home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / 4096.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  23.9 KB  |  432 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.   The 4096 virus has spread rapidly in Israel, where it was first
  10.   reported in October 1989 to the USA and the UK.
  11.  
  12.   The FISH virus is based on it.
  13.  
  14.   Vesselin Bontchev reported in May 1990:
  15.  
  16.   No, we don't have this virus in Bulgaria, at least - not yet.  But
  17.   Morton Swimmer gave me a copy of an infected file.  I studied it a
  18.   bit and now I can say that this is the virus which is the easiest
  19.   one to get rid of. Just run an infected file - to ensure that the
  20.   virus is in memory. Then for each directory of your disks execute
  21.   the commands
  22.  
  23.           copy *.com nul
  24.           copy *.exe nul
  25.  
  26.   After this turn the computer off to remove the virus from memory.
  27.   That's all - your files are no longer infected.
  28.  
  29.  
  30. ======= Computer Virus Catalog 1.2: "4096" Virus (5-June-1990) =======
  31. Entry...............: "4096" virus
  32. Alias(es)...........: "100 years" Virus = IDF Virus = Stealth Virus.
  33. Virus Strain........: ---
  34. Virus detected when.: October 1989.
  35.               where.: Haifa, Israel.
  36. Classification......: Program Virus (extending), RAM-resident.
  37. Length of Virus.....: .COM files: length increased by 4096 bytes.
  38.                       .EXE files: length increased by 4096 bytes.
  39. -------------------- Preconditions -----------------------------------
  40. Operating System(s).: MS-DOS
  41. Version/Release.....: 2.xx upward
  42. Computer model(s)...: IBM-PC, XT, AT and compatibles
  43. -------------------- Attributes --------------------------------------
  44. Easy Identification.: ---
  45. Type of infection...: System: Allocates a memory block at high end of
  46.                               memory. Finds original address (inside
  47.                               DOS) of Int 21h handler. Finds original
  48.                               address (inside BIOS) of Int 13h
  49.                               handler, therefore bypasses all active
  50.                               monitors.  Inserts a JMP FAR to virus
  51.                               code inside original DOS handler.
  52.                       .COM files: program length increased by 4096
  53.                       .EXE files: program length increased by 4096
  54. Infection Trigger...: Programs are infected at load time (using the
  55.                       function Load/Execute of MS-DOS), and whenever
  56.                       a file Access is done to a file with the exten-
  57.                       sion of .COM or .EXE, (Open file AH=3D,
  58.                       Create file AH=3C, File attrib AH=43,
  59.                       File time/date AH=57, etc.)
  60. Interrupts hooked...: INT21h, through a JMP FAR to virus code inside
  61.                               DOS handler;
  62.                       INT01h, during virus installation & execution
  63.                               of DOS's load/execute function (AH=4B);
  64.                       INT13h, INT24h during infection.
  65. Damage..............: The computer usually hangs up.
  66. Damage Trigger......: A Get Dos Version call when the date is after
  67.                       the 22th of September and before 1/1 of next
  68.                       year.
  69. Particularities.....: Infected files have their year set to (year+100)
  70.                       of the un-infected file.
  71.                       If the system is infected, the virus redirects
  72.                       all file accesses so that the virus itself can
  73.                       not be read from the file. Also, find first/next
  74.                       function returns are tampered so that files with
  75.                       (year>100) are reduced by 4096 bytes in size.
  76. -------------------- Agents ------------------------------------------
  77. Countermeasures.....: Cannot be detected while in memory, so no
  78.                       monitor/file change detector can help.
  79. Countermeasures successful:
  80.                       1) A Do-it-yourself way: Infect system by
  81.                          running an infected file, ARC/ZIP/LHARC/ZOO
  82.                          all in- fected .COM and .EXE files, boot from
  83.                          unin- fected floppy, and UNARC/UNZIP/LHARC E
  84.                          etc.  all files.  Pay special attention to
  85.                          disin- fection of COMMAND.COM.
  86.                       2) The JIV AntiVirus Package (by the author of
  87.                          this contribution)
  88.                       3) F. Skulason's F-PROT package.
  89. Standard means......: ---
  90. -------------------- Acknowledgement ---------------------------------
  91. Location............: Weizmann Institute, Israel.
  92. Classification by...: Ori Berger
  93. Documentation by....: Ori Berger
  94. Date................: 26-February-1990
  95.  
  96.  
  97. ==================== End of "4096" Virus =============================
  98.  
