home *** CD-ROM | disk | FTP | other *** search
/ System Booster / System Booster.iso / Virushunter / VIB / Virus / E / EM-Wurm < prev    next >
Encoding:
Text File  |  1996-09-27  |  3.3 KB  |  90 lines
  1.      Name         : EM-Wurm
  2.  
  3.      Aliases      : Anti-EuroMail-File-Virus, $a0 QuickInt Trojan
  4.  
  5.      Type/Size    : Trojan BBS Infiltrator
  6.  
  7.      Clone        : Not known clones yet
  8.  
  9.      Symptoms     : A little confusing, not elucidated really
  10.  
  11.      Discovered   : 16-07-91
  12.  
  13.      Way to infect: No Spreading
  14.  
  15.      Rating       : Less Dangerous
  16.  
  17.      Kickstarts   : Preferably 2.x, but not only maybe.
  18.  
  19.      Damage       : Indeed dangerous for BBS equilibrists
  20.  
  21.      Removal      : Remove the file immediately
  22.  
  23.      Comments     : Usually  the  EM-Wurm trojan is embedded in downloaded
  24.                     powerpacked   programmes   which  contains  their  own
  25.                     installers.
  26.  
  27.                     QuickInt  is its  real name  but sometimes something's
  28.                     going  wrong  with  its work.  It will then occur with
  29.                     the   name   $a0   and  this  is  a  variable  in  the
  30.                     environment  Env:<dir>  (RAM:Env/name)
  31.                     Liken:
  32.  
  33.                     1.SYS:> Echo > Env:a0 poooh
  34.                     1.SYS:> Echo $a0
  35.                     poooh
  36.                     1.SYS:>
  37.  
  38.                     or the command GetEnv.
  39.  
  40.                     Anyway,   the  file  $a0  is  protected  ---- -w-d  in
  41.                     c:<dir>  and has always  displaced the file  QuickInt.
  42.                     Therefore this one shouldn't work. But, ...
  43.  
  44.  
  45.  
  46.      Damage         All  files  in  the  entire  directory  concerned  are
  47.                     overwritten.
  48.  
  49.                     Nothing  to  salvage  at  all.
  50.  
  51.  
  52.  
  53.      Manifestation  When the file is executed it will start a  search  for
  54.                     all divices or directories with names e.g.:
  55.  
  56.                     EM:,  EuroMail:,  EuroSYS: or similar to that.
  57.  
  58.                     When  found  it  will  overwrite  the device  contents
  59.                     with  nonsense data.  Especially the search for EM: is
  60.                     a bit tricky.  ( Enquiries_of_Mine ... Root:EM )
  61.  
  62.                     The  behavior  of  the program is not explained in all
  63.                     details, yet, but when  the Prefs:Env is copied to the
  64.                     environment  during  booting  of system 2.x  it  would
  65.                     possibly  be  a  good  idea  to  take  a  look  there.
  66.                     Sometimes  it  looks  like it chucks  a none-writeable
  67.                     character  in  the beginning  of  the StartUp-Sequence
  68.                     because  of  an  empty  line  when  edited.
  69.  
  70.                     Take  for  example it is a LF ( LineFeed ). Nothing to
  71.                     see  except the empty line. Watch Your StartUp's first
  72.                     calls.
  73.  
  74.  
  75.  
  76.      More comments  Something   gives   the   conjecture   that  the  file
  77.                     originately  was  made  to  upload  at a BBS. When the
  78.                     System  Administrator  then  unpacked  the file on his
  79.                     BBS  the  file  would execute without his cooperation,
  80.                     which  means,  it  could  download  something  to  the
  81.                     uploader,   unless  the  System  Administrator  turned
  82.                     the mainpower off his machine.
  83.  
  84.                     In   this   way   the   invisible   character  in  the
  85.                     StartUp-Sequence  probably  would  be  a CR ( Carriage
  86.                     Return "^m" )
  87.  
  88.  
  89. TBH 04-94
  90.