Computer Viruses on the ST

 "Asking  whether  machines  can think  is  like  asking  whether
submarines can swim."

           AND, YES, YET ANOTHER ARTICLE ABOUT VIRUSES
                      by Richard Karsmakers

Lucky Lady

 On February 25th 1994 I got the weirdest letter,  accompanied by
a  floppy disk.  It was sent to me by registered mail,  and  came
from  a  city called Ljubljana in a part  of  former  Yugoslavia,
Slovenia.
 When  I  opened it I had expected it to be some kind  of  letter
containing  the usual virus,  possibly even yet  another  "Ghost"
virus.  Some  people are overly cautious and register  all  their
correspondence, you know.
 However, I definitely lost all control over my lower jaw muscles
soon.  It  flapped  open helplessly,  probably making  me  appear
baffled and very silly.  The disk contained a virus  indeed,  but
that  wasn't  all.  The  letter was written  by  someone  calling
herself - yes, it was a girl - Lucky Lady. She turned out to have
written the virus herself,  and on the disk I could find both the
virus and its source code.
 From  her long letter,  giving no hint as to her real  name  and
address,  I could make up nothing other than that she seemed most
determined  to start some kind of battle,  with her writing  ever
more  and ever naughtier viruses (and spreading them to the  best
of her abilities, primarily to Austria, Germany and Croatia), and
me  trying  to update my virus killer to see if  it  could  still
irradicate them.  To give me a fair chance,  the said,  she would
send all her viruses and source code to me as she finished them.
 Although I have to admit it had me excited - and flattered - for
the first few minutes,  the same way a Private Investigator might
be excited at being confronted with a new and intriguing case, it
didn't take long until I realised the full extent of this. What I
had  on  my hands was someone - who might not even in fact  be  a
girl  - who knew how to write and spread viruses and who  somehow
deemed it a good idea to challenge me to some sort of battle that
would  have to be fought over the backs of  non-suspecting  Atari
users!
 Of course I was flattered by the fact that she considered me  to
be *the* Atari ST virus killer,  but somehow it also made me feel
really  uncomfortable.  But I guess one of the old  proverbs  has
made  itself  known again - high trees attract  the  wind.  If  I
couldn't  cope  with events like these,  no matter  how  unlikely
their  occurrence  might be,  I shouldn't have started  coding  a
virus killer in the first place.
 Now I'll just have to do my best to kill her creations.

 She even included a small text file on the disk,  which I  would
like to reproduce here.

-----------------------------------------------------------------

 From:         Lucky Lady
 To:           Richard Karsmakers
 Subject:      Slovenian virus scene report

 Slovenia is a great country,  it is placed on the sunny side  of
the Alps where birds are singing and air's fresh & clear!  It has
huge mountain regions,  vast forests,  crystal clear lakes, a lot
of caves and even a small piece of warm Adriatic sea coast.  It's
beautiful in every side of a view.  I love my country & am  happy
to  live  in  its capital city -  Ljubljana.  The  population  in
Slovenia  would probably never go above 2.000.000 -  yes  there's
not even two milions of us,  citizens of Slovenia,  but we can do
many great things.  You should visit our country someday, Richie!
I think you would like it here.

 I and my generation of friends are "the last children of  commie
state  system"  - we won't never forget all the  fear  of  strong
steel  fist of the previous system.  On June  27th,  anno  Domini
MCMXCI,  a war was started - Yugoslavian combat troops arrived to
prevent Slovenian separation from Yugoslavia. We were watching...
I  was watching...  for the first time we saw  real  blood,  real
dying,  real pain...  Well, anyway - we defeated them in just ten
days but for a great cost of material losses.