  99.  
  100.   Report from Jim Bates - The Virus Information Service - October 1990
  101.  
  102.   === 4K/FRODO/I.D.F Virus ===
  103.  
  104.   The recent hiatus over possible infection by the 4k/FRODO/IDF virus
  105.   centred on the virus's trigger date of 22nd September.  The fact
  106.   that a bug in the code invariably caused the affected machine to
  107.   hang when an infected file was executed tended to make most
  108.   observers dismissive of the problem.  As usual, the dire warnings
  109.   published by some sections of the computer press prior to the
  110.   trigger date were inaccurate both in their prediction of the number
  111.   of infected machines and also in the description of the effects of
  112.   infection.  This virus has been known to researchers for nearly a
  113.   year now and a preliminary report was published in the May 1990
  114.   issue of the Virus Bulletin in which mention was made of this
  115.   virus's capacity to infect data files as well as COM and EXE program
  116.   files.  No mention was made of this fact in the warnings that I saw
  117.   and I heard no reports from elsewhere that it had been mentioned.
  118.   Since the infection of data files by 4K can cause both immediate and
  119.   long term problems for affected users, more detailed information
  120.   concerning the specific effects of data-file infection has been
  121.   gathered and is reported here so that future misunderstandings and
  122.   omissions may be avoided.
  123.  
  124.   4K infects both COM and EXE files by the unusual process of summing
  125.   the ASCII values of the three characters which comprise the filename
  126.   extension.  If the total value of the extension characters of an
  127.   uninfected file is 223 (COM) or 226 (EXE) then infection will take
  128.   place.  It should be noted that the individual characters are first
  129.   OR'ed with 0DF hex and this effectively excludes all characters
  130.   below 64.  The total number of possible file extension which fit
  131.   these criteria has been calculated at 1161 (including inversions and
  132.   rotations) and several of them have been noted as common data file
  133.   extensions.  Among these are OLD, MEM, PIF and QLB which total 223,
  134.   and DWG, LOG and TBL which total 226.  The distinction between the
  135.   two sets is important since the virus necessarily distinguishes
  136.   between the techniques necessary to infect COM or EXE files and the
  137.   amount of corruption to the original file contents will be greater
  138.   for EXE (sum 226) type files.
  139.  
  140.  
  141.   The Effects
  142.  
  143.   4K is a "stealth" virus and contains code which misinforms DOS about
  144.   the contents and length of infected files.  This means that while
  145.   the virus is resident and operative in system memory, infected files
  146.   will appear "clean" to the operating system.  This also means that
  147.   such files will similarly appear "clean" to any program using DOS
  148.   services.  Infected data files, if copied to backup disks or tapes
  149.   will carry the infection with them.  The effect of this is
  150.   remarkably similar to the dBase virus which deliberately sets out to
  151.   corrupt data files.  While the virus is resident, all files will
  152.   appear clean and application programs will function normally.
  153.   However, when the virus is removed (by replacing all affected
  154.   program files), application programs will "see" the corruption
  155.   introduced by viral infection and the effects will be unpredictable.
  156.   In one reported incident concerning DWG (drawing) files, the
  157.   application program aborted with an error when an infected data file
  158.   was encountered on a clean system - although program function was
  159.   fine when the machine was re-infected for test purposes.  In this
  160.   instance (EXE type infection), various bytes within what WOULD have
  161.   been the EXE header were altered by the virus and the 4K of virus
  162.   code was appended to the end of the file.  Since this first section
  163.   of the file contained vital header information, an error was
  164.   encountered as soon as an infected file was accessed and the
  165.   application program aborted.  EXE infection from the 4K virus
  166.   usually changes five fields within the EXE header as follows :-
  167.  
  168.   WORD at offset 04H  =  Number of Pages
  169.   WORD at offset 0EH  =  Stack Segment value
  170.   WORD at offset 10H  =  Stack Pointer value
  171.   WORD at offset 14H  =  Instruction Pointer value
  172.   WORD at offset 16H  =  Code Segment value
  173.  
  174.  
  175.   The Cure
  176.  
  177.   The original contents of these fields can be recovered from the
  178.   beginning of the appended section of virus code.  On EXE type files
  179.   where the sum of the extension characters is 226, the original 28
  180.   byte header is stored at the beginning of the virus code and may be
  181.   identified by comparison with the unmodified fields of the header.
