home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / VIRUS / ALLVIRUS.TXT < prev    next >
Text File  |  1989-10-21  |  22KB  |  530 lines
  1. PC VIRUS LISTING
  2. By Jim Goodwin
  3.           This document is copyrighted, 1989, by Jim Goodwin.  It
  4.           may be freely distributed provided no changes,
  5.           additions or deletions are made, and providing this
  6.           copyright notice accompanies all copies.  I would like
  7.           to thank John McAfee and the entire HomeBase users
  8.           group for providing the raw materials for this
  9.           document.
  10.  
  11.  
  12.      It is difficult to name, identify and classify PC viruses. 
  13. Everyone who first discovers a virus will name it and describe
  14. what they think of it.  In most cases, the virus is not new and
  15. has been named and described dozens of times before.  None of the
  16. names and few of the descriptions will match.  While I'm writing
  17. this, for example, I feel certain that someone, somewhere has
  18. just been infected by the Jerusalem virus and they are telling
  19. their co-workers and friends about it as if it were newborn - and
  20. for them perhaps it is.  It will be impossible to verify the
  21. strain and variety of the infection, however, unless we can get a
  22. living sample of the virus to analyze and compare with other
  23. strains of this same virus.  So problem number one is filtering
  24. the reports of infection and collecting samples that can be
  25. placed under the knife.
  26.      Problem number two is - where do you draw the line between
  27. an original virus and a true variation of the virus?  The
  28. original Brain virus, for example, could only infect a floppy
  29. diskette.  Do the varieties of the Brain that can infect hard
  30. disks (but in every other respect are identical) deserve to be
  31. called new viruses, or are they still the Brain?  What about
  32. further modifications that destroy data?  Is this now a new
  33. virus?  What if someone extracts a segment of the Brain code and
  34. uses it as a basis for a new virus?  What if nothing changes but
  35. the imbedded text data, so that the virus is in every way
  36. functionally identical, but the volume label changes to "SMURF"
  37. instead of BRAIN.  All of these modifications to the Brain have
  38. been discovered and logged.  How do we deal with them?
  39.      I choose to deal with these modifications in the simplest
  40. way I know.  If the virus differs in any way from the original
  41. (assuming that the "original" can in fact be identified), then I
  42. log it as a new strain.  This relieves me from having to make
  43. decisions.  Those of you who see the world differently can merely
  44. take this listing and lump together all of the different strains
  45. that you like.  That way we'll all be happy.
  46.  
  47.      This will be, by the way, my last virus document.  I have
  48. worked double time for the past eighteen months helping John
  49. McAfee and his Homebase folks and, while I have thouroughly
  50. enjoyed myself, I have finally burned out.  It has been great fun
  51. and I've learned a lot, and hopefully some of my works, like the
  52. product review with Sankary and Marsh, will end up being somehow
  53. useful to the world.  But now I have the irresistible urge to go
  54. fishing, and, perhaps afterwards, to contemplate my navel for a
  55. few years.  In-between times I intend to write a book on the
  56. craziness in this industry and about the unique personalities
  57. I've had the pleasure to work with in the Virus Marine Corps. 
  58. It's been quite an adventure.  Thank you all.
  59.  
  60. Jim Goodwin    From the Homebase BBS  408 988 4004
  61.  
  62.  
  63.  
  64.  
  65.                     THE VIRUSES
  66.  
  67.      I have arranged these viruses so that similar varieties are
  68. described in the sequence in which they appeared within the virus
  69. sub-group (to the best of my knowledge).  Not everyone agrees
  70. with my groupings.  Many people believe, for instance, that the
  71. Golden Gate-C (Mazatlan Virus) is a distinctly original virus and
  72. is not a variation of the Alameda.  I think differently and have
  73. endeavored to show how the Golden Gate evolved from the Alameda,
  74. through each precursor virus.  I cannot prove, of course, that
  75. the sequence of appearances is the correct sequence, and in many
  76. cases I have had to guess.  If anyone wishes to re-order
  77. these virus, I will not be offended.
