home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Amiga Plus 1999 #2
/
Amiga Plus CD - 1999 - No. 2.iso
/
System-Boost
/
Virus
/
VTTest3
/
Schutz
/
VT3.10d-kurz
< prev
next >
Wrap
Text File
|
1998-11-15
|
12KB
|
266 lines
Heiner Schneegold
Am Steinert 8
97246 Eibelstadt
(Deutschland)
Tel: 09303/99104
(19.00 - 20.00 Uhr)
EMail: Heiner.Schneegold@t-online.de
letzte Aenderung: 98-11-08
Aenderungen seit VT3.09 VT-Laenge: 380536 Bytes
WICHTIG !!!!!
Um Linkviren SICHER zu finden, die sich HINTER
den 1.Hunk linken, MUESSEN Sie FileTest auf-
rufen !!!
- LOBOweird (Installer) 98-Aug
- LOBOweird (Linkvirus) 98-Aug
- LOBOsimple (Linkvirus) 98-Aug
- unpackJPEG-Trojan (Zerstoerung) 98-Sept
- POLISHPOWER-Virus (Linkvirus) 98-Sept
- fungus/lsd-LVirus (Linkvirus) 98-Sept
- POLISHPOWER-Virus Speichertest 98-11-06/07
------ bitte die Texte in VT.kennt.A-Z einfuegen --------
- fungus/lsd-LVirus Linkvirus
moegliches Ausloeser-Archiv: M31H_CRK.LHA
in diesem Archiv das File: Mui.MiamiGui #127360 Bytes
Namensbegruendung:
Im decodierten LinkTeil ist zu lesen:
01ea536e 6f6f7044 6f732053 7570706f ..SnoopDos Suppo
72742050 726f6365 7373003e 3e66756e rt Process.>>fun
6775735c 6c73643c 3c007275 6e203e4e gus\lsd<<.run >N
494c3a20 6e657773 68656c6c 20544350 IL: newshell TCP
00313636 360043fa 01d42851 220c74fe .1666.C...(Q".t.
Fileverlaengerung: #760 Bytes
Nicht Resetfest
Verbogene Vektoren: LoadSeg
Speicherverankerung:
- Test ob schon im Speicher ($261F)
- Suche nach SnoopDos
- Loadseg wird verbogen
Linkvorgang:
- mit LoadSeg
- Medium validated
- 3 Block frei
- letztes Langwort im 1.Hunk enthaelt RTS (Problem s.u.)
z.B. sehr viele Befehle im c-Verzeichnis
- RTS wird zu NOP
Falls RTS an vorletzter Stelle, dann 2x NOP
- Link hinter den 1.Hunk
- das Teil codiert sich mit EOR
Zusatz:
Das Teil versucht mit DosExecute run >NIL: newshell TCP
auszufuehren. Falls VT das Teil im Speicher findet, sollten
Sie vielleicht besser Internetzugriffe vermeiden, bis Sie
ihre Files alle gesaeubert haben.
Ausbauprobleme:
letztes Langwort:
a) vor Virus: wxyz4e75
nach Virus: wxyz4e71
nach VT-Ausbau: wxyz4e75 also kein Problem
b) vor Virus: 4e750000
nach Virus: 4e714e71
nach VT-Ausbau: 4e750000 also kein Problem
c) vor Virus: 4e754e71
nach Virus: 4e714e71
nach VT-Ausbau: 4e750000
d) vor Virus: 4e714e75
nach Virus: 4e714e71
nach VT-Ausbau: 4e750000
e) vor Virus: 4e75wxyz
nach Virus: 4e714e71
nach VT-Ausbau: 4e750000
Fall c-e ist keine Orginalrettung moeglich, da nicht erkannt
werden kann, welches NOP (4e71) durch RTS (4e75) ersetzt werden
muss. Das Virusteil nimmt hier auch keine Rettung vor.
Fall c und d sind harmlos, da ein NOP vor oder nach RTS, die
Lauffaehigkeit des Programms nicht beeinflussen duerfte.
Fall e: wxyz, also eine Zahl nach RTS. Falls diese Zahl im
Orginal-Programm nie verwendet wird, laeuft das Programm.
Falls ABER ein Programmierer hier eine Zaehlzelle angelegt
haette, dann waere das Programm NICHT lauffaehig. Aber auch
das verseuchte File war NICHT MEHR lauffaehig.
Nachtrag: Es ist ein Anti-fungus-Tool aufgetaucht, das nur ein
RTS setzt, das Linkteil aber nicht entfernt. Falls VT so ein File
sollte ein Requester "NOP fehlt" auftauchen, aber trotzdem der
Ausbau angeboten werden.
