home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / 1260.RPT next >
Encoding:
Text File  |  1991-05-28  |  5.2 KB  |  100 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   First Report on 1260, aka V2P1
  11.   ==============================
  12.  
  13.   Other viruses in this family: V2P2, V2P6, V2P6Z, CASPER
  14.  
  15.   1260 which was reported in January 1990 introduced 'confusion' code
  16.   as a method of discouraging disassembly and, since then, the
  17.   technique is being increasingly copied.  See FLIP, FISH and
  18.   particularly MOTHER FISH.
  19.  
  20.   1260 is largely based on VIENNA but the overwrite mechanism has been
  21.   removed.
  22.  
  23.   The unencrypted stub on 1260 has been randomized to make detection
  24.   even more difficult.
  25.  
  26.                         ++++ more ++++
  27.  
  28. ====== Computer Virus Catalog 1.2: 1260 Virus (11-February-1991) =====
  29. Entry................. 1260 Virus
  30. Alias(e).............. Variable, Chameleon, Camouflage, Stealth, V2P1
  31. Strain................ distantly related to Vienna strain
  32. Detected: when........
  33.           where.......
  34. Classification........ Program Virus with direct action, COM infector
  35. Length of virus....... 1260 Bytes
  36. ----------------------- Preconditions --------------------------------
  37. Operating System(s)... MS-DOS
  38. Version/Release....... 2.xx and upwards
  39. Computer models....... IBM PC's and compatibles
  40. ------------------------Attributes -----------------------------------
  41. Easy identification... The seconds field of the timestamp of any
  42.                           infected program will be 62 seconds.
  43. Type of infection..... Program virus with direct action. It only in-
  44.                           fects files with COM extension. It replaces
  45.                           first 3 bytes with a jump to the virus.
  46. Infection trigger..... Execution of an infected file
  47. Media affected........ The virus will infect any COM file in the
  48.                           current directory.
  49. Interrupts hooked..... INT 1 and INT 3 while virus is executing
  50. Damage................ transient: ---
  51.                        permanent: ---
  52. Particularities....... The actual virus code is encrypted once over
  53.                           the whole code, and various single bytes
  54.                           are also encrypted throughout the virus.
  55.                           These bytes are decrypted prior to exec-
  56.                           ution, using its INT 3 (break point)
  57.                           routine to decrypt, and its INT 1 (trace)
  58.                           routine to encrypt. The encryption routine
  59.                           used to decrypt the entire virus is obscur-
  60.                           red by the addition of irrelevant instruc-
  61.                           tions and by scrambling the order of the
  62.                           instructions from infection to infection.
  63.                           As a consequence of this stealth technique,
  64.                           it is not possible to extract any scan
  65.                           string from this virus at all.
  66. Similarities.......... The virus is similar to Vienna virus, but
  67.                           highly modified, to contain the encryption
  68.                           methods described above.
  69. ----------------------- Acknowledgement ------------------------------
  70. Location.............. Virus Test Center, University Hamburg, Germany
  71. Classification by..... Morton Swimmer
  72. Dokumentation by ..... Morton Swimmer
  73. Date.................. 12-February-1991
  74. ====================== End of 1260 Virus =============================
  75.  
  76. ======================================================================
  77. ==  For their outstanding support and continued help, we thank      ==
  78. ==  David Ferbrache (Edinburgh), Christoph Fischer (Karlsruhe),     ==
  79. ==  Yisrael Radai (Jerusalem), Fridrik Skulason (Rejkjavik) and     ==
  80. ==  Yuval Tal (Rehovot).                                            ==
  81. ==  Critical and constructive comments as well as additions are     ==
  82. ==  appreciated. Descriptions of new viruses are appreaciated.      ==
  83. ======================================================================
  84. == The Computer Virus Catalog may be copied free of charges provided =
  85. == that the source is properly mentioned at any time and location   ==
  86. == of reference.                                                    ==
  87. ======================================================================
  88. ==  Editor:   Virus Test Center, Faculty for Informatics            ==
  89. ==            University of Hamburg                                 ==
  90. ==            Schlueterstr. 70,  D2000 Hamburg 13, FR Germany       ==
  91. ==            Prof. Dr. Klaus Brunnstein, Simone Fischer-Huebner    ==
  92. ==            Tel: (040) 4123-4158 (KB), -4175 (SFH), -4162(Secr.)  ==
  93. ==  Email (EAN/BITNET): brunnstein@rz.informatik.uni-hamburg.dbp.de ==
  94. ======================================================================
  95.  
  96.  
  97.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  98.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  99.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  100.