 Before  the  war (in Yugoslavia),  there was  no  copyright  law
concering  software,  so  you could buy all kinds  of  games  and
useful software in the black market.  But after the war, together
with the democracy came the software copyright law as  well.  Now
piracy  decreases  every month,  but there's still a way  to  get
pirate copies of the latest software for 10% of the real price at
numerous new computer shops.  Piracy is the main reason for virus
spreading  overhere.  There  are only two major ways  for  pirate
software income:  M.C.A. (wienna (Vienna? ED.)), the other guy is
Dutch  I  think and his name's Harrie!  The  most  widely  spread
viruses here in Slovenia are:  Kobold #2,  Macumba 3.3, Signum A,
Menace,  Zorro,  Ghost & Anaconda (that's still not in your virus
library!  How's that?!  I would send it to you,  but I'm afraid I
don't have it at the moment,  maybe in my next  letter).  Macumba
3.3 and Anaconda are the main problem here now.  They spread fast
since most people use UVK versions below 5.7GB. Other viruses are
dying and they are now quite rare! It's strange - I have owned ST
an  since  1987  and I never traced any  known  or  unknown  link
viruses (too bad)!

 Golden  years for viruses on the ST here in Slovenia were  1987-
89.  Presently,  the market is filled with PCs and Amigas, owners
of ST are rare (well, not so rare), since Atari Corporation makes
such  great  losses  (even I would run the  company  better  than
Tramiel,  the  jerk!).  As  concering Atari  models  in  Slovenia
today:  520/1040ST(FM)  -  40  %,  MEGA ST  -  25%  (Universities
mostly), 520/1040STE - 2%, MEGA STE - 5%, TT - 10% (press & small
DTP companies only), Falcon 030 - 18%.

 The TOS versions in today in Slovenia (in order of  popularity):
1.04,  1.00,  1.02,  4.04,  3.01 & 2.06. All the data I collected
last week (first week of February,  ED.) in our unofficial  Atari
club, and the percentages are all approximations!

 For six and a half year I have owned my good old 520ST (TOS 1.00
- 06.02.86 German).  As I bought it in Germany it has 512Kb  RAM,
SF354 & SM124 monitor, through long years I updated it as much as
I  could and as much as my wallet allow it (tough expenses for  a
poor student girl like me).  Now it has 2.5Mb RAM,  Nec DD floppy
drive,  Atari Megafile 30,  SM146 monocrome monitor,  Epson LQ100
printer,  Microdeal stereo replay sampler card (sadly it's 8-bit)
and an Axelen mouse.  Next week I expect my new Falcon 030 I have
ordered & paid (YEAH - I can then play "Ishar" & "Ishar 2" in 256
colours) and I'm already looking forward, but at the same time my
heart  goes apart at the hought that I have to sell my ST  for  a
meagre 700 DM.

 Well,  who really cares,  life's a b___h and then you die!  Take
care Richie! You'll hear again from me next month!
                                                       Lucky Lady

-----------------------------------------------------------------

 In  her  letter she also mentioned that she was  making  a  "UVK
Killer"  virus that should trace out any "Ultimate Virus  Killer"
files and delete them. She promised to send it to me somewhere in
March, and indeed on March 10th - right in time to tell you about
it  -  I  received a registered express mail  package  sent  from
Ljubljana on February 29th 1994 (which was interesting,  as there
is no February 29th this year).
 Anyway the letter came with a nice postcard of her home town and
a  disk,  the latter containing the promised virus - this time  a
bootsector call virus called "Lucky Lady Virus 4.12",  that  made
use of two additional sectors on disk to increase its capacity to
do evil.  It was a lot more advanced, almost as if it was written
and conceived by someone else entirely,  for the first virus  was
really much simpler and less dangerous.  Thank God it seems  only
to work on TOS 1.00.
 On  the disk was also another Slovenia Virus report,  that  I'll
reprint here. It contains some shocking data that would certainly
cause me to be extremely careful if I lived there...

