"H.I.V."-Virus in the Demo "We hate PC's / Spider Crew" !! German Go64! Article pre-released. - Discmon.d64 [0/4] From: brix@plush.DELETETHIS.de (Brix) Reply to: Brix Date: Tue, 2 Feb 1999 19:46:07 +0100 Hi Newsreaders! First up, I'm sorry to post a Binary and a German document here, but this is damn important for your own security! I chose the uncompressed .d64 format as I think MOST of you will be able to handle it - also the emulator crowd and the ones who don't have a zip- utility on c64. For the english crowd here's a very short description on how to kill the virus and prevent the spreading of it. How the virus works: It links infront of files by changing the dir-Entry to an own virus file created on Track 18. When started it relinks another file to a copy of the virus and starts the original file like nothing happened at all. Destruction: It will fill up your directory-sector step by step with copies of the virus until your directory is trashed. Prevention: Switch on and off your Floppy and Computer BEFORE loading a program. The Virus copies itself into C64's RAM and Floppy to protect itself from a reset!! Write Protect all your discs by closing the Write-protection punch in your disc! Killing: 1. Start the discmon in this d64 i deliver with this posting! 2. Go Track 18, Sector 1 of your infected disc. (press B 18 [return] 01 [return] ) 3. locate infected files. The 2 bytes before each filename contain start track/sector in decimal format. Look at the "value"-field, when pointing at the byte with the cursor. If the Start track is 18 it is very likely you found an infected program. 4.Jump to the Track/Sector of the "infected file" 5.Trace Virus file's end by pressing "N" once. 6. look at the field "link". It tells you where the original Files' start Track/Sector is. 7. go back to the files Directoryentry and rechange the link of the File to it's original values you have found in step 6. Good luck and godspeed! -Brix- ------------ Für die Deutschen Leser: ------------ Hallo! Eigentlich werden unsere Artikel ja nicht vor dem Druck veroeffentlicht, doch hier liegt aeusserste Dringlichkeit vor. Ich habe einen Artikel fuer die GO64! geschrieben, in dem ich beschreibe, wie der Virus ausgemerzt werden kann. Der Discmonitor ist als .d64 an dieser Mail mit dran (Ich setze mich ueber die NO-Binaries-Regel bewusst hinweg, da dieser Virus wohl hoehere Prioritaet besitzt!). Das .d64 Format ist zwar lang, kann aber von jedem benutzt werden. Da nicht jeder ueber ein Unzip-Utility verfügt habe ich das D64 auch nicht komprimiert. Der Artikel ist vor ca. 3 Minuten fertiggeworden. Schneller geht es also nicht. Aus diesem Grunde bitte ich auch die Umlaute zu verzeihen. Gutes Gelingen. -Wanja- -------- Virusalarm auf dem C-64! von Wanja Gayk "Ich habe mir H.I.V.eingefangen" - das ist nicht nur im wahren Leben mehr als ein schlechter Scherz, wenn es denn wahr ist und denn nun hat es auch den Brotkasten getroffen. Der schlechte Geschmack der Programmierer dieses Virus bei dessen Namensgebung ist vielleicht noch zu verzeihen. Nicht zu verzeihen ist allerdings die destruktive Energie, die dieser Virus besitzt. Damit wir uns nicht falsch verstehen: Virii sind auf dem C-64 eine Seltenheit, da es extrem schwer ist einen wirklich guten Virus auf dem C64 zu programmierern. Dennoch haben sie eine lange Tradition. Der Erste Virus stammt bereits aus den frühen 80ern und war unter dem Namen BHP-Virus bekannt (BHP stand für Bayrische Hacker Post). H.I.V. ist neueren Datums, aber dennoch schon mindestens 4 Jahre alt. Wie konnte es nun passieren, daß dieses Biest seinen Weg auf die Go64! Disc fand? Haben wir vom CSW-Verlag denn garkeine Sicherheitsmaßnahmen? Nein, so hart es klingen mag, aber Virii galten auf den C-64 bisher als ausgerottet und die geringe Anzahl der Virii, die überhaupt programmiert wurden, gibt eigentlich keinen Anlass zu Sicherheitsmaßnamen. Die Grupper "Spider Crew" hat es allerdings nun, freiwillig oder unfreiwillig, geschafft diesen Virus über die ganze Welt zu verteilen, indem sie dafür sorgte, daß die infizierte Demo "We hate PC's" sowohl auf THE PARTY in Dänemark, als auch im Internet verteilt wurde und über den Weg auch auf unsere GO!