Nachtrag: Stand Sept. 98
WARNUNG WARNUNG WARNUNG WARNUNG WARNUNG
Testbedingungen: 68040warp ROM 40.68 32MB Fast 2MB Chip NoCache
KEIN nachzuladendes File befindet sich im Speicher
Fungus-Virus aktiv im Speicher
Start des Antivirus-Prgs von WB von Festplatte
Einige Antivirusprogramme laden beim Start nach. Viele diese Files
z.B. in Libs: , xfd: usw. wurden von Fungus VERSEUCHT beim Nach-
laden. Es scheint erst danach ein Speichertest zu erfolgen. Oder
kann erst nach dem Nachladen erfolgen, weil erst JETZT die Viren-
signaturen bekannt sind ????????
Die Tests wurden mehrfach wiederholt (auch kleinere Prozessoren) .
Leider war IMMER eine Fungusverseuchung festzustellen.
Etwas vorsichtig geworden, habe ich andere Viren (NICHT ALLE aus
dem Pool) probiert. Bei einigen Viren (nicht bei allen getesteten
Viren) ist EBENFALLS eine VERSEUCHUNG eingetreten.
Ich gehe aber davon aus, dass diese Fehler durch Updates behoben
werden. Bis dahin sollten Sie vielleicht von einer schreibge-
schuetzten Disk, die KEINE assigns auf die Festplatte hat, diese
Antivirusprogramme booten.
WARNUNG WARNUNG WARNUNG WARNUNG WARNUNG
- LOBOsimple-Virus Linkvirus
Namensbegruendung:
Im decodierten LinkTeil ist zu lesen:
ffff4e75 4e7a0801 4e734454 00000000 ..NuNz..NsDT....
;....
2f480006 41fa050e 2081205f 4e733e4c /H..A... . _Ns>L
4f424f73 696d706c 653c4cdf 4eb900f9 OBOsimple<L.N...
;....
7fff4a80 4e752323 506c695a 20646f6e .J.Nu##PliZ don
74207368 6f6f7421 20492061 6d204e4f t shoot! I am NO
54206120 56495255 53212323 536e6f6f T a VIRUS!##Snoo
70446f73 000041fa 04164c90 00ff6100 pDos..A...L...a.
;....
00086100 03604e75 3e62794d 415a4539 ..a..`Nu>byMAZE9
363c6100 6<a.
Fileverlaengerung: #1912 Bytes
Nicht Resetfest
Verbogene Vektoren: LoadSeg und TRAP1
Speicherverankerung:
- Suche nach SnoopDos und DT (Debugger ??)
- Loadseg schon verbogen $4E41
- Loadseg wird verbogen und zwar ins ROM
- im ROM wird der TRAP1-Befehl gesucht 4e41 = "NA"
4e5d4e75 4e414d45 2c535452 494e472f N]NuNAME,STRING/
^^^^ ^^
- $84 oder VBR+$84 wird verbogen
Linkvorgang:
- mit LoadSeg und TRAP1
- Medium validated
- keine Disk (zuwenig Gesamtbloecke)
- mind #30 Block frei
- Filename enthaelt nicht ".", "-", "!", "VIR" oder "vir"
- Das Virusteil codiert sich immer neu mit $DFF006
- Link als neuer erster Hunk ($1DA) vor das Orginalfile
Es muessen also die anderen Hunks nachbearbeitet werden.
Da das Virusteil nicht sehr viele Hunktypen kennt, ent-
stehen auch defekte Files (bei Tests nachgewiesen) .
- LOBOweird-Inst. Installer
Ein uncodierter LOBOweird-Virus
Rest siehe bei LOBOweird
- LOBOweird-Virus Linkvirus
Namensbegruendung:
Im decodierten LinkTeil ist zu lesen:
4c4f424f 77656972 642e48e7 808041fa LOBOweird.H...A.
;....
4e732041 4e54492d 56495220 50415443 Ns ANTI-VIR PATC
48206279 204d415a 45273937 21204eb9 H by MAZE'97! N.
6<a.
Fileverlaengerung: mind. #2100 Bytes
Nicht Resetfest
Verbogene Vektoren: LoadSeg und TRAP (soll jetzt variabel sein)
Speicherverankerung:
- "LOBO" wird nicht gefunden
- Loadseg wird verbogen und zwar ins ROM
- im ROM wird der TRAP-Befehl gesucht. Der Trap soll jetzt
variabel sein. Es wird mit TRAP0 ($4e40) begonnen. In all
meinen ROMs wird aber erst TRAP1 (siehe oben bei LOBOsimple)
gefunden.
- es soll also ab $80 oder VBR+$80 variabel verbogen werden.
Bei mir wird also immer $84 oder VBR+$84 verbogen.
