home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / virus / 4891 < prev    next >
Encoding:
Internet Message Format  |  1993-01-12  |  2.2 KB
  1. Path: sparky!uunet!spool.mu.edu!howland.reston.ans.net!zaphod.mps.ohio-state.edu!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: Joshi Question (PC)
  5. Message-ID: <0018.9301121242.AA22066@barnabas.cert.org>
  6. Date: 7 Jan 93 20:10:19 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 35
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. rind@enterprise.bih (David Rind) writes:
  12.  
  13. > Does Joshi trap attempts at warm reboots?  There was an intermittent
  14. > problem with a new program on a computer that turned out
  15. > to be infected with Joshi.  The problem was sporadic enough that I
  16. > can't be certain that getting rid of Joshi eliminated it, but if
  17. > Joshi was trapping Alt-Ctrl-Del, then that would explain the "bug".
  18.  
  19. Yes, Joshi intercepts INT 9 (the keyboard interrupt) and checks for
  20. Alt-Ctrl-Del. If it is detected, the virus tries to "survive the warm
  21. reboot". That is, it clears the screen, restores the interrupt vectors
  22. it has saved while it has been loaded in memory, and issues INT 19h.
  23. This will actually reboot the computer without cleaning the memory,
  24. thus the virus will not be destroyed.
  25.  
  26. A careful user will not be fooled by that, because most machines
  27. display a lot of messages during the warm reboot. These messages come
  28. from the BIOS. Unfortunately, this is not reliable enough, because
  29. most people are not careful and will not make the difference between a
  30. real warm reboot and the virus just blanking the screen (i.e., no
  31. messages). On the top of that, some computers (mainly true IBM PC or
  32. PS/2s) do not display any messages during the warm reboot...
  33.  
  34. This has created the myth that some viruses are able to survive a warm
  35. reboot. They cannot, or at least they cannot do this unnoticeably on
  36. most computers, but nevertheless you are always advised to cold-boot
  37. when you suspect a virus in memory...
  38.  
  39. Regards,
  40. Vesselin
  41. - -- 
  42. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  43. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  44. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  45. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  46.