-----------------------------------------------------------------
    SLOVENIAN VIRUS SCENE - ATARI (MEGA)ST(E), TT, Falcon030
                          February '94
                   Filed by Lucky Lady of Sector MP Inc.
    --------------------------------------------------------
    Virus entries in Feb.:
    known name:              entry from:         spread in %:
   ----------------------------------------------------------
   - Anaconda                Replicants (Belgium)         65
   - Lucky Lady Virus 1.02   Sector MP                    12
   - Lucky Lady Virus 4.12   Sector MP                     1
   - Darkness                ??? (Austria)                32
   ----------------------------------------------------------
   Current scene in Feb.:
   known name:            % inc./dec.:           spread in %:
   ----------------------------------------------------------
   - Kobold#2                 -                           14
   - Macumba 3.3              +                           57
   - Zorro                    +                           32
   - Menace                   ~                           11
   - Ghost                    - (out)                     00?
   - Signum                   - (out)                     00?
   ----------------------------------------------------------

 Percentages  are of course not exact and are  approximate.  Data
obtained in our Atari club by Sector MP Inc.  of SSO (The Slovene
Stonewashing Organization).

Other Remarkable events:

-    Atari  Corp.  started  to  officially  import  its  machines
     (Falcon030, Jaguar, Lynx 2) in Ljubljana.
-    Sector MP opened "Virus coding school"

-----------------------------------------------------------------

 As  you see,  it's not easy to make up one's mind about a  thing
like  this.  On  one  side  she seems to be a  nice  girl  in  an
interesting country,  a girl who can code in assembler and who is
as much into the ST as any other freak. But on the other side she
does  vile  things,  is setting up a virus coding school  of  all
things,  and  seems  to take pride in  conceiving  and  spreading
viruses herself.  Doesn't she realise that her friends will  also
turn upon her if they ever get struck by her products?
 Maybe, if this issue of ST NEWS ever gets into Slovenia, readers
there  can  find  out  who  she  is  for  me?   Apart  from   the
information contained in the text file included above, her actual
letter mentioned that she studies at the University of  Ljubljana
where she had a heavy exam on or around February 18th,  that she's
born  on  08.01.1973 (January 8th or August 1st?)  and  that  she
really likes techno, electro, hip-hop, rap & italo dance music of
the '80 (and particularly the latest megamix from the best  free-
style  D.Js  Molella  & Fargetta,  whoever  those  may  be).  The
envelope  was  marked "61101 Ljubljana" but her  own  address  is
"61000".  She also has a Bulletin Board and a P.O.  Box,  and has
recently  bought a Falcon.  Unfortunately so also vowed  to  make
Falcon viruses,  quite possibly using DSP and specific 68030 code
or something.
 I  am not feeling comfortable at all.  This whole thing has  all
the ingredients to increase beyond control,  and I only hope that
this  Lucky  Lady will cease her virus  programming  actions.  If
you're from Slovenia or otherwise a friend of hers,  please  tell
her to stop before things get out of hand!

History

 The  "Ultimate  Virus Killer" is  continuously  upgraded,  which
warrants yet another inclusion of "Ultimate Virus Killer" history
as far as the latest two versions are concerned...

- Version 6.0GB (October 3rd 1993)

 Finally  I have spent a lot of time on the program so now it  is
entirely compatible with GEM. It should work in any resolution as
long  as it has at least 640 by 200 pixels,  with  any  Operating
System  (including "MultiTOS"),  on any machine,  now and in  the
future.  I don't think the program has ever been through so  many
enhancements and changes from one version to another.
 Finally,  the "Ultimate Virus Killer" is ready for a new era  of
computing.

