The ST's Virus (UVK)

"Do not know what you do not know...only know what you know."
                                                    Someone quote
          (Probably someone called Jurie, although he pinched it)

             THE ST'S VIRUS PART ...ER... WHATEVER!
                      by Richard Karsmakers

 Quite exceptionally,  it has been relatively silent in the world
of ST viruses for the last couple of months.  Let's all hope that
this is good news, and not just the calm before the storm!
 Before  I  get  to mentioning the new  viruses  that  have  been
discovered,   I  would  like  to  put  something  else  to   your
attention...

CRL BROKE

 The company that has sold my "Atari ST Virus Killer" from summer
1989  on has gone broke as of February 1st 1991.  At first I  was
entirely  depressed:  They had always been very slow with  paying
royalties, and they hadn't paid the last half year of 1990 yet. I
will never see that money now.
 Then  the  good  things  started  to  dawn.   For  starters,   I
immediately had the full rights to the program back,  which meant
that  I could sell it to another company.  A company with  decent
user support (CRL was very sloppy) - and a decent payment morale,
too.

Douglas Communications

 In the 'pre-CRL' days,  I sold the virus killer myself under the
name  "Virus  Destruction  Utility" (as some  of  you  may  still
remember). Someone in England contacted me about distributing it,
and this someone happened to be Niall McKiernon of Excel Software
(a PD library, mainly).
 This went smoothly,  and it was he who got contacted by CRL when
they expressed interest in the product. Henceforth he has been my
'agent' in England - the person who continuously kicked CRL's ass
when they once again were too late paying their royalties.  I had
very  good  experiences  with him,  and so  when  he  offered  to
re-launch  the product with some better customer support and  new
advertising, it didn't take much time for me to make my mind up.
 So the copyright is now owned by Douglas Communications,  a  new
label founded by Niall, and I am sure he will do an excellent job
there.  Finally, the users will be able to get updates regularly,
as they will truly be registered and stuff.
 To  make  a distinction between CRL and  Douglas  Communications
versions, we decided upon a version number jump to 5.0. This will
be the first version to be sold by this new label.  Later, during
the development of version 5.1,  the name also changed. It is now
the "Ultimate Virus Killer" (or UVK for short).

The Book

 I  am  still  busy  writing the "Atari  ST  Virus  Killer  Book"
(er...that  will  now  be the "Ultimate Virus  Killer  Book")  in
evening hours, and it's progressing nicely. As things are looking
at the moment, Douglas Communications will either license it to a
publisher  (in  which case it will most likely be  a  hard  cover
book)  or market it themselves (in which case it will  look  like
"Your Second Manual" with a disk shrink-wrapped in it).
 Either  way,  it will be my first 'book' on the market  -  which
will  hopefully  be the first step  to  intercontinental  stardom
(ahem)  in the field of fiction,  nonfiction and life in  general
(ahem ahem). Let's hope things will continue to go OK with this.

The new viruses

 As you could read in the start of this article,  there have been
two new bootsector viruses, which brings the grand total to 53.
 Let's have a short description, shall we?

 Virus #46

Name: TOI Virus
Discovery date: November 10th 1990 (George Woodside)
Virus can copy to drive(s): Current drive
Virus  attaches  itself  to:   Hdv_bpb  and  resvector;   it   is 
 also nondocumented reset-resistant
Disks can be immunized against it: No
Immunizable with UVK: No
What can happen:  Inverts the vertical mouse movements (just like
 the "Ghost" virus which is its previrus).  After that,  it  also
 toggles  the  bits of a random memory location  (this  leads  to
 unpredictable crashes and small things going wrong)
When does that happen: After five copies of itself have been made
Resetproof: Yes
Can copy to harddisk: No
Remark: An adapted version of the "Ghost" virus.  The name  comes
 from the TOI programming group in Denver, Colorado, USA, who are
 reported to be be responsible for this one

 Virus #47

Name: Flying Chimp Virus
Discovery date: December 15th 1990 (Les Neidig)
Virus can copy to drive(s): Drive A
Virus attaches itself to: Hdv_bpb vector
Disks can be immunized against it: No
Immunizable with UVK: No
What can happen: Message will be displayed on screen ("Zapped  by
 Waldo the Flying Chimp!")
When  does  that  happen: After it  has  multiplied  itself  five 
 times, or when it has had 20 bootsector accesses
Resetproof: No
Can copy to harddisk: No
Remark: Thought to have been written in the USA

