       
                    AntiCicloVir V1.2 -Dokumentation

                            C   1992

                              by

                           Matthias Gutt
                            Kantstr.16
                          W-2120 Lneburg


 Inhalt:

 1.0 Allgemeines

 2.0 Funktionen von AntiCicloVir Linkvirus-Statikum 1.2

 2.1 Virus-Check im Speicher

 2.2 Virus-Check auf der Diskette

 3.0 Benutzung des Linkviruskillers

 4.0 Sonstiges

 5.0 Anhang A (Computerviren)

     1. `Revenge of the Lamer Exterminator I+II`
     2. `Lamer LoadWB`
     3. `Return Of The Lamer Exterminator`
     4. `BGS9 I+II`
     5. `Bret Hawnes`
     6. `Color (TURK V1.3)`
     7. `CompuPhagozyte 1+2``
     8. `Disktroyer V1.0`
     9. `Disaster-Master V2`
    10. `SADDAM`
    11. `Smily Cancer I+II`
    12. `Terrorists`
    13. `T.F.C. Revenge LoadWB`


6.0 Anhang B (Bootblock-Viren)

     1. `16 Bit Crew`
     2. `2001`
     3. `AIDS`
     4. `Byte Bandit`
     5. `Byte Warrior`
     6. `Disk-Doktors`
     7. `Gadaffi`
     8. `H.C.S.`
     9. `LSD`
    10. `MAD`
    11. `MAD II`
    12. `North Star`
    13. `North Star II`
    14. `Pentagon-Slayer`
    15. `Revenge`
    16. `SCA`
    17. `Time Bomb`
    18. `T.F.C. Revenge`

7.0 Anhang C (Externe Betriebssystem-Routinen)

     1. `Disk-Validator`
     2. `RAM-Handler`
     3. `Port-Handler`








                      1.0 Allgemeines

Das Programm `AntiCicloVir V1.2` ist PD-Software und darf im unver-
ndertem Zustand frei weiter gegeben werden.
`AntiCicloVir V1.2` wurde den PD-Serien `AmigaLibraryDisks`,`FRANZ_PD`
,`,`Kickstart`,`Unicorn-PD`,`GSF_PD`, `ASSEMBLER_PD` und `TIME_PD` 
  zum Verffentlichen angeboten.
Dieser Linkviruskiller darf aber auch in jeder anderen Serie
und auch ohne dieses DOC-File verffentlicht werden.
`AntiCicloVir V1.2` darf auch zum Schutz von Disketten im `c`-
Verzeichnis jeder PD-Serie erscheinen.
Sollte ich dieses Programm jedoch im unangemessenen Zustand auf
einer PD-Diskette finden, so behalte ich mir das Recht vor, dieser
PD-Serie die weitere Verffentlichung von `AntiCicloVir V1.2` zu
untersagen.
NICHT erlaubt sind nderungen am Binr-code dieses Programms !
Nur zum eigenen Gebrauch darf dieses Programm verndert werden.
Dann darf es aber unter keinen Umstnden weitergegeben werden !
Auch dann nicht, wenn die nderungen rckgngig gemacht worden
sind !
Das unerlaubte ndern von Programm-Teilen und Ausgabe-Texten 
aus `AntiCicloVir V1.2` kann strafrechtlich verfolgt werden !!
Im brigen kann ich auch nicht fr die volle Fehler-Freiheit dieses
 Linkviruskillers garantieren.
ber Fehlfunktionen oder Mngel, die Sie bei `AntiCicloVir V1.2`
gefunden haben, knnen Sie mich jederzeit unterrichten !
Nutzen Sie dabei bitte die am Ende dieses Files stehende Anschrift !








            2.0 Funktionen von `AntiCicloVir Linkvirus-Statikum 1.2`
 

 
Das Programm `AntiCicloVir V1.2` ist ein recht einfach zu bedienender
 Linkviruskiller. 
Es wird wie ein `CLI`-Befehl vom AmigaDOS aus gestartet.
Das ist besonders fr Anfnger ntzlich, die keine Zeit haben
komplizierte Linkviruskiller-Anleitungen durchzuarbeiten !
Hinzu kommt, da die Bearbeitungsgeschwindigkeit von Disketten
sehr hoch ist !
Auerdem kann `AntiCicloVir V1.2` nicht nur Linkviren auf der Diskette,
sondern auch Linkviren im Speicher erkennen.
Das Programm kann brigens auch die externen Betriebssystem-Routinen
im Verzeichnis `L` ( `Disk-Validator`,`RAM-Handler` und `Port-Handler` )
auf Vernderungen berprfen, wenn zustzlich zum Namen des angewhlten
Laufwerks noch das Verzeichnis `L` angegeben wird !
Beispiel: `AntiCicloVir DF0:L` !
Damit lassen sich schon zuknftige `Linkviren` aufspren !
Beim Aufruf der Hauptfunktion des Programmes wird sogar eine `System-
Vektoren-Tabelle` angezeigt, die Informationen ber den Zustand des
Rechners nach einem Reset ausgibt !
Zustzlich kann das Programm auch noch 18 `Bootblock`-Viren im Speicher
erkennen, die im Anhang B beschrieben sind !
Der Linkviruskiller kann sich auch selbst auf eine Vernderung hin
berprfen und somit einer Gefahr durch eine Linkvirusinfektion
entgehen !
Damit wren auch schon alle Aufgaben dieses Linkviruskillers im
Wesentlichen genannt !




                    2.1 Virus-Check im Speicher


Wenn Sie dieses Programm vom `CLI` aus ohne Angaben von Pfadnamen
oder Diskettenverzeichnissen starten, dann wird nur ein Virus-
Check im Speicher ausgefhrt !
Zur Zeit erkennt `AntiCicloVir V1.2` die Viren `Revenge of the Lamer
Exterminator`,`BGS 9 I`,`BGS 9 II`,`Bret Hawnes`,`Color (TURK V1.3)`,
`CompuPhagozyte 1`,`CompuPhagozyte 2`,`SADDAM`,`Smily Cancer` und 
`Terrorists` im Speicher und entfernt sie !
Sobald ein Virus im Speicher entdeckt wurde, wird eine Warnung
ausgegeben und das Virus automatisch gelscht.
Leider kann der Linkviruskiller dabei nicht zwischen den Viren
`BGS 9`,`BGS 9 II` und `Terrorists` unterscheiden.
Deshalb warnt er sie vor allen dreien Viren.
Das neue `BGS 9 II`-Virus unterscheidet sich vom alten `BGS 9`-Virus
nur so gering, da auch die Routine zum Lschen des `BGS 9`-Viruses
ausreicht, um das neue Virus zu lschen !
Genauso verhlt es sich mit dem `Terrorists`-Virus !
Wenn Sie dieses Programm gestartet haben, verndern sich zuerst
die Bildschirmfarben .
Dies deutet immer daraufhin, da das Programm aktiviert wurde und
noch funktioniert.
Hierauf erscheint die `System-Vektoren-Tabelle`, in denen die
aktuellen Adressinhalte der Zeiger `ColdCapture`,`CoolCapture`,
`WarmCapture`,`KickMemPtr`,`KickTagPtr` und `KickCheckSum`
angegeben werden.
Ich glaube, da ich Ihnen die nhere Bedeutung, dieser auch Anfngern
bekannten System-Zeiger, nicht erklren brauche.
Zeigt ein Vektor nicht auf die Adresse `$00000000`, so befindet
sich ein resetfestes Programm im Speicher.
In den meisten Fllen wird es sich dabei wohl eher um `Bootblock`-
Viren, als um `Linkviren` handeln !
Anschlieend wird ein Virus-Check des Speichers durchgefhrt.
Aber auch dann, wenn kein Virus im Speicher gefunden wurde, setzt
`AntiCicloVir V1.2` automatisch die Vektoren `CoolCapture`,`KickTagPtr`
 und `KickCheckSum` wieder auf null.
Abschlieend wird noch der Speicher auf 18 `Bootblock`-Viren berprft,
die im `Anhang B` beschrieben worden sind !
Wenn Sie dieses Farbsignal lstig finden oder wenn es unter Ihrem
Betriebssystem ( `KickStart 2.04` ??? ) evtl. einen Systemabsturz
verursacht, dann knnen Sie als Option `-n` beim Aufrufen angeben,
damit das Farbsignal unterdrckt wird !
Bevor Sie unter AmigaDOS mit Files arbeiten oder mit einem Link-
viruskiller Disketten durchchecken, sollten Sie vorher immer den
Speicher berprfen !
Denn manche Linkviren knnen sich schon beim Diskettenwechsel
weiterkopieren, whrend Sie Ihre Disketten auf Linkviren checken.
Es gibt einige Linkviruskiller, die Viren nur auf der Disk als
File erkennen knnen, aber gerade dies hat den Nachteil, da diese
Viren nicht effektiv entfernt werden knnen.
Denn stellen Sie sich beispielsweise vor, da Sie gerade Ihre komplette
 Disketten-Sammlung auf Linkviren mit einem derartigen Viruskiller
berprfen, whrend sich ein Linkvirus im Speicher befindet !!
Das Ergebnis wre, da womglich nun Ihre komplette Disketten-
Sammlung mit Linkviren verseucht wre !!
Der sicherste Schutz gegen Linkviren bleibt jedoch immer noch
der Schreibschutz !
Denn es wird nie einen Viruskiller geben, der alle aktuellen Viren
erkennen kann.
Dafr gibt es einfach zu viele Virus-Programmierer !







