home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / ALABAMA.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  2.3 KB  |  57 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   ALABAMA VIRUS
  11.   =============
  12.  
  13.   Extract form Virus-L 2:214
  14.  
  15.   Date:    Thu, 05 Oct 89 14:33:43 +0200
  16.   From:    Y. Radai, Hebrew University of Jerusalem
  17.  
  18.   Two new viruses have been discovered in Israel.  One of them is
  19.   called the Alabama virus (The other, reported separately, was 4K).
  20.  
  21.   It infects EXE files and increases their size by 1560 bytes.
  22.  
  23.   Unlike many other resident viruses, it does not use Int 21h function
  24.   31h to stay resident.  It loads itself 30K under the highest memory
  25.   location reported by DOS, but (unlike MIX1) it does not lower the
  26.   amount of memory reported by BIOS or DOS.
  27.  
  28.   It hooks Int 9 and checks for Ctrl-Alt-Del.  (It uses IN and OUT
  29.   commands to confuse anti-virus people.) When it identifies this com-
  30.   bination it causes an apparent boot but remains in RAM.
  31.  
  32.   After 1 hour of operation (the virus checks the time on each Int 9
  33.   or Int 21 call), the following flashing boxed message appears:
  34.  
  35.   SOFTWARE COPIES PROHIBITED BY INTERNATIONAL LAW..............
  36.   Box 1055 Tuscambia ALABAMA USA.
  37.  
  38.   This virus does not necessarily infect the file which is currently
  39.   being executed.  First it looks for an uninfected file in the
  40.   current directory, and if it finds one it infects it.  Only if it
  41.   does not find one does it infect the executed file.
  42.  
  43.   But sometimes, when it finds an uninfected file, instead of infect-
  44.   ing it, it will *exchange* it with the currently executed file
  45.   without renaming it, so that the user will think that he is
  46.   executing one pro- gram while he is actually executing another one!
  47.  
  48.   My thanks to Eli Shapira for this info.
  49.  
  50.                                           Y. Radai Hebrew Univ.  of
  51.                                           Jerusalem
  52.  
  53.  
  54.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  55.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  56.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  57.