home *** CD-ROM | disk | FTP | other *** search
/ Amiga ISO Collection / AmigaUtilCD2.iso / Virus / VT296K.LHA / VTTest2 / Schutz / VT2.96d-kurz < prev   
Encoding:
Text File  |  1997-06-08  |  23.1 KB  |  546 lines
  1.  
  2.    Heiner Schneegold
  3.    Am Steinert 8
  4.    97246 Eibelstadt
  5.    (Deutschland)
  6.  
  7.    Tel: 09303/99104
  8.    (19.00 - 20.00 Uhr)
  9.    EMail: Heiner.Schneegold@t-online.de
  10.  
  11.   letzte Aenderung: 97-06-08
  12.  
  13.   Aenderungen seit VT2.95    VT-Laenge: 345708 Bytes
  14.    WICHTIG !!!!!
  15.       Um Linkviren SICHER zu finden, die sich HINTER
  16.       den 1.Hunk linken, MUESSEN Sie FileTest auf-
  17.       rufen !!!
  18.    Hinweis: Die Texte mussten mit Powerpacker-Data
  19.       behandelt werden, da sonst der Platz auf der Disk
  20.       nicht mehr gereicht haette. Im C-Verzeichnis sollte
  21.       ein muchmore liegen, das PP-Data lesen kann.
  22.    Hinweis: VT.xyz muss nach RAM oder Fastfilesystem-880k-
  23.       Disk entpackt werden, sonst reicht der Platz nicht.
  24.    Hinweis:
  25.       Da einige Linkviren inzwischen jeden Ladevorgang auf einen
  26.       Filenamen ueberwachen, der mit "v" oder "V" beginnt, waere es
  27.       vielleicht sinnvoll, VT privat (Weitergabe bitte weiterhin als
  28.       VTx.yz) umzubenennen. Sonst koennten Sie glauben, ihr System waere
  29.       sauber, nur weil sich das Virusteil schnell abgeschaltet hat.
  30.  
  31.    - YAMmsg.2-Trojan (Zerstoerung)          97-06-08
  32.  
  33.    - NEurOTiCDEatH-Virus  Typ 1,2,3 (Link)  97-06-04/5/6/7
  34.  
  35.    - SCARECROW-Trojan (Zerstoerung)         97-06-03
  36.  
  37.    - HANF-LVirus  (Link)                    97-05-28/29/30
  38.  
  39.    - Elbereth4-Virus  (Link)                97-05-14
  40.            
  41.    - Elbereth3-Virus  (Link)                97-05-13
  42.                                               
  43.    - Elbereth2-Virus  (Link)                97-05-12
  44.                       
  45.    - Elbereth-LVirus  (Link)                97-05-10/11
  46.                                              
  47.    - Poland-LVirus  (Link)                  97-05-08
  48.  
  49.    - LVirus-$F8  (Link)                     97-05-07
  50.  
  51.    - BB.Virus-$133                          97-05-06
  52.                                                 
  53.    - Nichts                                 97 April
  54.  
  55.    - Nichts                                 97 Maerz
  56.  
  57.      fuer entpacke Archiv:
  58.    - Nichts                                 Mai 97
  59.  
  60.   ------ bitte die Texte in VT.kennt.A-Z einfuegen --------
  61.          
  62.    - BB.Virus-$133
  63.        Name: nach Code-Laenge im BB, da kein Text vorhanden
  64.        Nicht Resetfest
  65.        Verbogener Vektor: DoIo
  66.        68030: ja
  67.        Test auf trackdisk.device: ja
  68.        Vermehrung: mit DoIo, falls Kennung "DO" gefunden.
  69.        Zerstoerung: ein Block wird in Abhaengigkeit von $DFF007 mit
  70.                     Speichermuell gefuellt. Dieser Block ist NICHT
  71.                     zu retten.
  72.  
  73.    - Elbereth-LVirus    Linkvirus
  74.       Namensbegruendung: 
  75.            Im decodierten LinkTeil ist zu lesen:
  76.            0cbbbb20 456c6265 72657468 2120abab ... Elbereth! ..