  182.   The actual storage position will always be 4 bytes on from a
  183.   paragraph boundary (ie:  divisible by 16) and will be near the start
  184.   of the last 4096 bytes of the infected file.  Disinfection in this
  185.   case can easily be accomplished by replacing the original header and
  186.   truncating the file by exactly 4096 bytes.  A similar pattern is
  187.   used for the infection of COM type files where the sum of the
  188.   extension characters is 223 but in this case, only the first six
  189.   bytes of the file are altered and need to be recovered (although the
  190.   original 28 bytes are saved exactly as in EXE infection).  Obviously
  191.   the effects of such data corruption are unpredictable and will
  192.   depend upon the type of information and how the relevant application
  193.   program accesses it.  The DWG files mentioned above contained
  194.   graphic data and this may be peculiarly sensitive to this type of
  195.   corruption.
  196.  
  197.   The extensions mentioned above were selected for mention simply
  198.   because they are extremely common and may produce strange effects on
  199.   recently dis- infected systems.  Among the COM type extensions - MEM
  200.   is used by dBase programs as variable storage and may produce errors
  201.   which could be extremely difficult to trace.  PIF files are used by
  202.   various version of Microsoft WINDOWS and again, the effects will
  203.   vary and could be intermittent.  The QLB extension is used by
  204.   Microsoft's QuickBASIC environment libraries and infection here will
  205.   usually produce immediate errors when the programming environment is
  206.   invoked with an infected library file.  OLD is an extension used by
  207.   many packages and along with QLB it presents a special problem.
  208.  
  209.   The fact that infected data files may exist on backup disks may be a
  210.   problem when data integrity is paramount but the virus code is
  211.   unlikely to find its way back into the processing stream and thus
  212.   become "live" again.  However, when considering the OLD and QLB
  213.   extensions (and possibly others), there is a distinct chance of this
  214.   "dormant" code being re-activated.  The QLB files for example are
  215.   actually in EXE format (with the familiar MZ header word) but they
  216.   do contain executable code which remains untouched when the COM type
  217.   infection of 4K is introduced.  Thus under certain circumstances,
  218.   invocation of QuickBASIC's environment may execute the virus code
  219.   and re-install it in memory to begin the replication process all
  220.   over again.  The OLD extension presents even more risk since there
  221.   are several program optimisation utilities which rename an original
  222.   program file with an OLD extension prior to generating a modified
  223.   file.  One of the best known of these is the LZEXE file packing
  224.   program.   LZEXE is an excellent utility in widespread use which
  225.   produces significant reductions in size when applied to ordinary EXE
  226.   files.  The reduction is done by creating a self-extracting archive
  227.   of the original program file which unpacks itself in memory when it
  228.   is run.  The original (unpacked) version of the file is renamed with
  229.   an OLD extension and the danger with 4K infection is that when the
  230.   packed file becomes infected, a user might delete it and rename the
  231.   OLD file back to EXE before either using it or repacking it.  In
  232.   spite of the fact that files with an OLD extension are infected as
  233.   COM files, renaming an infected one as EXE and trying to run it WILL
  234.   re-infect a system.
  235.  
  236.   With infections of the 4K virus, it is therefore plain that ALL
  237.   files should be checked for infection and replaced with clean copies
  238.   if possible.  Since backups may be corrupted, a good, reliable,
  239.   disinfection program is a must to recover damaged data files.
  240.   During tests to confirm some of the effects described in this
  241.   article, I had occasion to try four 4K disinfection programs and I'm
  242.   sad to report that two of them did not disinfect the target file
  243.   correctly and errors occurred even after the virus code was removed.
  244.   The relevant vendors have been informed and are looking into the
  245.   problem.
  246.  
  247.   VIS Classification - CEARSdD4096A
  248.  
  249.     **************************** UPDATE ***************************
  250.  
  251.   Update report from Jim Bates - The Virus Information Service -
  252.   December 1990
  253.  
  254.   === Disinfection Report ===
  255.  
  256.   During recent testing of the effects of data corruption experienced
  257.   after an infection of the 4K virus, it was noted that commercially
  258.   available disenfection routines were not as effective as they
  259.   claimed to be.  These routines were put aside until the 4K problem
  260.   was completely resolved but they have since been examined in greater
  261.   detail and the results that were obtained have led to the following
  262.   discussion of disinfection techniques and the associated pitfalls
  263.   which may be encountered.
  264.  
