home *** CD-ROM | disk | FTP | other *** search

---

/ Crawly Crypt Collection 1 / crawlyvol1.bin / utility / virus / atarivir / atarivir.789

< prev

next >

Wrap

Text File  |  1986-02-04  |  18KB  |  321 lines

---

1. ========================================================================
2. ==                    Computer Virus Catalog                          ==
3. ========================================================================
4. ==        Status:        July 31, 1989 (Version 1.2)                  ==
5. ==        Classified:  9 MSDOS-Viruses (MSDOSVIR.789)                 ==
6. ==                    16 AMIGA-Viruses (AMIGAVIR.789)                 ==
7. ==                     5 Atari-Viruses (ATARIVIR.789: this document)  ==
8. ========================================================================
9. = This document contains the classifications of the following viruses: =
10. ==                                                                    ==
11. ==             1) c't Virus                                           ==
12. ==             2) Emil 1A Virus = "Virus 1A"                          == 
13. ==             3) Emil 2A Virus = "Virus 2A"                          ==
14. ==             4) Mouse (Inverter) Virus                              ==
15. ==             5) Zimmermann-Virus                                    ==
16. ========================================================================
17. ==  Editor:   Virus Test Center, Faculty for Informatics              ==
18. ==            University of Hamburg                                   ==
19. ==            Schlueterstr. 70,  D2000 Hamburg 13, FR Germany         ==
20. ==            Prof. Dr. Klaus Brunnstein, Simone Fischer-Huebner      ==
21. ==            Tel: (040) 4123-4158 (KB), -4715 (SFH), -4162(Secr.)    ==
22. ==  Email (EAN/BITNET): Brunnstein@RZ.Informatik.Uni-Hamburg.dbp.de   ==
23. ======================================================================== 
24. ==  Critical and constructive comments as well as additions are       ==
25. ==  appreciated. Especially, descriptions of recently detected viruses =
26. ==  will be of general interest. To receive the Virus Catalog Format, == 
27. ==  please contact the above address.                                 ==
28. ========================================================================
29.  
30.  
31. ===== Computer Virus Catalog 1.2: c't-Virus (July 30, 1989) ============
32. Entry...............: c't Virus 
33. Alias(es)...........: ---  
34. Virus Strain........: ---
35. Virus detected when.: ---
36.               where.: ---
37. Classification......: System (=BootSector) Virus, Reset-resident.
38. Length of Virus.....: 512 Byte
39. --------------------- Preconditions ------------------------------------
40. Operating System(s).: ATARI-TOS
41. Version/Release.....: 1.0 (06.02.86), 1.2 (TOS 1.4 not tested)
42. Computer model(s)...: All types of the Atari ST Series
43. --------------------- Attributes ---------------------------------------
44. Identification......: ---
45. Type of infection...: The virus tests two longwords near the top of the
46.                       available memory at locations (memtop)-$200 and
47.                       (memtop)-$200+$A.
48.                       The first longword is checked for $12123456, the
49.                       second one for $07A31CDF. If one of these doesnot
50.                       match, the virus is installed.
51.                       The virus is reset-resident.
52.                       1st: Virus is copied to a new location in memory;
53.                       2nd: Virus's age is increased by 1.
54. Infection Trigger...: Each time a diskette is changed, the new one
55.                       will be infected.
56. Storage media affected: Infects only diskettes. Damages Hard disks.
57. Interrupts hooked...: No interupts used.hdv_bpb and hdv_mediach vectors 
58.                       are changed for installation in the system.
59. Damage..............: Transient/Permanent damage:
60.                       A damage can occur only if a harddisk is connected 
61.                       to the system. Because of an error in the virus, 
62.                       the partition information will be destroyed, if 
63.                       the virus tries to write to the harddisk.
64.                       Otherwise, the following message is displayed on 
65.                       the screen after every 20th infection:
66.                       "ARRRGGGHHH Diskvirus hat wieder zugeschlagen" 
67. Damage Trigger......: Value of infection counter: every 20th infection.
68. Particularities.....: ---
69. Similarities........: ---
70. --------------------- Agents -------------------------------------------
