home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / G.ZIP / GOLD-BUG.ZIP / GOLD-BUG.TXT < prev   
Encoding:
Text File  |  1995-11-07  |  9.2 KB  |  162 lines
  1. Virus Name:  GOLD-BUG
  2. Aliases:     AU, GOLD, GOLD-FEVER, GOLD-MINE
  3. V Status:    New, Research
  4. Discovery:   January, 1994
  5. Symptoms:    CMOS checksum failure; Creates files with no extension; Modem
  6.          answers on 7th ring; BSC but it is hidden; Most virus scanners
  7.          fail to run or are Deleted; CHKLIST.??? files deleted.
  8. Origin:      USA
  9. Eff Length:  1,024 Bytes
  10. Type Code:   SBERaRbReX - Spawning Color Video Resident and Extended HMA
  11.          Memory Resident Boot-Sector and Master-Sector Infector
  12. Detection Method:  None
  13. Removal Instructions:  See Below
  14.  
  15. General Comments:
  16.  
  17.     GOLD-BUG is a memory-resident multipartite polymorphic stealthing
  18.     boot-sector spawning anti-antivirus virus that works with DOS 5 and
  19.     DOS 6 in the HIMEM.SYS memory.  When an .EXE program infected with the
  20.     GOLD-BUG virus is run, it determines if it is running on an 80186 or
  21.     better, if not it will terminate and not install.  If it is on an
  22.     80186 or better it will copy itself to the partition table of the hard
  23.     disk and remain resident in memory in the HMA (High Memory Area) only
  24.     if the HMA is available, ie. DOS=HIGH in the CONFIG.SYS file else no
  25.     infection will occur.  The old partition table is moved to sector 14
  26.     and the remainder of the virus code is copied to sector 13.  The virus
  27.     then executes the spawned associated file if present.  INT 13 and
  28.     INT 2F are hooked into at this time but not INT 21.  The spawning
  29.     feature of this virus is not active now.
  30.  
  31.     When the computer is rebooted, the virus goes memory resident in the
  32.     color video memory.  Also at this time the GOLD-BUG virus removes
  33.     itself from the partition table and restores the old one back.  Unlike
  34.     other boot-sector infectors, it does not use the top of memory to
  35.     store the code.  CHKDSK does not show a decrease in available memory.
  36.     At this time it only hooks INT 10 and monitors when the HMA becomes
  37.     available.  Once DOS moves into the HMA, then GOLD-BUG moves into the
  38.     HMA at address FFFF:FB00 to FFFF:FFFF.  If the HMA never becomes
  39.     available, ie. DOS loaded LOW or the F5 key hit in DOS 6 to bypass the
  40.     CONFIG.SYS, then the virus clears itself from the system memory when
  41.     the computer changes into graphics mode.  If it moves to the HMA, it
  42.     hooks INT 13, INT 21 and INT 2F and then rewrites itself back to the
  43.     partition table.  The GOLD-BUG virus also has some code that stays
  44.     resident in the interrupt vector table to always make the HMA
  45.     available to the virus.  The full features of the virus are now
  46.     active.
  47.  
  48.     The GOLD-BUG virus will infect the boot sector of 1.2M diskettes.
  49.     The virus copies itself to the boot sector of the diskette and moves
  50.     a copy of the boot sector to sector 28 and the remainder of the code
  51.     is copied to sector 27.  These are the last 2 sectors of the 1.2M disk
  52.     root directory.  If there are file entries on sector 27 or 28 it will
  53.     not overwrite them with the virus code.  It will infect 1.2M disks in
  54.     drive A: or B:  If a clean boot disk is booted from drive A: and you
  55.     try to access C: you will get an invalid drive specification.
  56.  
  57.     The boot-sector infection is somewhat unique.  If the computer is
  58.     booted with a disk that contains the GOLD-BUG virus, it will remain in
  59.     video memory until the HMA is available and then infect the hard disk.
  60.     Also at this time, it will remove itself from the 1.2M disk.  The
  61.     virus will never infect this disk again.  It makes tracking where you
  62.     got the virus from difficult in that your original infected disk is
  63.     not infected anymore.
  64.  
  65.     If an .EXE file less than 64K and greater then 1.5K is executed,
  66.     GOLD-BUG will randomly decide to spawn a copy of it.  The .EXE file is
  67.     renamed to the same file name with no extension, ie. CHKDSK.EXE
  68.     becomes CHKDSK.  The original file attributes are then changed to
  69.     SYSTEM.  An .EXE file with the same name is created.  This .EXE file
  70.     has the same length, file date and attributes as the original .EXE
  71.     file.  This spawning process will not make a copy on a diskette
  72.     because it might be write protected and be detected; but it will make
  73.     a spawn .EXE file on a network drive.  When a spawned file is created,
  74.     CHKLIST.??? of the current directory is also deleted.  The .EXE file
  75.     that is created is actually a .COM file; it has no .EXE header.
  76.  
  77.     The GOLD-BUG virus is very specific as to what type of .EXE files it
  78.     will spawn copies.  It will not spawn any Windows .EXE files or any
  79.     other .EXE files the use the new extended .EXE header except those
  80.     that use the PKLITE extended .EXE header.  This way all Windows
  81.     programs will continue to run and the virus will still be undetected.
  82.  
