Computer Viruses on the ST

Palin: Hello,  good  evening  and welcome to another  edition  of
       Blood Devastation Death War and Horror, and later on we'll
       be meeting a man who *does* gardening.   But first on  the
       show we've got a man who speaks entirely in anagrams. 
Idle:  Taht si crreoct. 
Palin: Do you enjoy it? 
Idle:  I stom certainly od. Revy chum so. 
Palin: And what's your name? 
Idle:  Hamrag - Hamrag Yatlerot 
Palin: Well, Graham, nice to have you on the show.  Now, where do
       you come from? 
Idle:  Bumcreland. 
Palin: Cumberland? 
Idle:  Stah't it sepricely. 
Palin: And  I  believe you're working on an  anagram  version  of
       Shakespeare? 
Idle:  Sey, sey - taht si crreoct, er - ta the mnemot I'm wroking
       on "The Mating of the Wersh". 
Palin: "The Mating of the Wersh"? By William Shakespeare? 
Idle:  Nay, by Malliwi Rapesheake. 
Palin: And what else? 
Idle:  "Two Netlemeng of Verona",  "Twelfth Thing", "The Chamrent
       of Venice".... 
Palin: Have you done "Hamlet"? 
Idle:  "Thamle". 'Be ot or bot ne ot, tath is the nestquoi.' 
Palin: And what is your next project? 
Idle:  "Ring Kichard the Thrid". 
Palin: I'm sorry? 
Idle:  'A shroe! A shroe! My dingkom for a shroe!' 
Palin: Ah,  Ring Kichard, yes...but surely that's not an anagram,
       that's a spoonerism. 
Idle:  If  you're  going to split hairs,  I'm going to  piss  off
       (Exit).
                                   The man who speaks in anagrams
                            (From the 3rd series of Monty Python) 
 
 THE FOREVER PERPETUALLY CONTINUOUS NEVERENDING STORY OF VIRUSES
                           (SEEMINGLY) 
                      by Richard Karsmakers

 It   seems  that  for  the  last  two  years   or   thereabouts, 
publications regarding viruses have been scarse.  I know only  of 
two  in  the UK and one in Holland (the latter written  by  yours 
truly,  the  others merely assisted).  Does this imply  that  the 
virus problem has finally been beaten?
 Well,  it  has  to  be said that things are  beginning  to  look 
hopeful, even though new viruses still regularly appear. It seems 
that  most  ST users now have a virus  killer  (regardless  which 
one),  so  at least they can guard themselves  against  potential 
danger.
 So far the bit of (slightly corny) introduction.  Now on to  the 
real bit.
 
Viruses spread on UK magazine cover disks

 One  would have thought it would by now be fairly impossible  to 
find  viruses on commercial releases.  In the  games  department, 
this  is largely the case.  Apart from the fact that  most  games 
nowadays  have  bootsectors  that need to  be  executed  for  the 
program to load properly (which makes virus spotting easy),  most 
software houses are very cautious in this field.
 Not so with some cover disks of magazines, so it seems to be.
 In this case it pertains the German magazine "TOS" of which  the 
October issue of 1992 was supplied with a cover disk infected  by 
the "Signum/BPL Virus" (a total of 60,000 disks were involved).
 Due to a terrible coincidence,  English biggest ST monthly,  "ST 
Format",  inadvertently  duplicated  the "Ghost Virus"  on  their 
October (#39) 1992 issue cover disk, too.
 It's due to,  excuse my choice of words, cock-ups like this that 
the virus problem remains existing.
 
The current version of the "Ultimate Virus Killer" - an update
 
- Version 5.5GB (July 4th 1992)
 The  manual was fully rewritten.  Lots of inconsequential  stuff 
taken out,  revised spelling, new layout, more clear and detailed 
descriptions of everything (including the antiviruses higher than 
9 which I had previously forgot to include).
 Most important program changes:  It can now be used as .TTP file 
or run with parameters from a command line interpreter (refer  to 
the "WORKING WITH THE ULTIMATE VIRUS KILLER" chapter for details) 
*  Crash while repairing 'general' bootsectors absolved *  Repair 
screen can now also jump to titles starting with "1" through  "9" 
*  Status  screen details can now be dumped on screen  (by  RIGHT 
mouse  button)  and  on printer  (by  keeping  CONTROL  pressed); 
additional  pressing of ALTERNATE will send form feed to  printer 
afterwards * In any extended alert box,  pressing the RIGHT mouse 
button  will  activate  a  pull-down  menu  for  access  to  desk 
accessories.  This menu is left again by pressing the same  RIGHT 
mouse  button * An ENORMOUS lot of bootsectors have  been  added, 
thanks  to Mike Mee (cheers man!) * The system status screen  now 
checks  XBRA chains as far as possible;  keeping CONTROL  pressed 
during  analysis will display the XBRA identifier instead of  the 
application number * Better packer (Altair's "Atom Packer")  used 
on most files and manual (manual decompression programme  updated 
accordingly).
 Its main statistics:  1205 recognized bootsectors, 66 recognized 
bootsector viruses, 5 recognized linkviruses, 36 recognized anti- 
viruses  and  89  recognized  special  applications.  Up  to  604 
bootsectors can be repaired.
 
