Lamer Exterminator ist ein Computervirus für Commodore-Amiga-Rechner.

Lamer Exterminator
Name Lamer Exterminator
Bekannt seit 1989
Erster Fundort Deutschland
Virustyp Bootblockvirus
Dateigröße 1.024 Bytes
Wirtsdateien Bootblöcke
Verschlüsselung oligomorph
Speicherresident ja
System Commodore Amiga
Programmiersprache Motorola 680x0-Assembler

Das Virus wurde erstmals 1989 in Deutschland entdeckt. Lamer Exterminator infiziert die Bootblöcke von Disketten.

Versionen und Derivate

Bearbeiten

Es sind insgesamt 10 Varianten bekannt.[1] Sie sind fast identisch und haben auch meist dieselbe Funktionsweise.

Funktion

Bearbeiten

Lamer Exterminator ist ein speicherresidentes Virus, das auch einen Reset übersteht. Bei einer Infektion manipuliert es mehrere Betriebssystemeinsprünge, die normalerweise auf das Amiga Kickstart-ROM zeigen würden. Dadurch lädt sich Lamer Exterminator beim Bootvorgang in den RAM und bleibt dort speicherresident.

In einen infizierten Bootblock wird ein Text eingefügt. Da das Virus seinen Code selbst verschlüsselt, ist der Text mit einem HEX-Editor aber nicht zu erkennen. Entschlüsselt würde der Bootblock folgendermaßen aussehen:

0360h: 24 D8 51 C8 FF FC 4E 75 74 72 61 63 6B 64 69 73 ; $ØQÈÿüNutrackdis
0370h: 6B 2E 64 65 76 69 63 65 00 00 54 68 65 20 4C 41 ; k.device..The LA
0380h: 4D 45 52 20 45 78 74 65 72 6D 69 6E 61 74 6F 72 ; MER Exterminator
0390h: 20 21 21 21 00 0D AB CD 00 FC 0A 78 00 FE 9C 3E ; !!!..«Í.ü.x.þœ>

Infektion

Bearbeiten

Bei Schreib/Lese-Zugriffen auf eine uninfizierte Diskette ohne Schreibschutz kopiert sich der virale Code in den Bootblock der Wirtsdiskette.

Lamer Exterminator hat eine integrierte Schadfunktion. Das Virus zerstört zufallsgesteuert Blöcke der Wirtsdiskette, indem es den Block mit der Zeichenfolge LAMER! (bei einigen Varianten auch Lamer!) überschreibt.

Verschlüsselungsroutine

Bearbeiten

Die Ver- und Entschlüsselungsroutine einer Variante des Virus:

;Motorola 680x0 Assembler
decode_virus:
  lea     cryptstart(pc),a0 ; Begin of crypted area
  lea     cryptend(pc),a2   ; Endaddress of crypted area
  move.b  (a2),d0           ; Decode-byte for XOR

.loop:
  eor.b   d0,(a0)+          ; Decode Virus code with a simple XOR
  cmpa.l  a0,a2             ; Until Startaddress not reached endaddress...
  bne.s   .loop             ; ...loop

Einzelnachweise

Bearbeiten
  1. VT_DocFiles.lha, VT.Kennt_L-Z.txt, Zeile 93 VT-Schutz Dokumentation
Bearbeiten