home *** CD-ROM | disk | FTP | other *** search
/ PC World Komputer 1998 September / PC_World-1998_09-CD2.iso / Win95adv / W95ADV.2 / COMMON.VIR < prev    next >
Encoding:
Text File  |  1995-07-21  |  66.1 KB  |  2,152 lines

  1.  
  2. [DEFINE]
  3. Virus Name: Define-1
  4.  
  5. Virus Type: File Infector Virus (infects .EXE &
  6.             .COM files)
  7.  
  8. Virus Length: No change
  9.  
  10. PC Vectors Hooked: None
  11.  
  12. Executing Procedure:
  13.           1) Searches for an .EXE or .COM file
  14.              in the current directory.
  15.           2) Once it locates a file it checks
  16.              whether it has been infected by
  17.              Define-1. If "Yes", it continues
  18.              to look for another uninfected
  19.              .COM or .EXE file.
  20.           3) It infects only one file at a time.
  21.  
  22. Damage: Overwrites original file, so the length
  23.         of infected file won't increase.
  24.  
  25. Note:  1) Doesn't stay resident in memory.
  26.        2) Define-1 doesn't hook INT 24h when
  27.           infecting files. Error message occurs
  28.           if there is an I/O error (such as write
  29.           protect).
  30.  
  31. [DISMEMBER]
  32. Virus Name: Dismember
  33.  
  34. Virus Type: File Infector Virus (infects .COM
  35.             files)
  36.  
  37. Virus Length: 288 Bytes(COM)
  38.  
  39. PC Vectors Hooked: None
  40.  
  41. Executing Procedure:
  42.           1) Searches  for a .COM file in the
  43.              current directory.
  44.           2) Once it locates a .COM file it checks
  45.              whether it has been infected by
  46.              Dismember. If "Yes", it continues to
  47.              search for an uninfected .COM file.
  48.           3) It then infects all .COM files in the
  49.              directory.
  50.           4) Finally, it executes the originally
  51.              called file.
  52.  
  53. Damage:  None
  54.  
  55. Detecting Method: Infected files will increase by
  56.                   288 Bytes.
  57.  
  58.  
  59. Note:  1) Doesn't stay resident in memory.
  60.        2) Dismember doesn't hook INT 24h when
  61.           infecting files. Error message occurs
  62.           if there is an I/O error (such as write
  63.           protect).
  64.  
  65. [TIMID]
  66. Virus Name: Timid
  67.  
  68. Virus Type: File Infector Virus (infects .COM
  69.             files)
  70.  
  71. Virus Length: 306 Bytes(COM)
  72.  
  73.  
  74. PC Vectors Hooked: None
  75.  
  76. Executing Procedure:
  77.           1) Searches for a .COM file in the
  78.              current directory.
  79.           2) Once it locates a file it checks
  80.              whether it has been infected by
  81.              Timid. If "Yes", it continues to
  82.              search for a uninfected .COM file.
  83.           3) It then infects one file at a time
  84.              and displays the infected file name
  85.              on the screen.
  86.           4) Once the file is executed the system
  87.              will halt.
  88.  
  89. Damage:  Damages original file.
  90.  
  91. Detecting Method: 1) Infected files will increase
  92.                      by 306 Bytes.
  93.                   2) Other file names are shown
  94.                      on the screen.
  95.  
  96. Note:  1) Doesn't stay resident in memory.
  97.        2) Timid doesn't hook INT 24h when
  98.           infecting files. Error message occurs if
  99.           there is an I/O error of (such as write
  100.           protect).
  101.  
  102. [ITTI-A]
  103.  
  104. Virus Name: Itti-A
  105.  
  106. Virus Type: File Infector Virus (infects .COM
  107.             files)
  108.  
  109. Virus Length: No change
  110.  
  111.  
  112. PC Vectors Hooked: None
  113.  
  114. Executing Procedure:
  115.           1) Searches for a .COM file in the
  116.              current directory.
  117.           2) Once it locates a .COM file it checks
  118.              whether it has been infected by ITTI
  119.              -A. If "Yes", it continues to look
  120.              for any  uninfected .COM file.
  121.           3) It infect only one file at a time.
  122.              Then when the file is executed the
  123.              message  "EXEC FAILURE" will show on
  124.              the screen.
  125.           4) It will finally damage all data on
  126.              current disk if no .COM file is
  127.              infected.
  128.  
  129. Damage:  1) Overwrites original file, so the
  130.             length of infected file won't
  131.             increase.
  132.          2) Damages all data on current disk if
  133.             no .COM file is infected.
  134.  
  135. Note:  1) Doesn't stay resident in memory.
  136.        2) ITTI-A doesn't hook INT 24h when
  137.           infecting files. Error message occurs if
  138.           there is an I/O error (such as writing
  139.           protect).
  140.  
  141. [BURGER_560]
  142. Virus Name: Burger
  143.  
  144. Virus Type: File Infector Virus (infects .COM
  145.             files)
  146.  
  147. Virus Length: No change
  148.  
  149.  
  150. PC Vectors Hooked: None
  151.  
  152. Executing Procedure:
  153.           1) Search for a COM file in current
  154.              directory.
  155.           2) Check whether it has been infected by
  156.              Burger. If "Yes", continue to look
  157.              for a uninfected com file.
  158.           3) Infect only an uninfected file at one
  159.              time.
  160.           4) Damage all data of current disk if no
  161.              com file is infected.
  162.  
  163. Damage:  1) Overwrite original file, so the length
  164.             of infected file won't increase.
  165.          2) Damage all data of current disk if no
  166.             com file is infected.
  167.  
  168. Note:  1) Don't stay resident in memory.
  169.        2) Burger don't hook INT 24h when infecting
  170.           files. Error message occurs if there is
  171.           an error of I/O(such as writing protect).
  172.  
  173. [WHY]
  174. Virus Name: Why
  175.  
  176. Virus Type: File Infector Virus (infects .COM
  177.             files)
  178.  
  179. Virus Length: 457 Bytes(COM)
  180.  
  181.  
  182. PC Vectors Hooked: None
  183.  
  184. Executing Procedure:
  185.           1) Searches for a .COM file in the
  186.              current directory.
  187.           2) Once it locates a file it checks
  188.              whether it has been infected by Why.
  189.              If "Yes", it continues to look for
  190.              any  uninfected .COM file.
  191.           3) It will infect only one file at a
  192.              time.
  193.           4) It then checks the system date. If
  194.              the date is the 12th of May or the
  195.              25th of February, the virus will
  196.              damage all files on the hard disk.
  197.  
  198. Damage: If system date is May 12th or February
  199.         25th,the virus will damage all files on
  200.         the hard disk.
  201.  
  202. Detecting Method: 1)Infected files will increase
  203.                   by 457 Bytes.
  204.  
  205.  
  206. Note:  1) Doesn't stay resident in memory.
  207.        2) "Why" doesn't hook INT 24h when
  208.           infecting files. Error message occurs
  209.           if there is an I/O error (such as write
  210.           protect).
  211.  
  212. [BROTHERS-2]
  213. Virus Name: Brothers-2
  214.  
  215. Virus Type: File Infector Virus (infects .COM
  216.             files)
  217.  
  218. Virus Length: 693 Bytes(COM)
  219.  
  220.  
  221. PC Vectors Hooked: None
  222.  
  223. Executing Procedure:
  224.           1) Checks whether the system date is
  225.              between the 11th and 25th, November
  226.              or December, if "Yes", show the
  227.              message: "Brotherhood... I am seeking
  228.              my brothers "DEICIDE" and "MORGOTH",
  229.              then execute original file.
  230.           2) If "NO', then  it searches for a .COM
  231.              file in the current directory.
  232.           3) Once it locates a file it checks
  233.              whether it has been infected by
  234.              Brothers-2. If "Yes", it continues to
  235.              look for any uninfected .COM file.
  236.           4) It will check whether the second word
  237.              of the .COM file is "0xADDE", if
  238.              "yes", it will show such message:
  239.              'Found my brother "MORGOTH"!!!. then
  240.              execute original file.
  241.           5) It will also check whether the second
  242.              word of the .COM file is "0x0D90",if
  243.              "yes", it will show such message:
  244.              'Found my brother "DEIGOTH"!!!. then
  245.              execute original file.  5)  If "NO",
  246.              then it will infect .COM files one at
  247.              a time.
  248.           6) It will execute original file.
  249.  
  250.  Damage:  None
  251.  
  252. Detecting Method: 1) Infected files will increase
  253.                      by 693 Bytes.
  254.  
  255.  
  256. Note:  1) Doesn't stay resident in memory.
  257.        2) Brothers-2 doesn't hook INT 24h when
  258.           infecting files. Error message occurs
  259.           if there is an I/O error (such as write
  260.           protect).
  261.  
  262.  
  263. [DEST2]
  264. Virus Name: DEST2
  265.  
  266. Virus Type: File Infector Virus (infects .COM
  267.             files only)
  268.  
  269. Virus Length: 478 Bytes
  270.  
  271.  
  272. PC Vectors Hooked: INT 24h
  273.  
  274. Executing Procedure:
  275.           1) Searches for a COM file in the
  276.              current directory.
  277.           2) It checks whether it has been
  278.              infected by Dest2. If "Yes", it
  279.              continues to look for an uninfected
  280.              .COM file.
  281.           3) It then infects the .COM file.
  282.           4)It finally executes the original file.
  283.  
  284. Damage:  If kill-flag=-1, then deletes a file.
  285.  
