Ich habe lange Zeit Viren erforscht und disassembliert. Das fing mit dem Amiga so richtig an, von dem böse Zungen behaupteten, seine interessanteste Amiga-Software käme stets im Bootblock...
SCA, ByteBandit und ByteWarrior (DASA) waren die ersten Bootblock-Viren, die ich auseinandernahm. SCA hat später einen Virenkiller für seinen eigenen Virus nachgeschoben. ByteBandit blendete den Bildschirm aus, den konnte man aber mit einer Tastenkombination umgehen.
Der Lamer Exterminator als mutierende Variante, die beim Lesen des Bootblocks diesen als sauber darstellte, hat mir einiges Kopfzerbrechen bereitet. Der hat ja nicht 'nur' den Bootblock überschrieben, sondern auch Datenblöcke.
Alle Bootblockviren waren schon allein deshalb gefährlich, weil sie die Custom-Loader von Originalspielen überschrieben. Natürlich auch die Trackloader von Demos usw... Das wiederum führte dazu, dass ich ein Archiv an Original-Bootsektoren aufbaute, um diese bei Bedarf wieder zurückschreiben zu können.
Dann erinnere ich mich noch an den Saddam-Virus, das war aber ein Filevirus, der den L:Disk-Validator infiziert hat. Der hat Datenblöcke auf der Diskette codiert, die nur lesbar waren, solange der Virus aktiv war. Hat man den Virus endlich aus dem Disk-Validator und dem Speicher entfernt, sah man sich mit einer Diskette mit Lesefehlern (die codierten Sektoren) konfrontiert. Der Algorithmus war aber recht einfach, dafür habe ich ein Assembler-Programm geschrieben, was die Codierung wieder rückgängig machte.