home *** CD-ROM | disk | FTP | other *** search

---

/ Amiga Plus 1999 #2 / Amiga Plus CD - 1999 - No. 2.iso / System-Boost / Virus / VTTest3 / Schutz / VT3.10d-kurz

< prev

next >

Wrap

Text File  |  1998-11-15  |  12KB  |  266 lines

---

1.  
2.    Heiner Schneegold
3.    Am Steinert 8
4.    97246 Eibelstadt
5.    (Deutschland)
6.  
7.    Tel: 09303/99104
8.    (19.00 - 20.00 Uhr)
9.    EMail: Heiner.Schneegold@t-online.de
10.  
11.   letzte Aenderung: 98-11-08
12.  
13.   Aenderungen seit VT3.09    VT-Laenge: 380536 Bytes
14.  
15.    WICHTIG !!!!!
16.       Um Linkviren SICHER zu finden, die sich HINTER
17.       den 1.Hunk linken, MUESSEN Sie FileTest auf-
18.       rufen !!!
19.  
20.    - LOBOweird            (Installer)       98-Aug
21.  
22.    - LOBOweird            (Linkvirus)       98-Aug
23.  
24.    - LOBOsimple           (Linkvirus)       98-Aug
25.  
26.    - unpackJPEG-Trojan  (Zerstoerung)       98-Sept
27.  
28.    - POLISHPOWER-Virus    (Linkvirus)       98-Sept
29.  
30.    - fungus/lsd-LVirus   (Linkvirus)        98-Sept
31.  
32.    - POLISHPOWER-Virus Speichertest         98-11-06/07
33.  
34.  
35.   ------ bitte die Texte in VT.kennt.A-Z einfuegen --------
36.  
37.    - fungus/lsd-LVirus    Linkvirus
38.       moegliches Ausloeser-Archiv: M31H_CRK.LHA
39.            in diesem Archiv das File: Mui.MiamiGui #127360 Bytes
40.       Namensbegruendung:    
41.            Im decodierten LinkTeil ist zu lesen: 
42.            01ea536e 6f6f7044 6f732053 7570706f ..SnoopDos Suppo
43.            72742050 726f6365 7373003e 3e66756e rt Process.>>fun
44.            6775735c 6c73643c 3c007275 6e203e4e gus\lsd<<.run >N
45.            494c3a20 6e657773 68656c6c 20544350 IL: newshell TCP
46.            00313636 360043fa 01d42851 220c74fe .1666.C...(Q".t.
47.       Fileverlaengerung: #760 Bytes
48.       Nicht Resetfest
49.       Verbogene Vektoren: LoadSeg
50.       Speicherverankerung:
51.            - Test ob schon im Speicher ($261F)
52.            - Suche nach SnoopDos
53.            - Loadseg wird verbogen
54.       Linkvorgang:
55.            - mit LoadSeg
56.            - Medium validated
57.            - 3 Block frei
58.            - letztes Langwort im 1.Hunk enthaelt RTS (Problem s.u.) 
59.              z.B. sehr viele Befehle im c-Verzeichnis
60.            - RTS wird zu NOP
61.              Falls RTS an vorletzter Stelle, dann 2x NOP
62.            - Link hinter den 1.Hunk
63.            - das Teil codiert sich mit EOR
64.       Zusatz:
65.          Das Teil versucht mit DosExecute run >NIL: newshell TCP
66.          auszufuehren. Falls VT das Teil im Speicher findet, sollten
67.          Sie vielleicht besser Internetzugriffe vermeiden, bis Sie
68.          ihre Files alle gesaeubert haben.
69.       Ausbauprobleme:
70.          letztes Langwort:
71.            a)      vor Virus:   wxyz4e75
72.                   nach Virus:   wxyz4e71
73.               nach VT-Ausbau:   wxyz4e75    also kein Problem  
74.            b)      vor Virus:   4e750000
75.                   nach Virus:   4e714e71
76.               nach VT-Ausbau:   4e750000    also kein Problem                    
77.            c)      vor Virus:   4e754e71
78.                   nach Virus:   4e714e71
79.               nach VT-Ausbau:   4e750000                         
80.            d)      vor Virus:   4e714e75
81.                   nach Virus:   4e714e71
82.               nach VT-Ausbau:   4e750000                          
