home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / 40hex_6.009

< prev

next >

Wrap

Text File  |  1995-01-03  |  20KB  |  605 lines

---

1. 40Hex Number 6 Volume 2 Issue 2                                       File 009
2.  
3.                -=[ The 'McAfee scan' viral footprint codes ]=-
4.  
5.                                       -or-
6.  
7.                 /*******************************************/
8.                 /* A fool and his scanner, can part a user */
9.                 /*       from his hard earned money.       */
10.                 /*******************************************/
11.  
12.                                 - written by -
13.                                  GodNet Raider
14.                                     - of -
15.                              The CyberUnderground
16.  
17.  
18.                          Thrown into 40Hex by DecimatoR
19.                             from Usenet alt.security 
20.  
21.  -=[ "Information is the greatest weapon of power to the modern wizard." ]=-
22.  
23. ]----------------------------------------------------------------------------[
24.  
25. Introduction:
26. -------------
27.  
28.     Recently I began to wonder about the usefulness of 'virus scanners'
29. and what if any difference do they have with a simple text/hex search
30. program (like nortons filefind/ts). An if there was no real DIFFERENCE,
31. how secure is the system that used them.
32.  
33. Problems with scanning:
34. -----------------------
35.  
36.     The first question I had to ask was, What does a 'virus scanner' actually
37. look for? Does it only look for one string of codes or several at different
38. places in the file?
39.  
40.     To answer this question I called a local BBS an dl'ed McAfee's
41. scan3.7v64 (to evaluate and after my tests, it was erased for its lack of
42. offering any real protection). Then I went to my archives to retrieve some
43. viruses I have experimented with in the past (of which where Jerusalem B and
44. Dark Avenger).
45.  
46.     I ran scan to verify that the virus files where viruses (3 of which did
47. not set off any alarm even tho there was a listing in the documentation for
48. them, so I removed them from the test). Then using a sector editor looked at
49. the source for the McAfee asso. scan3.7v64 (here after know just as scan64)
50. to find that the footprint information was encoded. Needless to say this did
51. not stop me (for the sake of those who are into the tech aspects of things,
52. the actual method used to get the codes are included at the end of the
53. article with the codes found), It took less than an hour to get the codes I
54. was looking for (without disassembling the code but by looking into the
55. memory allocated to the program).
56.  
57.     What I found out was scan was just a simple hex searcher (that kept
58. its data locked up till needed). It could also be fooled by any program
59. that contained the same hex string as a real virus (this was proved when
60. , using a sector editor, I added the scan64 footprint for the Jerusalem B
61. into the top of a text file (a place this code would never show up in a real
62. infection) then renamed it to *.com; scan64 reported it as infected).
63.  
64.     Once the codes where obtained, using debug directly on a virus file,
65. I was able to mutate the virus to no longer be detectable by scan64 without
66. destroying the integrity of it. For the virus was still able to infect files,
67. and scan64 could no longer track it. I was still able to track and control it
68. using norton's filefind, diskmon, diskedit, and (of course) DOS erase.
69.  
70.     So it seems my question was answered. Some 'virus scanners' just scan
71. for a single string of hex character. This is fine if viruses NEVER changed
72. or programs would NEVER use code similar to what a virus would (the smaller
73. the footprint string the bigger the chance of mistaken alarms). For if
74. a 'virus scanner' programer just keeps making a new release each time there
75. is a new virus (an I will not get into the morality of charging customers
76. the full price of an software upgrade rather than allowing them to buy/dl
77. new footprint data files as they become available) for the program will
78. eventually grow to unwealdable sizes. An it should be noted there are other
79. programs that may do the same job faster, more upward compatibility, and
80. you may already have them on hand.
81.  
82. a possible solution:
83. --------------------
84.  
85.     One thing that I think is a good idea is when a program allows users
86. to add new footprint data to it (like nortons' virus package). For now
87. users don't need to buy new releases for detection of viruses they may not
88. get/be able to detect. Instead for the cost of a call to a support bbs (part
89. of the original software agreement?) the user can get new data as it becomes
90. available or when they fine a new one on their system they can immediately
91. add the new footprint rather than wait for the next version to be released.