  286. Detecting Method: Infected files will increase
  287.                   by 478 Bytes.
  288.  
  289.  
  290. Note:  1) Doesn't stay resident in memory.
  291.        2) Dest2 hook INT 24h when infecting files.
  292.           Omits an I/O error (such as write
  293.           protect).
  294.  
  295. [AIRCOP]
  296. Virus Name: AIR-COP
  297.  
  298. Virus Type:  Boot Infector
  299.  
  300. Virus Length:  None
  301.  
  302.  
  303. PC Vectors Hooked:  None
  304.  
  305. Executing Procedure:
  306.           When you execute the program, it will
  307.           write the virus to boot sector of "A:"
  308.  
  309. Damage:  Overwrites boot sector of "A:".
  310.  
  311. Detecting Method:  None.
  312.  
  313.  
  314. [BURGER_560]
  315. Virus Name: BURGER_560-8
  316.  
  317. Virus Type: File Infector Virus (infects .COM
  318.             files)
  319.  
  320. Virus Length: No change
  321.  
  322.  
  323. PC Vectors Hooked: None
  324.  
  325. Executing Procedure:
  326.           1) Searches for a .COM file in "A:".
  327.           2) It checks whether it has been
  328.              infected by Burger_560-8. If "Yes",
  329.              it continues to look for an
  330.              uninfected .COM file.
  331.           3) It then infects an uninfected file
  332.              one at a time.
  333.           4) If no .COM file is infected, it will
  334.              continue to look for an .EXE file in
  335.              "A:".
  336.           5) It finally rename the .EXE file to
  337.              .COM , then it infects the .COM file.
  338.  
  339. Damage:  Overwrites the original file, so the
  340.          length of infected file won't increase.
  341.  
  342. Detecting Method:  1) Changes .EXE file into a
  343.                      .COM file
  344.  
  345. Note:  1) Doesn't stay resident in memory.
  346.        2) Burger_560-8 don't hooks INT 24h when
  347.           infecting files. Error message occurs
  348.           if there is an I/O error (such as write
  349.           protect).
  350.  
  351.  
  352. [BOYS]
  353. Virus Name: BOYS
  354.  
  355. Virus Type: File Infector Virus (infects .COM
  356.             files)
  357.  
  358. Virus Length: 500 Bytes(COM)
  359.  
  360.  
  361. PC Vectors Hooked: None
  362.  
  363. Executing Procedure:
  364.           1) It searches for an .EXE file, it
  365.              then changes the attributes into
  366.              "SYSTEM".
  367.           2) It searches for a .COM file in the
  368.              current directory.
  369.           3) It then checks whether it has been
  370.              infected by Boys. If "Yes", it
  371.              continues to look for an uninfected
  372.              .COM file.
  373.           4) It infects only an uninfected file
  374.              at one time, and changes the
  375.              attribute into "READ-ONLY".
  376.           5) Finally it executes the original
  377.              file.
  378.  
  379. Damage:  None.
  380.  
  381. Detecting Method: Infected files will increase by
  382.                   500 Bytes.
  383.  
  384.  
  385. Note:  1) Doesn't stay resident in memory.
  386.        2) Boys doesn't hook INT 24h when infecting
  387.           files. An error message occurs if there
  388.           is an I/O error (such as write protect).
  389.  
  390. [NULL]
  391. Virus Name: NULL
  392.  
  393. Virus Type: File Infector Virus (infects .COM
  394.             files)
  395.  
  396. Virus Length: 733 Bytes(COM)
  397.  
  398.  
  399. PC Vectors Hooked: None
  400.  
  401. Executing Procedure:
  402.           1) It first decodes.
  403.           2) Then it searches for a .COM file in
  404.              the current directory.
  405.           3) It checks whether it has been
  406.              infected by Null. If "Yes", it
  407.              continues to look for an uninfected
  408.              .COM file.
  409.           4) It infects only one file at a time.
  410.           5) It then executes the original file.
  411.           6) If it can not infect a .COM file,
  412.              then it checks whether the DAY =30.
  413.              If "yes", it destroys all the data on
  414.              the disk, then shows the message:
  415.              "Your disk is dead!  long life
  416.              doomsday 1.0 "
  417.  
  418. Damage:  IF DAY = 30 , then destroy all data on
  419.          current disk.
  420.  
  421. Detecting Method: Infected files will increase by
  422.                   733 Bytes.
  423.  
  424.  
  425. Note:  1) Doesn't stay resident in memory.
  426.        2) Null doesn't hook INT 24h when infecting
  427.           files. An error message occurs if there
  428.           is an I/O error (such as write protect).
  429.  
  430.  
  431. [BIT_ADDICT]
  432. Virus Name: BIT-ADDICT
  433.  
  434. Virus Type: Memory Resident, File Infector Virus
  435.             (infects .COM files).
  436.  
  437. Virus Length:  477 Bytes (COM)
  438.  
  439. PC Vectors Hooked: INT 21h
  440.  
  441. Infecting Procedure:
  442.           1) The virus checks whether it is
  443.              already loaded  resident in memory.
  444.              If "No", it then loads itself into
  445.              resident memory by hooking INT 21h.
  446.           2) It then executes the original file.
  447.           3) With itself loaded into resident
  448.              memory it will infect any uninfected
  449.              file that is executed.
  450.           4) It doesn't infect .EXE files.
  451.  
  452. Damage:  When the virus infects 100 files, it will
  453.          destroy all data on the hard disk, then
  454.          show the message: "BIT ADDICTMZ> .... The
  455.          Bit Addict says: You have a good tasting
  456.          hard disk, it was delicious !!!"
  457.  
  458. Detecting Method: Infected files increase by 477
  459.                   Bytes.
  460.  
  461. Note: The Bit-Addict virus doesn't hook INT 24h
  462.       when infecting files.  An error message
  463.       occurs if there is an I/O error (such as
  464.       write protect).
  465.  
  466. [NOV17]
  467. Virus Name: NOV_17-1
  468.  
  469. Virus Type: Highest Memory Resident, File
  470.             Infector Virus (infects .COM &
  471.             .EXE files).
  472.  
  473. Virus Length:  768 Bytes (COM & EXE)
  474.  
  475. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  476.                    program)
  477.  
  478. Infecting Procedure:
  479.           1) The virus checks whether it is
  480.              already loaded  resident in memory.
  481.              If "No", it then loads itself into
  482.              resident memory by hooking INT 21h.
  483.           2) It then executes the original file.
  484.           3) With itself loaded into resident
  485.              memory it will infect any uninfected
  486.              file that is executed.
  487.  
  488. Damage:   None.
  489.  
  490. Detecting Method:  1) Infected files increase by
  491.                       768 Bytes.
  492.  
  493. Note: The NOV_17-1 virus doesn't hook INT 24h when
  494.       infecting files.  An error message occurs if
  495.       there isan I/O error (such as write protect).
  496.  
  497.  
  498. [SANDWICH]
  499. Virus Name: SANDWICH
  500.  
  501. Virus Type: Highest Memory Resident, File Infector
  502.             Virus (infects .COM files).
  503.  
  504. Virus Length:  1172 Bytes (COM)
  505.  
  506. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  507.                    program)
  508.  
  509. Infecting Procedure:
  510.           1) The virus checks whether it is
  511.              already loaded  resident in memory.
  512.              If "No", it then loads itself into
  513.              resident memory by hooking INT 21h.
  514.           2) It then executes the original file.
  515.           3) With itself loaded into resident
  516.              memory it will infect any uninfected
  517.              file that is executed.  b) It doesn't
  518.              infect .EXE files.
  519.  
  520. Damage:   None.
  521.  
  522. Detecting Method:  1)  Infected files increase by
  523.                    1172 Bytes.
  524.  
  525. Note: The Sandwich virus doesn't hook INT 24h when
  526.       infecting files.  An error message occurs if
  527.       there is an I/O error (such as write protect
  528.       ).
  529.  
  530. [GOTCHA]
  531. Virus Name: GOTCHA
  532.  
  533. Virus Type: Highest Memory Resident, File Infector
  534.             Virus (infects .COM & .EXE files).
  535.  
  536. Virus Length:  906 Bytes (COM & EXE)
  537.  
  538. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  539.                    program), INT 24h
  540.  
  541. Infecting Procedure:
  542.           1) The virus checks whether it is
  543.              already loaded  resident in memory.
  544.              If "No", it then loads itself into
  545.              resident memory (highest memory) by
  546.              hooking INT 21h.
  547.           2) It then executes the original file.
  548.           3) With itself loaded into resident
  549.              memory it will infect any uninfected
  550.              file that is executed.
  551.           4) It also infects when a file is
  552.              renamed, file attributes are set,
  553.              search for a matching  file or
  554.              deleting a file.
  555.  
  556. Damage:   None.
  557.  
  558. Detecting Method: Infected files increase by 906
  559.                   Bytes.
  560.  
  561. Note: The Gotcha virus hooks INT 24h when
  562.       infecting files. Omits I/O error (such as
  563.       write protect).
  564.  
  565. [PCBB]
  566. Virus Name: PCBB-B
  567.  
  568. Virus Type: Highest Memory Resident, File Infector
  569.             Virus (infects .COM & .EXE files).
  570.  
  571. Virus Length:  3072 Bytes (COM & EXE)
  572.  
  573. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  574.                    program), INT 24h
  575.  
  576. Infecting Procedure:
  577.           1) The virus checks whether it is
  578.              already loaded  resident in memory.
