreibt GURU nach $60, nicht resident, keine Vermehrung Empfehlung: sofort loeschen von der Definition KEIN Virus, aber schaedlich wg. $60 - Red October V1.7 Link Name im Prg nicht nachvollziehbar auch KS2.04, Laenge Ursprungsfile ungepackt: 1296 Bytes keine verbogenen Vektoren, schnelle Vermehrung (20min eine Disk komplett verseucht). Haengt sich vor den ersten Hunk und verlaengert das File um 1296 Bytes. In einem verseuchten File ist um $500 zu lesen: timer.device, dos.library, ram: ram:1 . Virus meldet sich NIE. Manche verseuchten Files ver- suchten zwar noch erfolgreich eine Vermehrung, aber bei Aus- fuehrung des eigentlichen Prg.s GURU. VT kann auch diese Files retten. Schaeden in Abhaengigkeit von der Computer-Systemzeit: Computer-Sekunden teilbar durch 3 = Vermehrungsversuch Computer-Sekunden teilbar durch 16 = RESET Vermehrungsbedingungen: - nur bei Aufruf eines verseuchten Files - sucht mit lock, info, examine, exnext andere Files - testet auf Schreibschutz (#80) - File ausfuehrbar ($3F3) - File kleiner #50000 - File noch nicht befallen - KEIN Test auf Disk voll VT-Test: 27.03.92 Ursprungsfile wird geloescht (da gibt es nichts auszubauen). Aus verseuchten Files (auch GURU-Files s.o.) wird Link aus- gebaut. ALLE Files waren wieder im Originalzustand und voll lauffaehig. - Rene anderer Name: bei mir Lamer8 da im entschluesselten Programm The LAMER Ex... zu lesen ist und das Verhalten einem Lamervirus entspricht, halte ich eine Zuordnung zur Lamer-Gruppe fuer richtig. - REP-Virus SCA-Clone nur Text geaendert 32165468 65204d65 67612d4d 69676874 2.The Mega-Might 79205245 50202121 dc6e0000 4ef90000 y REP !!.n..N... 00004121 52455021 52455021 52455021 ..A!REP!REP!REP! - Return Of The Lamer PrgFileVirus Laenge 1848 Bytes nur KRESET (Entschuldigung) tarnt sich als Disk-Validator KickTag, KickCheckSum, BeginIo und andere zu erkennen an: hat im Gegensatz zum Orig.Disk-Validator keinen lesbaren ASCII-Text Schaeden in Abhaengigkeit von der Zeit: a) bestimmt eine Blocknummer ueber $DFF007 und schreibt 64 x LAMER!!! hinein b) Fastformatroutine fuer alle Laufwerke und ueber DisplayAlert Textausgabe: The Return Of The Lamer Exterminator c) schreibt den falschen Disk-Validator auf Disk - Revenge Bootloader! Begin, KickTag, KickCheckSum, Vec5 Fastmem: nein Vermehrung ueber BB - Revenge V1.2 cool,doio,vec5 , im Speicher immer $7e000 und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste) Vermehrung: ueber BB Schaden: nach einger Zeit neuer Mauszeiger im BB sichtbar: Revenge V1.2GCount: - Revenge of the Lamer PrgFileVirus Laenge 4560 Bytes nur KRESET (Entschuldigung) es werden mir zuviele Zeiger verbogen (10!!) entschluesselt steht im Speicher: dos.library.graphics.library.intuition.library. trackdisk.device.DOS s/startup.sequence usw. Name:$A0A0A0A0A0 steht im Hauptverzeichnis und 1.Zeile Startup testet vor Vermehrung ob genuegend Platz auf Disk ist nach 6 Resets (denke ich), Formatieren aller eingelegten nicht schreibgeschuetzten Disks 3 Seiten Alert-Meldung - Revenge of the Lamer 2 PrgFileVirus Laenge 4448 Bytes einige Write-Test-Routinen fehlen, sonst wie Revenge of the Lamer W A R N U N G: es ist mir beim Testen gelungen, Revenge of the Lamer 1 u. 2 so zu vermehren, dass SID und andere Prg.e die 5 A0 n i c h t anzeigen. Mein FileRequester auch nicht. Das VirusPrg. wird aber a u c h bei diesen Disks aktiviert und vermehrt sich !!! Mit einem DiskMonitor kann das Prg. ge- funden werden. Bei meinem PrgTest erscheint dann: Rev. Lam. unsichtbar Dies ist kein Schwachsinn, sondern der Sachverhalt wurde von anderen Programmierern nach meiner Entdeckung gegengeprueft und eine Fehlfunktion bei ExNext KS1.3 entdeckt. Dieser Fehler ist bei KS2.0 behoben. (vgl. auch Fish 429 Dr.doc) - RIPPER Programcode = Northstar, nur anderer Text cool im Prg. DoIo immer ab $7ec00 Vermehrung: BB Text (auch im BB sichtbar):ATARI KILLS COMMODORE! RIP! RIP THE RIPPER usw. - Riska Forpib-Clone s.o. - Rob Northern File Laenge: 2616 BGS9 Clone s.o Rob Northern im File lesbar Anfaengeraenderung: !!!! testet immer noch auf TTV1 obwohl nicht mehr vorhanden schreibt nur 2608 Bytes zurueck (Geruechte behaupten, dies waere die Originallaenge von BGS9 ???) vergisst 3F3 zu schreiben d.h. ein vermehrtes Prg ist NICHT mehr lauffaehig d.h. die startup-sequence einer verseuchten Disk bricht ab VT findet weiterhin BGS9 im Speicher. Bei BlockKette wird Rob nicht gefunden, da 3F3 fehlt. Ausbau mit FileTest. Stand 14.03.92 - Rude Xerox = DIGITAL AGE = Forpib-Clone nur Text geaendert - SACHSEN VIRUS NO.1 Cool, immer ab $78000 fordert trackdisk.device BB-Teile codiert mit move.b #$70,d0 add.b d0,(a0)+ decodiert im Speicher: ** SACHSEN VIRUS NO.1 ** usw Vermehrung: BB sonst keine Schaeden und keine Meldung GURU-Gefahr: sobald das Virus im Speicher ist und ein RESET ausgefuehrt wird, wird CloseDevice verbogen. Mit FastMem ab $200000 dann GURU. - SACHSEN VIRUS NO.3 Cool, DoIo, Wait, immer ab $78000 belegt Block 0-3 (d.h. ein File ab Block 2 wird auch zerstoert. Fordert trackdisk.device NICHT (HD!!!!) Alle Texte codiert. Vermehrung: BootBlock 0 - 3 Schaeden: Schreibt nach Block 880 (Root bei Disk) neuen Disknamen SACHEN NO.3 ON DISK !!! Schreibt in Block (abhaengig von $DFF006) 64 x SACHSEN3 Sollte dieser Block in einem File liegen, so ist dieses File NICHT mehr zu retten. DisplayAlert und dann RESET SACHSEN VIRUS NO.3 in Generation : is running... (bei mir Generation 23) - SADDAM HUSSEIN Bootblockvirus (vgl. auch BlowJob) KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7f000 Taeuscht durch Text im Bootblock: A2000 MB Memory Controller V2 Vermehrung und Schaden: Bootblock Sobald die Zaehlzelle den Wert $7530 erreicht hat, wird ein Programmteil mit subi.b #$71,D0 entschluesselt und mit display- Alert der Text ausgegeben: TOO BAD BROTHER ... SADDAM HUSSEIN STRIKES BACK !!! THE ONLY ESCAPE IS TO TURN THE POWER OFF !!! - SADDAM-VIRUS Disk-Validator Laenge:1848 Bytes KS2.04 und hoeher NEIN (Disk-Validator liegt da im ROM) Festplatte NEIN (es wird mit trackdisk.device gearbeitet) HINWEIS: wird manchmal von VirusX mit Australian Parasite verwechselt !!!! Das erste Virusprogramm, das mit 1 MB Chip, Kick1.3 und OHNE setpatch r einen Reset mit der Tastatur uebersteht !!!!!!!! Cold, BeginIo, Close im Trackdisk.device, Rasterstrahl $90(a6) im Prg. dann noch OpenWindow, InitResident, direkte Dos.lib-Ein- spruenge. entschluesselt im Speicher mit: eor.b d0,(a0)+ subq.l #2,d0 dbra d1,loop Zum Verschluesseln eines neuen SADDAM-Disk-Validators wird ein Wert aus $DFF007 in d0 abgelegt. Speicherlage: SysStkLower - veraenderter Wert aus $DFF007 - Virus- programmlaenge Name decodiert: " SADDAM VIRUS" Schaeden und Gefahren: Das Einlegen einer Disk mit ungueltiger BitMap genuegt, um SADDAM zu aktivieren !!!! abhaengig von der Zaehlzelle: KopfStep alle Laufwerke (Disk danach BAD) und DisplayAlert: SADDAM-VIRUS Ueberschreibt jeden echten Disk-Validator auf einer ungeschuetzten Disk !!!!! Falls auf einer Disk kein l-Dir vorhanden ist, wird es erstellt und dann der verseuchte Disk-Validator hineinkopiert. Noch KEIN anderes Virusprogramm hat Unterverzeichnisse angelegt !!!! Sucht ueber den FileHeaderBlock den ersten FileDataBlock und schreibt in T.DATA das LWort IRAK . Der Rest des FileDataBlocks wird mit eor.l d1,(a0)+ dbra d0,loop verschluesselt. Bei aktivem SADDAM-VIRUS wird statt IRAK der richtige Wert 8 angezeigt! (Taeuschung !! vgl. Lamergruppe, die sauberen BB vortaeuscht!) Schreibt manchmal in ROOT in $13c (=Zeiger auf BitMapBlock) den Wert Null. Mit Glueck finden Sie in $140 den Originalwert (abge- legt vom Virusprogramm) . Wenn Sie Pech haben, hat ein anderer Virusprogrammteil diese Stelle kurz danach auch auf Null gesetzt. Versuchen Sie dann mit einer Bootdisk den OriginalDisk-Validator zu starten oder versuchen Sie mit einem Disk-Monitor zu Fuss den BitMapBlock zu finden und wieder in $13c einzutragen. Oder lesen Sie BitMapTest.dok (11.07.91) Hinweis: Versuchen Sie bitte NICHT decode IRAK auf einem fms.device (Grund: phys. und logischer Block verschieden). Sie muessen IRAK auf einer Disk decodieren !!!!! Hinweis 2: Ich besitze inzwischen (21.10.91) einen SADDAM-Disk- Validator mit der Laenge: 1892 Bytes . Dieser Disk-Validator aktiviert sich trotz Null in $138 und $13c nicht, sondern der System-Requester erscheint !!!! Hinweis 3: Um IRAK-codierte Bloecke zu