* All non-GEM routines have been replaced by GEM routines,  based
  on Gregor Duchalski's "Flydials" library (which is a collection
  of shareware source code routines that I'd advise every serious
  "GfA  Basic" programmer to use).  The address to  obtain  these
  routines at (they have a shareware registration fee of DM 30,-)
  is Baueracker 15a, W-44627 Herne, Germany.
* The  manual has been revamped,  mainly adapted to the  new  GEM
  things  and  rephrasing  of stuff  like  "Search'n'Destroy"  to
  "Seek'n'Destroy" and "Repair disks" to "Restore  disks".  There
  are many more little changes though,  and as a whole it  should
  be easier to understand now.
* There  was a bug in the BPB repair routine,  causing a  damaged
  BPB to be written even after it having been repaired. Now gone.
  Thanks to Kai "Antidote" Holst for finding this one.
* Extended file selector calls are used now when a TOS version of
  1.04 or higher is found.
* Due to the ultra-comfortable [HELP] key support in the new  GEM
  environment,   the  so-called  permanent  help  mode  has  been
  discontinued.
* A new help screen has been added for the system status screen.
* The  meaning of the [CONTROL] key during system  status  screen
  analysis has changed again (and for the absolutely final time):
  Pressing  it will now slow down analysis,  and default  display
  speed will be fast.
* Thanks  to  an optimization of  the  internal  algorithms,  the
  extensive  system  status screen analysis speed  has  now  been
  increased by 61%, of which 10% are thanks to Martijn Wiedijk.
* Function-and  cursor-key support exchanged for [ALTERNATE]  key
  shortcuts.
* AES (Application Environment Services) version number now  also
  displayed in extensive system check screen.
* Link virus scan now up to 74% faster.  Thanks to my good friend
  Kai  for the golden tip that took off 55%:  Never use any  "GfA
  Basic" commands such as SEEK, OPEN, CLOSE and BGET, but instead
  use the direct GEMDOS equivalents.  One also has to use the DTA
  buffer  instead of LOF(#x).  The other 19% were caused by  some
  optimizing of my own.
* Bootsector  virus scan is now a massive 63% faster.  Of  these,
  15% are due to another tip by Kai:  Never use  single-character
  RIGHT$ and LEFT$ but instead use BYTE{} (beware for zero length
  strings  though!).  Another  7% are due to the  fact  that  the
  program no longer uses byte-length compares.  The remaining 41%
  are  the result of two rainy days filled with heavy coding  and
  my  converting the recognition data line format.  The  dataline
  format  got 10% smaller,  the actual bootsector  scan  suddenly
  almost ridiculously fast. For the technically minded among you:
  All  regular string expressions are now stored as CVI  and  CVL
  strings of the same (this gave some problems with values of  0,
  4,  10,  13 and 34, but I worked a way around not being allowed
  to use them).
  It  is interesting to note that during one year of  development
  (from  version 5.6 to 6.0) the bootsector virus scan speed  has
  decreased  from an average of 1.77 to 0.12 seconds of  analysis
  needed per sector, which is a speed increase of over 90%!
* The command line syntax didn't support the separate link  virus
  folder scan apart from the single file or whole partition scan.
  Now it does.
* Additionally, you can now also just feed a regular program name
  (including proper path and such) to the program.  If the entire
  command  line as such is found as a file somewhere,  all  other
  routines  will  be  bypassed and the program  will  check  that
  particular file for link viruses.  No additional parameters can
  be passed on.  By default the program will wait for a key  once
  finished and will also check for packed file information.  This
  works especially excellently if you have extended desktops such
