Lamer Exterminator

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Lamer Exterminator
Name Lamer Exterminator
Bekannt seit 1989
Erster Fundort Deutschland
Virustyp Bootblockvirus
Dateigröße 1.024 Bytes
Wirtsdateien Bootblöcke
Verschlüsselung oligomorph
Speicherresident ja
System Commodore Amiga
Programmiersprache Motorola 680x0-Assembler

Lamer Exterminator ist ein Computervirus für Commodore-Amiga-Rechner.

Das Virus wurde erstmals 1989 in Deutschland entdeckt. Lamer Exterminator infiziert die Bootblöcke von Disketten.

Versionen und Derivate

[Bearbeiten | Quelltext bearbeiten]

Es sind insgesamt 10 Varianten bekannt.[1] Sie sind fast identisch und haben auch meist dieselbe Funktionsweise.

Lamer Exterminator ist ein speicherresidentes Virus, das auch einen Reset übersteht. Bei einer Infektion manipuliert es mehrere Betriebssystemeinsprünge, die normalerweise auf das Amiga Kickstart-ROM zeigen würden. Dadurch lädt sich Lamer Exterminator beim Bootvorgang in den RAM und bleibt dort speicherresident.

In einen infizierten Bootblock wird ein Text eingefügt. Da das Virus seinen Code selbst verschlüsselt, ist der Text mit einem HEX-Editor aber nicht zu erkennen. Entschlüsselt würde der Bootblock folgendermaßen aussehen:

0360h: 24 D8 51 C8 FF FC 4E 75 74 72 61 63 6B 64 69 73 ; $ØQÈÿüNutrackdis
0370h: 6B 2E 64 65 76 69 63 65 00 00 54 68 65 20 4C 41 ; k.device..The LA
0380h: 4D 45 52 20 45 78 74 65 72 6D 69 6E 61 74 6F 72 ; MER Exterminator
0390h: 20 21 21 21 00 0D AB CD 00 FC 0A 78 00 FE 9C 3E ; !!!..«Í.ü.x.þœ>

Bei Schreib/Lese-Zugriffen auf eine uninfizierte Diskette ohne Schreibschutz kopiert sich der virale Code in den Bootblock der Wirtsdiskette.

Lamer Exterminator hat eine integrierte Schadfunktion. Das Virus zerstört zufallsgesteuert Blöcke der Wirtsdiskette, indem es den Block mit der Zeichenfolge LAMER! (bei einigen Varianten auch Lamer!) überschreibt.

Verschlüsselungsroutine

[Bearbeiten | Quelltext bearbeiten]

Die Ver- und Entschlüsselungsroutine einer Variante des Virus:

;Motorola 680x0 Assembler
decode_virus:
  lea     cryptstart(pc),a0 ; Begin of crypted area
  lea     cryptend(pc),a2   ; Endaddress of crypted area
  move.b  (a2),d0           ; Decode-byte for XOR

.loop:
  eor.b   d0,(a0)+          ; Decode Virus code with a simple XOR
  cmpa.l  a0,a2             ; Until Startaddress not reached endaddress...
  bne.s   .loop             ; ...loop

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. VT_DocFiles.lha, VT.Kennt_L-Z.txt, Zeile 93 VT-Schutz Dokumentation