                   2.2 Virus-Check auf der Diskette


Wenn Sie Ihre Disketten auf Linkviren checken wollen, dann men
Sie zustzlich zum Namen, unter dem Sie `AntiCicloVir V1.2` vom `CLI`
aus aufrufen, auch noch das entsprechende Laufwerk,Verzeichnis
oder die entsprechende Datei angeben !
Dabei erscheint im brigen kein Grafik-Signal mehr, sondern die
entsprechende Diskette wird sofort gecheckt !
Doch auch bei dieser Funktion wird vorher noch der Speicher auf
Linkviren berprft !
Wird ein Virus auf der Diskette gefunden, dann wird eine Warnung
ausgegeben und das Virus gelscht !
Momentan erkennt `AntiCicloVir` die Viren `Revenge of the Lamer Exterminator`,
`Revenge of the Lamer Exterminator II`,`BGS 9`,`BGS 9 II`,`Bret Hawnes`,
`Lamer LoadWB`,`Color (TURK V1.3)`,`CompuPhagozyte 1`,`CompuPhagozyte 2`,
`DAG Creator`,`Disaster-Master V2`,`Disktroyer V1.0`,`Return of the
Lamer Exterminator`,`SADDAM`, `Smily Cancer II`, `T.F.C. Revenge LoadWB`
und `Terrorists` !
Informationen zu diesen 17 File-Viren finden Sie im Anhang A !
Die Bearbeitungsgeschwindigkeit von `AntiCicloVir_V1.2` ist sehr hoch !
Denn das Programm, wei wo es diese Viren auf der Diskette zu
suchen hat, so da es nicht ganze Verzeichnisse durchstbern
braucht, was natrlich sehr viel Zeit kostet !
Fast im selben Moment, in dem Sie `AntiCicloVir V1.2` mit der Angabe
des Pfadnamens gestartet haben, ist es auch schon mit dem Virus-Check
fertig !
Sie brauchen also nicht, bei 10 Disketten-Neuzugngen alle
fnf Verzeichnisse pro Disk auf Linkviren durchzuchecken, sondern legen
einfach die Disk ein und tippen :` AntiCicloVir DF0:` und in
krzester Zeit ist die komplette neue Diskette geprft !
Diesen Geschwindigkeitsvorteil bezahlen Sie allerdings mit einem
 Sicherheitsmangel ! 
Denn diese 17 Fileviren gehren zu den am weitesten verbreiteten
 ihrer Spezies, aber es gibt natrlich auch noch andere !
Trotzdem habe ich vor, auch bei den nchsten Versionen von `AntiCicloVir`,
 die mehr Linkviren erkennen werden knnen, die Bearbeitungsgeschwindigkeit
 so hoch wie mglich zu halten.
Denn ich wei aus eigener Erfahrung wie lstig es sein kann, mit
einem Linkviruskiller jedes File einer einzelnen Disk auf Linkviren
zu checken; vor allem dann ,wenn man viele PD-Disketten tauscht  !
`AntiCicloVir V1.2` untersttzt alle vier Laufwerke, sowie das RAM-
Verzeichnis ! 
Wichtig ist es noch zu wissen, da `AntiCicloVir` in dieser Version
sich nun auch selbst auf Vernderungen hin berprfen kann.
Gegen `Langfinger`, die einige Passagen des ASCII-Textes ndern
wollen, ntzt dies zwar nichts, da nicht das komplette Programm
geprft wird !
Aber mit dieser Routine kann jedes ( auch unbekannte ) `Linkvirus`
aufgesprt werden, welches sich selbst in `AntiCicloVir` abgespeichert
hat !!!
Diese `Selbstkontroll-Routine` funktioniert nur, wenn Sie den 
Linkviruskiller unter dem Namen `AntiCicloVir` in`s Hauptverzeichnis
einer Diskette abgespeichert haben und nun mit der Angabe des
Laufwerks als Option ( Beispiel: `AntiCicloVir DF0:` ),die Diskette
im entsprechenden Laufwerk checken !
Dabei wird die `Hunk-Tabelle` auf neue Eintrge berprft !
Wurde ein neuer Eintrag gefunden ( `Linkvirus` ), so wird eine Warnung
ausgegeben.

ACHTUNG !!!
Es kann sein, da `AntiCicloVir V1.2` sich selbst als infiziert einstuft,
wenn es mit einem bestimmten Komprimierungsprogramm bearbeitet wurde !

Auch wenn `AntiCicloVir_V1.2` festgestellt hat, da es mit einem
`Linkvirus` infiziert ist, arbeitet es normalerweise ganz gewhnlich
weiter und ist nicht beeintrchtigt !
Ist `AntiCicloVir` also mit einem derartigem Virus infiziert, so sollten
Sie es auf keinem Fall dazu benutzen, um weitere Disketten zu checken,
da nun die Gefahr besteht, da alle kontrollierten Disketten mit diesem
Virus infiziert werden !!!
Deshalb rate ich Ihnen zum Kontrollieren von Disketten, eine virusfreie
Kopie von `AntiCicloVir` zu benutzen und das infizierte Programm mir zu
zusenden, damit ich es analysieren kann.
Falls vorhanden, werden Sie von mir die aktuellste Version, sowie eine
kurze Beschreibung des Viruses, erhalten !
Bei einer Infektion mit dem `Smily Cancer`-Virus (siehe Anhang A) ist mir
aufgefallen, da `AntiCicloVir` danach nur noch funktioniert, wenn es
ohne Option gestartet wird.
Bei der Angabe irgendeiner Option zum Programmnamen, kommt es, bei einem
mit einem `Smily Cancer`-Virus infizierten `AntiCicloVir`, zu einem
`task held error` !!!
Der Grund dafr, ist mir nicht klar !
Aber ich vermute, da der Fehler im `Smily Cancer`-Virus liegt !
brigens kann die Version 1.2 meines Linkviruskillers nun auch den
Aufruf von Viren aus der `startup-sequence` lschen.
Dabei wird ein Linkviruskiller-eigener Text (Eigenwerbung) in die unteren
Bytes der `startup-sequence` geschrieben.
Damit verschwindet automatisch ein mglicher ( unsichtbarer ) Virusaufruf.
Dieser Kommentartext schtzt die betroffene Diskette, auch vor einer
erneuten Infektion mit manchen `Linkviren` !!!
Einige `Linkviren` suchen in der `startup-sequence` an erster Stelle
nach einem ASCII-Text und warten bis sie auf ein Returnzeichen treffen.
Sie nehmen an, da die ASCII-Zeichen vor dem Returnzeichen den Aufruf
eines Programmes darstellen und suchen nun dieses Programm auf der
Diskette, um sich dort hineinkopieren zu knnen.
Da der Kommentartext kein gltiger Dateiname ist, werden die Viren dieses
Programm nicht auf der Diskette finden und knnen sich somit nicht
weiterkopieren !!
Mit der Version 1.2 von `AntiCicloVir` knnen Sie nun auch die externen
Betriebssystem-Routinen im Verzeichnis `L` Ihrer Disketten berprfen !
Dabei wird nur geprft ,ob die Routinen `Disk-Validator`,`RAM-Handler`
und `Port-Handler` den Standard-Routinen entsprechen !
Spezielle `Disk-Validator`-Viren wie `SADDAM` oder `Return of the Lamer
Exterminator` knnen aber nur bei Angabe des Laufwerks ohne Verzeichnis
erkannt werden !
Leider gibt es zur Zeit noch vier weitere `Disk-Validator`, die mir
nicht bekannt sind und die `AntiCicloVir V1.2` als `non-standard Disk-
Validator` einstuft !
Da `AntiCicloVir` in der jetzigen Version nur 17 bzw. 18 Fileviren
erkennt, brauchen Sie beim Durchchecken einer Diskette keine
Unterverzeichnisse anzugeben, sondern einfach nur das `Laufwerk`,
in dem sich die betroffene Diskette befindet !






                  3.0 Benutzung von `AntiCicloVir V1.2`

  
Sie sollten jeden Disketten-Neuzugang mit `AntiCicloVir V1.2` prfen !
Oft kommt es zwar nicht vor, da sich ein Linkvirus auf einer neuen
 Diskette befindet, aber ausschlieen kann man es auch nicht !
Schlielich ist es noch zu empfehlen `AntiCicloVir` ins `c`-
Verzeichnis jeder Diskette zu kopieren, die man schtzen will
und den Aufruf in die `s/startup-sequence` zu schreiben !
So lassen sich Linkviren sofort nach der Infektion einer Diskette
im Speicher aufspren und knnen gelscht werden !
Eine sehr wichtige Erweiterung stellt auch die `System-Vektoren-
Tabelle` dar, anhand derer man ablesen kann, ob sich ein resetfestes
Programm im Speicher befindet.
In den meisten Fllen wird es sich hierbei wohl um `Bootblock`-
Viren handeln !
Ein paar `Bootblock`-Viren knnen ja nun mittlerweile auch im Speicher
erkannt werden.
Allerdings kann `AntiCicloVir V1.2` keinen effektiven Schutz vor `Bootblock`-
Viren bieten, da es erstens noch zu wenige von ihnen erkennt und
zweitens die `Bootblock`-Viren nur im Speicher aufspren kann !
Also genau dann, wenn sie schon Ihr System erobert und mit ihrem
Zerstrungswerk begonnen haben !
Die Routine zum Erkennen von `Bootblock`-Viren habe ich nur deshalb
eingebaut, da es nicht selten vorkommt, da beim Durchchecken von Disketten
auf `Linkviren` sich schon ein `Bootblock`-Virus im Speicher befindet
und ebenfalls Disketten infizieren kann !
Hat `AntiCicloVir` also mal ein `Bootblock`-Virus im Speicher gefunden,
dann sollten Sie Ihre Disketten mit einem Programm wie beispielsweise
`VirusX` kontrollieren !
`AntiCicloVir` kann nun auch von der `Workbench`-Oberflche aus gestartet
werden !
Groe Dienste im Kampf gegen Linkviren kann auch der `CLI`-Befehl
 `List` leisten !
Sollten Sie nach einem Virus-Check mit `AntiCicloVir` trotzdem
noch mitrauisch sein, dann knnen Sie sich die Verzeichnisse
der Diskette auflisten lassen !
Finden Sie dort Files, die mit einem unsichtbaren Namen abgespeichert
worden sind oder Files die gerade heute abgespeichert worden
sind, was am Zusatz `Today` ersichtlich ist, dann besteht Linkviren-
Gefahr !!











                      4.0 Sonstiges

Natrlich bin ich immer an neuen `File`- und `Link`-Viren interessiert !
Sollten Sie selbst neue Viren haben, dann knnen Sie sie an meine
Adresse mit einem entsprechenden Vermerk gekennzeichnet schicken !
Ich werde Ihnen dann die neueste Version von `AntiCicloVir` zuschicken
und Sie in meiner `Dokumentation` erwhnen !
Ich mchte noch einmal darauf hinweisen, da ich fr die volle Fehler-
freiheit von `AntiCicloVir` nicht garantieren kann.
Allerdings habe ich unzhlige Male alle Routinen in verschiedensten
Situationen getestet und mir ist nie ein Fehler aufgefallen !
Im Gegensatz zu vielen meiner frheren Programme, bin ich davon berzeugt,
da `AntiCicloVir` zu 100 % so funktioniert, wie es funktionieren
sollte.
Haben Sie dennoch Bedenken, dann knnen Sie die Disketten ,welche Sie
mit dem Linkviruskiller checken, mit einem Schreibschutz versehen,
damit bei einem evtl. Schreibzugriff des Viruskillers auf die Diskette
keine Datei zerstrt wird.
Die anschlieend erscheinende `Requester`-Meldung von Seiten des
Betriebssystems knnen Sie `canceln`, so da der Linkviruskiller
den Schreibzugriff abbricht !
Es wurde mit dem `seka v1.5` in ASSEMBLER geschrieben und mte unter
allen gngigen `KickStart`s laufen.
Es werden keine bestimmten System-Bibliotheks-Versionen beansprucht
und das Programm bentigt auch keine festen ROM-Adressen !
Ich habe dieses Programm extra so programmiert, da es unter allen
gngigen und hoffentlich auch zuknftigen KickStart-Versionen 
funktionieren mte !
Das Programm bentigt die Datenregister : d0-d6
"   "        "        "   Adressregister: a0,a1,a4,a6
Das Programm bentigt die 
                      Systembibliotheken: `dos.library` ( keine Version bevorzugt )
"   "        "        "                   `intuition.library` ( keine Version bevorzugt )

                   Bibliotheksfunktionen: `OpenLibrary`
                                          `CloseLibrary`
                                          `Open`
                                          `Close`
                                          `Write`
                                          `Read`
                                          `Delay`
                                          `DeleteFile`
                                          `AllocAbs`
                                          `OpenWindow`
                                          `CloseWindow`
                                          `WaitPort`
                                          `Rename`
                                          `AllocMem`
                                          `FindTask`
                                          `GetMsg`
                                          
Es gibt allerdings zwei mgliche Quellen fr einen Systemabsturz unter
anderen Betriebssystemen !
Die erste wre das Farbsignal.
Es kann sein, da dieses Farbsignal, welches zu Beginn von `AntiCicloVir`
erscheint, wenn es ohne Angabe von Optionen gestartet wurde, bei
`KickStart 2.04` einen Systemabsturz verursacht, wegen evtl. genderter
Adressen einiger Grafikregister !
Abhilfe schafft hier die Angabe von `-n` als Option, welche das Farbsignal
unterdrckt !
Eine zweite Ursache, wre die Tatsache, da `AntiCicloVir V1.2` ab $75000
im Speicher einen Bereich von 5000 Bytes reserviert, in dem es Dateien
zwischenspeichert, um sie zu analysieren !
Bei meinem Amiga gab es damit nie Probleme, doch das knnte unter anderen
`KickStart`s` anders sein !
Da `AntiCicloVir` sowieso nur sinnvoll vom `CLI` aus genutzt werden kann,
empfehle ich, da man den Speicher nicht zu sehr berldt und kein
weiteres Programm gleichzeitig laufen lt !

brigens wurde der Haupt-Teil des Programmes `AntiCicloVir` zu ca. 80 %
umprogrammiert, so da die Version 1.2 jetzt noch leistungsfhiger ist.







