home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / BRAIN.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  7.2 KB  |  166 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   BRAIN and variants including CHAOS.
  11.  
  12.   BRAIN was first reported in 1987 but a copyright notice (sic)
  13.   suggests that it was published in 1986.  Despite the copyright
  14.   notice and, consistent with normal software practice, other hands
  15.   have since tinkered with the code and several versions with fairly
  16.   minor modifications, mainly in the embedded text, have been
  17.   reported.
  18.  
  19.   In its original form, it only infected 5.25" - 360 KB diskettes.
  20.   CHAOS is a variant that infects Hard Disks.
  21.  
  22.   DAMAGE is minimal in its original version:
  23.  
  24.        a) it overwrites the original Boot Sector on the diskette (the
  25.        first 512 bytes) and places some of its own code in this
  26.        location from where it can intercept all calls to boot.  It
  27.        also leaves room on the diskette for the system files.
  28.  
  29.        b) it creates 3 bad clusters (6 sectors = 3 KB) in the File
  30.        Allocation Table (FAT). It uses the first sector of these Bad
  31.        Clusters to store the code that it has displaced from the Boot
  32.        Sector and the other five sectors to store the remainder of its
  33.        own code. Its total length is around 2.25 KB but it requires
  34.        0.5 KB of work area. When loaded into memory it occupies 7 KB.
  35.  
  36.        c) With the original version, a Volume Label (c) BRAIN is
  37.        attached to diskettes and any existing label will be
  38.        overwritten. Another version attaches the label (c) Ashar.  The
  39.        label only appears when more than two files are placed in the
  40.        directory.
  41.  
  42.        d) Unconfirmed reports advise that there is a version which
  43.        scrambles the FAT.
  44.  
  45.   BRAIN hides from Disk Sector Editors (eg Norton) by redirecting them
  46.   to the original Boot Sector that has been relocated into a Bad
  47.   Cluster.
  48.  
  49.         With the original version a text message is included but not
  50.         displayed:
  51.  
  52.                 '      Welcome to the Dungeon                    '
  53.                 '                 (c) 1986 Basit & Amjad (pvt) Lt'
  54.                 'd.               BRAIN COMPUTER SERVICES..730 NI'
  55.                 'ZAM BLOCK ALLAMA IQBAL TOWN                LAHOR'
  56.                 'E-PAKISTAN..PHONE :430791,443248,280530.        '
  57.                 '  Beware of this VIRUS.....Contact us for vaccin'
  58.                 'ation............... $#@%$@!! '
  59.  
  60.         ---------------------- more -----------------------
  61.  
  62.   Version 2: (aka Ashar)
  63.  
  64.    This virus consists of a boot sector and three clusters (6 sectors)
  65.    marked as bad in the FAT.  The first of these sectors contains the
  66.    original boot sector, and the rest contain the rest of the virus.
  67.    It only infects 360K floppies.  It creates a label on an infected
  68.    disk of ' (c) ashar '.  Unlike the first version, this one does not
  69.    leave room for the system files.
  70.  
  71.              ------------------- more -----------------
  72.  
  73. === Computer Virus Catalog 1.2: SHOE-B v9.0 (July 10, 1989) ==========
  74.  
  75. Entry.................. SHOE-B v9.0
  76. Alias(es).............. ---
  77. Strain................. Brain/Pakistani
  78. Detected: when......... November 1988
  79.           where........ Houston University
  80. Classification......... System (Boot sector) virus
  81. Length of Virus........ approx. 3k (not all is actually used)
  82. ---------------------- Preconditions----------------------------------
  83.  
  84. Operating System(s).... MS-DOS
  85. Version/Release........ Should work with all versions
  86. Computer models........ IBM-PC's and compatibles
  87. ------------------------ Attributes-----------------------------------
  88.  
  89. Easy identification.... The volume label of the infected disk will
  90.                         read: "(c) Brain"
  91.  
  92. Type of infection...... The virus installs itself in high memory after
  93.                         booting with an infected disk. It captures all
  94.                         read and  write calls to the disk, checks for
  95.                         infection and, if not yet present, infects the
  96.                         disk. Infection occurs by flagging five blocks
  97.                         as bad, copying itself and the original boot
  98.                         sector into those five blocks, and replacing
  99.                         the boot sector with its own.  The virus
  100.                         identifies itself by checking the boot sector
  101.                         for the word 1234h at position 0004h in the
  102.                         boot sector.
  103.  
  104. Infection trigger...... Counter: will attempt to infect initially
  105.                         after 31 read/write calls, subsequently after
  106.                         every fourth call.
  107.  
  108. Media affected......... Only floppy disks; Hard disks not infected.
  109.  
  110. Interrupts hooked...... Int 13h functions 2,3 (read,write).
  111.  
  112. Damage................. Destroys five blocks (as well as the boot
  113.                         sector) upon infection, otherwise nothing.
  114.  
  115. Damage trigger......... ---
  116.  
  117. Particularities........ The virus looks whether attempts are made to
  118.                         read the boot sector; in this case, the virus
  119.                         transfers the original boot sector. The virus
  120.                         can therefore not be identified with utilities
  121.                         such as PC-TOOLS or NORTON  UTILITIES.
  122.  
  123.                         An infected boot sector contains the following
  124.                         typical text:
  125.  
  126.                         "Welcome to the Dungeon (c) 1986 Basit &
  127.                         Amjads (pvt) Ltd VIRUS_SHOE RECORD v9.0
  128.                         Dedicated to the dynamic memories of millions
  129.                         of virus who are no longer with us today -
  130.                         Thanks GOODNESS!! BEWARE OF THE er..VIRUS:
  131.                         \this program is catching   program follows
  132.                         after these messeges..... $#%$!!  ";
  133.  
  134.                         this text is never displayed.
  135.  
  136. Similarities........... Similar to all viruses of Pakistani/Brain
  137.                         strain.
  138.  
  139. ----------------------- Agents ------------------------------
  140.  
  141. Countermeasures........ ----
  142.  
  143. Countermeasures successful ---
  144.  
  145. Standard Means......... The DOS command "SYS n:" (where n is the drive
  146.                         of the infected disk) will disinfect the disk
  147.                         IF AND ONLY IF you have booted from a clean
  148.                         disk.  You will have to use utilities such as
  149.                         PC-TOOLS to recover the "bad" sectors.
  150.  
  151. --------------------- Acknowledgements--------------------------------
  152.  
  153. Location............... VTC Hamburg, FRG
  154. Classification by...... Morton Swimmer
  155. Documentation by....... Morton Swimmer
  156. Date................... June 29, 1989
  157. Information source..... PC VIRUS LISTING (Jim Goodwin)
  158.  
  159.  
  160. ===================== End of SHOE-B v9.0 Virus ======================
  161.  
  162.  
  163.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  164.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  165.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  166.