home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / MURPHY.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  10.3 KB  |  198 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   Vesselin Bontchev reported in May 1990:
  11.  
  12.  
  13.   The Murphy viruses.
  14.   ==================
  15.  
  16.   The first of them appeared few weeks ago. It infects both .COM and
  17.   .EXE files, is memory resident, non-destructive and infects files
  18.   both when one executes or just copies them.  Its infective length is
  19.   1277 bytes. To be infected, the files have to be greater than the
  20.   infective length.  A closer look revealed that:  - The most
  21.   important parts of the virus were directly got from the Dark Avenger
  22.   virus. These include the installation in memory, the controllers'
  23.   ROM scan, the way files are infected.
  24.  
  25.   - This is the first virus, which not only supports PC-DOS version
  26.   4.0 (for instance V2000 does this), but also uses it.  It infects
  27.   files also when the function 6C00h (extended open/create) is
  28.   executed.
  29.  
  30.   - If the virus is loaded in memory between 10 and 11 a.m., the
  31.   computer's speaker is turned on and is reset on every DOS function
  32.   call. This emits a strange "shuffling" noise - one can almost hear
  33.   how the computer "thinks".
  34.  
  35.   - The virus contains the message " Hello, I'm Murphy.  Nice to meet
  36.   you friend. I'm written since Nov/Dec.  Copywrite (c)1989 by Lubo &
  37.   Ian, Sofia, USM Laboratory. ".  This message is never displayed.
  38.   The "USM Laboratory" is non-existent.  "Lubo & Ian" do exist
  39.   however.  More about this later.
  40.  
  41.   - The virus does not infect .COM files, greater than 64226 bytes.
  42.   However, files greater than 64003 bytes refuse to run when infected.
  43.  
  44.   - File type (.EXE vs. .COM) is determined both by the file extension
  45.   and by the file's first two bytes. The check is made only for `MZ',
  46.   not for `ZM'.
  47.  
  48.   - Since it is able to find the original INT 13h handler (via the ROM
  49.   scan - as the Dark Avenger virus does), the virus cannot be stopped
  50.   by a TSR which only hooks the INT 13h vector.  It can be detected
  51.   however, by programs such as FluShot+, which look also for the
  52.   Open-with-write-access function (AX=3D02h; INT 21h).
  53.  
  54.   - The virus infects the command interpreter as soon as an infected
  55.   program is run. This is done in the same manner as in the Dark
  56.   Avenger virus.
  57.  
  58.   - The virus has its own critical error handler.  A few days ago, a
  59.   young man came to me and said that he has a new virus, that cannot
  60.   be stopped by a memory resident program.  Since I received lots of
  61.   reports for new viruses in the last month (see the descriptions
  62.   above) and since most of the Bulgarian viruses use to circumvent the
  63.   memory resident protection programs, I was not very surprised.  I
  64.   asked him about the main symptoms of the virus
  65.  
  66.   - what does it infect (files/boot sectors), infective length, how
  67.   does it show itself (messages displayed, tunes played), does it
  68.   contain some strings and so on. He said that the virus contains a
  69.   message in which it names itself Murphy. "Oh, yes," I said, "I
  70.   already know this one. It's rather common".  "It's impossible that
  71.   you already know it", replied the young man, "I created it yesterday
  72.   and have not released it yet!"
  73.  
  74.   It turned out that he spoked about a new version of the Murphy
  75.   virus. He was very surprised that an early version of his virus has
  76.   escaped and spread all over the country. He thought a bit, then he
  77.   said: "Oh, yes, now I remember. A few months ago all my diskettes
  78.   were stolen. Between them was the diskette, containing the virus".
  79.   Some jerks are *really* irresponsible!!!
  80.  
  81.   What to do with such types?! It's impossible to prosecute them - we
  82.   do not have the appropriate laws (and his virus was even not
  83.   destructive). The old good physical punishment comes in mind, but
  84.   I'm against violence. Besides, he looked so naive - he even didn't
  85.   realized that his virus is able to circumvent only the INT 13h
  86.   monitors. And this kind of virus writers is the most boring and
  87.   dangerous one.  With the "genial" virus writers (e.g., the author of
  88.   the Number of the Beast) one can at least expect that if he gives
  89.   them some interesting work, pays them well and so on, they will use
  90.   their skills for something useful instead of creating viruses.  But
  91.   the "apprentices" like the one I met are even not skilled enough to
  92.   create their own virus - they steal the main ideas form someone else
  93.   or just modify an existing virus.  They consider creating a virus as
  94.   some kind of sport, as a way to proof themselves that they are
  95.   SOMETHING...
  96.  