  579.              If "No", it then loads itself into
  580.              resident memory (highest memory) by
  581.              hooking INT 21h.
  582.           2) It then executes the original file.
  583.           3) With itself loaded into resident
  584.              memory it will infect any uninfected
  585.              file that is executed.
  586.  
  587. Damage:   None.
  588.  
  589. Detecting Method: Infected files increase by 3072
  590.                   Bytes.
  591.  
  592. Note: The PCBB virus hooks INT 24h when infecting
  593.       files. It omits I/O errors (such as write
  594.       protect).
  595.  
  596. [CANNA615]
  597. Virus Name: CANNA615
  598.  
  599. Virus Type: Highest Memory Resident, File Infector
  600.             Virus (infects .COM & .EXE files).
  601.  
  602. Virus Length:  1568 Bytes (COM & EXE)
  603.  
  604. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  605.                    program), INT 24h
  606.  
  607. Infecting Procedure:
  608.           1) The virus checks whether it is
  609.              already loaded  resident in memory.
  610.              If "No", it then loads itself into
  611.              resident memory by hooking INT 21h.
  612.           2) It then checks whether system date is
  613.              Friday, and the seconds of the system
  614.              time is zero, if "Yes", then a
  615.              message and a picture appear on the
  616.              screen: "LEGALIZE CANNA615" and a
  617.              picture of a hemp leaf.
  618.           3) It then executes the original file.
  619.           4) With itself loaded into resident
  620.              memory it will infect any uninfected
  621.              file that is executed.
  622.  
  623. Damage:   None.
  624.  
  625. Detecting Method: Infected files increase by 1568
  626.                   Bytes.
  627.  
  628. Note: The Canna615 virus hooks INT 24h when
  629.       infecting files. It omits I/O error (such as
  630.       write protect).
  631.  
  632. [BRAIN]
  633. Virus Name: BRAIN2
  634.  
  635. Virus Type: Memory Resident, File Infector Virus
  636.             (infects .COM & .EXE files).
  637.  
  638. Virus Length:  1935 Bytes (COM & EXE)
  639.  
  640. PC Vectors Hooked: INT 21h (AX=4B00h) (execute
  641.                    program), INT 24h, INT 1Ch
  642.  
  643. Infecting Procedure:
  644.           1) It checks whether the system date is
  645.              the 17th of November or the 6th of
  646.              February, if "Yes", it will show some
  647.              messages and play music.
  648.           2) The virus then checks whether it is
  649.              already loaded resident in memory. If
  650.              "No", it then loads itself into
  651.              resident memory by hooking INT 21h.
  652.           3) It then executes the original file.
  653.           4) It then checks whether the system
  654.              date is the 1st of  February, July,
  655.              September or December, If "yes", the
  656.              virus will show a flash square by
  657.              hooking INT 1Ch..
  658.           5) With itself loaded into resident
  659.              memory it will infect any uninfected
  660.              file that is executed.
  661.  
  662. Damage:   None.
  663.  
  664. Detecting Method: Infected files increase by 1935
  665.                   Bytes.
  666.  
  667. Note: The Brain2 virus hooks INT 24h when
  668.       infecting files. It omits I/O errors (such
  669.       as write protect).
  670.  
  671.  
  672. [FIRE]
  673. Virus Name: Fire
  674.  
  675. Virus Type: Trojan
  676.  
  677. Virus Length: 4304 Bytes
  678.  
  679.  
  680. PC Vectors Hooked: INT 24h
  681.  
  682.  
  683. Damage: Destroys all data on all disks if drives
  684.         are ready, then it makes a sound.
  685.  
  686. Detecting Method: Check whether there are files
  687.                   with 4304 Bytes.
  688.  
  689. Note: 1) Doesn't stay resident in memory.
  690.       2) Doesn't infect any files or partition or
  691.          boot sector.
  692.       3) The Fire virus hooks INT 24h when
  693.          destroying, it omits I/O errors ( such
  694.          as write protect).
  695.  
  696. [YONYU]
  697. Virus Name: YONYU
  698.  
  699. Virus Type: Boot Sector and Partition Infector
  700.  
  701. Virus Length: None.
  702.  
  703.  
  704. PC Vectors Hooked: INT 13h
  705.  
  706. Executing Procedure:
  707.           1) A decrease of 1K Bytes in total
  708.              system memory when the system is
  709.              booted from an infected disk.
  710.           2) It will load itself in the last 1K
  711.              bytes of resident memory.
  712.           3) It then hooks INT 13h.
  713.           4) When you boot the machine as usual
  714.              and you READ and WRITE" to a file
  715.              the YONYU virus will hook INT 13H
  716.              and infect the diskette.
  717.  
  718. Damage:  None.
  719.  
  720. Detecting Method: Decreases total memory size, 1K
  721.                   Bytes.
  722.  
  723.  
  724. Note: 1) YONYU doesn't hook INT 24h when
  725.       infecting files. It omits I/O errors (such
  726.       as write protect).
  727.  
  728. [Dir2_910]
  729. Virus Name: DIR2-910
  730.  
  731. Virus Type: File Infector Virus (infects .COM &
  732.             .EXE files)
  733.  
  734. Virus Length: 1024 Bytes
  735.  
  736.  
  737. PC Vectors Hooked: None
  738.  
  739. Executing Procedure:
  740.           1) When the virus loads itself resident
  741.              in memory it will change the
  742.              directory structure data, so that
  743.              certain executable files are link to
  744.              itself.
  745.           2) This makes it so that when you
  746.              execute a file that the DIR2-910
  747.              virus has linked to it also is
  748.              executed.  At this point it can begin
  749.              to infect other files.
  750.           3) The virus stays resident in memory
  751.              but doesn't hook any interrupts. It
  752.              uses another function to infect files
  753.              . It infects .COM &.EXE files when
  754.              they are "READ & WRITE".
  755.  
  756. Damage: When all the .COM & .EXE files been
  757.         infected on a disk, then it will not be
  758.         possible to execute any files from the
  759.         disk.
  760.  
  761. Detecting Method: Check the disk by using
  762.                   "CHKDSK.EXE", if some files are
  763.                   crossed -- linked to the same
  764.                   position, then these files must
  765.                   be infected.
  766.  
  767. Note: DIR2-910 doesn't hook INT 24h when infecting
  768.       files. It omits I/O errors (such as write
  769.       protect).
  770.  
  771. [FLIP]
  772. Virus Name: FLIP
  773.  
  774. Virus Type: Multi-partite. An infector of all
  775.             programs being used, either .EXE or
  776.             .COM., when .COM original file length
  777.             is not greater than 63,046 (F646h)
  778.             bytes.
  779.  
  780. Virus Length: 2672 bytes
  781.  
  782. Interrupt Vectors Hooked: INT 21h
  783.  
  784. Infection Process:
  785.           This virus can be spread by executing an
  786.           infected program or from booting the
  787.           system with an infected disk. There are
  788.           several methods of infection.
  789.  
  790.           1) Infection of a clean system by an
  791.              infected program.
  792.  
  793.           When an infected program is executed in
  794.           a clean system, the virus will copy
  795.           itself in the last side of the last
  796.           cylinder, beginning from the 5th last
  797.           sector to the 1st last sector and the
  798.           virus will subtract the DOS boot sector
  799.           at offset 0x13h (Number of logical
  800.           sectors )with 6.  Finally, virus writes
  801.           the virus body to partition sector.
  802.  
  803.           2) Spreading the infection through a
  804.              disk that has been infected.
  805.  
  806.           If a PC is booted from an infected disk,
  807.           the spreading of the infection is
  808.           complete.  The boot code, previously
  809.           overwritten by the virus on the disk
  810.           partition sector, reads the main core of
  811.           the virus from the last 5 sectors to the
  812.           last 1 sector,and loads it as a TSR in
  813.           RAM, occupying 3 Kb of the higher part
  814.           of system memory.  As soon as it is
  815.           installed as a TSR, the virus takes
  816.           control of Int 1Ch (Timer Interrupt) to
  817.           verify, with a frequency of 18.2 times
  818.           per second, if the DOS COMMAND.COM is
  819.           loaded.  If DOS is present, the virus
  820.           restores the timer and takes control of
  821.           Int 21h.
  822.  
  823. Damage: Loss of data stored in the 6th last to 1st
  824.         last sectors of the disk.  Virus also
  825.         increases file sizes.
  826.  
  827. Symptoms: Virus turns screen display upside down
  828.           (rotates 180 degrees). File sizes
  829.           increase by 2153 bytes
  830.  
  831. Note: The virus uses a smart technique to avoid
  832.       anti-virus detection programs, when
  833.       modifying the partition sector, that is
  834.       hooking int 01h, it will turn on a single
  835.       step flag to get the original entry of DOS
  836.       hooked of INT 13h . The virus will then move
  837.       itself to the top of the MCB (memory control
  838.       block), and decrease available memory in the
  839.       MCB by 2672 (A70h) bytes. It will hook Int
  840.       21h with the same method as for INT 13h and
  841.       then proceeds to run the original program.
  842.  
  843.  
  844. [MULTI-2]
  845. Virus Name: Multi-2
  846.  
  847. Virus Type: Partition table Infector and File
  848.             Infector Virus (infects .COM & .EXE
  849.             files)
  850.  
  851. Virus Length: Not Applicable
  852.  
  853.  
  854. PC Vectors Hooked: INT 21h, INT 24h, INT 1Ch,
  855.                    INT 13h.
  856.  