  77.       Fileverlaengerung: #936 Bytes
  78.       Nicht Resetfest
  79.       Verbogene Vektoren: Open  LoadSeg
  80.       Test auf mind. KS2.04: ja
  81.       Speicherverankerung:
  82.            - Test ob schon im Speicher
  83.            - Loadseg und Open wird verbogen
  84.            - Testet spaeter geladene Filenamen auf "v" oder "V".
  85.       Linkvorgang:
  86.            - mit LoadSeg und Open
  87.            - File noch nicht verseucht
  88.            - Medium validated
  89.            - 4 Block frei
  90.            - File ausfuehrbar ($3F3)
  91.            - CodeHunk wird gefunden ($3E9)
  92.            - 1.Hunk nicht groesser als #32764  (wg. Sprung)
  93.            - Das erste LW des 1.Hunks wird durch bsr Virus ($6100wxyz)
  94.              oder jsr Virus ($4EBAwxyz) ersetzt. Abhaengig von $DFF007
  95.            - Link hinter den 1.Hunk
  96.            - das Teil codiert sich immer neu mit $DFF007
  97.       Zerstoerung:    
  98.        Start 2.Obj.: +# 0
  99.        Data-File vorher:               Data-File nachher
  100.        000: 31323334 35363738 12345678 000: 33343132 37383536 34127856
  101.        008: 39306162 63646566 90abcdef 008: 61623930 65666364 ab90efcd
  102.           - Abhaengig von $DFF007
  103.           - Falls kein $3F3 gefunden, also Data-File
  104.           - Im Langwort werden jeweils die vorderen zwei Bytes mit
  105.             den hinteren zwei Bytes vertauscht.
  106.           VT kann diese Data-Files NICHT erkennen und NICHT zurueck-
  107.           setzen.
  108.       Meldung:
  109.           - Abhaengig von der SystemZeit und einem Wert im Linkteil.
  110.             ($4AF = 19:59)
  111.           - DisplayAlert (Text siehe oben)
  112.           - Danach Reset
  113.       VT versucht die Vektoren im Speicher zurueckzusetzen. Dies geht
  114.       NICHT, falls der Elbereth-Installer die Vektoren verbogen hat.
  115.       Das Teil befindet sich in einer Schleife und kehrt nie zum
  116.       Cli-Prompt zurueck. Hier hilft nur ein Reset und Boot von einer
  117.       sauberen Disk. Werden die Vektoren von verseuchten Files ver-
  118.       bogen, so sollte VT in der Lage sein, die Vektoren zurueckzu-
  119.       setzen.
  120.       VT versucht den Linkausbau bei einem ausfuehrbaren File.
  121.  
  122.    - Elbereth2-Virus    Linkvirus
  123.       Namensbegruendung:    
  124.            Im decodierten LinkTeil ist zu lesen:
  125.            00044eee fd2a00c8 0c456c62 65726574 ..N..*...Elberet
  126.            68203220 20202028 63292031 39393620 h 2    (c) 1996
  127.       Fileverlaengerung: #772 Bytes
  128.       Nicht Resetfest
  129.       Verbogener Vektor: LoadSeg
  130.       Test auf mind. KS2.04: ja
  131.       Speicherverankerung:
  132.            - Test ob schon im Speicher
  133.            - Loadseg wird verbogen
  134.            - Testet spaeter geladene Filenamen auf "v" oder "V".
  135.       Linkvorgang:
  136.            - mit LoadSeg
  137.            - File noch nicht verseucht
  138.            - Medium validated
  139.            - 4 Block frei
  140.            - File ausfuehrbar ($3F3)
  141.            - CodeHunk wird gefunden ($3E9)
  142.            - 1.Hunk nicht groesser als #32764  (wg. Sprung)
  143.            - Filelaenge kleiner #60000
  144.            - Das erste LW des 1.Hunks wird durch jsr Virus ($4EBAwxyz)
  145.              ersetzt.
