home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / AIDSTROJ.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  5.9 KB  |  115 lines
  1.  
  2.          *********************************************
  3.          ***   Reports collected and collated by   ***
  4.          ***            PC-Virus Index             ***
  5.          ***      with full acknowledgements       ***
  6.          ***            to the authors             ***
  7.          *********************************************
  8.  
  9.  
  10. === Computer Virus Catalog 1.2: "AIDS" Trojan (10-February-1991) =====
  11. Entry...............: "AIDS" Trojan
  12. Alias(es)...........: PC Cyborg Trojan
  13. Trojan Strain.......: ---
  14. Trojan detected when: December 1989
  15.               where.: USA, Europe
  16. Classification......: Trojan Horse
  17. Carrier of Trojan...: A hidden file named REM<255> of 146188 bytes;
  18.                       (<255> represents the character ASCII(255));
  19.                       distributed with AIDS.EXE as INSTALL.EXE file
  20.                       on AIDS Information Disk of PC Cyborg, Panama
  21. -------------------- Preconditions -----------------------------------
  22. Operating System(s).: MS-DOS, PC-Dos
  23. Version/Release.....: ---
  24. Computer model(s)...: IBM PC, XT, AT and compatibles
  25. -------------------- Attributes --------------------------------------
  26. Easy Identification.: The string "rem<255> PLEASE USE THE auto.bat
  27.                       FILE INSTEAD OF autoexec.bat FOR CONVENIENCE
  28.                       <255>" can be found in AUTOEXEC.BAT
  29. Installation Trigger: Installing the "AIDS Information Diskette" on
  30.                         hard disk drive C.
  31. Storage media affected:Free space on Partition C:, all directories
  32. Interrupts Hooked...: ---
  33. Damage..............: Permanent damage: All directory entry names are
  34.                         encryped by a simple encryption algorithm:
  35.         A -> } , B -> U , C -> _ , D -> @ , E -> 8 , F -> ! , G -> ' ,
  36.         H -> Q , I -> # , J -> D , K -> A , L -> P , M -> C , N -> 1 ,
  37.         O -> R , P -> X , Q -> Z , R -> H , S -> & , T -> 6 , U -> G ,
  38.         V -> 0 , W -> K , X -> V , Y -> N , Z -> I , # -> C , ! -> S ,
  39.         ' -> $ , ^ -> ~ , _ -> 0 , $ -> 3 , 0 -> R , 1 -> F , 2 -> Y ,
  40.         3 -> { , 4 -> J , 5 -> E , 6 -> T , 7 -> ) , 8 -> M , 9 -> - ,
  41.         @ -> L , ~ -> ^ , & -> 7 , } -> 5 , { -> 4 , ) -> % , ( -> B ,
  42.         - -> 2 , % -> W
  43.  
  44.                          Moreover, 90 extensions known to the program
  45.                          are changed to the following extensions each
  46.                          consisting of one blank plus 2 letters:
  47.  
  48.  COM -> AK , BAK -> AD , EXE -> AU , PRG -> BR , BAT -> AG , DBF -> AN
  49.  DOC -> AR , WK1 -> CC , DRW -> DI , NDX -> BK , DRV -> CI , BAS -> AF
  50.  OVR -> BN , FNT -> AW , ZBA -> CH , SYS -> BZ , FLB -> DJ , FRM -> AX
  51.  DAT -> AL , LRL -> CJ , OVL -> BM , HLP -> BA , PIC -> DK , XLT -> CF
  52.  MNU -> BI , TXT -> CB , CAL -> CK , FON -> CL , SPL -> CM , PAT -> DL
  53.  MAC -> CN , STY -> BY , VFN -> DM , TST -> CO , GEM -> DN , FIL -> AV
  54.  DEM -> AP , REN -> DO , IMG -> DP , RSC -> DQ , MSG -> BJ , MEM -> DR
  55.  REC -> BX , GLY -> AZ , CMP -> BI , LGO -> CP , DCT -> AO , GRB -> CQ
  56.  CNF -> AJ , INI -> BB , GRA -> CR , DB  -> AM , DTA -> CS , APP -> AC
  57.  CAT -> AH , DIR -> AQ , DVC -> AS , DYN -> AT , INP -> BC , LBR -> BD
  58.  LOC -> BF , MMF -> BH , OUT -> BL , PGG -> BO , PIF -> BP , PRD -> BQ
  59.  PRN -> BS , SCR -> BU , SET -> BV , SK  -> BW , ST  -> BX , TAL -> CA
  60.  WK2 -> CD , WKS -> CE , XQT -> CG , $$$ -> CT , VC  -> CU , TMP -> CV
  61.  PAS -> CW , QBJ -> CX , MAP -> CY , LST -> CZ , LIB -> DA , ASM -> DB
  62.  BLD -> DC , COB -> DD , DIF -> DH , FMT -> DG , MDF -> BG , FOR -> DF
  63.  
  64.                         The free space on partition C is filled with a
  65.                         file containing a number of strings consisting
  66.                         of blanks followed by CR/LF. Every time the
  67.                         computer boots, a COMMAND.COM is simulated.
  68.                         Almost all commands are requested by an error
  69.                         message. DIR shows the directory before
  70.                         encryption.
  71.  
  72. Damage..............: Transient damages: from time to time, the fol-
  73.                         lowing message is displayed:
  74.  
  75.  "It is time to pay for your software lease from PC Cyborg
  76.  Corporation.  Complete the INVOICE and attach payment for the lease
  77.  option of your choice.If you don't use the printed INVOICE, then be
  78.  sure to refer to the important reference numbers below in all
  79.  correspondence.
  80.  
  81.   In return you will recieve:
  82.     - a renewal software package with easy to follow,
  83.       complete instructions;
  84.     - an automatic, self installing diskette
  85.       that anyone can apply in minutes."
  86.  
  87. Damage Trigger......: Booting the system 90 times (9 in some cases)
  88. Particularities.....: AIDS.EXE will only run after installation on
  89.                         drive C.
  90.                       Some hidden directories are created containing
  91.                       hidden subdirectories and some files which are
  92.                       used by the trojan; filenames contain blanks and
  93.                       can't be accessed via COMMAND.COM.  AIDS.EXE and
  94.                       INSTALL.EXE have been written in Microsoft Quick
  95.                       Basic 3.0; according to VTCs retroanalysis, the
  96.                       program quality and the encryption method show
  97.                       moderate quality; more- over, the dialog as well
  98.                       as the function to evaluate the personal risk of
  99.                       an AIDS infect- ion, are rather primitive.
  100.  
  101. -------------------- Acknowledgement --------------------------------
  102.  
  103. Location............: Virus Test Center,
  104.                       University Hamburg, Germany Classification
  105.                       by...: Ronald Greinke, Uwe Ellermann
  106. Documentation by....: Ronald Greinke
  107. Date................: 10-February-1991
  108. ==================== End of AIDS Trojan =============================
  109.  
  110.  
  111.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  112.   +++++++++++++++++++++++++++++ ends +++++++++++++++++++++++++++++++
  113.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  114.  
  115.