Lamer Exterminator
| Lamer Exterminator | |
|---|---|
| Name | Lamer Exterminator |
| Bekannt seit | 1989 |
| Erster Fundort | Deutschland |
| Virustyp | Bootblockvirus |
| Dateigröße | 1.024 Bytes |
| Wirtsdateien | Bootblöcke |
| Verschlüsselung | oligomorph |
| Speicherresident | ja |
| System | Commodore Amiga |
| Programmiersprache | Motorola 680x0-Assembler |
Lamer Exterminator ist ein Computervirus für Commodore-Amiga-Rechner.
Das Virus wurde erstmals 1989 in Deutschland entdeckt. Lamer Exterminator infiziert die Bootblöcke von Disketten.
Versionen und Derivate
[Bearbeiten | Quelltext bearbeiten]Es sind insgesamt 10 Varianten bekannt.[1] Sie sind fast identisch und haben auch meist dieselbe Funktionsweise.
Funktion
[Bearbeiten | Quelltext bearbeiten]Lamer Exterminator ist ein speicherresidentes Virus, das auch einen Reset übersteht. Bei einer Infektion manipuliert es mehrere Betriebssystemeinsprünge, die normalerweise auf das Amiga Kickstart-ROM zeigen würden. Dadurch lädt sich Lamer Exterminator beim Bootvorgang in den RAM und bleibt dort speicherresident.
In einen infizierten Bootblock wird ein Text eingefügt. Da das Virus seinen Code selbst verschlüsselt, ist der Text mit einem HEX-Editor aber nicht zu erkennen. Entschlüsselt würde der Bootblock folgendermaßen aussehen:
0360h: 24 D8 51 C8 FF FC 4E 75 74 72 61 63 6B 64 69 73 ; $ØQÈÿüNutrackdis
0370h: 6B 2E 64 65 76 69 63 65 00 00 54 68 65 20 4C 41 ; k.device..The LA
0380h: 4D 45 52 20 45 78 74 65 72 6D 69 6E 61 74 6F 72 ; MER Exterminator
0390h: 20 21 21 21 00 0D AB CD 00 FC 0A 78 00 FE 9C 3E ; !!!..«Í.ü.x.þœ>
Infektion
[Bearbeiten | Quelltext bearbeiten]Bei Schreib/Lese-Zugriffen auf eine uninfizierte Diskette ohne Schreibschutz kopiert sich der virale Code in den Bootblock der Wirtsdiskette.
Payload
[Bearbeiten | Quelltext bearbeiten]Lamer Exterminator hat eine integrierte Schadfunktion. Das Virus zerstört zufallsgesteuert Blöcke der Wirtsdiskette, indem es den Block mit der Zeichenfolge LAMER! (bei einigen Varianten auch Lamer!) überschreibt.
Verschlüsselungsroutine
[Bearbeiten | Quelltext bearbeiten]Die Ver- und Entschlüsselungsroutine einer Variante des Virus:
;Motorola 680x0 Assembler
decode_virus:
lea cryptstart(pc),a0 ; Begin of crypted area
lea cryptend(pc),a2 ; Endaddress of crypted area
move.b (a2),d0 ; Decode-byte for XOR
.loop:
eor.b d0,(a0)+ ; Decode Virus code with a simple XOR
cmpa.l a0,a2 ; Until Startaddress not reached endaddress...
bne.s .loop ; ...loop
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ VT_DocFiles.lha, VT.Kennt_L-Z.txt, Zeile 93 VT-Schutz Dokumentation
Weblinks
[Bearbeiten | Quelltext bearbeiten]- Virusbeschreibung bei AGN – Informatik, Uni Hamburg (englisch)
- Virusbeschreibung In: Amiga Virus Encyclopedia (englisch)