  78.      I have not included any of the specific application trojans
  79. in this list.  There has been a lot of discussion about the Lotus
  80. 123 and DBASE "viruses", for example.  These are not replicating
  81. programs and I do not classify them as viruses.  I had originally
  82. intended a separate list to include these non-replicating trojans
  83. but Time caught up with me.
  84.  
  85.  
  86.  
  87. 1. ALAMEDA VIRUS
  88.      (Also called: Yale; Merritt; Pecking; Seoul)
  89.      
  90.      This is a boot sector infector.  First discovered at Merritt
  91.      college in California (1987).  Original version caused no   
  92.      intentional damage.  Replicates at boot time <ctrl>-<alt>-  
  93.      <del> and infects only 5 1/4" 360KB floppies.  It saves the
  94.      real boot sector at track 39, sector 8, head 0.  Contains a
  95.      count of the number of times it has infected other
  96.      diskettes, although it is referenced for write only and is
  97.      not used as part of an activation algorithm.  The virus
  98.      remains resident at all times after it is booted, even if no
  99.      floppy is booted and BASIC is loaded.  Contains a rare POP
  100.      CS instruction that makes it incapable of infecting 286
  101.      systems.
  102.  
  103. 2. ALAMEDA-B
  104.      (Also called Sacramento Virus)
  105.  
  106.      This is the original Alameda Virus that has the POP CS
  107.      removed.  Relocation is accomplished through a long jump
  108.      instruction.  All other characteristics are identical.  This
  109.      version runs OK on a 286. 
  110.  
  111. 3. ALAMEDA-C
  112.      
  113.      This is the Alameda-B virus that has been modified to
  114.      disable the boot function after 100 infections.  The
  115.      counter in the original Alameda virus has been re-activated
  116.      and is interrogated at each bootup.  When it reaches 100 the
  117.      virus disconnects from the original boot sector (control is
  118.      no longer passed) and the diskette will no longer boot.  At
  119.      infection time, the counter is zeroed on the host diskette.
  120.  
  121. 4. SF VIRUS
  122.      
  123.      This is the Alameda-C that has been modified to format the
  124.      boot diskette when the counter runs out.  
  125.  
  126. 5. GOLDEN GATE VIRUS
  127.      (Also called The 500 Virus)
  128.  
  129.      This is the SF Virus that has been modified to format the C
  130.      drive when the counter runs out.  The activation occurs
  131.      after 500 infections, instead of 100 infections.  Note that
  132.      in all three of these strains, the counter is zeroed on the
  133.      host diskette at infection time.  Thus, the activation
  134.      period on this virus will on the average stretch into many
  135.      years.  No corruption will occur until 500 new diskettes
  136.      have been infected from within a given machine.  Since the
  137.      infection can only occur when the system is booted with a
  138.      new diskette, infection is not frequent with this virus.  I
  139.      expect that the overwhelming majority of infections will
  140.      never activate.  The IBM PC will have long since been
  141.      supplanted by another architecture in most environments.
  142.  
  143. 6. GOLDEN GATE-B
  144.  
  145.      This virus is the Golden Gate virus that has had the
  146.      activation delay reset to 30 infections.  This virus should
  147.      activate within a couple of years in most environments.  
  148.  
  149. 7. GOLDEN GATE-C
  150.      (Also called the Mazatlan Virus)
  151.  
  152.      This virus is the Golden Gate virus that is able to infect a
  153.      hard disk.   It is a nasty virus, since it has more of an
  154.      opportunity to do damage than previous versions.  Prior
  155.      versions were limited since systems with hard disks are only
  156.      infrequently booted from floppy and booting from hard disk
  157.      overwrote earlier versions.
  158.  
  159. 8. GOLDEN GATE-D
  160.  
  161.      This virus is identical to number 7, except the counter has
  162.      been disabled (similar to original Alameda).
  163.  
  164. 9. THE BRAIN
  165.      (Also called, Pakistani Brain; Basit Virus)  
  166.  
  167.      This virus originated in January, 1986, in Lahore Pakistan. 
  168.      It is the only virus yet discovered that includes the valid
  169.      names address and phone numbers of the original
  170.      perpetrators.  The Brain is a boot sector infector,
  171.      approximately 3K in length, that infects 5 1/4" floppies. 
  172.      It c