home *** CD-ROM | disk | FTP | other *** search
/ Club Amiga de Montreal - CAM / CAM_CD_1.iso / files / 169.lha / VirusX_v2.0 / VirusX.Docs < prev    next >
Encoding:
Text File  |  1988-04-28  |  14.1 KB  |  351 lines
  1.  
  2.                   -VirusX-
  3.  
  4.               by Steve Tibbett
  5.  
  6.  
  7.    - The Complete Virus Removal System! -
  8.  
  9. VirusX - Fourth in a growing line of "X-Utilities".
  10.  
  11. REMEMBER: STUFF NEW TO THE LATEST VERSION IS AT THE _END_ OF THIS
  12. FILE!
  13.  
  14. Version Notes:
  15. --------------
  16. V1.01: V1.01 is just 1.0 with a bug fixed.  Also cleaned up the source
  17. a tad (one less Goto).
  18.  
  19. V1.2: V1.2 is the same as 1.01 but also adds detection of the Byte
  20. Bandit virus both in RAM and on Disk.
  21.  
  22. V1.21: V1.21 is just 1.2 cleaned up a little bit, V1.2 shouldn't have
  23. been released the way it was (Just one printf where it shouldn't have
  24. been).
  25.  
  26. V1.3: V1.3 is V1.21 but cleaned up a bunch, and is now less than 7K! 
  27. Even more reason to make it resident.
  28.  
  29. V1.4: New version, to handle the REVENGE virus.
  30.  
  31. V1.5: Done specifically for the Byte Warrior virus. 
  32.  
  33. V1.7: Mistake.
  34.  
  35. V1.71 : Cleaned up again, made smaller, and a new virus.
  36.  
  37. V2.00 : Wow, the big jump!  V2.00 notes are at the end of this file.
  38.  
  39.  
  40. Somewhere along the way, I rigged VirusX so it would notice any of the
  41. 4 current viruses in RAM and remove it.  Thus, if you've got VirusX in
  42. your startup sequence, there's NO way a virus can be around (unless
  43. it's one I haven't seen yet).
  44.  
  45.  -> READ V1.2 Byte Bandit Virus notes at the <-
  46.            -> end of this file! <-
  47.    -> And the new Revenge Virus notes <-
  48.   -> AND the new Northstar Virus Notes <-
  49.  
  50. NOTE!  TO RUN VIRUSX IN YOUR STARTUP SEQUENCE, YOU MUST USE "RUNBACK
  51. VIRUSX" AND NOT "RUN VIRUSX" OR THE INITIAL CLI WILL NEVER CLOSE.  A
  52. LOT of people asked me about this- Runback is in this archive - Copy
  53. it onto your boot disk and use it to run VirusX (Arp users can use
  54. ARun).
  55.  
  56. The SCA Virus is something that's been following us around for a
  57. couple of months now, and I think it's about time we got rid of it for
  58. good.
  59.  
  60. There are a number of CLI-based Virus Checkers out there, which do
  61. their job just fine, but if you're not into using CLI, what do you do?
  62. You use VirusX!
  63.  
  64. Please, I encourage you to give this program to anybody who might
  65. have the virus.  Including your local dealer - some of the dealers in
  66. this area have the virus all over their disks, which they allow
  67. customers to copy, and they don't do anything about it because they
  68. don't know how.  VirusX makes it extremely simple.
  69.  
  70. You can put VirusX in your Startup-Sequence.  When run, it will open a
  71. small window so you know it's there (and it will display the
  72. occasional message in it).  Whenever a disk is inserted into any of
  73. the 3.5" drives, that disk is automagically checked for the SCA virus,
  74. and also checked to see if it's boot sector is "Standard".  If the
  75. disk has a nonstandard boot sector, it is either a new form of virus
  76. which I don't know about yet, or it is a commercial program which uses
  77. the boot block for  something constructive (like booting their game).
  78.  
  79. If VirusX finds a boot block it is suspicious about, it will present
  80. the user with a requester either warning him that the disk has the SCA
  81. virus, or telling him that the boot code is nonstandard.  In either
  82. case, he is given the option to either ignore it, or to Remove it.
  83.  