83.            e)      vor Virus:   4e75wxyz
84.                   nach Virus:   4e714e71
85.               nach VT-Ausbau:   4e750000
86.         Fall c-e ist keine Orginalrettung moeglich, da nicht erkannt
87.         werden kann, welches NOP (4e71) durch RTS (4e75) ersetzt werden
88.         muss. Das Virusteil nimmt hier auch keine Rettung vor.
89.         Fall c und d sind harmlos, da ein NOP vor oder nach RTS, die
90.         Lauffaehigkeit des Programms nicht beeinflussen duerfte.
91.         Fall e: wxyz, also eine Zahl nach RTS. Falls diese Zahl im
92.         Orginal-Programm nie verwendet wird, laeuft das Programm.
93.         Falls ABER ein Programmierer hier eine Zaehlzelle angelegt
94.         haette, dann waere das Programm NICHT lauffaehig. Aber auch
95.         das verseuchte File war NICHT MEHR lauffaehig. 
96.       Nachtrag: Es ist ein Anti-fungus-Tool aufgetaucht, das nur ein
97.         RTS setzt, das Linkteil aber nicht entfernt. Falls VT so ein File
98.         sollte ein Requester "NOP fehlt" auftauchen, aber trotzdem der
99.         Ausbau angeboten werden.
100.       Nachtrag: Stand Sept. 98
101.              WARNUNG   WARNUNG   WARNUNG   WARNUNG   WARNUNG
102.         Testbedingungen: 68040warp  ROM 40.68  32MB Fast  2MB Chip NoCache
103.                          KEIN nachzuladendes File befindet sich im Speicher
104.                          Fungus-Virus aktiv im Speicher
105.                          Start des Antivirus-Prgs von WB von Festplatte
106.         Einige Antivirusprogramme laden beim Start nach. Viele diese Files
107.         z.B. in Libs: , xfd: usw. wurden von Fungus VERSEUCHT beim Nach-
108.         laden. Es scheint erst danach ein Speichertest zu erfolgen. Oder
109.         kann erst nach dem Nachladen erfolgen, weil erst JETZT die Viren-
110.         signaturen bekannt sind ????????
111.         Die Tests wurden mehrfach wiederholt (auch kleinere Prozessoren) .
112.         Leider war IMMER eine Fungusverseuchung festzustellen.
113.         Etwas vorsichtig geworden, habe ich andere Viren (NICHT ALLE aus
114.         dem Pool) probiert. Bei einigen Viren (nicht bei allen getesteten
115.         Viren) ist EBENFALLS eine VERSEUCHUNG eingetreten.
116.         Ich gehe aber davon aus, dass diese Fehler durch Updates behoben
117.         werden. Bis dahin sollten Sie vielleicht von einer schreibge-
118.         schuetzten Disk, die KEINE assigns auf die Festplatte hat, diese
119.         Antivirusprogramme booten.
120.              WARNUNG   WARNUNG   WARNUNG   WARNUNG   WARNUNG
121.  
122.    - LOBOsimple-Virus     Linkvirus  
123.       Namensbegruendung:    
124.            Im decodierten LinkTeil ist zu lesen: 
125.            ffff4e75 4e7a0801 4e734454 00000000 ..NuNz..NsDT....
126.                ;....
127.            2f480006 41fa050e 2081205f 4e733e4c /H..A... . _Ns>L
128.            4f424f73 696d706c 653c4cdf 4eb900f9 OBOsimple<L.N...
129.                ;....
130.            7fff4a80 4e752323 506c695a 20646f6e .J.Nu##PliZ don
131.            74207368 6f6f7421 20492061 6d204e4f t shoot! I am NO
132.            54206120 56495255 53212323 536e6f6f T a VIRUS!##Snoo
133.            70446f73 000041fa 04164c90 00ff6100 pDos..A...L...a.
134.                ;....
135.            00086100 03604e75 3e62794d 415a4539 ..a..`Nu>byMAZE9
136.            363c6100                            6<a.
137.       Fileverlaengerung: #1912 Bytes
138.       Nicht Resetfest
139.       Verbogene Vektoren: LoadSeg und TRAP1
