home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / BLOODY!.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  6.4 KB  |  158 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   Date:    12 Dec 90 14:51:41 -0500
  11.   From:    Ray Glath <76304.1407@CompuServe.COM>
  12.   Subject: virus report (PC)
  13.  
  14.                  BEIJING VIRUS (a.k.a. "Bloody" virus)
  15.  
  16.   December 7, 1990
  17.  
  18.   Copyright Raymond M. Glath, Sr.
  19.             President
  20.  
  21.             RG Software Systems, Inc.
  22.             6900 E. Camelback Road, #630
  23.             Scottsdale, AZ  85251
  24.             (602) 423-8000
  25.  
  26.   New virus discovery.
  27.  
  28.   First reported appearance on a number of computers in the Civil
  29.   Engineering Department at Massachusetts Institute of Technology
  30.   (M.I.T.) in Cambridge MA, USA.
  31.  
  32.   Mr. (   ) had been experiencing strange events with several systems.
  33.   Running Vi-Spy showed that there was an un-explainable 2048 bytes of
  34.   RAM that was "hidden" from DOS. Mr. (    ) used Vi-Spy to acquire
  35.   the partition table and boot sector into a file which he then sent
  36.   to RG Software Systems, Inc.'s Virus Analysis Lab (VAL) where the
  37.   code was dis-assembled and analyzed. Within 24 hours after receipt
  38.   of the virus sample, an identification pattern was developed and an
  39.   updated "emergency release" of Vi- Spy was shipped overnight to Mr.
  40.   (    ).
  41.  
  42.   Type of Virus: PC DOS Boot infector. Infects Partition Table (Master
  43.   Boot Record) on hard disks as well. (Drive C:)
  44.  
  45.   Vector:        5 1/4" Diskettes only.
  46.  
  47.   Types of computers susceptible to infection:  PC's and Compatibles
  48.   with 640k or more RAM.
  49.  
  50.   Infection acquired by:  Attempting to boot from an infected
  51.   diskette, whether or not the diskette is "bootable".
  52.  
  53.   Symptoms:      Available RAM size decreases by 2048 bytes.  3 1/2"
  54.   diskettes become non-readable.  Occasional "garbage characters"
  55.   appear on screen.  Diskettes that were "bootable" will no longer
  56.   boot the system.  5 1/4" High Density diskettes may show "0 bytes in
  57.   1 hidden files" as a message from CHKDSK.
  58.  
  59.   Danger level:  Considered to be a very dangerous virus in that it
  60.   may cause damage to any diskette or hard disk due to bugs in the
  61.   virus that can cause it to write to the FAT or the Root Directory.
  62.  
  63.   Naming convention used:  This virus was named for the political
  64.   statement it attempts to make. The following message is stored in
  65.   encrypted form. Due to a bug in the virus' decryption routine, the
  66.   actual message may be displayed as garbage characters.
  67.  
  68.             Encrypted message: "Bloody! Jun. 4, 1989"
  69.  
  70.   This is the date of the Chinese "Tianamen Square" confrontation
  71.   between rebelling Students and the Chinese Army in Beijing.
  72.  
  73.   Technical Notes:
  74.  
  75.   1. Trigger mechanism for message display: The first appearance of
  76.   the message will be 1 - 128 system boots, then every 6 boots
  77.   thereafter.
  78.  
  79.   2. This virus attempts to save the original boot sector into another
  80.   sector, however bugs can cause it to just replicate itself into both
  81.   sectors. Thus no automatic clean-up can be reliably performed unless
  82.   the original, un-infected Partition Table and Boot Sector are
  83.   available to use in a replacement operation.
  84.  
  85.   There is no attempt made by the virus to determine what type of disk
  86.   is in use, thus the damaging effects are produced due to its always
  87.   writing to a fixed number of disk sectors, no matter what disk
  88.   mapping is in effect.
  89.  
  90.   3. The virus intercepts all diskette reads and writes where it
  91.   checks for its infection through a comparison of the 1st 6 bytes of
  92.   sector 1. If the disk is not infected, it adds itself to the disk.
  93.  
  94.   4. Detection avoidance techniques used by the virus:  When
  95.   attempting to infect, if the write fails, it tries one additional
  96.   time, and then aborts its infection attempt. Therefore the user
  97.   doesn't notice a failure when the disk is write protected.  Also,
  98.   the virus bypasses DOS completely when intercepting diskette reads
  99.   and writes. Thus, a program that monitors system interrupts will not
  100.   see the activity of this virus.
  101.  
  102. ***************************   more   ********************************
  103.  
  104.   Note: Since this report has been completed, the Beijing virus has
  105.   also turned up in another department at M.I.T. and has
  106.   simultaneously appeared at the City University of London.
  107.  
  108.   This is the first time we've noticed a Boot Sector virus appearing
  109.   simultaneously on both sides of the Atlantic, leading to speculation
  110.   that multiple persons were involved in its release.
  111.  
  112.   Researchers in the U.K. have named this the "Bloody" virus.
  113.  
  114.   With the timing of this virus' release, there is an improved
  115.   opportunity for it to spread, through students' carrying infected
  116.   diskettes home for the holidays.
  117.  
  118.   To help protect his privacy, the name of the individual at M.I.T.
  119.   has been removed from this report.
  120.  
  121. ----------------------------- more ----------------------------
  122.  
  123.   Date:    13 Dec. 1990
  124.   From:  Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  125.   Subject:  Bloody/Beijing Virus (PC)
  126.  
  127.    Since Mr. Glath neglected to include a signature string in his
  128.    VALERT posting, enclosed is a 16 byte id stringthat a user put on
  129.    HOMEBASE for use with John's SCAN v71 /ext switch:
  130.  
  131.     37 55 7b 78 78 73 6e 36 37 5d 62 79 39 37 23 3b
  132.  
  133.    I have not seen the virus so cannot attest to the string's validity
  134.    but at least it is more than nothing. If someone has seen the virus
  135.    please confirm/deny this string's effectiveness.
  136.  
  137.       Padgett
  138.  
  139. -
  140.  
  141.   Date:    Fri, 22 Mar 91 17:20:18 +0700
  142.   From:  swimmer@rzsun3.informatik.uni-hamburg.de (Morton Swimmer)
  143.   Subject:  Bloody (PC)
  144.  
  145.   The "Bloody" virus has just hit Germany. (The virus was described
  146.   before.)  It was reported to us at our information stand at the
  147.   CeBit 1991 by a firm from Darmstadt.  It is fairly stupid, or so it
  148.   seems, as it doesn't even maintain a minimal boot record.  It
  149.   therefore creates all sorts of wierd mistakes and causes floppy
  150.   disks to become unusable.
  151.  
  152.   Cheers, Morton
  153.  
  154.  
  155.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  156.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  157.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  158.