Lamer Exterminator
Vorlage:Infobox Computervirus Lamer Exterminator ist ein Computervirus für Commodore-Amiga-Rechner.
Das Virus wurde erstmals 1989 in Deutschland entdeckt. Lamer Exterminator infiziert die Bootblöcke von Disketten.
Versionen und Derivate
Es sind insgesamt 10 Varianten bekannt.<ref name="VT-Schutz">VT_DocFiles.lha, VT.Kennt_L-Z.txt, Zeile 93 VT-Schutz Dokumentation</ref> Sie sind fast identisch und haben auch meist dieselbe Funktionsweise.
Funktion
Lamer Exterminator ist ein speicherresidentes Virus, das auch einen Reset übersteht. Bei einer Infektion manipuliert es mehrere Betriebssystemeinsprünge, die normalerweise auf das Amiga Kickstart-ROM zeigen würden. Dadurch lädt sich Lamer Exterminator beim Bootvorgang in den RAM und bleibt dort speicherresident.
In einen infizierten Bootblock wird ein Text eingefügt. Da das Virus seinen Code selbst verschlüsselt, ist der Text mit einem HEX-Editor aber nicht zu erkennen. Entschlüsselt würde der Bootblock folgendermaßen aussehen: <syntaxhighlight lang="text"> 0360h: 24 D8 51 C8 FF FC 4E 75 74 72 61 63 6B 64 69 73 ; $ØQÈÿüNutrackdis 0370h: 6B 2E 64 65 76 69 63 65 00 00 54 68 65 20 4C 41 ; k.device..The LA 0380h: 4D 45 52 20 45 78 74 65 72 6D 69 6E 61 74 6F 72 ; MER Exterminator 0390h: 20 21 21 21 00 0D AB CD 00 FC 0A 78 00 FE 9C 3E ; !!!..«Í.ü.x.þœ> </syntaxhighlight>
Infektion
Bei Schreib/Lese-Zugriffen auf eine uninfizierte Diskette ohne Schreibschutz kopiert sich der virale Code in den Bootblock der Wirtsdiskette.
Payload
Lamer Exterminator hat eine integrierte Schadfunktion. Das Virus zerstört zufallsgesteuert Blöcke der Wirtsdiskette, indem es den Block mit der Zeichenfolge LAMER! (bei einigen Varianten auch Lamer!) überschreibt.
Verschlüsselungsroutine
Die Ver- und Entschlüsselungsroutine einer Variante des Virus: <syntaxhighlight lang="asm">
- Motorola 680x0 Assembler
decode_virus:
lea cryptstart(pc),a0 ; Begin of crypted area lea cryptend(pc),a2 ; Endaddress of crypted area move.b (a2),d0 ; Decode-byte for XOR
.loop:
eor.b d0,(a0)+ ; Decode Virus code with a simple XOR cmpa.l a0,a2 ; Until Startaddress not reached endaddress... bne.s .loop ; ...loop
</syntaxhighlight>
Einzelnachweise
<references />
Weblinks
- Virusbeschreibung bei AGN – Informatik, Uni Hamburg (englisch)
- Virusbeschreibung In: Amiga Virus Encyclopedia (englisch)