92.  
93. Method used to obtain footprints:
94. ---------------------------------
95.  
96.     After finding the data I was looking for was encoded I thought, How can
97. I get the data I wanted for my tests?
98.  
99.     Disassembling was out, not for any MORAL reason but, for the time
100. involved. So I thought it must have to decode the data for it's own use
101. and to save time it would do it all before the scan rather than slow the
102. process down by doing a full decode. So I needed to look at the memory
103. image of the running program. Thanks to DOS 5.0 and dosshell I was able to
104. do this.
105.  
106.     After spawning the scan task under the dos shell I used alt-tab to
107. swap back to the shell. Once back in the shell I used the shell commands to
108. copy the tmpxxx.swp to foo.img and terminating scan64 and dosshell.
109.  
110.     Then using a sector editor I searched though the temp file created by
111. the dos shell. I found an area of data that contained the virus names and
112. non ascii text data separating them. Even though the strings of ascii data
113. (virus names) ended with a zero character (as variable strings have a
114. tendency to), the random data did not end with a common signal character (as
115. expected for code can be any character). There was also no character count
116. stored (the data length varied so it could not be assumed by the scan
117. program as well). So I continued to search though the data.
118.  
119.     I eventually found another area that had the same text strings (virus
120. names). This time the first character of the none ascii data gave the count
121. of the data size to the following text string. I knew I had found it so I
122. extracted this data to another file (starting at 0 offset in the new file).
123. Then wrote down the some codes and checked them against viruses I had.
124.  
125.     The codes I had did not seem match. This did not stop me. I took one
126. virus (that my understanding said scan was only looking for 6 consecutive
127. bytes to match) and started zapping bytes (in a file scan said was infected)
128. to find what it was looking for. The processes involved zapping one sector
129. at a time till scan said it was not infected, then half of that sector, then
130. half of a half, and so on. It came down to 6 CONSECUTIVE bytes as I expected.
131. But they where DIFFERENT from the ones I had.
132.  
133.     So I went to the windows calculator (it allows byte arithmetic in hex,
134. ie.. 0xff + 0x04 = 0x03 (rollover, carry is ignored), it would be outside
135. the scope of this ARTICLE to explain why I thought byte arithmetic was
136. important). Some quick subtraction found a 0x93 (decimal 147) DIFFERENCE
137. between the actual codes and the ones from the allocated memory uses by
138. scan.
139.  
140.     So taking another virus that scan said was infected I did the minor
141. hex math on the codes in the allocated memory used by scan and found the
142. codes. Then i zapped only the codes and ran scan on the updated virus file.
143. It said there was no infection. I knew I now had the right codes (after a few
144. more checks).
145.  
146.     So I created a simple C program (see below) to convert the extract file I
147.  created and converted the codes to a readable form (output from program
148. listed at end of ARTICLE). Then tested other viruses against the list. An
149. found the same results.
150.  
151. Binary to hex program:
152. ----------------------
153. /*
154.     fp2txt.c
155.         Convert footprint binary information to text.
156.             by GodNet Raider
157.  
158.     Notes:
159.         Please forgive the unrefined/unannotated nature of this code it was
160.         designed as a one shot.
161. */
162.  
163. #include <stdlib.h>
164. #include <stdio.h>
165.  
166. #define TRUE 1
167. #define MAGICNUM 0x93
168.  
169. void
170.     main (void);
171.  
172. void main (void)
173. {
174.     unsigned char
175.         sVirusFP [128],
176.         *ptVirusInfo,
177.         szVirusName [128];
178.     register unsigned int
179.         nTmpCnt;
180.     FILE
181.         *Stream;
182.  