  83.     The GOLD-BUG virus is also Polymorphic.  Each .EXE file it creates
  84.     only has 2 bytes that remain constant.  It can mutate into 128
  85.     different decription patterns.  It uses a double decription technique
  86.     that involves INT 3 that makes it very difficult to decript using a
  87.     debugger.  The assembly code allowed for 512 different front-end
  88.     decripters.  Each of these can mutate 128 different ways.
  89.  
  90.     The GOLD-BUG virus incorporates an extensive steathing technique.  Any
  91.     time the hard disk partition table or boot sector of an infected
  92.     diskette is examined, the copy of the partition table or boot sector
  93.     is returned.  If a spawned .EXE file is opened to be read or executed;
  94.     the GOLD-BUG virus will redirect to the original file.  Windows 3.1
  95.     will detect a resident boot-sector virus if the "Use 32 Bit Access" is
  96.     enabled on the "Virtual Memory" option.  GOLD-BUG will disconnect
  97.     itself from the INT 13 chain when Windows installs and reconnect when
  98.     Windows uninstalles to avoid being detected.  When Windows starts, the
  99.     GOLD-BUG virus will copy the original hard disk partition table back.
  100.     When Windows ends, the GOLD-BUG virus will reinfect the partition
  101.     table.
  102.  
  103.     The GOLD-BUG virus also has an extensive anti-antivirus routine.  It
  104.     can install itself with programs like VSAFE.COM and DISKMON.EXE
  105.     resident that monitor changes to the computer that are common for
  106.     viruses.  It writes to the disk using the original BIOS INT 13 and not
  107.     the INT 13 chain that these types of programs have hooked into.  It
  108.     hooks into the bottom of the interrupt chain rather than changing and
  109.     hooking interrupts; very similar to the tunneling technique.  If the
  110.     GOLD-BUG virus is resident in memory, any attempts to run most virus
  111.     scanners will be aborted.  GOLD-BUG stops any large .EXE file
  112.     (greater than 64k) with the last two letters of "AN" to "AZ".  It will
  113.     stop SCAN.EXE, CLEAN.EXE, NETSCAN.EXE, CPAV.EXE, MSAV.EXE, TNTAV.EXE,
  114.     etc., etc.  The SCAN program will either be deleted or an execution
  115.     error will return.  Also, GOLD-BUG will cause a CMOS checksum failure
  116.     to happen next time the system boots.  GOLD-BUG also erases
  117.     "CHKLIST.???" created by CPAV.EXE and MSAV.EXE.  Programs that do an
  118.     internal checksum on themselves will not detect any changes.  The
  119.     Thunder Byte Antivirus programs contain a partition table program that
  120.     claims it can detect all partition table viruses.  GOLD-BUG rides
  121.     right through the ThunderByte partition virus checker.
  122.  
  123.     The GOLD-BUG virus detects a modem.  If you received an incoming call
  124.     on the modem line, GOLD-BUG will output a string that will set the
  125.     modem to answer on the seventh ring.
  126.  
  127.     If a program tries to erase the infected .EXE file, the original
  128.     program and not the infected .EXE file is erased.
  129.  
  130.     The text strings "AU", "1O7=0SLMTA", and "CHKLIST????" appear in the
  131.     decripted code.  The virus gets it name from "AU", the chemical
  132.     element "GOLD".  The text string "CHKLIST????" is actually executable
  133.     code.
  134.  
  135.     The GOLD-BUG virus has two companion viruses that it works with.  The
  136.     DA'BOYS virus is also a boot-sector infector.  It is possible to have
  137.     a diskette with two boot-sector viruses.  GOLD-BUG hides the presence
  138.     of the DA'BOYS virus from the Windows 3.1 startup routine.  GOLD-BUG
  139.     removes the DA'BOYS virus from the INT 13 chain at the start of
  140.     Windows and restores it when Windows ends.  The GOLD-BUG virus works
  141.     with the XYZ virus; it reserves the space FFFF:F900 to FFFF:FAFF in
  142.     the HMA for the XYZ virus so it can load as well.
  143.  
  144.     To remove the GOLD-BUG virus, change DOS=HIGH to DOS=LOW in the
  145.     CONFIG.SYS, then reboot.  Once the system comes up again, reboot from
  146.     a clean boot disk.  The Virus has now removed itself from the
  147.     partition table and memory.  With the ATTRIB command check for files
  148.     with the SYSTEM bit set that don't have any extension.  Delete the
  149.     .EXE file associated with the SYSTEM file.  Using ATTRIB remove the
  150.     SYSTEM attribute.  Rename the file with no extension to an .EXE file.
  151.     Format each diskette or run SYS to remove the virus from the boot
  152.     sector of each 1.2M disk.  Any spawned .EXE files copied to diskette
  153.     need to be deleted.
  154.  
  155.     Several variations of this virus can exist.  The assembly code allowed
  156.     for 14 features to be turned on or off:  Delete Scanners, Check for
  157.     8088, Infect at Random, Deflect Delete, CMOS Bomb, File Reading
  158.     Stealth, Same File Date, Double Decription, Execute Spawned, Modem
  159.     Code, Anti-Antivirus, Polymorphic, Multipartite and 720K or 1.2M
  160.     Diskette Infection.  Some of these features can be disabled and more
  161.     code added to change the characteristics of this virus.
  162.