                           Anhang A

In diesem Anhang werden noch einmal die Computerviren beschrieben,
die `AntiCicloVir V1.2` erkennt.





                 `REVENGE OF THE LAMER-EXTERMINATOR`

Von diesem Virus erkennt `AntiCicloVir` die beiden Varianten des 
`Revenge of the Lamer-Exterminator`-Viruses 1 und das `Revenge of
the Lamer-Exterminator`-Virus 2. 
ber diese Viren wurde schon oft viel geschrieben.
Momentan gibt es zehn verschiedene Bootblock-Viren, des Types `LAMER
EXTERMINATOR` und vier verschiedene Fileviren dieser Art:
`Revenge of the Lamer-Exterminator 1`,`Revenge of the Lamer-Exterminator 2`,
`Lamer loadwb` und `Return of the Lamer-Exterminator` !
Davon erkennt zur Zeit `AntiCicloVir` alle `Fileviren` !
Das `Return of the LAMER Exterminator`-Virus ist das derzeit aktuellste
Virus der `LAMER Exterminators` und ich vermute wohl auch letzte,
da ich schon lange von diesen Programmierern nichts mehr gelesen habe !
Die `Ideologie` der Programmierer der `Lamer Exterminator`-Viren ist es,
alle Anfnger bzw. Leute, die den Amiga nur zum `Daddeln` brauchen zu
frustrieren, damit sie den Amiga aufgeben.
Nach deren Meinung schaden diese Leute nur dem Image des Amiga`s und
trugen zum erheblichen Teil dazu bei, da dieser Rechner zum `Spiele-
computer` verschrien wurde.
Sie gehen davon aus, da es sich bei diesen `LAMER`n ( bedeutet so viel,
wie `Anfnger` oder `Versager`) um Leute handelt, die entweder 
nicht gengend Ahnung von ihrem Rechner haben ( und auch nicht 
haben wollen ) oder da diese Leute sowieso `unintelligent` sind.
Diese Viren sind somit auch gewisse `LAMER-Tests`, denn nach der
Meinung der Programmierer knnen nur Anfnger auf derartige Programme
hereinfallen und gerade die sollen ja mit diesen Programmen wohl
auch getroffen werden. 
Sie erhoffen sich davon, da stndiges Formatieren und Zerstren von
Disketten ihnen den Spa am Amiga verdirbt ...

`AntiCicloVir V1.2` erkennt die beiden Varianten des `Revenge of the
Lamer-Exterminator`-Viruses, sowie das `Revenge of the Lamer-Exterminator`-
Virus 2 !
Im Folgenden werde ich hauptschlich nur das `R.L.E.`-Virus Nr. 1
beschreiben.

Vom `Revenge of the Lamer-Exterminator`-Virus 1 gibt es zwei Varianten !
Die erste tarnt sich als `Dos-speedup`-Programm mit dem Namen
`DosSpeed` und kann wohl nur durch einen unwissenden Benutzer selbst
aktiviert werden, der dieses Programm von der Diskette startet.
Die zweite Variante tarnt sich als unsichtbares Programm auf der
Diskette und schreibt ihren Aufruf in die `s/startup-sequence` !
Mit jedem Abarbeiten der `s/startup-sequence` nach einem Boot-Vorgang
wird das Virus aktiviert.
Das Virus schreibt sich unter einem Namen, der in hexadezimal dem Wert
`A0A0A0A0A0` entspricht, auf die Diskette.
Geben Sie im AmigaDOS den Befehl `type "[Tastenkombination]"` an, dann
knnen Sie dieses unsichtbare Programm aufgelistet bekommen.
Auch wenn Sie die `s/startup-sequence` auflisten, knnen Sie den
Aufruf an erster Stelle an den Bytes `A0A0A0A0A0` erkennen.
Im Diskettenverzeichnis werden Sie dieses Virus jedoch vergeblich
suchen, da es sich nicht ber`s File-System, sondern mit Hilfe des
`trackdisk.device` auf die Diskette kopiert hat !
 
Sobald das Virus gestartet wurde, setzt es eine `MemList`-Struktur in
den Speicher und verbiegt den `KickTagPtr`.
So ist es nach jedem RESET aktiv.
Im Speicher richtet es aber noch eine Menge anderer Dinge an, die
ich gar nicht alle genau beschreiben kann, da ich mir das Virus-
Programm im Speicher noch nicht so genau angeschaut habe !
Schon whrend des Abarbeitens der `s/startup-sequence`, kann es
zu grafischen Strungen kommen.
Das Virus scheint auch verschiedene Adressen und Register zu manipulieren,
so da Viruskiller beispielsweise genarrt werden.
Befindet sich das Virus nmlich im Speicher, so erkennen es viele
Viruskiller gar nicht auf der Diskette.
Wenn Sie sich jetzt die `s/startup-sequence` einer befallenen Diskette
oder etwa das Virus selbst anschauen wollen, so werden Sie nichts
finden !!
Denn das Virus im Speicher hat sich praktisch auf der Disk ausgeblendet.
Deshalb sollten Sie sich auch IMMER vergewissern, ob sich nicht womglich
das `Revenge of the Lamer-Exterminator`-Virus im Speicher befindet,
wenn Sie gerade mit einem Linkviruskiller eine Diskette auf dieses
Virus hin berprfen !!

Nachdem sich das Virus in den Speicher kopiert hat, beginnt es noch ca.
acht bis zehn Minuten lang den Anwender zu rgern, indem es mal beim
Abarbeiten der `s/startup-sequence` verschiedenste Fehler verursacht
oder Programme strt.
Mal lt es den Mauszeiger im `zz`-Zustand verweilen, dann lt es
`Icon`s oder ganze Programme scheinbar aus bestimmten Verzeichnissen
verschwinden oder es lst sinnlose Fehler-Meldungen aus !
 
Ist diese `Galgenfrist` abgelaufen, so beginnt das Virus mit der
`Formatierungsroutine`.
Ist die aktuelle Diskette zu diesem Zeitpunkt schreibgeschtzt, so
macht sich das Virus nur durch ein verrterisches Aufblinken der
`Laufwerks-LED` bemerkbar und bricht die Routine sofort wieder ab
und wartet weitere zehn Minuten !!

Ist die Diskette jedoch nicht schreibgeschtzt, so beginnt das Virus
damit die Diskette zu formatieren und schreibt wohl in jeden Daten-
block das Wort `Lamer` hinein ! 
Nachdem die Diskette zerstrt ist, erscheint noch ein drei Seiten ( ! )
langer `Alert` !
Der einfachere Weg, um sich in den Genu derartigen Textwerkes zu
bringen besteht darin, da man sich seine Diskette von dem `Revenge
of the Lamer-Exterminator`-Virus zerstren lt und sich anschlieend
den `Alert` durchliest !
Der etwas kompliziertere Weg wre das Durchlesen des Anhanges A aus
meiner Dokumentation.
Hier folgt nun also gleich der englischsprachige Text aus diesem
`Alert` !
Fr uns dummen `Lamer`s wurde dieser Text extra in einem sehr
simplen umgangssprachlichen Englisch abgefat, so damit wir ( die
Zielgruppe ) ihn ja auch verstehen knnen.
Ich mchte noch einmal betonen, da der Inhalt dieses folgenden Textes
keineswegs mit meiner Meinung bereinstimmt !!!!!!
Deshalb habe ich ihn auch in Anfhrungszeichen gesetzt !!
Ebenfalls erwhnen mchte ich, da die einzelnen Abstze mit dem
von mir wiedergegebenen Text, nicht mit dem Originaltext bereinstimmen
mssen !
Es folgt der `Revenge of the Lamer-Exterminator`-Alert:




               Revenge Of The Lamer-Exterminator

                         RED ALERT:

`It has come to my attention that the person using this computer
 is a LAMER. (+)
 We the people, who are responsible for the "Revenge of the LAMER
 Exterminator" Virus, believe that only intelligent folk are fit
 to use the AMIGA Personal Computer.
 Since you were apparently not smart enough to prevent infection of
 your computer and software by this virus
 ( You should have used a condom )
 we must assume that you are a LAMER ( a.k.a. LOSER ) and therefore
 we had no alternative but to erase your floppy disk(s) in order
 to get your attention.

                   - Press Any Mousebutton -

 We are eagerly looking forward to the first Amiga magazine that
 explains the inner workings of this brilliant ( at least we think
 so ) virus.
 However, we are not very confident, since the three versions of
 the original LAMER Exterminator Virus have never really been
 properly analysed in any Amiga magazine.

 We have made this virus a little bit more aggressive so that more
 people will recognize it and hopefully will learn something so as
 to overcome the dreadful disease of LAMERism.

 By the way , the A in LAMER is pronounced like the A in DAY ( LAMER
 people do not know proper English in our experience )

                   - Press Any Mousebutton -


                  Signed

 Foundation for the Extermination of LAMERS. ( ++ )

 (+) You can recognize a LAMER or LOSER as someone who can only
 use the Ctrl-Amiga-Amiga keys on his Amiga, and might even know
 how to load X-Copy ...

 (++) Due to the primitive and violent nature of some LAMERS,
 we have decided against revealing our real identities, so as
 to prevent unnecessary visits to the local hospital on our part !`

                   Coming soon to a theatre near
                              you:

                     +++ The Lamer Exterminator -
                         A new Beginning +++

                            Rated PG

       - Press Any Mousebutton To Continue Being A LAMER -


Soweit der Text aus dem `Revenge of the Lamer-Exterminator`-Virus !
Bleibt mir noch hinzu zu fgen, da sich das Virus nicht ein zweites
Mal auf die selbe Diskette kopiert, sondern sich - im Gegenteil - 
sogar wieder lscht !
Dabei vergit es allerdings seinen Aufruf aus der `s/startup-sequence`
zu entfernen, weshalb es zu AmigaDOS-Fehlermeldungen kommt, falls diese
Diskette ein weiteres Mal gebootet wird.

Das `Revenge of the Lamer-Exterminator`-Virus 2 funktioniert so hnlich
wie sein `Vorgnger` !

