home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / virus / mys00486.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  4.1 KB  |  91 lines
  1. This is an update to my previous report dated September 6, 1989
  2. on the DATACRIME Virus.  Since my previous report, this virus has
  3. become very visible in the public eye.  Many articles have been
  4. written, and many misunderstandings may have occurred.  Hopefully
  5. this report can clear up any misconceptions regarding this virus.
  6.  
  7. The virus WILL format cylinder 0 of a hard disk on or after
  8. October 13, NOT October 12, as many articles have reported. The
  9. Norton Utilities supposedly can spot the existance of this virus
  10. on a hard disk; instructions follow this  report.  The program
  11. "Viruscan" also supposedly can find this virus as well. I have
  12. run the Norton Utilities on my hard disk, and it does not seem to
  13. be infected.  I do not have a copy of the virus to test whether
  14. the Norton  Utilities solution or Viruscan actually do work.  I
  15. am currently in the  process of acquiring a copy of Viruscan.
  16.  
  17. The virus seems not to be very widespread...less than 50
  18. occurrances of the virus have been noted in Europe and only 7
  19. have been reported in the  United States. (This information is
  20. current as of September 11, 1989).  No mention has been made of
  21. the DATACRIME II virus within the past week in the VIRUS-L
  22. distribution list.  If you remember, this one is the virus which
  23. supposedly affects both .COM and .EXE files.  All the information
  24. in this follow-up report is centering on the Datacrime Version 1
  25. (1168) and the Datacrime Version 2 (1280) viruses.
  26.  
  27. The Department of Energy's Lawrence Livermore Labortories'
  28. Computer Incident Advisory Capability (CIAC) concurs with the
  29. fact that VIRUSCAN may be a possible method of detecting this
  30. virus on a PC.  CIAC also mentions that if track zero (the boot
  31. sector) of the hard disk is destroyed by the virus, it can be
  32. restored using Norton Utilities Version 4.5 Disk Doctor program
  33. IF the Disk Doctor program was previously run on the infected
  34. machine.
  35.  
  36. We in Reston are preparing to evaluate "Port of Entry" as a
  37. potential anti-virus capability.  This program is advertised as
  38. being able to detect the existence of Datacrime and other viruses
  39. within a computer system.  If found appropriate, this product
  40. will be sent out as soon as possible to the TMIS site offices.
  41.  
  42.      Karen Pichnarczyk
  43.  
  44.      Directions for checking for the existence of the Datacrime 1168 and
  45.      Datacrime 1280 viruses using Norton Utilities:
  46.  
  47.      1.  Type NU to run the Norton Utilities program from the DOS prompt.
  48.  
  49.      2.  Type E to Explore Disk from the Main Menu.
  50.  
  51.      3.  Type S to Search item/disk for data from the Explore Disk menu.
  52.  
  53.      4.  Type W for Where to search from the Search item/disk for data Menu.
  54.  
  55.      5.  Type A for All of DOS disk from the Where to Search Menu.
  56.  
  57.      6.  Type T for Text to search for from the Search item/disk for data menu.
  58.  
  59.      7.  Hit the TAB eky to put you in the window to search data, in hexadecimal
  60.      format.
  61.  
  62.      8A.  To search for the 1168 virus, type:  (no spaces)
  63.       EB 00 B4 0E CD 21 B4
  64.       then hit the RETURN key
  65.  
  66.      8B.  To search for the 1280 virus, type:  (no spaces)
  67.       00 56 8D B4 30 05 CD 21
  68.       then hit the RETURN key.
  69.  
  70.      (you can only do 8A or 8B by itself, to check for one virus at a time)
  71.  
  72.      9.  Type S to start search from the Search item/disk for data Menu.
  73.      I searched a 20MG hard drive in about 15 minutes.
  74.  
  75.      10. When the search is over, the computer will either place you directly at the
  76.      "Search item/disk for Data" menu or prompt for a keystroke to return to
  77.      this menu.
  78.  
  79.      11.  If the highlighted text is "(display found text)" you have the
  80.       specified virus on your hard disk.  CONTACT SECURITY PERSONNEL
  81.       IMMEDIATELY.  Do NOT touch another key on this machine.
  82.       If the highlighted text is "Leave search" then you do not have the
  83.       specified virus on your hard disk.  You may either continue from step
  84.       6 or type an "L" to Leave the Search.
  85.  
  86.      12.  To back out of the Norton Utilities, type an R to the "Explore Disk Menu"
  87.  
  88.      13.  To finish backing out of the Utilities, type a Q to Quit the Norton
  89.       Utilities from the Main Menu.
  90.  
  91.