amiga-news.de - Virus Help Denmark: Viruswarnung!

18.Aug.2001
Jan Andersen (E-Mail) Virus Help Denmark: Viruswarnung!
Virus Help Denmark hat einen weiteren Installer des 'Hitch-Hiker 5.00' Linkvirus gefunden. Der Installer befindet sich im dem Archiv 'libBase310.lha', welches bis heute morgen im Aminet war.

Es gibt nach wie vor keine Möglichkeit, das Virus zu entfernen. Das Virus infiziert innerhalb weniger Minuten mehrere Hundert Dateien, indem 3720 Bytes drangehängt werden. Virus Help Denmark hat allerdings eine Lösung gefunden, wie man das Virus erkennen kann: Nach dem Entpacken des Archives zunächst die Dateien in einen Text-Editor laden und nach folgendem String fahnden:

-=COVAH=-

Wenn Sie diesen String in weiteren Archiven finden, schicken Sie es bitte an Virus Help Denmark.

Hier die komplette Meldung:
We have found another the installer of the new 'Hitch-Hiker 5.00' linkvirus.

Again there is "NO" cure for this virus right now. You can find infected files, you will have to replace the infected files with new clean files. The 'Hitch-Hiker v5.00' virus will add 3732 bytes to every infected file, and place it self in memory, so you will have to watch out for that as well. This virus will infect anything that it can get into. Again I ran a test on my A1200 and it infected will over 400 files, in under 3 minutes.

There is a way to see if the archive you download is an installer of this virus, all you have to do is to unpack the archive, read the file in an texteditor (eg. CygnusEd), and search for this text string in the code (THIS IS ONLY FOR THE INSTALLER):

-=COVAH=-

If you find -=COVAH=- in the code, that is an installer of this virus then please send the archive to us.

The virus size has change this time, now it is 3720 bytes. That tells us that the virus uses polymorph routine, that means that the virus can change in size.

This virus comes from Poland again, just like the other viruses that we have found in the last 6 month. But why don't you guy's program something usefull, that everyone can enjoy?

In the code (decoded), you can read:

Hitch-Hiker Millenium (5.00)
Featuring the 1's Advanced V8sA Op'miz Code
A welcom user of VRU!
-= 1995-2 =-
-= HAVOC =-

The archive was uploaded to AmiNet, but it has been removed now. (Thanks Urban).

This is what we know of the virus:

Virus Type.... : Linkvirus
Virus name.... : Hitch-Hiker 5.00 (Millenium)
Virus size.... : 3720 bytes
Archive name.. : LibBase310.lha
Archive size.. : 47.711 bytes (lha packed)
Installer name : LibBase3.10
Installer size : 42.304 bytes
Archive info.. : Scans Memory for Libs/Tasks etc

There might just be more installers of the 'Hitch-Hiker 5.00' virus out there, today we found 2 archives. If you find anything please send it to us.

The 'xvs.library' (external Virus Scanner library) will be updated as soon as possible. In the mean time, take care...

Thanks to Petra Struck & Alfred, for sending the archive to us.

Anmerkung der Redaktion:
Da sich Alfred Sturm, der für die Aminet-Uploads hier bei amiga-news.de zuständig ist, wie wir inzwischen festgestellt haben, gestern dieses aggressive Virus "eingefangen" hat, indem er LibBase310.lha installiert und ausprobiert hat, wird es in nächster Zeit keine Aktualisierung der Aminet-Uploads geben.

Das Virus hat leider nicht nur seine Hauptpartition erfasst, sondern auch die Partition mit seinem Backup. Infizierte Files lassen sich teilweise nicht einmal löschen. Er ist nun gezwungen, seinen Rechner von Grund auf neu zu installieren. Das kann dauern, da mühsam selbstgeschriebene Skripte futsch sind und alles erstmal wieder zusammengesucht werden muss. (ps)

[Meldung: 18. Aug. 2001, 11:50] [Kommentare: 13 - 18. Aug. 2001, 19:20]
[Per E-Mail versenden] [Druck-Version] [ASCII-Version]

< Nächste Meldung

Vorige Meldung >