Im Gegensatz zur Version 1.0 von `AntiCicloVir`, erkennt die neue Version
1.1 das `Revenge of the Lamer-Exterminator`-Virus nun auch im
Speicher und warnt Sie davor !
Leider kann es das Virus nicht komplett aus dem Speicher lschen, da
es einfach zu viele Vektoren verbiegt (ber ein halbes Dutzend ) !
Bei derartig vielen verbogenen Vektoren besteht fr mich zum Einem
die Gefahr, da ich nicht wei wie man einzelne Zeiger zurcksetzt,
oder sie gar bersehe und zum Anderen die Gefahr, da die Adressen
bestimmter `ROM`-Routinen unter anderen `KickStart`-Versionen ver-
schieden sind und `AntiCicloVir` so evtl. auf anderen Rechnern nicht
funktioniert !!
Deshalb erscheint nachdem `AntiCicloVir` dieses Virus im Speicher
gefunden hat, eine Meldung in der Sie aufgefordert werden alle
W I C H T I G E N Diskettenoperationen abzuschlieen und anschlieend
einen Reset auszufhren !!
Das Programm hat die Resident-Vektoren mittlerweile zurckgesetzt,
so da es nach einem Reset gelscht ist.
Aber ansonsten ist dieses Virus noch vollkommen aktiv im Speicher
ttig und kann innerhalb der nchsten acht Minuten Ihre Diskette
zerstren !!!
Deshalb sollten Sie wirklich nur WICHTIGE Diskettenoperationen ausfhren
( Beispiel: Eine wichtige Datei, die nur im Speicher steht, noch schnell
            auf eine Disk abspeichern ! )
A C H T U N G !!!
Mir ist es beim Testen dieses Viruses passiert, da es eine Diskette
auch beim normalen AmigaDOS-Schreibzugriff zerstrt hat !
Es kann also sein, da es durch Schreiboperationen ebenfalls aktiviert
wird !
A C H T U N G !!!
Auch nachdem `AntiCicloVir_V 1.2` dieses Virus im Speicher erkannt und
zwei Zeiger gelscht hat, kann es es weiterhin nicht auf der Diskette
erkennen, so lange es im Speicher steht !
Deshalb am besten gleich Reset auslsen !!
Dafr erkennt es aber beide Varianten des `Revenge of the Lamer-Exterminator`-
Virus 1 und das `Revenge of the Lamer-Exterminator`-Virus 2 und lscht
sie sofort !
Bei der Version 1.0 des Linkviruskillers muten Sie noch den Aufruf
`eigenhndig` aus der `s/startup-sequence` lschen.
Doch dieses ist bei der Version 1.1 nicht mehr ntig, da der Linkviruskiller
diese Aufgabe bernimmt !!












                           `Lamer LoadWB`


Bei diesem 4172 Bytes groen Virus handelt es sich um ein Programm,
welches sich im `c`- oder Hauptverzeichnis als `CLI`-Befehl
`LoadWB` tarnt !
Gleich nach seinem Aufruf erzeugt es allerdings das alte `LAMER 
Exterminator`-Bootblock-Virus im Speicher und ldt anschlieend die
`Workbench` !
Das `LAMER Exterminator`-Virus ist hiernach sofort aktiv und kann alle
ungeschtzten Disketten infizieren, indem es sich in den `Bootblock`,
der jeweiligen Disketten kopiert !
Das `LoadWB`-Programm kann sich jedoch selbst nicht weiterkopieren !
Bei diesem Programm handelt es sich auch noch um ein sehr altes
Exemplar, aus der Phase der `LAMER Exterminator`-Programmierung !
Der ASCII-Text `The LAMER Exterminator ...` im Programm `LoadWB`
ist beispielsweise nicht kodiert und kann so leicht als Virus
identifiziert werden !
`AntiCicloVir_V1.2` kann das `Bootblock`-Virus `LAMER Exterminator`
im Speicher nicht lschen ! ( Bitte benutzen Sie einen entsprechenden
Viruskiller )
Mein Linkviruskiller kontrolliert jeden `LoadWB`-Befehl im `c`- oder
Hauptverzeichnis und warnt Sie und lscht ihn, wenn es sich um
das `Lamer LoadWB`-Virus handelt !
Da es sich selbst nicht weiterkopiert, kann es sich nur auf Disketten
befinden, auf die es jemand mit oder ohne Absicht kopiert hat !
Es wird also nicht weit verbreitet sein !









                  `Return Of The Lamer Exterminator`


Dieses 1848 Bytes groe `Filevirus` ist meiner Meinung nach das gefhrlichste
Programmvirus ,das in dieser Dokumentation beschrieben wird !
Es ist das zweite `Disk-Validator`-Virus ( siehe auch `SADDAM` ) !
Ob dieses Virus das erste Virus war, welches sich als `Disk-Validator`
weiterkopiert, oder ob es erst nach dem `SADDAM`-Virus programmiert
wurde, ist mir nicht bekannt !
Jedenfalls bin ich mir sicher, schon sehr frh von diesem Virus gelesen
zu haben, als es das `SADDAM`-Virus noch nicht gab.
Deshalb vermute ich, da der `Return Of The Lamer Exterminator` das erste
`Disk-Validator`-Virus war !
Da das `SADDAM`-Virus im Gegensatz zum `Return Of The Lamer Exterminator`-
Virus, auch ein eigenes `L`-Verzeichnis auf einer infizierten Diskette
anlegen kann, konnte es sich wesentlich schneller verbreiten, als das
`Return Of The Lamer Exterminator`-Virus !
Wie bereits erwhnt, tarnt sich das `Return Of The Lamer Exterminator`-Virus
als `Disk-Validator` im Verzeichnis `L` einer infizierten Diskette !
Im Gegensatz zum echten `Disk-Validator`, beinhaltet es keinen `ASCII`-Text.
Es kopiert sich nur auf Disketten, die selbst ein `L`-Verzeichnis besitzen
und kann also kein eigenes Verzeichnis anlegen !
Auf jede Diskette, auf die es sich kopiert hat, speichert es eine ungltige
`BAM` ( `Block Allocation Map` ) ab !
Diese ungltige `BAM` veranlat das Betriebssystem Ihres Rechners, schon
beim Einlegen einer infizierten Diskette, den `Disk-Validator` zu starten.
Dadurch wird das Virus automatisch aktiviert !!!
In der `BAM` jeder Diskette stehen die Angaben ber die bereits belegten
Datenblcke einer Diskette.
Diese Angaben sind fr AmigaDOS wichtig, damit es beim spteren Abspeichern
von Programmen wei, welche Blcke nicht mehr berschrieben werden knnen !
Ist diese `BAM` ungltig, so hat die Diskette einen `Disk Validating Error`
und mu `validiert` werden !
Das Betriebssystem startet dafr die Routine `Disk-Validator` im Verzeichnis
`L`, um alle Block-Angaben in den Speicher zu lesen, damit die Diskette
doch noch beschrieben werden kann !
Ich wei zwar nicht, wie es auf hheren `KickStart`s als 1.3 geregelt ist,
aber ich wrde dafr pldieren, da `Commodore` diese nur 1848 Bytes
groe `Disk-Validator`-Routine in`s ROM verfrachtet, damt weitere
Viren dieser Art erst gar keine Chancen mehr haben !!!
Beachten Sie bei diesem Virus auch, da es schon beim Einlegen einer
infizierten Diskette als Virus im Speicher steht !
Im Speicher verbiegt es die Vektoren `KickTagPtr` und `KickCheckSum` auf
eine eigene `MemList`-Struktur, mit der es resetfest im Speicher bleibt !
Der `BeginIO`-Vektor wird verbogen und noch eine ganze Menge weitere
Vektoren, die ich leider alle gar nicht zurcksetzen kann ...
Das Virus kopiert sich also beim Einlegen einer Diskette und beim Booten
weiter, sofern diese Disketten ein `L`-Verzeichnis besitzen !
Besonders gemein an diesem Virus ist, da man es nicht von der Diskette
lschen kann, wenn es schon im Speicher steht !
Aber nun die zweite schlechte Nachricht: 
JEDESMAL WENN MAN EINE INFIZIERTE DISKETTE IN`S LAUFWERK LEGT, KOPIERT
SICH DAS VIRUS SCHON IN DEN SPEICHER !!!

Lschen kann man den Virus-`Disk-Validator` deshalb nicht, weil bei jedem
Versuch, wenn das `Return Of The Lamer Exterminator`-Virus schon im Speicher
steht, die Fehlermeldung `object in use` erscheint !
Ich vermute, da folgender simpler Trick dafr verantwortlich ist !
Wenn man eine Datei ffnet, um von ihr Daten zu lesen und vergit sie
zu schlieen, dann `denkt` AmigaDOS, da die Datei gerade bearbeitet
wird und bricht jeden Schreibzugriff auf sie ab !
Vermutlich funktioniert dies auch so hnlich bei diesem Virus.
Man kann das Virus zwar nicht lschen, dafr kann man es aber mittels
des `CLI`-Befehls `Rename` umbenennen und gefhrlich ist dieses Virus
nur dann, wenn es als `Disk-Validator` im Verzeichnis `L` steht !

Nun zu den Zerstrungen !
Das `Return Of The Lamer Exterminator`-Virus schreibt nach einiger Zeit
das Wort `LAMER` in einige Datenblcke und zerstrt so die Informationen
in den Programmdateien !!!
Das Virus ist auch in der Lage die Disketten in allen Laufwerken zu
zerstren, indem es deren `Rootblcke` mit dem Wort `LAMER` formatiert !
Dabei gibt es gleichzeitig einen `Alert` aus : 
              `Return of the Lamer Exterminator`

`AntiCicloVir V1.2` kann das `Return Of The Lamer Exterminator`-Virus
leider noch nicht im Speicher erkennen.
Dafr wird es aber auf der Diskette erkannt !
Wenn `AntiCicloVir V1.2` ein `Return Of The Lamer Exterminator`-Virus
auf der Diskette gefunden hat, dann knnen Sie sich sicher sein, da
es im selben Augenblick schon im Speicher steht !!!
Da mein Linkviruskiller dieses Virus nicht lschen kann, wenn es im
Speicher steht, benennt er es einfach in `:L/LAMER-Virus` um !

Zwar wird das `Return Of The Lamer Exterminator`-Virus nicht aus dem
Speicher gelscht, doch das ist kein so groes Problem !
Wenn Sie die Disketten auf dieses Virus hin berprfen wollen, dann verwenden
Sie bitte jedes Mal den Schreibschutz.
Andernfalls knnte sich das Virus von einer infizierten Diskette aus in
den Speicher kopieren und nun jede `cleane` Disk ebenfalls befallen.
Haben Sie alle Disketten auf dieses Virus geprft, so schalten Sie bitte
den Amiga ab, damit es aus dem Speicher gelscht wird !
Nach dem Einschalten sollten Sie von einer virusfreien Diskette `booten` !
Jetzt knnen Sie alle infizierten Disketten nacheinander in`s Laufwerk
legen und mit `AntiCicloVir V1.2` desinfizieren !
Zwar kopiert sich das Virus wieder auf jede neue Diskette, doch das ist
unwichtig, da die Disketten ja sowieso schon infiziert waren.
Nachdem Sie ein `Return Of The Lamer Exterminator`-Virus auf einer
Diskette umbenannt haben, kopiert sich das Virus nicht anschlieend
wieder neu auf die Diskette !
Nur wenn Sie die desinfizierte Diskette ein zweites Mal ohne Schreib-
schutz in`s Laufwerk legen, wird sie neu-infiziert !
Und das sollten Sie vermeiden !!!!!!
Sollten Sie alle Disketten desinfiziert haben, so men Sie den Rechner
unbedingt ein zweites Mal ausschalten, damit das `Return Of The Lamer
Exterminator`-Virus auch aus den Speicher gelscht wird !
Schalten Sie nun wieder den Amiga ein, so knnen Sie behaupten, da Ihr
Rechner das `Lamer Exterminator Fieber` berstanden hat und wieder
wohlauf ist ...