  97.   Anyway, the new version of the Murphy virus (I call it Murphy-2) has
  98.   infective length of 1521 bytes. All the other properties are the
  99.   same, except the damage function. Now every exact hour the virus
  100.   jumps to the ROM Basic interpreter - since (as the author of the
  101.   virus says) "everyone ought to learn Basic".  This may cause loss of
  102.   data, if you are editing a large document and have not saved your
  103.   changes.  Also, the message in the virus has shorten a bit.  Now it
  104.   reads " It's me - Murphy.  Copywrite (c)1990 by Lubo & Ian, Sofia,
  105.   USM Laboratory.  " There is also a minor change in the way the virus
  106.   checks if it is already present in memory.  Murphy-1 uses function
  107.   4B59h and Murphy-2 uses function 4B4Dh of INT 21h.
  108.  
  109.   As I already said above, the "USM Laboratory" is non-existent.
  110.   "Lubo & Ian" stays for Lubomir Mateev Mateev, Sofia, ul.
  111.   "Budapeshta" 14, tel. 80-28-26 and for Iani Lubomirov Brankov,
  112.   Mihailovgrad, ul. "G. Damianov" 6, tel.  2-13-34 respectively.  At
  113.   least, these names, addresses and phones are written in the source
  114.   listing of Murphy-2, which I received from one of the authors
  115.   (Lubomir Mateev, more exactly).
  116.  
  117.  
  118. ===== Computer Virus Catalog 1.2: "Murphy-1" Virus (12-June-1990) ====
  119. Entry.................. "Murphy-1" Virus
  120. Alias(es).............. ---
  121. Strain................. Murphy Virus Strain
  122. Detected: when......... December, 1989
  123.           where........ Sofia, Bulgaria
  124. Classification......... Program virus, indirect action
  125. Length of Virus........ 1277 bytes added to EXE and COM files.
  126. ------------------------ Preconditions -------------------------------
  127. Operating System(s).... MS-DOS
  128. Version/Release........ 3.xx and upward
  129. Computer models........ IBM-PC's and compatibles
  130. -------------------------- Attributes---------------------------------
  131. Easy identification.... The virus contains the string:
  132.                            "Hello, I'm Murphy. Nice to meet you
  133.                            friend. I'm written since Nov/Dec.
  134.                            Copywrite (c)1989 by Lubo & Ian, Sofia,
  135.                            USM Laboratory." See also damage.
  136. Type of infection...... Murphy is a program virus that appends itself
  137.                            to any COM or EXE file larger than
  138.                            1277 bytes. COM files must be smaller than
  139.                            64226 bytes, however if a COM file larger
  140.                            than 64003 is infected, it will not run.
  141.                            A file is judged as infected if the length
  142.                            between program entry and end of file is
  143.                            the same as the virus length.
  144.                            The virus also locates the original INT 13
  145.                            handler and unhooks any other routines
  146.                            that have been hooked onto this interrupt
  147.                            and restores the interrupt to the original
  148.                            handler.
  149.                            Murphy installs itself into memory by
  150.                            modifying the MCB chain. It determines
  151.                            whether it is already in memory by
  152.                            executing INT 21 function 4B59h. If the
  153.                            carry flag is not set on return, then the
  154.                            memory is assumed to be not infected.
  155. Infection trigger...... Infects file on execution and opening.
  156. Media affected......... Any logical drive.
  157. Interrupts hooked...... INT 21 functions 4B, 3D00, 6C00 (bl=0) are
  158.                            used to infect files, and INT 24 and 13
  159.                            are captured to mask out errors.
  160. Damage................. The speaker is turned on and off which
  161.                            produces a clicking noise.
  162. Damage trigger......... This happens between 10:00 and 11:00 (AM).
  163. Particularities........ INT 21 function 6C00 is the DOS 4.xx
  164.                            extended open/create function. This makes
  165.                            Murphy-1 one of the first viruses to make
  166.                            use of DOS 4.xx
  167.                            The virus knocks out the transient part of
  168.                            COMMAND.COM forcing it to be reloaded and
  169.                            thereby infected.
  170. Similarities........... Much of the code was taken from Eddie-1
  171.                            /Dark Avenger.
  172.                            This is the precursor to Murphy-2.
  173. ---------------------------- Agents ----------------------------------
  174. Countermeasures........ Checksumming programs will detect the virus,
  175.                            but have the side-effect of infecting
  176.                            every file on the disk if the virus is in
  177.                            memory. F-DLOCK in Fridrik Skulason's
  178.                            F-PROT package prevents files from being
  179.                            infected.
  180.  
  181.  - ditto - successful.. ---
  182. Standard Means......... ---
  183. ----------------------- Acknowledgements -----------------------------
  184. Location............... Bulgarian Academy of Science and
  185.                         University of Hamburg, Virus Test Center
  186. Classification by...... Morton Swimmer
  187. Documentation by....... Vesselin Bontchev
  188. Date................... 12-June-1990
  189. Information source..... ---
  190.  
  191.  
  192. ======================= End of "Murphy 1" Virus ======================
  193.  
  194.  
  195.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  196.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  197.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  198.