reparieren, verwenden Sie bitte BlockITest. Geht sehr schnell im Vergleich zum FileTest. Danke - SADDAM-Clones verwenden statt IRAK LAME, LOOM, RISC, a0a0a0a0, 363636a0 usw. Testen Sie mit BlockITest und verneinen Sie decode und schauen sich den Block an. Langwort 0 enthaelt das Erkennungslangwort. Decode in BlockITest sollte richtig arbeiten. Falls nein, rufen Sie mich bitte an. Danke - SADDAM-File Laenge: 14524 Bytes NICHT lauffaehig Error 121 Grund: Hunklaengenangabe immer noch $1c5 . Sofort loeschen - SADDAM ][ Disk-Validator Laenge: 1848 Bytes Verhalten: s.o. Schreibt IRAK Aenderungen: Name: " SADDAM ][ " andere Decodierroutine: z.B. subq.l #3,d0 (Orig. subq.l #2,d0) Nachtrag 02.01.93: Clone aufgetaucht. Verwendet als Kennung 1.29 Nachtrag 15.04.93: Mir wurde ein SADDAM ][ zugeschickt, der sofort mit GURU bei Benutzung antwortet. Ein Anfaenger, wahr- scheinlich mit Monitor-Kenntnissen, hat genau in der Codier- Routine zugeschlagen. Mit diesem Teil ist KEINE Verseuchung moeglich. Loeschen Sie das Teil aus L: und kopieren Sie den Original-Disk-Validator neu. - SADDAM-Clone besondere Art Name geaendert in HARDEX VIRUS Soll statt IRAK HARD schreiben. Wie das gehen soll, ist mir aber noch nicht klar. Begruendung: Der Nachprogrammierer hat nicht nur Namen geaendert, sondern auch noch 'trackdisk.device' geloescht. Deshalb kann BeginIo nicht verbogen werden. Also keine Codierung eines Blocks moeglich. VT erkennt SADDAM . Bitte einfach loeschen. Nachtrag 05.03.93: es ist ein neuer Clone augetaucht. Laurin-Virus Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $a0a0a0a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 4C617572 696E2056 69727573 ... Laurin Virus Behandlung: siehe bei SADDAM Hinweis 05.03.93: Falls Sie noch mit KS1.3 arbeiten, so kopieren Sie sich bitte einen ORIGINAL-Disk-Validator auf die VT-Disk. Die Arbeit wird erleichtert. Ich darf das nicht, da es sich um ein Commodore-File handelt. Nachtrag 28.03.93: es ist ein neuer Clone aufgetaucht. Animal-Virus Wird von VT als SADDAM-Clone erkannt. Blocklangwort: $363636a0 Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6B646973 6B2E6465 76696365 trackdisk.device 00010820 416E696D 616C2056 69727573 ... Animal Virus Behandlung: siehe bei SADDAM Nachtrag 09.04.93: es ist ein neuer Clone aufgetaucht. KICK-Virus Wird von VT als SADDAM-Clone erkannt. Blocklangwort: KICK Namensbegruendung: im Speicher ist decodiert zu lesen 6b2e6465 76696365 00010820 204b4943 k.device... KIC 4b202056 49525553 00000000 03f30000 K VIRUS........ 00000000 00010000 00000000 00000000 ................ 01c50000 03e90000 01c55573 65204b69 ..........Use Ki 636b7374 61727420 312e322f 312e3300 ckstart 1.2/1.3. 00000000 00000000 00000000 00000000 ................ Use Kick... ist uncodiert im Disk-Validator-File zu lesen. Behandlung: siehe bei SADDAM Nachtrag 18.04.93: es ist ein neuer Clone aufgetaucht. NATO-Virus . Wird von VT als SADDAM-Clone erkannt. Blocklangwort: NATO Namensbegruendung: im Speicher ist decodiert zu lesen 74726163 6b646973 6b2e6465 76696365 trackdisk.device 00010820 20204e41 544f2056 49525553 ... NATO VIRUS 00000000 03f30000 00000000 00010000 ................ 00000000 00000000 01c50000 03e90000 ................ 01c54772 65617465 73742048 756d616e ..Greatest Human 20204572 726f7200 00000000 00000000 Error......... Greatest... ist uncodiert im Disk-Validator-File zu lesen. Behandlung: siehe bei SADDAM - SAO PAULO Virus BB im Speicher immer ab $7FC00 Cool $7FF3A nach Reset DoIo $7FF56 KS2.04: ja Fordert trackdisk.device NICHT . Namensbegruendung: im BB ist zu lesen SA0 PAULO! Fast der ganze Block 0 ist leer (Taeuschungsversuch ???) . Der Virencode steht in Block 1. Das Virusteil meldet sich nie . - SARON Es ist KEIN Virus Wird von VT deshalb nicht erkannt. Es ist ein XCopy 6.5 pro (Laenge: 27196) aufge- taucht, das beim Start im Cli zuerst in grossen Buchstaben SARON usw. ausgibt. Nach meiner Meinung enthaelt das File KEINEN Virus. - SATAN-Virus BB immer ab: $7CD30 Cool $7CDA6 im Prg DoIo $7CDD2 Fordert trackdisk.device NICHT . Vermehrung und Schaeden: BB Der Text im BB wird NIE erreicht . Namensbegruendung: im BB ist zu lesen 21212120 48696572 20737072 69636874 !!! Hier spricht 20646572 20534154 414e2021 21212120 der SATAN !!!! - SCA Dos Kill siehe bei D&A Virus - SCA! - SCA 2 keine Gefahr, nie bootfaehig, immer GURU deshalb in meinem Prg. nur Nicht-Standard-BB Begruendung: read $200 nach $7FC00 von Zylinder 79 und dann jmp $7FA00 (alles klar Anfaenger !!) - SCARFACE BeginIo, KickTag, KickCheckSum, Vec5 FastMem nein Vermehrung: ueber BB ResetRoutine, die ueber Vec5 gesteuert wird (Zaehlzelle > $2710) Im BB sichtbar: z.B. SCARFACE - scsi-Virus File Laenge ungepackt: 1560 Bytes reines Zerstoerungsprogramm KEINE verbogenen Vektoren KS3.0: ja Keine Vermehrungsroutine Fileauszug: 2c780004 4eaefe3e 4e75733a 24e724a1 ,x..N..>Nus:$.$. ^^^^^^^^^^^^^ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 00000000 00000000 00000000 ................ 00000000 646f732e 6c696272 61727900 ....dos.library. 8b624828 91819187 1e000000 00000000 .bH(............ ;;;;;;;; ::::::::::: ;;;; decodiert mit subi.b #$28,d0 ergibt: "c: ",0 :::: decodiert mit subi.b #$1E,d0 ergibt: "scsi",0 Ablauf: Test ob der Filename (^^^^) "s:$",E7,"$",A1,0 vorhanden ist. Falls ja, Virusprogrammende DateStamp wird aufgerufen und auf $15A0 = 27.Feb.93 ueberprueft. -Falls die Computerzeit noch nicht so weit ist, wird mit LoadSeg das Original-Programm aufgerufen ("c: ",0) und durch einen direkten Einsprung abgearbeitet. Danach wird UnloadSeg aufgerufen und das Virusprogramm beendet. -Falls die Systemzeit den 27.Feb.93 erreicht hat: Ueber dosbase+$22 wird die device-Liste durchsucht. Verglichen werden NUR devices (keine Vol usw.) mit scsi (s.o.). Also ein Test auf vier Buchstaben. d.h. alles was mit scsi beginnt, wird ausgewaehlt. auch scsi3... usw. NICHT ausgewaehlt wird SCSI oder gvpscsi usw. Danach wird der ROOT-Block berechnet und durch Auffuellen mit Nullen zerstoert. WICHTIG: Da dieser Vorgang in einer Schleife ablaeuft, werden ALLE Root-Bloecke von ALLEN Laufwerken und ALLEN Partitionen, die die Vorgabe erfuellen, zerstoert. Hab ich mit einer Wechsel- platte und drei Partitionen ausprobiert. VT erkennt das Virus-File und bietet Rename mit dem Original- File in c: an. Falls das Original-File in c: nicht gefunden wird, schlaegt VT vor, das Virus-File allein zu loeschen. Hinweis: Mit DiskSalv Repair konnten alle Partition wieder herge- stellt werden, da der Root-Block jeweils neu aufgebaut wurde. Bitte besorgen Sie sich deshalb DiskSalv (neuste Version 93) BEVOR der Unfall passiert. Wichtig 2: Es MUSS ein INSTALL-Programm geben. Dieses ist bis jetzt nicht bekannt. Bitte helfen Sie mit bei der Suche. Danke ! Denn niemand benennt freiwillig ein Original-Programm in ein unsichtbares File in c: um. - Self-Writer andere Namen: Pseudoselfwriter bei mir Lamer7 da im entschluesselten Programm The LAMER Ex... zu lesen ist und das Verhalten einem Lamervirus entspricht, halte ich eine Zuordnung zur Lamer-Gruppe fuer richtig. - Sendarian Revenge V1.2-Clone, Cool, DoIo, Vec5, im Speicher $7e000 und Speicherstelle $C0-$FF (Gefahr fuer setpatch-Liste) Vermehrung: ueber BB Schaden: nach einiger Zeit neuer Mauszeiger im BB sichtbar: Sendarian #1Count: - SEPULTURA-Virus File Laenge ungepackt: 1876 Bytes KS1.3 : ja KS2.04: Endlos-GURU . Sie muessen den Computer ausschalten. Tastatur-Reset fuehrt wieder zu GURU. Laden eines Files z.B. KReset ist auch nicht moeglich. Verbogene Vektoren: KickTag, KickCheckSumPointer Open, Lock, Delete, Rename, LoadSeg Zeitweise verbogene Vektoren: $6c, FindResident Das Programm rettet fast KEINE Vektoren !!!!! Arbeitet mit df0:, df1: und df2: . Mehr Laufwerke hat der Programmierer wahrscheinlich nicht. Namensbegruendung: s.u. lat. sepultura = Begraebnis Ein Speicherbereich wird decodiert mit: eori.b #$FB,(a0)+ 0000646f 732e6c69 62726172 79006466 ..dos.library.df 303a732f 73746172 7475702d 73657175 0:s/startup-sequ 656e6365 00006466 303aa0a0 a0a00000 ence..df0:...... ^^^^^^^^^ ^^^^^ unsichtbarer Filename "A0A0A0A0" in Root von df0/1/2 . Die Null der beiden df0: wird bei Bedarf im Programm-Code durch 1 oder 2 ersetzt. Ausgabe eines Textes mit DisplayAlert in Abhaengigkeit von $DFF006 . Fuer DisplayAlert wird bei Bedarf ein Speicherbereich decodiert mit: eori.b #$FA,(a0)+ 790000fa 0a486920 4775797a 20212100 y....Hi Guyz !!. 