71. Countermeasures.....: Programs that calculate the checksum and change 
72.                       it, if it is $1234; the sector is then regarded as 
73.                       not executable. (Category 1.3)
74. Countermeasures successful: ---
75. Standard means......: Write-protect the disk. Write a well-known program
76.                       to the boot sector; 'manually' change the check-
77.                       sum to a value other than $1234 .
78. --------------------- Acknowledgement ----------------------------------
79. Location............: Virus Test Center, University Hamburg, FRG
80. Classification by...: 
81. Documentation by....: Michael Gaudlitz          
82. Translated by.......: Bert K④hler  
83. Date................: July 30, 1989
84. Information Source..: c't (Computer Magazine)                              
85. ===================== End of c't Virus =================================
86.  
87.  
88. ===== Computer Virus Catalog 1.2: Emil 1A Virus (July 30, 1989) ========
89. Entry...............: Emil 1A Virus  
90. Alias(es)...........: "Virus 1A"
91. Virus Strain........: ---
92. Virus detected when.: 1987? 
93.               where.: FR Germany
94. Classification......: System (Boot Sector) Virus
95. Length of Virus.....: 512 Byte
96. --------------------- Preconditions ------------------------------------
97. Operating System(s).: Atari-TOS
98. Version/Release.....: 1.0, 1.2 (1.4 not tested)
99. Computer model(s)...: All types of the Atari ST Series
100. --------------------- Attributes ---------------------------------------
101. Easy Identification.: Boot sector will not be infected, if first word 
102.                       is $6038.
103. Type of infection...: Infects the boot sector of the disk, if it is
104.                       regarded as not infected.
105. Infection Trigger...: Each time a floppy disk is changed, the new 
106.                       disk will be infected.
107. Storage media affected: Floppy disks.
108. Interrupts hooked...: No interrupts used; diskvector hdv_bpb changed.
109. Damage..............: Infects the boot sector of the disk, if it is 
110.                       regarded to be non-infected.
111.                       If the memory resident virus finds a fitting 
112.                       key on a boot sector (first longword = $60381092),
113.                       then that sector is loaded and executed, regard-
114.                       less of the checksum. (Normally, the checksum
115.                       should be $1234 to indicate that this boot sector
116.                       is executable).
117. Damage Trigger......: Keyword ($60381092) in other Boot sectors. 
118. Particularities.....: ---
119. Similarities........: See Emil 2A Virus.
120. --------------------- Agents -------------------------------------------
121. Countermeasures.....: Programs that calculate the checksum and 
122.                       change it, if it is $1234; then, the sector  
123.                       is regarded as not executable. The suspicious 
124.                       (dangerous) second part of the virus might 
125.                       not be recognized because it does not need
126.                       to have the proper checksum (see: Damage).
127. Countermeasures successful: --- 
128. Standard means......: Write protect the disk.
129.                       Write a well-known program to the boot sector;
130.                       'manually' change the checksum to a value other 
131.                       than $1234 .
132. --------------------- Acknowledgement ----------------------------------
133. Location............: Virus Test Center, University Hamburg, FRG
134. Classification by...: Thomas Piehl/ Michael Nagel
135. Documentation by....: Bert K④hler
136. Translated by.......: Bert K④hler/Paul Drake (Racal-Milgo/TEMEX)/
137. Date................: July 30, 1989
138. Information Source..: ---
139. ===================== End of Emil 1A Virus =============================
140.  
141.  
142. ===== Computer Virus Catalog 1.2: Emil 2A Virus (July 30, 1989) ========
143. Entry...............: Emil 2A Virus  
144. Alias(es)...........: "Virus 2A"
145. Virus Strain........: ---
146. Virus detected when.: 1987?
147.               where.: FR Germany
148. Classification......: System (Boot Sector) Virus
149. Length of Virus.....: 512 Byte
150. --------------------- Preconditions ------------------------------------
151. Operating System(s).: ATARI-TOS
152. Version/Release.....: 1.0, 1.2 (TOS 1.4 not tested)
153. Computer model(s)...: All ATARI ST Computer models
154. --------------------- Attributes ---------------------------------------
155. Easy Identification.. First byte in infected boot sector is $60.
156. Type of infection.... Infects the boot sector of a disk, if it is 