183.     Stream = fopen ("fp2.img", "rb");
184.     while (!feof (Stream))
185.         {
186.          ptVirusInfo = sVirusFP;
187.          if (!(*sVirusFP = getc (Stream)))
188.              exit (0);
189.          nTmpCnt = (unsigned int) *sVirusFP;
190.          while (nTmpCnt--)
191.              *(++ptVirusInfo) = ((unsigned char) getc (Stream)) - MAGICNUM;
192.          ptVirusInfo = szVirusName;
193.          while ((*(ptVirusInfo++) = getc (Stream)));
194.          printf ("\n%s:\n    ", szVirusName);
195.          ptVirusInfo = sVirusFP;
196.          nTmpCnt = (unsigned int) *sVirusFP;
197.          while (nTmpCnt--)
198.              {
199.              printf ("0x%02x ", (unsigned int) *(++ptVirusInfo));
200.              if (nTmpCnt && !((*sVirusFP - nTmpCnt) % 8))
201.                 printf ("\n    ");
202.             }
203.          printf ("\n");
204.          getc (Stream);
205.         }
206.     exit (0);
207. }
208.  
209.  
210. Footprints discovered:
211. ----------------------
212.  
213.     The following is a list of the footprint codes found in McAfee asso.
214. Scan3.7v64.
215.  
216.     1008 Virus [1008]:
217.         0x81 0xed 0x38 0x00 0xe8 0xc3
218.  
219.     Stoned-II Virus [S-2]:
220.         0x9c 0x2e 0xff 0x1e 0x09 0x00
221.  
222.     VHP-2 Virus [VHP2]:
223.         0x1c 0x8c 0x44 0x02 0xb8 0x24 0x35 0xcd
224.         0x21 0x89
225.  
226.     VHP Virus [VHP]:
227.         0x07 0x89 0x7e 0x8a 0x8d 0x7e 0x90 0x89
228.         0x7e 0x88
229.  
230.     Taiwan3 Virus [T3]:
231.         0x17 0x0f 0x32 0x0a 0x32 0x0a 0x90 0x0b
232.         0xfb 0x08
233.  
234.     Armagedon Virus [Arma]:
235.         0xb8 0x00 0x43 0xcd 0x21 0x2e 0x89 0x0e
236.         0x48 0x01
237.  
238.     1381 Virus [1381]:
239.         0x1e 0x06 0x8c 0xc8 0x8e 0xd8 0xb8 0x40
240.         0x00 0x8e
241.  
242.     Tiny Virus [Tiny]:
243.         0xb4 0x40 0x8d 0x94 0xab 0x01 0xb9 0x02
244.         0x00 0xcd
245.  
246.     Subliminal Virus [Sub]:
247.         0x8b 0x3e 0x25 0x01 0x8b 0xd7 0x2e 0x8e
248.         0x06 0x27
249.  
250.     Sorry Virus [Sorry]:
251.         0xeb 0x96 0x83 0x2e 0x12 0x00 0x40 0x83
252.         0x2e 0x03
253.  
254.     1024 Virus [1024]:
255.         0xc8 0x75 0xed 0x8b 0xd1 0xb8 0x00 0x42
256.         0xcd 0x21 0x72
257.  
258.     RedX Virus [RedX]:
259.         0x52 0x8b 0x9c 0x17 0x04 0xb9 0x19 0x03
260.         0x8d 0x94
261.  
262.     VP Virus [VP]:
263.         0x21 0x89 0x1e 0x22 0x03 0x8c 0x06 0x24
264.         0x03 0xb4
265.  
266.     Print Screen-2 [P-2]:
267.         0x74 0x01 0xbf 0x03 0x00 0xb9 0x20 0x00
268.         0xf3 0xa4
269.  
270.     Joshi Virus [Joshi]:
271.         0xf3 0xa4 0x8c 0xc0 0x05 0x20 0x00 0x8e
272.         0xc0 0xbb
273.  
274.     Microbes Virus [Micro]:
275.         0x8e 0xd0 0xbc 0x00 0xf0 0xfb 0xa1 0x13
276.         0x04 0x2d 0x04
277.  
