home *** CD-ROM | disk | FTP | other *** search
/ Amiga ISO Collection / AmigaUtilCD2.iso / Virus / vIRUSwARNINGS! / TRSIEB2.TXT < prev    next >
Encoding:
Text File  |  1996-04-30  |  8.5 KB  |  224 lines
  1. Warning ! A new linkvirus is out. The first known infected file is
  2.  
  3. lop_mi2.lha. The FILE_ID.DIZ looks like this:
  4.  
  5.                 .
  6.     ____     .::     ______
  7.    /    |.:::::'    |  __  \_
  8.    \   _|::  ::.::::.   ¬___/
  9. .-- \____::  ::::  ::     \  --.
  10. |        `::::'::  ::_____/    |
  11. |    LøøP      `::::'          |
  12. |                              |
  13. |  MASTER ISO 1.22 100% CRC    |
  14. |    THIS IS THE IMPROVED      |
  15. |   INTENSITY-VERSION ...      |
  16. `------------------------------'
  17.  
  18.  
  19. The virus is linked on it normally. It doesn`t seems to be an installer,
  20. probably the guys behind it didn`t know about this infection.
  21.  
  22. Emacs/TRSi got a call from Lenny Dee/Hf and gave me this archive. It
  23. seems to be spreaded global. Since a Hf guy tried this archiv before
  24. release 3 things for Hf Emacs checked for me this 3 releases and all
  25. of them were virusfree.
  26.  
  27. ! Special thanks at this time to Lenny Dee/HF for the fast warning !
  28.  
  29. Ok, here the analyse of the little bastard:
  30.  
  31.  
  32.  
  33. Entry...............: BBS Traveller Virus
  34. Alias(es)...........: Ebola-II
  35. Virus Strain........: -
  36. Virus detected when.: 17.04.1996
  37.               where.: Germany
  38. Classification......: Linkvirus,memory-resident, not reset-resident
  39. Length of Virus.....: 1. Length on storage medium:     1536  Bytes
  40.                       2. Length in RAM:                12000 Bytes
  41.  
  42. --------------------- Preconditions ------------------------------------
  43.  
  44. Operating System(s).: AMIGA-DOS Version/Release.....: 2.04 and above (V37+)
  45. Computer model(s)...: all models/processors (MC68000-MC68060)
  46.  
  47. --------------------- Attributes ---------------------------------------
  48.  
  49. Easy Identification.: none
  50.  
  51. Type of infection...: Self-identification method in files:
  52.  
  53.                       -  Searches for $ab1590ef at the end of the first Hunk.
  54.                          (this longword comes from the EBOLA-I virus)
  55.  
  56.                       -  Searches for $24121996 at the end of the first hunk
  57.                          (selfrecognition)
  58.  
  59.                       -  Searches for $1080402 at the end of the first hunk
  60.                          (this is the recognition of the Strange Atmosphere
  61.                           linkvirus)
  62.  
  63.                       Self-identification method in memory:
  64.  
  65.                       Searches for $3D385E29 at offset -6 from the Dos LoadSeg()
  66.                       function.
  67.                       If $1020304 will be found at this position, the destruction
  68.                       counter will be manipulated (somekind of test for the
  69.                       programmer of this virus ?)
  70.  
  71.                       System infection:
  72.                       -  non RAM resident, infects the following functions:
  73.                          Dos LoadSeg(), Dos ReadARGS(), Exec Findname(),
  74.                          Exec Findtask, Exec SetFunktion() and Exec Addport()
  75.  
  76.  
  77.                       Infection preconditions:
  78.                        - File to be infected is bigger then 2600 bytes and
  79.                          smaller then 290000 bytes
  80.                        - Device must have more than 6000 sectors
  81.                        - First hunk contains a $4eaexxxx command in the 16
  82.                          bit range to the end of the file (test for the first
  83.                          entry)
  84.                        - the file is not already infected (the at long of the
  85.                          end of the hunk)
  86.                        - HUNK_HEADER and HUNK_CODE are found
  87.  
  88.  
  89.  
  90. Infection Trigger...: Accessing files via LoadSeg()
  91.                       Files starting with "v","V","." or "-" will be NOT
  92.                       infected.
  93.  
  94. Storage media affected:
  95.                       all DOS-devices
  96.  
  97. Interrupts hooked...: None
  98.  
  99.  
  100. Damage..............: Permanent damage:
  101.                       - Formatting the drive
  102.                       Transient damage:
  103.                       - none
  104. Damage Trigger......: Permanent damage:
  105.                       - Formatting the drive, when an internal counter reaches
  106.                         5000.
  107.                       Transient damage:
  108.                       - None
  109.  
  110. Particularities.....: The crypt/decrypt routines are partly aware of processor
  111.                       caches. The cryptroutine are non polymorphic and only
  112.                       consists of some logical stuff. The virus uses some
  113.                       simple retro technics to stop viruskillers searching
  114.                       for itself.
  115.  
  116. Similarities........: Link-method is comparable to the method invented with
  117.                       the infiltrator-virus. Damage routine is taken from the
  118.                       Strange Atmosphere linkvirus. The virus is a typical
  119.                       mixture from the EBOLA and the Strange Atmosphere
  120.                       linkviruses. We think that all 3 ones come from the
  121.                       same programmer, probably in the east or north of
  122.                       Germany.
  123.  