 Virus #48

Name: Reset Virus
Discovery date: Summer 1988 (Volker Söhnitz)
Virus can copy to drive(s): ?
Virus attaches itself to: Hdv_bpb, Hdv_rw and Hdv_mediach vectors
Disks can be immunized against it: No
Immunizable with UVK: No
What  can happen:  It writes a message "Ihr Rechner hat Aids"  on
 the screen and freezes the system
When does that happen: Three hours after booting
Resetproof: No
Can copy to harddisk: No

 Virus #49

Name: MAD Virus B
Discovery date: December 1987 (Volker Söhnitz)
Symptoms: See virus #2
Remark: Published in a magazine called "Atari Spezial"  (German),
 and  therefore also known under the name "Atari Spezial  Virus".
 This is the original MAD virus, which is exactly the same as MAD
 virus  B  (which was spread the most) except for the  offset  of
 most code. It was written by J. Schuppener, and it was published
 towards the end of the year 1987 in the mentioned magazine.  The
 magazine now seems to be defunct,  but the publisher used to  be
 CAV-GmbH, Heßstraße 90, D-8000 München, Germany

Virus #50

Name: Ghost Virus D
Discovery date: February 17th 1990
Symptoms:  See  Virus  #12 (Ghost Virus).  This virus has  a  few
 damaged bytes and will not work properly - may even crash

Virus #51

Name: Ghost Virus E
Discovery date: April 1991
Symptoms:  Principally  it's the same as the Ghost  Virus  (#12),
 but  the  symptoms are different.  It does  something  with  the
 vertical blank queue and leaves the mouse  alone.  Unfortunately
 the  precise  symptoms are unknown as the copies of  this  virus
 that were found were both damaged.

Virus #52

Name: Ghost virus F
Discovery date: April 1991
Symptoms:  See virus #12 (Ghost Virus),  Unfortunately,  there is
 some  corrupted  code in the virus copy routine so that  it  can
 cause  a  disk to be corrupted (the bootsector  can  be  written
 wrongly,   not   corrupting  the  actual  data  but  making   it
 inaccessible).

Virus #53

Name: Megaguru & Argo 2 Virus
Type: Memory-resident bootsector virus
Discovery date: June 22nd 1991 (Paolo Munarin)
Virus can copy to drive(s): A or B (current drive)
Virus attaches itself to: Hdv_bpb vector
Disks can be immunized against it: No
Immunizable with UVK: No
What can happen: At booting, writes the text "* MEGAGURU & ARGO 2
 001 * ANTEPRIME ATARI E AMIGA PRESENTANO :" on the screen.  When
 things go 'wrong' the screen inverts and a bleep sounds
When does that happen: At each disk with an executable bootsector
 that  is used - with the exception of disks that have the  virus
 on them
Resetproof: No
Can copy to harddisk: No
Remark:  This virus is from Italy.  It was found on a disk  which
 contained a text file from a hacker called Megaguru,  who  would
 like to swap Amiga and ST software. Even his phone number was on
 it  (06/533042/6877631)!  This  virus is not yet  recognised  in
 version 5.1, but will be in 5.2 (available late August)

ST Format Cover Disk

 Niall  is  a  very  zealous kind of  fellow,  and  thus  he  has
succeeded  in getting Future Publishing to accept a demo  version
of  the  program  on  the cover disk  of  their  publication  "ST
Format".  I personally don't think very highly of this  magazine,
but  I  suppose one should cast these principles aside  in  cases
like  this  (i.e.  when  money  is to be made  in  more  or  less
seriously copious quantities).
 Having  your  program  on the cover disk  means  120,000  copies
spread to the public.  Niall nor I get any money for this, but if
only  10 percent of the people actually thinks the demo  is  good
enough for them to buy a finished version...
 The sky is the limit, I would say.
 The "ST Format" program version will be 5.0DGB, which is roughly
the  same  as  version 5.1 (see below) but without  some  of  the
options  (no repair possible,  some viruses cannot be  destroyed,
etc.). Get the mag and see for yourself, I'd say.