278.     Print Screen Virus [Prtscr]:
279.         0xcd 0x05 0xfe 0xc8 0xa2 0x60 0x01 0xc3
280.         0x6f 0x6e 0x2d
281.  
282.     Form Virus [Form]:
283.         0xe8 0xb2 0x00 0x5a 0x5e 0x1f 0x33 0xc0
284.         0x50 0xb8 0x00 0x7c
285.  
286.     June 13th Virus [J13]:
287.         0x12 0x00 0xb9 0xb1 0x04 0x2e 0x30 0x04
288.         0x46 0xe2
289.  
290.     JoJo Virus [JoJo]:
291.         0x4d 0x2b 0xd0 0x4a 0x45 0x03 0xe8 0x45
292.         0x8e 0xc5
293.  
294.     Victor Virus [Victor]:
295.         0x74 0x26 0x80 0xfc 0x5b 0x74 0x21 0x80
296.         0xfc 0x39
297.  
298.     5120 Virus [5120]:
299.         0x10 0xa2 0xf6 0x0f 0xe8 0xd0 0xfe 0x80
300.         0x3e 0x4a 0x10 0x02 0x7d 0x22 0xc6 0x46
301.  
302.     W-13 Virus [W13]:
303.         0xf3 0xa4 0x8b 0xfa 0xb4 0x30 0xcd 0x21
304.         0x3c 0x00
305.  
306.     Slow Virus [Slow]:
307.         0x81 0xc6 0x1b 0x00 0xb9 0x90 0x06 0x2e
308.         0x80 0x34
309.  
310.     Liberty Virus [Liberty]:
311.         0xe8 0xfd 0xfe 0x72 0x2a 0x3b 0xc1 0x7c
312.         0x27 0xe8
313.  
314.     Fish Virus [Fish]:
315.         0x0e 0x01 0xcf 0xe8 0x00 0x00 0x5b 0x81
316.         0xeb 0xa9
317.  
318.     Shake Virus [Shake]:
319.         0x31 0xd2 0x8b 0xca 0xcd 0x21 0x3d 0x00
320.         0xf0 0x73
321.  
322.     Murphy Virus [Murphy]:
323.         0x81 0x7c 0xfe 0x2e 0x43 0x75 0xed 0xb8
324.         0x02 0x3d
325.  
326.     V800 Virus [V800]:
327.         0x51 0xad 0x33 0xd0 0xe2 0xfb 0x59 0x31
328.         0x15 0x47
329.  
330.     Kennedy Virus [Kennedy]:
331.         0x8c 0x55 0x02 0xb8 0x01 0x43 0x33 0xc9
332.         0xcd 0x21
333.  
334.     Yankee Two Virus [Doodle2]:
335.         0x73 0x03 0x5a 0x5e 0xc3 0x8b 0xf2 0xf6
336.         0x44 0x15
337.  
338.     1971 Virus [1971]:
339.         0x33 0xd2 0xb8 0x00 0x42 0xcd 0x21 0x72
340.         0x26 0x81 0x7c
341.  
342.     June 16th Virus [June16]:
343.         0x4d 0xa9 0xa5 0x2e 0x70 0x66 0x2e 0x57
344.         0x09 0x0f
345.  
346.     AIDS II Virus [A2]:
347.         0xa4 0x00 0x55 0x89 0xe5 0x81 0xec 0x02
348.         0x02 0xbf 0xca 0x05 0x0e 0x57 0xbf 0x3e
349.         0x01
350.  
351.     1210 Virus [1210]:
352.         0xc4 0x74 0xf0 0x2e 0x80 0x3e 0x2f 0x04
353.         0x01 0x75
354.  
355.     1720 Virus [1720]:
356.         0xd8 0x2e 0xa1 0x2c 0x00 0xa3 0xfc 0x03
357.         0x2e 0xa0
358.  
359.     Saturday 14th Virus [Sat14]:
360.         0x0e 0x1f 0xb8 0x24 0x35 0xcd 0x21 0x8c
361.         0x06 0x6f
362.  
