home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / virus / mys00457.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  3.3 KB  |  83 lines
  1.                                                           5 September 1990
  2.  
  3. David,
  4.       I thought that you may want to see this....Please read it carefully
  5.       and compare notes on what you have and what you have documentation
  6.       for. Please get back to me as soon as possible to discuss the
  7.       situation. This is an analysis that I did today on the strain that I
  8.       D/L'ed from the NCSA Board....Go figure.   ,-)
  9.  
  10.                                                -Paul
  11.  
  12.  
  13. ===============================================================================
  14.  
  15.  
  16. This analysis was preformed under the following circumstances:
  17.  
  18.  
  19. Test machine:  AT 80286 Turbo Clone, Phoenix ROM-BIOS version 3.30, 1Mb RAM
  20.                (640 base, 384 extended), Seagate ST-225 21Mb Hard Dirve and
  21.                High Density (1.2 Mb) 5.25", 360 Kb Floppy Drive.
  22.  
  23. Operating Sytem: Ms-DOS version 4.01
  24.  
  25. Memory Mapping Utility: Central Point Software, Inc.,
  26.                "Memory Info", version 5.24
  27.  
  28. Notes:         Clean, uninfected "goat" files (ie. .COM and .EXE) were
  29.                introduced into the viral environment for testing purposes.
  30.                The entire testing process is documented, in case you have
  31.                any particular questions.
  32.                McAfee Associates ViruScan version 66b identifies this virus
  33.                as Jerusalem B, but the differences in replication are
  34.                substantial enough to warrant a separate strain
  35.                classification. Comments, etc. are most certainly welcome.
  36.  
  37.  
  38. ===============================================================================
  39.  
  40.  
  41. Virus: Jerusalem-DC
  42. -----  ------------
  43.  
  44.        (Note - Yep, I stuck the DC strain-tag on this one..it does not possess
  45.        the same characteristics of any other of the documented strains,
  46.        although McAfee's ViruScan ID's it as J-B...  -Paul)
  47.  
  48. Observations:
  49. -------------
  50.  
  51. When an infected file is initially executed, the virus loads TSR. This can be
  52. observed with a memory mapping utility (see above). This also reveals that
  53. the infected file <name> has been loaded next TSR. It should also be
  54. annotated at this point that the program that was used to view memory at
  55. this point has, too, become infected. File size increases are as follows:
  56.  
  57.    .COM files - 1813 bytes and will only be infected once. COMMAND.COM will
  58.                 not become infected.
  59.  
  60.    .EXE files - 1820 bytes initially; 1808 bytes upon each subsequent
  61.                 infetion. (This seems almost inversely proportional to the
  62.                 description of Spanish JB, or Jerusalem E2.)
  63.  
  64. The "Black Box" effect is still apparent approx. 1/2 hour after the virus
  65. is loaded TSR, as it is in the original J-B virus. The usual text string
  66. "uSMsDOS" is not present in this strain.
  67.  
  68.  
  69.  
  70.         Please direct any (more detailed) questions via message to:
  71.  
  72.                 The National Computer Security Association
  73.  
  74.                                 NCSA BBS,
  75.                              Washington, DC.
  76.                              (202) 364-1304
  77.                           300/1200/2400 at 8,N,1
  78.  
  79.                  (Preferrably within the VIRUS Conference.)
  80.  
  81.  
  82.  
  83.