  as "NeoDesk".  You can then even drag the icon/filename of  the
  file to be checked on the "Ultimate Virus Killer" program  icon
  if you want to.
* In certain circumstances the accessory version could crash  due
  to  a  bug in the internal "GfA Basic"  MENU_REGISTER  command.
  This has now been replaced by an own menu register routine.
* Although  the  internal bootsector restore data  file  depacker
  routine is still the same (Altair's "Atom" packer version 3.5),
  the actual program file is now no longer compressed.  This uses
  up some more disk space, of course, but increases compatibility
  with  various configurations,  Operating Systems and  accessory
  operation.  Please refer to the separate "PACKERS.TXT" file for
  details of possible packers you can use yourself.
* The "Chameleon" accessory is now supported, finally. This is an
  accessory that can load and unload other accessories - such  as
  the   "Ultimate  Virus  Killer"  when  it  is  used  as   such.
  "Chameleon"  allows  for accessories to be  loaded  from  other
  directories rather than the root directory of your boot  drive,
  which  causes problems with most accessories that have to  load
  supplemental files such as a resource file. The "Ultimate Virus
  Killer",  when started as an accessory,  will scan all  current
  directories  of  all  valid  partitions  until  it  finds   the
  "Ultimate Virus Killer" resource file.  Do note that these  are
  all root directories,  too,  unless you have opened a window to
  another directory previously!  As a rule you should use the GEM
  desktop  to  open the window in which all the  "Ultimate  Virus
  Killer"  files are and after that use "Chameleon" to  load  the
  accessory.
* In  the system status check,  both ST and TT RAM types are  now
  supported  and  recognized,   as  well  as  previously  wrongly
  recognized regular ST-type memory configurations  (yes,  Frank,
  this is for you!).  What can I say?  Amazingly,  there isn't  a
  *single* book that documents this stuff correctly. Here, thanks
  go  to H.W.A.M.  de Beer,  author of the most excellent  Public
  Domain  "SysInfo"  program - he supplied  the  information  and
  source  code  necessary for the proper  implementation  of  all
  this. When running the "Ultimate Virus Killer" with "MultiTOS",
  due to memory protection stuff the memory amount found may  not
  be correct as Mr. de Beer's routine can then not be used.
* The birthday date format has been optimized.  Also, 100% of all
  possible dates have one or several birthdays now.  The birthday
  lister,  by the way, will be disabled if you haven't got enough
  free memory (i.e. on 512 Kb machines).
* The "DATA.PAK" datafile is no longer totally decompressed  upon
  loading.  Only  when  a specific bootsector  is  restored,  the
  appropriate  (tiny) part of the data file is  decompressed  and
  used.  In the current version this saves over 140 Kb of memory,
  i.e.  you now need over 140 Kb less to be able to use the  data
  file than before.
* Additionally,  it  is now possible to use the whole program  on
  half megabyte machines again. You can even restore bootsectors,
  but  this now requires you to locate the "DATA.PAK" on disk  so
  that  the program can load and decompress the appropriate  part
  needed.  After that you are requested to insert the actual disk
  so  that the program can write the bootsector to disk.  You  no
  longer  need  to  have the data file in memory to  be  able  to
  restore bootsectors, even though having it in memory will prove
  to  be  easier,   especially  when  restoring  more  than   one
  bootsector.
* Due to the overall space savings,  the accessory version of the
  "Ultimate  Virus Killer" will now use 520 Kb or 340 Kb of  RAM,
  with and without the data file loaded respectively.
* The  "Ultimate  Virus Killer" CPX module has  been  updated  to
  version 1.3.