The new version

 When  I  started writing this article,  version 5.0  was  barely
finished.  But,  actually,  version  5.1 is finished as you  read
this (since July 1st, actually).
 I am proud to say that there are actually quite some changes  in
the program. Compared with the last version that was commercially
available  (which  was  CRL's  version  3.9,   although   Douglas
Communications has sold 5.0 a bit as well),  5.1 is a totally new
product. It is completely redone.
 Well...let  me  actually sum up here the part of  the  'history'
file starting at 4.0:

- Version 4.0GB (May 24th 1990) Never commercially available
 It  has taken a very long time for this version to be  finished,
but each and every one of the almost 40 weeks involved have  been
spent well!
 Let's get through the changes of this version:  Some last  small
errors   are  dismissed,   DTA  address   determination   better,
compatibility with FAT speeders and cache programs increased, STE
(TOS  1.6) and TOS 1.4 compatibility assured,  program fully  re-
written  and  optimised  in  GfA  Basic  3.07  (including  cross-
referencing),  error  handling routine included,  program  checks
itself  for link-virus infection on  startup,  disk  immunization
method   enhanced,   system  status  check  now   also   includes
recognition  of vector-bending programs (incl.  XBRA  structure),
picture  on  disk  is  now  compressed  and  only  ONE  for  both
resolutions,   new  AntiVirus  version  writable,   some  useless
repairable  bootsectors  removed (including some by  other  virus
killers), new bootsector virus type recognised, memory management
redone  (UVK  now works on machines with a bit more than  200  Kb
free  instead of the previous 400 Kb),  system status  now  gives
proper  TOS  version number (as well as GEMDOS  version  number),
manual  enhanced  and Appendix A fully rewritten (I  daresay  the
clearest   and  most  comprehensive  virus  recognition-and   'NO
PANIC!'-guide yet).
 Decompressed program size almost 170 Kb - packed almost 45% off.
 Its main statistics:  451 recognized bootsectors,  42 recognized
bootsector viruses,  5 recognized linkviruses and 262 bootsectors
can be repaired. The uncompressed program is over 160 Kb in size.
 PLEASE NOTE that there has been a 'version 4.0' of this  program
which was still called "Virus Destruction Utility", and which was
programmed  at the beginning of 1988 (TWO  years  before!).  This
version is extremely OLD,  mindstaggeringly BAD, in ONE FILE, was
PUBLIC DOMAIN (of some sort) and it is a blatant DEMO!

- Version 4.1GB (June 28th 1990) Never commercially available
 Manual and program somewhat improved; statistics increased. Bugs
have  been  repaired (some stupid  typos,  actually,  and  a  bug
involving  floppy media change,  causing read errors at the  link
virus check for every second disk),  e.g.  the ones that caused a
crash in System Status Check Screen when no valid application was
found on Hdv_bpb or Hdv_rw vectors.  Better Rob Northen  Copylock
Protection  bootsector  recognition.  Formatting  a  disk  before
writing  an bootsector image file to disk is now  also  possible,
and  the  'repair' list can now be gone through at steps  of  ten
titles  as well.  Program now compressed with new packer (49%  of
original size left!); data file also packed (47% of original size
left!).
 Its main statistics: 533 recognized bootsectors (YEAH! More than
500!),   42   recognized   bootsector   viruses,   5   recognized
linkviruses,  27 recognized anti-viruses,  45 recognized  special
applications  and 304 (YEAH!  More than 300!) bootsectors can  be
repaired.
 PLEASE  NOTE that there has been a previous version  4.1,  which
was a blatantly BAD,  very OLD demo in ONE part! Thrash it! Throw
it away!  Do never use it again!  It was written somewhere around
the summer of 1988.

- Version 4.2GB (January 8th 1991) Never commercially available
 Wrong  recognition  of  "Dragon's Lair"  and  "Dragon's  Breath"
corrected,   as  well  as  that  of  the  "MAD"  Virus.  Further,
partitions  up to 'Z' inclusive can now be checked - which  means
Atari Metados compatibility.  General statistics  increase.  Text
output  in the alert boxes has also been tidied up (actual  alert
box routine made a bit better in an optical way,  too),  and  the
alert  box  options  can now also be selected  using  the  cursor
arrow keys.  Other nice thing:  The program is now TT  compatible
and  detects  Bigscreens and the KAOSDESK  alternative  Operating
System.  The  reset  resistant application check  of  the  system
status  screen  is  now written in machine  code  and  thus  much
faster  (no time to make coffee anymore when you happen  to  have
more  than  1 Mb of memory).  Also,  the Rob  Northen  Copy  Lock
recognition  is  improved and the VPF calculation  is  made  more
accurate and faster.  Picture loading can be skipped by  pressing
the  'Control'  key  during booting (until the  first  alert  box
occurs).
 Its main statistics:  666 recognized bootsectors,  45 recognized
bootsector viruses, 5 recognized linkviruses, 32 recognized anti-
viruses,  50 recognized special applications and 378  bootsectors
can be repaired.

