home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / virus / mys00484.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  19.0 KB  |  369 lines

  1.  
  2. Please find enclosed a list of known viruses in the UK prepared by
  3. Joe Hirst of the BCVRC, he is happy that it be distributed as widely
  4. as possible. 
  5.  
  6. Of great interest is the new Fu Manchu variant of the Israeli virus,
  7. a virus with a slightly embarassing manipulation task!
  8.  
  9. Ps. Joe doesn't have a mail box to date but I will relay any requests,
  10. comments or information you pass on.
  11.  
  12. D.Ferbrache
  13. European co-ordinator
  14. Comp.Virus
  15.  
  16.  IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM;
  17.  :  Joe Hirst                     British Computer Virus Research Centre    :
  18.  :  12 Guildford Street,   Brighton,   East Sussex,   BN1 3LS,   England    :
  19.  :  Telephone:     Domestic   0273-26105,   International  +44-273-26105    :
  20.  :                                                                          :
  21.  :                         List of known PC viruses                         :
  22.  :                                                                          :
  23.  :  This list is intended to give enough information to identify a virus    :
  24.  :  or a variant form of a virus.  It is not intended by itself to supply   :
  25.  :  enough information for a programmer to deal with a virus.  If any virus :
  26.  :  is found which does not exactly match any of the following descriptions :
  27.  :  the Centre requests that a copy of the virus be sent to us, or to a     :
  28.  :  local researcher known to be in contact with us.                        :
  29.  HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<
  30.  
  31.                 1.                     405
  32.                          Parasitic virus - overwriting
  33.  
  34. Type description:
  35.         Virus occurs overwriting the first 405 bytes of a COM file.  The virus
  36.         will attempt to infect one COM file on a different disk to the current
  37.         one.  If the length of the file to be infected is less than 405 bytes,
  38.         the length will be increased to 405.  Due to mistakes in the code it is
  39.         not able to infect other than in the current directory, nor is it able
  40.         to recognise an infected file.
  41.  
  42.                                   -----------
  43.  
  44.                 2.                   Brain
  45.                            Boot virus - floppy only
  46.  
  47. Type description:
  48.         This virus consists of a boot sector and three clusters (6 sectors)
  49.         marked as bad in the FAT.  The first of these sectors contains the
  50.         original boot sector, and the rest contain the rest of the virus.  It
  51.         only infects 360K floppies, and it occupies 7K of memory.  It creates a
  52.         label on an infected disk of ' (c) Brain '.  There are a number of
  53.         unused character strings which can be used to identify it:
  54.  
  55.         Offset 0010H:
  56.                 '      Welcome to the Dungeon                    '
  57.                 '                 (c) 1986 Basit & Amjad (pvt) Lt'
  58.                 'd.               BRAIN COMPUTER SERVICES..730 NI'
  59.                 'ZAM BLOCK ALLAMA IQBAL TOWN                LAHOR'
  60.                 'E-PAKISTAN..PHONE :430791,443248,280530.        '
  61.                 '  Beware of this VIRUS.....Contact us for vaccin'
  62.                 'ation............... $#@%$@!! '
  63.         Offset 0202H
  64.                 '(c) 1986 Basit & Amjads (pvt) Ltd '
  65.         Offset 0355H
  66.                 ' (c) 1986 Basit & Amjads (pvt) Ltd'
  67.         Offset 04A6H
  68.                 ' (c) Brain $'
  69.  
  70. Variations:
  71.         All the variations we have so far seen have only involved changes to
  72.         these character strings.
  73.  
  74.    (1)  Offset 0010H:
  75.                 'Welcome to the  Dungeon         (c) 1986 D.C.L', 17H, '&'
  76.                 ' Amjads (pvt) Ltd   VIRUS_SHOE  RECORD   v9.0   '
  77.                 'Dedicated to the dynamic memories of millions of'
  78.                 ' virus who are no longer with us today - Thanks '
  79.                 'GOODNESS!!       BEWARE OF THE er..VIRUS  : \thi'
  80.                 's program is catching      program follows after'
  81.                 ' these messeges..... $#@%$@!! '
  82.         Offset 0202H
  83.                 '(c) 1986 Brain & Amjads (pvt) Ltd '
  84.         Offset 0355H
  85.                 ' (c) 1986 Brain & Amjads (pvt) Ltd'
  86.         Offset 04A6H
  87.                 ' (c) ashar $'
  88.    (2)  As variation 1 except 'D.C.L' is changed to 'Brain' in string at offset
  89.         0010H
  90.    (3)  As variation 2 except 'Brain' is changed to 'Jork ' in string at offset
  91.         0202H
  92.  