 All  speed increases are dedicated to Kai Holst,  who  has  been
ruthlessly  irritating me for at least a year now with regard  to
his  virus killer being faster than mine.  Although he  has  been
driving me out of my mind in the process,  if it hadn't been  for
him  the  "Ultimate Virus Killer" would still  be  the  ponderous
dinosaur  it  was in the olden days.  At least the only  thing  I
could compare, the link virus scan, is now 30% faster than his.

 This version's main statistics:  1486 recognized bootsectors, 73
recognized  bootsector  viruses,  5  recognized  linkviruses,  40
recognized anti-viruses, 137 recognized resident applications and
43   recognized  packer  formats.   A  total  of  710   different
bootsectors can be repaired.

- Version 6.0USA (October 3rd 1993)

 Identical to version 6.0GB,  with the exception of the main menu
address,  the date entry format and selected text  changes.  Made
for distribution by Oregon Research Associates.

- Version 6.0NL (October 3rd 1993)

 Identical to version 6.0GB, with the exception of the name ("ACN
Final Virus Killer") and all text output, which is in Dutch.

- Version 6.1GB (January 8th 1994)

 After the major reprogramming around version 6.0, a few bugs had
once more crept in the program. These are now fixed. A summary of
the changes follows.

* A rare wrong assignment of [UNDO] key shortcut alleviated.
* All birthday-related routines, resource trees and data removed.
  For those of you still interested in that kind of  information,
  try  getting  the forthcoming "Brain  Replacement  Utility",  a
  powerful diary/organiser utility with an enormous birthday  and
  event database.  This is a forthcoming shareware program that I
  will be on the UVK 6.3 disk if I get it finished by then.
* There's been a bug in the program right from the beginning when
  the  link virus automatic scan was built in  (March  1989).  It
  resulted in folders not being scanned completely (usually  only
  around  10  files  per  folder  on  average).  Kai  found  this
  frightful  bug some time ago and I thought I had already  fixed
  it in the previous version.  Well,  I hadn't.  But now it is! I
  WOULD STRONGLY ADVISE EVERYBODY TO RESCAN THEIR MEDIA ONE  TIME
  (especially all hard disk partitions).
* Thanks to Mike Watson of Sinister Developments,  author of  the
  "New Depack" utility,  just about twice the previous amount  of
  packer   formats  can  now  be  recognized  (and  some   others
  recognized more efficiently).
* The   program   now  supports  a  special  extension   in   the
  configuration file that is used to determine the minimum size a
  file must have in order to be checked in the "check all  files"
  link virus scan department.  You can use any of the  extensions
  you  want for this (even multiple ones) but only the  last  one
  found will be used so it's best the use the very last entry for
  this.
  The format is ".XXX",  where "XXX" stands for the minimum  size
  in kilobytes (i.e. the actual file size divided by 1024) from 0
  to  999.  When none is specified,  the program uses  a  default
  minimum  size  of  3 Kb  (i.e.  3072  bytes).  The  larger  the
  specified  size,  the quicker the link virus scan but THE  LESS
  SAFE!
  In all cases fill up the value with zeroes to the left to  make
  sure the length is 3 digits (so "123", "003" and "030" would be
  valid entries).
* Resource organisation is optimized. There used to be 2 resource
  files with a total size of over 60 Kb,  catering especially for
  ST  medium and high resolutions.  On TT and Falcon  modes  with
  more than two colours,  however,  their colours didn't look all
  too well.  Instead of adding a third resource file with  proper
  colours I have spent some extra work and optimized one resource
  file  to  cater  for everything in  exchange  for  the  program
  looking  somewhat  less aesthetic  in  medium  resolution.  The
  resource file is now less than 22 Kb and,  as there's only  one
  now,  I have been able to include it within the actual program.
  No separate resource files of any kind needed.
  An  added  bonus is the fact that all resources are  now  drawn
  quicker  and no longer exceed the legal 79  characters  maximum
  width such as the "System Status Screen" did before.
* As the resource file is now included within the program,  there
  is no reason to keep the program uncompressed (version 6.0  was
  not  compressed due to "Pa Pack" not allowing an accessory  run
  from "Chameleon" to load a resource). So it's compressed again,
  using the aforementioned "Pa Pack".

 This version's main statistics:  1497 recognized bootsectors, 76
recognized  bootsector  viruses,  5  recognized  linkviruses,  40
recognized anti-viruses, 140 recognized resident applications and
83 recognized packer version formats (of a total of 27  different
packers). A total of 714 different bootsectors can be repaired.

- Version 6.0D GB (January 8th 1994)

 The first demo version of the new GEM-compatible "Ultimate Virus
Killer".  Especially  made for the UK magazine "ST Format"  cover
disk  this  time,  which had had no UVK demo version  since  July
1991. Although it's a demo of version 6.1, the version number was
decreased so as not to confuse people.

- Version 6.1USA (January 8th 1994)

 Identical to version 6.1GB,  with the exception of the main menu
address,  the date entry format and selected text  changes.  Made
for distribution by Oregon Research Associates.

- Version 6.1NL (January 8th 1994)

 Identical to version 6.1GB, with the exception of the name ("ACN
Final Virus Killer") and all text output, which is in Dutch.

Latest Viruses

 Also, the last couple of months have seen the discovery of a few
new viruses. Short descriptions can be found below.