  857. Executing Procedure:
  858.           1) The Virus will decrease the total
  859.              system memory by 3K Bytes when the
  860.              system is booted from an infected
  861.              disk.
  862.           2) It then checks whether it has is
  863.              loaded in resident memory, if "No",
  864.              then it will load to the last 3K
  865.              bytes of  resident memory by hooking
  866.              INT 21h and INT 1Ch.  3) It infects
  867.              files when they are executed.
  868.  
  869. Damage:  None.
  870.  
  871. Detecting Method: Infected files increase 927--
  872.                   1000 Bytes.
  873.  
  874.  
  875. Note: Multi-2 hooks INT 24h when infecting files.
  876.       It omits I/O errors (such as write protect).
  877.  
  878. [BOGUS]
  879. Virus Name: BOGUS
  880.  
  881. Virus Type: Partition table Infector and File
  882.             Infector Virus
  883.  
  884. Virus Length: No change.
  885.  
  886.  
  887. PC Vectors Hooked: INT 21h, INT 24h, INT 13h.
  888.  
  889. Executing Procedure:
  890.           1) The Virus decreases the total system
  891.              memory by 4K Bytes,  when the system
  892.              is booted from an infected disk.
  893.           2) The virus loads itself in to the last
  894.              4K Bytes of  resident memory.
  895.           3) It then hooks INT 13h.
  896.           4) It continues to infect any executed
  897.              program.
  898.  
  899. Damage: When the number of infected files is
  900.         larger than 2710, then it destroys all the
  901.         data on the hard disk.
  902.  
  903. Detecting Method: Check whether the file head is
  904.                   INT 13h(AX=90 or 91).
  905.  
  906. Note:  1) BOGUS hooks INT 24h when infecting files
  907.           . It omits I/O errors (such as write
  908.           protect).
  909.        2) If the computer is booted from a
  910.           diskette,  you will not be able to view
  911.           the hard drive.
  912.  
  913.  
  914. [FRIDAY_13TH]
  915. Virus Name: Friday the 13th
  916.  
  917. Other names: Virus 1813, Israelian, Jerusalem
  918.  
  919. Virus Type: File Infector Virus
  920.  
  921. Virus Length: Approx.1813 bytes
  922.  
  923. PC Vectors Hooked:  Int 21
  924.  
  925. Executing Procedure:
  926.           1) The virus checks whether it is
  927.              already loaded  resident in memory.
  928.              If "No", it then loads itself into
  929.              resident memory by hooking INT 21h.
  930.           2) It then executes the original file.
  931.           3) With itself loaded into resident
  932.              memory it will infect any uninfected
  933.              file that is executed.
  934.  
  935. Damage: In the year 1987, the virus does no damage
  936.         . It proceeds only to infect other files.
  937.         Every Friday the 13th, excluding the year
  938.         1987, virus deletes every executed program
  939.         . All other days, excluding the year 1987,
  940.         the virus spreads.  About half an hour
  941.         after the virus is installed in memory it
  942.         scrolls up by two linesa small window with
  943.         coordinates (5, 5), (16, 16) and slows
  944.         down computer speed.  Delay loop repeats
  945.         18.5 times per second.
  946.  
  947. Detecting Method: Increases the file length by
  948.                   1813 bytes
  949.  
  950. Note: Loads itself resident in memory.  An error
  951.       message occurs if there is an I/O error
  952.       (such as write protect).
  953.  
  954. [DEVIL's DANCE]
  955. Virus Name: Devil's Dance
  956.  
  957. Other names: Virus 941
  958.  
  959. Virus Type: File Infector Virus
  960.  
  961. Virus Length: 941 bytes
  962.  
  963. PC Vectors Hooked:  Int 21
  964.  
  965. Executing Procedure:
  966.           1) The virus checks whether it is
  967.              already loaded  resident in memory.
  968.              If "No", it then loads itself into
  969.              resident memory by hooking INT 21h.
  970.           2) It then executes the original file.
  971.           3) With itself loaded into resident
  972.              memory it will infect any uninfected
  973.              file that is executed.
  974.  
  975. Damage: The DevilÆs Dance virus monitors the Int 9
  976.         (keyboard). A routine for cursor
  977.         manipulation is activated when 5 keys
  978.         other than the Alt key have been depressed
  979.         . Furthermore, if the ôAlt" key is not
  980.         depressed, attributes of the cursor in
  981.         Video-RAM are changed after any other key
  982.         is pressed.  The new attributes are as
  983.         follows: 09h (bright blue), 0ah (bright
  984.         green), obh (bright cyan), 0ch (bright
  985.         red), 0dh (bright violet), oeh (bright
  986.         yellow).  If the above five keys are not
  987.         pressed, the virus will not manifest
  988.         itself. If "Del" is depressed, the virus
  989.         will display characters using the color
  990.         white.  The virus displays the following
  991.         message: Have you ever danced with the
  992.         devil under the weak light of the moon?
  993.         .... Pray for your disk...The Joker
  994.         HAHAHAHAHAHAHAHAHAHA."
  995.  
  996.         The virus will finally test whether any
  997.         keys were pressed 2500 times.  If yes, the
  998.         virus overwrites the Disk Partition Table
  999.         of the first hard disk and proceeds to
  1000.         crash the system.
  1001.  
  1002. Note: Loads itself resident in memory.  An error
  1003.       message occurs if there is an I/O error
  1004.       (such as write protect).
  1005.  
  1006.  
  1007. [CHRISTMAS_TREE]
  1008. Virus Name: Christmas
  1009.  
  1010. Other names: Virus 600, Xmas In Japan, Japanese
  1011.              Christmas
  1012.  
  1013. Virus Type:File Infector Virus
  1014.  
  1015. Virus Length: 600 bytes.
  1016.  
  1017. Damage: On December 25th, when an infected.COM
  1018.         file is executed, the following message
  1019.         will be displayed: "A Merry christmas to
  1020.         you" or "Jingo Bell, jingo bell, jingo all
  1021.         the way."
  1022.  
  1023. Detecting Method: The COMMAND.COM file increases
  1024.                   by 600 Bytes.  Infected.COM
  1025.                   files increase by 600 bytes.
  1026.  
  1027. [DATA CRIME]
  1028. Virus Name: Datacrime
  1029.  
  1030. Other names: 1168, Columbus Day
  1031.  
  1032. Virus Type: File Infector Virus
  1033.  
  1034. Virus Length: 1168 bytes.
  1035.  
  1036. Executing Procedure:
  1037.           1) The virus checks whether it is
  1038.              already loaded  resident in memory.
  1039.              If "No", it then loads itself into
  1040.              resident memory by hooking INT 21h.
  1041.           2) It then executes the original file.
  1042.           3) With itself loaded into resident
  1043.              memory it will infect any uninfected
  1044.              file that is executed.
  1045.           4) It doesn't infect .EXE files.
  1046.  
  1047. Damage: Virus will lowlevel format your hard disk
  1048.         after October 12th.
  1049.  
  1050. Detecting Method: Virus infects all .COM files
  1051.                   between April 1st-October 12th.
  1052.                   After October 12th, it  willl
  1053.                   display the following message:
  1054.                   "DATACRIME VIRUS Released:1
  1055.                   March 1989."  And it will low
  1056.                   level format your hard disk.
  1057.  
  1058. Note: Loads itself resident in memory.  An error
  1059.       message occurs if there is an I/O error
  1060.       (such as write protect).
  1061.  
  1062. [SUNDAY]
  1063. Virus Name: Sunday
  1064.  
  1065. Other names: None
  1066.  
  1067. Virus Type: Boot Strap Sector Virus (Memory
  1068.             Resident)
  1069.  
  1070. Virus Length: 1636 bytes.
  1071.  
  1072. Damage: On Sunday, the virus will prevent computer
  1073.         user.
  1074.  
  1075. Detecting Method: On Sunday, the virus will
  1076.                   display the following message:
  1077.                   "Today is Sunday! Why do you
  1078.                   work so hard?  All work and no
  1079.                   play makes you a dull boy! Come
  1080.                   on!  Let's go out and have some
  1081.                   fun!"
  1082.  
  1083. [MARAUDER]
  1084. Virus Name: Marauder
  1085.  
  1086. Other names: None
  1087.  
  1088. Virus Type: File Infector Virus
  1089.  
  1090. Virus Length: Increases .COM file by 860 bytes.
  1091.  
  1092. Executing Procedure:
  1093.           1) The virus searches the current
  1094.              directory for a .COM file. Once it
  1095.              locates a file it checks whether it
  1096.              is already infected by the Marauder
  1097.              virus. If "No", it then it infects
  1098.              the file.
  1099.           2) If "Yes" then it searches for another
  1100.              .COM file to infect.
  1101.           3) It doesn't infect .EXE files.
  1102.           4) It then executes the original file.
  1103.  
  1104. Damage: The Marauder virus will overwrite your
  1105.         files, on every February 2nd with the
  1106.         string "=[Marauder] 1992 Hellraiser -
  1107.         Phalcon/Skism."
  1108.  
  1109. Detecting Method: When the infected file is
  1110.                   executed, the virus will infect
  1111.                   the first uninfected .COM file
  1112.                   in current directory.  On every
  1113.                   February 2nd,  the virus will
  1114.                   overwrite all executed files by
  1115.                   following characters one by one
  1116.                   "=[Aarauder] 1992 Hellraiser -
  1117.                   Phalcon/skism."
  1118.  
  1119.  
