home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / security / mys00392.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  5.0 KB  |  109 lines
  1.  ________________________________________________________________________
  2.                  THE COMPUTER INCIDENT ADVISORY CAPABILITY
  3.  
  4.                                  CIAC
  5.  
  6.                          INFORMATION BULLETIN
  7. ________________________________________________________________________
  8.  
  9.              The Disk Killer (Orge) Virus on MS DOS Computers
  10.  
  11.  
  12. June 28, 1990, 1000 PST                                         Number A-27
  13.  
  14. ________________________________________________________________________
  15. Name: Disk Killer virus (also known as the Ogre virus)
  16. Types: Only one known variant
  17. Platform: MS DOS computers
  18. Damage: Overwrites mounted disks 
  19. Symptoms: Writes "COMPUTER OGRE 04/01/89" on screen and overwrites disk
  20. Detection/Eradication:  VIRALERT, VIRHUNT, RESSCAN, CodeSafe, CleanUp,
  21. F-Prot, IBM Scan, Pro-Scan, and others (contact CIAC for information
  22. about these products) 
  23.                      Critical Disk Killer Facts
  24. ________________________________________________________________________
  25.  
  26. The Disk Killer virus is a destructive virus affecting MS DOS
  27. computers.  This virus infects the boot sector, then hides itself by
  28. marking unused blocks on floppy or hard disks as bad.   After remaining
  29. dormant for approximately 48 hours of operation (not calendar) time
  30. after the initial infection,  Disk Killer executes upon the first boot
  31. or reboot after this period.   Upon execution, this virus displays the
  32. following message:
  33.  
  34.      Disk Killer -- Version 1.00 by COMPUTER OGRE 04/01/89
  35.  
  36.      Warning!!
  37.  
  38.      Don't turn off the power or remove the diskette while Disk Killer 
  39.      is Processing!
  40.  
  41. Next, the word "PROCESSING" will be displayed, followed by this message:
  42.  
  43.    Now you can turn off the power.  I wish you Luck!
  44.  
  45. Disk Killer overwrites the boot sector, then the file allocation table
  46. (FAT), then the directory randomly with blocks of a single character.
  47.  
  48. The proper procedure depends upon when you detect Disk Killer:
  49.  
  50. 1. If your machine is infected before it executes and you detect this
  51. virus through a scan package (such as CodeSafe, RESSCAN, VIRHUNT, or
  52. IBM Scan)---TURN YOUR MACHINE OFF.  Then use a write-protected bootable
  53. floppy disk to boot your system;  otherwise, you will have disk Killer
  54. in memory, causing re-infection.  Remove Disk Killer by installing and
  55. executing a PC virus eradication package such as VIRHUNT.
  56.  
  57. 2. If the message shown above appears on your computer's screen, Disk
  58. Killer has already executed---LEAVE YOUR MACHINE ON AND ALLOW THIS 
  59. VIRUS TO EXECUTE WITHOUT INTERRUPTION (i.e., until "Now you can turn
  60. off the power..." is displayed).  It is true that Disk Killer will
  61. overwrite your disk, but don't worry---you can restore all data and
  62. files from your disk (floppy or hard disk) using a recovery package
  63. such as UNKILL.   Reboot from a write-protected master floppy, and
  64. remove the virus using virus eradication software.
  65.  
  66. Regardless of which particular procedure (1 or 2) you use, be sure to
  67. scan any disks (in particular, bootable floppies) before resuming
  68. normal activity with your computer.
  69.  
  70. Note:  Because this virus modifies every byte in every sector on your
  71. disk, Norton Utilities not a feasible means of recovering from the Disk
  72. Killer virus.  Note also that a considerable amount of incorrect
  73. information about responding to Disk Killer has already been
  74. distributed.  If you follow this incorrect information, which advises
  75. you to turn your machine off as soon as Disk Killer begins to execute,
  76. it is extremely likely that you will not be able to fully recover from
  77. this virus.
  78.  
  79. Additional Note:  The CIAC team first became aware of this virus early
  80. last Fall.   At that time, however, we chose to briefly describe this
  81. virus in the CIAC Bulletin Board (FELIX) and CIAC Bulletin A-15, rather
  82. than to issue a separate bulletin; infections at that time appeared to
  83. be limited to MS DOS computers equipped with hard disks made by a
  84. particular manufacturer in Taiwan.
  85.  
  86. For additional information or assistance, please contact CIAC:
  87.  
  88.     David S. Brown
  89.     (415) 423-9878 or (FTS) 543-9878
  90.     FAX:  (415) 423-0913, (FTS) 543-0913 or (415) 422-4294
  91.  
  92. Send e-mail to:
  93.  
  94.     ciac@tiger.llnl.gov
  95.  
  96. Neither the United States Government nor the University of California
  97. nor any of their employees, makes any warranty,  expressed or implied,
  98. or assumes any legal liability or responsibility for the accuracy,
  99. completeness, or usefulness of any information, product, or process
  100. disclosed, or represents that its use would not infringe privately
  101. owned rights.  Reference herein to any specific commercial products,
  102. process, or service by trade name, trademark manufacturer, or
  103. otherwise, does not necessarily constitute or imply its endorsement,
  104. recommendation, or favoring by the United States Government or the
  105. University of California.  The views and opinions of authors expressed
  106. herein do not necessarily state or reflect those of the United States
  107. Government nor the University of California, and shall not be used for
  108. advertising or product endorsement purposes.
  109.