home *** CD-ROM | disk | FTP | other *** search
/ telefisk.org / virusCollection.lzx / VirusResearch / HH2 / Hitch2 < prev    next >
Encoding:
Text File  |  1999-06-12  |  3.6 KB  |  53 lines
  1. - Hitch-Hiker-2-Virus     Link                                         
  2.       Bekannte Archive:                                                
  3.       DMS 2.40 Update                                                  
  4.       DeluxeGalaga   VersionsNr. unbekannt                             
  5.       Fileverlaengerung: 1848-1908 Bytes in Abhaengigkeit von $DFF007  
  6.       Ab KS 2.04                                                       
  7.       Verbogene Vektoren LoadSeg, Write                                
  8.       Geaendert: LastAlert $BADC0DED                                   
  9.       Nicht Resetfest                                                  
  10.       Das Teil meldet sich nicht.                                      
  11.       Codierung in Abhaengigkeit von $DFF007                           
  12.       Decodiert ist im Linkteil zu lesen:                              
  13.          54686520 48697463 682d4869 6b65720a The Hitch-Hiker.          
  14.          47656e65 72617469 6f6e3a20 30303030 Generation: 0000          
  15.          30313233 0a2d2056 65727369 6f6e2032 0123.- Version 2          
  16.          2e30310a 0a0a5468 616e6b73 20666f72 .01...Thanks for          
  17.          20746865 20526964 652c204d 69737465  the Ride, Miste          
  18.          7221210a 00000000                   r!!.....                  
  19.       Einbau im Speicher:                                              
  20.       LastAlert (202(a6)) wird auf $ABBAFAB4 und $BADC0DED ueberprueft.
  21.       Falls ja -> Ende .  LoadSeg und Write wird verbogen. in LastAlert
  22.       wird BADC0DED geschrieben.                                       
  23.       Link an File hinter 1.Hunk:                                      
  24.       Speichermedium validated und mind. #10 Blocks frei               
  25.       File ausfuehrbar (3F3)                                           
  26.       CodeHunk (3E9) wird gefunden                                     
  27.       Bei Filenamen KEIN Test auf bestimmte Buchstaben                 
  28.       Es wurde im Viruscode zwar eine Laengenbegrenzung gefunden, aber 
  29.       diese Grenze wurde auf 68040 MEHRFACH ueberlaufen bei Test-Ver-  
  30.       mehrungen.                                                       
  31.       move.l 4,a6 (6 Bytes), move.l 4.w,a6 (4 Bytes) oder RTS wird im  
  32.       1.Hunks gefunden.                                                
  33.       Der Abstand von diesem Punkt zum Originalende des 1. Hunks       
  34.       ist nicht groesser als $7FFF (bei move) oder $7F (bei RTS).      
  35.       Falls diese Bedingungen zutreffen, wird der move.l 4-Befehl      
  36.       durch einen BSR-Befehl ($6100uvwx) ersetzt. Falls der Original-  
  37.       Befehl sechs Bytes lang war, wird noch ein NOP gesetzt, um die   
  38.       Laenge anzugleichen. Der RTS-Befehl wird durch einen BRA.s-Befehl
  39.       ($60uv) ersetzt.                                                 
  40.       Es koennen auch MEHRERE Spruenge erzeugt werden.                 
  41.       VT versucht beim Ausbau move.l und move.w in Abhaengigkeit von   
  42.       gefundenem NOP zu setzen.                                        
  43.       Der BRA.s-Befehl sollte von VT durch ein RTS ersetzt werden      
  44.       (auch mehrfach).                                                 
  45.       Mehrfach-Links an ein File konnten NICHT erzeugt werden.         
  46.       Hinweis 1: Bei Testverseuchungen sind AUCH defekte Files ent-    
  47.       standen. VT sollte den Ausbauversuch abbrechen und nur noch      
  48.       Loeschen anbieten.                                               
  49.       Hinweis 2: Falls Ihre Festplatte sehr verseucht ist, gehen Sie   
  50.       bitte in Sp->File->Sp, waehlen ein Unterverzeichnis (z.B. c)     
  51.       und klicken dann auf DirFTest. Gehen Sie danach weitere Unter-   
  52.       verz. (libs usw.) durch.
  53.