  1120. [OROPAX]
  1121. Virus Name: Oropax
  1122.  
  1123. Other names: None
  1124.  
  1125. Virus Type: File Infector Virus
  1126.  
  1127. Virus Length: 2756-2800 bytes
  1128.  
  1129. Executing Procedure:
  1130.           1) The virus checks whether it is
  1131.              already loaded  resident in memory.
  1132.              If "No", it then loads itself into
  1133.              resident memory by hooking INT 21h.
  1134.           2) It then executes the original file.
  1135.           3) With itself loaded into resident
  1136.              memory it will infect any uninfected
  1137.              file that is executed.
  1138.           4) It doesn't infect .EXE files.
  1139.  
  1140. Damage: Infected .COM file sizes increase by 2756
  1141.         -2800 bytes.
  1142.  
  1143. Detecting Method: Virus will hook the interrupt
  1144.                   20h, 21h, 27h.  If the system
  1145.                   date is after May 1, 1987 and it
  1146.                   is an IBM compatible computer,
  1147.                   interrupt 8h will be hooked.
  1148.                   When the virus is triggered, it
  1149.                   will play the "Stars", "Blue"
  1150.                   and "Forty" songs one by one
  1151.                   every eight minutes.
  1152.  
  1153. Note: Loads itself resident in memory.  An error
  1154.       message occurs if there is an I/O error
  1155.       (such as write protect).
  1156.  
  1157. [DBASE]
  1158. Virus Name: dBASE
  1159.  
  1160. Other names: None
  1161.  
  1162. Virus Type: File Infector Virus
  1163.  
  1164. Virus Length: 1864 bytes
  1165.  
  1166. Executing Procedure:
  1167.           1) The virus checks whether it is
  1168.              already loaded  resident in memory.
  1169.              If "No", it then loads itself into
  1170.              resident memory by hooking INT 21h.
  1171.           2) It then executes the original file.
  1172.           3) With itself loaded into resident
  1173.              memory it will infect any uninfected
  1174.              file that is executed.
  1175.           4) It doesn't infect .EXE files.
  1176.  
  1177. Damage: Every executed .COM files increases by
  1178.         1864 bytes. Virus will sometimes cause
  1179.         system to halt.
  1180.  
  1181. Detecting Method: Virus will hook the interrupt
  1182.                   21h. When virus is actived, it
  1183.                   will switch high-byte and low-
  1184.                   byte of every opened .DBF data
  1185.                   files.  Virus will also create
  1186.                   a hidden file - "BUG.DAT" in
  1187.                   root directory to record very
  1188.                   infected .DBF file's name.
  1189.  
  1190. Note: Loads itself resident in memory.  An error
  1191.       message occurs if there is an I/O error
  1192.       (such as write protect).
  1193.  
  1194. [HOLLOWEEN]
  1195. Virus Name: Halloween
  1196.  
  1197. Other names: Happy Halloween
  1198.  
  1199. Virus Type: File Infector Virus
  1200.  
  1201. Virus Length: N/A
  1202.  
  1203. Executing Procedure:
  1204.           1) The virus checks whether it is
  1205.              already loaded  resident in memory.
  1206.              If "No", it then loads itself into
  1207.              resident memory by hooking INT 21h.
  1208.           2) It then executes the original file.
  1209.           3) With itself loaded into resident
  1210.              memory it will infect any uninfected
  1211.              file that is executed.
  1212.  
  1213. Damage: Virus finds an executable file (first .EXE
  1214.         file then .COM) in current directory and
  1215.         proceeds to infect it.  It will display
  1216.         "Runtime error 002 at 0000:0511" on screen
  1217.         if no uninfected files are found.
  1218.  
  1219. Detecting Method: On every Oct 31, virus will
  1220.                   create a 10KB-long file and
  1221.                   display "Runtime error 150 at
  1222.                   0000:0AC8."
  1223.  
  1224. Note: 1) Loads itself resident in memory. An error
  1225.          message occurs if there is an I/O error
  1226.          (such as write protect).
  1227.  
  1228. [TAIWAN]
  1229. Virus Name: Taiwan
  1230.  
  1231. Other names: None
  1232.  
  1233. Virus Type: File Infector Virus
  1234.  
  1235. Virus Length: .EXE  1300-1503 bytes
  1236.  
  1237. Executing Procedure:
  1238.           1) The virus checks whether it is
  1239.              already loaded  resident in memory.
  1240.              If "No", it then loads itself into
  1241.              resident memory by hooking INT 21h.
  1242.           2) It then executes the original file.
  1243.           3) With itself loaded into resident
  1244.              memory it will infect any uninfected
  1245.              file that is executed.
  1246.  
  1247. Damage: This virus has several variants. While
  1248.         some variants have no damage routine, some
  1249.         will slow down the system performance and
  1250.         variants of the Mummy virus will have a
  1251.         Random Number counter.  When the counter
  1252.         reaches zero, virus will overwrite first
  1253.         part of hard disk and cause severe data
  1254.         loss.
  1255.  
  1256. Detecting Method: Increases infected file size by
  1257.                   1300-1503 bytes. Virus
  1258.                   ocassionally hangs the system
  1259.                   when the virus is resident in
  1260.                   memory. Encrypted text strings
  1261.                   inside the virus code as
  1262.                   follows: "Mummy Version x.xxx",
  1263.                   "Kaohsiung Senior School",
  1264.                   "Tzeng Jau Ming presents",
  1265.                   "Series Number=[xxxxx]."
  1266.  
  1267. Note: 1) Loads itself resident in memory. An error
  1268.          message occurs if there is an I/O error
  1269.          (such as write protect).
  1270.  
  1271. [JOSHI]
  1272. Virus Name: Joshi
  1273.  
  1274. Other names: Happy Birthday Joshi
  1275.  
  1276. Virus Type: File Infector Virus
  1277.  
  1278. Virus Length: N/A
  1279.  
  1280. Executing Procedure:
  1281.           1) The virus checks whether it is
  1282.              already loaded  resident in memory.
  1283.              If "No", it then loads itself into
  1284.              resident memory by hooking INT 21h.
  1285.           2) It then executes the original file.
  1286.           3) With itself loaded into resident
  1287.              memory it will infect any uninfected
  1288.              file that is executed.
  1289.  
  1290. Damage: Infects every executable files.
  1291.  
  1292. Detecting Method: The first ôJoshi" virus was
  1293.                   founded in India in June 1990.
  1294.                   It is a very popular virus in
  1295.                   India.  Virus remains resident
  1296.                   in boot sector or in FAT area.
  1297.                   Every January 5, the virus
  1298.                   displays: Type Happy Birthday
  1299.                   Joshi."  All will return to
  1300.                   normal if user types above
  1301.                   message. System memory decreases
  1302.                   by 6KB when virus is resident.
  1303.  
  1304. Note: Loads itself resident in memory. An error
  1305.       message occurs if there is an I/O error
  1306.       (such as write protect).
  1307.  
  1308. [NOV17]
  1309. Virus Name: November 17th
  1310.  
  1311. Other names: None
  1312.  
  1313. Virus Type: Parasitic Virus
  1314.  
  1315. Virus Length: 885 bytes
  1316.  
  1317. Executing Procedure:
  1318.           1) The virus checks whether it is
  1319.              already loaded  resident in memory.
  1320.              If "No", it then loads itself into
  1321.              resident memory by hooking INT 21h.
  1322.           2) It then executes the original file.
  1323.           3) With itself loaded into resident
  1324.              memory it will infect any uninfected
  1325.              file that is executed.
  1326.  
  1327. Damage: Infects every executable file.
  1328.  
  1329. Detecting Method: It will be resident in memory
  1330.                   , and infects all .COM files.
  1331.  
  1332. Note: Loads itself resident in memory. An error
  1333.       message occurs if there is an I/O error
  1334.       (such as write protect).
  1335.  
  1336. [PRUDENTS]
  1337. Virus Name: Prudent
  1338.  
  1339. Other names: 1210
  1340.  
  1341. Virus Type: File Infector Virus
  1342.  
  1343. Virus Length: .EXE  1210 bytes
  1344.  
  1345. Executing Procedure:
  1346.           1) The virus checks whether it is
  1347.              already loaded  resident in memory.
  1348.              If "No", it then loads itself into
  1349.              resident memory by hooking INT 21h.
  1350.           2) It then executes the original file.
  1351.           3) With itself loaded into resident
  1352.              memory it will infect any uninfected
  1353.              file that is executed.
  1354.           4) It doesn't infect .COM files.
  1355.  
  1356. Damage: Overwrites the original file.
  1357.  
  1358. Detecting Method: From May 1-4, virus will
  1359.                   frequently check the disk.
  1360.  
  1361. Note: 1) Loads itself resident in memory. An error
  1362.          message occurs if there is an I/O error
  1363.          (such as write protect).
  1364.  
  1365. [LEHIGH]
  1366. Virus Name: Lehigh
  1367.  
  1368. Other names: None
  1369.  
  1370. Virus Type: Parasitic Virus (infects COMMAND.COM
  1371.             only)
  1372.  
  1373. Virus Length:  555 bytes
  1374.  
  1375. Executing Procedure:
  1376.           1) The virus checks whether it is
  1377.              already loaded  resident in memory.
  1378.              If "No", it then loads itself into
  1379.              resident memory by hooking INT 21h.
  1380.           2) Then when a disk is accessed if the
  1381.              COMMAND.COM is un-infected  it will
  1382.              immediately infect it.then executes
  1383.              the original file.