363.     XA1 (1539) Christmas Virus [XA1]:
364.         0xfa 0x8b 0xec 0x58 0x32 0xc0 0x89 0x46
365.         0x02 0x81
366.  
367.     1392 (Amoeba) Virus [1392]:
368.         0x16 0xa3 0x21 0x01 0x8b 0x44 0x14 0xa3
369.         0x23 0x01
370.  
371.     Vcomm Virus [Vcomm]:
372.         0x77 0x02 0xb9 0x20 0x00 0xb4 0x4e 0xcd
373.         0x21
374.  
375.     ItaVir Virus [Ita]:
376.         0xb8 0x58 0x45 0x89 0x40 0x02 0xb0 0x00
377.         0x88 0x40 0x04
378.  
379.     Korea Virus [Korea]:
380.         0x8e 0xd0 0xbc 0xf0 0xff 0xfb 0xbb 0x13
381.         0x04
382.  
383.     Solano Virus [Solano]:
384.         0x12 0x75 0x0e 0x2e 0x8b 0x0e 0x03 0x01
385.  
386.     V2000 Virus [2000]:
387.         0x51 0xe8 0x39 0xfd 0x8e 0xc3 0x26 0x8b
388.  
389.     12 Tricks Trojan [Tricks]:
390.         0x64 0x02 0x31 0x94 0x42 0x01 0xd1 0xc2
391.         0x4e 0x79 0xf7
392.  
393.     12 Tricks Trojan [Tricks-B]:
394.         0xe4 0x61 0x8a 0xe0 0x0c 0x80 0xe6 0x61
395.  
396.     1559 Virus [1559]:
397.         0x03 0x26 0x89 0x1e 0x92 0x00 0xfb 0xc3
398.         0x50 0x53 0x51 0x52 0x06
399.  
400.     512 Virus [512]:
401.         0x01 0x8c 0x45 0x70 0x1f 0x89 0x57 0x14
402.         0x8c 0xca 0x8e 0xda
403.  
404.     EDV Virus [EDV]:
405.         0x75 0x1c 0x80 0xfe 0x01 0x75 0x17 0x5b
406.         0x07 0x1f 0x58 0x83
407.  
408.     Icelandic-3 Virus [Ice-3]:
409.         0x24 0x2e 0x8f 0x06 0x3b 0x03 0x90 0x2e
410.         0x8f 0x06
411.  
412.     Perfume Virus [Fume]:
413.         0x04 0x06 0xbf 0xba 0x00 0x57 0xcb 0x0e
414.         0x1f 0x8e 0x06
415.  
416.     Joker Virus [Joke]:
417.         0x56 0x07 0x45 0x07 0x21 0x07 0x1d 0x49
418.         0x27 0x6d 0x20 0x73 0x6f 0x20 0x6d 0x75
419.         0x63
420.  
421.     Virus-101 [101]:
422.         0xb3 0x01 0xb4 0x36 0x70 0xb7 0x01 0xb4
423.         0x36 0x70 0x8b 0x37 0xb4 0x36 0x70 0xb3
424.         0x03 0xb4 0x36 0x70 0x03 0xf3 0xb4
425.  
426.     Halloechen Virus [Hal]:
427.         0x8c 0xd0 0x8b 0xd4 0xbc 0x02 0x00 0x36
428.         0x8b 0x0e
429.  
430.     Taiwan Virus [Taiwan]:
431.         0x8a 0x0e 0x95 0x00 0x81 0xe1 0xfe 0x00
432.         0xba 0x9e
433.  
434.     Oropax Virus [Oro]:
435.         0x3e 0x01 0x1d 0xf2 0x77 0xd1 0xba 0x00
436.  
437.     Chaos Virus [Chaos]:
438.         0xa1 0x49 0x43 0x68 0x41 0x4f 0x53 0x50
439.         0x52 0x51 0xe8
440.  