157.                       regarded as not yet infected (value other than
158.                       $60 in first byte) and increments a variable.
159. Infection Trigger...: Every access to non-infected floppy disk.
160. Storage media affected: Floppy disks.
161. Interrupts hooked...: No Interrupts used;
162.                       hdv_rw vector changed to infect new disks.
163. Damage............... Permanent Damage: overwrites Boot sectors.
164.                       Transient damage: After each 5th infection, the 
165.                       screen is randomly shifted (upside down) or
166.                       inverted, together with a beep.
167. Damage Trigger......: Random.
168. Particularities.....: Evidently, this is a "Demo Virus"; but it may 
169.                       easily be changed to a dangerous one with only 
170.                       moderate programming experiences.
171. Similarities........: See Emil 1A Virus.
172. --------------------- Agents -------------------------------------------
173. Countermeasures.....: Programs that calculate the checksum and change 
174.                       it, if it is $1234; then, the sector is regarded 
175.                       as not executable.
176. Countermeasures successful: --- 
177. Standard means......: Write protect the disk.
178.                       Write a well-known program to the boot sector;
179.                       'manually' change the checksum to a value other 
180.                       than $1234.
181.                       Reboot the system with a 'clean' disk.
182. --------------------- Acknowledgement ----------------------------------
183. Location............: Virus Test Center, University Hamburg, FRG
184. Classification by...: Ralf Stegen
185. Documentation by....: Ralf Stegen
186. Translation by......: Bert K④hler
187. Date................: July 30, 1989
188. Information Source..: ---
189. ===================== End of Emil 2A Virus =============================
190.  
191.  
192. == Computer Virus Catalog 1.2: Mouse (Inverter) Virus (July 11, 1989) ==
193. Entry...............: Mouse (Inverter) Virus 
194. Alias(es)...........: Ghost Virus 
195. Virus Strain........: ---
196. Virus detected when.: ---
197.               where.: ---
198. Classification......: System (BootSector) Virus, Overwriting.
199. Length of Virus.....: 512 Byte
200. --------------------- Preconditions ------------------------------------
201. Operating System(s).: ATARI-TOS 
202. Version/Release.....: All Version of TOS
203. Computer model(s)...: All types of the Atari ST Series
204. --------------------- Attributes ---------------------------------------
205. Easy Identification.: ---
206. Type of infection...: Self-Identification: The Virus tests adress $140
207.                       for the first Virus instruction; virus installs 
208.                       itself reset-resident in RAM and on boot sector,
209.                       if virus code does not match.
210. Infection Trigger...: Each time a new diskette is inserted, the virus
211.                       will infect the new diskette.
212. Storage media affected: The virus infects drives A,B and Harddisk C.
213. Interrupts hooked...: No Interrupts used.
214.                       Resetvector for installation changed.
215.                       hdv_bpb changed to infect Bootsector of new Disk.
216. Damage..............: Permanent Damage: Overwriting Bootsectors.
217.                       Transient Damage: Inverting Mouse Up-Down Moving-
218.                                         direction.
219. Damage Trigger......: Damage Action after 10 infections. Always after     
220.                       5 new infections, the Mouse Movingdirection is
221.                       again inverted.
222. Particularities.....: ---
223. Similarities........: ---
224. --------------------- Agents -------------------------------------------
225. Countermeasures.....: Programm that checks  hdv_bpb-,Reset-vector if
226.                       adress is not lower $400(Exception vectors) 
227.                       (Category 1.2).
228.                       Programs that calculate the checksum and change 
229.                       it, if it is $1234; the sector is then regarded 
230.                       as not executable. Reboot the system with a 
231.                       'clean' disk! (Category 1.3).
232. Countermeasures successful: Poke instruction 'move.l #$D6,d3' to 
233.                       adresse $140 (this excludes Virus' installation).
234. Standard means......: Write protect the disk.
235.                       Write a well-known program to the boot sector;
236.                       'manually' change the check-sum to a value other 
237.                       than $1234. 
238. --------------------- Acknowledgement ----------------------------------