Leider werden die desinfizierten Disketten nun noch einen `Disk Validating
Error` haben, an dem aber nicht der `Linkviruskiller`, sondern das
Virus schuld ist.
Um die ungltige `BAM` wieder herzustellen, sollten Sie diese Disketten
`validiern` !
Gehen Sie dabei wie folgt vor !
Kopieren Sie sich bitte die `CLI`-Befehle von der `Workbench`-Diskette
in`s `RAM` !
Legen Sie nun diese `fehlerhaften` Disketten ein !
Das Betriebssystem wird nun einen `Disk Validating Error` melden und nach
der `Workbench`-Diskette verlangen.
Anschlieend wird es wieder nach der `fehlerhaften` Diskette verlangen,
um sie zu `validieren`.
Ist diese Diskette `validiert`, so knnen vorlufig wieder Schreibzugriffe
auf ihr ausgefhrt werden.
Lschen Sie beispielsweise eine unwichtige Datei ( `:L/LAMER-Virus` ),
damit die Diskette nach diesem Schreibzugriff vom Betriebssystem wieder
eine gltige `BAM` erhlt !
Jetzt ist die Diskette wieder o.k. !

Daten auf Disketten, die das `Return Of The Lamer Exterminator`-Virus 
formatiert hat sind unwiederruflich verloren !!!












                             `BGS 9`


Nicht ganz so gefhrlich, aber dennoch lstig ist das `BGS 9`-Virus !
Es versteckt sich als unsichtbares Programm im Verzeichnis `DEVS` und
wird beim Booten der jeweiligen Diskette aktiv !
Mittlerweile gibt es zwei Versionen dieses Fileviruses !
Nachdem dieses Virus aktiviert wurde, schreibt es eine `MemList`-Struktur
in den Speicher und setzt die Vektoren `KickMemPtr`,`KickTagPtr` und
`KickCheckSum` !
Dieses Virus im Speicher wird glcklicherweise nur beim Reset aktiv und
verbiegt sonst nichts im Rechner !
Es startet keine Zerstrungsroutinen und richtet auch keine Schden
auf den Disketten an.
Lstig kann es dennoch sein, da es nach jedem vierten Reset folgenden
Text auf den Bildschirm ausgibt: 


`                       A COMPUTER VIRUS IS A
                             DISEASE

                          TERRORISM IS A
                           TRANSGRESSION

                         SOFTWARE PIRACY IS A
                               CRIME

                          THIS IS THE CURE

BBB      GGGGGG    SSSS    99999            
B  B     G        S        9   9         
B  B     G          S      9   9             
BBB      G           S     99999              Bundesgrenzschutz Sektion 9
B  B     G GGGG       S        9              Sonderkommando "EDV"
B  B     G    G        S       9
BBB      GGGGGG    SSSS    99999`

 
`AntiCicloVir V1.2` erkennt beide Computerviren ( `BGS 9` und `BGS 9 II` )
auf der Diskette und lscht sie !
Die unsichtbaren Dateien der `BGS 9`-Viren knnen nun auch im
Hauptverzeichnis erkannt werden !
Allerdings halte ich es fr sehr unwahrscheinlich, da sie von den
`BGS 9`-Viren auch im Hauptverzeichnis erzeugt werden !
Deshalb wird im Ausgabetext auch nur das `DEVS`-Verzeichnis erwhnt;
auch dann, wenn sie im Hauptverzeichnis gefunden wurden !
Auerdem werden auch beide Viren im Speicher erkannt !
Allerdings kann `AntiCicloVir_V1.2` nicht zwischen den Viren `BGS 9`,
`BGS 9 II` und `Terrorists` im Speicher unterscheiden,so da es alle
gleichzeitig im Speicher anzeigt, wenn sich eines von ihnen in Ihrem
Rechner befindet !
Denn das Programm erkennt die Viren noch nicht direkt, sondern indirekt
im Speicher und kann so zwischen den einzelnen Viren nicht differenzieren !
Das `BGS 9 II`-Virus wurde wohl nur in zwei kleinen Details gendert,
so da es sich von seinem Vorgnger kaum unterscheidet.
Und das `Terrorists`-Virus scheint eine Mutation des alten `BGS 9`-Viruses
zu sein, da es fast genauso funktioniert und im brigen auch gleich
zweimal ,das fr mich nicht zu deutende Wort, `TTV1` beinhaltet !
Die `BGS 9`-Viren funktionieren auch unter `KickStart 2.04` !











                       `Bret Hawnes`

Dieses 2608 Bytes groe `Filevirus` tarnt sich als unsichtbares Programm
im Hauptverzeichnis jeder infizierten Diskette und schreibt seinen
Aufruf in die `s/startup-sequence` !
Somit hat das `Bret Hawnes`-Virus gewisse hnlichkeiten mit den `Revenge
of the Lamer Exterminator`-Viren, obwohl ich schreiben mu, da diese
weit aus professioneller programmiert worden sind !
Es steht als unsichtbare Datei auf der Diskette, die dem Hexadezimal-Wert:
`C0A0E0A0C0` entspricht !
Im Speicher setzt es eine `MemList`-Struktur und ist mit den Vektoren
`KickTagPtr` und `KickCheckSum` resetfest !
Das Virus kopiert sich nur beim `Booten` weiter !
Auerdem verbiegt es noch den Interrupt-3-Vektoren, sowie die Adresse
der `SumKickData`-Routine auf sich selbst !
Nach neun Vermehrungen zerstrt dieses Virus Disketten !
Sind zwanzig Minuten vergangen, so wird folgender Text ausgegeben:

`GUESS WHO`S BACK ??? VEP. BRET HAWNES BLOPS YOUR SCREEN
 I`VE TAKEN THE CONTROL OVER YOUR AMIGA !!!
 THERE IS ONLY ONE CURE: POWER OFF AND REBOOT ! ! ! `

Das Virus steht immer ab $7F000 im Speicher und lscht brigens auch den
`CoolCapture`-Vektoren !
`AntiCicloVir V1.2` erkennt das Virus auf der Diskette und lscht es !
Im Speicher lscht es die Zeiger `KickTagPtr` und `KickCheckSum` !
So kann sich das Virus nicht mehr weiterkopieren !
Allerdings bleibt noch der Interrupt-3-Vektor ( `$6c` ) gesetzt !
`AntiCicloVir V1.2` kann ihn nicht auf die ROM-Adresse zurcksetzen,
da diese bei allen `KickStart`-Versionen verschieden ist.
Allerdings ist dies nicht so schlimm, denn dieser Vektor dient dem
Virus nur dazu, nach allen 20 Minuten den o.g. Text auszugeben !
Nach einem Reset ist dieser Vektor wieder zurckgesetzt !
Bleibt noch der verbogene Vektor der `SumKickData`-Routine.
Im Normalfall ist auch dieser Vektor harmlos und wird auch nach einem
Reset zurckgesetzt !
Sollte allerdings kurz nachdem das `Bret Hawnes`-Virus gelscht wurde,
ein anderes Programm versuchen sich resetfest zu schreiben und dabei
die `SumKickData`-Routine benutzen, so wird statt diesen Programmes
das `Bret Hawnes`-Virus wieder resetfest geschrieben !










                       `Color(TURK V1.3)`


Dieses Virus tarnt sich als simples `Grafik-Demo` auf einer Diskette,
welches drei farbige Balken auf dunklem Hintergrund erzeugt !
Es ist 2196 Bytes lang.
Nachdem Sie sich dieses Demo angeschaut und das Programm beendet
haben, wird das `Color`-Virus ab $70000 und das `TURK V1.3`-Bootblock-
Virus ab $7F000 im Speicher installiert !
Der `DoIO`-Vektor wird auf die Adresse des `Color`-Viruses im Speicher
und der `CoolCapture`-Vektor auf eine scheinbar sinnlose Adresse
verbogen !
Bei jedem Diskettenwechsel schreibt das `Color`-Virus den Virus-Bootblock
`TURK V1.3` auf die betroffene Diskette !
`Color` selbt kann sich nicht weiterkopieren !
Nachdem dieses Programm im Speicher stand, hat es brigens sinnlos einen
Speicherbereich von 60 - 80 kB belegt !
Wenn Ihnen dieses Grafik-Demo mal auf einer Diskette begegnet, dann
sollten Sie nach dem Erscheinen des DOS-Fensters NICHT gleich die rechte
Maustaste drcken, um das Demo zu beenden, sondern sich es kurz
anschauen und dann abbrechen !
Wegen eines Programmierfehlers ( ??? ) wird bei einem Abbruch vorm
Starten des `Demos`, nmlich nicht das Fenster und womglich auch
keine Systembibliothek geschlossen !
Das drfte bei nachfolgenden Programmen dann zu Fehler-Meldungen fhren !
Bei einem Reset strtzt der Rechner allerdings ab, da der Wert im
`CoolCapture`-Vektoren auf eine Adresse zeigt, die weder die des
`Color`- noch die des `TURK`-Viruses ist.
Ich habe aber gelesen, da dies wohl absichtlich so sein soll.
`AntiCicloVir_V1.2` erkennt das `Color`-Virus nachdem es aktiviert
wurde im Speicher, warnt Sie und lscht den `CoolCapture`-Vektoren !
Das `Color`-Virus ist allerdings noch aktiv und schreibt nach jedem
Disk-Wechsel das `TURK V1.3`-Virus in den Bootblock.
Denn das Programm kann den `DoIO`-Vektoren nicht zurcksetzen !
Dies war mir zu riskant, da ja jedes neue Betriebssystem des Amiga`s
die Routine zum Einlesen von Disketten an einer anderen Stelle hat !!!
Setzen Sie also selbst den Vektoren zurck oder fhren Sie einen
Reset aus !
Auf der Diskette sucht der Linkviruskiller nur nach einem Programm
mit dem Namen `Color` im `c`- oder Hauptverzeichnis !
Wenn `AntiCicloVir` ein derartiges Programm gefunden hat, dann
analysiert er es und warnt Sie im Falle des `Color`-Viruses !
Allerdings ist es sehr unwahrscheinlich, da dieses Programm auf
allen Disketten unter dem Namen `Color` in den o.g. Verzeichnissen
abgespeichert wurde !
Deshalb empfiehlt es sich, ein verdchtiges Grafik-Demo selbst oder vom
Linkviruskiller zu analysieren lassen, indem man es in`s Hauptverzeichnis
unter dem Namen `Color` kopiert !


 
















                       `CompuPhagozyte 1+2`

Die beiden `CompuPhagozyte`-Viren sind `Fileviren`, die sich selbst als
`Viruskiller` tarnen !
Das `CompuPhagozyte`-Virus tarnt sich als `Virus-Checker V4.0` mit einer
Bytelnge von 1452 Bytes und das `CompuPhagozyte_2`-Virus tarnt sich
als `VirusX 5.0` mit einer Bytelnge von 1148 Bytes !
Beide Programme verbiegen keine Vektoren !
Sie stehen immer im Verzeichnis `c` unter den Namen `Virus-Checker` oder
`VirusX` !
Werden Sie von einem unwissenden Anwender gestartet, um beispielsweise
Disketten auf Viren zu untersuchen, dann kopieren die Programme zuerst
eine Datei unter ihrem Namen aus dem `c`-Verzeichnis in den Speicher
ab der Stelle $7C000 !
Wird nun bei einem aktiviertem `Viruskiller` dieser Art eine neue Diskette
zum Checken eingelegt, dann schreibt das Virus seinen eigenen Maschinen-
sprachekodex aus dem Speicher in eine Datei in`s `c`-Verzeichnis unter
dem Tarnnamen des Viruses !
Wird mal eine Diskette eingelegt, auf der sich kein `c`-Verzeichnis befindet,
dann starten die Viren eine Zerstrungsroutine !
Die Diskette, die diese Routine ausgelst hat, bleibt relativ verschont,
da auf ihr nur ein paar Daten abgespeichert werden, die allerdings keinen
Schaden anzurichten scheinen !
Jede nachfolgende eingelegte Diskette wird jedoch komplett zerstrt:
`DF0:BAD` !!!
`AntiCicloVir V1.2` erkennt diese Viren auf der Diskette und lscht sie.
Auch im Speicher kann `AntiCicloVir V1.2` erkennen, ob diese Viren vor
einiger Zeit aktiviert wurden und Sie warnen !