  146.            - das Teil codiert sich immer neu mit $DFF007
  147.       Meldung:
  148.           - Abhaengig von den SystemSekunden ($CE4 = 66 Sek. = Schwach-
  149.             sinn) und den Systemtagen soll mit DisplayAlert (Text siehe
  150.             oben) eine Ausgabe erfolgen.
  151.           - Danach Reset
  152.       VT versucht den Vektor im Speicher zurueckzusetzen.
  153.       VT versucht den Linkausbau bei einem ausfuehrbaren File.
  154.  
  155.    - Elbereth3-Virus    Linkvirus
  156.       Namensbegruendung:    
  157.            Im decodierten LinkTeil ist zu lesen: 
  158.            0c3d3d20 456c6265 72657468 2033203d .== Elbereth 3 =
  159.       Fileverlaengerung: #900 Bytes
  160.       Nicht Resetfest
  161.       Verbogene Vektoren: LoadSeg NewLoadSeg
  162.       KS2.04 + 68030 : ja
  163.       KS40.63 + 68030: bei mir bei Vermehrungsversuch immer GURU
  164.       Speicherverankerung:
  165.            - Test ob schon im Speicher
  166.            - Loadseg und NewloadSeg wird verbogen
  167.            - Testet spaeter geladene Filenamen auf "v" oder "V".
  168.       Linkvorgang:
  169.            - mit LoadSeg und NewLoadSeg
  170.            - File noch nicht verseucht (Datum)
  171.            - Medium validated
  172.            - 4 Block frei
  173.            - File ausfuehrbar ($3F3)
  174.            - CodeHunk wird gefunden ($3E9)
  175.            - Filelaenge groesser #1800
  176.            - File kleiner einem bestimmten Wert, abhaengig von der
  177.              Gesamtblockzahl des Mediums.
  178.            - Gesucht wird am Ende des 1.Hunks in einem Bereich von
  179.              #32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz)
  180.              oder jsr -xy(a6) ($4EAE Fxyz)
  181.            - Dieses LW wird durch bsr Virus ($6100wxyz)
  182.              ersetzt.
  183.            - das Teil codiert sich immer neu mit $DFF007
  184.            - versucht ProtectionBits zu retten
  185.       Meldung:
  186.           - Abhaengig von den SystemZeit ($4AF = 19:59) und den
  187.             Systemtagen soll mit DisplayAlert (Text siehe oben)
  188.             eine Ausgabe erfolgen.
  189.           - Danach Reset
  190.       VT versucht die Vektoren im Speicher zurueckzusetzen. 
  191.       VT versucht den Linkausbau bei einem ausfuehrbaren File.
  192.       Hinweis: Wenn Sie ein verseuchtes File kopieren und dabei das
  193.       Filedatum nicht mitnehmen, so kann dieses File noch einmal
  194.       verseucht werden. Es sind also Mehrfachlinks (im Test) moeglich.
  195.          
  196.    - Elbereth4-Virus    Linkvirus
  197.       Namensbegruendung:    
  198.            Im decodierten LinkTeil ist zu lesen: 
  199.            4eaefd84 2c5f4e75 00be0c3d 3d20456c N...,_Nu...== El
  200.            62657265 74682034 203d3d20 202020a9 bereth 4 ==    .
  201.            20313939 3620506f 6c616e64 0000646f  1996 Poland..do
  202.            732e6c69 62726172 79005657 506f7274 s.library.VWPort
  203.            00566972 75735a5f 49490056 69727573 .VirusZ_II.Virus
  204.            5f436865 636b6572 28ae2900 00000000 _Checker(.).....
  205.       Fileverlaengerung: #1000 Bytes
  206.       Nicht Resetfest
  207.       Verbogener Vektor: LoadSeg
  208.       KS2.04 + 68030 : ja
  209.       KS40.63 + 68030: bei mir bei Vermehrungsversuch immer GURU
  210.       Speicherverankerung:
  211.            - Test ob schon im Speicher
  212.            - Test ob Antivirusprg.e aktiv  (s.o.)
