home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / virus / 4856 < prev    next >
Encoding:
Internet Message Format  |  1993-01-07  |  2.5 KB
  1. Path: sparky!uunet!think.com!yale.edu!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
  3. Newsgroups: comp.virus
  4. Subject: Re: Invalid Boot Sectors (PC)
  5. Message-ID: <0005.9301071651.AA16031@barnabas.cert.org>
  6. Date: 5 Jan 93 22:58:25 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 51
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. >From:    "Roger Riordan" <riordan@tmxmelb.mhs.oz.au>
  12.  
  13. >I recently wrote
  14.  
  15. >>In a recent comment on a query by MOPURC01@ULKYVM.LOUISVILLE.EDU 
  16. >>(Michael Purcell) about a virus which allegedly made disks 
  17. >>unreadable I wrote.
  18.  
  19. >>> If you put the wrong byte in the wrong place you can get the 
  20. >>> symptoms described.  ...
  21.  
  22. >It appears the original message got lost, but the gist was that, 
  23. >IN THEORY, it is possible to write a BS virus which is invisible 
  24. >on an infected PC, but impossible to detect on an uninfected PC 
  25. >with any existing scanner because DOS will crash if any attempt is 
  26. >made to access an infected disk. 
  27.  
  28. This is something that experimentation has been done on. What I have
  29. found is that:
  30.  
  31. a) If the Partition table is missing certain DOS signature bytes, DOS
  32.    will refuse to recognise the disk (but a floppy boot will still work).
  33.  
  34. b) If certain bytes in an otherwise good P-Table have certain wrong values
  35.    a floppy boot may hang (which bytes and what values are DOS version
  36.    dependant).
  37.  
  38. c) Even given (a) or (b), BIOS software can restore bootability (I have
  39.    a version of FIXMBR that loads and runs from the BIOS just like
  40.    the early Microsoft Flight Simulator).
  41.  
  42. d) *Every* MBR infection that I have seen is detectable if you
  43.    look in the right places. "Stealth" can always be bypassed with a
  44.    direct BIOS call.
  45.  
  46. In other words, every infection I have seen is recoverable with the
  47. right tools (usually DEBUG, FDISK, & SYS). Sometimes it is not worth
  48. the bother since repair via E-Mail is somewhat more difficult, but
  49. whatever is not corrupted can be retrieved and that which has been
  50. corrupted can usually be restored. In general I have found that the
  51. stupider the program, the more likely it will work.
  52.  
  53. I am glad that the above said "IN THEORY" since an undetectable,
  54. invisible virus that can make a system completely unbootable except 
  55. from the hard disk just cannot exist. (Note, I am not including
  56. access control programs that encrypt the whole disk and rely on
  57. input of the key by the user for decryption - this could be made
  58. "strong enough" - but a self-contained program cannot. Period.
  59.  
  60.         82 today - what Floridians put up with summer for, 
  61.                         Padgett
  62.