  1384.           3) With itself loaded into resident
  1385.              memory it searches for the  infect
  1386.              any uninfected file that is executed.
  1387.           4) It doesn't infect .EXE files.
  1388.  
  1389. Damage: 1) Infects the diskette .COMMAND.COM file
  1390.            and increases it by 555 bytes.
  1391.         2) After the count of infection passes
  1392.            over four times the current disk will
  1393.            be trashed.
  1394.  
  1395. [GP1]
  1396. Virus Name:Gp1
  1397.  
  1398. Virus Type: Network Specific Virus
  1399.  
  1400. Virus Length: .EXE 1557 bytes.  .COM 1845 bytes.
  1401.  
  1402. Executing Procedure:
  1403.           1) The virus checks whether it is
  1404.              already loaded  resident in memory.
  1405.              If "No", it then loads itself into
  1406.              resident memory by hooking INT 21h.
  1407.           2) It then executes the original file.
  1408.           3) With itself loaded into resident
  1409.              memory it will infect any uninfected
  1410.              file that is executed.
  1411.  
  1412. Symptoms: If the virus is active in memory and if
  1413.           the first character on the command line
  1414.           is NOT the letter "i", the virus will
  1415.           remove itself from the operating memory
  1416.           (this will work only if the virus is the
  1417.           last TSR to change interrupt vector 21h)
  1418.           . The virus even displays the message
  1419.           "GP1 Removed from memory."
  1420.  
  1421. Damage: The virus is the only LAN virus to ever be
  1422.         discovered. This unique virus is a
  1423.         modification of the Jerusalem virus and
  1424.         was created for one special purpose: to
  1425.         penetrate.  Novell security features and
  1426.         to spread inside the network.  The virus
  1427.         does not contain any manipulation (if we
  1428.         do not count the monitoring of Novell
  1429.         LOGIN and the attempts to break the
  1430.         Novell security features).
  1431.  
  1432. [4096]
  1433. Virus Name: Virus 4096
  1434.  
  1435. Virus Type: File Infector Virus
  1436.  
  1437. Virus Length: 4096 bytes
  1438.  
  1439. Executing Procedure:
  1440.           A boot sector should be modified if the
  1441.           system date is greater than September
  1442.           21. The text "FRODO LIVES" should then
  1443.           appear on the screen after booting from
  1444.           a modified disk. The virus code is
  1445.           corrupted, so when you run the infected
  1446.           file after September 21, the system
  1447.           areas will not be modified, but the
  1448.           virus will cause the system to crash.
  1449.  
  1450. Damage: Virus infects .COM files which are shorter
  1451.         than 61440 bytes and .EXE files. As a flag
  1452.         virus, it uses the year in the fileÆs time
  1453.         stamp and increases it by 100 years.  (DOS
  1454.         reports only last two digits, so it can
  1455.         not be easily recognized when for example
  1456.         "DIR" command is executed).
  1457.  
  1458. Detection Method: The virus Increases infected
  1459.                   file size by 4096 bytes. The
  1460.                   operating memory is decreased
  1461.                   by about 6 KB.
  1462.  
  1463. [USSR-516]
  1464. Virus Name: USSR
  1465.  
  1466. Other Names: 570, 8-17-88, 2:08a
  1467.  
  1468. Virus Type: Parasitic Virus
  1469.  
  1470. Virus Length: 570 bytes
  1471.  
  1472. Symptom: Infects .EXE files. Increases file size
  1473.          by 570 to 585 (570+15) bytes. (The next
  1474.          multiple of 16 of the original file size
  1475.          plus 570). The date and time in the files
  1476.          directory entry is set to 8-17-88 and
  1477.          2:08a.
  1478.  
  1479. Damage: Writes one sector to the boot sector of
  1480.         driver C: then halts the system.
  1481.  
  1482. [Vienna]
  1483. Virus Name: Vienna
  1484.  
  1485. Other Names: 648, PC Boot, Austrian virus
  1486.  
  1487. Virus Type: Parasitic Virus
  1488.  
  1489. Virus Length: 648 bytes
  1490.  
  1491. Symptoms: Increases infected file sizes by 648
  1492.           bytes and files containing string
  1493.           "*.COM" and "PATH=". Destroyed programs
  1494.           will cause computer to reboot while in
  1495.           operation.
  1496.  
  1497. Damage: With the probability of 1:7 the virus will
  1498.         not infect other files.  Virus writes the
  1499.         instruction JMP F000:FFF0 (computer reboot
  1500.         ) at the start of such a program. Original
  1501.         content is destroyed, length of file is
  1502.         not changed, and destroyed program
  1503.         contains virus flag.
  1504.  
  1505. [V2000]
  1506. Virus Name: V2000
  1507.  
  1508. Other Names: 21 century virus
  1509.  
  1510. Virus Type: Parasitic Virus
  1511.  
  1512. Virus Length: 2000 bytes
  1513.  
  1514. Symptoms: Increases infected .COM and .EXE file
  1515.           sizes by 2000 bytes.  Decreases size of
  1516.           free RAM memory by 4KB.  Infected files
  1517.           contain the following strings: "(C) 1989
  1518.           by Vesselin Bontchev".
  1519.  
  1520. Damage: No damage.
  1521.  
  1522. [Bur-560h]
  1523. Virus Name: Bur-560h
  1524.  
  1525. Virus Type: Parasitic Virus
  1526.  
  1527. Virus Length: Infected COM files do not increase
  1528.               (Does not infect EXE files).
  1529.  
  1530. PC Vectors Hooked: None
  1531.  
  1532. Executing Procedure:
  1533.           1) The virus searches for COM files
  1534.              through the current path.
  1535.           2) The virus checks whether the file is
  1536.              infected. If the file has been
  1537.              infected, the virus continues to
  1538.              search till an uninfected file is
  1539.              found and then infects it (It infects
  1540.              only one file each time).
  1541.  
  1542. Damage: The virus infects the files by covering up
  1543.         the original files, so the lengths of the
  1544.         files do not increase and the functions of
  1545.         the original files can not be executed.
  1546.  
  1547. Remarks: 1) Non memory resident.
  1548.          2) When infecting files, the virus does
  1549.             not hook INT 24h.  And the error
  1550.             information appears when I/O errors
  1551.             occur.
  1552.  
  1553. [Dooms-715]
  1554. Virus Name: Dooms-715
  1555.  
  1556. Virus Type: Parasitic Virus
  1557.  
  1558. Virus Length: Infected COM file sizes increase by
  1559.               715 Bytes (Does not infect EXE files
  1560.               ).
  1561.  
  1562. PC Vectors Hooked: None
  1563.  
  1564. Executing Procedure:
  1565.           1) Searches for a COM file in the root
  1566.              directory.
  1567.           2) Checks whether the file is infected.
  1568.              If yes, continues to search.
  1569.           3) If an uninfected file is found,
  1570.              infects it (infects only one file
  1571.              each time).
  1572.  
  1573. Damage: None
  1574.  
  1575. Detecting Method: Detectable if the lengths of
  1576.                   files increase by 715 Bytes.
  1577.  
  1578. Remarks: 1) Non memory resient.
  1579.          2) When infecting files, the virus does
  1580.             not hook INT 24h. Error message will
  1581.             appear when I/O errors occur.
  1582.  
  1583. [JOKER]
  1584. Virus Name: Joker3
  1585.  
  1586. Virus Type: Parasitic Virus.
  1587.  
  1588. Virus Length: Infected COM file sizes increase by
  1589.               1084 bytes (Does not infect EXE
  1590.               files).
  1591.  
  1592. PC Vectors Hooked:  INT 21h
  1593.  
  1594. Executing Procedure:
  1595.           1) Checks if it resides in memory.  If
  1596.              not, hooks INT 21h, installs itself
  1597.              as memory resident and then executes
  1598.              the host program.
  1599.           2) If it already resides in memory,
  1600.              proceeds to execute the host program
  1601.              directly.
  1602.  
  1603. Infecting Procedure: The virus infects files by
  1604.                      INT 21h.  When INT 21h is
  1605.                      executed, all the COM files
  1606.                      in the current directory will
  1607.                      be infected.  When infecting
  1608.                      files, the virus does not
  1609.                      hook INT 24h.  Error message
  1610.                      will appear when I/O errors
  1611.                      occur.
  1612.  
  1613. Damage:  None
  1614.  
  1615. Detecting Method: Detectable if the files increase
  1616.                   by 1084 bytes.
  1617.  
  1618.  
  1619. [Friday_13th]
  1620. Virus Name: Fri-13-D
  1621.  
  1622. Virus Type: COM File infector
  1623.  
  1624. Virus Length:  416 bytes
  1625.  
  1626. Executing Procedure:
  1627.           When an infected program executed, it
  1628.           will infect all COM files (except
  1629.           COMMAND.COM) on current directory (it
  1630.           does not infect same file again). Then
  1631.           check whether current day is 13 and it
  1632.           is Friday. If it is, delete itself and
  1633.           then go back to the original routine.
  1634.  
  1635. Damage: An infected program will delete itself
  1636.         when you run it on 13th,Friday.
  1637.  
  1638. Detecting Method: 1) Date and time of infected
  1639.                      files changed.
  1640.                   2) Infected files will increase
  1641.                      from 416-431 bytes.
  1642.  
  1643. [PCBB]
  1644. Virus Name: Pcbb
  1645.  
  1646. Virus Type: Memory resident, COM File infector
  1647.  
