home *** CD-ROM | disk | FTP | other *** search
/ Amiga ISO Collection / AmigaUtilCD2.iso / Virus / VT301K.LHA / VTTest3 / Schutz / VT3.01d-kurz < prev   
Encoding:
Text File  |  1997-11-30  |  4.0 KB  |  97 lines
  1.  
  2.    Heiner Schneegold
  3.    Am Steinert 8
  4.    97246 Eibelstadt
  5.    (Deutschland)
  6.  
  7.    Tel: 09303/99104
  8.    (19.00 - 20.00 Uhr)
  9.    EMail: Heiner.Schneegold@t-online.de
  10.  
  11.   letzte Aenderung: 97-11-30
  12.  
  13.   Aenderungen seit VT3.00    VT-Laenge: 356432 Bytes
  14.  
  15.    WICHTIG !!!!!
  16.       Um Linkviren SICHER zu finden, die sich HINTER
  17.       den 1.Hunk linken, MUESSEN Sie FileTest auf-
  18.       rufen !!!
  19.  
  20.    - ZIB-Virus     (Link)                   97-11-23/24
  21.  
  22.    - LiSA-3.0-Trojan   (Zerstoerung SYS:)   97-10-15
  23.  
  24.   ------ bitte die Texte in VT.kennt.A-Z einfuegen --------
  25.        
  26.      - LiSA-3.0-Trojan   Zerstoerung
  27.         anderer moeglicher Name: ScanEbola97
  28.         Keine verbogenen Vektoren
  29.         Nicht Resetfest
  30.         68040: Ja
  31.         Bekannte Filenamen:
  32.             - ScanEbola97   L: 7004 Bytes
  33.         Nach FileID: ScanEbola97: Scans your hard-drive for the
  34.                      Ebola97-virus.
  35.         In Wahrheit werden bei ALLEN (!!!!) Files auf SYS: die ersten
  36.         #16 Bytes veraendert.
  37.         z.B. Dir:
  38.             vorher:                      nachher:
  39.         00: 000003f3 00000000 ........ : 4c695341 20465543 LiSA FUC
  40.         08: 00000001 00000000 ........ : 4b555020 76332e30 KUP v3.0
  41.         10: 00000000 00000353 .......S : 00000000 00000353 .......S
  42.         18: 000003e9 00000353 .......S : 000003e9 00000353 .......S
  43.         Da nur wenige Bytes veraendert werden, kann VT versuchen, aus-
  44.         fuehrbare Files zu retten. Bei Daten-Files (.info, lha usw.)
  45.         ist KEINE (!!!!) Rettung durch VT moeglich.
  46.         Ob sich der Zeitaufwand lohnt, muessen Sie selbst entscheiden.
  47.         Ich habe fuer eine 270MB Syquest zwei Tage gebraucht.
  48.         Bitte installieren Sie unbedingt zuerst die Workbench neu.
  49.         Es werden damit schon viele Files wieder brauchbar. Danach gehen
  50.         Sie bitte mit Sp-File-Sp und DirFTest Unterverzeichnis fuer
  51.         Unterverzeichnis durch.
  52.         Bei Data-Files ersetzt VT das "L" nach der Erkennung durch ";"
  53.         also ";iSA". Manchmal koennen Sie solche Files (z.B. startup-
  54.         sequence) noch durch Nacharbeit mit einem Editor retten.
  55.         Fuer Icons usw. dagegen kenne ich keine Loesung.
  56.  
  57.  
  58.    - ZIB-Virus      File  Link
  59.          ab KS2.04: ja
  60.          Verbogener Vektor: LoadSeg
  61.          Resetfest: Nein
  62.          Fileverlaengerung: 1260 Bytes
  63.          Link hinter den ersten Hunk.
  64.          Decodiert ist im Linkteil zu lesen: 
  65.             0003b090 4e757877 fdfc646f 732e6c69 ....Nuxw..dos.li
  66.             62726172 79006273 64736f63 6b65742e brary.bsdsocket.
  67.             6c696272 61727900 533a5a49 42006c69 library.S:ZIB.li
  68.          Speicherverankerung:
  69.            - LastAlert wird auf "TRSi" geaendert
  70.            - LoadSeg wird verbogen
  71.            - neuer Prozess wird erzeugt  Name: ZIB
  72.            - Es wird nach bsdsocket.library gesucht und falls vorhanden
  73.              veraendert. Diese Lib liegt nicht in Libs,sondern wird von
  74.              einigen Programmen (z.B. Miami) im Programm mitgefuehrt. Diese
  75.              Lib wird immer nach Programmende (Miami) wieder aus dem
  76.              Speicher entfernt, auch wenn Veraenderungen vorgenommen waren.
  77.              (So war es auf meinem Testrechner).
  78.          Vermehrungsbedingungen:
  79.            - File ausfuehrbar ($3F3)
  80.            - max. Filelaenge #125000 Bytes
  81.            - min. Filelaenge keine Untergrenze gefunden
  82.            - 3E9-Hunk wird gefunden  (Loop)
  83.            - Disk validated
  84.            - mind. 5 Block frei
  85.            - RTS wird gefunden  ( max. loop $3E+1 )
  86.            - RTS wird ersetzt durch bra.s oder NOP (falls RTS genau
  87.              am Ende des ersten Originalhunks). Auch mehrere RTS
  88.            - Versucht FileDate zu retten
  89.            - Veraendert Word von Protection-LW
  90.          Falls bsdsocket.lib im Speicher, dann versucht der ZIB-Process
  91.          ueber das Modem eine Nachricht abzuschicken.
  92.          VT versucht Loadseg im Speicher zurueckzusetzen.
  93.          VT versucht den Linkteil aus einem File auszubauen.
  94.          VT versucht den ZIB-Process aus dem Speicher zu entfernen.
  95.          Besser waere aber ein Booten von einer sauberen Disk
  96.  
  97.