home *** CD-ROM | disk | FTP | other *** search
/ BBS Toolkit / BBS Toolkit.iso / doors_1 / filefi06.zip / EMMIE.TXT next >
Text File  |  1992-05-16  |  2KB  |  53 lines

  1.  
  2. ------------------------------------------------------------------------
  3.  
  4. Echo Flag :         Permanent: N       Export: N      Personal Read: Y
  5.  
  6.  BBS: ICEBER          Conference: VIRUS           Imported:  5/15/1992
  7.   To: ALL                             Num: 1683       Date:  5/11/1992
  8. From: NEMROD KEDEM                     Re: 0          Time:  1:12 pm
  9. Subj: Emmie Virus - more...          Prvt: N          Read: N
  10.  
  11. Hello, All.
  12.  
  13. After continueing with the analysis of Emmie virus we came up with a simple 
  14. way to check if Emmie virus is present in memory.
  15.  
  16. Emmie uses INT 21 service 0FACEh to check it's presence in memory.
  17. If this function returns AX=0CEFAh and BX=000Ch then the virus is resident.
  18.  
  19. The following DEBUG script will create a 93 bytes COM file that can check if 
  20. Emmie virus is present in memory:
  21.  
  22. ---------------------------------------------------------
  23.  N CHKEMMIE.COM
  24.  E 0100 EB 33 45 6D 6D 69 65 20 76 69 72 75 73 20 69 73
  25.  E 0110 20 24 72 65 73 69 64 65 6E 74 20 69 6E 20 6D 65
  26.  E 0120 6D 6F 72 79 21 07 24 4E 4F 54 20 72 65 73 69 64
  27.  E 0130 65 6E 74 2E 24 BA 02 01 B4 09 CD 21 B8 CE FA BB
  28.  E 0140 00 00 CD 21 3D FA CE 75 07 83 FB 0C 75 02 EB 05
  29.  E 0150 BA 27 01 EB 03 BA 12 01 B4 09 CD 21 C3
  30.  RCX
  31.  005D
  32.  W
  33.  Q
  34. ---------------------------------------------------------
  35.  
  36.     If you have downloaded this script file, remove
  37.     any captured communications header and then enter
  38.  
  39.         DEBUG < filename
  40.  
  41.     where filename is the name of this script file.
  42.  
  43. BTW- This COM file can not be infected by Emmie for it is only 93 bytes and 
  44. Emmie infects files larger then 2702 bytes.
  45.  
  46. Good luck.
  47.  
  48. Nemrod Kedem,
  49. Authorized Agent of McAfee Associates.
  50.  
  51. ---
  52.  * Origin: <Rudy's Place - Israel> Hard disks never die... (2:403/138.0)
  53.