          














                          `DAG Creator`


Dieses 7000 Bytes groe Programm ist eigentlich kein Virus !
Hierbei handelt es sich viemehr um einen `Virusmaker`, der jedem
Anwender klar zu verstehen gibt, wozu er programmiert wurde !
Das Programm kopiert sich also nicht heimlich weiter und zerstrt auch
keine Disketten !
Es erzeugt auf Wunsch auf der Diskette im Laufwerk `DF1` ein `Bootblock`-
Virus namens `DAG`.
Dieses `Bootblock`-Virus ist allerdings eine uerst primitive `SCA`-
Mutation, bei der nicht einmal der `SCA`-Text komplett entfernt wurde.
In der `Bootblock`-Routine wird das `DAG`-Virus deshalb auch noch als
`SCA`-Virus erkannt !
`AntiCicloVir V1.2` lscht den `DAG Creator`, falls er ihn unter seinem
Namen im `c`- oder Hauptverzeichnis antrifft !
 








                       `DISASTER-MASTER V2`


Dieses 1740 Bytes groe Virus tarnt sich als `Clear Screen`-Befehl
unter dem Namen `cls` im `c`-Verzeichnis und schreibt einen eigenen
Aufruf in die `s/startup-sequence`: `cls *` !
Das Virus kann entweder von einem unwissenden Anwender aktiviert werden,
der es aus dem `c`-Verzeichnis als `cls` startet !
Dabei wird der Bildschirm gelscht und das Virus in den Speicher kopiert.
Wenn es von der `startup-sequence` aus gestartet wird, dann benutzt es
die Option `*`.
Dabei wird der sichtbare Bildschirm nicht gelscht und das Virus
bleibt so unbemerkt und kann sich in den Speicher kopieren !
Im Speicher verbiegt es die Vektoren `KickTagPtr` und `KickCheckSum`.
So ist es nach jedem Reset aktiv und kopiert sich als `cls` in`s
`c`-Verzeichnis neuer Disketten und schreibt den Befehl `cls *` in
die `s/startup-sequence` !
Bei diesem Virus handelt es sich um einen harmlosen Parasiten, der
keine Schden anrichtet, sondern sich nur weiterkopiert !
Dieses Virus wird auch vom `T.C.R. Intromaker` erzeugt, der in
einigen PD-Serien erschienen ist !
`AntiCicloVir_V1.2` kann dieses Virus nur auf der Diskette 
erkennen und lschen.
Bisher wird es aber noch nicht im Speicher erkannt !
Wenn sich dieses Virus im Speicher befindet, kann manchmal die
`AmigaDOS`-Anzeige am linken oberem Bildschirmrand verschwinden !
Dieses Virus scheint aber noch ein paar `Gag`s mehr `drauf zu haben,
als ich in meiner letzten Dokumtation beschrieben habe !
So kann es beispielsweise nach dem `Booten` von der `Systemdiskette`,
das bliche `AmigaDOS`-Fenster in einen `Screen` umwandeln, wie man
ihn beispielsweise von der `Workbench`-Oberflche oder einigen 
`Textanzeigeprogrammen` her kennt !









                         `Disktroyer V1.0`

Dieses 804 Bytes groe `Filevirus` tarnt sich als `Clear Screen`-Befehl
auf jeder Diskette: `cls` !
Wird es beispielsweise von der `s/startup-sequence` aktiviert, so verbiegt
es den Vektoren der `AllocMem`-Routine auf eine eigene Routine !
Jedesmal wenn ein Programm versucht mit dieser Routine freien Speicher
fr eigene Zwecke zu allokieren, so wird automatisch das Virus
aktiviert !
Das `Disktroyer V1.0`-Virus berprft dann sofort den Schreibschutz
aller Disketten in allen angeschlossenen Laufwerken !
Sind die Disketten nicht geschtzt, dann werden von ihnen alle Daten
gelscht und die Disketten sind zerstrt !
Anschlieend wird eine `Alert`-Meldung ausgegeben !
Das `Disktroyer V1.0`-Virus kann sich selbst nicht weiterkopieren und
verbiegt auer dem `AllocMem`-Vektor keine weiteren Zeiger und ist
auch nicht resetfest !
Es ist sogar sehr wahrscheinlich, da sich das Virus selbst zerstrt,
wenn ein nachfolgendes Programm auf derselben Diskette die `AllocMem`-
Routine benutzt !
`AntiCicloVir V1.2` kann dieses Virus als `cls`-Befehl erkennen und
lscht es von der Diskette !
Im Speicher wird es bisher noch nicht erkannt !










                            `SADDAM`


Dieses 1848 Bytes groe Virus tarnt sich als `Disk-Validator` im Verzeichnis
`L` auf infizierten Disketten !
Jede mit einem `SADDAM`-Virus infizierte Diskette hat einen
`Disk-Validating Error`,den das `SADDAM`-Virus selbst angelegt hat.
Dieses `Filevirus` ist das erste, welches sich unter AmigaDOS selbst
aufrufen kann, ohne da es vom Anwender durch Booten oder Starten eines
verseuchten Programmes etwa aktiviert  wurde !!!!!!
Das Einlegen, einer mit einem `SADDAM`-Virus infizierten Diskette, reicht
aus, damit sich das Virus in den Speicher kopieren kann !
Es simuliert einen echten `Disk-Validator` und hat auch diesselbe Gre
des Original-`Disk-Validators`, doch im Gegensatz zu diesem, ist es
bis auf das Wort `BitMap CheckSum Error` total kodiert und kann so
von Anfngern schwer unterschieden werden !
Es kopiert sich auf jede nicht schreibgeschtzte Diskette im Laufwerk
`DF0:` als `Disk-Validator` !
Wenn es kein `L`-Verzeichnis auf einer Diskette findet, dann kann es
dieses Verzeichnis selbst anlegen !
Bei bereits vorhandenem `Disk-Validator`, kopiert sich das Virus einfach
`drber !!
Der `Disk-Validator` ist eine Art `externe Betriebssystem-Routine`,die
von `AmigaDOS` immer dann aufgerufen wird, wenn es auf eine Diskette
mit ungltiger `BAM` ( `Block Allocation Map` ) trifft !
In der `BAM` jeder Diskette steht zum Beispiel wieviele und welche
Blcke schon belegt sind.
Ist diese `BAM` ungltig, so hat die Diskette einen `Disk-Validating Error`
und das Betriebssystem mu mit Hilfe einer Routine die entsprechenden
Block-Angaben selbst herausfinden !
Diese Routine ist der `Disk-Validator` im Verzeichnis `L` !
Mit dessen Hilfe wird herausgefunden, wieviele und welche Blcke
einer Diskette schon belegt sind.
Das `SADDAM`-Virus beinhaltet ebenfalls die Routine eines `Disk-Validators`
und wird auch vom Betriebssystem bei ungltiger `BAM` aufgerufen.
Dieses Virus legt auf jeder Diskette, auf der es sich kopiert, einen
Fehler in der `BAM` an, der das Betriebssystem spter stndig beim
Einlegen dieser Diskette zwingen wird, den `L/Disk-Validator`, also das
`SADDAM`-Virus zu starten !
Das `SADDAM`-Virus ist mittels des `ColdCapture`-Vektoren resetfest im
Speicher; es verbiegt aber noch ca. ein Dutzend weitere Zeiger !!
Es ist nach jedem Reset und nach jedem Diskettenwechsel aktiv und
kopiert sich auf die aktuelle Diskette !
Das `SADDAM`-Virus zerstrt die Disketten, indem es nach einiger Zeit
einige Blcke in `IRAK` umbenennt und deren Inhalt mit einem bestimmten
Wert kodiert !
Diese kodierten Datenblcke werden von AmigaDOS nicht mehr anerkannt
und lsen so `Read/Write Errors` aus !
Mir ist aufgefallen, da sich das `SADDAM`-Virus nicht auf Disketten
kopieren kann, wenn man ihnen die Namen `DF1`,`DF2` oder `DF3` gibt !!!
`AntiCicloVir_V1.2` kann das `SADDAM`-Virus zwar im Speicher erkennen,
aber nicht lschen !
Die vielen verbogenen Vektoren wieder auf ihre `ROM`-Adressen zurck-
zusetzen, war mir wegen der verschiedenen `KickStart`-Versionen zu
gefhrlich ( Systemabstrze ) !
Deshalb sollten Sie zum Lschen des Viruses einen anderen Viruskiller
benutzen oder den Amiga ausschalten.
Reset ntzt nichts !!!
Auf der Diskette erkennt `AntiCicloVir_V1.2` das `SADDAM`-Virus, warnt Sie
und lscht es !
Da die Gefahr besteht, da sich schon beim Durchchecken Ihrer Sammlung,
ein mgliches `SADDAM`-Virus in den Speicher kopiert, empfiehlt es
sich, zuerst alle Disketten mit aktiviertem Schreibschutz zu testen !
Anschlieend sollten die mit einem `SADDAM`-Virus infizierten Disketten
aussortiert und der Amiga ausgeschaltet werden.
Danach knnen Sie den Amiga wieder einschalten und mit `AntiCicloVir`
die `SADDAM`-Viren von den befallenen Disketten lschen !
Zwar kopiert sich das Virus wieder in den Speicher, aber dafr wird
es nur beim Diskettenwechsel aktiv !
Wenn das `SADDAM`-Virus von einer infizierten Diskette gelscht wurde,
kopiert es sich erst wieder auf diese, wenn sie zum zweiten Mal einge-
legt wird ( und das sollten Sie vermeiden !!! ) !
Nachdem Sie alle Disketten vom `SADDAM`-Virus befreit haben, werden Sie
merken, da alle einen `Disk-Validating Error` haben, an dem aber nicht
`AntiCicloVir_V1.2`, sondern das Virus schuld ist.
Gewi kann man in komplizierter Weise diesen Fehler auch mit einem
Diskettenmonitor entfernen, aber es geht auch viel einfacher mit Hilfe
des Betriebssystems !
Dieser `Disk-Validating Error` ist zwar harmlos, aber lstig, da man
auf derartigen Disketten keine Programme oder Dateien mehr abspeichern
kann !
Legen Sie also einfach die `Workbench`-Diskette ein, auf der sich
hoffentlich der echte `Disk-Validator` befindet und booten Sie von
ihr !
Nachdem Sie sich im `CLI` und die `CLI`-Befehle im `RAM` befinden,
sollten Sie nun eine Diskette mit dem `Disk-Validating Error` einlegen !
Daraufhin wird das Betriebssystem den `Disk-Validating Error` melden
und nach der `Workbench`-Diskette verlangen, auf der sich ja der
`Disk-Validator` befindet.
Mit Hilfe dieses `Disk-Validator`s` werden nun die Anzahl und Adressen
der belegten Blcke auf der fehlerhaften Diskette in den Speicher
kopiert und somit ist die Diskette fr AmigaDOS vorerst wieder gltig.
Jetzt knnen Sie vorlufig wieder Schreibzugriffe auf diese Diskette
ausben und das sollten Sie auch tun !
Denn bei jedem Schreibzugriff auf einer Diskette, wird eine neue gltige
`BAM` angelegt und die Diskette hat somit keinen `Disk-Validating Error`
mehr !!!
Lschen Sie nun also irgendeine unwichtige oder schreiben Sie eine
wichtige Datei auf diese Disk, damit die `BAM` wieder stimmt !!
Sie knnen beispielsweise `.info` lschen !