  213.            - Loadseg wird verbogen
  214.            - Testet spaeter geladene Filenamen auf "v" oder "V".
  215.       Linkvorgang:
  216.            - mit LoadSeg
  217.            - File noch nicht verseucht (Datum)
  218.            - Medium validated
  219.            - 4 Block frei
  220.            - File ausfuehrbar ($3F3)
  221.            - CodeHunk wird gefunden ($3E9)
  222.            - Ueberlaeuft $3F1-Hunks
  223.            - Filelaenge groesser #4000
  224.            - File kleiner einem bestimmten Wert, abhaengig von der
  225.              Gesamtblockzahl des Mediums.
  226.            - Gesucht wird am Ende des 1.Hunks in einem Bereich von
  227.              #32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz)
  228.              oder jsr -xy(a6) ($4EAE Fxyz)
  229.            - Dieses LW wird durch bsr Virus ($6100wxyz) oder jsr Virus
  230.              (4EBAwxyz) ersetzt.
  231.            - das Teil codiert sich immer neu mit $DFF007
  232.            - versucht ProtectionBits zu retten
  233.              (falls Sie aber vorher mit VT Pruefsummen gebildet haben,
  234.              wird die Veraenderung auch mit einem aelteren VT erkannt.)
  235.       Meldung:
  236.           - Abhaengig von den SystemZeit ($4B0 = 20:00) und den
  237.             Systemtagen soll mit DisplayAlert (Text siehe oben)
  238.             eine Ausgabe erfolgen.
  239.           - Danach Reset
  240.       VT versucht den Vektor im Speicher zurueckzusetzen.
  241.       VT versucht den Linkausbau bei einem ausfuehrbaren File.
  242.       Hinweis: Wenn Sie ein verseuchtes File kopieren und dabei das
  243.       Filedatum nicht mitnehmen, so kann dieses File noch einmal
  244.       verseucht werden. Es sind also Mehrfachlinks (im Test) moeglich.
  245.  
  246.    - HANF-LVirus    Linkvirus
  247.          Namensbegruendung:
  248.            Am Anfang des ersten Hunks ist zu lesen: 
  249.            600c4e75 48414e46 00000fb8 4e7648e7 `.NuHANF....NvH.
  250.          Fileverlaengerung: #5472 Bytes
  251.          Nicht Resetfest
  252.          Verbogener Vektoren:
  253.            - $F0(TimerBase)
  254.            - $6c-Proc  z.B. DF0, DF1 usw.
  255.              (gesucht wird ueber DosBase, ROOT, Info usw.)
  256.            - BeginIo von verschiedenen Ser.-Devs
  257.              Decodiert ist im LinkTeil zu lesen:
  258.            4e5d4cdf 7fff6000 064e6172 74736572 N]L..`..Nartser
  259.            00426175 6442616e 64697400 62736369 .BaudBandit.bsci
  260.            73646e00 636f6d70 6f727473 00647561 sdn.comports.dua
  261.            72740065 6d707365 7200656e 766f7973 rt.empser.envoys
  262.            65726961 6c006776 70736572 00686967 erial.gvpser.hig
  263.            68737065 65640069 626d7365 72006e65 hspeed.ibmser.ne
  264.            74736572 006e6577 73657200 73657269 tser.newser.seri
  265.            616c0073 696f7362 72007371 75697272 al.siosbr.squirr
  266.            656c7365 7269616c 0074656c 73657200 elserial.telser.
  267.            55535253 65726961 6c007577 00763334 USRSerial.uw.v34
  268.            73657269 616c0000 2e646576 69636500 serial...device.
  269.          Speicherverankerung:
  270.            - Test ob schon im Speicher (HANF) 
  271.            - das Teil codiert sich im Speicher immer neu mit $DFF006
  272.              (das gabs bis jetzt noch nicht)
  273.          Linkvorgang:
  274.            - File noch nicht verseucht (HANF)
  275.            - Kein RTS an 2(CodeHunk) also keine Libs usw.
