home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / DARKAV-2.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  10.0 KB  |  193 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   DARK AVENGER 2000
  11.   =================
  12.  
  13.   Date:    02 Feb 90 10:49:00 +0700
  14.   From:    Vesselin Bontchev
  15.  
  16.   This virus is also "made in Bulgaria" and again I am indirectly the
  17.   cause of its creation.  I am a well known "virus-buster" in Bulgaria
  18.   and my antivirus programs are very widely used.  Of course, virus
  19.   designers didn't like it.  So their next creation...  causes trouble
  20.   to my antivirus programs.
  21.  
  22.   This virus is exactly 2000 bytes long and I think that it was
  23.   created by the author of the Eddie (Dark Avenger) virus.  The
  24.   programming style is the same and there are even pieces of code
  25.   which are the same.
  26.  
  27.   The virus acts much like the Eddie one --- it installs resident in
  28.   memory by manipulating the memory control blocks; infects
  29.   COMMAND.COM at the first run; infects both .COM- and .EXE-files;
  30.   infects files when one executes them as well as when one copies
  31.   them.
  32.  
  33.    However, there are some extras added.  First, the virus is able to
  34.    fetch the original INT 13h vector just like the V512 one (by using
  35.    the same undocumented function --- tricks spread fast between virus
  36.    programmers).
  37.  
  38.    Second, it intercepts the find-first (FCB) and find-next (FCB)
  39.    functions --- just like V651 (aka EDDIE II) (and contains the same
  40.    bugs), so you won't see the increased file lengths in the listing
  41.    displayed by the DIR command.
  42.  
  43.    Third, it contains the string "Copyright (C) 1989 by Vesselin
  44.    Bontchev", so people may think that I am the author of this virus.
  45.    In fact, the virus searches every program being executed for this
  46.    string (the case of the letters does not matter) and if found,
  47.    hangs the system.  It is not necessary to tell you that all my
  48.    antivirus programs contain this string.  Of course, now I will have
  49.    to use some kind of encryption, just to prevent such tricks.
  50.  
  51.  
  52.        ========================== more ============================
  53.  
  54.   Vesselin Bontchev reported in May 1990:
  55.  
  56.   The V2000 virus (DARK AVENGER 2000)
  57.   ===================================
  58.  
  59.   - It turned out that the example of this virus I sent to some of the
  60.   antivirus researchers was not the original version.  The original
  61.   contains the string "Only the Good die young..."  instead of the
  62.   "Copy me - I want to travel" message.  Also a small piece of code in
  63.   the original version was patched to contain the "666" string.  (That
  64.   is, the version you have contains this string, the original does
  65.   not.)
  66.  
  67.   - There exists also a small mutation of the version you have.  The
  68.   only difference is that the `C' character in the word "Copy" was
  69.   changed to `Z'.
  70.  
  71.   - When describing the V2000 virus, I stated that it halts the
  72.   computer if you run a program which contains the string "Copyright
  73.   (c) 1989 by Vesselin Bontchev". This is not quite correct.  In fact,
  74.   the programs are only checked for the "Vesselin Bontchev" part of
  75.   the string.
  76.  
  77.   - I obtained John McAfee's program Clean, version 60.  In the
  78.   accompanying documentation he states about the V2000 virus that "The
  79.   virus is very virulent and has caused system crashes and lost data,
  80.   as well as causing some systems to become non-bootable after
  81.   infection".  This is not very correct, or at least, there is much
  82.   more to be said.  The virus is exactly as virulent as the Dark
  83.   Avenger virus, and for the same reason.  It infects files not only
  84.   when one executes them, but also when one reads or copies them.
  85.   This is achieved exactly in the same manner as in the Dark Avenger.
  86.   The systems become non-bootable when the virus infects the two
  87.   hidden files of the operating system - it cannot distinguish them
  88.   from the regular .COM files.  By the way, the Dark Avenger virus
  89.   often causes the same effect.  And at last, but not least (:-)), the
  90.   virus is highly destructive - just as the Dark Avenger is.  It
  91.   destroys the information on a randomly selected sector on the disk
  92.   once in every 16 runs of an infected program.  The random function
  93.   is exactly the same, and the counters (0 to 15 and for the last
  94.   attacked sector) are exactly the same and on the same offsets in the
  95.   boot sector as with the Dark Avenger virus.  The main difference is
  96.   that the destroyed sector is overwritten not with a part of the
  97.   virus body, but with the boot sector instead.  This makes a bit more
  98.   difficult to discover which files are destroyed - the boot sector is
  99.   contained in many "good" programs, such as FORMAT, SYS, NDD.  Also,
  100.   the nastiest thing - the damage function is not performed via INT
  101.   26h (which can be intercepted).  The virus determines the address of
  102.   the device driver for the respective disk unit (using an
  103.   undocumented DOS function call, of course.  I begin to wonder if
  104.   Ralf Brown did any good when he made the information in the INTERxyy
  105.   file available :-)).  Then it performs a direct call to that
  106.   address.  The device driver in DOS does its work and issues the
  107.   appropriate INT 13h.  However the virus has scanned the controllers'
  108.   ROM space and has determined the original address of the interrupt
  109.   handler - just as the Dark Avenger virus does.  Then it has
  110.   temporary replaced the INT 13h vector with the address of this
  111.   handler.  The result is that the damage function cannot be
  112.   intercepted.