- Version 4.3GB-4.9GB were never produced.

- Version 5.0GB (April 7th 1991)
 Version number jump to mark a significant change: CRL went broke
so copyright proprietor is now Douglas Communications in  England
- who are, off the record, likely to make a much better job of it
than CRL did! The name of the program has not been changed.
 Crash at bootup in case of non-presence of data file on disk now
alleviated.  Program now only works in DEMO mode when running  on
an  ST  emulator called "Medusa" on the Amiga.  One  of  the  new
viruses to be included was previously recognised as Antivirus  #4
- thus,  this antivirus' recognition had to be improved as  well.
"Manual linkvirus search"-and "Save .IMG file"-fileselectors  now
remember  the previously used paths.  Startup  picture  dismissed
(thanks  for  allowing  this,  Niall!).  Unexecutable/busted  BPB
bootsectors  better  recognised.  System Status Screen  now  also
indicates  whether GDOS is installed or not.  In  the  bootsector
'repair' list,  a standard immunized disk is now also  contained.
When written, this will leave the current disk's BPB intact, thus
allowing you to forcibly repair bootsectors you don't want (virus
free-  and MS-DOS bootsectors for  example).  Better  compression
routine  used  for  data  file  (Pack  Ice  2.20).  Main  program
compressed  with  other  packer since Pack  Ice  couldn't  do  it
successfully any more.  Many on-their-own bootsectors (bootsector
demos  and stuff like that,  over 20 of them) have  been  removed
from  'repair' and replaced by new game bootsectors  and  such. A
date/time  will  be requested upon program start-up in  case  the
date  is  not  valid.  Date and time  are  now  also  permanently
displayed  in each alert box.  After the startup  'system  status
screen',  the program refuses to run (and,  in fact,  resets  the
system) when a virus is noticed in the system.
 Unfortunately,  due to increased program size,  the program will
not be able to load in the data file on 512 Kb machines.  To  run
100%  (including the data file),  the program needs about 470  Kb
FREE memory (which is impossible on 512 Kb machines...)!
 Its  main statistics:  731 recognized bootsectors (some  of  the
existing  ones  have been  improved),  47  recognized  bootsector
viruses, 5 recognized linkviruses, 32 recognized anti-viruses, 58
recognized  special  applications (some existing ones  have  also
been improved) and 392 bootsectors can be repaired.

- Version 5.0NL (April 7th 1991)
 Identical  to  version 5.0GB apart from the name (which  now  is
"ACN  Final Virus Killer") and some texts (which were  translated
into Dutch).

- Version 5.1GB (July xxth 1991)
 Name  changed  from "Atari ST Virus Killer" to  "Ultimate  Virus
Killer" for marketing reasons.
 The  fill  factor routine has been fully  reprogrammed  and  now
actually indicates something proper.  Extra parameters have  been
included  in the internal program code so that you can  now  also
get  rid of  MS-DOS/virus free/boot demo/etc.  disks.  Fifth  Rob
Northen  Copylock bootsector protection  analyser  included.  The
repair  option  screen  has been entirely replaced  by  a  better
version  (written  by Stefan Posthuma).  TOS  version  is  status
display  is  now in the new,  correct  Atari  format  (e.g.  1.04
instead of 1.4).  Non-executable bootsector virus offset included
for  MEGA STE TOS.  Virus names have been revised.  New Pack  Ice
routines used on data-and program-file.  Permanent help mode  can
be toggled on/off by pressing the HELP key to exit a help screen.
Drive B is no longer selectable if not present.
 Its  main statistics:  788 recognized bootsectors (some  of  the
existing  ones  have been  improved),  49  recognized  bootsector
viruses, 5 recognized linkviruses, 32 recognized anti-viruses, 72
recognized  special  applications (some existing ones  have  also
been improved) and 440 bootsectors can be repaired.

 Well,  folks,  once  more the time has reached to  say  goodbye.
Maybe  I  should  stop quitting articles like  this,  for  I  can
imagine that these endings tend to look alike slightly.
 Anyway,  by  mentioning the mere fact that they may I made  sure
this one didn't.
 Cheerio.