home *** CD-ROM | disk | FTP | other *** search
/ telefisk.org / virusCollection.lzx / VirusResearch / str_atmos / VIRUS.lha / vws_test.txt < prev   
Encoding:
Text File  |  1998-04-02  |  4.9 KB  |  117 lines
  1.  
  2. Entry...............: Strange Atmosphere
  3. Alias(es)...........: SA Virus
  4. Virus Strain........: -
  5. Virus detected when.: 2/1996
  6.               where.: Germany
  7. Classification......: Link virus, memory-resident
  8. Length of Virus.....: 1. Length on storage medium:      1232 Bytes
  9.                       2. Length in RAM:                $2710 Bytes
  10.  
  11. --------------------- Preconditions ------------------------------------
  12.  
  13. Operating System(s).: AMIGA-DOS
  14. Version/Release.....: 2.04 and above (V37+)
  15. Computer model(s)...: all models/processors (MC68000-MC68060)
  16.                       Caches may cause problems during the decoding
  17.                       process
  18.  
  19. --------------------- Attributes ---------------------------------------
  20.  
  21. Easy Identification.: None
  22.  
  23. Type of infection...: Linkvirus
  24.  
  25.                       Self-identification method in files:
  26.                       -  Searches for $1080402 at the end of the first
  27.                          codehunk
  28.  
  29.  
  30.                       Self-identification method in memory:
  31.                       -  Checks for $3d385e29 at position -6 of the
  32.                          LoadSeg() adress
  33.  
  34.                       System infection: 
  35.                       -  RAM resident, infects the LoadSeg() DOS function
  36.                       -  DoIO() exec function and Coolcapture will be
  37.                          infected only under special conditions
  38.  
  39.                       Infection preconditions:
  40.                        - File to be infected is bigger then $a28 bytes
  41.                        - The file is not already infected
  42.                        - HUNK_HEADER and HUNK_CODE are found
  43.                        - HUNK_HEADER structure is valid
  44.                        - There must be 4 free blocks on the disc
  45.                        - File is shorter than 290000 bytes
  46.                        - The lenght of the first hunk must be exactly the
  47.                          same as written in the hunkheader structure
  48.  
  49. Infection Trigger...: Accessing the file
  50.                        
  51. Storage media affected: all DOS-devices
  52.  
  53. Interrupts hooked...: None
  54.  
  55. Damage..............: Permanent damage: 
  56.                       - Files will be trashed (depends on the Rasterbeam)
  57.                         Devices will be overwritten (depends on the Rasterbeam)
  58.                       Transient damage: 
  59.                       - System gets locked while reset and a new copperlist
  60.                         will be shown. This copperlist then shows you the german
  61.                         flag.
  62.             
  63. Damage Trigger......: Permanent damage:
  64.                       - Internal counter
  65.                       Transient damage: 
  66.                       - Internal counter
  67.  
  68. Particularities.....: The crypt/decrypt routines are not aware of processor
  69.                       caches. The installer code in several files is working
  70.                       correct with higher processors. The linkcode checks for
  71.                       correct length of the first hunk to remove problems with
  72.                       extra ordinary packers.
  73.  
  74. Similarities........: Link-method in the executable files is the simple "link
  75.                       behind the first hunk" method without any special tricks.
  76.  
  77. Stealth.............: The viruses uses normal dos commands (no tunneling
  78.                       via packets) and normal DOS call watchers like SnoopDos
  79.                       can proof the infection behavior.
  80.                       There are no stealth routines build in.
  81.  
  82. Armouring...........: The virus is only one armouring technique to protect
  83.                       it`s code. It uses a normal crypt routine to hide
  84.                       the viral structures. Heuristik checkers like the one
  85.                       in VirusWorkshop can find the dangerous parts and VW
  86.                       gives you the rating "Virus!".
  87.  
  88. Name................: In the crypted part there is the following string:
  89.                              '-+* Strange Atmosphere [gOOd] *+-'
  90.  
  91.                       If the internal counter reaches 50, the word "gOOd" will
  92.                       be replaced by "eVIL" and the destructive code will be
  93.                       activated.
  94.  
  95.  
  96. --------------------- Agents -------------------------------------------
  97.  
  98. Countermeasures.....: VT 2.81, VW6.0
  99. Countermeasures successful: All of the above
  100. Standard means......: -
  101.  
  102. --------------------- Acknowledgement ----------------------------------
  103.  
  104. Location............: Hannover, Germany 04.03.1996.
  105. Classification by...: Markus Schmall and Heiner Schneegold
  106. Documentation by....: Markus Schmall
  107. Date................: March 1996
  108. Information Source..: Reverse engineering of original virus
  109. Copyright...........: Markus Schmall
  110. Special note........: Virus Test Center Hamburg and Virus Help Team DK
  111.                       are strictly allowed to use this analyse in their
  112.                       own productions. All other groups/institutions may
  113.                       please contact me first.
  114.  
  115. ===================== End of Strange Atmosphere Virus ============================
  116.  
  117.