  276.            - File ausfuehrbar ($3F3)
  277.            - Letzter Hunk des Files ist Code oder Data
  278.            - 1.Hunk mind. $3A gross
  279.            - Ein kurzes Stueck des Virusteil ueberschreibt den
  280.              Anfang des ersten Hunks
  281.            - Der Haupt-Virusteil wird hinter den letzten Code-
  282.              oder Datahunk gelinkt
  283.            - das Teil codiert sich immer neu mit $DFF006 beim
  284.              Linkvorgang
  285.            - Bei Tests sind auch defekte Files entstanden
  286.          Schaeden:
  287.            - Wahrscheinlich mit BeginIo Ser.-Devs
  288.              (Hab ich nicht ausgetestet, da ich keines dieser
  289.               Devices verwende (vectorser))
  290.          VT versucht die Vektoren im Speicher zurueckzusetzen. Fuer
  291.          sinnvoller halte ich allerdings den Neustart von einer
  292.          sauberen Antivirusdisk, da mein System mit dem Virusteil nicht
  293.          sehr stabil war.
  294.          VT versucht den Linkausbau bei einem ausfuehrbaren File.
  295.  
  296.    - LVirus-$F8    Linkvirus
  297.       Namensbegruendung: Fileverlaengerung #248 = $F8, da kein Text im
  298.                          Linkteil.
  299.       Fileverlaengerung: #248 Bytes
  300.       Nicht Resetfest
  301.       Verbogener Vektor: DosWrite
  302.       Fehlerquelle: kein Test auf KS1.3 (DosWrite)
  303.       Speicherverankerung:
  304.            - Test ob schon im Speicher
  305.            - DosWrite wird verbogen
  306.       Linkvorgang:
  307.            - File noch nicht verseucht
  308.            - CodeHunk wird gefunden ($3E9)
  309.            - 1.Hunk nicht groesser als #8192  (wg. Sprung)
  310.            - Das erste LW des 1.Hunks wird durch bsr Virus ($6100wxyz)
  311.              ersetzt.
  312.            - Link hinter den 1.Hunk
  313.       VT versucht Write im Speicher zurueckzusetzen.
  314.       VT versucht den Fileausbau.
  315.          
  316.    - NEurOTiCDEatH-Virus  Typ 1  Linkvirus
  317.       Namensbegruendung:    
  318.            Im LinkTeil ist zu lesen:   
  319.            00000000 2a5b6d75 54416765 4e325d2a ....*[muTAgeN2]*
  320.            000000a0 0d2d2d2d 3d5b204e 4575724f .....---=[ NEurO
  321.            54694320 44456174 48205d3d 2d2d2d20 TiC DEatH ]=---
  322.       Fileverlaengerung: #3400-4200 Bytes
  323.       Nicht Resetfest
  324.       Ab KS 2.04
  325.       Verbogene Vektoren: LoadSeg NewLoadSeg DoIo
  326.       Das Virusteil soll ab 21. Jan. 97 aktiviert werden.
  327.       Speicherverankerung:
  328.            - Test ob schon im Speicher
  329.            - Loadseg NewLoadSeg DoIo werden verbogen
  330.            - Testet spaeter geladene Filenamen auf "v" oder "V".
  331.       Linkvorgang:
  332.            - Mit LoadSeg
  333.            - Medium validated
  334.            - File ausfuehrbar ($3F3)
  335.            - CodeHunk wird gefunden ($3E9)
  336.            - Ueberlaeuft $3F1-Hunks
  337.            - Filelaenge groesser #16384
  338.            - File kleiner einem bestimmten Wert, abhaengig von der
  339.              Gesamtblockzahl des Mediums.
  340.            - Gesucht wird am Ende des 1.Hunks in einem Bereich von
  341.              #32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz)
  342.              oder jsr -xy(a6) ($4EAE Fxyz)