Schwieriger ist es mit den Disketten, auf denen das `SADDAM`-Virus
schon einzelne Datenblcke kodiert hat !
Wenn Sie die vorerst verloren gegangenen Daten nicht mehr brauchen,
mit der Diskette aber sinnvoll weiterarbeiten wollen, dann knnen
Sie auch das Programm `DiskDoctor` benutzen, um die `Read/Write Errors`
zu beseitigen !
Lesen Sie dazu bitte auch das `AmigaDOS-Handbuch` von `Commodore` !

Es gibt brigens noch ein zweites Virus, welches sich als `L/Disk-Validator`
tarnt : `Return Of The Lamer Exterminator`
Ich mchte aber schon jetzt um die Zusendung aller weiteren, von mir
nicht erwhnten Viren, die sich hinter dem Namen `Disk-Validator`
verbergen, bitten !!
Auerdem bin ich auch an allen weiteren harmlosen `Disk-Validatoren`
interessiert !!
Das `SADDAM`-Virus wurde mir von Gregory Sapsford ,Fohlenkamp 33,
W-4600 Dortmund 13 zugesandt !
 

 











                         `Smily Cancer I+II`


Das `Smily Cancer`-Virus mit einer Bytelnge von 3916 Bytes,ist das erste
`Linkvirus`, welches in dieser Dokumentation erwhnt wird !
Es kopiert sich in`s jeweils erste Programm, welches von der `s/startup-
sequence` aufgerufen wird !
Es schreibt einen weiteren `Hunk`-Eintrag in die `Hunk-Tabelle` und setzt
seinen Virus-eigenen `Hunk` an erster Stelle !
So wird das Virus bei jedem Booten in den Speicher geladen !
Im Speicher verbiegt es die Vektoren `KickTagPtr`,`KickCheckSum`,`BeginIO`
und `SumKickData` auf seine eigene Adresse !
Es wird beim Reset und beim Diskettenwechsel aktiv und kopiert sich so
weiter !
Nach 20 erfolgreichen Vermehrungen verndert sich der Mauszeiger in einen
gelben Kopf ( Smily ) und es wird folgender Text ausgegeben 
( Achtung ! Mgliche bertragungsfehler !  ):

`HI THERE !!! A NEW AGE IN VIRUS MAKING HAS BEGUN !
 THANK TO US ... THANK TO: --- CENTURIONS ---

 AND WE HAVE THE PLEASURE TO INFORM YOU THAT SOME
 OF YOUR DISKS ARE INFECTED BY OUR FIRST MASTERPIECE
 CALLED : `THE SMILY CANCER`
 HAVE FUN LOOKING FOR IT ...
 AND STAY TUNED FOR OUR NEXT PRODUCTIONS.
 CENTURIONS: THE FUTURE IS NEAR !`

`AntiCicloVir_V1.2` erkennt das `Smily Cancer`-Linkvirus leider noch
nicht auf der Diskette, dafr aber im Speicher und lscht es !
Nachdem Sie vor diesem Virus gewarnt worden sind, werden die Vektoren
`KickTagPtr` und `KickCheckSum` zurckgesetzt, so da das Virus nicht
mehr resetfest ist ! 
Allerdings kann es sich noch mittels des `BeginIO`-Vektoren weiterkopieren !
Da ich keine Adressen verndern mchte, die bei allen `KickStart`-Versionen
verschieden sind, setzt `AntiCicloVir` in diesem Falle nicht den
`BeginIO`-Vektor zurck, sondern schreibt einen Maschinensprachebefehl im
`Smily Cancer`-Virus so um, da es zwar aktiv ist, sich aber nicht
mehr weiterkopieren kann !
Bleibt nur noch der verbogene Vektor der `SumKickData`-Routine brig !
Dieser wird nicht zurckgesetzt und ist auch nicht so wichtig.
Allerdings kann sich das `Smily Cancer`-Virus wieder resetfest schreiben,
wenn direkt nach dem Entfernen dieses Viruses aus dem Speicher, ein
anderes Programm versucht hat sich resetfest zu schreiben !
Benutzt ein anderes Virus oder ein Viruskiller nmlich die `SumKickData`-
Routine, um die `KickCheckSum` seiner Reset-Routine berechnen zu lassen,
dann wird nicht dieses Programm installiert, sondern das `Smily Cancer`-
Virus !
Erst nach einem Reset ist das `Smily Cancer`-Virus zu 100 % gelscht !
Bei dem `Smily Cancer II`-Virus handelt es sich um ein 4676 Bytes groes
`Filevirus`, welches sich als `CLI`-Befehl `loadwb` tarnt !
Es fhrt die `LoadWB`-Routine aus und kopiert anschlieend das alte
`Smily Cancer`-Linkvirus in den Speicher !
Das `Smily Cancer`-Linkvirus wurde ja auch schon von der alten Version
erkannt !
`AntiCicloVir V1.2` erkennt das `Smily Cancer II`-Virus auf der
Diskette und lscht es.
`Smily Cancer II` kann sich selbst nicht weiterkopieren ! ( siehe auch
`Lamer LoadWB` oder `T.F.C. Revenge LoadWB` )







                          `Terrorists`

Das `Terrorists`-Virus ( 1612 Bytes ) wird wohl eine Mutation des
alten `BGS 9`-Viruses sein (siehe `BGS 9`) !
Dieses Virus steht als unsichtbares Programm im Hauptverzeichnis jeder
infizierten Diskette und wird beim Booten ber die `s/startup-sequence`
aufgerufen !
Um resetfest im Speicher zu stehen, verbiegt dieses Virus die Vektoren
`KickMemPtr`,`KickTagPtr` und `KickCheckSum` !
Es kopiert sich nur weiter und scheint keine weiteren Schden anrichten
zu knnen !
Es ist jedoch ebenfalls lstig wie das `BGS 9`-Virus, da es zu einem
bestimmten Zeitpunkt folgenden Text ausgibt:

`THE NAME HAVE BEEN CHANGED TO PROTECT THE INNONCENT ...
 THE TERRORISTS HAVE YOU UNDER CONTROL
 EVERYTHING IS DESTROYED
 YOUR SYSTEM IS INFECTED
 THERE IS NO HOPE FOR BETTER TIMES
 THE FIRST TERRORISTS VIRUS !!!`


Dieses Virus kann von `AntiCicloVir_V1.2` leider nicht im Speicher
von den `BGS 9`-Viren unterschieden werden, weshalb alle drei Viren
angezeigt werden (siehe auch `BGS 9`) !
Auf der Diskette erkennt es `AntiCicloVir` jedoch und gibt eine entsprechende
Meldung aus bevor es es lscht !






                      `T.F.C. Revenge LoadWB`

Dieses 2804 Bytes groe `Filevirus` tarnt sich auf der Diskette als
`LoadWB`-Befehl und simuliert nach seinem Aufruf diesen Befehl !
Es erzeugt im Speicher das `Bootblock`-Virus `T.F.C. Revenge` ( siehe
Anhang B ) !
Das `Bootblock`-Virus wird in zwei verschiedene Speicherbereiche kopiert !
Einmal schreibt es das `Filevirus` nach $7F800 und anschlieend nach
$FF800 in den Speicher !
Synchron hierzu werden die Vektoren `KickTagPtr`,`KickCheckSum`,`DoIO`,
sowie der Interrupt-Vektor fr den Rasterstrahl verbogen - auf die
Adressen des `Bootblock`-Viruses !
`AntiCicloVir V1.2` erkennt das `T.F.C. Revenge LoadWB`-Virus auf der
Diskette und lscht es !
Auch das `Bootblock`-Virus `T.F.C. Revenge` wird erkannt.
Nheres zur Verfahrensweise mit diesem Virus finden Sie im Anhang B !
Lesen Sie auch die Dokumtationen zu `Lamer LoadWB` und `Smily Cancer II` !











                             `Anhang B`

In diesem Anhang werden nun noch einmal alle `Bootblock`-Viren beschrieben,
die `AntiCicloVir V1.2` im Speicher erkennt !
Bedenken Sie bitte, da `AntiCicloVir` kein `Bootblock`-Viruskiller ist,
sondern die `Bootblock`-Viren im Speicher nur lscht, weil sie lstig
sein knnten beim Kontrollieren der Disketten auf `Linkviren` !
Die `Bootblock`-Viren werden in Kurzform dokumentiert !








Name         : `16 Bit Crew`

Resetvektoren: `CoolCapture`
Vektoren fr
Vermehrung   : `CoolCapture`
Schden      :  keine
Anmerkung    : Dieses Virus steht immer ab $7EC00 im Speicher !



Name         : `2001`

Resetvektoren: `CoolCapture`
Vektoren fr
Vermehrung   : `CoolCapture`
Schden      : keine
Anmerkung    : Bei diesem Virus handelt es sich um einen der unendlich
               vielen `SCA`-Mutanten !
               Auer gendertem Text, wurde eine Routine so gendert, da
               nach jedem Reset, ohne Diskette im Laufwerk, eine `Guru 
               Meditation` ausgelst wird !



Name         : `AIDS`

Resetvektoren: `CoolCapture`
Vektoren fr
Vermehrung   : `CoolCapture`
Schden      : keine
Anmerkung    : Bei diesem `SCA`-Mutanten wurde nur der Text gendert !



Name         : `Byte Bandit`

Resetvektoren: `KickTagPtr`
               `KickCheckSum`
Vektoren fr
Vermehrung   : `KickTagPtr`
               `KickCheckSum`
               `BeginIO`
Schden      : mir sind keine bekannt !
Anmerkung    : Dieses `Bootblock`-Virus wird von `AntiCicloVir V1.2` nicht
               vollstndig gelscht, weshalb ein Reset ausgefhrt werden mu !



Name         : `Byte Warrior`

Resetvektoren: `KickTagPtr`
               `KickCheckSum`
Vektoren fr
Vermehrung   : `KickTagPtr`
               `KickCheckSum`
               `DoIO`
Schden      : keine
Anmerkung    : Dieses `Bootblock`-Virus wird ebenfalls nicht vollstndig gelscht,
               weshalb ein Reset ausgefhrt werden mu !
               Das `Byte Warrior`-Virus funktioniert wegen festen ROM-
               Rcksprunges aus der `DoIO`-Routine nur unter `KickStart 1.2`!