  265.   The actual process of disinfection must first be defined as
  266.   returning a file (or disk sector) back to EXACTLY the condition it
  267.   was in prior to being infected by virus code.  This will naturally
  268.   included the restoration of content, length, attributes, date/time
  269.   settings and possibly even the cluster location on the disk (for
  270.   copy protected software).  It may well be that restoration of all of
  271.   the above items is unnecessary in most instances, but there are
  272.   certainly occasions when they ARE all needed for correct functioning
  273.   of the appropriate software.
  274.  
  275.   While there is an obvious division between Parasitic and Boot Sector
  276.   virus disinfection, there is the less obvious categorisation between
  277.   a generic and specific approach.  The virus-generic versus
  278.   virus-specific argument has caused much heated discussion in virus
  279.   research circles for some time now and it is not the intention to
  280.   resurrect this once again except where it affects disinfection
  281.   capabilities.
  282.  
  283.   Let us first consider Boot Sector viruses - while these are the most
  284.   awkward for ordinary users to recover from, they are actually the
  285.   easiest as far as disinfective software is concerned.
  286.   Virus-specific disinfection software will contain accurate details
  287.   of the virus concerned and by using this will be able to locate the
  288.   original (uninfected) copy of whichever boot sector has been
  289.   affected.  It is then a simple matter of replacing the infected copy
  290.   with the clean one.  Virus-generic software on the other hand, can
  291.   work in one of two ways - if a clean copy of the various system
  292.   sectors has been taken and stored prior to any infection, it is a
  293.   simple matter to repair any infection.  Alternatively, it is often
  294.   possible to reconstruct the relevant sector by specific system
  295.   reference.  Either way, the sector(s) can be repaired without
  296.   reference to the capabilities of the particular virus as long as the
  297.   machine is running on a trusted (ie: clean) operating system.  Most
  298.   Boot Sector viruses cause no permanent damage during their infection
  299.   routine, but there are some (notably the New Zealand or Stoned
  300.   virus) which can cause damage on certain machine types.  In these
  301.   cases, simple disinfection may not be possible and the user may have
  302.   to resort to the ultimate option of reformatting the disk.  This is
  303.   probably an ideal place to clear some of the misunderstandings about
  304.   disk reformatting as a disinfection exercise.  Under most MSDOS
  305.   operating systems, the very first sector on the disk (identified as
  306.   Sector 1, Track zero, Head zero) contains the Master Boot Record.
  307.   This is ALWAYS loaded into memory when the machine is booted and it
  308.   contains the partition table which lists exactly how distinct areas
  309.   of the disk have been allocated.  Now consider a disk which has been
  310.   partitioned into two separate drives (usually C:  and D:), the
  311.   partition table contains the starting and finishing address of each
  312.   partition (in absolute terms of Track/Head/Sector numbers) as well
  313.   as the type, status and other details about it.   Users will be
  314.   aware that if they have a hard disk partitioned in this way, it is
  315.   easily possible to format either drive C: (first partition) or drive
  316.   D:  (second partition) without damaging data stored on the other
  317.   partition.  Thus it can be appreciated that the ordinary DOS FORMAT
  318.   command does not affect the entire disk.  Even if the physical drive
  319.   contains only one partition, FORMAT will not touch the Master Boot
  320.   Sector.  So, if a virus has modified the Master Boot Record it
  321.   cannot be removed by an ordinary format, a special - highly machine
  322.   specific - low-level format routine is required, followed by
  323.   reconfiguration and re-partitioning with the DOS FDISK program.
  324.  
  325.   Just as the first sector of the physical disk contains the Master
  326.   Boot Sector, so the first sector of each partition will contain a
  327.   Partition Boot Sector.  If there is more than one partition, one of
  328.   them will be marked within the Master Partition Table as "active"
  329.   and the boot sector of this partition will also be loaded into
  330.   memory when the machine is booted.  Obviously, viruses which infect
  331.   the Partition Boot Record can be destroyed by the normal DOS FORMAT
  332.   command.
  333.  
  334.   Files infected by Parasitic Viruses present a different range of
  335.   problems for disinfection software.  The most secure method of
  336.   disinfection is still to delete the infected file and replace it
  337.   with a known clean copy from a verified and protected master disk.
  338.   However, this may be inconvenient - the master disk may not be
  339.   readily available - it may itself have become damaged or corrupted -
  340.   they may not even be a master disk!  Whatever the reason, the user
  341.   may be attracted by the possibility of quick and easy virus
  342.   "removal" facilities being offered as part of an antivirus package.
