home *** CD-ROM | disk | FTP | other *** search

---

/ The Unsorted BBS Collection / thegreatunsorted.tar / thegreatunsorted / misc / joshi.doc

< prev

next >

Wrap

Text File  |  1991-04-09  |  4KB  |  68 lines

---

1.  
2.  Virus Name:  Joshi 
3.  Aliases:     Happy Birthday Joshi, Stealth Virus 
4.  V Status:    Common 
5.  Discovered:  June, 1990 
6.  Symptoms:    BSC, machine hangs and message 
7.  Origin:      India 
8.  Eff Length:  N/A 
9.  Type Code:   BRX - Resident Boot Sector/Partition Table Infector 
10.  Detection Method:  ViruScan V64+, Pro-Scan 1.4+ 
11.  Removal Instructions:  CleanUp V66+, Pro-Scan 1.4+, RmJoshi, 
12.               or Low-Level Format Harddisk and DOS SYS floppies 
13.  General Comments: 
14.        The Joshi Virus was isolated in India in June 1990.  At the time it was 
15.        isolated, it was reported to be widespread in India as well as 
16.        portions of the continent of Africa.  Joshi is a memory resident 
17.        boot sector infector of 5.25" diskettes.  It will also infect 
18.        hard disks, though in the case of hard disks it infects the partition 
19.        table or master boot sector rather than the boot sector (sector 0). 
20.  
21.        After a system has been booted from a Joshi-infected diskette, the 
22.        virus will be resident in memory.  Joshi takes up approximately 
23.        6K of system memory, and infected systems will show that total 
24.        system memory is 6K less than is installed if the DOS CHKDSK program 
25.        is run. 
26.  
27.        Joshi has some similarities to two other boot sector infectors. 
28.        Like the Stoned virus, it infects the partition table of hard disks. 
29.        Similar to the Brain virus's method of redirecting all attempts to 
30.        read the boot sector to the original boot sector, Joshi does this with 
31.        the partition table. 
32.  
33.        On January 5th of any year, the Joshi virus activates.  At that 
34.        time, the virus will hang the system while displaying the message: 
35.  
36.              "type Happy Birthday Joshi" 
37.  
38.        If the system user then types "Happy Birthday Joshi", the system 
39.        will again be usable. 
40.  
41.        This virus may be recognized on infected systems by powering off 
42.        the system and then booting from a known-clean write-protected 
43.        DOS diskette.  Using a sector editor or viewer to look at the 
44.        boot sector of suspect diskettes, if the first two bytes of the 
45.        boot sector are hex EB 1F, then the disk is infected.  The EB 1F 
46.        is a jump instruction to the rest of the viral  code. The remainder 
47.        of the virus is stored on track 41, sectors 1 thru 5 on 360K 
48.        5.25 inch Diskettes.  For 1.2M 5.25 inch diskettes, the viral code 
49.        is located at track 81, sectors 1 thru 5. 
50.  
51.        To determine if a system's hard disk is infected, you must look at 
52.        the hard disk's partition table.  If the first two bytes of the 
53.        partition table are EB 1F hex, then the hard disk is infected.  The 
54.        remainder of the virus can be found at track 0, sectors 2 thru 6. 
55.        The original partition table will be a track 0, sector 9. 
56.  
57.        The Joshi virus can be removed from an infected system by first 
58.        powering off the system, and then booting from a known-clean, write- 
59.        protected master DOS diskette.  If the system has a hard disk, the 
60.        hard disk should have data and program files backed up, and the 
61.        disk must be low-level formatted.  As of July 15, 1990, there are 
62.        no known utilities which can disinfect the partition table of the 
63.        hard disk when it is infected with Joshi.  Diskettes are easier to 
64.        remove Joshi from, the DOS SYS command can be used, or a program 
65.        such as MDisk from McAfee Associates, though this will leave the 
66.        viral code in an inexecutable state on track 41. 
67.  
68.