  343.            - Dieses LW wird durch bsr Virus ($6100wxyz) ersetzt
  344.            - das Teil codiert sich immer neu mit $DFF007
  345.       Meldung:
  346.            - Abhaengig von DateStamp ($4EC = 21:00) soll mit
  347.              DisplayAlert (Text siehe oben) eine Ausgabe erfolgen.
  348.            - Danach Reset
  349.       Zerstoerung:
  350.            - Mit DoIo
  351.            - zerstoerter Block Blocknummer immer groesser #63
  352.              Am Blockanfang ist dann zu lesen:
  353.              Z    12 Bl     20
  354.              00: 2d2d2d3d 5b204e45 75724f54 69432044 ---=[ NEurOTiC D
  355.              10: 45617448 205d3d2d 2d2d2020 28632920 EatH ]=---  (c)
  356.              20: 31393937 20506f6c 616e6400 78e97fd1 1997 Poland.x..
  357.            - Dieser Block ist NICHT zu retten
  358.       VT versucht die Vektoren im Speicher zurueckzusetzen.
  359.       VT versucht den Linkausbau bei einem ausfuehrbaren File.  
  360.       VT versucht bei BlockITest defekte Bloecke zu erkennen.
  361.       Hinweis: Falls Sie ein verseuchtes File kopieren und FileDate
  362.       nicht mitnehmen, so kann das File noch einmal verseucht werden.
  363.  
  364.          
  365.    - NEurOTiCDEatH-Virus  Typ 2  Linkvirus
  366.       Namensbegruendung:    
  367.            Im LinkTeil ist zu lesen: 
  368.            3d5b4d74 675f3243 5d3d0000 00a00d2d =[Mtg_2C]=.....-
  369.            2d2d3d5b 204e4575 724f5469 43204445 --=[ NEurOTiC DE
  370.            61744820 32205d3d 2d2d2d20 20286329 atH 2 ]=---  (c)
  371.       Fileverlaengerung: #3652-4452 Bytes
  372.       Nicht Resetfest
  373.       Ab KS 2.04
  374.       Verbogene Vektoren: LoadSeg NewLoadSeg DoIo
  375.       Das Virusteil soll ab 28. Dez. 96 aktiviert werden.
  376.       Speicherverankerung:
  377.            - Test ob schon im Speicher
  378.            - Loadseg NewLoadSeg DoIo werden verbogen
  379.            - Testet spaeter geladene Filenamen auf "v" oder "V".
  380.       Linkvorgang:
  381.            - Mit LoadSeg
  382.            - Medium validated
  383.            - File ausfuehrbar ($3F3)
  384.            - CodeHunk wird gefunden ($3E9)
  385.            - Ueberlaeuft $3F1-Hunks
  386.            - Filelaenge groesser #12288
  387.            - File kleiner einem bestimmten Wert, abhaengig von der
  388.              Gesamtblockzahl des Mediums.
  389.            - Gesucht wird am Ende des 1.Hunks in einem Bereich von
  390.              #32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz)
  391.              oder jsr -xy(a6) ($4EAE Fxyz)
  392.            - Dieses LW wird durch bsr Virus ($6100wxyz) ersetzt
  393.            - das Teil codiert sich immer neu mit $DFF007
  394.       Meldung:
  395.            - Abhaengig von DateStamp ($4EC = 21:00) soll mit
  396.              DisplayAlert (Text siehe oben) eine Ausgabe erfolgen.
  397.            - Danach Reset
  398.       Zerstoerung:
  399.            - Mit DoIo
  400.            - zerstoerter Block Blocknummer immer groesser #63   
  401.              Am Blockanfang ist dann zu lesen:  
  402.              Z    33 Bl      6
  403.              00: 2d2d2d3d 5b204e45 75724f54 69432044 ---=[ NEurOTiC D
  404.              10: 45617448 2032205d 3d2d2d2d 20202863 EatH 2 ]=---  (c
  405.              20: 29203139 39372050 6f6c616e 6400f94c ) 1997 Poland..L
  406.            - Dieser Block ist NICHT zu retten
  407.       VT versucht die Vektoren im Speicher zurueckzusetzen.
  408.       VT versucht den Linkausbau bei einem ausfuehrbaren File.
  409.       VT versucht bei BlockITest defekte Bloecke zu erkennen.
  410.       Hinweis: Falls Sie ein verseuchtes File kopieren und FileDate
  411.       nicht mitnehmen, so kann das File noch einmal verseucht werden.