0100a014 53455055 4c545552 41207374 ....SEPULTURA st 72696b65 73206261 636b2077 69746820 rikes back with 74686569 72206e65 77000100 fa232056 their new....# V 49525553 21212100 01009632 4c6f6f6b IRUS!!!....2Look usw....... Hinweis: Ein Satz, der decodiert wird, erscheint nicht beim Alert. Wahrscheinlich hat sich der Programmierer verzaehlt. Vor Schreibzugriff auf Disk wird getestet auf: - validated - max $6a0=1696 Bloecke belegt Empfehlung: unsichtbares File in Root loeschen und in startup- sequence die entsprechende Zeile entfernen. VT kennt: 14.04.93 VT setzt ALLE Vektoren zurueck . - SHIT-Virus (BB) nicht mit KS2.04, nicht mit FastMem KickTag, KickCheckSum, BeginIo, Vec5, $64, $68, $6c haeufig GURU Zeitzaehler: 8 Min setzt irgrndwann $60 auf 0 codiert mit: eor.w d0, (a0)+ add.w $xyz(pc),d0 Im codierten BB ist zu lesen: Nuked007 (wobei Nu=RTS) Zugeschickt wurde mir der BB als Ethik-BB. Diesen Namen kann ich nicht nachvollziehen. Schaeden in Abhaengigkeit von der Zaehlzelle: - schreibt $1400 Bytes ab Block 0 (Absicht ???) zerstoert also auch Files die ab Block 2 liegen - schreibt in einen Block ab $30 SHIT addiert 8 zu $10 im Block (bei OFS=NextDataBlock) addiert 8 zu $14 im Block (bei OFS=BlockCheckSum) schreibt den veraenderten Block dann 1 Position spaeter zurueck. Diese Files sind NICHT zu retten !!!!!!!! Gefaehrlich: in weniger als 5 Minuten habe ich 12 SHIT-Bloecke auf einer Disk erzeugt !!! - SMBX-Mount Virus File Laenge ungepackt: 65488 Bytes KEINE verbogenen Vektoren. Installiert Mount-Virus (s.o.) Namensbegruendung: im File ist zu lesen: 00000000 00001897 733a534d 42582d44 ........s:SMBX-D 4f532e63 66675573 6572203a 20526573 OS.cfgUser : Res ...... 6963652f 2f2f2f2f 202d444f 532d5368 ice///// -DOS-Sh 656c6c20 56202863 29313939 312f3932 ell V (c)1991/92 Ein aufmerksamer User hat das Teil gefunden. Danke !!!!!! Es handelt sich um ein Shell-Programm, das mit einem Mail- box-Programm mitgeliefert werden soll? Das codierte Mount-Virus-Teil liegt von $EC38 bis $F068 im File. Es handelt sich beim Shell-Programm um eine Gfa-Basic- Compilierung und die Decodierung findet IM Gfa-Teil statt. Deshalb muss nach meiner Meinung der Programmierer des Mount- Virus-Teils den Source-Code des Basicprogramms besitzen. Ein Ausbau ist aus oben genannten Gruenden nicht moeglich. Empfehlung deshalb: loeschen und bei der Lieferfirma nach dem Programmierer forschen !!! - SnoopDos1.6-Virus Einbruchsprogramm in AmiExpress Von der Definition kein Virus, da keine Vermehrungsroutine ge- funden wurde. gefunden in: SNOOPD16.LHA 35444 Snoopdos-Laenge: 11312 Bytes Orig.SnoopDos1.5 : 10540 Bytes Es wurde SD1.5 verwendet und ein neuer Hunk als 1. angehaengt. Die Hunkanzahl erhoeht sich von 3 auf 4. Der neue 1. Hunk ist codiert mit: loop: move.w #$2d1,d2 eor.b d2,(a2)+ dbf d2,loop Nach Decodierung ist zu lesen: 4ED46172 702E6C69 62726172 79004242 NOarp.library.BB 53004242 533A7573 65722E64 61746100 S.BBS:user.data. 4242533A 75736572 2E6B6579 7300002A BBS:user.keys..* 4242533A 4E6F6465 302F6C6F 676F6E2E BBS:Node0/logon. 74787400 44455854 45520000 00000000 txt.DEXTER...... 00000000 00000000 00000000 00000000 ................ 00000052 45545552 4E000000 3D3E2046 ...RETURN...=> F 414E5441 20434F4E 4E454354 20323030 ANTA CONNECT 200 31203C3D 00000000 3034392D 34333133 1 <=....049-4313 36333633 34000000 00FF0000 00005858 63634....y....XX 58585858 58585800 008F0013 007570CC XXXXXXX......upI Empfehlung: Virus-File loeschen , logon loeschen und Orig. SnoopDos neu aufspielen. Keine Gefahr fuer Amiga-Be- nutzer ohne Mailbox. VT erkennt File: 23.10.92 Hinweis 01.11.92: gelesen im FIDO-Netz Laut Eddy Carroll (Prg. von Snoopdos) gibt es auch ein echtes SnoopDos 1.6, das allerdings nicht offiziell ver- breitet wurde. Das echte SD1.6 (hab ich nicht) soll bei Aufruf von version den Versions-Text ausgeben. Mein Test: Das SnoopDos1.6-Virus enthaelt den Text NICHT. - Sonja VIRUS BB KS2.04: NEIN Fordert trackdisk.device: JA BeginIo, KickTag, KickCheckSum Codiert mit Wert aus $DFF007 DecodierRoutine: eor.b d0,-(a1) Im Speicher findet man dann z.B.: 00007472 61636B64 69736B2E ..trackdisk. 64657669 63650014 49742773 20536F6E device..It's Son 6A612056 49525553 21212100 28632939 ja VIRUS!!!.(c)9 31206279 204D4300 1 by MC. Vermehrung: als BB Schaeden: Sobald eine Zaehlzelle den Wert $14 erreicht hat, wird eine Format-Routine aufgerufen. Formatiert wird Track 2, 4, 6 usw. (Mal was Neues). Dann wird nach Block #880 ein neuer Rootblock geschrieben. RootBlockAuszug: 1A0: 00000000 00000000 00000000 00000000 ................ 1B0: 14497427 7320536F 6E6A6120 56495255 .It's Sonja VIRU 1C0: 53212121 00286329 39312062 79204D43 S!!!.(c)91 by MC 1D0: 00000000 00000000 00000000 00000000 ................ Am Schluss wird nach $FC0000 (reset) gesprungen. Die Disk ist unbrauchbar. Es ist NICHTS mehr zu retten. Da der Disk- name durch das Byte 1B0 = $14 in der Laenge begrenzt wird, erfolgt die Ausgabe nur bis zum letzten ! . BootBlock-Erkennung mit VT getestet: 23.09.92 Speicher-Erkennung mit VT getestet : 23.09.92 - SS Virus BB Cool immer $7C078 immer ab $7C000 Bei mir mit KS2.04 nach Reset kein neuboot von Disk. Unter KS1.3 werden nach dem Reset 2 Interrupts installiert. Nr. 3 = Ports = $7C1D6 = SS.install Nr. 5 = VERTB = $7C1F8 = SS.greetings VT entfernt beim loeschen die Namen und setzt die Codezeiger auf 0 mit RemIntServer. Also keine Gefahr mehr. vgl. VT = Listen = IntVec Sobald die Zaehlzelle den Wert #$500 erreicht hat wird eine Graphikroutine angesprungen: schwarzer Hintergrund, helle Schrift Hakenkreuz,SS-Rune,Hakenkreuz und dann your computer is infected by SS-Virus! Danach ist ein Reset notwendig, da das VirusPrg. sich in einer Endlosschleife befindet. Der BB ist codiert mit eor.l d0,(a0)+ Von der Definition handelt es sich nicht um einen BB-Virus, da keine Vermehrungsroutine gefunden wurde. siehe auch MOSH, HEIL-Virus - STARFIRE/NorthStar 1 anderer Name BlackStar Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 1 testet nicht auf SystemZ, nur auf SCA, ByteBandit = DisplayAlert Vermehrung: ueber BB Im BB lesbar: Virus detected on this disk usw. Reset,WriteProt OFF (bei NorthStar2 nicht vorhanden) - STARFIRE/NorthStar 2 = OldNorthStar ???? Cool, DoIo, im Speicher immer ab $7ec00, VersionsNr: 2 testet auf SCA, ByteBandit, SystemZ, NorthStar1, Folge=DisplayAlert Vermehrung: ueber BB Im BB lesbar: VIRUS detected on this disk usw. My AntiVirus is better! (bei NorthStar1 nicht vorhanden) - Starfire2 nur Block 0, sehr viel Text: The Virusbusters North Star Es ist kein Virus. VT erkennt Nicht Standard-BB - STARLIGHT Warhawk-Clone s.u. nur Text geaendert - STARLIGHT II MicroSystems-Clone s.o. nur Text geaendert - Suntronic cool,doio, nur Kick1.2 da absolute ROM-Einspruenge Vermehrung ueber BB , immer $7fa00 Suntronic-Text im BB sichtbar - SuperBoy Cool, im Prg DoIo, im Speicher immer ab $7ec00 Vermehrung ueber BB Alertmeldung mit .... The Famous SuperBoy - SwiftWare siehe bei: Devil_V8_B.Door im File ist zu lesen: 4E5D4E75 0C092020 53776966 74576172 N]Nu.. SwiftWar 65207625 642E2564 202D2000 1B5B313B e v%d.%d - ..[1; 25646D00 00427920 4A616262 61682026 %dm..By Jabbah & 20504F57 001B5B25 646D0000 202D2054 POW..[%dm.. - T 6F702055 706C6F61 64657220 5574696C op Uploader Util - Switch-Off anderer Name: Joshua 2 s.o. - Suicide-Virus BB immer ab $7E120, Kicktag, KickChecksum, Supervisor , KS2.04: GURU Fordert trackdisk.device NICHT . Kodiert mit Byte aus $DFF006 eor.b d1,(a0)+ jeden BB fuer Vermehrung neu. Meldet sich nicht . Schaeden und Vermehrung: BB Namensbegruendung: dekodiert ist im Speicher zu lesen: 3e3e2053 75696369 6465204d 61636869 >> Suicide Machi 6e652062 79204d41 5820696e 2032342e ne by MAX in 24. 30392e31 39393220 3c3c0000 2c790000 09.1992 <<..,y.. - T.ET.E BB Virus anderer Name:BB-Prot Zombi 1 Clone s.u. Unterschied zu Zombi: versucht beim Booten durch die XCopy-Meldung NO VIRUS ON BOOTBLOCK zu taeuschen. Die codierte Zombi-Meldung (intuition) wurde ueberschrieben. Schreibt in den zerstoerten Rootblock als Diskname: 01b0: 07542e45 542e4520 00000000 00000000 .T.ET.E ........ Im Virus-BB ist zu lesen: 4ef90007 a0363e42 422d5072 6f742062 N....6>BB-Prot b 79205420 4520696e 20313200 30360031 y T E in 12.06.1 3939353c 0007ee00 0007ee50 2001fffe 995<.......P ... Da beim Neuschreiben des RootBlocks, die ZOMBI-CheckSum (= falsch fuer T.ET.E) verwendet wird, duerfte wieder einmal ein An- faenger am Werk gewesen sein. Meine Bitte: spielt lieber mit dem Joystick, ihr lernt es nie !!! - T.F.C. Revenge V1.03 Clone Extreme s.o. Text geaendert und Text im BB verschoben - T.F.C. Revenge V2.14 Versionsnummer und Datum geaendert, Rest s.o. - T.F.C. Revenge LoadWB File, Laenge ungepackt: 2804 Bytes Fuehrt LoadWB-Befehl aus und legt T.F.C. Revenge BB im Speicher ab. Verbogene Vektoren siehe bei Extreme. Vermehrung nur als Bootblock moeglich. - Taipan-Chaos anderer Name: Chaos s.o. - Taipan-LameBlame anderer Name: LameBlame s.o. - Target cool, im Prg. DoIo , immer $7ec00 schreibt auf jede nicht schreibgeschuetzte Disk, die in Block 880 ab $1b0/1 (=Diskname) eine bestimmte Zeichenfolge enthaelt, ab Track 80 bis Ende (mal was Neues) sinnlose Daten Ursprungsprogramm:target.install (Malta) - TeleCom-Virus File Laenge: 756 Bytes Cool immer $C71082, im Programm noch DoIo und FindRes . Braucht Execbase im Speicher ab $C00000 . Nur mit KS1.3, da absolute ROM-Einspruenge . Namensbegruendung: Decodiert mit eori.b #$27,(a1)+ ist im Speicher zu lesen: 732f7374 61727475 702d7365 7175656e s/startup-sequen 63650000 2054656c 65436f6d 20d80000 ce.. TeleCom ... Vermehrung: -Schreibt in startup-sequence 1.Zeile $A00A . Also den nichtsichtbaren Filenamen $A0 und ein Return. -Kopiert sich selbst ins Root-Verzeichnis mit Filename $A0. Einfach loeschen und in startup-sequence mit einem Editor die 1.Zeile loeschen. Hinweis: Der unsichtbare Filename $A0 wird auch von BGS9-3 fuer das verschobene Originalprogramm verwendet. Es koennte also zu Verwechslungen kommen. - Telstar Cold, Cool, Zaehlzelle $C0 ganz gemein, taeuscht durch Text Virusprotector 6.0 vor, entschluesselt (neg.b) BBteile nach $7fc00, jeder 4/2.Reset Graphikausgabe (holl. Flagge und Text u.a. Telstar), keine Vermehrungsroutine gefunden. - Termigator: Kick 1.2 (da absolute ROM-Einspruenge) immer $7f4d0, Cool und DoIo entschluesselte Alertmeldung: Only the TERMIGATOR'VIRUS makes it possible! Bye!... Vermehrung: ueber BB - Terrorists PrgFileVirus Laenge 1612 Bytes KickMem, KickTag, KickCheckSum Textausgabe mit GraphikRoutine nimmt Namen des 1.Files in der Startup an verschiebt OrigPrg ins Hauptverzeichnis (unsichtbar A0202020A02020A020A0A0) Vermehrung: jede nichtschreibgeschuetzte Disk mit Startup im PrgFile sichtbar: TTV1 schwarzer Hintergrund, weisse Schrift, zeilenweise THE NAMES HAVE BEEN CHANGED TO PROTECT THE INNOCENT... THE TERRORISTS HAVE YOU UNDER CONTROL EVERYTHING IS DESTROYED YOUR SYSTEM IS INFECTED THERE IS NO HOPE FOR BETTER TIMES THE FIRST TERRORISTS VIRUS !!! Hinweis: es wird ein unsichtbares File (Name s.o.) weiterge- geben mit der Laenge #64 und dem Inhalt "Protection file!". Dieses File soll einen Terrorists-Befall der Disk verhindern. - THAHO8 BB es ist KEIN Virus Empfehlung: loeschen VT kennt: 21.10.92 Die Format- und BB-Kopier-Routine im BB ab $1FE wird NIE er- reicht. Ueber Graphik wird auf schwarzem Hintergrund mit heller Schrift ausgegeben: THAHO8 VIRUS V2.0 Im BB ist zu lesen: 00000000 54686973 20697320 74686520 ....This is the 6D696768 74792054 6861686F 38205669 mighty Thaho8 Vi 72757320 56322E30 21202045 61742073 rus V2.0! Eat s 6869742C 204C414D 45522120 20546861 hit, LAMER! Tha 686F2054 6861686F 20546861 686F2054 ho Thaho Thaho T 6861686F 20546861 686F2054 6861686F haho Thaho Thaho - THE SMILY CANCER LinkVirus, verlaengert das Prg. um 3916 Bytes Fastmem ja, im Speicher immer ab $7F000, KickTag, KickCheckSum, SumKickData, im Prg. noch BeginIo und $6c = Vec3 PrgTeile decodiert mit ror.b #2,d1 oder codiert mit rol.b #2,d1 befaellt das erste File der startup-sequence, testet n i c h t auf Sonderzeichen im Filenamen, d.h. jedes File wird befallen nach 20 Vermehrungen: Mauszeiger aendert sich in gelben Kopf (smily) mit blauem Hut und Endlosausgabe einer roten Laufschrift: "????????.........." " HI THERE!!! A NEW AGE IN VIRUS MAKING HAS BEGUN!!!" " THANX TO US... THANKX TO: --- CENTURIONS --- " " AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME" " OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE" " CALLED: ` THE SMILY CANCER ` " " HAVE FUN LOOKING FOR IT... AND STAY TUNED FOR OUR NEXT PRODUCTIONS. " " CENTURIONS: THE FUTURE IS NEAR!" " " Ausserdem ist im decodierten Prg noch zu lesen: (erscheint nicht in der Laufschrift) HELLO HACKERS OUT THERE!! A NEW FORCE HAS BORN IN ITALY: --- CENTURIONS ---. OUR TEAM IS COMPOSED OF 2 GUYZ: ME & HIM.(AHAHHA!) THE AIM OF - - CENTURIONS - - IS JUST VIRUS MAKING.. WE HAVE LOTTA FUN DOING THIS AND WE ALSO HOPE TO GIVE FUN TO THE KILLERS MAKERS (HI STEVE TIBBETT!) HAW! HAW! HAW! SIGNED: ME & HIM / CENTURIONS Hinweis: Ich besitze ein Smily-File mit vier Links - The Smily Cancer II Filevirus Laenge: 4676 2x verschluesselt nach 1x entschluesseln mit eori.b #$90,d1 subi.b #$22,d1 kann man am Fileende lesen: CENTURIONS STRIKES BACK: THE SMILY CANCER II Beim Starten des Programms wird der loadwb-Befehl simuliert und das Virusteil setzt sich im Speicher fest. Die Vermehrung erfolgt dann als Smily 1, d.h. es findet KEINE Vermehrung als Smily II statt. siehe oben Hinweis: Es wird ein Smily-File (Laenge 4792 Bytes, ab $200 im File Text zu lesen) in Deutschland weitergegeben, das NICHT lauffaehig ist (April 92). Dieses Prg wird von VT NICHT erkannt, da keine Gefahr besteht. Lasst solche Scherze und verunsichert nicht die Amiga-Benutzer !!!! Hinweis 03.09.92: Ab VT2.44 sollten mehrere SmilyLinks ans gleiche File in einem Durchgang ausgebaut werden. Falls nein, melden Sie sich bitte. Danke Hinweis 16.04.93: Es ist ein Smily Clone aufgetaucht. Laenge: verlaengert ein File um 3916 Bytes FAST KEIN mit Absicht verseuchtes File war lauffaehig. Das laesst den Schluss zu, dass der addbuffers-befehl von Hand manipuliert wurde. VT hat die Files wieder auf die Original-Laenge verkuerzt und die Startup-Sequence war danach wieder lauffaehig. Unterschied zu Original: Der Sprung-Befehl zur Decodier-Routine wurde geaendert. weiteres Verhalten: siehe oben - The Traveller 1.0 KickTag, KickCheckSum, im Prg. DoIo u. $6c, immer $7F000 abhaengig vom Zaehlerstand: Textausgabe roter,gruener und blauer Balken, schwarze Schrift NEVER HEARD OF VIRUS-PROTECTION ??? -LAMER !!! Vermehrung und Schaden: BB (auch HD !!!!!!!!!) - Tick siehe unter Julie - TimeBomb V0.9 Trojanisches Pferd wird mit dem Prg. BMassacre erzeugt (da steht auch TimeBomb V0.9) besteht aus 2 Teilen in SubDir c und Root: in c: .info = Virus Laenge: 7840 Bytes in Root: pic.xx = Zaehler (Startwert=6) Laenge: 1 Byte in der 1.Zeile der startup steht: c/.info nicht resident, keine Vermehrungsroutine in .info Verhalten: vermindert bei jedem Neustart den Wert in pic.xx um 1 . Sobald 0 erreicht ist, wird die Disk formatiert (Track 0-159) . Damit der Wert in pic.xx geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird immer ausgegeben: RAM CHECKED - NO VIRUS FOUND. - TimeBomb V0.9 Clone Trojanisches Pferd Wird von VT als Timebomb erkannt. besteht aus 2 Teilen in SubDir c und Root: in c: .info = Virus Laenge mit PP: 1584 Bytes in Root: setmap = Zaehler (Startwert=FF) Laenge: 1 Byte in der 1.Zeile der startup steht: c/.info nicht resident, keine Vermehrungsroutine in .info Verhalten: vermindert bei jedem Neustart den Wert in setmap um 1 . Sobald 0 erreicht ist, wird die Disk formatiert (Track 0-150) . Textausgabe danach: Hey Looser ! Boot again ! Damit der Wert in df0:setmap geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird ausgegeben: DISC SPEEDER BY BUD usw VT bietet im FileTest loeschen an und sucht auch nach setmap (1Byte). Falls gefunden, wird auch setmap im Rootverzeichnis geloescht. - TimeBomb V1.0 BB-Virus ( verbiegt keine "bekannten" Zeiger ) (je nach Zaehlerstand wird eigener BootBlock geschrieben, (( Einsprung bei #$70208)) oder Track 80 (Directory) mit Speicherinhalt ab #$20000 ueberschrieben = Disk wird unlesbar !!!) (( Einsprung bei #$70026)) Hinweis 29.10.92: VT hat einen ganz normalen BB-Loader mit TimeBomb verwechselt. Entschuldigung. Fehler behoben 29.10.92 VT2.47 - TimeBomber Trojanisches Pferd wird mit dem Prg. TimeBomber erzeugt besteht aus 2 Teilen in RootDir: virustest = Virus Laenge: 936 Bytes virustest.data = Zaehler (Startwert=5) Laenge: 1 Byte in der 1.Zeile der startup steht: virustest nicht resident, keine Vermehrungsroutine in virustest Verhalten: vermindert bei jedem Neustart den Wert in virustest.data um 1 .Sobald 0 erreicht ist, wird die Disk formatiert. Damit der Wert in virustest.data geaendert werden kann, darf die Disk nicht schreibgeschuetzt sein. Falls doch, erscheint: User Request : Please remove write Protection and press left Mouse Button to continue.. Eine weitere Abarbeitung der startup-sequence ist ohne Oeffnung der Disk nicht moeglich. Im Cli wird immer ausgegeben: RAM checked - no virus found. - Timer-Virus Files 2 Files: timer Laenge:4812 setmap Laenge:1712 Verbiegt $74 (ZeroPage) Verbiegt $74 VecPage NICHT (Hallo Enforcer-Freunde) Beim timer-File handelt es sich um das install-Programm. Zur Taeuschung wird ein Fenster (V1.1) geoeffnet und es erfolgt die Ausgabe: Ram .... Chip .... Time .... Date .... In Wirklichkeit wird aber versucht :c/setmap und/oder :system/setmap zu kopieren. Die Unterverzeichnisse muessen existieren und koennen vom timer-Prg NICHT angelegt werden. Nachweis: z.B. snoopdos Das timer-File enthaelt das setmap-File uncodiert. Beim naechsten reset wird nun der falsche setmap-Befehl aufgerufen, wenn er in ihrer s.