home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / DATACRIM.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  6.3 KB  |  144 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   DATACRIME SERIES
  11.   ================
  12.  
  13.   There are four versions of Datacrime:
  14.  
  15.   Version 1 - Infects only COM files (1168 bytes):
  16.  
  17.   The virus occurs attached to the end of a COM file.  COM files
  18.   increase in length by 1168 bytes.  The first three bytes of the
  19.   program are stored in the virus, and replaced by a branch to the
  20.   beginning of the virus.  The virus will search through full
  21.   directory structure of the disks (in the order C, D, A, B) for a COM
  22.   file other than COMMAND.COM
  23.  
  24.   It will also ignore any COM file if the 7th letter of the name is a
  25.   D.
  26.  
  27.   If the date is after 12 October (any year) it will display the
  28.   message:  'DATACRIME VIRUS' 'RELEASED:  1 MARCH 1989'
  29.  
  30.   and do a low level format on track zero, all heads, of the hard
  31.   disk.
  32.  
  33.   The message is encrypted.  There is an error in the way the format
  34.   table is addressed, and there are several mistakes in the code
  35.   involving the critical error handler.
  36.  
  37.  
  38.   Version 2 - Infects: COM files only - (Length: 1280):
  39.  
  40.   Same as Version 1, except for the difference in length.
  41.  
  42.   Version 3 - Infects: COM and EXE files - (Length: 1480):  (Also
  43.   known as Datacrime II)
  44.  
  45.   This version is much the same as Version 1, but it will infect EXE
  46.   files as well.  The virus is encrypted except the first 42 bytes,
  47.   and the message is separately encrypted.  The message is now:
  48.  
  49.                        'DATACRIME II VIRUS'
  50.     
  51.   It will ignore any file if the 2nd letter of the name is a B.  The
  52.   addressing of the format table has been corrected.
  53.  
  54.  
  55.   Version 4 - Infects: COM and EXE files - (Length: 1514) (Also known
  56.   as Datacrime II)
  57.  
  58.   This version is much the same as Version 3.  The virus is encrypted
  59.   except the first 56 bytes, but the message is no longer separately
  60.   encrypted.  Code has been added to the encryption routine to prevent
  61.   single-stepping.  The message is now:
  62.  
  63.                        '* DATACRIME II VIRUS *'
  64.  
  65.  
  66. ==== Computer Virus Catalog 1.2: DATACRIME Ib Virus (15-Feb-1990) ====
  67. Entry...............: DATACRIME Ib
  68. Alias(es)...........: DATACRIME 1280-Version = "1280" Virus
  69. Virus Strain........: DATACRIME
  70. Virus detected when.: ---
  71.               where.: ---
  72. Classification......: Link-virus (extending), direct action
  73. Length of Virus.....: .COM file: filelength increases by 1280 byte
  74. --------------------- Preconditions ----------------------------------
  75. Operating System(s).: MS-DOS
  76. Version/Release.....: 2.xx upward
  77. Computer model(s)...: IBM-PC, XT, AT and compatibles
  78. --------------------- Attributes -------------------------------------
  79. Easy Identification.: ---
  80. Type of infection...: System: no infection.
  81.                       .COM file: Link-virus, increases COM files by
  82.                            1280 Byte. A .COM- File is recognized as
  83.                            being infected if the time entry of the
  84.                            last program modification shows the fol-
  85.                            lowing particularities: the last signi-
  86.                            ficant three bytes of the minutes are the
  87.                            same as the seconds. Bit 4,5 of the
  88.                            seconds will be set to zero. For example:
  89.                            (H=Hours, M=Minutes, S=Seconds)
  90.                                 H H H H H M M M M M M S S S S S
  91.                                 ? ? ? ? ? ? ? ? 1 0 1 ? ? ? ? ?
  92.                            will be changed to
  93.                                 H H H H H M M M M M M S S S S S
  94.                                 ? ? ? ? ? ? ? ? 1 0 1 0 0 1 0 1
  95.                       .EXE file: no infection.
  96. Infection Trigger...: Every time the virus runs it looks for one other
  97.                            uninfected .COM- file using the DOS-func-
  98.                            tions Findfirst/Findnext in the current
  99.                            directory or any lower directory. If there
  100.                            is no file that can be infected the virus
  101.                            looks at the drive C: D: A: B: (in this
  102.                            order).
  103. Interrupts hooked...: Int 24 (only when infecting a file)
  104. Damage..............: Permanent Damage: the virus shows the message
  105.                            "DATACRIME VIRUS
  106.                             RELEASED: 1 MARCH 1989"
  107.                            then the first hard disk will be formatted
  108.                            (track 0, all heads). If formatting is
  109.                            finished the speaker will beep (endless
  110.                            loop).
  111. Damage Trigger......: if the Clock device is October the 13th or
  112.                            later (any year).
  113. Particularities.....: 1. The message "DATACRIME... 1989" is encrypted.
  114.                       2. The virus detects a hard disk if the segment
  115.                            of INT 41 is not zero.
  116.                       3. Cause of a mistake in the code the virus will
  117.                            not use it's format buffer.
  118.                       4. Cause of a missing segment override the INT24
  119.                            can not be restored every time.
  120.                       5. If the 7th letter of the program name is a
  121.                          'D', the program will not be infected (e.g.
  122.                          COMMAND.COM).
  123.  
  124. Similarities........: The differences between Datacrime Ia and Ib
  125.                            are minimal.
  126.  
  127. --------------------- Agents -----------------------------------------
  128. Countermeasures.....: ---
  129. - ditto - successful: ---
  130. Standard means......: ---
  131.  
  132. --------------------- Acknowledgement --------------------------------
  133. Location............: Virus Test Center, University Hamburg, FRG
  134. Classification by...: Michael Reinschmiedt
  135. Documentation by....: Michael Reinschmiedt
  136. Date................: 14-Feb-1990
  137.  
  138.  
  139. ===================== End of DATACRIME Virus ======================
  140.  
  141.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  142.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  143.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  144.