home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / ATTENT.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  4.6 KB  |  93 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.   Report from Jim Bates - The Virus Information Service - November
  10.   1990
  11.  
  12.   === Attention Virus ===
  13.  
  14.   Examples of virus code continue to come in to UK researchers in
  15.   ever-increasing numbers.  Fortunately however, the number of new
  16.   techniques used by the virus writers is diminishing and the task of
  17.   detecting generic virus activity is thereby becoming somewhat
  18.   easier.  Most of the simpler parasitic virus types can be fairly
  19.   easily classified and their capabilities are already well-known and
  20.   adequately catered for within existing detection software.
  21.   Occasionally we see something new or unusual which may require some
  22.   minor modification to existing detection/prevention techniques and
  23.   this is where detailed disassembling of the particular virus
  24.   involved becomes so valuable.
  25.  
  26.   An example of this was found recently in a virus known to be at
  27.   large in Russia.  It was sent to us under the name of "ATTENTION"
  28.   although disassembly of the sample revealed that the name was
  29.   actually a part of the infected host program.  However, we'll
  30.   continue to refer to it by this name to avoid more confusion over
  31.   virus aliases.  The virus is a small one (infective length is 377
  32.   bytes) and the major part of the code is unremarkable.  There is no
  33.   trigger routine (although there may be some additional strain placed
  34.   on the floppy drive motor), the code simply replicates amongst files
  35.   with an extension ending in "OM" (this obviously includes all COM
  36.   files) where the length is between 786 and 64921 bytes inclusive.
  37.   Infection is invoked during the DOS LOAD/EXECUTE function (4BH),
  38.   appending the virus code to the file and modifying the original host
  39.   jump (having first saved the original values).  During infection,
  40.   file attributes are modified and then reset so that READ ONLY and
  41.   HIDDEN files are equally vulnerable.  The original file date is not
  42.   maintained and infected files will show the date of infection when a
  43.   DIR listing is done to the screen.
  44.  
  45.   The interesting section of the code occurs within a Critical Error
  46.   handling routine which the virus installs to the INT 24H vector.  No
  47.   attempt is made to check or link to the existing handler, and the
  48.   new handler address is re-installed during each LOAD/EXECUTE
  49.   request.  Within this handler routine, after the flags and major
  50.   registers have been saved on the stack, a retry count of three is
  51.   set up and the code then goes into a timing delay loop before
  52.   addressing the floppy disk controller directly through its port.
  53.   The data mask is set to No Reset, Enable INT and DMA access and turn
  54.   the drive motor off.  Then there is another timing delay loop before
  55.   the port is accessed again but this time with the Motor On bit set
  56.   in the data mask.  This sequence is executed three times (via the
  57.   retry count) and the routine finally restores the registers and
  58.   returns with a value of three in the AL register.  No immediate
  59.   damage or corruption is caused by this routine, although it is
  60.   possible that continued ON/OFF switching in this way might cause
  61.   excessive stress to the drive motor.
  62.  
  63.   One of the areas which are awkward to monitor within an ordinary PC
  64.   environment is that associated with direct port access and this
  65.   virus is the first we have seen which uses it (albeit for unclear
  66.   reasons).  Further developments along these lines are expected but
  67.   fortunately, the knowledgable section of the anti-virus fraternity
  68.   is already forewarned and such techniques have been well
  69.   anticipated.
  70.  
  71.   VIS Classification - CcAR377A
  72.  
  73.   The information contained in this report is the direct result of
  74.   disassembling and analysing a specimen of the virus code.  I take
  75.   great pains to ensure the accuracy of these analyses but I cannot
  76.   accept responsibility for any loss or damage suffered as a result of
  77.   any errors or omissions.  If any errors of fact are noted, please
  78.   let me know at :-
  79.  
  80.     The Virus Information Service,
  81.     Treble Clef House,
  82.     64, Welford Road,
  83.     WIGSTON MAGNA,
  84.     Leicester  LE8 1SL
  85.  
  86.   or call +44 (0)533 883490
  87.  
  88.   Jim Bates
  89.  
  90.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  91.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  92.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  93.