- Version 5.5NL (July 4th 1992)
 Identical to version 5.5GB, with the exception of the name ("ACN 
Final Virus Killer") and all text output, which is in Dutch.
 
- Version 5.5BRD (July 4th 1992)
 Identical  to  version 5.5GB,  with the exception  of  all  text 
output, which is in German.
 
- Version 5.6BRD (August 19th 1992)
 This version was specially made for IPV GmbH. It's a German demo 
version  made for the Düsseldorf Atari Messe.  It was a  cut-down 
version of version 5.6BRD as it was at that moment.
 
- Version 5.6GB (September 29th 1992)
 The file structure on disk has changed,  mainly due to the  fact 
that  the  "Ultimate  Virus Killer"  disk  is  now  double-sided, 
allowing twice as much space. Manual is no longer compressed, and 
the appendices have been put into separate files:  "HISTORY"  for 
the version notes,  "APPLICAT" for the resident applications that 
are  recognised,  "VIRUSES" for the complete list of all  viruses 
and  anti-viruses,  and  "REPAIR"  for the  list  of  bootsectors 
contained in the internal library that can be repaired.
 The link virus scan now also recognizes compressed files if  you 
want to,  and can warn when these are found.  An option has  been 
added  to the Command Line Syntax to allow this to be  used  from 
that as well: Parallel to the "-", a "+" may be used to switch on 
packer  information.  Do note that,  with the packer  information 
switched  on,  the  link virus scan becomes  a  LOT  slower!  The 
extended  packer information is always switched on when  checking 
link-viruses manually!  * An alert box after disk write  accesses 
has  been included,  suggesting you to write-protect the disk  to 
minimize  the  chances  of virus  infection  *  Internal  program 
structure has been optimized so that I can now compile it  within 
about 1 minute - that's 75% faster!  * Due to the fact  that,  on 
some machines out there,  the system status screen tends to crash 
(totally disabling the use of the "Ultimate Virus  Killer"),  the 
initial  appearance of this screen can be suppressed  by  keeping 
the  RIGHT  SHIFT  key pressed during  booting  until  the  first 
regular  alert  box  appears  *  Internal  recognition  struction 
optimized  (idea  by Kai Holst!) * The system status  screen  now 
displays  XBRA  codes by default,  if  any  are  found.  Pressing 
CONTROL  will  only display the usual numbers *  The  program  no 
longer  hogs all memory (i.e.  it does not take up ALL  available 
memory)  * Executable MS-DOS disks are  now  analysed,  disabling 
virus  programmers  from  evading the  Virus  Probability  Factor 
algorithm  by  merely  giving their  virus  code  certain  MS-DOS 
bootcode characteristics. Normal MS-DOS-compatible disks, such as 
can be formatted when you have TOS 1.04 or higher,  should NOT be 
executable!  * Crash with TOS 1.04 TOS Fixers is corrected (these 
programs locate themselves in privileged memory; the virus killer 
tried to access that, which causes bombs).
 Its main statistics:  1227 recognized bootsectors, 67 recognized 
bootsector viruses, 5 recognized linkviruses, 37 recognized anti- 
viruses,  94  recognized resident applications and 31  recognized 
packer formats. Up to 612 bootsectors can be repaired.
 PLEASE  NOTE:  The programs on the "Ultimate Virus Killer"  disk 
are also compressed - so when extended packer info is switched on 
during  link virus scan,  these files will trigger 'packer  used' 
warnings  as well.  Needless to say,  there is no need for  alarm 
whatsoever  in the cases of these "Ultimate Virus  Killer"  files 
when  you have legally obtained them,  as they have been  checked 
for link virus infection before having been packed.
 
- Version 5.6USA (September 29th 1992)
 Identical to version 5.6GB,  with the exception of the main menu 
address,  the date entry format and selected text  changes.  Made 
for distribution by Oregon Research Associates.
 
