home *** CD-ROM | disk | FTP | other *** search

---

/ Tech Arsenal 1 / Tech Arsenal (Arsenal Computer).ISO / tek-12 / polyvir.zip / POLYVIR.TXT

< prev

Wrap

Text File  |  1992-03-09  |  6KB  |  108 lines

---

1. Subject:  Polymorphic Virus
2.  
3. Here is a new entry from the Computer Virus Catalog, produced and 
4. distributed by the Computer Anti-Virus Researcher's Organization (CARO),
5. at the University of Hamburg.
6.   
7. Note the description of the Polymorphic Method, below, and that this
8. virus can presently be detected in a file only by the file change it
9. produces.
10.  
11.  
12. ==== Computer Virus Catalog 1.2: Dedicated Virus (31-January 1992) ===
13. Entry...............: Dedicated Virus
14. Alias(es)...........: ---
15. Virus Strain........: ---
16. Polymorphism engine.: Mutating Engine (ME) 0.9
17. Virus detected when.: UK
18.               where.: January 1992
19. Classification......: Polymorphic encrypted program (COM) infector, 
20.                          non-resident
21. Length of Virus.....: 3,5 kByte (including Mutating Engine)
22. --------------------- Preconditions ----------------------------------
23. Operating System(s).: MS-DOS
24. Version/Release.....: 2.xx upward
25. Computer model(s)...: IBM - PCs, XT, AT, upward and compatibles
26. --------------------- Attributes -------------------------------------
27. Easy Identification.: COM file growth (no other direct detection means
28.                          are known as virus encrypts itself, and due 
29.                          to the installed mutation engine, all occu-
30.                          rences of this virus differ widely)
31. Type of infection...: COM file infector: all COM files in current 
32.                          directory on current drive (disk,diskette)
33.                          are infected upon executing an infected file.
34. Infection Trigger...: Execution of an infected COM file.
35. Media affected......: Hard disk, any floppy disk
36. Interrupts hooked...: ---
37. Crypto method.....: The virus encrypts itself upon infecting a COM 
38.                          file using its own encryption routine; upon
39.                          execution, the virus decrypts itself using
40.                          its own small algorithm. 
41. Polymorphic method..: After decryption, the virus' envelope consisting
42.                          of Mutating Engine 0.9 will widely vary the
43.                          virus' coding before newly infecting another
44.                          COM file. Due to this method, common pieces 
45.                          of code of more than three bytes (=signatures)
46.                          of any two instances of this virus are highly
47.                          improbable. 
48.                       Remark: Mutating Engine 0.9 very probably was
49.                          developed by the Bulgarian virus writer 
50.                          "Dark Avenger"; such a program was announced
51.                          early 1991 as permutating more than 4 billion
52.                          times, and it appeared in October 1991 or 
53.                          before.
54.                          The class of permutating viruses is named 
55.                          "polymorphic" to indicate the changing 
56.                          structure which may not be identified with 
57.                          contemporary means. To indicate the relation
58.                          to such common engine, the term "Polymorhic 
59.                          engine (method)" has been introduced.
60.                          ME 0.9 was distributed via several Virus 
61.                          Exchange Bulletin Boards, so it is possible 
62.                          that other ME 0.9 related viruses appear. 
63.                          According to (non-validated) information, an-
64.                          other ME 0.9 based virus (Pogue?) has been
65.                          detected in North America: COM file infector,
66.                          memory resident, length about 3,7 kBytes.
67. Damage..............: Virus overwrites at random times random sectors
68.                          (one at a time) with garbage (INT 26 used).
69. Damage Trigger......: Random time
70. Similarities........: ---
71. Particularities.....: The virus contains a text greeting a US based
72.                          female hacker; this text is visible after
73.                          decryption.
74. --------------------- Agents -----------------------------------------
75. Countermeasures.....: Contemporarily, no automatic method for reliable 
76.                          identification of polymorphic viruses known.
77. - ditto - successful: ---
78. Standard means......: ---
79. --------------------- Acknowledgement --------------------------------
80. Location............: Virus Test Center, University Hamburg, Germany
81. Classification by...: Vesselin Bontchev, Klaus Brunnstein
82. Documentation by....: Dr. Alan Solomon
83. Date................: 31-January-1992
84. ===================== End of Dedicated Virus =========================
85.  
86. ======================================================================
87. ==  Critical and constructive comments as well as additions are     ==
88. ==  appreciated. Descriptions of new viruses are appreaciated.      ==
89. ======================================================================
90. == The Computer Virus Catalog may be copied free of charges provided =
91. == that the source is properly mentioned at any time and location   ==
92. == of reference.                                                    ==
93. ======================================================================
94. ==  Editor:   Virus Test Center, Faculty for Informatics            ==
95. ==            University of Hamburg                                 ==
96. ==            Vogt-Koelln-Str.30,  D2000 Hamburg 54, FR Germany     ==
97. ==            Prof. Dr. Klaus Brunnstein, Vesselin Bontchev,        ==
98. ==            Simone Fischer-Huebner, Wolf-Dieter Jahn              ==  
99. ==            Tel: (+40) 54715-406 (KB), -225 (Bo/Ja), -405(Secr.)  ==
100. ==            Fax: (+40) 54 715 - 226                               ==
101. ==  Email (EAN/BITNET): brunnstein@rz.informatik.uni-hamburg.dbp.de ==
102. ==                      bontchev@rz.informatik.uni-hamburg.de>      ==
103. ==  FTP site: ftp.informatik.uni-hamburg.de                         ==
104. ==    Adress: 134.100.4.42                                          ==
105. ==            login anonymous; password: your-email-adress;         ==
106. ==            directory: pub/virus/texts/catalog                    ==
107. ======================================================================
108.