home *** CD-ROM | disk | FTP | other *** search
/ Amiga ISO Collection / AmigaUtilCD2.iso / Virus / vIRUSwARNINGS! / biowarn.txt < prev    next >
Encoding:
Text File  |  1994-03-26  |  4.5 KB  |  120 lines
  1. @BEGIN_FILE_ID.DIZ
  2. _________________  ____________
  3. \  .   ___.___._¬\/  ____/_____)  TRiSTAR &
  4.  \/|  .|  |  ¬| _/_____¬\|    ¬|
  5.    |  ||  |   : ¬\   ¬V \\    ||     RSi
  6.    |___|  |___|___\______/_____|
  7. ·+*#*+·^·TRN!·|____\·+*#*V·^·+*#*+·PRESENT!·
  8.  Warning ! TRSI-INS.LHA IS NO TRSI release
  9. and it contains a TROJAN ! READ THE ANALYSIS
  10. from Flake/TRSi...@END_FILE_ID.DIZ
  11.  
  12.                  _______________  _______________________
  13.                  \___ ¬\___ ¬\ ¬\/¯ __¬\___ ¬\  __¬\___ ¬\
  14.                     /  / _/ _/  /___¯¯\/\ /  / /_/ / _/ _/\
  15.                    /  /  ¯  /  /\__/  /\//  /   ¯ /  ¯  /\/
  16.                   /__/__/__/__/______/ //__/__/__/__/__/ /
  17.                   \\_\\_\\_\\_\\_____\/ \\_\\_\\_\\_\\_\/
  18.          __________________     ___________  _______________________
  19.          \___ ¬\   _¬\___ ¬\·NL/¯ __¬\   _¬\/¯   ¬\___ ¬\  _ ¬\___ ¬\
  20.          / _/ _/  /_\/  /  /\ /___¯¯\/  /_\/  /___/\ /  /  /  / _/ _/\
  21.         /  ¯  /  ___/  /  / //\__/  /  ___/  /   /\//  /  /  /  ¯  /\/
  22.        /__/__/_____/_____/ //______/_____/______/ //__/_____/__/__/ /
  23.        \\_\\_\\____\\____\/ \\_____\\____\\_____\/ \\_\\____\\_\\_\/
  24.  
  25. =+\=================/\====================/\======/\===================+=
  26. .::\_.:::::::::/\.:/.:\::::::::::::::/\.:/.:\/\.:/.:\:::::::::::::::::::.
  27. .::::\::::/\::/.:\/::::\::::::::/\::/.:\/::::::\/::::\·:::::___.___.__.._
  28. .:::::\::/.:\/.:::::::::\::/\::/.:\/::::::::::::::::::\/\·:/.:::::::::::·
  29. =+=====\/================\/==\/==========================\/============+=
  30.  
  31.  
  32.  
  33.   Warning ! The file TRSi-INS.lha is no TRSi release and contains a fucking
  34.   trojan ! In the middle of the 10.6.1995. one of our members (NIKE/TRSi)
  35.   got a call on the BBS from a guy called GRYZOR, who is supposed to be the
  36.   leader of Circle of Power (COP), and this guy said to NIKE that TRSi is
  37.   lame and such things. Later he uploaded there a file called TRSi-INS.lha
  38.   to this board and NIKE wondered a little bit and contacted me and the
  39.   other TRSi guys. So this virus is now (10.6.1995. 18:30 o`clock) about
  40.   6 hours old. Let us stop this bastard and finally get a solution for
  41.   the COP problem (hi Apollo and Noise Belch).
  42.  
  43.   Here is my first analysis of the virus, which is a little bit short,
  44.   but I ran totally out of time. Sorry dudes..
  45.  
  46.  
  47.   Greets
  48.  
  49.               Flake/TRSi
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58.   Biomechanic Trojan
  59.   ------------------
  60.  
  61.   other possible names: TRSI-INS Trojan
  62.   Type: Destruction only
  63.   Destruction caused by: simple bytemodification
  64.  
  65.   This is no TRSi release ! It is just a fake !
  66.  
  67.   In the File-ID it is stated that this are some hd installers for actual
  68.   games. In real this is just a trojan, which will manipulate your files
  69.   on your HD.
  70.  
  71.   The contents of the archive:
  72.  
  73.  
  74.   ViroCop-HD_install.exe           5912 ----rwed 02-Sep-92  12:49:54
  75.   SWOS-HD_install.exe              9588 ----rwed 02-Sep-92  12:51:12
  76.   SensibleGolf-HD_install.exe      4776 ----rwed 02-Sep-92  12:51:24
  77.   Mortal-Kombat2-HD_install.exe    5512 ----rwed 02-Sep-92  12:50:12
  78.   MCI-CARDS4-FREE.EXE              5912 ----rwed 02-Sep-92  12:49:30
  79.   Embryo-HD_install.exe            6764 ----rwed 02-Sep-92  12:50:24
  80.  
  81.  
  82.   The virus is looking for a special enviroment and then manipulates the
  83.   files:
  84.  
  85.   Here a original PGP signed message:
  86.  
  87.   0000: 89009502 05002FCF 1B5220F5 BA1075CB    ....../Ï.R õº.uË
  88.   0010: 69450101 C11D03FF 7ED659E1 39C4AD2C    iE..Á...~ÖYá9Ä­,
  89.   0020: CED29280 21FCEB79 5CF3B9A0 AADB5C14    ÎÒ..!üëy\ó¹ ªÛ\.
  90.   0030: D2B35295 5FFBE735 4E8070E1 A8C2C909    Ò³R._ûç5N.pá¨ÂÉ.
  91. ->  0040: 2235ABB5 BE37E843 79CCD140 7AA2ACA5    "5«µ¾7èCyÌÑ@z¢¬¥
  92.  
  93.   Here the manipulated one:
  94.  
  95.   0000: 89009502 05002FCF 1B5220F5 BA1075CB    ....../Ï.R õº.uË
  96.   0010: 69450101 C11D03FF 7ED659E1 39C4AD2C    iE..Á...~ÖYá9Ä­,
  97.   0020: CED29280 21FCEB79 5CF3B9A0 AADB5C14    ÎÒ..!üëy\ó¹ ªÛ\.
  98.   0030: D2B35295 5FFBE735 4E8070E1 A8C2C909    Ò³R._ûç5N.pá¨ÂÉ.
  99. ->  0040: 2235ABB5 BE37E843 79CC0002 B37800A5    "5«µ¾7èCyÌ..³x.¥
  100.  
  101.   If you start the virus (it is in all the above listed files), a little
  102.   text will show up:
  103.  
  104.                  - b i o m e c h a n i c -
  105.  
  106.   and the work begins. If the work is completed, the following text will
  107.   be printed out, too:
  108.  
  109.                   ... trashed your hd ...
  110.  
  111.   and a directory named "biomechanic trashed your hd !!" will be created,
  112.   which is empty.
  113.  
  114.   The code looks quite good. This is not the work of a real beginner. The
  115.   guy behind has some programming knowledge. This way of programming is better
  116.   than from the COP viruses. The programm uses indirect adressing and a lot
  117.   of stackusage, which cannot be done by a beginner (atleast I think so).
  118.  
  119.  
  120.