-seq. steht. - installiert Zeichensatz - verbiegt $74 auf eigene Routine - oeffnet console.device $74-Routine: - arbeitet am seriellen Port $DFF018, $DFF019 - testet nach meiner Meinung eingehende Zeichen - hat den execute-Befehl - enthaelt eine Zeitschleife - am Schluss jmp Orig.-$74 Koennte ein Prg. sein, um in eine Mailbox einzubrechen ???? $74-Erkennung mit VT getestet : 29.09.92 timer-Erkennung mit VT getestet : 29.09.92 setmap-Erkennung mit VT getestet : 29.09.92 Empfehlung: loeschen Sie die beiden Files mit VT und kopieren Sie bei Bedarf das setmap-File neu auf. Zeichen, die so im Orig_Setmap_File NICHT vorkommen: 00004E75 72616D64 72697665 2E646576 ..Nuramdrive.dev 69636500 636F6E73 6F6C652E 64657669 ice.console.devi 63650000 3A646576 732F6B65 796D6170 ce..:devs/keymap 732F6400 00000000 00000000 00000000 s/d............. 646F732E 6C696272 61727900 00000000 dos.library..... . . . 00000000 00000000 00000000 646F732E ............dos. 6C696272 61727900 52414D3A 436F6D6D library.RAM:Comm 616E642D 30302D54 30310000 00000000 and-00-T01...... - TNK noch ein SCA-Clone 08.04.92 im BB zu lesen: This was The New Kid usw. - Tomates-Gentechnic-Service = TimeBomb-BB-Clone nur der Text wurde veraendert - TOPDOG anderer Name: Top util s.u. - Top util Virus Laenge ungepackt: 2260 Bytes Namensbegruendung: Top util By Zacker of EnSoniC V1.0 ist im File zu lesen. Wurde mir ungepackt zugeschickt. Wird deshalb von VT nur unge- packt erkannt. Bleibt NICHT im Speicher, deshalb keine Speicher- erkennung notwendig. Von der Definition kein Virus, da keine Ver- mehrung. Ein Zerstoerungsfile gegen BBS gerichtet. Also fuer den User ohne Mail-Box ungefaehrlich. Versucht durch Cli-Ausgabe zu taeuschen: Top util By Zacker of EnSoniC V1.0 Call Zack BBS 16.8 HST 407-232-6324 HST ONLY !! USEAGE: Top (num /ALL) <-Hfname> <-Sfname> <-Ttext> num : Min. megs to get on the list ALL : Show all users (default to BBS:User.rpt) -H : Use the file name after -H as the TOP hdr if no -s is used default = BBS:user.rpt -T : text to be used with top dog : TOPDOG (I just added) -S : Use the file name after -S as TOP list Schaden in Wirklichkeit: bbs:user.data wird mit Laenge 66 Bytes neu angelegt, d.h. ein altes user.data-file geht verloren: 0000: 0CEBEAE5 EAA0F4E9 E9E9F4E7 B4A0E9F7 0010: EDF6E5F7 E5F7E9A0 E9F2E5F7 E7E5F7A0 0020: 67726577 67206565 20200A20 54686520 grewg ee . The 0030: 54687265 65204D75 736B6574 65657273 Three Musketeers 0040: 200A Fileerkennung mit VT : 02.11.92 Empfehlung: File einfach loeschen - Trabbi Link anderer Name: Hochofen s.o. - Traveling Jack LinkVirusPrg mit variabler HunkLaenge verbiegt DosBase+$2E (= dos.library-Zeiger ins ROM), nicht resetfest a) schreibt ein File auf Disk VIRUS.xy Laenge immer 198 Bytes x u. y sind HexZahlen, die ueber $BFE801 bestimmt werden. Text in VIRUS.xy: The Traveling Jack.... I'm traveling from town to town looking for respect, and all the girls I could lay down make me go erect. -Jack, 21st of September 1990 b) linkt sich an andere Prg.e Bedingungen: DOS0-Disk, Disk validated, 12 Bloecke frei auf Disk, Filelaenge mind. 2000 Bytes, FileName mind. 5 Zeichen, FileName enthaelt kein Zeichen kleiner als $40, kein Info.File Typ A: LinkHunkLaengenBerechnung: $24C + Wert aus $DFF006 decodiert im Speicher $909+1 Bytes Typ B: LinkHunkLaengenBerechnung: $25B + Wert aus $DFF006 decodiert im Speicher $945+1 Bytes - Travelling Jack 3 gibt es nicht, es handelt sich um Typ B, glauben Sie mir. Einige andere VirenChecker machen einen Fehler, indem sie die Hunklaengenaenderung nicht beachten und erkennen deshalb nur EINEN Typ B, obwohl mehrere moeglich sind. (Stand 28.09.91) - TRIPLEX-Virus BB Cool, DoIo auch KS2.04 belegt im Speicher $800 Bytes, ist 2x im Speicher Vermehrung und Schaeden: BB VirusPrg. meldet sich NICHT im BB ist zu lesen: This nice little Virus was written in 1990 usw. - TRISECTOR 911 Virus BB immer $7F000 KS2.04 : nein fordert trackdisk.device NICHT KickTag, KickChecksum nach 1. Reset auch: DoIo, Vermehrung und Schaeden: BB und $94(a6) fuer Zeitbestimmung - TRISTAR-Viruskiller V1.0 Es ist NICHT der Original TRISTAR- BB gemeint, sondern jemand hat den Text in einen Target-BB (sehr kurzer Code) eingesetzt. Oh, ihr Anfaenger !! VT erkennt Target s.o. - Trojan BB anderer Name: Incognito s.o. - TROJAN 3.0 File Laenge ungepackt: 10536 Bytes Einbruchsprogramm gegen BBS, also fuer Normaluser ohne Mailbox ungefaehrlich. Empfehlung: einfach loeschen Versucht durch Cli-Ausgabe zu taeuschen: TROJAN KILLER V3.0 (23/8/92) Please enter the full path U have to your download dir < eg. BBS:warez/upload > The directory?: Checking for known trojans on harddisk... Report: 0 trojan(s) found' Checking for known trojans in memory...! Trojan(s) found on harddisk : 0! Trojan(s) found in memory : 0 Please contact ->NYLONMAN<- for new trojan killers!!! Note: This program only works on AmiExpress 1.xx and 2.xx Press <<ENTER>> in Wirklichkeit: liest aus: BBS:user.data legt ab in: /demo99.lha liest aus: BBS:user.keys legt ab in: /demo98.lha Es handelt sich natuerlich NICHT um lha-Files. Die Files werden in dem Unterverzeichnis abgelegt, das Sie oben nach ?: eingegeben haben. Loeschen Sie bitte diese zwei "lha"-Files von Hand. Trojan-File-Erkennung mit VT getestet: 20.10.92 - TURK_V1.3 Cool, DoIo, im Speicher immer $7f000 schreibt TURK nach $60 Vermehrung: ueber BB Textausgabe (entschluesselt mit subq #6,d0) ueber DisplayAlert: Amiga Failure... Cause: TURK VIRUS Version 1.3! im BB sichtbar: TURK - TWINZ SANTA CLAUS Coder-Clone s.o. Text geaendert im BB: THE SANTA CLAUS VIRUS !!!! usw. - U.K.LamerStyle anderer Name: Clist s.o. - UF-Virus anderer Name: UltraFox s.u. - ULDV8 kein Fastmem, KickTag, KickCheckSum, BeginIo, IntVec 5 im BB sichtbar: ULDV8 fordert trackdisk.device Vermehrung:BB - ULog V1.8 siehe oben Devil_11_B.Door - UltraFox Cool, DoIo, FastMem ja, nur KS1.2 da $fc06dc Vermehrung: ueber BB im Speicher immer ab $7eb00 Zaehlzelle groesser $f = Textausgabe, Graphikroutine Hintergrund dunkelblau, Balken hellblau, Schrift gelb. Greetings from ULTRAFOX of Aust. - Umyj Dupe nur KS1.2, da absoluter DoIo-Romeinsprung KickTag, KickCheckSum, DoIo, immer ab $7F800 Fordert trackdisk.device nicht !!! Schaeden und Vermehrung: Bootblock Schreibt in Block 880 (ist nur bei Disk der RootBlock) Umyj Dupe usw. DisplayAlert: Umyj Dupe usw. - V1 BB siehe oben bei EXECUTORS.BB - VCCofTNT-Virus BB Graphikausgabe: VCC of TNT ACCESS FORBIDDEN Schreibt VCC9 nach #34(a6) Fordert trackdisk.device NICHT auch KS2.04 Schaeden: schreibt sofort unsinnige Werte aus dem Speicher in den BB und den Root-Block Ergebnis: Not a Dos Disk Empfehlung: sofort loeschen Wird auch als AutoBootingBootProtector V2.0 weitergegeben. - VIPHS-Virus BB BeginIo, Kicktag, KickCheckSum, Vec5, im Prg $6c KS2.04: nein Versucht zu taeuschen im BB durch: ANTIVIRUS 1989 by VIPHS Verwendet den ByteBandit-Code um $20 verschoben und $6c Auswirkungen s.o. bei ByteBandit - VirConSet-Virus BB (VirusConstructionSet) immer ab $7F000, Cool $7F0BE, DoIo $7F0D2 Fordert trackdisk.device NICHT Schaeden und Vermehrung: in Abhaengigkeit von der Zaehlzelle (5) wird - ein Virus-BB geschrieben oder - mit DisplayAlert ein Text ausgegeben. Schwachpunkt: