home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / virus / 4821 < prev    next >
Encoding:
Internet Message Format  |  1993-01-05  |  2.1 KB

  1. Path: sparky!uunet!elroy.jpl.nasa.gov!usc!cs.utexas.edu!qt.cs.utexas.edu!yale.edu!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: riordan@tmxmelb.mhs.oz.au (Roger Riordan)
  3. Newsgroups: comp.virus
  4. Subject: Clash between FDISK/MBR and scanners (PC)
  5. Message-ID: <0007.9301051858.AA13030@barnabas.cert.org>
  6. Date: 24 Dec 92 01:55:07 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 35
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. The command FDISK /MBR is often recommended for removing MBR 
  12. infectors (Stoned, etc) from hard disks.  However in some 
  13. circumstances this can cause problems with some scanners.  It 
  14. appears that some versions of FDISK/MBR rewrite the Master Boot 
  15. Record only as far as the end of the error messages, leaving the all 
  16. important partition information unchanged, but also leaving any 
  17. viral code between the messages and the partition information.
  18.  
  19. This will cause problems if the user later scans the disk with a 
  20. scanner which uses a string in this area to detect the virus.
  21.  
  22. In our case VET reported that the MBR of a PC was infected, and the 
  23. recovered copy of the MBR was also infected, but the PC booted OK, 
  24. the top of memory was OK, the virus was not in memory, and the PC 
  25. did not infect floppies.  The main part of the MBR seemde normal, 
  26. but code from Stoned followed the messages.  It appears that the PC 
  27. had twice been infected with Stoned, and each time it had been 
  28. removed using FDISK/MBR.  Thus both the MBR, and the copy saved by 
  29. Stoned, contained viral code, which included the template used by 
  30. VET.
  31.  
  32. FPROT reported the infected MBR as 
  33.      Master boot sector: Possibly a new varient of Stoned.
  34.  
  35. SCAN, Dr. S Toolkit, did not report any virus.
  36.  
  37. We understand that FDISK was definitely run on this PC, but we could 
  38. not confirm that FDISK was responsible, as it cleared this part of 
  39. the MBR when we used it to remove Stoned from an experimentally 
  40. infected PC.
  41.  
  42. Roger Riordan                     riordan.cybec@tmxmelb.mhs.oz.au
  43.  
  44. CYBEC Pty Ltd.                                 Tel: +613 521 0655
  45. PO Box 205, Hampton Vic 3188   AUSTRALIA       Fax: +613 521 0727
  46.