home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / AZUSA.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  3.3 KB  |  82 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   STONED variant: AZUSA
  11.   ---------------------
  12.  
  13.   Date:    Wed, 27 Mar 91 11:31:48 -0500
  14.   From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  15.   Subject: Azusa (PC)
  16.  
  17.   It seems that quite a few folks are getting hit by the AZUSA virus.
  18.   Removing it, while not very difficult, is complicated by the fact
  19.   that the virus has completely overwritten the master boot record
  20.   code so that the original cannot be simply retrieved from another
  21.   location as with most such viruses (STONED, JOSHI, etc). Since the
  22.   virus has also overwritten the ASCII warning messages, simple
  23.   patching of the virus code to remove the infection is not a good
  24.   solution.
  25.  
  26.   The virus does contain the essential partition table information
  27.   from the uninfected code in the proper offset (BE - FD) so removal
  28.   of the virus requires the following steps:
  29.  
  30.   1) Obtain a "good" master boot record from the same DOS version or
  31.   higher.
  32.  
  33.   2) Cold boot the infected machine from a write protected
  34.   floppy
  35.  
  36.   3) Extract the partition table information from the virus 4)
  37.   Graft the partition table into the uninfected MBR code 5) Overwrite
  38.   the virus with the composite MBR code.
  39.  
  40.   The following assembly language fragment can be used to perform this
  41.   function. It assumes that a "good" MBR has been loaded into offset
  42.   200h-3FFh and that the infected PC has been cold-booted clean.
  43.   (DEBUG format).
  44.  
  45.   MOV AX,0201                            ;read a sector
  46.   MOV BX,0400                            ;into offset 400h-5FFh
  47.   MOV CX,0001                            ;MBR
  48.   MOV DX,0080                            ;fixed disk
  49.   INT 13
  50.   CMP WORD PTR [03FE],AA55               ;make sure it was read
  51.   JZ 0118
  52.   JMP 013C                               ;exit with ERRORLEVEL if not
  53.   PUSH CS                                ;align segment registers
  54.   (0118) POP DS
  55.   PUSH DS
  56.   POP ES
  57.   MOV SI,05BE                            ;point si & di at table areas
  58.   MOV DI,03BE
  59.   MOV CX,0020                            ;40 bytes = 20 words
  60.   REPZ
  61.   MOVSW                                    ;put table into clean MBR
  62.   MOV AX,0301                            ;write one sector (0127)
  63.   MOV BX,0200                            ;from the "good" area
  64.   MOV CX,0001                            ;to MBR
  65.   MOV DX,0080                            ;of infected disk
  66.   INT 13                                 ;we could read it before so
  67.   JB 0127                               ;try again on failure
  68.   MOV AX,4C00                           ;exit ERRORLEVEL zero (pass)
  69.   INT 21
  70.   MOV AX,4C01                      ;exit ERRORLEVEL one (fail) (013C)
  71.   INT 21
  72.  
  73.       Padgett
  74.  
  75.    ps - fiddling at this level is not for the inexperienced, caveat
  76.    y'all.
  77.  
  78.  
  79.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  80.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  81.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  82.