Intuition- Base wird immer im $C00000-Bereich abgelegt. Die schlimmste Sache: Der BB wird mit dem Programm Virusconstructionset erzeugt. Laenge gepackt (PP): 10192 Bytes Sie werden aufgefordert, einen max 60 Zeichen langen Display- Alert-Text einzugeben. Den erzeugten BB koennen Sie dann auf Disk in DF0: abspeichern. - Vermin Cool, im Prg DoIo immer ab $7eb10 fuellt nicht benoetigten Platz im BB mit Inhalt von $DFF006 auf. Vermehrung und Schaden: Bootblock - VIRUS FIGHTER V1.0 BB auch mit KS2.04 VKill-Clone s.u. Prg-Code = VKill DecodierLW geaendert: "1991" (nuetzt bei VT NICHTS!! ) decodierter Text fuer Requester anders: VIRUS FIGHTER V1.0 usw. - VIRUS PREDATOR BB: anderer und eigentlich falscher Name: Julie s.o. - VIRUS TERMINATOR V6.0 trojanisches Pferd Mega1-Cr: 1880 Bytes auch KS2.04 Versucht durch Text zu taeuschen: VIRUS TERMINATOR V6.0 by Rudolf Neiber (1992) usw. Installiert in Wirklichkeit im Speicher CHEATER HIJACKER Virus-BB Wird von VT im Speicher als CHEATER HIJACKER erkannt. Sollte von VT im FileTest als VIRUS TERMINATOR 6 erkannt wer- den. Empfehlung: sofort loeschen - Virus V1 immer ab $7EC00 Cool $7ec62, DoIo $7eca8 Arbeitet auch mit KS2.04 ! Fordert trackdisk.device NICHT !!! Schaeden und Vermehrung: ueber Bootblock sobald die Zaehlzelle den Wert $F erreicht hat: Textausgabe mit Graphics-Routinen dunkler Hintergrund Virus V1 (rot) Wir sind wieder da ahaaa.. (gruen) Der letzte Text ist auch im BB zu lesen - Virusblaster V2.3 ungepackt 9232 Bytes keine Vermehrung, keine Vektoren verbogen, (also von der Definition her KEIN Virus, aber auf Zerstoerung ausgelegt) zerstoert Disk in Df0 meldet sich im Cli als AntiVirenProgramm von M&T 7/91 einfach loeschen Herkunft: Virusblaster.LZH 27944 Bytes - Doc-File (geaendertes VT2.26doc-File) - Virusblaster PP 7292 Bytes - virustest anderer Name: TimeBomber s.o. - VKill 1.0 anderer Name: Aids, veraendert PutMsg mit FastMem: (loescht j e d e n nicht schreibgeschuetzten Bootblock o h n e Warnung !!!, auch wenn es ein Orig. Bootblock ist !! ) mit nur ChipMem: (schreibt ohne Warnung eigenen Bootblock) EntschluesselungsLW: " KEN" - WAFT BB Cool, DoIo auch mit KS2.04 Vermehrung Teile des BB`s codiert mit eori.b #-$31,(a0)+ ergibt u.a. Text: W A F T usw Vermehrung u. Schaeden: - BB - DisplayAlert - sucht Screen- u. Windowstruktur - WAHNFRIED BB Cool immer $7F0D8 PutMsg immer $7F0DE KS 2.06: ja fordert trackdisk.device NICHT Namensbegruendung: im BB ist immer zu lesen 20574148 4E465249 45442053 5452494B WAHNFRIED STRIK 45532041 4741494E 20212120 20202020 ES AGAIN !! Vermehrung: ueber BB Allerdings ist ein vermehrter BB nicht mehr bootfaehig, da die BB-CheckSum nicht nachgebessert wird. Schaeden: Eine Zaehlzelle wird bei der Aktivierung des Viruses mit dem Wert $14 beschrieben. Sobald in der Zaehlzelle der Wert 0 erreicht wird, wird mit DisplayAlert ein Text ausge- geben. Dieser Text wird im Speicher decodiert mit: eori.b #$a7,d0 move.b d0,(a1)+ Text: Hardware Failure Press left mouse button to continue Guru Meditation #00000015.00C03L12 Hooligen-Bits randalieren im Datenbus! Gruß Erich! - Warhawk Cool, im Prg. DoIo, liegt immer ab $7e600 Clone: 04.03.92 Text entfernt - Warshaw Avenger BeginIo, KickTag, KickChechSum, SumKickData grosse Aehnlichkeiten mit Lamer, BB aber unverschluesselt schreibt je nach Zaehlerstand BB oder schreibt in einen Diskblock (Lage je nach $dff006) $55 x Warsaw und 1 x !! . - XCopyPro6.5-Trojan Erzeugt beim Starten von XCopyPro V6.5 (Laenge:28336) den BB Little Sven Hinweis: im April 92 lag die OrigVersionsNr. von Xcopy erst bei 5.2x (glaub ich). Gefunden in: xcopy65e.lha Laenge: 25360 Empfehlung: sofort loeschen und Original-XCopyPro besorgen. - XENO Link-Virus, verlaengert das befallene Prg. um 1124 Bytes verbiegt DosOpen, DosLock und DosLoadSeg erhoeht Hunk-Zahl im File-Header nicht !!! testet vor Befall Filenamen auf 0-9, a-z und A-Z, Folge: Programme, deren Namen SonderZeichen enthalten, werden n i c h t befallen. Ausserdem werden a l l e Prg., die im Unterverzeichnis l oder devs stehen, n i c h t verseucht. Textausgabe (Output, Write) in Abhaengigkeit von $DFF006 Text wird erst zur Ausgabe decodiert ( eori.b #-$80,(a0)+ ) : Greetings Amiga user from the Xeno virus! in einem verseuchten File ist in der Naehe von $460 mit einem Monitor zu sehen: l.devs.fastfilesystem. - XENO a kleine Veraenderung um AntiVirusPrg.e zu taeuschen 09.03.92 Nachtrag 02.11.92: mehrere Xeno-links ans gleiche File sollten in einem Durchgang ausgebaut werden. - Xerox = DIGITAL AGE = Forpib-Clone nur Text geaendert - XLINK V3.0 File VT glaubt ein File gefunden zu haben, das mit XLINK erzeugt wurde. Es handelt sich angeblich um ein Szenen-Programm, mit dem 2 ausfuehrbare Programm-Files zu 1 File zusammengelinkt werden koennen. Also geeignet fuer VirenProduktion !!! Muss aber NICHT immer negativ verwendet werden. VT sucht in dem File NICHT nach Viren-Mustern. Sie muessen selbst eine Entscheidung treffen. - XPRZSPEED-Virus anderer Name: ZSPEED-Virus s.u. - Z.E.S.T BB LADS-Clone s.o Aenderung: lesbarer Text, kein TaeuschAlert, verschluesselter Text ist gleich (Anfaenger) lesbarer Text: Z.E.S.T is the B.E.S.T Virus-Killer usw. - ZACCESS V1.0 16Bit-Clone s.o. nur Text geaendert - ZACCESS V2.0 Forpib-Clone s.o. nur Text geaendert - ZACCESS V3.0 Extreme-Clone s.o. nur Text geaendert - ZAPA_B.Door Filename DM-Trash Laenge gepackt: 4764 VT erkennt P-Packer Laenge entpackt: 7636 VT erkennt ZAPA gegen AmiExpress ??? dm-tr.lha 5135 Bytes entpackt: dm-trash 4764 Bytes folgender Text (doc) ist zur Taeuschung enthalten: New virus ...caused by the new FIXED (?) Version of DMS 1.11 Turbo! It is some kind of linkvirus and uses Devices like DH0:, LIBS:, and BBS: (!!) usw. Eigene Versuche mit FangFiles (habe AmiExpress nicht) haben ergeben, dass eben von dm-trash folgende Files veraendert wer- den: bbs:config1 bbs:user.data bbs:user.key Die Files wurden verlaengert und ZAPA eingetragen. dm-trash. Vermutlich soll ein Superlevel fuer einen Boxzu- gang geschaffen werden. Also fuer normale Amiga-User kein Problem. VT bietet loeschen an. - ZENKER-Virus BB KS2.04: ja im Speicher immer ab $7F800 Cool $7F86c DoIo $7F894 Fordert trackdisk.device NICHT Versucht im BB durch lesbaren Text zu taeuschen: Commodore Bootloader (20 Oct 1987) Dieser BB holt in Wirklichkeit ab $70000 auf Speichermedium (bei Disk Zyl 40 Sektor 16-19) 4 Bloecke. Die ersten beiden Bloecke enthalten das Virusteil. Die restlichen beiden Bloecke enthalten den ehemaligen Orginal-BB. Dabei wurde ab der DOS-Kennung == ZENKER == eingetragen. Dies behindert die Vermehrung nicht, da das Virusteil erst ab $C in den Orginal-BB einspringt. Das Virusteil meldet sich NICHT. Vermehrung und Schaeden: Der Orginal-BB der eingelegten Disk wird nach $7FC00 geholt, == Zenker == eingetragen und dann mit dem Virus-Teil nach Zyl 40 Sektor 16 ff. abgespeichert. File-Bloecke an dieser Stelle oder die BitMap (im Test passiert) werden ueberschrieben und koennen NICHT gerettet werden !! Tut mir leid. Danach wird der Bootloader in den BB geschrieben. Falls der BB-loader erkannt wurde, sollte das Gadget O-BB aktiviert werden. Sie koennen damit versuchen, den Original-BB von Zyl 40 zu holen. VT schreibt dann die Dos0-Kennung und $370 neu. Danach wird die BB-CheckSum neu berechnet. Diesen BB koennen sie dann mit Speicher-BB zurueckschreiben oder im File-Req abspeichern. Vielleicht haben Sie Glueck und ihre Disk bootet wieder. Der Fehler auf Zyl 40 kann aber NICHT behoben werden. Auf Festplatte arbeiten Sie bitte so NICHT. Holen Sie das Backup des Rigid-Bereichs hervor (das haben Sie doch oder ???) und schreiben Sie den Rigid-Bereich mit ihrer Kontroller-Software (ist mir lieber so) oder wenn es gar nicht anders geht mit VT- Restore zurueck. Erkennung und Loeschung mit VT2.51 getestet: Speicher 19.03.93 BB 19.03.93 BlockITest 19.03.93 BlockKette 19.03.93 hole O-BB 21.03.93 - ZOMBI I-Virus Cool, im Prg DoIo, immer ab $7A000 fordert trackdisk.device NICHT Vermehrung: BB Schaeden: Sobald die Zaehlzelle den Wert $F erreicht hat: - RootBlock und Bitmapblock neu schreiben !!!! - Name der Disk dann: Zombi I - Textausgabe mit DisplayAlert Text wird decodiert nach $70000 mit eori.l #$AAAAAAAA,(A0)+ >>>>> Hello AMIGA User !!!!! <<<<< HERE IS ZOMBI I If you want to clean your Disks use Zombie I without risks ! Da der BitMapBlock immer nach $371 geschrieben wird, was aber im DOS nicht zwingend festgelegt ist, kann ein File, das beim Block $371 beginnt, zerstoert werden. Alle Hashwerte im Root- Block werden auf Null gesetzt. Beim BitMapTest erkennen Sie diese Disk am Namen Zombi I ab $1B0. Rettung: DiskDoc oder DiskSalv aufrufen. - ZSPEED-Virus File Laenge ungepackt: 9556 gefunden in Archiv: XPRZSPEED.LHA 8703 Von der Definition kein Virus, da keine Vermehrung, sondern Zerstoerungs-File gegen AmiExpress (BBS). Also KEINE Gefahr fuer den Normal-User. Empfehlung: einfach loeschen UND s.seq aendern !!! lesbarer Textauszug am Fileende: 00000058 0000005A 06060000 5850522D ...X...Z....XPR- 53706565 64657220 56332E32 202D2041 Speeder V3.2 - A 43544956 45202D20 30343A31 33424253 CTIVE - 04:13BBS 64656C65 74652062 62733A23 3F20616C delete bbs:#? al 6C626273 3A446970 5F696E5F 44554445 lbbs:Dip_in_DUDE .... 