home *** CD-ROM | disk | FTP | other *** search
/ System Booster / System Booster.iso / Virushunter / VIB / Virus / E / Express 2.20 < prev    next >
Encoding:
Text File  |  1996-09-27  |  2.4 KB  |  80 lines
  1.      Name         : Express2.20
  2.  
  3.      Aliases      : No Aliases
  4.  
  5.      Type/Size    : AIBON Installer 194064 bytes. Aibon 776 bytes
  6.  
  7.      Clone        : No Clones
  8.  
  9.      Symptoms     : No Symptoms
  10.  
  11.      Discovered   : 16-11-90
  12.  
  13.      Way to infect: No infection
  14.  
  15.      Rating       : very DANGEROUS !
  16.  
  17.      Kickstarts   : 1.2/1.3/2.0/3.0
  18.  
  19.      Damage       : Damage files.
  20.  
  21.      Removal      : Delete File.
  22.  
  23.      Comments     : A file which pretends  to be a new  mailing system for
  24.                     BBS's. It is unique.  Express2.20 135400 bytes  packed
  25.                     with  lha.  Unpacked  194064  bytes  with an 776 bytes
  26.                     executable appendage named "aibon".
  27.  
  28.  
  29.                     When  the  Express 2.20  program  is runned it does an
  30.                     unconditional  jump  to the label aibon and from there
  31.                     the tracking halts. 
  32.  
  33.  
  34.                     The  Express 2.20a bomb you can download yourself from
  35.                     several BBS's with the name:
  36.  
  37.                            d-aex220.lha
  38.  
  39.  
  40.                     If  you  are  starting  the  virus  it  tries  to copy
  41.                     Aibon  to ":s".  Then the virus modifies the  startup-
  42.                     sequence  with the virusname. After all changings were
  43.                     successful  all files in "sys:" will be cut down to 42
  44.                     bytes.
  45.  
  46.                     This  files CANNOT.... be repaired.  The  virus checks
  47.                     for  "bbs:", too.  If existing ALL files will be first
  48.                     destroyed there.
  49.  
  50.  
  51.                     It  is  very  common  to fabricate installers  with an
  52.                     executeable  and  a  Path-generating  part.  From  the
  53.                     moment  the program is installed  there is no need for
  54.                     the  installer  anymore.
  55.  
  56.  
  57.                     The  task  of  the Path-generating  part  is  only  to
  58.                     enquire  the users preferable device, then embed it in
  59.                     the  executable  and  sometimes,  after  that,   throw
  60.                     itself away.
  61.  
  62.  
  63.                     In  this  case  it's  obviously  not  the  concern. It
  64.                     probably is a spin from a hackers workshop.
  65.  
  66.                     If convenient, see the file  EM-Wurm, too.
  67.  
  68.  
  69.  
  70.                     ADVICE:
  71.  
  72.                     a) Delete s/Aibon
  73.  
  74.                     b) Delete Express2.20
  75.  
  76.                     c) Change your Startup-Sequence (!)
  77.  
  78.  
  79. A.D 02-94 & TBH 04-94
  80.