  84. If the user selects Remove, after he says he's SURE he wants to
  85. rewrite the disk's boot sector (Remember: Never rewrite the boot
  86. sector of a commercial program unless you KNOW that program doesn't
  87. use it for something else.  If the program gives you the AmigaDOS
  88. window before running, you know it is safe to repair that disk.).  
  89. The boot code written back to the disk by VirusX is the same boot code
  90. that the AmigaDOS INSTALL command (and it's compatible counterpart on
  91. one of the fish disks) uses.  
  92.  
  93. If you run across a strain of the virus, or any other virus that
  94. VirusX doesn't specifically warn of, PLEASE send me a copy of a disk
  95. with that virus on it!  I want to keep VirusX current, and to do so, I
  96. need the viruses.   I have heard tell of two other viruses besides
  97. SCA, but I don't know much about them - yet.
  98.  
  99. Of course, there are those of you who are thinking that I am some nut
  100. case trying to spread my own virus hidden under the guise of a virus
  101. checker.  Well, just for you, I've included the C source code. 
  102. Please, if you don't trust me, don't discard a useful utility as
  103. untrustworthy for no reason, CHECK THE SOURCE!  Recompile it if you
  104. think I'm trying to slip a fast one on you.  I just want to see the
  105. virus out of all of our lives.
  106.  
  107. I want feedback on this!  Send me a letter!  This program is
  108. Copyrighted, but is freely redistributable (It's NOT Shareware).  Do
  109. what you want with it, but  Please don't use it for evil purposes. 
  110. That's what I'm trying to prevent.
  111.  
  112. My address:
  113.  
  114.     Steve Tibbett
  115.     2710 Saratoga Pl. #1108
  116.     Gloucester, Ontario
  117.     K1T 1Z2
  118.  
  119.     My BBS: OMX BBS, 613-731-3419.
  120.  
  121.     I can be reached on BIX as "s.tibbett" and on People/Link
  122.     as "SteveX".
  123.  
  124.  
  125. ---------------------------------------------------------------
  126.  
  127. Note:
  128.  
  129.  - When VirusX finds and removes the Byte Bandit Virus in RAM
  130.    on a German A2000, the machine will sometimes crash.  I
  131.    don't know why this happens, but it works perfectly on the
  132.    B2000 and the 500 and 1000...
  133.  
  134.  
  135. BYTE BANDIT VIRUS:
  136.  
  137. The Byte Bandit virus is the main reason for this release of
  138. VirusX.  What the Byte Bandit virus does is once it's in
  139. memory, it copies itself to just above the high memory
  140. pointer on the first hunk of RAM it can find (Which means
  141. it's not always in the same place), wedges itself into the
  142. Interrupt Server chain, into the Trackdisk.device's vectors,
  143. and creates itself a Resident structure so it can hang
  144. around after reboot.
  145.  
  146. It watches EVERY disk inserted, and will write itself to ANY
  147. bootable disk that is inserted!  This one can spread like
  148. wildfire - every disk you insert into your external drive during
  149. a session with this Virus loaded will result in all those disks
  150. being infected.  Ouch.
  151.  
  152. Also, if you Install a disk while this virus is going, it will 
  153. just copy itself back to the disk - which is why I had to wipe
  154. it from memory in VirusX 1.2...
  155.  
  156. When VirusX finds this virus on a disk, it will also display a "Copy
  157. Count" which is the number of disks that have been infected by that
  158. "Branch" on the "Tree" that the virus is on -  If you infect a disk
  159. with your copy, and your copy is number 300, then that copy will be
  160. #301.  If he infects somebody,  that will be #302, but on YOUR copy,
  161. two infectations down the line, there will be another #302... Anyways,
  162. the copy count on MY Byte Bandit virus is #879... 
  163.  
  164. Note that VirusX will check RAM for this virus as well as the disk. 
  165. This was necessary as you can tell from the description above.
  166.  
  167. Special thanks must go here to Dave Hewett, who, 2 days after I gave
  168. him a copy of the virus, gave me a printed, commented disassembly of
  169. the virus with meaningful labels and everything I needed to stomp it -
  170. Thanks Dave!
  171.  
