Lamer Exterminator
Lamer Exterminator ist ein Computervirus für Commodore-Amiga-Rechner.
| Lamer Exterminator | |
|---|---|
| Name | Lamer Exterminator |
| Bekannt seit | 1989 |
| Erster Fundort | Deutschland |
| Virustyp | Bootblockvirus |
| Dateigröße | 1.024 Bytes |
| Wirtsdateien | Bootblöcke |
| Verschlüsselung | oligomorph |
| Speicherresident | ja |
| System | Commodore Amiga |
| Programmiersprache | Motorola 680x0-Assembler |
Das Virus wurde erstmals 1989 in Deutschland entdeckt. Lamer Exterminator infiziert die Bootblöcke von Disketten.
Versionen und Derivate
BearbeitenEs sind insgesamt 10 Varianten bekannt.[1] Sie sind fast identisch und haben auch meist dieselbe Funktionsweise.
Funktion
BearbeitenLamer Exterminator ist ein speicherresidentes Virus, das auch einen Reset übersteht. Bei einer Infektion manipuliert es mehrere Betriebssystemeinsprünge, die normalerweise auf das Amiga Kickstart-ROM zeigen würden. Dadurch lädt sich Lamer Exterminator beim Bootvorgang in den RAM und bleibt dort speicherresident.
In einen infizierten Bootblock wird ein Text eingefügt. Da das Virus seinen Code selbst verschlüsselt, ist der Text mit einem HEX-Editor aber nicht zu erkennen. Entschlüsselt würde der Bootblock folgendermaßen aussehen:
0360h: 24 D8 51 C8 FF FC 4E 75 74 72 61 63 6B 64 69 73 ; $ØQÈÿüNutrackdis
0370h: 6B 2E 64 65 76 69 63 65 00 00 54 68 65 20 4C 41 ; k.device..The LA
0380h: 4D 45 52 20 45 78 74 65 72 6D 69 6E 61 74 6F 72 ; MER Exterminator
0390h: 20 21 21 21 00 0D AB CD 00 FC 0A 78 00 FE 9C 3E ; !!!..«Í.ü.x.þœ>
Infektion
BearbeitenBei Schreib/Lese-Zugriffen auf eine uninfizierte Diskette ohne Schreibschutz kopiert sich der virale Code in den Bootblock der Wirtsdiskette.
Payload
BearbeitenLamer Exterminator hat eine integrierte Schadfunktion. Das Virus zerstört zufallsgesteuert Blöcke der Wirtsdiskette, indem es den Block mit der Zeichenfolge LAMER! (bei einigen Varianten auch Lamer!) überschreibt.
Verschlüsselungsroutine
BearbeitenDie Ver- und Entschlüsselungsroutine einer Variante des Virus:
;Motorola 680x0 Assembler
decode_virus:
lea cryptstart(pc),a0 ; Begin of crypted area
lea cryptend(pc),a2 ; Endaddress of crypted area
move.b (a2),d0 ; Decode-byte for XOR
.loop:
eor.b d0,(a0)+ ; Decode Virus code with a simple XOR
cmpa.l a0,a2 ; Until Startaddress not reached endaddress...
bne.s .loop ; ...loop
Einzelnachweise
Bearbeiten- ↑ VT_DocFiles.lha, VT.Kennt_L-Z.txt, Zeile 93 VT-Schutz Dokumentation
Weblinks
Bearbeiten- Virusbeschreibung bei AGN – Informatik, Uni Hamburg (englisch)
- Virusbeschreibung In: Amiga Virus Encyclopedia (englisch)