4746412D 42415349 43000000 00000000 GFA-BASIC....... Versucht in doc zu taeuschen: This tool was coded in order to improve your Z-Modem transfers. And it works really good in 30 % of our TEST-Downloads there was an acceleration of nearly 6-7 % !!! Fileerkennung mit VT getestet : 08.10.92 WICHTIG: wird von VT im Speicher NICHT gefunden !!!!! Deshalb sollten Mailbox-Betreiber ab und zu in vt/listen/task suchen nach: $003ae000 wait process Background CLI [xprzspeedV3.2.exe] Schadensverlauf: - soll mit run gestartet werden - gibt dann im cli aus: XPR-Speeder V3.2 - ACTIVE - oeffnet nur einen Port OHNE Namen (deshalb auch keine Speichererkennung mit VT vgl. VT/Listen/Port) - wird um 04:13 Uhr (Nacht) aktiviert - delete bbs:#? all - holt delete (zumindest bei mir wird in Sys: danach gesucht) - loescht alle Files in bbs: - loescht ram:temp - legt Dip_in_DUDE neu an - vergroessert dieses File bis die Partition voll ist - dann ein System-Requester bbs voll - dieses File enthaelt bei mir nur Muell und die geloeschten Filenamen - erkannte Virenfinder: ===================== teilweise KickRomV1.2, haeufig mit Bootblock-Schreibzugriff, veraltet, resident, werden nach Abfrage geloescht - ACID Terminator V3.0 AntiVirusBB nicht fuer KS2.04 geeignet, da absolute Werte geschrieben werden. Empfehlung deshalb: loeschen - AmigaDOS Viruskiller V2.1 immer ab 7F3F0, resetfest verbiegt DoIo, KickTag, OpenOldLib, und im Prg OpenWindow Schreibt in CLI-Leiste AmigaDOS Viruskiller 2.1 meldet veraenderten Bootblock und bietet BB-AmigaDOS an. GURU mit KS2.04 deshalb Empfehlung loeschen - Anti-Virus_Boot V1.1 c1991 by Hoeppelsoft KickTag, KickMem, KickCheckSum bei Erstinstallierung: gruener Bildschirm bei Reset : Bildschirm mit blauen Streifen eigentlich harmlos, aber: verhindert bei mir mit KS2.04 booten von Festplatte Empfehlung deshalb : loeschen - ASS VirusProtector V1.0 (KickV1.2, Tonfolge) FastMem ja, KickTag, KickCheckSum, Vec5 6e6b7320 746f2074 68652041 53532056 nks to the ASS V 49525553 2050524f 54454354 4f522056 IRUS PROTECTOR V 312e3020 2a2a2a00 00000000 00000000 1.0 ***......... - Blizzard Protector V1.0 testet Cool, Vec3, falls veraendert wird ohne Warnung eigener BB geschrieben (verwendet dazu ueber den verbogenen CoolVector das andere Prg (jsr 82(a0)) Empfehlung: loeschen - BlizzPro V3.1 cool, Fastmem ja, im Prg. closedevice (oh, was neues) Vermehrung: ueber BB erkennt einige Viren, schreibt aber KS1.2 DoIo zurueck Meldung ueber DisplayAlert unverschluesselter Text im BB: BlizzPro V3.1 und Virennamen - BlizzPro V3.3 Cool gegenueber BlizzPro V3.1 verschoben NICHT mit KS2.04 kein Virus = Bildschirm gruen sonst s.o. unverschluesselter Text im BB: BlizzPro V3.3 und Virennamen Empfehlung: sofort loeschen - CLONK! DoIo, KickMem, KickTag, KickCheckSum, SumKickData nur 512KB Chip (oder resetfestes 1MB), da zur Aktivierung immer ein Reset ausgefuehrt wird. (7D042 nach $80, TRAP 0) Ursprungsprogramm: Clonk! (Alcatraz) - DISKGUARD v1.0 cool, im Prg DoIo, immer $7FA00 Vermehrung: ueber BB Meldung fremder BB.e: mit DisplayAlert schreibt immer DoIo von KS1.2, Folge: Guru mit KS1.3 Empfehlung: loeschen - Exterminator 2 cool, im Prg DoIo FastMem: nein KS2.04: nein Empfehlung deshalb: L=loeschen - H.C.S I veraendert cool, im Prg DoIo, loescht KickTag im Speicher immer ab $7EC00 Vermehrung: jeder DOS-BB ohne Warnung !!!! 4F4C4420 482E432E 5320414E 54492D56 OLD H.C.S ANTI-V 49525553 202D2048 2E432E53 20273432 IRUS - H.C.S '42 3230202A 2A2A0000 00607E2A 2A2A2042 20 ***...`~*** B - H.C.S II veraendert cool laenger als HCS1 erkennt einige alte BBViren ( Alertmeldung ) beim ersten Bootblockschreiberfolg wird noch der DoIo-Vector verbogen und bleibt verbogen bei leerem Laufwerk blinkt PowerLed - Outlaw-VirusChecker keine Vermehrung, erkennt SCA. Schreibt aber immer KS1.2 Werte (z.B. Vec5 $fc12fc) zurueck. Folge: GURU mit KS1.3 nicht resident Empfehlung: loeschen - M&U V5.5 u. V6.1 KickTag, KickCheckSum immer $7F400 nach Reset auch DoIo, prueft die Standard-Vektoren und springt bei der Erstinstallation, falls diese nicht 0 sind, ins ROM zum Reset. Fehler: or.l $550(a6),d0 (richtig:$226) Stand: Feb. u. Maerz 90 Empfehlung deshalb: sofort loeschen - MemClear.BB Cool $7F0AE Keine Vermehrung, KS2.06: ja Empfehlung: Loeschen Setzt Reset-Vektoren auf Null und verbiegt dann Cool wieder Namensbegruendung: im BB uncodiert zu lesen 203e204d 656d6f72 79436c65 6172426f > MemoryClearBo 6f745631 2e323520 otV1.25 - Monkey-Killer AssProt-Clone Empfehlung loeschen s.o. Endlich hat es jemand geschafft den Text abzuaendern. Leider erkennt VT diesen BB weiterhin als ASS-Prot.BB . - NO BANDIT soll ByteBandit am Bootblockbefall hindern Text: NO BANDIT ANYMORE! R.T. Empfehlung: loeschen - Sherlock AntiVirenBB , Cool, DoIo, resident im Speicher, im Speicher immer ab 7FA00, benutzt zusaetzlich 7CA00, Textausgabe mit DisplayAlert schreibt bei mehr als 512KB BeginIo an falsche Stelle, Empfehlung: loeschen Hinweis: 04.03.92 (Brief) soll Disks zerstoeren. Getestet: nicht aufgetreten - SystemZ V3.0, 4.0, 5.0, 5.1, 5.3, 5.4, 6.1, 6.3, 6.4, 6.5 KickTag, KickCheckSum, loescht Cool, im Prg. DoIo Melodie und Farbbalken ab 6.3 keine speicherabsolute Adresse mehr neuer Name Virusprotector (meldet sich vor Schreibzugriff) z.B. : 20535953 54454D20 5A205649 52555320 SYSTEM Z VIRUS 2050524F 54454354 4F522056 342E3020 PROTECTOR V4.0 - Trackers Antivirus V1.2 blauer Streifen, helle Schrift 2 alte absolute ROM-Einspruenge Empfehlung deshalb: sofort loeschen - VIRUS HUNTER Kicktag $7F300, KickCheckSum $7F307 immer ab $7F300 war ein AntiVirusBB fuer KS1.2 Empfehlung heute: sofort loeschen Begruendung: direkte RomEinspruenge jsr $FC06DC, $94(a6)=$FC12FC, schreibt nach $238(a6) dieser Teil wird aber seit KS2.04 genutzt !!! usw. - Virus-Killer KickMem, KickTag, KickCheckSum - VIRUS SLAYER V1.0 Cool, DoIo, im Speicher immer $7FA00 nur KS1.2 da DoIo absolut ROM veraltet, Empfehlung: loeschen Vermehrung: ueber BB - ZVirusKiller V1.5 BB KickTag, KickCheckSum, veraltet Empfehlung: loeschen Text: ZViruskiller V 1.5 usw. - harmlose Programme: =================== - ANTI-Disk-Validator Laenge: 1848 Bytes in einen Disk-Validator von WB1.3 wurde das Wort ANTI ein- gebaut. Ueber diesen String wird mit bra.s hinweggesprungen. Die zusaetzlichen 8 Bytes werden wieder eingespart durch die Umwandlung von zwei Longs in Short im weiteren Programm. Dieses Programm ist harmlos. Um aber das Durcheinander bei den Disk-Validatoren gering zu halten, empfehle ich: LOESCHEN !!!!! - PowerUp ein GagPrg. Laenge: 800 Bytes KEIN Virus !!!!!! keine verbogenen Vektoren. Kein Schreibzugriff Empfehlung: loeschen Ablauf: - nach dem Start wird ein PrgTeil decodiert mit eori.b #$AB,(a0)+ - in der shell erfolgt die Ausgabe: PowerUp ist installiert. Viel Spaß!!! - promptzeichen kommt NICHT - 1. Zeitschleife (dosDelay) laeuft an. - Ausgabe ueber AutoRequest Achtung! PowerUp wurde entfernt, da der Rechner zu heiß wurde. Neue Installation erst nach Abkühlung der Logik-Chips möglich! Oh, schade Oh, schade - Nach Mausklick immer noch kein prompt - 2. Zeitschleife laeuft an - DisplayAlert A P R I L , A P R I L !!! - Nach Mausklick erscheint Prompt-Zeichen - schaedliche Programme: ====================== - Blieb6 Laenge: 7612 Oeffnet dh0:bbs/config1 oder dh1:bbs/config1 und verlaengert das File auf 1972 Bytes. Versucht dann explode.library zu laden, um sich selbst weiter zu entpacken. Dabei erscheint bei mir sofort der GURU auf jedem Test-Rechner und bei jeder KS . Falls Sie