  172. Thanks must also go to Bruce Dawson of CygnusSoft Software, who  went
  173. to the trouble of being the First person to send me this Virus.  (As
  174. of yet, he's also the ONLY person - Geez, folks, I need YOUR help to
  175. do this too, eh?)
  176.  
  177. ---------------------------------------------------------------
  178.  
  179. VirusX 1.4 Notes:
  180.  
  181.    New to this version of VirusX:
  182.  
  183.     1: Seek-out-and-destroy the new 'Revenge' virus.
  184.  
  185.     2: Allow viewing of the ASCII stuff in the boot block
  186.  
  187.     3: Notify the user and remove the SCA virus from RAM.
  188.  
  189.  
  190. 1: "The Revenge Virus"
  191. ----------------------
  192. This version of VirusX was released mainly to deal with the  "Revenge"
  193. Virus.  This virus is not yet common in North America (I think I'm the
  194. first person here to have a copy of it), but it is apparently making
  195. the rounds in Sweden and Germany, so that's who this version of VirusX
  196. is more or less directed to.  (I'm sure we'll get that virus over here
  197. soon enough!)
  198.  
  199. What this virus does, is everything that the Byte Bandit virus does,
  200. PLUS, after infecting a disk, it will wait one  minute after every
  201. reboot, and change your mouse pointer  into an image of a certain part
  202. of the Male anatomy. 8-)
  203.  
  204. I think the reason this virus is called the "Revenge" virus is because
  205. it looks specifically for the Byte Bandit and for the SCA Virus.  If
  206. it finds either of these, it Rigs THAT virus so that it will CRASH the
  207. machine unless THIS virus is loaded first.  Note that I might be wrong
  208. about this - that's the way it looks from the disassembly, but I don't
  209. have an SCA virus here to  test it with.   I tried it with the Byte
  210. Bandit, and it didn't seem to do anything like this - but be warned,
  211. in case it pops up later or something.
  212.  
  213. He stays in RAM via changing the CoolCapture vector to point to his
  214. own code.  He then intercepts the DoIO() call and watches for any
  215. attempts to rewrite or to read the boot block and acts accordingly. 
  216. He also has an interrupt around counting VBlanks until it's time to
  217. bring up his sicko pointer.
  218.  
  219. To get this virus out of memory is Simple - Hold down the Joystick
  220. button (Plug a joystick into port 2, and hold down the button while
  221. you are rebooting), and the screen will briefly turn RED during the
  222. boot, and it's out of memory. (If you hold down Joystick button AND
  223. mouse button, it will half-remove himself from RAM and turn the screen
  224. Blue)
  225.  
  226. VirusX will alert you if the virus is present in RAM and will render
  227. it helpless in RAM before telling you about  it.  It will also report
  228. it's presence on disk.  
  229.  
  230. 2: Allow viewing of ASCII text in Boot Blocks
  231. ---------------------------------------------
  232. If you click in the little "VirusX" window, and type a number from 0
  233. to 3, (Corresponding to the drive # you would like to look at), VirusX
  234. will resize it's window to fit in the ASCII text of these two blocks,
  235. and allow you to view it.  When you run across a "Nonstandard Boot
  236. Block", you can now check and see if the boot block is some sort of
  237. new Virus (Assuming that the author of the Virus left a string in it)
  238. as you will see something like "Revenge Virus 1.2G" or whatever string
  239. that identifies the virus.  
  240.  
  241. Also, you can check to see which strain of the SCA virus you have
  242. (VirusX will report "an SCA virus", but will not tell you if it is the
  243. "LSD" virus, or the "Zorro/Willow" virus or whatever new ones may
  244. appear).
  245.  
  246.  
  247. 3: Find the SCA in RAM and Remove it.
  248. -------------------------------------
  249. This version of VirusX also notices the SCA virus in RAM and Disables
  250. it, giving you a notice of that.  I should have done this long ago,
  251. but anyways, here it is.
  252.  
  253. I'd like to thank Lasse Wilkund for being the first (And only so far)
  254. person to send me this virus on disk.  Lasse is part of a Swedish users
  255. group with over 700 members!
  256.  
  257. --------------------------------------------------------------
  258.  
  259. V1.5 Notes:
  260.  
