home *** CD-ROM | disk | FTP | other *** search
/ Tech Arsenal 1 / Tech Arsenal (Arsenal Computer).ISO / tek-12 / viruss.txt < prev    next >
Encoding:
Text File  |  1991-11-01  |  9.9 KB  |  219 lines
  1.  
  2.          _____________________________________________________
  3.               The Computer Incident Advisory Capability
  4.                           ___  __ __    _     ___
  5.                          /       |     / \   /
  6.                          \___  __|__  /___\  \___
  7.          _____________________________________________________
  8.                           Information Bulletin
  9.  
  10.            Dir II Virus on MS DOS Computers
  11.  
  12. October 17, 1991, 15:30 PDT                     Number C-2
  13.  
  14.              Critical Dir II Virus Facts
  15. _________________________________________________________________________
  16. Name: Dir II virus
  17. Aliases:     Dir-2, MG series II, Creeping Death, DRIVER-1024, Cluster
  18.  
  19. Virus Type:  Directory infector with stealth characteristics
  20.  
  21. Variants:    Unsubstantiated reports exist for two variants
  22.  
  23. Platform:    MS-DOS computers 
  24.  
  25. Damage:      May destroy all .EXE and .COM files and backup diskettes,
  26.              crash some lookalike systems, CHKDSK /F destroys all
  27.              executible files
  28.  
  29. Symptoms:    CHKDSK reports many cross-linked files and lost file chains
  30.              can corrupt backups, copied files are only 1024 bytes long,
  31.              more (see below)
  32.  
  33. First Discovered: May 1991 in Bulgaria
  34.  
  35. Eradication: Perform a series of simple DOS commands (see below)
  36. _________________________________________________________________________
  37.  
  38. The Dir II virus presents a new type of MS-DOS virus called a
  39. directory infector.  This virus modifies entries in the directory
  40. structure, causing the computer to jump to the virus code before
  41. execution of a program begins.  Also, this virus utilizes stealth
  42. techniques to hide its existence in memory.
  43.  
  44. How Infection Occurs
  45.  
  46. Initial hard disk infection occurs when a file with an infected
  47. directory is executed.  The virus establishes itself in memory and
  48. puts a copy of itself on the last cluster of the disk.  Once the virus
  49. is active in memory, executing any file (infected or not) will cause
  50. the virus to infect the directory entry of ALL .EXE and .COM files in
  51. the current directory and in the directories listed in the PATH
  52. variable.  Additional detailed information on the infection technique
  53. is included in the appendix at the end of this bulletin.
  54.  
  55. Potential Damage 
  56.  
  57. If there is currently information residing on the last cluster of the
  58. disk, this virus will overwrite it upon installation.  Since most
  59. backup utilities fill diskettes to capacity, backups are prone to
  60. immediate corruption upon initial infection.
  61.  
  62. The most damaging characteristic of this virus occurs if a user boots
  63. from a clean diskette and attempts to run a disk optimizer program
  64. such as CHKDSK /F, Norton Disk Doctor, or other similar utility
  65. programs.  When such a program attempts to "fix" the disk, all
  66. infected executibles will "become" the virus, effectively destroying
  67. the original file!
  68.  
  69. Detection
  70.  
  71. Although current versions of many common anti-viral utilities will not
  72. detect this virus and are unable to remove it, manual detection can be
  73. performed using the following methods:
  74.  
  75. 1. Boot from the suspect infected hard disk.  With the suspected virus
  76.    active in memory, execute the command CHKDSK with NO arguments.
  77.    Then reboot from a clean, write protected diskette (such as the
  78.    original DOS diskette), and execute the command CHKDSK with no
  79.    arguments again.  If many cross-linked files and lost file chains
  80.    are reported during the second CHKDSK and not the first, it is an
  81.    indication of infection.
  82.  
  83. 2. Boot from the suspected infected hard disk.  With the suspected
  84.    virus active in memory, use the COPY command to copy suspect files
  85.    with the extension .EXE or .COM.  Examine the file length of these
  86.    copied files by using the DIR command, then reboot from a clean,
  87.    write protected diskette and perform the same copy command(s).  If
  88.    the file length of the second copy is very small (around 1K) but
  89.    the file length of the first copy is much larger, you may be
  90.    infected with the Dir II virus.
  91.  
  92. Eradication
  93.  
  94. To manually eradicate this virus, follow these steps for every
  95. infected disk and diskette:
  96.  
  97. 1. While Dir II is active in memory, use the COPY command to copy all
  98.    .EXE and .COM files to a file with a different extension.  
  99.    Example:  COPY filename.com filename.vom
  100.  
  101. 2. Reboot system from a clean, write protected diskette to ensure the
  102.    system does not have the virus in memory.
  103.  
  104. 3. Delete all files with extensions of .EXE and .COM.  This will
  105.    remove all pointers to the virus.
  106.  
  107. 4. Rename all executibles to their original names. 
  108.    Example: RENAME filename.vom filename.com
  109.  
  110. 5. Examine all these executibles you have just restored.  If any are
  111.    1K in length, they probably are a copy of the virus.  Destroy any
  112.    executibles of this size.