- Version 5.7GB (Approximately January 1993)
 Or:  What  to expect in future updates (not necessarily in  5.7, 
and maybe not at all!).
 A French version is in the pipeline, though at the moment things 
seems  slack  with regard to this.  As a matter of fact  I  don't 
think  it will ever happen,  but Douglas Communications  seem  to 
have  high hopes.  I'm seriously troubled by "MultiTOS"  and  the 
fact  that  the  virus  killer refuses to  work  on  it  at  all. 
Hopefully this will be solved soon,  with the release (end  1992) 
of a "MultiTOS"-compatible version of "GfA Basic".  I am thinking 
of  reprogramming all output routines so that they  use  official 
dialog boxes that,  with a program called "MultiDialog" by Helmut 
Neukirchen,   can  be  directed  into  their  own  windows  which 
effectively creates "MultiTOS" compatibility.  Don't expect  full 
"MultiTOS"-compatibility until version 5.8, for there will surely 
be  some  bugs  in my first attempt (which  should  be  in  5.7). 
Negotiations  are going on at the moment about a CPX module  (for 
use  with the new-ish modular Atari Control Panel) being  written 
that  allows  many of the basic options of  the  "Ultimate  Virus 
Killer"   to  be  used  from  within  any  program  that   allows 
accessories to be activated.  Of course,  the general  statistics 
will be enhanced as much as they can,  and possible bugs will  be 
discarded.
 Do note:  Your suggestions and bug reports WILL be read and  ARE 
taken into consideration!
 
New Viruses

 Various new viruses have been implemented after version  5.4.  I 
will shortly describe them below.
 
Virus #63
 
Name: Menace Virus. 
Type: Reset-proof memory-resident bootsector call virus. 
Discovery date: Spring 1992 (David of H-Street). 
Virus can copy to drive(s): Current floppy drive (A or B). 
Virus  attaches  itself to:  Xbios  vector,  Hdv_bpb  vector  and
 interrupt level 4 interrupt; also undocumented reset-resistant. 
Disks can be immunized against it: No. 
Immunizable with UVK: No. 
What  can happen:  Overwrites the bootsector of your floppy  disk
 with a message in an Elfish language (Tolkien). 
When does that happen: After having made ten copies ot itself. 
Resetproof: Yes. 
Can copy to harddisk: No. 
Remark:  This  virus uses TWO sectors on disk,  sector 1 and  10.
 It's  rather  cleverly written and thought to come  from  Malta.
 Several versions are believed to exist.
 
Virus #64
 
Name: Ashton Nirvana Virus. 
Type: Reset-proof memory-resident bootsector virus. 
Discovery date: Spring 1992 (David of H-Street). 
Virus can copy to drive(s): Current floppy drive (A or B). 
Virus  attaches  itself to:  Hdv_bpb  vector;  also  undocumented
 reset-resistant. 
Disks can be immunized against it: No. 
Immunizable with UVK: No. 
What  can happen:  Random sectors will be read from  the  current
 drive  (including  hard disk!) and written back  with  the  word
 "ASHTON"  in  it.  This obviously corrupts your  media,  at  one
 sector per Hdv_bpb use. 
When does that happen: Each time a floppy/hard disk is read  from
 or written to. 
Resetproof: Yes. 
Can copy to harddisk: No. 
Remark:  Perhaps this virus was written by the same person as the
 "Menace" virus. It's a nasty one as it can corrupt hard disks as 
 well!
 
Virus #65
 
Name: Lietuva Virus. 
Type: Reset-proof memory-resident bootsector virus. 
Discovery date: Spring 1992 (Paragraph Headquarters). 
Virus can copy to drive(s): Current floppy drive (A or B). 
Virus  attaches  itself  to:   Vbl   queue,   resetvector;   also
 undocumented reset-resistant. 
Disks can be immunized against it: No. 
Immunizable with UVK: No. 
What can happen: Bootsector will be zeroed. 
When does that happen: After the first eight copies of itself are
 made, and every six copies afterwards. A copy is made every time
 a disk's bootsector is read/written. 
Resetproof: Yes. 
Can copy to harddisk: No. 
Remark: Written by a chap in the former U.S.S.R. who now lives in
 Lithuania.  It  does not bend any actual system  variable  which
 makes it rather revolutionary.
 
Virus #66
 
Name: Signum virus D. 
Discovery date: March 25th 1992 (Volker Söhnitz). 
Remark:  This  is an optimized version of the original  Signum  A
 virus,  which is also somewhat smaller in size.  It is no longer
 immunizable  with the standard Signum immunization  (0.W  $6038)
 but  instead  requires  to be immunized  with  2.W  $07C4.  This
 effectively  makes  it  impossible  to  immunize  it  with   the
 "Ultimate Virus Killer"...
 
Virus #67
 
Name: Zorro Virus. 
Type: Reset-proof memory-resident bootsector virus. 
Discovery date: June 1992 (P. van Zanten) 
Virus can copy to drive(s): Current floppy drive (A or B). 
Virus attaches itself to:  Hdv_rw,  Hdv_bpb,  resvector and  also
 undocumented reset-resistant. 
Disks can be immunized against it: No. 
Immunizable with UVK: No. 
What can happen: System will lock itself. 
When  does  that happen:  After a specific number of  copies  are
 made. 
Resetproof: Yes. 
Can copy to harddisk: No. 
Remark: A very complex virus that evaded virus killers previously
 by being recognized as an MS-DOS bootsector.  It's heavily coded
 and installs itself in memory in a very complex way.
 
That's all

 That,  as they say,  is all.  In the next issue of ST NEWS there 
will no doubt be another article along these lines.