  93.                                   -----------
  94.  
  95.                 3.         Cascade - AKA 1701, 1704
  96.                           Parasitic virus - resident
  97.  
  98. Type description:
  99.         The virus occurs attached to the end of a COM file.  COM files increase
  100.         in length by 1701 bytes.  The first three bytes of the program are
  101.         stored in the virus, and replaced by a branch to the beginning of the
  102.         virus.  The virus is encrypted (apart from the first 35 bytes) using an
  103.         algorithm that includes the length of the host program, so every sample
  104.         looks different.  It becomes memory-resident when the first infected
  105.         program is run, and it will then infect every COM file run (even if the
  106.         file has an EXE extension).  If the system date is between October and
  107.         December 1988 the cascade display will be activated at random
  108.         intervals.  The virus tests the BIOS for the string 'COPR. IBM', and
  109.         will not infect if it finds this - however there are errors in the code
  110.         which prevent it from working.  Because recognition depends on the
  111.         length of the virus, it will infect programs already infected by
  112.         variants with different lengths.
  113.  
  114. Variations:
  115.    (1)  COM files increase in length by 1704 bytes.  The only differences are
  116.         the removal of a conditional jump (which would never have been taken),
  117.         and some necessary segment overrides on the BIOS tests missing in the
  118.         previous version.  There is still a mistake preventing an IBM machine
  119.         from being recognised.
  120.  
  121.                                   -----------
  122.  
  123.                 4.             Datacrime - AKA 1168
  124.                         Parasitic virus - non-resident
  125.  
  126. Type description:
  127.         The virus occurs attached to the end of a COM file.  COM files increase
  128.         in length by 1168 bytes.  The first three bytes of the program are
  129.         stored in the virus, and replaced by a branch to the beginning of the
  130.         virus.  The virus will search through full directory structure of the
  131.         disks (in the order C, D, A, B) for a COM file other than COMMAND.COM. 
  132.         It will also ignore any COM file if the 7th letter of the name is a D. 
  133.         If the date is after 12 October (any year) it will display the message:
  134.                         'DATACRIME VIRUS'
  135.                         'RELEASED: 1 MARCH 1989'
  136.         and do a low level format on track zero, all heads, of the hard disk.
  137.         Due to mistakes in the code the system is almost certain to crash the
  138.         first time the critical error handler is invoked after the virus
  139.         terminates.
  140.  
  141.                                   -----------
  142.  
  143.                 5.      Dbase [report only - no sample]
  144.                           Parasitic virus - resident
  145.  
  146. Type description:
  147.         Infects COM and EXE files.  Transposes random bytes of any open .DBF
  148.         file, keeping a record of which bytes in a hidden file (BUG.DAT) in the
  149.         same directory.  The virus restores these bytes if the file is read. 
  150.         If the BUG.DAT file is 90 days old or more the FAT and root directory
  151.         are overwritten.
  152.  
  153.                                   -----------
  154.  
  155.                 6.  Den Zuk - AKA Search [report only - no sample]
  156.                            Boot virus - floppy only
  157.  
  158. Type description:
  159.         Graphics display of 'DEN ZUK', together with the AT&T logo, slides in
  160.         from the sides of the screen on bootup.  After five such bootups the
  161.         disk is trashed - no details of how.
  162.  
  163.                                   -----------
  164.  
  165.                 7.                  Fu Manchu
  166.                           Parasitic virus - resident
  167.  
  168. Type description:
  169.         The virus occurs attached to the beginning of a COM file, or the end of
  170.         an EXE file.  It is a rewritten version of the Jerusalem virus, and
  171.         most of what is said for that virus applies here with the following
  172.         changes:
  173.  
  174.            a.    The code to delete programs, slow down the machine, and display
  175.                 the black 'window' has been removed, as has the dead area at 
  176.                 the end of the virus and some sections of unused code.
  177.            b.   The marker is now 'rEMHOr' (six bytes), and the preceeding 'sU'
  178.                 is now 'sAX' (Sax Rohmer - creator of Fu Manchu).
  179.            c.   COM files now increase in length by 2086 bytes & EXE files 2080
  180.                 bytes.  EXE files are now only infected once.
  181.            d.   One in sixteen times on infection a timer is installed which
  182.                 runs for a random number of half-hours (maximum 7.5 hours).  At
  183.                 the end of this time the message 'The world will hear from me
  184.                 again!' is displayed in the centre of the screen and the
  185.                 machine reboots.  This message is also displayed every time
  186.                 Ctrl-Alt-Del is pressed on an infected machine, but the virus
  187.                 does not survive the reboot.