441.     4096 Virus [4096]:
442.         0xf6 0x2e 0x8f 0x06 0x41 0x12 0x2e 0x8f
443.         0x06 0x43
444.  
445.     Virus-90 [90]:
446.         0x81 0xb8 0xfe 0xff 0x8e 0xd8 0x2d 0xcc
447.  
448.     AIDS Information Trojan [Aids]:
449.         0x31 0x30 0x30 0x2c 0x36 0x32 0x2c 0x33
450.         0x32 0x00
451.  
452.     Devil's Dance Virus [Dance]:
453.         0x5e 0x1e 0x06 0x8c 0xc0 0x48 0x8e 0xc0
454.         0x26
455.  
456.     Amstrad Virus [Amst]:
457.         0x72 0x02 0xeb 0x36 0x76 0xba 0x80 0x00
458.         0xb4 0x1a 0xcd 0x21 0x80 0x3e
459.  
460.     Datacrime II-b Virus [Crime-2B]:
461.         0x2e 0x8a 0x07 0x32 0xc2 0xd0 0xca 0x2e
462.  
463.     Holland Girl Virus [Holland]:
464.         0x36 0x03 0x01 0x33 0xc9 0x33 0xc0 0xac
465.  
466.     Do Nothing Virus [Nothing]:
467.         0x72 0x04 0x50 0xeb 0x07 0x90 0xb4 0x4c
468.  
469.     Lisbon Virus [Lisb]:
470.         0x8b 0x44 0x79 0x3d 0x0a 0x00 0x72 0xde
471.  
472.     Sunday Virus [Sunday]:
473.         0x75 0x10 0x07 0x2e 0x8e 0x16 0x45 0x00
474.         0x2e 0x8b
475.  
476.     Typo COM virus [Typo]:
477.         0x99 0xfe 0x26 0xa1 0x5a 0x00 0x2e 0x89
478.  
479.     DBASE Virus [Dbase]:
480.         0x80 0xfc 0x6c 0x74 0xea 0x80 0xfc 0x5b
481.         0x74 0xe5
482.  
483.     Ghost Virus :
484.         0x90 0xea 0x59 0xec 0x00 0xf0 0x90 0x90
485.  
486.     Jerusalem Virus Strain B [Jeru]:
487.         0x47 0x00 0x33 0xc0 0x8e 0xc0 0x26 0xa1
488.         0xfc 0x03
489.  
490.     Alabama Virus [Alabama]:
491.         0x8f 0x06 0x18 0x05 0x26 0x8f 0x06 0x1a
492.  
493.     1701/1704 Virus - Version B [170X]:
494.         0x31 0x34 0x31 0x24 0x46 0x4c
495.  
496.     Datacrime Virus [Crime]:
497.         0x36 0x01 0x01 0x83 0xee 0x03 0x8b 0xc6
498.         0x3d 0x00
499.  
500.     Stoned Virus [Stoned]:
501.         0x00 0x53 0x51 0x52 0x06 0x56 0x57 0xbe
502.  
503.     Vacsina virus [Vacs]:
504.         0xb8 0x01 0x43 0x8e 0x5e 0x0e 0x8b 0x56
505.         0x06 0x2e
506.  
507.     Den Zuk Virus :
508.         0x8e 0xc0 0xbe 0xc6 0x7c 0xbf 0x00 0x7e
509.  
510.     Ping Pong Virus (old string):
511.         0x59 0x5b 0x58 0x07 0x1f 0xea
512.  
513.     Pakistani Brain Virus [Brain]:
514.         0x8e 0xd8 0x8e 0xd0 0xbc 0x00 0xf0 0xfb
515.         0xa0 0x06
516.  
517.     Yale/Alameda Virus [Alameda]:
518.         0xb4 0x00 0xcd 0x13 0x72 0x0d 0xb8 0x01
519.  
520.     Lehigh Virus [Lehigh]:
521.         0x5e 0x83 0xee 0x03 0x8b 0xde 0x81 0xeb
522.         0x91 0x01
523.  
