home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / EVILEMP.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  4.5 KB  |  102 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   STONED variant: EVIL EMPIRE (2 strains)
  11.   ---------------------------------------
  12.  
  13.   Padgett Peterson reports (April 1991):
  14.  
  15.   First reported as a STONED variant examination has produced a
  16.   considerable number of variations from the traditional STONED.
  17.  
  18.   This alert is a result of a disassembly performed on the boot sector
  19.   of an infected floppy. Since the sector containing the display
  20.   message was not included this text is not available, however
  21.   examination indicates that this second sector (trk 0 hd 1 sector 3
  22.   on floppy) contains only text.
  23.  
  24.   Virus Name:  EMPIRE
  25.   V Status:    New
  26.   Discovery:   April, 1991
  27.   Symptoms:    Memory reduction, possible floppy failures, Messages
  28.   Origin:      Alberta Canada (?)
  29.   Eff. Length: N/A
  30.   Type Code:   BPRtS (Boot and Partition table infector - Resident TOM
  31.               - Stealth)
  32.  
  33.   Detection:  CHKDSK, F-DISKINF, DISKSECURE
  34.              (SCAN v76C does not pick this up)
  35.  
  36.   Removal:     Cold boot from clean, write-protected floppy, replace
  37.                MBR (FD) or Boot Record (Floppy) see text.
  38.  
  39.   General Comments: On first look, the virus appears similar to the
  40.                STONED but There are notable differences:  a "cute" at
  41.                the start will throw a researcher off if a standard
  42.                STONED opening is expected. The virus consists of two
  43.                sectors - the first which replaces the MBR on a fixed
  44.                disk and the BR on a floppy, contains the executable
  45.                code. The second sector contains the display message- I
  46.                have not seen this as yet but it is said to refer to
  47.                the USA as the "evil empire" and makes reference to the
  48.                war with Iraq. This sector has a trivial encryption
  49.                scheme to defeat text examination.
  50.  
  51.         When active in a PC, total memory will be reduced by 2048
  52.         bytes (CHKDSK will return 653312 "total bytes memory" on a
  53.         640k machine)
  54.  
  55.        A "stealth" mechanism is employed by the virus so that an
  56.        examination of the MBR will fail when the virus is active in
  57.        memory since any request for the MBR will be intercepted by the
  58.        virus and the real MBR will be returned.  Similarly, any
  59.        attempt to write to the MBR will be changed to a reset by the
  60.        virus.
  61.  
  62.        No message is displayed at boot-up, rather display is a
  63.        function of a trigger based on the real time clock during
  64.        operation.
  65.  
  66.        On a floppy disk the original boot record is stored on track 0
  67.        head 1 sector 2 and the message is stored on the next sector.
  68.        High density floppies may exhibit failures as a result of this.
  69.        Low density floppies with over 80 directory entries may also
  70.        have problems. These can occur even long after the floppy is
  71.        disinfected if the directory is not restored.
  72.  
  73.        The original MBR on a fixed disk is stored on cyl 0 head 0
  74.        sector 6 with the message on the next sector.  Normally, this
  75.        should be in the "hidden sector" area but a disk without
  76.        "hidden sectors" will probably experience FAT failures.
  77.  
  78.        Signature scanning should reveal the virus when booted from a
  79.        clean floppy disk using the string "A3 08 7C A1 13 04 48".
  80.  
  81.  
  82.    Message (encrypted) reads:
  83.  
  84.    "I'm becoming a little confused as to where the "evil empire" is
  85.    these days.
  86.  
  87.    If we paid attention, if we cared, we would realize just how
  88.    unethical this impending war with Iraq is, and how impure the
  89.    American motives are for wanting to force it.
  90.  
  91.    It is ironic that when Iran held American hostages, for a few lives
  92.    the Americans were willing to drag negotiation on for months; yet
  93.    when oil is held hostage, they are willing to sacrifice hundreds of
  94.    thousands of lives, and refuse to negotiate ......"
  95.  
  96.    It is believed to be a modified version of a quote by Ron Kovick, a
  97.    spokesman for Vietnam veterans.
  98.  
  99.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  100.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  101.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  102.