140.       Speicherverankerung:
141.            - Suche nach SnoopDos und DT (Debugger ??)
142.            - Loadseg schon verbogen $4E41
143.            - Loadseg wird verbogen und zwar ins ROM
144.            - im ROM wird der TRAP1-Befehl gesucht 4e41 = "NA"
145.            4e5d4e75 4e414d45 2c535452 494e472f N]NuNAME,STRING/
146.                     ^^^^                           ^^
147.            - $84 oder VBR+$84 wird verbogen  
148.       Linkvorgang:
149.            - mit LoadSeg und TRAP1
150.            - Medium validated
151.            - keine Disk (zuwenig Gesamtbloecke)
152.            - mind #30 Block frei
153.            - Filename enthaelt nicht ".", "-", "!", "VIR" oder "vir"
154.            - Das Virusteil codiert sich immer neu mit $DFF006
155.            - Link als neuer erster Hunk ($1DA) vor das Orginalfile
156.              Es muessen also die anderen Hunks nachbearbeitet werden.
157.              Da das Virusteil nicht sehr viele Hunktypen kennt, ent-
158.              stehen auch defekte Files (bei Tests nachgewiesen) .
159.  
160.    - LOBOweird-Inst.      Installer
161.          Ein uncodierter LOBOweird-Virus
162.          Rest siehe bei LOBOweird
163.  
164.    - LOBOweird-Virus     Linkvirus
165.       Namensbegruendung:    
166.            Im decodierten LinkTeil ist zu lesen: 
167.            4c4f424f 77656972 642e48e7 808041fa LOBOweird.H...A.
168.              ;....
169.            4e732041 4e54492d 56495220 50415443 Ns ANTI-VIR PATC
170.            48206279 204d415a 45273937 21204eb9 H by MAZE'97! N.
171.                     6<a.
172.       Fileverlaengerung: mind. #2100 Bytes
173.       Nicht Resetfest
174.       Verbogene Vektoren: LoadSeg und TRAP (soll jetzt variabel sein)
175.       Speicherverankerung:
176.            - "LOBO" wird nicht gefunden  
177.            - Loadseg wird verbogen und zwar ins ROM   
178.            - im ROM wird der TRAP-Befehl gesucht. Der Trap soll jetzt
179.              variabel sein. Es wird mit TRAP0 ($4e40) begonnen. In all
180.              meinen ROMs wird aber erst TRAP1 (siehe oben bei LOBOsimple)
181.              gefunden.
182.            - es soll also ab $80 oder VBR+$80 variabel verbogen werden.
183.              Bei mir wird also immer $84 oder VBR+$84 verbogen.
184.       Linkvorgang:
185.            - mit LoadSeg und TRAP
186.            - File groesser   #7913 Bytes
187.            - File kleiner  #255600 Bytes
188.            - Medium validated
189.            - keine Disk (mind. #91978 Bloecke)
190.            - mind #30 Block frei
191.            - Filename enthaelt nicht ".", "-", "!", "VIR" oder "vir"
192.            - Das Virusteil codiert sich immer neu mit $DFF006
193.            - Es entstehen immer verseuchte Files mit 2 Hunks
194.              Der 1. Hunk enthaelt das Virusteil. Der 2.Hunk ist das ganze
195.              Orginalfile. Leider kann man den 2.Hunk nicht einfach zurueck-
196.              schreiben, da 8 Bytes im Orginalfile codiert werden. Es muss
197.              im Virusteil das Codier-Langwort gesucht werden. Dieses LW
198.              aendert sich immer in Abhaengigkeit von $DFF006.
199.  
200.    - POLISHPOWER-Virus    Linkvirus
201.       Namensbegruendung:     
202.            Im decodierten LinkTeil ist zu lesen: 
203.            b210504f 4c495348 20504f57 45520a74 ..POLISH POWER.t
204.       Fileverlaengerung: #5000-6814 Bytes
205.       Nicht Resetfest     
206.       mind KS #36
