Heiner Schneegold Am Steinert 8 97246 Eibelstadt (Deutschland) Tel: 09303/99104 (19.00 - 20.00 Uhr) EMail: Heiner.Schneegold@t-online.de letzte Aenderung: 99-02-11 Aenderungen seit VT3.14 VT-Laenge: 386380 Bytes WICHTIG !!!!! Um Linkviren SICHER zu finden, die sich HINTER den 1.Hunk linken, MUESSEN Sie FileTest auf- rufen !!! - STD-Crabs1-Install 99-02-05 - STD-Vag1-Install 99-02-08 - STD-Vag1-Trojan 99-02-08 - STD-Vag2-Install 99-02-09 - STD-Vag2-Trojan 99-02-09 - STD-Vag3-Install 99-02-10 ------ bitte die Texte in VT.kennt.A-Z einfuegen -------- - STD-Crabs1-Install Installer Archivename: mdlx09c.lha (Fremdaussage hab ich nicht) Filename: MiamiDx.beta 439724 Bytes Warum Installer - Zerstoerungs-NOP fehlt - Linkteil ist kuerzer als nach Linkcode (mind. C1) moeglich - Linkteil wird nicht ueber NOP erreicht, sondern mit BRA.L gleich am Fileanfang angesprungen. Loeschen Sie bitte das Teil Rest siehe STD-Crabs1-LVirus Nachtrag 99-02-09: Aktuell ist MiamiDx09d.beta - STD-Vag1-Install Installer Filename: CED417 #169872 Bytes Springt vom Fileanfang in das Linkteil Linkteil ist mit EOR codiert Linkteil soll an c:mount gelinkt werden (nur an dieses File) Loeschen Sie bitte das CED417-File Ein sauberer Ausbau ist NICHT moeglich, da der Originalzu- stand am Fileanfang mir unbekannt ist. Rest siehe STD-Vag1-Trojan - STD-Vag1-Trojan Fileverlaengerung: immer #800 Bytes Filename: nur c:mount Nicht Resetfest Ab KS2.04 Verbogene Vektoren: LoadSeg Decodiert ist im Linkteil zu lesen: 536e 6f6f7044 6f732053 SnoopDos S 7570706f 72742050 726f6365 73730043 upport Process.C 3a4d6f75 6e740072 756e203e 4e494c3a :Mount.run >NIL: 206e6577 7368656c 6c205443 50003232 newshell TCP.22 32370000 53544420 70726573 656e7473 27..STD presents 202d2056 6167696e 69746973 20233120 - Vaginitis #1 2d2d2064 69727479 206d6f6c 6521 -- dirty mole! Speicherverankerung: - FindTask veraendert - Ende - Examine veraendert - Ende - SnoopDos im Speicher - CCR wird veraendert - Loadseg wird verbogen Linkvorgang: - hinter den 1. Hunk von mount - Codierung mit EOR - Findtask nicht veraendert - Examine nicht veraendert - Suche nach RTS nur im letzten Langwort des 1.Hunks und Ersetzen durch NOP (dadurch kein "100% richtiger" Aus- bau moeglich vgl. auch Fungus) - FileDate zurueckschreiben Schaden: - Suche TCP in DosList - Setze hinter TCP (s.o.) einen Doppelpunkt - DosExecute run >NIL: ..... - Es soll also wahrscheinlich ein Fremdzugriff auf den Rechner ermoeglicht werden Vgl. auch alle anderen STD-Varianten und Fungus - STD-Vag2-Install Installer Filename: rexxkuang11.library 0.36 L: #31172 Bytes Springt im File mit BRA in das Linkteil Linkteil ist mit EOR codiert Linkteil soll an c:mount gelinkt werden (nur an dieses File) Loeschen Sie bitte die Lib Ein sauberer Ausbau ist NICHT moeglich, da der Originalzu- stand des Files mir unbekannt ist. Rest siehe STD-Vag2-Trojan - STD-Vag2-Trojan Fileverlaengerung: immer #800 Bytes Filename: nur c:mount Nicht Resetfest Ab KS2.04 Verbogene Vektoren: LoadSeg Decodiert ist im Linkteil zu lesen: 536e6f6f 70446f73 SnoopDos 20537570 706f7274 2050726f 63657373 Support Process 00433a4d 6f756e74 0072756e 203e4e49 .C:Mount.run >NI 4c3a206e 65777368 656c6c20 54435000 L: newshell TCP. 32353531 00005354 44207072 6573656e 2551..STD presen 7473202d 20566167 696e6974 69732023 ts - Vaginitis # 32202d2d 2066696c 74687920 77686f72 2 -- filthy whor 6521 e! Speicherverankerung: - FindTask veraendert - Ende - Examine veraendert - Ende - SnoopDos im Speicher - CCR wird veraendert - Loadseg wird verbogen Linkvorgang: - hinter den 1. Hunk von mount - Codierung mit EOR - Findtask nicht veraendert - Examine nicht veraendert - Suche nach RTS nur im letzten Langwort des 1.Hunks und Ersetzen durch NOP (dadurch kein "100% richtiger" Aus- bau moeglich vgl. auch Fungus) - FileDate zurueckschreiben Schaden: - Suche TCP in DosList - Setze hinter TCP (s.o.) einen Doppelpunkt - DosExecute run >NIL: ..... - Es soll also wahrscheinlich ein Fremdzugriff auf den Rechner ermoeglicht werden Vgl. auch alle anderen STD-Varianten und Fungus Zum Nachdenken: eine neuere Trojanvariante (3) haengt an einer aelteren Libversion (0.27) und umgekehrt ???? - STD-Vag3-Trojan Filename: rexxkuang11.library 0.27 L: #26532 Bytes Nicht Resetfest Ab KS2.04 Verbogene Vektoren: KEINE Vermehrung: Nein Decodiert mit EOR ist im Trojanteil zu lesen: 52554e20 3e4e494c 3a206e65 RUN >NIL: ne 77736865 6c6c2074 63703a32 33333300 wshell tcp:2333. ;... 53544420 70726573 STD pres 656e7473 20566167 696e6974 69732023 ents Vaginitis # 33202d2d 2d206469 6420796f 75206669 3 --- did you fi 6e642031 20616e64 20322079 65743f00 nd 1 and 2 yet?. Springt im File mit BRA in das Trojanteil Schaden: - Holt sich die DosBase wahrscheinlich aus einer Lib - Suche TCP in DosList falls nein Ende - DosExecute run >NIL: ..... - Es soll also wahrscheinlich ein Fremdzugriff auf den Rechner ermoeglicht werden Loeschen Sie bitte die Lib Vgl. auch alle anderen STD-Varianten und Fungus Zum Nachdenken: eine neuere Trojanvariante (3) haengt an einer aelteren Libversion (0.27) und umgekehrt ????