Heiner Schneegold 97246 Eibelstadt (Deutschland) letzte Aenderung: 2000-06-24 Aenderungen seit VT3.16 VT-Laenge: 392812 Bytes WICHTIG !!!!! Um Linkviren SICHER zu finden, die sich HINTER den 1.Hunk linken, MUESSEN Sie FileTest auf- rufen !!! - STD-L700-Trojan 2000-Juni - MOTABA-3-LVirus 2000-Juni ------ bitte die Texte in VT.kennt.A-Z einfuegen -------- - MOTABA-3-LVirus Linkvirus Namensbegruendung: Im decodierten LinkTeil ist zu lesen: 4d4f 54414241 2d33 MOTABA-3/ ;...... 5b41 [A 736b2066 6f72206d 6f72653a 206d6f74 sk for more: mot 61626140 706f637a 74612e77 702e706c aba@poczta.wp.pl 215d000b !].. Fileverlaengerung: #848-888 Bytes (D4-DE) Nicht Resetfest Nach Source mind. KS 38 Verbogener Vektor: LoadSeg Speicherverankerung: - Loadseg wird verbogen - Testet spaeter geladene Filenamen auf "v","V" usw. Linkvorgang: - mit LoadSeg - Medium validated - 4 Block frei - CodeHunk wird gefunden ($3E9) - Ueberlaeuft $3F1 und $3E8-Hunks - Filelaenge mind. #2048 und max. #102400 - Gesucht wird im 1.Hunks nach jsr openlib (ALLE werden er- setzt durch $6100wxyz) - Gesucht wird im 1.Hunks nach jsr -xy(a6) (EIN Sprung wird setzt durch $6100wxyz) - das Teil codiert sich mit eor - setzt wieder ALTES Filedate Es sind mehrere NICHT-lauffaehige Files nach der Verseuchung be- kannt. - STD-L700-Install Installer Filename: jizzer #15368 Bytes Springt vom Fileanfang in das Linkteil Linkteil ist mit EOR codiert Linkteil soll an c:mount gelinkt werden (nur an dieses File) Loeschen Sie bitte das jizzer-File Ein sauberer Ausbau ist NICHT moeglich, da der Originalzu- stand am Fileanfang mir unbekannt ist. Rest siehe STD-Vag1-Trojan - STD-L700-Trojan Fileverlaengerung: immer #700 Bytes Filename: nur c:mount Nicht Resetfest Ab KS2.04 Verbogene Vektoren: LoadSeg Decodiert ist im Linkteil zu lesen: 536e Sn 6f6f7044 6f732053 7570706f 72742050 oopDos Support P 726f6365 73730043 3a4d6f75 6e740072 rocess.C:Mount.r 756e203e 4e494c3a 206e6577 7368656c un >NIL: newshel 6c205443 50003234 32310000 l TCP.2421.. Rest siehe STD-Vag1-Trojan