207.       bei mir mit Cache an immer GURU
208.       Verbogene Vektoren: keine bekannten Vektoren
209.       Speicherverankerung:
210.            - oeffnet timer.device Unit 1
211.            - neuer Prozess   (Name NEW PROCESS)
212.            - neuer Port   (Name xyzPolishPowerxyz)
213.                   (xyz stehen fuer Buchstabenmuell mit variabler Anzahl)
214.            - Prozess und Port werden nach kurzer Zeit aus den Listen
215.              wieder entfernt, aber NICHT aus dem Speicher.
216.              Fuer den Linkvorgang wird der Prozess wieder in die Liste
217.              fuer kurze Zeit eingetragen. Die Technik, einen Prozess
218.              der NICHT in der Liste steht, trotzdem zu aktivieren,
219.              ist NEU !!!!!!!
220.       Linkvorgang:
221.            - Es entsteht ein File mit nur einem Hunk. Am Anfang steht
222.              eine Decodierroutine. Diese Routine aendert immer die Laenge
223.              und es werden immer andere Codierbefehle verwendet. Danach
224.              folgt das eigentliche Virusteil und danach das Orginalfile.
225.              Dieses Orginalfile kann nicht einfach ausgescnitten werden,
226.              da der Anfang variabel (Tiefe und Codierart) codiert sind.
227.            - Bedingungen:
228.               - File ausfuehrbar (3F3)
229.               - File groesser  #2000 Bytes
230.               - File kleiner #150000 Bytes
231.       Hinweis Nov 98: Da ich die Verankerung im Betriebssystem NICHT
232.              gefunden habe, muss VT den ganzen Speicher durchtesten. Das
233.              braucht Zeit. Deshalb erscheint ein MemTest-Requester beim
234.              Start von VT. Im Programm wird NICHT laufend nach POLISH-
235.              POWER im Speicher gesucht (nach anderen Viren schon). Wenn
236.              Sie in VT spaeter wieder suchen wollen, gehen Sie bitte in
237.              Tools und dann PolPower. Danke
238.  
239.    - UnpackJPEG-Trojan     Zerstoerung
240.          Verbogene Vektoren: keine
241.          Nicht Resetfest
242.          Filename: UnpackJPEG       27856 Bytes
243.          VT bietet nur Loeschen an
244.          Am Ende des Files ist zu lesen:
245.            33393230 62000000 002d433a 52756e20 3920b....-C:Run
246.            3e4e494c 3a20433a 44656c65 7465203e >NIL: C:Delete >
247.            4e494c3a 20424253 3a4d4158 73424253 NIL: BBS:MAXsBBS
248.            2e436f6e 66696700 00000014 4465636f .Config.....Deco
249.            64696e67 20746f20 5359533a 542e2e20 ding to SYS:T..
250.            0000001f 433a5275 6e203e4e 494c3a20 ....C:Run >NIL:
251.            433a4465 6c657465 203e4e49 4c3a2053 C:Delete >NIL: S
252.            3a233f00 0000001f 433a5275 6e203e4e :#?.....C:Run >N
253.            494c3a20 433a4465 6c657465 203e4e49 IL: C:Delete >NI
254.            4c3a2043 3a233f00 00000023 4a504547 L: C:#?....#JPEG
255.            20486561 64657220 666f756e 64206f6e  Header found on
256.            2066696c 65206043 4a532e4a 50472700  file `CJS.JPG'.
257.            00000026 433a5275 6e203e4e 494c3a20 ...&C:Run >NIL:
258.            433a4465 6c657465 203e4e49 4c3a2042 C:Delete >NIL: B
259.            42533a54 6578742f 233f0000 00184578 BS:Text/#?....Ex
260.            65637574 696e6720 4a504547 20766965 ecuting JPEG vie
261.            7765722e 2e2e0000 0022433a 52756e20 wer......"C:Run
262.            3e4e494c 3a20433a 44656c65 7465203e >NIL: C:Delete >
263.            4e494c3a 204c4942 533a233f 00000003 NIL: LIBS:#?....
264.  
265.  
266.