- Disc gelangte. Der Preis für das Ansehen dieser zugegeben recht mittelmäßigen Demo ist allerdings ziemlich hoch. Leider haben wir es auch erst zwei Tage zu spät entdeckt. Wie funktioniert der Virus? Als erstes hängt er vor einem Programm. Wird dieses gestartet, so installiert sich der Virus im Floppyspeicher um sich vor einem Reset zu schützen. Danach bringt er eine Kopie von sich in der Directory-Spur ( Spur 18 ) unter und leitet den Directoryeintrag eines Files auf diese Viruskopie um. Die Viruskopie wird nun mit dem Originalprogramm verbunden, damit keine kürzeren Ladezeiten auffallen und das eigentliche Programm nach abarbeiten des Virusprogramms ganz normal gestartet werden kann, als wäre nichts geschehen. Wie gesagt: Das Programm mag nun den Anschein haben, ganz normal zu funktionieren, aber vorsicht! Sollte man nun den Rechner nur kurz resetten, ein andres Programm laden und zu starten, kann sich vor diesem Programm bereits eine Viruskopie befinden, die den gleichen Mist nochmal macht. Irgendwanm ist dann die Directory- Spur voll und das Directory wird beschädigt. Verhindern der Ausbreitung Der H.I.V. Virus setzt sich sowohl in den Floppyspeicher, als auch in den Rechnerspeicher. Man sollte also den Floppy und den Rechner auf jeden Fall einmal aus und anschalten, bevor man ein neues Programm lädt oder startet. Auf jeden Fall sollte man die Schreibschutzkerben aller Discs zukleben, damit sich der Virus nicht auf sie ausbreiten kann. Ausmerzen des Virus Diesen Virus auszumerzen ist im Grunde garnicht schwer - man formatiert die befallenen Disketten. Umso schwerer ist es jedoch, den Datenverlust in Grenzen zu halten, denn formatieren kann ja nur die letzte Lösung sein. Ich hatte derzeit einmal das Vernügen diesen Virus zu entfernen und es war nicht witzig, kann ich euch sagen, denn ich verstand den Virus noch nicht komplett und suchte die Programmanfänge auf Disc indem ich die Disc Sektor für Sektor untersuchte - dabei geht es viel einfacher. Wer ein bischen Erfahrung mitbringt, sollte den CFB's Discmon starten, ein Public-Domain Programm, welches wir mit auf diese GO!-Disc getan haben. Einmal gestartet kann man mit der Taste "H" in ein paar Hilfe-Seiten schauen. Es bietet sich an, die Funktion des Programms erstmal an einer unwichtigen Disc zu probieren und sich mit den Teil gut vertraut zu machen, denn man kann mit diesem Programm auch schnell und effektiv seine Daten zerstören, sollte man etwas falsch machen. Wer jetzt aufmerksam liest, kann aber auch ohne große Erfahrung den Virus ausmerzen. Der Vorgang des Virus-Entfernens "per Hand" (also mit dem CFB-Discmonitor) ist recht zeitaufwendig, wenn auch effektiv. Man schaue zuerst auf Track 18 / Sektor 1, wo jedes Directory einer 1541-Disc beginnt (drücke B 18 [return] 01 [return]). Hier macht man nun aus, welches Programm infiziert ist, indem man mit den Cursortasten auf die beiden Bytes vor dem Directoryeintrag geht. Die "Dezimalwerte" der beiden Buchstaben vor dem Filenamen kennzeichen den Zielpunkt im Format Spur/Sektor. Den Dezimalwert des Zeichens unter dem Cursor sieht man auf dem Bildschirm in der Linken Zelle unter "Value". Am Beispiel des Files "note to demo" (siehe Abbildung "infiziertes Dirctory") findet man die Werte 18 und 12. Das Virus liegt also auf Spur 18, Sektor 12. Nun springt man zu diesem Sektor (drücke: B 18 [return] 12 [return]). Da der Virus 2 Blocks groß ist, muß man nun zum nächsten Block des Virusprogramms springen. Das geht durch drücken von "N" (wie Next Sector). Da das Virus nur 2 Blocks lang und mit dem Originalprogramm verknüpft (gelinkt) ist, sieht man nun in den Zellen unter "Link" die Ziel-Spur und den Ziel-Sektor. Diese beiden Werte merke man sich und gehe wieder in Spur 18 / Sektor 1, wo sich der Directoryeintrag befand, der vom Virus "fehlgeleitet" wurde. Mit den beiden gemerkten Werten ersetzt man nun die beiden Bytes vor dem Filenamen dieses Files. Dazu geht man auf das erste der beiden Bytes und drückt "d" (wie Dezimalzahl). Nun kann man den ersten Wert eintragen, drückt Return und kann sich genauso auf den zweiten Wert stürzen. Nun muss man den geänderten Directorysektor nur noch abspeichern, indem man "R" (wie Rewrite) drückt und mit "Y" (Yes) bestätigt. Wenn man alle Fileeinträge mit dieser Vorgehensweise in Spur 18 / Sektor 1 repariert hat, drückt man in Spur 18 / Sektor 1 auf "N" (Next Sector) um dem Directorypfad zu folgen und kann dort anfangen die nächsten Files nach dem gleichen Muster Files zu reparieren... das macht man bis das ganze Directory gesäubert ist. Nun kann ich euch nur viel Erfolg wünschen und muß mich im Namen des ganzen Verlages für eventuell irreparabele Schäden entschuldigen, die Euch entstanden sind - wir waren selbst überrascht. ------------- -- Listening to your car radio doesn't make you an amatuer radio operator. Driving said car doesn't make you an automotive engineer. Hell, even speaking doesn't make you a linguist. Yet, somehow, playing "Doom" seems to mak e one a bona fide computer hobbyist, qualified to scorn me and my lowly C64. Personal HP: http://www.plush.de/brix GO64!magazine CSW-Verlag Goethestr.22 71364 Winnenden Deutschland Tel:/Fax: +49(0)7195/61120 GO64!magazine: http://www.go64.c64.org