524.     Pakistani Brain/Ashar Virus [Brain]:
525.         0x20 0x8c 0xc8 0x8e 0xd8 0x8e 0xd0
526.  
527.     Fu Manchu Virus - Version A [Fu]:
528.         0x26 0xc7 0x06 0xfc 0x03 0xf3 0xa4 0x26
529.         0xc6 0x06
530.  
531.     Ping Pong Virus - Version B [Ping]:
532.         0xa1 0xf5 0x81 0xa3 0xf5 0x7d 0x8b 0x36
533.         0xf9 0x81
534.  
535.     1536 (Zero Bug) Virus [Zero]:
536.         0xeb 0x2b 0x90 0x5a 0x45 0xcd 0x60 0x2e
537.  
538.     Vienna (DOS 62) Virus - Version B [Vienna]:
539.         0x8b 0xfe 0x36 0x6f 0xc7 0x1f 0x36 0x6f
540.         0x8b 0xde 0x36 0x6f 0xc6 0x1f
541.  
542.     Ghost Version of DOS-62 [Ghost-C]:
543.         0x8e 0xd8 0xa1 0x13 0x04 0x2d 0x02 0x00
544.         0x90 0xa3 0x13
545.  
546.     Friday 13th Virus [Fri13]:
547.         0xb4 0x4f 0xcd 0x21 0x73 0xf7 0x58
548.  
549.     405 virus [405]:
550.         0x19 0xcd 0x21 0x26 0xa2 0x49 0x02 0xb4
551.         0x47 0x04 0x01 0x50
552.  
553.     3066/2930 Traceback Virus [3066]:
554.         0x14 0x8b 0x4d 0x16 0x8b 0xc1 0x8a 0xcd
555.  
556.     Pentagon Virus :
557.         0xeb 0x34 0x90 0x48 0x41 0x4c 0x20 0x20
558.  
559.     Israeli Boot Virus:
560.         0xcd 0x13 0xb8 0x02 0x02 0xb9 0x06 0x27
561.         0xba 0x00 0x01
562.  
563.     Typo Boot Virus:
564.         0x24 0x13 0x55 0xaa
565.  
566.     Datacrime-2 Virus [Crime-2]:
567.         0x8a 0x94 0x03 0x01 0x8d 0xbc 0x29 0x01
568.         0x8d 0x8c 0xea 0x06
569.  
570.     Ohio Virus:
571.         0xeb 0x29 0x90 0x49 0x34 0x12 0x00 0x01
572.         0x00 0x00 0x00 0x00
573.  
574.     3551 (Syslock) Virus [Syslock]:
575.         0x33 0x06 0x14 0x00 0x31 0x04 0x46 0x46
576.         0xe2 0xf2
577.  
578.     Dark Avenger virus [Dav]:
579.         0xa1 0x4f 0x07 0x89 0x07 0x2e 0xa1 0x51
580.  
581.     MIX1/Icelandic Virus [Ice]:
582.         0x43 0x81 0x3f 0x45 0x58 0x75 0xf1 0xb8
583.         0x00 0x43
584.  
585.     Disk Killer Virus [Killer]:
586.         0xc3 0x10 0xe2 0xf2 0xc6 0x06 0xf3 0x01
587.         0xff 0x90 0xeb 0x55
588.  
589.     AIDS Virus [Taunt]:
590.         0x42 0xe8 0xef 0xe3 0xbf 0xca 0x03 0x1e
591.  
592.     Yankee Doodle Virus [Doodle]:
593.         0x35 0xcd 0x21 0x8b 0xf3 0x8c 0xc7
594.  
595.     Suriv A Virus [SurivA]:
596.         0x90 0x73 0x55 0x52 0x49 0x56 0x00
597.  
598.     Suriv B Virus [SurivB]:
599.         0x00 0x73 0x55 0x52 0x49 0x56 0x00
600.  
601. ]============================================================================[
602.  
603.  
604. Downloaded From P-80 International Information Systems 304-744-2253
605.