  113.  
  114. For additional information or assistance, please contact CIAC:
  115.  
  116. Karyn Pichnarczyk
  117. (510) 422-1779 **or (FTS) 532-1779
  118.  
  119. Send e-mail to ciac@llnl.gov or call CIAC at 
  120. (510) 422-8193**/(FTS)532-8193.  
  121.  
  122. **Note area code has changed from 415, although the 415 area code will
  123. work until Jan. 1992.
  124.  
  125. CIAC would like to thank Bill Kenny of DDI for his help with this
  126. bulletin.  Neither the United States Government nor the University of
  127. California nor any of their employees, makes any warranty, expressed
  128. or implied, or assumes any legal liability or responsibility for the
  129. accuracy, completeness, or usefulness of any information, product, or
  130. process disclosed, or represents that its use would not infringe
  131. privately owned rights.  Reference herein to any specific commercial
  132. products, process, or service by trade name, trademark manufacturer,
  133. or otherwise, does not necessarily constitute or imply its
  134. endorsement, recommendation, or favoring by the United States
  135. Government or the University of California.  The views and opinions of
  136. authors expressed herein do not necessarily state or reflect those of
  137. the United States Government nor the University of California, and
  138. shall not be used for advertising or product endorsement purposes.
  139.  
  140.  
  141.            Appendix: Detailed DIR II Information
  142.  
  143. The DOS directory structure contains the following entries: filename,
  144. extension, attribute, time, date, cluster, filesize, and an unused
  145. area; the cluster entry is the pointer to where the actual file exists
  146. on the disk.  Dir II infects the directory structure by scrambling the
  147. original cluster entry and storing it in part of the unused area, then
  148. placing a pointer to the viral code in the cluster entry.  Thus when a
  149. program is executed, the computer executes the viral code, the virus
  150. decrypts the original cluster entry, then the virus allows the
  151. original program to proceed.
  152.  
  153. Upon initial infection, the virus links itself into the device driver
  154. chain, copying itself to the last cluster (or last two clusters, if
  155. cluster size is less than 1024 bytes) on the disk and infects the
  156. directory structure of all .EXE and .COM files residing in the current
  157. directory and all directories defined in the path.  The virus infects
  158. all files with .EXE or .COM as an extension whether or not they are
  159. executible, EXCEPT if the size of the file is less than 2K, larger
  160. than 256K, or has an attribute of System, Volume, or Directory set.
  161. Therefore it does not infect the two hidden system files, but it DOES
  162. infect command.com.
  163.  
  164. Following the supplied eradication steps will simply remove all "live"
  165. pointers to the viral code.  After eradication you may wish to use a
  166. direct disk access utility (such as Norton Utilities) to directly
  167. access the viral code existing on the last cluster on the disk and
  168. overwrite it with blanks.  Another recommended final clean-up may
  169. entail running a disk optimizer program that will clean out all
  170. unnecessary deleted files.  It is important to remember that this
  171. virus has infected all .COM and .EXE files, even if they are tagged as
  172. deleted.  Therefore if an undelete utility is used on these files, the
  173. virus can resurface.
  174.  
  175. Other Facts About Dir II
  176.  
  177. - Using CHKDSK to detect this virus from a clean boot will only work
  178.   if there is more than one infected executible on a disk.
  179.  
  180. - Dir II has an internal counter which determines a generation number
  181.   of the virus.
  182.  
  183. - Dir II does not infect partitions that are accessed through a
  184.   loadable device driver.
  185.  
  186. - Due to the stealth characteristics of Dir II, while the virus is
  187.   memory-resident all file accesses, backups, deletes, copies, etc are
  188.   accomplished with no discernable problems.  Also, errors resulting
  189.   from execution of Dir II (such as an attempt to infect a
  190.   write-protected diskette) are suppressed by the virus.
  191.  
  192. - The first execution of a file causes the virus to become memory
  193.   resident.  Before it is resident, if a file is copied from an
  194.   infected disk to a hard disk all that will copy will be a 1K length
  195.   file containing the virus.  After eradication procedures this copied
  196.   file will still be a copy of the virus.  Such files can be a very
  197.   good clue to track where the virus originated.
  198.  
  199. - If the virus is not active in memory, interaction with infected
  200.   files produces unusual results.  Copying an infected file will copy
  201.   a file only 1K long (the virus itself).  Deleting a file will mark
  202.   it as deleted, not but does not affect the virus.
  203.  
  204. - With the virus active in memory, formatting a disk will produce the
  205.   virus in the last cluster.
  206.  
  207. - Because this virus uses a new type of attack scheme, versions prior
  208.   to October, 1991 of most anti-viral utilities will not detect it,
  209.   and cannot clean it.  Since Dir II associates itself with the device
  210.   drivers, programs which detect unauthorized requests to become
  211.   memory resident do not detect this virus.
  212.  
  213. - This virus is not compatible with all non IBM MS-DOS machine ROMS
  214.   and will crash some hard disk systems immediately upon initial
  215.   infection.
  216.  
  217. -----------------------------end of file----------------------------
  218.