  412.  
  413.          
  414.    - NEurOTiCDEatH-Virus  Typ 3  Linkvirus
  415.       Namensbegruendung:    
  416.            Im decodierten LinkTeil ist zu lesen: 
  417.            3d5b4d74 675f3243 5d3d0000 00a00d2d =[Mtg_2C]=.....-
  418.            2d2d3d5b 204e4575 724f5469 43204445 --=[ NEurOTiC DE
  419.            61744820 33205d3d 2d2d2d20 20202863 atH 3 ]=---   (c
  420.       Fileverlaengerung: #4064-4864 Bytes
  421.       Nicht Resetfest
  422.       Processor besser als 68000
  423.       Verbogene Vektoren: LoadSeg DoIo
  424.       Das Virusteil soll ab 28. Dez. 96 aktiviert werden.
  425.       Speicherverankerung:
  426.            - Test ob schon im Speicher
  427.            - Test ob Antivirusprg.e aktiv  (z.B Vir...)
  428.            - Loadseg und DoIo werden verbogen
  429.            - Testet spaeter geladene Filenamen auf "v" oder "V".
  430.       Linkvorgang:
  431.            - Mit LoadSeg
  432.            - Medium validated
  433.            - File ausfuehrbar ($3F3)
  434.            - CodeHunk wird gefunden ($3E9)
  435.            - Ueberlaeuft $3F1-Hunks
  436.            - Filelaenge groesser #12288
  437.            - File kleiner einem bestimmten Wert, abhaengig von der
  438.              Gesamtblockzahl des Mediums.
  439.            - Gesucht wird am Ende des 1.Hunks in einem Bereich von
  440.              #32736 ($3ff0 x 2) nach bcc ($6v00wxyz), jsr xy ($4EBAwxyz)
  441.              oder jsr -xy(a6) ($4EAE Fxyz)
  442.            - Dieses LW wird durch bsr Virus ($6100wxyz) ersetzt
  443.            - das Teil codiert sich immer neu mit $DFF007
  444.       Meldung:
  445.            - Abhaengig von DateStamp ($4EC = 21:00) soll mit
  446.              DisplayAlert (Text siehe oben) eine Ausgabe erfolgen.
  447.            - Danach Reset
  448.       Zerstoerung:
  449.            - Mit DoIo
  450.            - zerstoerter Block Blocknummer immer groesser #63
  451.            - Routine: move.l d0,(a2,d1.w)
  452.              Da das geschriebene LW (d0) sich IMMER aendert, kann VT
  453.              so einen Block NICHT erkennen !!!!
  454.            - Dieser Block ist NICHT zu retten
  455.       VT versucht die Vektoren im Speicher zurueckzusetzen.
  456.       VT versucht den Linkausbau bei einem ausfuehrbaren File.   
  457.       Hinweis: Falls Sie ein verseuchtes File kopieren und FileDate
  458.       nicht mitnehmen, so kann das File noch einmal verseucht werden.
  459.  
  460.    - Poland-LVirus    Linkvirus
  461.       Namensbegruendung: siehe bei Zerstoerung
  462.       Fileverlaengerung: #840 Bytes
  463.       Nicht Resetfest
  464.       Verbogener Vektor: DoIo  LoadSeg
  465.       Fehlerquelle: kein Test auf KS1.3 (Loadseg)
  466.       Speicherverankerung:
  467.            - Test ob schon im Speicher
  468.            - Loadseg und DoIo wird verbogen
  469.            - Testet spaeter geladene Filenamen auf "v" oder "V".