mehr Glueck haben, bitte eine Nachricht. Danke - BootblockMassacre gepackt: 9592 bietet install von verschiedenen alten BB-Viren (1988) Wird von VT NICHT erkannt, da SIE gewollt die Viren installieren muessen. Das Prg. wird von selbst NICHT aktiv !!!!! - BootX5.02 gibt es noch gar nicht (Stand:26.06.92) Jemand mit Filemonitorkenntnis hat mehrmals das Wort Porky eingebaut. Sofort loeschen - ByteWarriorCreater gepackt: 6012 Bytes (TNM) ungepackt: 7360 Bytes Erzeugt mit Fastmem eine NDOS-Disk Ohne Fastmem wird der ByteWarrior in den Bootblock geschrieben - DAG_Creator ungepackt: 7000 Bytes anderer Name: Infector V2.0 gepackt:4956 schreibt DAG-Virus in BB von df1: - Disk.info Laenge: 370 Bytes KEINE Vermehrung Ein OriginalWB1.3-Icon wurde in der Struktur geaendert. (Text eingebaut z.B. This is a little present for all Lamers abroad ). Sobald Sie diese Disk einlegen und es muesste das Disk-Icon auf der WB angezeigt werden, stuerzt der Rechner ab. Haben Sie die Startup-Sequence im Cli abgebrochen, so muss kein Icon dargestellt werden und deshalb koennen Sie mit dieser Disk ohne Probleme arbeiten. AbHilfe: Ersetzen Sie Disk.info . - DiskRepair V2.6 Laenge:37740 Schreibt nach dem ersten Scandurchgang einen LEEREN RootBlock mit Namen PHOENIX . Beim 2. Durchgang werden aber dann die Files wieder eingetragen. ABER !!!!! es wird immer ein nicht ausfuehrbarer BootBlock geschrieben ??? Der Fehler liegt nach meiner Meinung im File bei $80d0 . Ich rate also von diesem Prg. ab !!! - DM-Trash 06.08.92 gegen AmiExpress ??? wird von VT NICHT erkannt dm-tr.lha 5135 Bytes entpackt: dm-trash 4764 Bytes folgender Text (doc) ist enthalten: New virus ...caused by the new FIXED (?) Version of DMS 1.11 Turbo! It is some kind of linkvirus and uses Devices like DH0:, LIBS:, and BBS: (!!) usw. Eigene Versuche mit FangFiles (habe AmiExpress nicht) haben ergeben, dass eben von dm-trash folgende Files veraendert wer- den: bbs:config1 bbs:user.data bbs:user.key Die Files wurden verlaengert. dm-trash. Vermutlich soll ein Superlevel fuer einen Boxzu- gang geschaffen werden. Also fuer normale Amiga-User kein Problem. - Guardian.DMS sofort loeschen Nach dem Entpacken auf Disk entsteht guardian.config, startup-sequence und andere Files. Gefaehrlich: guardian.config v1.0 dh0:bbs/ v1.0 dh1:bbs/ 2 - v1.0 ist in c auf der Disk ein umbenannter delete-Befehl startup-sequence echo " " echo " GUARDIAN MULTITOOL INSTALL " echo " " echo "Please wait" v1.0 dh0:bbs/user.data v1.0 dh0:bbs/user.keys v1.0 dh0:bbs/config1 v1.0 dh0:s/startup-sequence check drive dh0: Name Guardian-Multi wait 3 echo " " echo "Operation complete " - check ist in c auf der Disk ein umbenannter format-Befehl - Infect Laenge ungepackt: 1384 schreibt File (z.B. BB) in BB eines LW's DFx kann sowohl positiv als auch negativ genutzt werden - Infector V2.0 = DAG_Creator s.o. - Keeper V2.0 gepackt: 34272 Bytes Hat einige Viren zum installieren FEST eingebaut. - Lhwarp_V1.40 Laenge: 47880 Bytes (ungepackt) Hinweis eines Users: mit Impl: 24788, mit PP: 27828 Schreibt bei mir auf Zieldisk, falsche DiskStruktur beim Entpacken. Disk dann unbrauchbar. Bitte fuehren Sie aber mit unwichtigen Disks selbst Tests durch und testen Sie mit BlockKette. - LZ 2.0 Hinweis: Stand 21.09.91 In Boxen ist ein LZ2.0 aufgetaucht, mit Laenge 37380 Bytes entpackt. Muss sich um einen Patch handeln und soll Archive zerstoeren. Hab ich, wird aber von VT nicht erkannt. Die hoechste OriginalVersionsNummer von LZ war am 22.09.91 LZ 1.92 . - Show Sysops Util 06.08.92 wird von VT NICHT erkannt Laenge: 5780 entpackt: 7860 Sucht nach BBS:USER.DATA und gibt Daten am Bildschirm aus. An einem FangFile konnten keine Veraenderungen festge- stellt werden. Dies kann aber bei einem Mailboxprg. anders sein. Fuer normale Amiga User nach meiner Meinung keine Gefahr und Sysops wissen sich zu helfen oder ?? - Sysinfo V2.2 PP: 3928 ungepackt: 5656 enthaelt: delete BBS:#? all (gegen AmiExpress) wird von VT NICHT erkannt Diese Funktion konnte ich bei Tests auf keinem Amiga-Typ, mit dem ich testen kann, ausloesen. Das Programm belegt Speicher und zeigt dann sehr schnell den GURU bei irgendeiner Arbeit auf der WB. Falls Sie mehr "Glueck" haben, bitte eine Nach- richt. Danke 793F0000 0D0A5379 7374656D 496E666F y?....SystemInfo 2056322E 320D0A00 0A506C65 61736520 V2.2....Please . .... 3A320000 64656C65 74652042 42533A23 :2..delete BBS:# 3F20616C 6C202054 3A340000 000003F2 ? all T:4..... - Sysinfo V1.1 (Original) ungepackt: 5680 enthaelt NICHT !!! : delete BBS:#? all also auch kein Zerstoerungsprogramm gegen AmiExpress !!! 303B316D 53797374 656D496E 666F2056 0;1mSystemInfo V 312E3120 28432920 496F616E 6E697320 1.1 (C) Ioannis 43686174 7A69616E 6472656F 752C2031 Chatziandreou, 1 3939302C 20426F63 68756D20 4652471B 990, Bochum FRG. - uinfo Laenge:13048 wird von VT NICHT erkannt Sucht nach AEDoorPort (AmiExpress ???) und Userdaten. Also fuer NormalUser ohne MailBox keine Gefahr. 10.09.92 - Virusconstructionset Laenge gepackt (PP): 10192 Bytes Sie werden aufgefordert, einen max 60 Zeichen langen Display- Alert-Text einzugeben. Den erzeugten BB koennen Sie dann auf Disk in DF0: abspeichern. Das Programm wird von VT nicht er- kannt, da es ohne Absicht keinen Schaden anrichten kann. Der erzeugte BB wird erkannt. - Virusmaker V1.0 erzeugt nach Wahl: Byte Bandit, Byte Warrior, S.C.A., North- Star 1+2, System Z - X-Ripper V1.1 Laenge: 41360 Bytes (ungepackt) erlaubt mit inst 5 das Schreiben eines Lamer-BBs. Es wird aber eine NDos-Disk daraus, weil die DOS0-Kennung um 8 Bytes verschoben angelegt wird. Programme gegen BBS, die ich nicht besitze. Bitte zusenden.Danke / ---> Date And Time Uploaded -- Mon 01-Feb-93 2:34:10 PM <--- \ ----------------------------------------------------------------------------- WARNING ! DO NEVER RUN THE FILE "KILLKIM.EXE" ON YOUR BBS COMPUTER !!! IT LOOKS FOR THE USER.DATA,USER.KEYS, STARTUP-SEQUENCE & EXPRESS MAINFILE AND FILLS THEM WITH THE FOLLOWING TEXT: --------------CUT HERE------------------ STARTUP-SEQUENCE SUCCESSFUL DESTROYED!!! --------------CUT HERE------------------ --------------CUT HERE----------------- USER.KEYS SUCCESSFUL DESTROYED !!! --------------CUT HERE----------------- AND SO ON. THEN IT RUNS AN APPENDED LSD INTRO. TO THE LAMER WHO 'CODED'[IT WAS COMPILED AREXX] THAT STUFF:LOOKS PRETTY LAME IF THERE'S A REQUESTER ON SCREEN "PLEASE INSERT VOLUME BBS: IN ANY DRIVE"... I WOULD AT LEAST CHECK IF BBS: ACTUALLY EXISTS ! CYCLONE/DUAL CREW / ---> Date And Time Uploaded -- Sun 31-Jan-93 1:31:54 PM <--- \ ----------------------------------------------------------------------------- ------------------------------------------------------------------------- WARNING ! WARNING ! WARNING ! WARNING ! WARNING ! WARNING ! WARNING ! ------------------------------------------------------------------------- THE FILES JISMTRO.EXE IS A TROJAN ! IT CREATES A FILE IN AREA 2 UPLOAD DIR WITH THE NAME TSL-BBS.EXE !!!! DO NOT RUN IT ! ------------------------------------------------------------------------- Maerz 93: WARNiNG! A File Named 'TRSITW.EXE' Was Spread Some Days Ago, Labeled As A New TRSI Intro - This Is A Damn FAKE! And Even Worse It Has A BackDoor In It Which Tries To Open The File 'DH0:BBS/USER.DATA' ! After That It Looks For A User Called 'EASY-E' And Sets (If Existing) His UserLevel To 255 ! Whoever This Little Creep May Be : Give Him A Kick If Ya' Know Him ! ------------------------------------------------------------------------ April 93: Es ist ein Gfa-Basic-Programm aufgetaucht, das angeblich verschiedene Link-Viren erzeugt. VCS Laenge PP-crunched: 30276 VCS.info Laenge: 459 VCS.data Laenge: 23632 VCS1.data Laenge: 12536 Nach IHRER muehevollen, aber leider vergeblichen Arbeit, wird auf der Disk in df0 ein File mit Namen Tasten-Text erzeugt. Hallo Virustown ! Es ist Sommerzeit und der 1.April Aber vielleicht ist ja doch ein Virus da ? SCHAU DOCH MAL IN DER UHR NACH ?!!? Hier ne Tastenkombination: linke Hand: alt,ctrl,q,4,v rechte Hand: Enter,8,Alt,Help,ü Nase: F6 Zunge: z Ich finde den "GAG" nicht so stark und denke die erste geloeschte Festplatte, laesst diesen Programmierer mit seiner SINNLOSEN Arbeit, anders denken. -------------------------------------------------------------------------- Heiner Schneegold Am Steinert 8 8701 Eibelstadt (W-Deutschland) Tel: 09303/8369 (19.00 - 20.00 Uhr) Heiner