  188.            e.   There is further code which activates on or after the first of
  189.                 August 1989.  This monitors the keyboard buffer, and makes
  190.                 derogatory additions to the names of politicians (Thatcher,
  191.                 Reagan, Botha & Waldheim), censors out two four-letter words,
  192.                 and to 'Fu Manchu ' adds 'virus 3/10/88 - latest in the new fun
  193.                 line!'  All these additions go into the keyboard buffer, so
  194.                 their effect is not restricted to the VDU.  All messages are
  195.                 encryted.
  196.  
  197.                                   -----------
  198.  
  199.                 8.           Italian - AKA Pingpong
  200.                          Boot virus - DOS boot sector
  201.  
  202. Type description:
  203.         This virus consists of a boot sector and 1 cluster (2 sectors used)
  204.         marked as bad in the first copy of the FAT.  The first of these sectors
  205.         contains the rest of the virus, and the second contains the original
  206.         boot sector.  It infects all disks which have at least two sectors per
  207.         cluster, and it occupies 2K of memory.  It displays a single character
  208.         'bouncing ball' which interacts with some characters on the screen.  It
  209.         will not run on an 80286 or an 80386 machine.
  210.  
  211.                                   -----------
  212.  
  213.                 9.    Jerusalem - AKA 1813, Friday the 13th, PLO, Israeli
  214.                           Parasitic virus - resident
  215.  
  216. Type description:
  217.         The virus occurs attached to the beginning of a COM file, or the end of
  218.         an EXE file.  A COM file also has the five-byte 'marker' attached to
  219.         the end.  This marker is usually (but not always) 'MsDos', and is
  220.         preceeded in the virus by 'sU'.  COM files increase in length by 1813
  221.         bytes.  EXE files usually increase by 1808 bytes, but the displacement
  222.         at which to write the virus is taken from the length in the EXE header
  223.         and not the actual length.  This means that part or all of this 1808
  224.         bytes may be overwritten on the end of the host program.  It becomes
  225.         memory-resident when the first infected program is run, and it will
  226.         then infect every program run except COMMAND.COM.  COM files are
  227.         infected once only, EXE files are re-infected each time they are run.
  228.         After the system has been infected for thirty minutes an area of the
  229.         screen from row 5 column 5 to row 16 column 16 is scrolled up two lines
  230.         creating a black two line 'window'.  From this point a time-wasting
  231.         loop is executed with each timer interrupt.  If the system was infected
  232.         with a system date of Friday the thirteenth, every program run will be
  233.         deleted instead.  This will continue irrespective of the system date
  234.         until the machine is rebooted.  The end of the virus, from offset
  235.         0600H, is rubbish and will vary from sample to sample.
  236.  
  237. Variations:
  238.    (1)  [report only - no sample]
  239.         This is almost certainly an earlier variant.  The string 'sUMsDos' in
  240.         the type version is 'sURIV 3.00' in this version, the 30 minute delay
  241.         is here 30 seconds, and there is a bug in the program delete.
  242.  
  243.    (2)  [report only - no sample]
  244.         This is probably the first version.  Only COM files are infected, and
  245.         the target date is 1st April.  When target date is reached, the trojan
  246.         element is triggered the first time an uninfected file is infected by
  247.         the memory-resident virus.  This produces the message 'APRIL 1ST HA HA
  248.         HA YOU HAVE A VIRUS', and the machine locks.  Identifying string is
  249.         'sURIV 1.01'.
  250.  
  251.    (3)  [report only - no sample]
  252.         As variation 2, but only infects EXE files.  Trojan is triggered first
  253.         time an infected file is run on 1st April.  Additionally, machine locks
  254.         one hour after infection if default date of 1-1-80 is used.  Virus
  255.         infects file only once.  Identifying string is 'sURIV 2.01'.
  256.  
  257.                                   -----------
  258.  
  259.                 10.     Lehigh [report only - no sample]
  260.                          Parasitic virus - overwriting
  261.  
  262. Type description:
  263.         Infects only COMMAND.COM, where it overwrites the stack space.  If a
  264.         disk which contains an uninfected copy of COMMAND.COM is accessed, that
  265.         copy is also infected.  A count of infections is kept within each copy
  266.         of the virus, and when this count reaches 4 every disk (including hard
  267.         disks) currently in the computer is trashed by overwriting the initial
  268.         tracks (boot sector & FAT).  Infection changes the date and time of the
  269.         infected file.  If a floppy with an uninfected COMMAND.COM is write-
  270.         protected, there will be a 'WRITE PROTECT ERROR' message from DOS.
  271.  
  272.                                   -----------
  273.  
  274.                 11.   New Zealand - AKA Stoned, Marijuana
  275.                         Boot virus - master boot sector
  276.  
