home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / virus / 3503 < prev    next >
Encoding:
Internet Message Format  |  1992-07-30  |  3.0 KB
  1. Path: sparky!uunet!cs.utexas.edu!sdd.hp.com!mips!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: chess@watson.ibm.com (David M. Chess)
  3. Newsgroups: comp.virus
  4. Subject: Re: How do I reverse the effect(s) of Stoned ? (PC)
  5. Message-ID: <0013.9207302004.AA22651@barnabas.cert.org>
  6. Date: 29 Jul 92 17:31:38 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 49
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. > From:    lachlan@dmp.csiro.au (Lachlan Cranswick)
  12. > ...
  13. > Stoned is quite happy to exist on a hard-disk which it slowly corrupts.
  14.  
  15. No.  Sorry to be contrary, but this is one of the most common viruses,
  16. and misinformation about it is a bad thing.  The Stoned virus writes
  17. to a hard disk one and only one time: when the machine is booted from
  18. an infected floppy diskette.  It never makes any alterations to the
  19. hard disk after that.  No slow corruption, or fast corruption either,
  20. for that matter (with one exception; see the next paragraph).
  21.  
  22. On some hard disks (those with the first partition stored immediately
  23. after the master boot record, rather than at the start of the next
  24. track), the virus will save a copy of the master boot record over
  25. part of DOS's data space (generally one of the FATs).   (This is
  26. a bug in the virus, and apparently not intentional; the space is
  27. unused on most hard disks.)  This can cause immediate problems
  28. if that part of the FAT is in use for files (the files will
  29. become cross-linked, invalid, and so on; CHKDSK will report
  30. many errors).  If that part of the FAT is not in use, problems
  31. may occur later, when the disk gets fuller and DOS tries to
  32. use the part of the FAT that contains the saved original MBR.
  33. The machine may not boot from the hard disk, for instance.
  34.  
  35. Cleaning up from a Stoned infection just involves reconstructing
  36. or restoring the code part of the Master Boot Record, using
  37. FDISK /MBR to rebuild the code from scratch (carefully! see back
  38. issues of VIRUS-L for details), or using any anti-virus program
  39. that can find and restore the original MBR.  If the old MBR was
  40. placed in the FAT, and DOS has altered it (so the machine no
  41. longer boots from the hard disk), that won't work, and a
  42. rebuild-the-code-from-scratch is called for (unless you have
  43. a backup of the MBR lying around).  Also if the old MBR was
  44. placed in the FAT, and that part of the FAT was in use for
  45. files, the files should be restored from backups (although
  46. if any are critical and not backed up, lots of slogging
  47. with some disk-explorer should be able to find the data
  48. eventually).
  49.  
  50. The "hard drive named D:" effect in the original posting
  51. doesn't ring any bells with me.   What does DOS think about
  52. C:?   What does "DIR C:" do?   I've not heard of the Stoned
  53. causing this effect before.  Might be a coincidence, or
  54. an unusual interaction with something about your hard disk.
  55.  
  56. - - -- -
  57. David M. Chess                |  "Some look at the world as it is, and
  58. High Integrity Computing Lab  |   ask 'why?'. I look at the world as it is,
  59. IBM Watson Research           |   and say 'Hey, neat hack!'."  - J. R. H.
  60.