  113.  
  114.   - Also this virus (unlike Dark Avenger) supports PC-DOS version 4.0
  115.   and will work (and infect) under it.
  116.  
  117.   - The bytes 84 A8 A0 AD A0 20 8F 2E in the virus body are the name
  118.   "Diana P.", this time written in cyrillics.
  119.  
  120.  
  121.         ========================== more ========================
  122.  
  123.  
  124. === Computer Virus Catalog 1.2: Dark Avenger 3 Virus (14-Feb-1991) ===
  125. Entry...............: Dark Avenger 3 Virus
  126. Alias(es)...........: V2000 = Eddie 3 Virus
  127. Virus Strain........: Dark Avenger Strain
  128. Classification......: Program Virus, RAM-resident
  129. Length of Virus.....: 2000 Bytes (2076 Bytes in RAM resident mode)
  130. --------------------- Preconditions ----------------------------------
  131. Operating System(s).: MSDOS, PCDOS
  132. Version/Release.....: 3.3
  133. Computer model(s)...: IBM compatibles PCs
  134. --------------------- Attributes -------------------------------------
  135. Easy Identification.: Two Strings : 1) "Copy me - I want to travel"
  136.                                        (at beginning of virus-code)
  137.                                     2) "(c) 1989 by Vesselin Bontchev"
  138.                                        (near end of virus code; but
  139.                                         V.Bontchev is not the author!)
  140. Type of infection...: Link-Virus (postfix infection); virus infects
  141.                          every "COM" and "EXE" file with minimum
  142.                          file-length of 1959 bytes.
  143. Infection Trigger...: Programs are infected at load time (using MsDos
  144.                          function Load/Execute) as well as on every
  145.                          read attempt (viewing, copy etc.)
  146. Storage media affected: Any Drive
  147. Interrupts hooked...:   INT 21h [Dos-Functions]  ) hooked by resident
  148.                         INT 27h [TSR]            )       part of virus
  149.                         INT 24h [Critical Error]   > during infection
  150.                         INT 13h [BIOS-Disk Access] > during infection
  151.                                                          and damage
  152. Damage..............: On every 16's execution of an infected file,
  153.                          virus will overwrite a new random data sector
  154.                          on disk; the last overwritten sector will be
  155.                          stored in boot sector.
  156.                       System hang-up, if a program is to be executed,
  157.                          which contains the string "(c) 1989 by
  158.                          Vesselin Bontchev"; V.Bonchev is a Bulgarian
  159.                          author of anti-virus programs.
  160. Damage Trigger......: The virus uses the last byte of "MSDOS-Version"-
  161.                          field in the bootblock as counter; if an
  162.                          infected file is executed, this counter will
  163.                          be invremented.
  164. Particularities.....: On some 386 PCs with different BIOS version,
  165.                          infected programs hang-up the system during
  166.                          virus installation.
  167.                       The virus overwrites the transient part of DOS
  168.                          in RAM to provoke the reload of
  169.                          "command.com", to get a chance for an early
  170.                          infection of this file.
  171.                       The virus intercepts the "Find first" and
  172.                          "Find next" functions, and on "DIR" command
  173.                          execution, virus decreases the file length
  174.                          of marked files by 2000 (virus length).
  175. Similarities........: As in Eddie 2 virus, infected files are marked
  176.                          with "62" in the "seconds"-field of time
  177.                          stamp.
  178. --------------------- Agents -----------------------------------------
  179. Countermeasures.....: The virus will be (for example) detected by :
  180.                          F-FCHK   1.13 (F. Skulason)
  181.                          Findviru 1.8  (Solomon: Virus Tools 4.25)
  182. --------------------- Acknowledgement --------------------------------
  183. Location............: Virus Test Center, University Hamburg, Germany
  184. Classification by...: Jrg Steindecker
  185. Documentation by....: Jrg Steindecker
  186. Date................: 14-February-1991
  187. ===================== End of Dark Avenger 3 Virus ====================
  188.  
  189.  
  190.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  191.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  192.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  193.