home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / FISH6.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  8.4 KB  |  161 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   FISH #6 Virus
  11.   =============
  12.  
  13.   The names of several fish also appear within the virus code:
  14.  
  15.      "COD SHARK CARP BASS TROUT FIN MUSKY SOLE FISH PIKE MACKEREL
  16.       FISH TUNA FISH FI"
  17.  
  18.   FISH is based on 4096 with which it shares an ability to 'hide' from
  19.   DOS-based utilities by subverting the operating system.
  20.  
  21.   Unlike 4096, it is variably encrypted and it is also encrypted - but
  22.   in a different way - when it is in memory.
  23.  
  24.   Additionally, like 1260, it also contains 'confusion' code to
  25.   discourage disassembly.  In consequence, it was not initially
  26.   apparent to many observers how it intended to manifest itself.
  27.  
  28.   Its damage mechanism and strike criteria are now known but the
  29.   reports that another virus - WHALE (qv) - is capable of modifying it
  30.   have not been substantiated.
  31.  
  32.  
  33.                 ============== more ===============
  34.  
  35. ===== Computer Virus Catalog 1.2: FISH #6 Virus (12-February-1991) ===
  36. Entry...............: FISH #6 Virus
  37. Alias(es)...........: FISH-6 = European Fish Virus
  38. Virus Strain........: 4096 = 4K = FroDo = Stealth strain
  39. Virus detected when.: October 1990
  40.               where.: Bonn/Germany ???
  41. Classification......: Program (extending), RAM-resident, stealth virus
  42. Length of Virus.....: .COM & .EXE files: length increased by 3584
  43.                       bytes in RAM:  4096 bytes.
  44.  
  45. -------------------- Preconditions -----------------------------------
  46. Operating System(s).: MS-DOS
  47. Version/Release.....: 2.xx upward
  48. Computer model(s)...: IBM-PC, XT, AT and compatibles
  49. -------------------- Attributes --------------------------------------
  50. Easy Identification.: ---
  51. Type of infection...: System: Allocates a memory block at the high end
  52.                          of memory. Finds original address of Int 21h
  53.                          handler and original address of Int 13h hand-
  54.                          ler, therefore bypasses all active monitors.
  55.                          Inserts a JMP FAR to virus code inside origi-
  56.                          nal DOS handler.
  57.                       .COM & .EXE files: program length increased by
  58.                          3584. A file will only be infected once.
  59.                          Files with READ-ONLY attribute set can be in-
  60.                          fected; files with SYSTEM attribut set will
  61.                          not be infected (e.g.IBMBIO.COM, IBMDOS.COM).
  62.                       COMMAND.COM is the first file, which will be in-
  63.                          fected in an non infected system.
  64. Infection Trigger...: Files are infected if function 4B00H (Load/Exe-
  65.                          cute) or function 3EH (Close File) of MS-DOS
  66.                          is called and if last three bytes of file-
  67.                          name sum-up to either 223 (COM) or 226 (EXE),
  68.                          and if free diskspace is >16384 bytes.
  69. Interrupts hooked...: INT21h, through a JMP FAR to virus code inside
  70.                          DOS handler;
  71.                       INT01h, during virus installation & processing
  72.                       INT13h, INT24h during infection.
  73. Damage..............: Permanent Damage: a message will be displayed:
  74.                       "FISH VIRUS #6 - EACH DIFF - BONN 2/90
  75.                       '~Knzyvo}'" and then the processor stops (HLT
  76.                       instruction).
  77. Damage Trigger......: If (system date>1990) and a second infected .COM
  78.                       file is executed.
  79. Particularities.....: 1. The virus is encrypted in memory and on disk.
  80.                       2. Summing-up the last 3 bytes of the filename
  81.                          for determining .COM and .EXE files for in-
  82.                          fection will also include more than 1200
  83.                          other extensions such as .BMP,.MEM,.OLD,.PIF,
  84.                          .QLB for .COM-files and .LOG,.TBL for .EXE-
  85.                          files and filenames without extension, e.g.
  86.                          READCOM. , TESTFAX. , TEXTOLD. Therefore,
  87.                          virus code will be appended to datafiles
  88.                          (e.g.  when using "TYPE TEXTOLD", file
  89.                          TEXTOLD will be infected).
  90.                       4. Only files with id="MZ" or id="ZM" get
  91.                          infected as .EXE.
  92.                       5. If virus is not in memory, infected data
  93.                           files are corrupted.
  94.                        6. Infected files get a new date 100 years
  95.                           ahead:  (newyear:=oldyear+100); e.g
  96.                           1991+100=>2091, but with DIR, the new date
  97.                           is not visible.
  98.                       7. Do not use "CHKDSK /F" in an infected system,
  99.                          as files get damaged (crosslinked-sectors).
  100.                       8. If the system is infected, the virus
  101.                          redirects all file accesses so that the virus
  102.                          itself can not be read from the file (stealth
  103.                          technique).
  104.                       9. Find first/next function returns are tampered
  105.                          so that files with (year>100) are reduced by
  106.                          3584 bytes in size.
  107.                       10.Get/set filedate is also tampered.
  108.                          Remark: the reference to "Bonn" built-into
  109.                          the message (see damage) has lead to the
  110.                          assump- tion that FISH#6 was originated in
  111.                          this Ger- man town; a similar assumption has
  112.                          been made for the related WHALE=MOTHER FISH
  113.                          virus due to a string "Hamburg" appearing in
  114.                          its code.  There is *no forther evidence*
  115.                          that both variants of 4096 originated in
  116.                          Germany; the mentioned strings more probably
  117.                          are built-in to masquerade the origin
  118.                          (Russian: MASKIROWKA)
  119.  
  120. Similarities........: FISH 6 is an optimized 4096 virus as it inherits
  121.                          most of the technology of the 4096 virus.
  122.                          The string '~Knzyvo}' meaning "TADPOLES"
  123.                          is also found in WHALE=MOTHERFISH virus.
  124. --------------------- Agents -----------------------------------------
  125. Countermeasures.....: Cannot be detected on disk while in memory, so
  126.                          no monitor/file change detector can help.
  127.  
  128. Countermeasures successful:
  129.                       1) A Do-it-yourself way (see 4096 virus):
  130.                          Infect system by running an infected file,
  131.                          ARC/ZIP/LHARC/ZOO all infected .COM and .EXE
  132.                          files, boot from uninfected floppy, and
  133.                          UNARC/UNZIP/LHARC E etc. all files. Pay
  134.                          special attention to disinfection of
  135.                          COMMAND.COM.
  136.  
  137.                       2) FINDVIRU 1.6    (Solomon)
  138.                       3) F-FCHK   1.12+  (F. Skulason)
  139.                       4) SCAN     6.3V72 (McAfee)
  140.                       5) My NTIFISH6.EXE is an antivirus that only
  141.                          looks for FISH 6 virus, and if requested will
  142.                          restore the file.
  143.  
  144. Standard means......: Only sucessful if virus is not in memory!
  145.                          Boot from an uninfected write-protected disk
  146.                          and check century of files (with proper
  147.                          tool).
  148.  
  149. --------------------- Acknowledgement --------------------------------
  150. Location............: Virus Test Center, University Hamburg, Germany
  151. Classification by...: Stefan Tode
  152. Documentation by....: Stefan Tode
  153. Date................: 12-February-1991
  154. Information source..: see: "Virus Bulletin" (also: see 4096)
  155.  
  156. ===================== End of FISH-6 Virus ============================
  157.  
  158.  
  159.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  160.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  161.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++