  1648. Virus Length:  3+(1675-1687) bytes
  1649.  
  1650. Executing Procedure:
  1651.           It will decode its later half section
  1652.           first. Then check whether it has stayed
  1653.           in memory. If not, it will move itself
  1654.           to high memory. Then hook  INT 21h,INT
  1655.           09h,INT 1Ch and go back to run original
  1656.           routine. The infection happens when
  1657.           executing program, copying file,
  1658.           changing file's attribute, opening file,
  1659.           closing file, and renaming file(AH=56h).
  1660.           When it infects a file, it will check
  1661.           what day of the week is it today first.
  1662.           There are seven encoding modes according
  1663.           to the judgment. It does not infect same
  1664.           file again, and length of infectable
  1665.           files must between 16 bytes and 61440
  1666.           bytes.
  1667.  
  1668. Symptom: When virus breaks out, screens display
  1669.          nothing every time the counter of hitting
  1670.          keys is equal to 957. This time, it will
  1671.          reset the counter to count continually.
  1672.          You can press down all Alt, Control,
  1673.          Shift of left & right together to make
  1674.          screen displaying again.
  1675.  
  1676. Damage: None
  1677.  
  1678. Note: It stays resident in memory (It will take
  1679.       4K bytes).
  1680.  
  1681. Detecting Method: 1) Date and time of infected
  1682.                      files changed.
  1683.                   2) Infected files will increase
  1684.                      by 1675,1677,1679,1679,1680,
  1685.                      1683,1687 bytes according to
  1686.                      what day of the week is it
  1687.                      today (From Sunday to
  1688.                      Saturday).
  1689.                   3) "PCBB" is attached to the end
  1690.                      of infected file.
  1691.  
  1692. [SILENT_LAMB]
  1693. Virus Name: The Silence Of The Lamb!
  1694.  
  1695. Virus Type: Memory resident, COM File infector
  1696.  
  1697. Virus Length:  555 bytes
  1698.  
  1699. Executing Procedure:
  1700.           1) Checks whether it is still in the
  1701.              last memory block. If not, it will
  1702.              stay resident in high memory and
  1703.              returns to original routine. The
  1704.              method of infection is: First,
  1705.              encodes first 200h bytes of original
  1706.              file and attaches them and decoded
  1707.              codes to the end of the file. Then
  1708.              encodes virus code and writes them
  1709.              into first 200h bytes of the file.
  1710.  
  1711.           2) Vectors hooked: Hooks INT 21H(AH=4Bh)
  1712.              to infect files. Firsts, it will hang
  1713.              INT 24h to prevent divulging its
  1714.              trace when writing, then checks
  1715.              whether the program to be executed is
  1716.              an uninfected COM file (Length is
  1717.              between 0400h and FA00h bytes). If it
  1718.              is, infect it. Finally, virus
  1719.              restores INT 24h.
  1720.  
  1721. Damage: None
  1722.  
  1723. Note: Date and time of infected files do not
  1724.       change.
  1725.  
  1726. Detecting Method:
  1727.           1) Call INT21h (AH=2Dh,CH=FFh,DH=FFh) to
  1728.              return value AH. If AH=00h, memory
  1729.              has been infected. If AH=FFh, memory
  1730.              has not been infected.
  1731.           2) If word at address 0002 of COM file
  1732.              is 5944h, memory has been infected.
  1733.              After virus code have decoded, there
  1734.              is a text in address from 01E6h to
  1735.              01EFh. The text is "The Silence of
  1736.              The Lamb!$".
  1737.           3) Total memory decreases by 1568 bytes.
  1738.  
  1739. [WOLF_MAN]
  1740. Virus Name: Wolf-Man
  1741.  
  1742. Virus Type: Memory Resident, COM & EXE File
  1743.             infector
  1744.  
  1745. Virus Length: 2064 bytes
  1746.  
  1747. Executing Procedure:
  1748.           1) Checks whether it remains resident in
  1749.              memory. If not, it will stay resident
  1750.              in memory. Then checks whether
  1751.              current calendar day is 15. If it is,
  1752.              virus will manifest itself.Otherwise,
  1753.              hooks INT 09H, INT 10H, INT 16H, INT
  1754.              21H and goes back to the original
  1755.              routine.
  1756.  
  1757. Vectors hooked: Hooks INT 21H to infect files. It
  1758.                 will check whether the program to
  1759.                 be executed is an infectable file
  1760.                 (Except COMMAND.COM), and then
  1761.                 proceeds to infect it (The
  1762.                 infectable file length must be
  1763.                 larger than 1400 bytes). Hooks INT
  1764.                 9h, INT 10h to check whether
  1765.                 something in program has changed.
  1766.                 If it has, virus will manifest
  1767.                 itself.
  1768.  
  1769. Symptoms: Displays a message.  Overwrites current
  1770.           diskette with virus code until there is
  1771.           no more free space.  Delays 30 seconds
  1772.           and proceeds to reboot system.
  1773.  
  1774. Damage: Destroys all data on current diskette.
  1775.  
  1776. Note: 1) Procedure for displaying the virus
  1777.          message is designed for Herc display
  1778.          card.  Therefore, system halts if is
  1779.          run on a color display card.  This, in
  1780.          turn, can prevent destruction of the
  1781.          hard disk.
  1782.       2) Virus procedure contains "WOLFMAN" text.
  1783.  
  1784. Detecting Method:
  1785.           1) Infected file sizes increase by 143
  1786.               bytes.
  1787.           2) Checks whether an executed program
  1788.              remains resident in memory (it will
  1789.              occupy approx. 65.6K bytes) by using
  1790.              MEM.EXE program.
  1791.  
  1792. [Story]
  1793. Virus Name: Story-A
  1794.  
  1795. Virus Type: COM File infector
  1796.  
  1797. Virus Length: 1117 bytes
  1798.  
  1799. Executing Procedure:
  1800.          1) Searches from root directory and all
  1801.             subdirectory to find 3 uninfected COM
  1802.             (Except COMMAND.COM) files, and then
  1803.             infects them (It does not infect same
  1804.             file twice). Then holds the order of
  1805.             every infected file. Then checks if
  1806.             the order of current infected file is
  1807.             larger than 7, or if current date is
  1808.             July 9. If either of these two
  1809.             conditions are met, virus will be
  1810.             triggered.
  1811.  
  1812. Vectors hooked: Hooks INT 08H to accumulate system
  1813.                 time.
  1814.  
  1815. Symptoms: Does not execute infection procedure,
  1816.           stays resident in memory. Then hooks INT
  1817.           08h. 290 seconds later, a message
  1818.           displays in inverse mode repeatedly in
  1819.           22-second cycles.
  1820.  
  1821. Note: Date and time of infected files do not
  1822.       change.
  1823.  
  1824. Detecting Method:
  1825.           1) Memory: a) Total system memory
  1826.              decreases. b) Virus might be
  1827.              triggered if first 4 bytes of segment
  1828.              (Before free memory) are FFh,26h,04h,
  1829.              01h.
  1830.           2) File: a) Infected file sizes increase
  1831.              by 1117 bytes. b) First 4 bytes of
  1832.              infection are FFh,26h,04h,01h.
  1833.  
  1834. [MS-DOS_3.00]
  1835. Virus Name: Ms-Dos3.0
  1836.  
  1837. Virus Type: COM File infector
  1838.  
  1839. Virus Length:  953 bytes
  1840.  
  1841. Executing Procedure:
  1842.           1) Checks whether it has remained
  1843.              resident in memory. If not, it will
  1844.              stay resident in high memory. Then
  1845.              hooks INT 21h and returns to the
  1846.              original routine.
  1847.  
  1848. Vectors hooked: Hooks INT 21H (AH=3Dh,AX=4B00h) to
  1849.                 infect files. If the program to be
  1850.                 executed or opened is an
  1851.                 uninfected COM file (Except
  1852.                 COMMAND.COM) and its length is not
  1853.                 larger than FB00h, virus proceeds
  1854.                 to infect it. The method of
  1855.                 infection is: writes a total of
  1856.                 35Dh bytes (1Ch bytes are its head
  1857.                 , first 3B9h bytes of file) to the
  1858.                 end of file, then overwrites its
  1859.                 first 3B9h bytes with virus codes.
  1860.                 If the program to be executed or
  1861.                 opened is an uninfected EXE file
  1862.                 and its length is not larger than
  1863.                 4000h, virus infects it. The
  1864.                 method of infection is: after
  1865.                 filling the left bytes of segment,
  1866.                 it will attach a total of  3F1h
  1867.                 bytes (virus codes(3B9h)+data in
  1868.                 original file(1Ch)+head of
  1869.                 file(1Ch)) to the end of file,
  1870.                 then changes the pointer in head
  1871.                 to virus procedure.
  1872.  
  1873. Damage: None
  1874.  
  1875. Note: 1) Date and time of infected files do not
  1876.          change.
  1877.       2) Stealth type virus: restores infected
  1878.          file information when virus is in system
  1879.          memory.
  1880. Detecting Method:
  1881.           1) Memory: a) Total system memory
  1882.              decreases by 7A0h bytes. b) Memory
  1883.              might be infected if AX=9051h (AX is
  1884.              a return value when INT 21h(AH=B3h)
  1885.              called).
  1886.           2) File: a) Infected COM file sizes
  1887.              increase by 500 bytes. b) Infected
  1888.              EXE file sizes increase by 1009-1024
  1889.              bytes. c) Use DEBUG to load an
  1890.              infected file.
