home *** CD-ROM | disk | FTP | other *** search
/ Simtel MSDOS 1992 June / SIMTEL_0692.cdr / msdos / trojanpr / inoculat.arc / REPORT.TXT < prev    next >
Encoding:
Text File  |  1987-12-28  |  2.0 KB  |  38 lines
  1.  
  2.  
  3.  
  4. Last week, some of our student consultants discovered a virus program
  5. that's been spreading rapidly throughout Lehigh University.  I thought
  6. I'd take a few minutes and warn as many of you as possible about this
  7. program since it has the chance of spreading much farther than just our
  8. University.  We have no idea where the virus started, but some users have
  9. told me that other universities have recently had similar probems.
  10. The virus: the virus itself is contained within the stack space of COMMAND.COM.
  11. When a pc is booted from an infected disk, all a user need do to spread
  12. the virus is to access another disk via TYPE, COPY, DIR, etc.  If the
  13. other disk contains COMMAND.COM, the virus code is copied to the other
  14. disk.  Then, a counter is incremented on the parent.  When this counter
  15. reaches a value of 4, any and every disk in the PC is erased thoroughly.
  16. The boot tracks are nulled, as are the FAT tables, etc.  All Norton's
  17. horses couldn't put it back together again...  :-)  This affects both floppy
  18. and hard disks.  Meanwhile, the four children that were created go on
  19. to tell four friends, and then they tell four friends, and so on, and
  20. so on.
  21. Detection: while this virus appears to be very well written, the author
  22. did leave behind a couple footprints.  First, the write date of the
  23. command.com changes.  Second, if there's a write protect tab on an
  24. uninfected disk, you will get a WRITE PROTECT ERROR...  So, boot up from
  25. a suspected virus'd disk and access a write protected disk - if an
  26. error comes up, then you're sure.  Note that the length of command.com
  27. does not get altered.
  28. I urge anyone who comes in contact with publicly accessible (sp?) disks
  29. to periodically check their own disks.  Also, exercise safe computing -
  30. always wear a write protect tab.  :-)
  31. This is not a joke.  A large percentage of our public site disks has
  32. been gonged by this virus in the last couple days.
  33. Kenneth R. van Wyk
  34. User Services Senior Consultant
  35. Lehigh University Computing Center
  36. (215)-758-4988
  37.  
  38.