Virus #73

Name: Darkness Virus (Nightmare of Brooklyn #2 'Darkness').
Type: Reset-proof memory-resident bootsector virus.
Discovery date: July 17th 1993 (Piotr Kowalczyk).
Virus can copy to drive(s): Current floppy drive (A or B).
Virus attaches itself to:  Hdv_bpb, undocumented reset-resistant,
 resvector, vbl_queue.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What can happen: It can write garbage on the first 9 sectors of a
 random track between 1 and 79.  The first of those sectors  will
 then  contain  the  text between  quotes  mentioned  above  with
 'Name'. Additionally, the virus can screen black.
When  does that happen:  The disk track garbage  writing  happens
 every  other  8  copies that it writes  of  itself.  The  screen
 blackening happens every 32768 vertical blanks (i.e. after about
 11 minutes on colour monitors, about 7.5 minutes on monochrome).
Resetproof: Yes.
Can copy to harddisk: No.
Remark:  First discovered in Poland. This virus uses an intricate
 coding  method which,  like other recent viruses,  allows it  to
 create hundreds of differently recognizable versions of itself.

Virus #74

Name: Small Virus.
Type: Memory-resident bootsector virus.
Discovery date: Autumn 1993 (Chris Brookes).
Virus can copy to drive(s): Current floppy drive (A or B).
Virus attaches itself to: Hdv_bpb.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What can happen:  Nothing harmful actually. It has no destruction
 routine nor a trigger routine.
When does that happen: Never.
Resetproof: No.
Can copy to harddisk: No.
Remark:  Named  after the fact that it is very small,  less  than
 half the bootsector size. Only copies itself. Nothing else.

Virus #75

Name: Ghost Virus J.
Type: Reset-proof memory-resident bootsector virus.
Discovery date: Autumn 1993 (ORQ Computer Group).
Virus can copy to drive(s): Current floppy drive (A or B).
Virus attaches itself to:  Hdv_bpb and resvector; it is also non-
 documented reset-resistant.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What  can  happen:  Most likely nothing.  It is changed  (or  has
 mutated) so that it manipulated a wrong memory value.  The mouse
 pointer Y direction is NOT inverted.
When does that happen: After copying itself 10 times.
Resetproof: Yes.
Can copy to harddisk: No.
Remark: It is almost identical to "Ghost Virus A", much more than
 the  other variants.  It was discovered in Australia,  and  also
 known as "Silent Virus".

Virus #76

Name: Zorro Virus C.
Type: Reset-proof memory-resident bootsector virus.
Discovery date: November 2nd 1993 (Piotr Kowalczyk).
Virus can copy to drive(s): Current floppy drive (A or B).
Virus attaches itself to:  Hdv_rw,  Hdv_bpb,  resvector and  also
 undocumented reset-resistant.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What can happen: System will lock itself.
When  does  that happen:  After a specific number of  copies  are
 made.
Resetproof: Yes.
Can copy to harddisk: No.
Remark:  Although it does almost exactly the same as Zorro  Virus
 A,  it  is much more different from it than Zorro Virus  B.  For
 starters all its individual routines are  interchanged,  causing
 the  uncoded  virus start to be quite  different  too.  It  also
 installs itself on a different location in memory. This virus is
 believed  to have been done in Poland,  which seems to  indicate
 that  all Zorro viruses were coded there.  It also goes  by  the
 name of "Wredniak" (which is Polish for "Nasty Virus").

