domenica 1 dicembre 2019

Amiga Virus - Return of the lamer virus (R.O.L.E)

Articolo scritto da Faber Pixel

Amiga Virus - Return of the lamer virus (R.O.L.E)

Scheda

Nome: Return of the lamer virus (R.O.L.E)
Tipologia: Disk-Validator Virus 

Effetti: 
Terza generazione di virus dopo virus sul bootblock e virus che attaccano i file eseguibili, questo tipo di virus è alloggiato nel disk-validator. Anche il disk-validator è un file eseguibile ma non viene utilizzato in alcuni casi, ad esempio quando il disco floppy è “devalidato”. 
Ciò si traduce nell'inversione del flag "bitmap" che si trova nella traccia 40, sul blocco principale del disco floppy in questione. 
Quindi per essere esguito il virus deve essere su un dischetto in cui il flag 'bitmap' è stato invertito. E il virus verrà lanciato ad ogni inserimento del disco floppy infetto, e ad ogni riavvio si lancia un file infetto !!! 
Quindi, per inibire il virus, non si dovrà solo eliminarlo dalla memoria, ma anche ripristinare il flag “bitmap” per impedire di ricontaminare la memoria al successivo inserimento del dischetto infetto. Occorre un nuovo disk.validator. 
Dimensione: quella del disk.validator quindi 1848 byte. 
Come azioni ne ha due a caso e molto distruttive: il virus riempirà un settore scelto a caso con 64 volte 'LAMER !!!' (ovviamente cancellando i dati presenti) o formatta il floppy disk nello stesso modo di Revenge of the Lamer Exterminator (dischetto riutilizzabile solo dopo riformattazione regolare). 
Usa KicktagPtr per resistere al reset. 
Usa CopyMem (jsr -630 (execbase) !!) e le funzioni interne di Dos.library: tutto questo è o molto poco documentato e lascia intendere che l'autore non sia un dilettante. 
I dati del virus vengono criptati con una chiave che cambia ad ogni esecuzione.

Nessun commento:

Posta un commento