  261.     This version of VirusX adds the new Byte Warrior virus to
  262. it's list of viruses.  
  263.  
  264. The Byte Warrior Virus is a lot like the Byte Bandit virus, except
  265. it is not designed to hurt anything - it will start an "Alarm"
  266. sound if it sees another virus (or at least I think it does - 
  267. it hasn't for me), but other than that, it will write itself to
  268. any disk inserted.  There is also a hidden message in it, asking us
  269. to spread it around and not to erase it.  Ya, right.
  270.  
  271. Also, V1.5 is smaller than V1.4 (I don't know how THAT happened...)
  272.  
  273. --------------------------------------------------------------
  274.  
  275. V1.6 Notes:
  276.  
  277. The only new thing here is support for the North Star
  278. 'AntiVirus'.  it's a virus itself that alerts you to other ones - 
  279. I think this sort of idea is stupid because it can do just as 
  280. much damage as the rest of them.
  281.  
  282. Oh, and VirusX doesn't eat a bunch of memory whenever you insert
  283. a disk any more.  (Ha ha ha ha nobody noticed)
  284.  
  285. Also, this is the first release where I didn't include the Source
  286. for VirusX.  Seeing how far this file gets, and seeing how little
  287. the source is actually used (Not at all, I hope), and hoping that
  288. you all trust me now, I don't feel it's necessary to include the
  289. source.  If you WANT the source, send me a disk and a SASE.
  290.  
  291. ----------------------------------------------------------------
  292.  
  293. V1.7 Notes:
  294.  
  295. One new virus showed up for this version, the "Obelisk Softworks
  296. Crew" virus.  It was sent to me by Jason Allen Smith.  Thanks, 
  297. Jason!
  298.  
  299. Other changes this version - it's now a bunch smaller (again!) thanks
  300. to a bit of a rewrite in assembler, and some reorganization.
  301.  
  302. New feature:  Hitting "C" while the VirusX window is selected will
  303. cause it to re-check all the disks.  What this is good for, is when
  304. you get a "Nonstandard boot block", and you want to take a look at
  305. the disk. Previously, you had to cancel the requester, click in the
  306. VirusX window, hit "0" to have it show you the boot block, then
  307. remove the disk and re-insert it if you indeed want to kill
  308. whatever's nonstandard about it.  Now, just hit C.
  309.  
  310. Also, the source is back, by VERY POPULAR demand!
  311.  
  312. -------------------------------------------------------------------
  313.  
  314. V2.00 NOTES:
  315.  
  316. I was running out of V1.x numbers, so I had to make a 2.0.  I figured
  317. I should probably do SOMETHING to make the jump seem significant, so
  318. here are the features new to this version:
  319.  
  320.   - VirusX no longer needs to be "RunBack"-ed to get it to go from
  321.     the startup-sequence.  Just stick a line in your startup
  322.     sequence saying "VirusX", (not even Run VirusX), and it will
  323.     pop open it's window, and the rest of your startup sequence
  324.     will finish and the CLI window will close.
  325.  
  326.   - This version will now check the "CoolCapture", "WarmCapture",
  327.     and "ColdCapture" vectors when first run, and will alert you 
  328.     if it sees anything abnormal.  Since all of the viruses so far
  329.     (I think) use this, it will probably be a good way to spot
  330.     future viruses.  Why am I not checking the KickTagPtr list, 
  331.     you ask?  Because the Commodore RRD uses it, I say, and it
  332.     would be darn annoying forcing a requester on everybody who
  333.     uses it.
  334.  
  335.   - If you click in the VirusX window, and hit "I", you will see
  336.     Stats!  (Information, actually).  This replaces the text that
  337.     was hidden on the title bar in previous versions.  Also, 
  338.     VirusX is still active while these stats are visible, so if you
  339.     are checking a number of disks, you might as well leave this
  340.     open.
  341.  
  342. Unfortunately, it grew a bit for this version.  It's 2K bigger, I
  343. think - hope you don't mind too much.
  344.  
  345. -------------------------------------------------------------------
  346.  
  347. There are MORE viruses out there!  Please, send them to me!
  348.  
  349.     ...Steve
  350.  
  351.