home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / chibacity / diarrhea.arj / DIARRHEA.DOC < prev    next >
Encoding:
Text File  |  1992-08-07  |  3.9 KB  |  73 lines
  1.                   *********************************************
  2.                   The DIARRHEA viruses: graphic .COM infectors
  3.                   *********************************************
  4.  
  5.  
  6.       Rationale:  To create a really annoying nuisance virus which
  7.                   once discovered compels the user to drop everything
  8.                   and attempt to find it.
  9.  
  10.       Characteristics:
  11.  
  12.                   DIARRHEA.COM is a appending .COM infector which will
  13.                   display the ANSI "EAT MY DIARRHEA!" - GG Allin &
  14.                   The Texas Nazis'" on every Friday an infected file
  15.                   is executed.  The ANSI is sufficiently glaring so
  16.                   that anyone with ANSI.SYS loaded won't miss it.
  17.  
  18.                   DIARRHEA.COM spreads by way of a path search, so
  19.                   hard disk targets are somewhat dependent upon the
  20.                   personal idiosyncracies of those hit.
  21.  
  22.                   The virus was created with the help of Nowhere Man's
  23.                   VCL and a crunched .ASM ANSI format created by TheDraw
  24.                   5.4.  You should note that crunched ANSI's loaded into
  25.                   assembly listings aren't always perfect. For example,
  26.                   outlining the ANSI message produces garbled results,
  27.                   so for your projects, avoid it. VCL listings will also
  28.                   accept 'normal' ANSI .ASM tables but size is a
  29.                   prohibiting factor. (That is UNLESS you want a virus
  30.                   that is over 5k in size with only a very small ANSI
  31.                   comment for a message.)
  32.  
  33.                   DIARRHE6.COM is a final development in the DIARRHEA
  34.                   virus tale.  It displays no message itself, but instead
  35.                   drops a .COMfile ANSI display onto all .EXE files
  36.                   in its path. The virus itself is an appending .COM
  37.                   infector which will search the breadth of the directory
  38.                   tree for uninfected files.
  39.  
  40.                   This virus is a bit more hazardous than DIARRHEA in
  41.                   that it irreversibly ruins .EXE's corrupted with
  42.                   TheDraw developed ANSI .COM display. The interesting
  43.                   part of the infection comes when a ruined .EXE is
  44.                   called. The ANSI message from DIARRHEA is displayed,
  45.                   with a nice flashing blue box outlining it. You can
  46.                   imagine this might be rather maddening to anyone who's
  47.                   favorite game, gl-loader or whatever is ruined by
  48.                   it.  In the meanwhile, the virus is still doing its
  49.                   thing.
  50.  
  51.       Some technical notes on detection:
  52.  
  53.                   There's been quite a bit of squawk on the FidoNet from
  54.                   a number of anti-virus researchers who have assured
  55.                   themselves that VCL-produced code is easily scanned by
  56.                   F-Prot.  One researcher based these findings on the fact                  that F-PROT can detect some VCL code as 'Vienna' 
  57.                   contaminated. While there is some truth to this, F-PROT
  58.                   can only detect these traces in samples fresh from the
  59.                   assembler.  If an encryption routine is included and
  60.                   the virus executed once, F-PROT loses its lock. In fact,                  if the virus is supplied attached to a small (let's say
  61.                   6-byte) shell, the task of detection is complicated even                  more.
  62. .
  63.                   And this is how I've chosen to supply the DIARRHEA
  64.                   viruses. You could 'dummy' them up more by trying a
  65.                   controlled infection or PKliting them, but its a bit
  66.                   of overkill and I leave it to the individual user.
  67.  
  68.                   -URNST KOUCH
  69.                   VIRUS_MAN BBS 215-PRI-VATE
  70.                   DARK KOFFIN BBS/CryPt 215-966-3576
  71.                   
  72.     
  73.