239. Location............: Virus Test Center, University Hamburg, FRG
240. Classification by...: Thomas Piehl             
241. Documentation by....: Thomas Piehl             
242. Date................: July 11,1989
243. Information Source..: ---
244. ===================== End of Mouse (Inverter) Virus ====================
245.  
246.  
247. ===== Computer Virus Catalog 1.2: Zimmermann-Virus (July 30, 1989) =====
248. Entry...............: Zimmermann-Virus  
249. Alias(es)...........: ---
250. Virus Strain........: ---
251. Virus detected when.: 1988?
252.               where.: FR Germany
253. Classification......: Program Virus (Extending V.)
254. Length of Virus.....: 1414 Byte
255. --------------------- Preconditions ------------------------------------
256. Operating System(s).: ATARI-TOS
257. Version/Release.....: All versions
258. Computer model(s)...: All types of the Atari ST Series             
259. --------------------- Attributes ---------------------------------------
260. Easy Identification.: Infected System: The virus checks if the Trap 1-
261.                       vector points to a certain byte-sequence. Infected
262.                       programs are recognized by enlargement of the file
263.                       length and by typical virus specific code.
264. Type of infection...: Program virus: the virus code is appended at the
265.                       end of the program; the loader table is adjusted.
266. Infection Trigger...: Every time when a program is executed.
267. Storage media affected: Floppy disks only.
268. Interupts hooked....: VBL-Interupt for time control.
269.                       Trap #1 to control program start. 
270. Damage..............: Permanent Damage: the virus only infects files 
271.                       with extensions PRG, TTP and TOS in the current 
272.                       directory on drives A and B. The program's 
273.                       startup-time is considerably increased.
274. Damage Trigger......: ---
275. Particularities.....: After installation in the system, the virus is
276.                       distributed every time a program is started from 
277.                       disk A or B. Approximately 30 minutes after the 
278.                       installation, the virus generates a file, 50 bytes
279.                       long, with an unusual name consisting of special 
280.                       characters: "@^#%&   .(-: ".  The file is read-
281.                       only and contains the following text:
282.  
283.                       ";-) As MAD Zimmermann will be watching you )-;"
284.  
285.                       The characters at the ends of the line can be 
286.                       regarded as a happy face on the left and a sad 
287.                       face on the right side; probably kind of ASCII-
288.                       comic with political background: F.Zimmermann is 
289.                       a well-known conservative politician in FRG, and
290.                       a strong opponent of privacy and data protection; 
291.                       as former minister of Interior, he was responsible
292.                       for several intelligence agencies, though not for 
293.                       the German military intelligence service "MAD".
294. Similarities........: ---
295. --------------------- Agents -------------------------------------------
296. Countermeasures.....: The virus can be detected in and removed from  
297.                       infected files by 'Zimmermann Virusfilter 
298.                       Program', written by Thomas Piehl (see below).
299. Countermeasures successful: 4DETECT detects the Zimmermann-Virus, if you 
300.                       set 'System Supervision' to 'On'; 4DETECT then
301.                       tells when the trap #1 vector is changed. 
302.                       4DETECT also supervises suspicious write accesses
303.                       to boot sectors and program files.
304. Standard means......: Write-protect the disk.
305. --------------------- Acknowledgement ----------------------------------
306. Location............: Virus Test Center, University Hamburg, FRG
307. Classification by...: Thomas Piehl           
308. Documentation by....: Thomas Piehl
309. Translated by.......: Bert K④hler
310. Date................: July 30, 1989
311. Information Source..: ---
312. ===================== End of Zimmermann-Virus ==========================
313.  
314.  
315. ========================================================================
316. ==                  End of ATARIVIR.789 document                      ==
317. ==              (380 Lines, 1749 Words, 18k Bytes)                    ==
318. ========================================================================
319.  
320.  
321.