  277. Type description:
  278.         This virus consists of a boot sector only.  It infects all disks, and
  279.         it occupies 1K of memory.  The original boot sector is held in track
  280.         zero, head one, sector three on a floppy disk, and track zero head
  281.         zero, sector two on a hard disk.  The boot sector contains two
  282.         character strings: 'Your PC is now Stoned!' & 'LEGALISE MARIJUANA!'. 
  283.         The first of these is only displayed one in eight times when booting
  284.         from an infected floppy, the second is unreferenced.
  285.  
  286. Variations:
  287.    (1)  Much of the code has been reorganised.  The only significant change is
  288.         that the original boot sector is stored at track zero, head zero,
  289.         sector seven on a hard disk.  The second string is not transfered when
  290.         infecting a hard disk.
  291.  
  292.                                   -----------
  293.  
  294.                 12.   Oropax - AKA Music virus [report only - no sample]
  295.                           Parasitic virus - resident
  296.  
  297. Type description:
  298.     Infects COM files, length increases by 2756-2806 bytes, so that total
  299.         length is divisible by 51.  Becomes active (randomly) five minutes
  300.         after infection, playing three different tunes with a seven minute
  301.         interval.
  302.  
  303.                                   -----------
  304.  
  305.                 13.                 Pentagon
  306.                            Boot virus - floppy only
  307.  
  308. Type description:
  309.         Virus is possibly an honorary term, at least for this sample, as all
  310.         attempts to run it have so far failed.  The following describes what
  311.         would happen if it did work (as future samples might).
  312.         This virus consists of a boot sector and two files.  The boot sector is
  313.         a normal PCDOS 3.20 boot sector with three changes:
  314.            1.   The OEM name 'IBM' has been changed to 'HAL'.
  315.            2.   The first part of the virus code overwrites 036H to 0C5H.
  316.            3.   100H-122H has been overwritten by a character string.
  317.         The name of the first file is the hex character 0F9H.  This file
  318.         contains the rest of the virus code followed by the original boot
  319.         sector.  The name of the second file is PENTAGON.TXT.  This file does
  320.         not appear to be used in any way or contain any meaningful data.  Both
  321.         files are created without the aid of DOS, and the first file is
  322.         accessed by its stored absolute location.  Four different sections of
  323.         the virus are separately encrypted:
  324.            1.   004AH - 004BH, key 0ABCDH - load decryption key
  325.            2.   0059H - 00C4H, key 0FCH - rest of virus code in boot sector.
  326.            3.   0791H - 07DFH, key 0AAH - the file name and copyright message.
  327.            4.   0800H - 09FFH, key 0FCH - the original boot sector.
  328.         The virus will survive a warm boot (Ctrl-Alt-Del).  It only infects
  329.         360K floppies, and it will look for and remove Brain from any disk that
  330.         it infects.  It occupies 5K in memory.
  331.  
  332.                                   -----------
  333.  
  334.                 14.    Vienna - AKA 648, Austrian, Unesco
  335.                         Parasitic virus - non-resident
  336.  
  337. Type description:
  338.         The virus occurs attached to the end of a COM file.  COM files increase
  339.         in length by 648 bytes.  The first three bytes of the program are
  340.         stored in the virus, and replaced by a branch to the beginning of the
  341.         virus.  The virus looks for, and infects, one COM file - either in the
  342.         current directory or in one of the directories on the PATH.  One in
  343.         eight files 'infected' does not get a copy of the virus.  Instead the
  344.         first five bytes of the program are replaced by a far jump to the BIOS
  345.         initialization routine.
  346.  
  347. Variations:
  348.    (1)  This is the version published in Ralf Burger's book 'Computer Viruses:
  349.         A High-Tech Disease'.  An error has been introduced which disables the
  350.         virus's ability to search through the PATH, and the far jump has been
  351.         replaced by five spaces.
  352.  
  353.                                   -----------
  354.  
  355.                 15.      Yale - AKA Alameda, Merritt
  356.                            Boot virus - floppy only
  357.  
  358. Type description:
  359.         This virus consists of a boot sector only.  It infects floppies in the
  360.         A-drive only and it occupies 1K of memory.  The original boot sector is
  361.         held in track thirty-nine, head zero, sector eight.  It hooks into INT
  362.         9, and only infects when Ctrl-Alt-Del is pressed.  It will not run on
  363.         an 80286 or an 80386 machine, although it will infect on such a
  364.         machine.  It has been assembled using A86.  It contains code to format
  365.         track thirty-nine, head zero, but this has been disabled.
  366.  
  367.                                   -----------
  368.  
  369.