Linkvorgang:
- mit LoadSeg und TRAP
- File groesser #7913 Bytes
- File kleiner #255600 Bytes
- Medium validated
- keine Disk (mind. #91978 Bloecke)
- mind #30 Block frei
- Filename enthaelt nicht ".", "-", "!", "VIR" oder "vir"
- Das Virusteil codiert sich immer neu mit $DFF006
- Es entstehen immer verseuchte Files mit 2 Hunks
Der 1. Hunk enthaelt das Virusteil. Der 2.Hunk ist das ganze
Orginalfile. Leider kann man den 2.Hunk nicht einfach zurueck-
schreiben, da 8 Bytes im Orginalfile codiert werden. Es muss
im Virusteil das Codier-Langwort gesucht werden. Dieses LW
aendert sich immer in Abhaengigkeit von $DFF006.
- POLISHPOWER-Virus Linkvirus
Namensbegruendung:
Im decodierten LinkTeil ist zu lesen:
b210504f 4c495348 20504f57 45520a74 ..POLISH POWER.t
Fileverlaengerung: #5000-6814 Bytes
Nicht Resetfest
mind KS #36
bei mir mit Cache an immer GURU
Verbogene Vektoren: keine bekannten Vektoren
Speicherverankerung:
- oeffnet timer.device Unit 1
- neuer Prozess (Name NEW PROCESS)
- neuer Port (Name xyzPolishPowerxyz)
(xyz stehen fuer Buchstabenmuell mit variabler Anzahl)
- Prozess und Port werden nach kurzer Zeit aus den Listen
wieder entfernt, aber NICHT aus dem Speicher.
Fuer den Linkvorgang wird der Prozess wieder in die Liste
fuer kurze Zeit eingetragen. Die Technik, einen Prozess
der NICHT in der Liste steht, trotzdem zu aktivieren,
ist NEU !!!!!!!
Linkvorgang:
- Es entsteht ein File mit nur einem Hunk. Am Anfang steht
eine Decodierroutine. Diese Routine aendert immer die Laenge
und es werden immer andere Codierbefehle verwendet. Danach
folgt das eigentliche Virusteil und danach das Orginalfile.
Dieses Orginalfile kann nicht einfach ausgescnitten werden,
da der Anfang variabel (Tiefe und Codierart) codiert sind.
- Bedingungen:
- File ausfuehrbar (3F3)
- File groesser #2000 Bytes
- File kleiner #150000 Bytes
Hinweis Nov 98: Da ich die Verankerung im Betriebssystem NICHT
gefunden habe, muss VT den ganzen Speicher durchtesten. Das
braucht Zeit. Deshalb erscheint ein MemTest-Requester beim
Start von VT. Im Programm wird NICHT laufend nach POLISH-
POWER im Speicher gesucht (nach anderen Viren schon). Wenn
Sie in VT spaeter wieder suchen wollen, gehen Sie bitte in
Tools und dann PolPower. Danke
- UnpackJPEG-Trojan Zerstoerung
Verbogene Vektoren: keine
Nicht Resetfest
Filename: UnpackJPEG 27856 Bytes
VT bietet nur Loeschen an
Am Ende des Files ist zu lesen:
33393230 62000000 002d433a 52756e20 3920b....-C:Run
3e4e494c 3a20433a 44656c65 7465203e >NIL: C:Delete >
4e494c3a 20424253 3a4d4158 73424253 NIL: BBS:MAXsBBS
2e436f6e 66696700 00000014 4465636f .Config.....Deco
64696e67 20746f20 5359533a 542e2e20 ding to SYS:T..
0000001f 433a5275 6e203e4e 494c3a20 ....C:Run >NIL:
433a4465 6c657465 203e4e49 4c3a2053 C:Delete >NIL: S
3a233f00 0000001f 433a5275 6e203e4e :#?.....C:Run >N
494c3a20 433a4465 6c657465 203e4e49 IL: C:Delete >NI
4c3a2043 3a233f00 00000023 4a504547 L: C:#?....#JPEG
20486561 64657220 666f756e 64206f6e Header found on
2066696c 65206043 4a532e4a 50472700 file `CJS.JPG'.
00000026 433a5275 6e203e4e 494c3a20 ...&C:Run >NIL:
433a4465 6c657465 203e4e49 4c3a2042 C:Delete >NIL: B
42533a54 6578742f 233f0000 00184578 BS:Text/#?....Ex
65637574 696e6720 4a504547 20766965 ecuting JPEG vie
7765722e 2e2e0000 0022433a 52756e20 wer......"C:Run
3e4e494c 3a20433a 44656c65 7465203e >NIL: C:Delete >
4e494c3a 204c4942 533a233f 00000003 NIL: LIBS:#?....