Heiner Schneegold Am Steinert 8 97246 Eibelstadt (Deutschland) Tel: 09303/99104 (19.00 - 20.00 Uhr) EMail: Heiner.Schneegold@t-online.de letzte Aenderung: 97-07-06 Aenderungen seit VT2.97 VT-Laenge: 350732 Bytes In eigener Sache: Wer gibt eine Original-Commodore-68020-Steckkarte fuer A2000B/C ab (muss nicht umsonst sein) ? Tel s.o. Ein Karte fuer den Prozessor hilft mir nicht, da dann das KickRom kaum mehr ge- wechselt werden kann. Es koennten dann mehr Tests (z.B. BEOL4) durchgefuehrt werden. Danke WICHTIG !!!!! Um Linkviren SICHER zu finden, die sich HINTER den 1.Hunk linken, MUESSEN Sie FileTest auf- rufen !!! - BOKOR1.05-Virus (Link) 97-07-04/05 - Xtruder3.5-Trojan 97-07-03 ------ bitte die Texte in VT.kennt.A-Z einfuegen -------- - BOKOR1.05-Virus Link Fileverlaengerung: variabel #1504-1532 Bytes Das Teil codiert sich bei der Vermehrung immer neu mit EOR oder ADD . Verwendet werden: $DFF006, $DFF007 und $DFF02A Verbogener Vektor: LoadSeg Namensbegruendung: s.u. KS1.3: nein 68000: nein Namensbegruendung: Im decodierten Virusteil ist zu lesen: ffdc60ea 646c6572 444c4552 69727573 ..`.dlerDLERirus 49525553 64657673 44455653 44657673 IRUSdevsDEVSDevs 72747570 52545550 646f732e 6c696272 rtupRTUPdos.libr ;..... 000000af 424f4b4f 52205631 2e303521 ....BOKOR V1.05! Speichereinbindung: Ueber LoadSeg Link an ein File: Medium nicht schreibgeschuetzt File ausfuehrbar (3F3) 1.Hunklaenge ungleich 4x($16F bis $177) (Virus selbst) Filelaenge min. #5600 Bytes (Funktioniert meist NICHT. Es wurden bei Tests auch kuerzere Files verseucht.) Filelaenge max. #256000 Bytes Teile von Filenamen s.o. (wg. libs) werden nicht gefunden. Filename enthaelt nicht "." Falls der Filename ein Leerzeichen ($20) enthaelt, wird der Filename gekuerzt. (Sie muessen dann also nach dem Ausbau den Original-Filenamen erraten. Tut mir leid. Keine andere Loesung moeglich). Das Teil linkt sich als neuer 1.Hunk vor den Original-1.Hunk. Es wird auch ein 3EC-Hunk erzeugt. Schaden: Manchmal werden sinnlose File- und Dir-Namen angezeigt. VT versucht das Teil auszubauen. VT sollte das Teil im Speicher finden und abschalten. - Xtruder3.5-Trojan Zerstoerung Filelaenge: 183700 Bytes Notwendig: Xtruder.key (als Faelschung) Nicht Resetfest Verbogener Vektor: Keine Zerstoerung: Veraendert Filelaengen auf SYS: Empfehlung: Sofort Loeschen Im File ist zu lesen: 4e004c3a 58747275 6465722e 6b657900 N.L:Xtruder.key. 58747275 6465722e 6b657900 23352041 Xtruder.key.#5 A 6c657820 486f6c73 7400533a 00005359 lex Holst.S:..SY 533a5072 6566732f 456e762d 61726368 S:Prefs/Env-arch 69766500 433a0000 5359533a 00006100 ive.C:..SYS:..a. Stellungnahme des Programmierers im Netz: *** area : VIRUS_AMY Date: 30 Jun 97 20:40:01 *** from : Martin Wulffeld (39:141/124.53) *** to : All *** about: Xtruder 3.5 Hi As some of you may know Xtruder 3.5 has done a bit of damage to peoples files. However, it has only affected those people who used a fake keyfile and hopefully also the criminal B---- P------- (2:---/--) who still owes my friend Alex Holst somewhere around 7000 Dkr. I hope all you fucknuts learned a lesson. From v3.6 and forward I will remove this behaviour. Peace out! . martin . kozmiq . wulffeld@post4.tele.dk . see ya at roskilde'98 Meine Anmerkung: Ich halte die Vorgehensweise fuer verantwortungslos und rechtlich SEHR bedenklich. Ich denke, der Programmierer hat sich und seinem Programm einen sehr grossen Baerendienst erwiesen. Das Vertrauen der User duerfte dahin sein.