  343.   This is where virus-specific software can become a real boon (always
  344.   assuming that the particular virus causing you problems is "known"
  345.   to the software).  Most parasitic viruses infect files by appending
  346.   the virus code to the end of the existing file and then modifying
  347.   the original file contents so that processing is routed THROUGH the
  348.   virus code first.  In these cases, the virus will usually repair the
  349.   original file contents so that the host program will continue to
  350.   function correctly.  For these viruses, disinfection is simply a
  351.   matter of detecting the section of virus code that does the repair
  352.   and using the details that it contains to effect a permanent repair
  353.   before actually removing the virus code from the end of the file.
  354.   The problems arise from two directions - if the virus is of the
  355.   stealth type, it may fool the operating system to such an extent
  356.   that any self-checking mechanisms within the host program will "see"
  357.   a clean file exactly as intended.  However, once the stealth
  358.   characteristics are removed from the system, the actual repair of
  359.   the file may not be accurate enough to restore the file to full
  360.   health.  This is actually case with at least three software "cure"
  361.   packages when attempting disinfection of the 4K (Frodo) virus.  In
  362.   this case, the virus code is appended to the host file and aligned
  363.   on a paragraph boundary.  The repair of the header section of the
  364.   file may be perfectly alright but removing the virus code can leave
  365.   the small offset used for paragraph alignment.  On ordinary program
  366.   files this caused now problems but on protected files with
  367.   self-checking routines the extra bytes cause the protection
  368.   mechanisms to trigger and prevent program operation.  On data files,
  369.   the presence of any extra bytes will of course produce totally
  370.   unpredictable results.  On a machine with large numbers of infected
  371.   files, there is no doubt that a virus-specific disinfection
  372.   capability could be an enormous time saver but if the implementation
  373.   is anything other than 100% it is best avoided.
  374.  
  375.   Few implementations of virus-generic recovery software have yet been
  376.   seen and this may be because the processes involved in preparing
  377.   this method are somewhat more time-consuming.  Nevertheless, given
  378.   accurate and well written code, this method does promise much.  The
  379.   theory goes as follows :- assume a program exists which will
  380.   automatically take an exact copy of all specified files (just like a
  381.   backup!) and stores them somewhere.  This program is also capable of
  382.   replacing the originals with the copies on command.  Once the copies
  383.   have been taken, ANY parasitic virus infection can be cured by
  384.   simply restoring the copies and rewriting them over the originals.
  385.   The difficulty is the time and space needed to maintain (and check)
  386.   the copies.  So, if the software is refined so that it no longer
  387.   copies the whole file but just the sensitive sections which are at
  388.   particular risk from virus attack, it can be made much faster and
  389.   will take up less space.  Include similar copies of the Master- and
  390.   Partition-Boot sectors and you have a virus-generic disinfection
  391.   system which will not only disinfect most known viruses, but also
  392.   any of the more primitive virus types which have not yet been
  393.   written!
  394.  
  395.   All of the foregoing refers specifically to changes brought about
  396.   within files by actual virus infection.  As mentioned in the report
  397.   on the NOMENKLATURA virus, corruption introduced by the trigger or
  398.   payload of a virus is almost invariably incurable.
  399.  
  400.   The final solution if you are not sure exactly what is infecting
  401.   your system is to reformat your whole system at low level and then
  402.   reconfigure it from scratch with master program files and data from
  403.   your latest backups.  If you DO know what the problem is, such
  404.   drastic action is unnecessary.  If you are using a commercial cure
  405.   program the best advice would be to verify carefully that the
  406.   "cured" program exactly matches the clean master file before you go
  407.   ahead and use it.
  408.  
  409.   Once again, there is no substitute for regular, verified backups of
  410.   data and configuration files.
  411.  
  412.   The information contained in this report is the direct result of
  413.   disassembling and analysing a specimen of the virus code.  I take
  414.   great pains to ensure the accuracy of these analyses but I cannot
  415.   accept responsibility for any loss or damage suffered as a result of
  416.   any errors or omissions.  If any errors of fact are noted, please
  417.   let me know at :-
  418.  
  419.     The Virus Information Service,
  420.     Treble Clef House,
  421.     64, Welford Road,
  422.     WIGSTON MAGNA,
  423.     Leicester  LE8 1SL
  424.  
  425.   or call +44 (0)533 883490
  426.  
  427.   Jim Bates
  428.  
  429.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  430.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  431.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  432.