Name         : `Disk-Doktors`

Resetvektoren: `ColdCapture`
               `CoolCapture`
               `WarmCapture`
Vektoren fr
Vermehrung   : `ColdCapture`
               `CoolCapture`
               `WarmCapture`
               `DoIO`
Schden      : Dieses `Bootblock`-Virus kopiert manchmal einige Daten aus
               der `ExecBase`-Struktur in den Speicher und verschwendet so
               sinnlos Speicherkapazitt !
               Es zerstrt nach einiger Zeit Disketten, indem es den `Rootblock`
               ( Zylinder 40 ) formatiert !
Anmerkung    : Dieses `Bootblock`-Virus kann von `AntiCicloVir V1.2` nicht
               gelscht werden, weshalb es sich empfiehlt den Rechner komplett
               abzuschalten !
               Das `Disk-Doktors`-Virus gehrt zu einer ganz neuen Generation
               von `Bootblock`-Viren !
               Die `Capture`-Vektoren zeigen auf Adressen im Speicher, die
               nicht identisch sind mit der Adresse des Maschinensprachekodex
               , welcher an viel hherer Stelle im Speicher steht !
               Das `Disk-Doktors`-Virus funktioniert nur unter `KickStart 1.2`.



Name         : `Gadaffi`

Resetvektoren: `CoolCapture`
               `KickTagPtr`
               `KickCheckSum`
Vektoren fr
Vermehrung   : `CoolCapture`
               `KickTagPtr`
               `KickCheckSum`
               `DoIO`
Schden      : `foltert` und `qult` Ihr Laufwerk ... ich hatte an meinem
               internen Laufwerk schon `mal Hardware-Schden gehabt !
Anmerkung    : Auch dieses `Bootblock`-Virus kann von `AntiCicloVir V1.2`
               nicht vollstndig gelscht werden !
               Damit ein unbekanntes Interrupt-Programm die Reset-Vektoren
               des Viruses nicht stndig neu setzt, startet `AntiCicloVir`
               einen eigenen Interrupt, der den Interrupt-Vektor 3 benutzt !
               Anschlieend sollte ein Reset ausgefhrt werden, damit das
               Virus gelscht werden kann !
               Wegen einer festen Rcksprungadresse aus der `DoIO`-Routine
               zum ROM funktioniert dieses Virus nur unter `KickStart 1.2` !




Name         : `H.C.S.`

Resetvektoren: `CoolCapture`
Vektoren fr
Vermehrung   : `CoolCapture`
Schden      : keine
Anmerkung    : Dieses Virus fllt durch das stndige und nervige Geblinke
               der `Power`-LED auf. `AntiCicloVir V1.2` lscht auch diese
               Routine !



Name         : `LSD`

Resetvektoren: `CoolCapture`
Vektoren fr
Vermehrung   : `CoolCapture`
Schden      : keine
Anmerkung    : Ein weiterer `SCA`-Mutant bei dem nur der Text gendert wurde .



Name         : `MAD`
Resetvektoren: keine
Vektoren fr
Vermehrung   : `BeginIO`
Schden      : mir sind keine bekannt ...
Anmerkung    : Bei diesem Virus handelt es sich um eine Mutation des
               `Byte Bandit`-Virus !
               Auer das der Text gendert wurde, ist dieses Virus nun auch
               nicht mehr resetfest.
               Sie sollten es also durch einen Reset lschen, denn `AntiCicloVir`
               kann den `BeginIO`-Vektoren nicht zurcksetzen !



Name         : `MAD II`
Resetvektoren: `WarmCapture`
               `KickTagPtr`
               `KickCheckSum`
Vektoren fr
Vermehrung   : `WarmCapture`
               `KickTagPtr`
               `KickCheckSum`
               `DoIO`
Schden      : versucht Kurzschlu auszulsen, durch `patchen` der Wertes im
               Register fr die Netzspannungs-Frequenz ( ExecBase ) ???
Anmerkung    : Auch dieses Virus kann von `AntiCicloVir` nicht vollstndig
               gelscht werden, weshalb ich einen Reset empfehle !
               Vorher wird ebenfalls eine eigene Interrupt-Struktur ber
               den Interrupt-3-Vektoren installiert.
               Wegen einer festen Rcksprungadresse zum ROM aus der `DoIO`-
               Routine strzt auch dieses `Bootblock`-Virus unter allen
               anderen `KickStart`s auer 1.2 ab !




Name         : `North Star`
Resetvektoren: `CoolCapture`
Vektoren fr
Vermehrung   : `CoolCapture`
Schden      : keine.
Anmerkung    : keine.




Name         : `North Star II`
Resetvektoren: `CoolCapture`
Vektoren fr
Vermehrung   : `CoolCapture`
Schden      : keine.
Anmerkung    : keine.




Name         : `Pentagon-Slayer`
Resetvektoren: `CoolCapture`
Vektoren fr
Vermehrung   : `CoolCapture`
Schden      : `killt` einige `Bootblock`-Viren.
Anmerkung    : keine.




Name         : `Revenge`
Resetvektoren: `CoolCapture`
Vektoren fr
Vermehrung   : `CoolCapture`
               `DoIO`
Schden      : keine
Anmerkung    : Dieses `Bootblock`-Virus kann nicht komplett aus dem Speicher
               entfernt werden von `AntiCicloVir V1.2` !
               Fhren Sie deshalb bitte einen Reset aus !
               Nach einiger Zeit verndert das Virus Ihren Mauszeiger in ...
               ( ach ja wie schrieb Steve Tibbett doch : `... brings up an
                obscene pointer ...` )
               Das `Revenge`-Virus steht immer ab $7E000 im Speicher !



Name         : `SCA`
Resetvektoren: `CoolCapture`
Vektoren fr
Vermehrung   : `CoolCapture`
Schden      : natrlich keine.
Anmerkung    : Das `SCA`-Virus war womglich das erste Virus auf dem Amiga !
               Um so weniger verblfft auch die Tatsache, da ein gewisser 
               Prozentsatz aller Neuerscheinungen von `Bootblock`-Viren
               `SCA`-Mutanten sind !



Name         : `T.F.C. Revenge`
Resetvektoren: `KickTagPtr`
               `KickCheckSum`
Vektoren fr
Vermehrung   : `KickTagPtr`
               `KickCheckSum`
               `DoIO`
Schden      : kann Disketten in allen Laufwerken zerstren, die nicht schreibge-
               schtzt sind !
Anmerkung    : Dieses `Bootblock`-Virus wird vom `Filevirus` `T.F.C. Revenge
               LoadWB` erzeugt, welches in `Anhang A` dokumetiert wurde !
               Es steht entweder an der Speicherstelle $7F800 oder bei $FF800.
               `AntiCicloVir V1.2` kann es beim ersten Mal nicht komplett
               lschen sondern nur die `KickCheckSum` zurcksetzen !
               Fhren Sie deshalb bitte einen Reset aus !
               Wenn Sie `AntiCicloVir V1.2` ein zweites Mal starten, dann
               werden Sie feststellen, da nur noch der `KickTagPtr` gesetzt
               ist.
               Dieser wird nun von `AntiCicloVir` gelscht.
               Fhren Sie einen zweiten Reset aus, damit das Virus endgltig
               gelscht ist !




Name         : `TimeBomb`
Resetvektoren: keine
Vektoren fr
Vermehrung   : sind mir nicht bekannt !
Schden      : berschreibt manchmal `Track 80` mit Speicherinhalt ab $20000 !
               Dadurch wird die `AmigaDOS`-Disketten-Struktur zerstrt !
Anmerkung    : Mir ist nicht bekannt wie sich dieses Virus weiterkopiert und
               mit meinem Amiga hat eine Vervielfachung dieses `Bootblock`-
               Viruses auch nicht geklappt !
               Ich habe aber irgendwo gelesen, da sich dieses Virus nicht
               ber den Speicher weiterkopiert, sondern statt dessen sich
               selbst beim `Booten` von der Diskette im Laufwerk `DF0` nach
               `DF1` ( `Bootblcok` ) kopiert !








                             `Anhang C`

In diesem Anhang werden die externen Betriebssystem-Routinen des Amiga`s
im Verzeichnis `L` kurz dokumentiert ! 
Bei Starten von `AntiCicloVir V1.2` mit den Parametern :` AntiCicloVir DF0:L`
beispielsweise, werden die Routinen `Disk-Validator`,`RAM-Handler` und
`Port-Handler` im Verzeichnis `L`, der Diskette im internen Laufwerk
berprft !
Entsprechen diese Routinen nicht dem Standard von `AntiCicloVir`, so erscheint
eine `non-standard`-Meldung, ansonsten `OK` !





                          `Disk-Validator`


Der `Disk-Validator` ist das erste Opfer der Virus-Programmierer geworden !
Zur Zeit sind mir nur die Viren `Return Of The Lamer Exterminator` und
`SADDAM` bekannt, die den `Disk-Validator` zur Tarnung und Vermehrung
benutzen !
Doch ich befrchte, da es bald mehr werden !
Der `Disk-Validator` wird vom Betriebssystem immer dann gestartet, wenn
eine Diskette mit einem `Disk Validating Error` eingelegt wird !
Also immer dann, wenn eine Disk eine ungltige `BAM` ( `Block Allocation Map` )
hat !
Sie kennen sicherlich die Situation, da Sie noch schnell eine Datei auf eine
nahezu volle Diskette abspeichern wollen und pltzlich kommt eine
`Disk Full`-Meldung !
Doch damit ist der rger noch lngst nicht vorbei !
Wenn Sie spter diese Diskette benutzen werden, so hat sie einen `Disk Validating
 Error`, an dem das Betriebssystem des Amiga`s selbst schuld ist !
Denn jedesmal wenn eine Datei auf eine Diskette abgespeichert wird, erklrt das
Betriebssystem die `BAM` fr ungltig.
Anschlieend folgt der Abspeichervorgang.
Stellt das Betriebssystem nun fest, da die Diskette schon voll ist, so wird
eine Fehlermeldung ausgegeben und der Schreibzugriff abgebrochen.
Allerdings wird dabei vergessen, die fr ungltig erklrte alte `BAM` wieder
fr gltig zu erklren !!!
So kommt also der `Disk Validating Error` zustande !
`Commodore` sollte die nur 1848 Bytes groe Routine zuknftig in`s ROM
verlegen, damit die bisher ( fr PC- & sonstige Verhltnisse ) noch moderaten
Amiga-Viren nicht eines Tages auch so aggressiv werden ...
Es gibt tatschlich keine bessere Art ein Virus auf dem Amiga zu programmieren,
als ber den `Disk-Validator-Trick` !
Bei ungltiger `BAM` mu sowieso immer der `Disk-Validator` vom Betriebssystem
gestartet werden und wenn sich das Virus selbst als `Disk-Validator`
abspeichert, so wird es schon beim bloen Einlegen einer Diskette aktiv !
Bitte senden Sie mir alle `non-standard Disk-Validator` zu, damit neue
`Disk-Validator`-Viren sofort erkannt werden !!!












                            `RAM-Handler`


Bisher sind mir noch keine `RAM-Handler`-Viren bekannt !
Der `RAM-Handler` drfte fr Virus-Programmierer weniger interessant sein,
als etwa der `Disk-Validator` !
Der `RAM-Handler` wird wohl immer nach dem `Booten` einer Diskette aktiviert,
um das Gert `RAM:` anzulegen !
Ein mgliches `RAM-Handler`-Virus wrde also automatisch beim `Booten` aktiv
werden ! ( Hoffentlich habe ich jetzt niemanden auf irgendwelche Ideen gebracht
... )
Bitte schicken Sie mir auch alle `non-standard RAM-Handler` zu !










                               `Port-Handler`

Bisher sind mir noch keine `Port-Handler`-Viren bekannt !
Ich mchte aber jetzt schon um die Zusendung aller `non-standard Port-Handler`
bitten !







Matthias Gutt              
Kantstr.16
W-2120 Lneburg
