home *** CD-ROM | disk | FTP | other *** search
/ Amiga Plus 1997 #1 / Amiga Plus CD - 1997 - No. 01.iso / pd / anti-virus / vttest2 / schutz / vt2.85d-kurz < prev    next >
Text File  |  1985-07-26  |  4KB  |  97 lines
  1.  
  2.  
  3.    Heiner Schneegold
  4.    Am Steinert 8
  5.    97246 Eibelstadt
  6.    (Deutschland)
  7.  
  8.    Tel: 09303/99104
  9.    (19.00 - 20.00 Uhr)
  10.    EMail: Heiner.Schneegold@t-online.de
  11.  
  12.  
  13.   letzte Aenderung: 16.06.96
  14.  
  15.   Aenderungen seit VT2.84     VT-Laenge: 312580 Bytes
  16.  
  17.    WICHTIG !!!!!
  18.       Um Linkviren SICHER zu finden, die sich HINTER
  19.       den 1.Hunk linken, MUESSEN Sie FileTest auf-
  20.       rufen !!!
  21.    Hinweis: Die Texte mussten mit Powerpacker-Data
  22.       behandelt werden, da sonst der Platz auf der Disk
  23.       nicht mehr gereicht haette. Im C-Verzeichnis sollte
  24.       ein muchmore liegen, das PP-Data lesen kann.
  25.    Hinweis: VT.xyz muss nach RAM oder Fastfilesystem-880k-
  26.       Disk entpackt werden, sonst reicht der Platz nicht.
  27.  
  28.    - Hitch-Hiker-2-Virus               15/16.06.96
  29.         (Link)
  30.  
  31.  
  32.     Kopieren Sie bitte VT2.85 auf ihre Festplatte oder Disk (empfohlen).
  33.     Vergessen Sie bitte nicht in der startup-sequence VT2.85 einzutragen,
  34.     falls Sie auf eine Boot-Disk kopieren. Die Virus-Beschreibung
  35.     schneiden Sie bitte aus und fuegen den Text in VTkennt_A-K ein.
  36.     Danke
  37.  
  38.    - Hitch-Hiker-2-Virus     Link
  39.          Bekannte Archive:
  40.          DMS 2.40 Update
  41.          DeluxeGalaga   VersionsNr. unbekannt
  42.          Fileverlaengerung: 1848-1908 Bytes in Abhaengigkeit von $DFF007
  43.          Ab KS 2.04
  44.          Verbogene Vektoren LoadSeg, Write
  45.          Geaendert: LastAlert $BADC0DED
  46.          Nicht Resetfest
  47.          Das Teil meldet sich nicht.
  48.          Codierung in Abhaengigkeit von $DFF007
  49.          Decodiert ist im Linkteil zu lesen:  
  50.             54686520 48697463 682d4869 6b65720a The Hitch-Hiker.
  51.             47656e65 72617469 6f6e3a20 30303030 Generation: 0000
  52.             30313233 0a2d2056 65727369 6f6e2032 0123.- Version 2
  53.             2e30310a 0a0a5468 616e6b73 20666f72 .01...Thanks for
  54.             20746865 20526964 652c204d 69737465  the Ride, Miste
  55.             7221210a 00000000                   r!!.....
  56.          Einbau im Speicher:
  57.          LastAlert (202(a6)) wird auf $ABBAFAB4 und $BADC0DED ueberprueft.
  58.          Falls ja -> Ende .  LoadSeg und Write wird verbogen. in LastAlert
  59.          wird BADC0DED geschrieben.
  60.          Link an File hinter 1.Hunk:
  61.          Speichermedium validated und mind. #10 Blocks frei
  62.          File ausfuehrbar (3F3)
  63.          CodeHunk (3E9) wird gefunden
  64.          Bei Filenamen KEIN Test auf bestimmte Buchstaben
  65.          Es wurde im Viruscode zwar eine Laengenbegrenzung gefunden, aber
  66.          diese Grenze wurde auf 68040 MEHRFACH ueberlaufen bei Test-Ver-
  67.          mehrungen.
  68.          move.l 4,a6 (6 Bytes), move.l 4.w,a6 (4 Bytes) oder RTS wird im
  69.          1.Hunks gefunden.
  70.          Der Abstand von diesem Punkt zum Originalende des 1. Hunks
  71.          ist nicht groesser als $7FFF (bei move) oder $7F (bei RTS).
  72.          Falls diese Bedingungen zutreffen, wird der move.l 4-Befehl
  73.          durch einen BSR-Befehl ($6100uvwx) ersetzt. Falls der Original-
  74.          Befehl sechs Bytes lang war, wird noch ein NOP gesetzt, um die
  75.          Laenge anzugleichen. Der RTS-Befehl wird durch einen BRA.s-Befehl
  76.          ($60uv) ersetzt.
  77.          Es koennen auch MEHRERE Spruenge erzeugt werden.
  78.          VT schreibt IMMER move.l 4.w,a6 zurueck, d.h. es koennen
  79.          im 1.Hunk NOPs verbleiben, welche im Originalfile nicht vorhan-
  80.          den waren. Das macht NICHTS . Die Filelaengen des Originalfiles
  81.          und des ausgebauten Files muessen aber uebereinstimmen !!!!
  82.          VT kann am verseuchten File nicht feststellen, ob das NOP vom
  83.          Programmierer gewollt war, oder vom Virusteil erzeugt wurde.
  84.          Der BRA.s-Befehl sollte von VT durch ein RTS ersetzt werden
  85.          (auch mehrfach).
  86.          Mehrfach-Links an ein File konnten NICHT erzeugt werden.
  87.          Hinweis: Falls Ihre Festplatte sehr verseucht ist, gehen Sie
  88.          bitte in Sp->File->Sp, waehlen ein Unterverzeichnis (z.B. c)
  89.          und klicken dann auf DirFTest. Gehen Sie danach weitere Unter-
  90.          verz. (libs usw.) durch.
  91.  
  92.  
  93.     Heiner
  94.  
  95.     Amiga ist ein eingetragenes Warenzeichen der ESCOM AG
  96.  
  97.