home *** CD-ROM | disk | FTP | other *** search
/ BBS Toolkit / BBS Toolkit.iso / doors_1 / filefi06.zip / EMMIE2.TXT < prev    next >
Text File  |  1992-05-16  |  3KB  |  76 lines
  1.  
  2. ------------------------------------------------------------------------
  3.  
  4. Echo Flag :         Permanent: N       Export: N      Personal Read: N
  5.  
  6.  BBS: ICEBER          Conference: VIRUS           Imported:  5/15/1992
  7.   To: ALL                             Num: 1650       Date:  5/11/1992
  8. From: NEMROD KEDEM                     Re: 0          Time:  1:42 am
  9. Subj: New Virus - Emmie !!!          Prvt: N          Read: N
  10.  
  11.  !!! New Virus !!! New Virus !!! New Virus !!! New Virus !!! New Virus !!!
  12.  
  13.  McAfee News, Dated 11-May-1992
  14.  
  15.  A new virus names "EMMIE" was descovered by one of our users.
  16.  After a short analysis of the virus we came up with the following
  17.  information:
  18.  
  19.  The virus is a .COM file infector, including COMMAND.COM. It infects
  20.  .COM files larger then 2702. It uses the STEALTH techniq and as such,
  21.  it hides himself when using the DIR command.
  22.  The infected files will be longer in at least 2702 bytes.
  23.  The virus is probebly originated in Israel.
  24.  
  25.  When the virus is active in memory, running CHKDSK on an infected disk
  26.  will report "allocation errors" of all infected files. When the virus
  27.  is not resident, no errors will be reported.
  28.  
  29.  The following strings may be found inside the virus code,
  30.  
  31.                 "My name is Emmie, I am Eddie`s sister."
  32.                 "It`ll tire you too much."
  33.  
  34.  The virus use a new approach to infect files. It does not chenge the
  35.  begining of the infected file, but changes a JMP instruction within the
  36.  file. The virus is attached to the end of the infected file and JMPs to
  37.  the original address he changed.
  38.  This way of infection eliminates any chance of Generic file recovery.
  39.  Generic recovery utilities will restore the file to it's original size,
  40.  but the file will differ in 2-3 bytes and will cause the cleand program
  41.  to JMP beyond it's end.
  42.  
  43.  The virus is not detected by any virus scanner, but a simple HEX Search
  44.  string may be used with McAfee's ViruSCAN program.
  45.  Use the following it install this virus string in ViruSCAN:
  46.  
  47.  1. Create a file named SCAN.EXT
  48.  2. add the line:
  49.  
  50.     "04 07 C3 E8 57 00 B8 01 35 E8 7C FD" Emmie Virus
  51.  
  52.     to it.
  53.  3. run SCAN.EXE /A /M /EXT SCAN.EXT
  54.  
  55.  All infected files sould be erased for there is not anti-virus for this
  56.  one yet. Stealth virus removers does not help in this case.
  57.  
  58.  A sample of this virus was sent to McAfee for analysis and the next
  59.  version  of SCAN will be able to detect it without the use of an external
  60.  data file.
  61.  
  62.  No current anti-virus software can detect this virus, and so called Generic
  63.  virus removers may permanently damage the cleaned file.
  64.  
  65.  Rudy's Place Callers may freely download U-EMMIE.ZIP from Rudy's Place BBS,
  66.  and use it to detect and remove this virus.
  67.  
  68.  Everyone may Freq the above name from 2:403/138 at 14400 V32b/V42b.
  69.  
  70.  
  71.  Nemrod Kedem,
  72.  Authorized Agent of McAfee Associates.
  73.  
  74. --- Freddie lives ...
  75.  * Origin: <Rudy's Place - Israel> Hard disks never die... (2:403/138.0)
  76.