  470.       Linkvorgang:
  471.            - mit LoadSeg
  472.            - File noch nicht verseucht
  473.            - Medium validated
  474.            - 4 Block frei
  475.            - Filelaenge kleiner #157196
  476.            - File ausfuehrbar ($3F3)
  477.            - CodeHunk wird gefunden ($3E9)
  478.            - 1.Hunk nicht groesser als #32764  (wg. Sprung)
  479.            - Das erste LW des 1.Hunks wird durch bsr Virus ($6100wxyz)
  480.              ersetzt.
  481.            - Link hinter den 1.Hunk
  482.            - das Teil codiert sich immer neu mit $DFF00A
  483.       Zerstoerung:
  484.            - mit DoIo
  485.            - kein Test auf trackdisk.device (also auch HD !!!)
  486.            - Blocknummer wird mit $DFF006 bestimmt, muss aber groesser
  487.              als #63 ($7E00/#512) sein. Bei zwei Filesystemen im Rigid-
  488.              bereich, koennte das Teil also auch dort zerstoeren.
  489.            - In den Block wird ab $1f8 *Poland* geschrieben. Da ist
  490.              nichts mehr zu retten.
  491.            Block:    1345
  492.            000: 00000008 00000510 00000031 000001e8 ...........1....
  493.                 ;......
  494.            1f0: e3dbe3db e3dbe3db 2a506f6c 616e642a ........*Poland*
  495.       VT versucht Vektoren im Speicher zurueckzusetzen.
  496.       VT versucht den Fileausbau.
  497.       VT sollte bei BlockITest zerstoerte Bloecke finden.
  498.          
  499.    - SCARECROW-Trojan      Zerstoerung
  500.          bekannter Filename: IO4-INVI.EXE
  501.          Namensbegruendung: siehe unten
  502.          Filelaenge gepackt:  #63484 Bytes
  503.          Filelaenge entpackt: #100348 Bytes
  504.          Nicht Resetfest
  505.          Keine Verbogenen Vektoren
  506.          Ein AMOS-Programm
  507.          Nach Doc: ein Intel Outside 4 Demo
  508.          Ablauf:
  509.          Es wird ein Bild ausgegeben, das auch Text enthaelt:
  510.          SCARECROW JUST ERASED ALL LAMENESS
  511.          Danach ist ein Reset notwendig
  512.          Schaden:
  513.           - user-startup wird neu geschrieben  Laenge: #4560 Bytes
  514.             enthaelt dann: Text DevilCheck 2.0 Bugreport
  515.           - startup-sequence wird neu geschrieben  Laenge: #4924 Bytes
  516.             enthaelt dann: Text VirusScanList V1.35 Sept. 96
  517.          VT bietet nur loeschen an.
  518.          Die ueberschriebenen Files sind nicht zu retten. Legen Sie
  519.          besser im S-Dir Kopien an.
  520.          
  521.    - YAMmsg.2-Trojan      Zerstoerung
  522.         bekannter Filename: YAM.msg.2
  523.         Namensbegruendung: Filename uebernommen
  524.         Filelaenge:  #216296 Bytes
  525.         Nicht Resetfest
  526.         Keine verbogenen Vektoren
  527.         Ablauf:
  528.         Das Programm beendet sich bei mir mit einem Requester
  529.         "Illegal Instruction"
  530.         In Wirklichkeit wurde ein neues loadwb-File geschrieben.
  531.         Name: lOAdwB  Laenge: 40544
  532.         Im File ist zu lesen:
  533.             45523a20 6c6f6164 77622033 392e3920 ER: loadwb 39.9
  534.             2833302e 30332e39 3529266d 80102f0b (30.03.95)&m../.
  535.         Dieses File enthaelt wieder zwei Files zum Schreiben UND
  536.         ausfuehren:
  537.          - Orig-Loadwb  Laenge: 1136 Bytes
  538.          - Format       Laenge gepackt:  9312 Bytes
  539.                         Laenge entpackt: 13368 Bytes
  540.         VT bietet nur loeschen an.
  541.  
  542.      ------------------------------
  543.  
  544.      Schneegold
  545.  
  546.