home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / ICELAND.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  4.3 KB  |  107 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   ICELANDIC SERIES
  11.   ================
  12.  
  13.   There are four versions of the Icelandic virus.
  14.  
  15.   All infect EXE files only and they are easily distinguised by their
  16.   file lengths:
  17.  
  18.           632  One in two programs loaded are infected and one
  19.                cluster is marked as bad on Hard Disks larger than
  20.                20 MB
  21.  
  22.           642  Minor variant
  23.  
  24.           656  One in ten programs loaded are infected
  25.  
  26.           848  Displays message: "Gledileg jol" (Merry Christmas)
  27.                if an infected program is run on 24th December.
  28.  
  29.  
  30. ==== Computer Virus Catalog 1.2: Icelandic#2 Virus (Sept. 20, 1989)=
  31.  
  32. Entry...............: "Icelandic virus" (Version #2)
  33. Alias(es)...........:
  34. Virus Strain........: Icelandic Virus
  35. Virus detected when.: July 20 1989
  36.               where.: Iceland
  37. Classification......: .EXE file infecting virus/Extending/Resident
  38. Length of Virus.....: 1. 632-647 bytes added to file
  39.                       2. 2048 bytes in RAM
  40. -------------------- Preconditions --------------------------------
  41.  
  42. Operating System(s).: MS-DOS
  43. Version/Release.....: 2.0 or higher
  44. Computer model(s)...: IBM PC,XT,AT and compatibles
  45.  
  46. ------------------- Attributes ------------------------------------
  47.  
  48. Easy Identification.: .EXE Files: Infected files end in 18 44 19 5F
  49.                       (hex).  System:  Byte at 0:37F contains FF (hex)
  50.  
  51. Type of infection...: Extends .EXE files. Adds 632-647 bytes to the
  52.                       end of the file.  Stays resident in RAM, hooks
  53.                       INT 21 and infects other programs when they are
  54.                       executed via function 4B.  It will remove the
  55.                       Read-Only attribute if necessary, but it is not
  56.                       restored.  .COM files are not infected.
  57.  
  58. Infection Trigger...: Every tenth program run is checked. If it is an
  59.                       uninfected .EXE file it will be infected.
  60.  
  61. Storage media affected: ---
  62. Interrupts hooked...: INT 21
  63. Damage..............: none
  64. Damage Trigger......:
  65.  
  66. Particularities.....: The virus modifies the MCBs in order to hide
  67.                       from detection.  The INT 13 checking in the
  68.                       Icelandic-1 has been removed.  The virus uses
  69.                       the name of the file to determine if it is an
  70.                       .EXE file, but not the true type, as determined
  71.                       by the first 2 bytes.  The virus assumes the
  72.                       program reserves all available memory (FFFF
  73.                       paragraphs needed). Programs that donot will
  74.                       cause a system crash when infected and run.
  75.                       This virus is a version of the Icelandic-1
  76.                       virus, modified so that it does not use INT 21
  77.                       calls to DOS services.  This is done to bypass
  78.                       monitoring programs.
  79.  
  80. Similarities........:
  81. ------------------- Agents ----------------------------------------
  82.  
  83. Countermeasures.....: All programs which check for .EXE file length
  84.                       changes will detect infections.
  85. Countermeasures successful:
  86.                       Detection of infection:
  87.                            F-FCHK (from F.Skulason's F-PROT package)
  88.                            VIRUSCAN
  89.                       Prevention of infection:   F-FCHK
  90.                       Removal:                   F-FCHK
  91. Standard means......: Use DEBUG to check the byte at 0:37F.
  92.  
  93. -------------------- Acknowledgement -------------------------------
  94.  
  95. Location............: University of Iceland/Computing Services
  96. Classification by...: Fridrik Skulason  (frisk@rhi.hi.is)
  97. Documentation by....: Fridrik Skulason
  98. Date................: Sept 20, 1989
  99. Information Source..:
  100.  
  101. ==================== End of Icelandic#2-Virus ======================
  102.  
  103.  
  104.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  105.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  106.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  107.