  124. Stealth.............: If the viruskiller VT up to version 2.82 will be started,
  125.                       the virus removes itself completly from memory. If one of
  126.                       the following programms will be found in memory, no link
  127.                       try will be started:
  128.  
  129.                       SetFunktionManager
  130.                       VirusChecker
  131.                       VirusZ_II
  132.                       SnoopDos
  133.                       SnoopDos 3
  134.                       VW-Save!
  135.  
  136. Armouring...........: The virus uses only a single armouring technique to
  137.                       confuse people. It only crypts it`s code based on the
  138.                       position of the rasterbeam.
  139.  
  140. Comments............: The name EBOLA is the name of a virus, which humans
  141.                       can get infected with. CARO rules say, that no names
  142.                       of persons etc. may be used to call a virus, but I
  143.                       spoke to other persons and they already recognized
  144.                       this virus in this way. The virus contains the string
  145.                       "BBS Traveller", but this is just a clone from the
  146.                       EBOLA linkvirus with some enhancements.
  147.  
  148.  
  149. --------------------- Agents -------------------------------------------
  150.  
  151. Countermeasures.....: VW6.1 beta
  152. above Standard means......: -
  153.  
  154. --------------------- Acknowledgement ----------------------------------
  155.  
  156. Location............: Hannover, Germany 19.04.1996.
  157. Classification by...: Markus Schmall and Heiner Schneegold
  158. Documentation by....: Markus Schmall (C)
  159. Date................: April,19. 1996
  160. Information Source..: Reverse engineering of original virus
  161. Copyright...........: This document is copyrighted and may be not used
  162.                       in any SHI publication
  163.  
  164. ===================== End of BBS Traveller Virus =========================
  165.  
  166.  
  167.  
  168.  
  169. Greets
  170.  
  171.         Flake/Tristar & Red Sector inc.
  172.  
  173.  
  174.  
  175.  
  176.  
  177.    Special personal hellos from Flake go out to: Screamer, ECS, Mario,
  178.    Apollo, Ferox, Hitpoint, Rascal, Steeler, Lenny Dee, Mok, Samir,
  179.    ENZO, Ixxy and my friends in Virus Help Team Denmark...
  180.  
  181.  
  182.  
  183.  
  184.                  wE wOULD liKE tO gREET oUR fRiENDS iN
  185.  
  186.               * SUNFLEX iNC * PRESTiGE * PARADOX * HOODLUM *
  187.  
  188.     * DELiRiUM * FAiRLiGHT * QTX & CLS * ANTHROX * PRODiGY * HELLFiRE *
  189.  
  190.  
  191.  
  192.  
  193.  
  194.                  _______________  _______________________
  195.                  \___ ¬\___ ¬\ ¬\/¯ __¬\___ ¬\  __¬\___ ¬\
  196.                     /  / _/ _/  /___¯¯\/\ /  / /_/ / _/ _/\
  197.                    /  /  ¯  /  /\__/  /\//  /   ¯ /  ¯  /\/
  198.                   /__/__/__/__/______/ //__/__/__/__/__/ /
  199.                   \\_\\_\\_\\_\\_____\/ \\_\\_\\_\\_\\_\/
  200.          __________________     ___________  _______________________
  201.          \___ ¬\   _¬\___ ¬\·NL/¯ __¬\   _¬\/¯   ¬\___ ¬\  _ ¬\___ ¬\
  202.          / _/ _/  /_\/  /  /\ /___¯¯\/  /_\/  /___/\ /  /  /  / _/ _/\
  203.         /  ¯  /  ___/  /  / //\__/  /  ___/  /   /\//  /  /  /  ¯  /\/
  204.        /__/__/_____/_____/ //______/_____/______/ //__/_____/__/__/ /
  205.        \\_\\_\\____\\____\/ \\_____\\____\\_____\/ \\_\\____\\_\\_\/
  206.  
  207. =+\=================/\====================/\======/\===================+=
  208. .::\_.:::::::::/\.:/.:\::::::::::::::/\.:/.:\/\.:/.:\:::::::::::::::::::.
  209. .::::\::::/\::/.:\/::::\::::::::/\::/.:\/::::::\/::::\·:::::___.___.__.._
  210. .:::::\::/.:\/.:::::::::\::/\::/.:\/::::::::::::::::::\/\·:/.:::::::::::·
  211. =+=====\/================\/==\/==========================\/============+=
  212.  
  213.  
  214.  
  215. @BEGIN_FILE_ID.DIZ_________________  ____________
  216. \  .   ___.___._¬\/  ____/_____)  TRiSTAR &
  217.  \/|  .|  |  ¬| _/_____¬\|    ¬|
  218.    |  ||  |   : ¬\   ¬V \\    ||     RSi
  219.    |___|  |___|___\______/_____|
  220. ·+*#*+·^·TRN!·|____\·+*#*V·^·+*#*+·PRESENT!·
  221. -------------------------------------------
  222.     Warning ! New linkvirus ! Read it !
  223. -------------------------------------------@END_FILE_ID.DIZ
  224.