Virus #77

Name: Lady Luck 1.02 Virus.
Type: Memory-resident bootsector virus.
Discovery date: February 1994.
Virus can copy to drive(s): Floppy drive A only.
Virus attaches itself to: Hdv_bpb and vbl queue.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What  can  happen:  A  message ("Lady Luck  rules  forever!")  is
 printed continuously on the screen, locking your system. A reset
 is the only way out.
When does that happen:  After about an hour (on monochrome 70 Hz)
 or an hour and fifteen minutes (colour 50 Hz).
Resetproof: No.
Can copy to harddisk: No.
Remark: Coded by a female programmer who goes by the name of Lady
 Luck  of  Sector MP Inc.  from Ljubljana,  Slovenia  (in  former
 Yugoslavia).  She has initiated some sort of bizarre 'war',  and
 has vowed to write many more viruses to test both her talent  at
 writing  them  and my talents at killing  them.  She  sends  her
 latest creations to me by registered mail without  specification
 of the sender.  Nothing more is known about her, other than that
 she  studies  at Ljubljana University.  This virus  is  actually
 prettily clumsily written, and used to get a VPF of 220% because
 it used three separate instances of "rwabs", among other things.
 I have mixed feelings about all this,  and all I can say is that
 I'd love to kill her creations softly.

Virus #78

Name: Lucky Lady 4.12 Virus.
Type: Reset-proof memory-resident bootsector call virus.
Discovery date: March 1994.
Virus can copy to drive(s): Floppy drive A only.
Virus attaches itself to:  Hdv_bpb, resvector, vbl_queue.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What  can happen:  1) It puts message "Lucky Lady forbids you  to
 load the UVK!" on screen,  then erases  "UVK_x_x.PRG" files from
 current   drive   when  you try  to  load  the  "Ultimate  Virus
 Killer"  2)  Mouse  cursor is changed from TOS arrow   to  Lucky
 Lady's logo (LL) 3) Screws up the screen 4) Logical clusters 351
 &  352  are overwriten  and marked as 'bad' in  the  FAT  (Every
 cluster entry after 351 is thus a "floating entry" if there  was
 a file (data lost) present before on a disk).
When does that happen: Message and UVK file erasing happens every
 time you want to load  the "Ultimate Virus Killer". Mouse cursor
 is   changed after approximately 35 minutes on monocrome (a  bit
 longer on colour).  Clusters  351 & 352  are lost during cloning
 i.e. during every drive A access.
Resetproof: Yes.
Can copy to harddisk: No.
Remark:  Like "Lucky Lady 1.02",  this virus is written by a girl
 from  Slovenia as part of her bizarre 'war' (see previous  virus
 remarks).  It's  not  called "Luckly Lady B" and the  other  one
 "Lucky Lady A" because the viruses are totally different despite
 their similar name.  This virus is much more complex and also  a
 lot more dangerous. It seems only to work on English versions of
 TOS 1.00, where the file name of the file currently being loaded
 is at a specific location.
 News  is  that this Sector MP Inc.  has set up  a  virus  coding
 school in former Yugoslavia.  Things are beginning to get out of
 hand.

Latest improvements

 I am already working on version 6.2, to be released on or around
April  9th  1994.  I'd  like to make you aware  of  some  of  the
improvements that I have already made in that.

* Misspelling  of  the System Status  Screen  Hdv_mediach  vector
  address corrected.
* "No  Virus  in  Keyboard Processor" message  in  system  status
  screen  dumped.  No  virus  can write itself  to  the  keyboard
  processor, so it was just ballast.
* Apart  from  packed  program  files,   archives  are  now  also
  identified.  An  appropriate dialog box has been added,  and  a
  HELP screen adapted.
* Printing  now works on the Falcon.  As a matter  of  fact,  the
  program  will  use a serial or parallel  printer  depending  on
  which is detected. I don't believe this worked before.
* When you started with a nonvalid date and went through the time
  and date dialog boxes to set it,  the day indication in further
  dialog boxes was wrong. This is now fixed.
* When a "99% safe disk" is found,  there is now a fifth  option,
  "Do Nothing".
* "HISTORY.PRG"  program file is updated (to  version  1.05).  It
  will  now work on any monitor as long as it displays a  minimum
  of 80 columns (640 pixels width).  Previously it worked ONLY on
  80 columns, and not on all systems either.
* The  program  can  no longer be  loaded  from  the  "Chameleon"
  accessory loader.  If you want it to work anyway,  you have  to
  decompress it first.

 And that,  as they have said (and me too) perhaps too many times
already, 's all folks!