  1891.  
  1892. [EVILGEN]
  1893. Virus Name: Evilgen
  1894.  
  1895. Virus Type: COM & EXE File infector
  1896.  
  1897. Virus Length: 955 bytes(Version 1.1) , 963
  1898.               bytes(Version 2.0)
  1899.  
  1900. Executing Procedure:
  1901.           1) Checks whether it has remained
  1902.              resident in memory. If not, it will
  1903.              stay resident in high memory. Then
  1904.              hooks INT 21h, INT 09h and goes back
  1905.              to the original routine. It will
  1906.              check if current day is 24 and if the
  1907.              'Del' key is being pushed down. If so,
  1908.              virus will be triggered.
  1909.  
  1910. Vectors hooked: Hooks INT 21H(AX=4B00h) to infect
  1911.                 files. If the program to be
  1912.                 executed is an uninfected EXE or
  1913.                 COM file, virus proceeds to infect
  1914.                 it. Hooks INT 09h to check whether
  1915.                 the 'Del' key is being pushing
  1916.                 down.
  1917.  
  1918. Symptom: Selects a sector, then formats the sector
  1919.          from head 0,track 0 to head 0, track 20h
  1920.          on C diskette.
  1921.  
  1922. Damage: Virus will sometimes destroy C diskette.
  1923.  
  1924. Note: 1) Date and time of infected files do not
  1925.          change.
  1926.       2) While memory has been infected, typing
  1927.          "Dir" does not reveal changes in file
  1928.          length.
  1929. Detecting Method:
  1930.           1) Memory: a) Total system memory
  1931.              decreases. b) COMMAND.COM on root
  1932.              directory on C diskette has been
  1933.              infected if BX=9051h(BX is a return
  1934.              value when INT 21h(AX=7BCDh) called).
  1935.              c) The pointers of INT 21h and INT
  1936.                 09h are the same.
  1937.           2) File: Infected file sizes increase by
  1938.              955 bytes (Version 1.1) or 963 bytes
  1939.              (Version 2.0.) Changes in file sizes
  1940.              are apparent only when memory has not
  1941.              been infected.
  1942.  
  1943. [PCBB11]
  1944. Virus Name: Pcbb11
  1945.  
  1946. Virus Type: EXE & COM File infector
  1947.  
  1948. Virus Length: 3052 bytes
  1949.  
  1950. Executing Procedure:
  1951.           1) Checks whether it has remained
  1952.              resident in memory. If not, it will
  1953.              stay resident in high memory. Then
  1954.              hooks INT 21h and goes back to
  1955.              original routine.
  1956.  
  1957. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect
  1958.                 files. First, it will hang INT 24h
  1959.                 to prevent divulging its trace
  1960.                 when writing. If the program to be
  1961.                 executed is an uninfected COM or
  1962.                 EXE file, virus proceeds to infect
  1963.                 it.
  1964.  
  1965. Damage: ?
  1966.  
  1967. Detecting Method: Infected file sizes increase by
  1968.                   3052 bytes.
  1969.  
  1970.  
  1971. [PCBB-3072]
  1972. Virus Name: Pcbb3072
  1973.  
  1974. Virus Type: EXE & COM File infector
  1975.  
  1976. Virus Length:  3072 bytes
  1977.  
  1978. Executing Procedure:
  1979.           1) Checks whether it has remained
  1980.              resident in memory. If not, it will
  1981.              stay resident in high memory. Then
  1982.              hooks INT 21h and goes back to
  1983.              original routine.
  1984.  
  1985. Vectors hooked: Hooks INT 21H(AH=4Bh)to infect
  1986.                 files. First, it will hang INT 24h
  1987.                 to prevent divulging its trace
  1988.                 when writing. If the program to be
  1989.                 executed is an uninfected COM or
  1990.                 EXE file, virus proceeds to infect
  1991.                 it.
  1992.  
  1993. Damage: ?
  1994.  
  1995. Detecting Method: Infected file sizes increase by
  1996.                   3072 bytes.
  1997.  
  1998.  
  1999. [INVISIBLE_MAN]
  2000. Virus Name: INVISIBLE MAN
  2001.  
  2002. Virus Type: Virus infects .COM and .EXE files,
  2003.             Partition record, and the Boot record.
  2004.             Virus is a Memory Block Resident.
  2005.  
  2006. Virus Length: 2926 Bytes on file and D80h Bytes in
  2007.               memory.
  2008.  
  2009. Interrupt Vectors Hooked:  INT 21h
  2010.  
  2011. Infection Process:
  2012.           This virus can spread by executing an
  2013.           infected program or by booting the
  2014.           system from an infected Disk.  There
  2015.           are several different methods of
  2016.           infection:
  2017.  
  2018.           1) When an INVISIBLE MAN infected
  2019.              program is executed it will;
  2020.  
  2021.           A. Infect the hard disk partition
  2022.              table :
  2023.  
  2024.             (i) Write the virus body to the last
  2025.                 7 sectors of the active hard disk.
  2026.  
  2027.            (ii) The ending location of the active
  2028.                 hard disk will be decreased by 7
  2029.                 sectors.
  2030.  
  2031.            (iii) Write the virus loader to the
  2032.                  partiton sector. This sector will
  2033.                  be encrypted.
  2034.  
  2035.           B. Modify the boot sector: It will
  2036.              change the total sector numbers
  2037.              message, which will be seven less
  2038.              than the original figure.
  2039.  
  2040.  
  2041. Damage: Virus displays message and plays music on
  2042.         system speaker.
  2043.  
  2044. Symptoms: Loss of data stored in the last 7
  2045.           sectors of the hard disk; increased file
  2046.           sizes. File sizes increase by 2926 bytes
  2047.           .  Virus displays the following message:
  2048.           "I'm the invisible man, I'm the
  2049.           invisible man, Incredible how you can
  2050.           See right through me." Virus also plays
  2051.           music on system speaker.
  2052.  
  2053. Note:
  2054.  
  2055.  
  2056. [Fish-1100]
  2057. Virus Name: Fish-1100
  2058.  
  2059. Virus Type: COM File infector
  2060.  
  2061. Virus Length:  1100 bytes
  2062.  
  2063. Executing Procedure:
  2064.           1) Virus checks whether it has stayed
  2065.              resident in memory. If not, it will
  2066.              stay resident in high memory. Then
  2067.              hooks INT 21h and goes back to
  2068.              original routine.
  2069.  
  2070. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect
  2071.                 files. First, it will hang INT 24h
  2072.                 to prevent divulging its trace
  2073.                 when writing. If the program to be
  2074.                 executed is an uninfected COM file
  2075.                 , virus proceeds to infect it.
  2076.  
  2077. Damage: None
  2078.  
  2079. Detecting Method: Infected file sizes increase by
  2080.                   1100 bytes.
  2081.  
  2082. [Fish-2420]
  2083. Virus Name: Fish-2420
  2084.  
  2085. Virus Type: COM File infector
  2086.  
  2087. Virus Length:  2420 bytes
  2088.  
  2089. Executing Procedure:
  2090.           1) Virus checks whether it has stayed
  2091.              resident in memory. If not, it will
  2092.              stay resident in high memory. Then
  2093.              hooks INT 21h and goes back to
  2094.              original routine.
  2095.  
  2096. Vectors hooked: Hooks INT 21H(AH=4Bh) to infect
  2097.                 files. First, it will hang INT 24h
  2098.                 to prevent divulging its trace
  2099.                 when writing. If the program to be
  2100.                 executed is an uninfected COM file
  2101.                 , virus proceeds to infect it.
  2102.  
  2103. Damage: None
  2104.  
  2105. Detecting Method: Infected file sizes increase by
  2106.                   2420 bytes.
  2107.  
  2108. [JULY_4]
  2109. Virus Name: July 4, Stupid 1
  2110.  
  2111. Virus Type: COM File infector
  2112.  
  2113. Virus Length:  743 bytes
  2114.  
  2115. Executing Procedure:
  2116.           1) If word at address 0000:01FEh is
  2117.              FFFFh, virus will not infect any
  2118.              file.
  2119.           2) When virus infects files, it will
  2120.              infect all uninfected COM files on
  2121.              current directory. If number of
  2122.              infection is less than 2, it will go
  2123.              on infecting all COM files on upper
  2124.              directory until the number is larger
  2125.              then 2 or it has reached root
  2126.              directory. It will check whether
  2127.              current date is July 4 and that
  2128.              current time is either  0:00am,
  2129.              1:00am, 2:00am, 3:00am, 4:00am, or
  2130.              5:00am. If any of these times are
  2131.              met, virus will proceed to destroy
  2132.              data on current diskette.
  2133.  
  2134. Detecting Method:
  2135.           1) Date and time of infected files
  2136.              changed.
  2137.           2) Byte at 0003h of infected COM file
  2138.              is 1Ah.
  2139.           3) Infected COM file displays the
  2140.              following message: "Abort, Retry,
  2141.              Ignore, Fail?" , "Fail on INT 24"
  2142.              (2) - "Impotence error reading users
  2143.               disk"  (0) - "Program too big to fit
  2144.              in memory" (1) - "Cannot load COMMAND
  2145.              , system halted" (3)"Joker!"  and
  2146.              "*.com."
  2147.           4) Virus will display the above message
  2148.              when executing an infected file. 1)
  2149.              If word at address 0000:01FEh is
  2150.              FFFFh, virus will not infect any
  2151.              file.
  2152.