home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / MUSICBUG.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  10.0 KB  |  210 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   Date:    Mon, 26 Nov 90 23:16:00 -0500
  11.   From:    Michael Head <CCMH@MVS.MCGILL.CA>
  12.   Subject: new boot sector virus (PC)
  13.  
  14.   We have found an unknown boot sector virus on "COMBASE" and
  15.   "SVGA-UTILITY" software shipped in PACKARD-BELL PACKMATE-III and
  16.   386sx computers .  The diskettes are in sealed envelopes.  The seal
  17.   bears characters which appear to be chinese .
  18.  
  19.   The disks were not intended to be booted and will produce the
  20.   standard error message "NON-SYSTEM DISK etc." if accidently booted,
  21.   however the harddisk if present will have been infected.
  22.  
  23.   The symptoms are varied. Some infected systems play a few notes with
  24.   every DOS command issued . On others there are no notes but there is
  25.   a lot of I/O of write protected disks (one has the feeling it is
  26.   trying to burn its way onto the disk) .  Still others (my
  27.   quarantined Taiwanese AT) will not boot at all after being infected.
  28.  
  29.   Now for the bad news. SCANV67c does not report anything. F-PROT113
  30.   also doesn't find a known virus but reports the boot sector is an
  31.   unusual DOS boot sector and there may be a an unknown virus. (Thanks
  32.   Fridrik,it sure is lonely trying to convince yourself your the first
  33.   one to ever see a brand new virus).
  34.  
  35.        Michael Head
  36.  
  37.                     ------------ more ----------
  38.  
  39.   Date:    30 November, 1990
  40.   From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  41.   Subject: MUSICBUG (PC)
  42.  
  43.   Thanks to Michael Head, I have had a chance to take a brief look at
  44.   this infector. If it were not for the vector, it might not be
  45.   dangerous, however it appears to be being distributed along with
  46.   Packard- Bell computers. Since these are often sold from general
  47.   merchandisors, it has the capacity to become widespread among
  48.   non-computer-literate users.
  49.  
  50.   The distribution appears to be on utilities disks provided with the
  51.   computers. I have not fully disassembled the virus yet but it is a
  52.   boot sector infector that can be recognised on floppies since the
  53.   DOS warning messages are not found on the boot sector and the jump
  54.   parameter of CCh is found in the third byte.
  55.  
  56.   Once infected, the virus goes resident in the TOM reducing a CHKDSK
  57.   total memory return by 4k (640k machine will report 651,264 bytes
  58.   instead of 655,360 bytes).
  59.  
  60.   Only part of the code is stored in the boot sector of an infected
  61.   floppy. What looks like sloppy programming has the virus store the
  62.   action in DOS sector 45 (cyl 2 head 1 sect 1) on the floppy,
  63.   overwriting sector(s) in the files area. Both this sector and the
  64.   reserved area at the TOM will contain the ASCII string "MusicBug
  65.   v1.06. MacroSoft Corp.". It looks like this string will be found at
  66.   9C00:0210 in memory but cannot guarentee the address yet. Once the
  67.   rest of it is pulled apart, I can let you know what it does to a
  68.   hard disk & hopefully a cure.
  69.  
  70.   From what I have been told, the sealed envelopes containing the
  71.   floppy are marked with the same imprint of a blue floppy disk & blue
  72.   numbers partially overwritten by a red square containing what look
  73.   like chinese characters as was found with the "Modular Component
  74.   Technologies" disks that contained the STONED virus a few months
  75.   ago.
  76.  
  77.      Meanwhile, it's getting late,
  78.        Padgett
  79.  
  80.                         ------- more --------
  81.  
  82.   Date:    03 Dec 90 14:30:21 +0000
  83.   From:    frisk@rhi.hi.is (Fridrik Skulason)
  84.   Subject: Re: new boot sector virus (PC)
  85.  
  86.   CCMH@MVS.MCGILL.CA (Michael Head) writes:  We have found an unknown
  87.   boot sector virus on "COMBASE" and "SVGA-UTILITY" software shipped
  88.   in PACKARD-BELL PACKMATE-III and 386sx computers .  The diskettes
  89.   are in sealed envelopes.  The seal bears characters which appear to
  90.   be chinese .
  91.  
  92.   The diskettes are probably from Taiwan - a country which is
  93.   practically flooded by viruses - a friend of mine ordered a machine
  94.   from a company there and received it infected with three different
  95.   viruses.
  96.  
  97.   Also, every company in Iceland which imports machines from Taiwan,
  98.   has at least once received infected machines or floppies.
  99.  
  100.   Now for the bad news. SCANV67c does not report anything. F-PROT113
  101.   also doesn't find a known virus but reports the boot sector is an
  102.   unusual DOS boot sector and there may be a an unknown virus. (Thanks
  103.   Fridrik,it sure is lonely trying to convince yourself your the first
  104.   one to ever see a brand new virus).
  105.  
  106.   Well, I am glad the routine I added in version 1.13 to analyze boot
  107.   sectors for suspicious code turned out to be useful - I am working
  108.   on improvements for version 1.14
  109.  
  110.   - -frisk
  111.  
  112.   Fridrik Skulason      University of Iceland  |
  113.   Technical Editor of the Virus Bulletin (UK)  |  Reserved for future
  114.   expansion E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801  |
  115.  
  116.                     ------------- more ----------
  117.  
  118.   Date:    12 December, 1990
  119.   From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  120.   Subject: Music-Bug Update (PC)
  121.  
  122.   Recently, I received several infected disks in what appear to be the
  123.   original un-opened sealed envelopes. Examination showed that the
  124.   seals, while similar to those on the "Modular Component
  125.   Technologies" disk that contained the STONED virus, are different.
  126.   First, the envelopes have square flaps rather than the triangular
  127.   one used on the MCT disk.  Second, the "floppy disk" seal uses a
  128.   thinner font and a different typeface than the MCT.  Finally, the
  129.   red square overlay is centered on the seal and has different
  130.   (chinese ?) characters.  The seals bear the (sequence ?) numbers
  131.   01206 and 01081.
  132.  
  133.   As mentioned, SCAN v71 does detect this virus [Muboot] on these
  134.   disks but CLEAN does not disinfect them. Floppies may be disinfected
  135.   by replacement of the boot sector though the other eight sectors of
  136.   the virus may have overlaid part of files on the disk. On the
  137.   samples provided, the virus stores the real boot sector followed by
  138.   seven viral code sectors on the disk with the CX and DX values for
  139.   Int 13 retrieval stored in offset 42h (DX) and 44h (CX) of the disk
  140.   boot sector.
  141.  
  142.   The original disks show no errors, but after infecting a floppy,
  143.   CHKDSK reported "4 lost clusters in 4 chains" where the 4096 bytes
  144.   of viral code appeared on the disk following pre-existing programs.
  145.   Since the real boot sector is stored here, use of the /F with CHKDSK
  146.   followed by deletion/overwrite of the "garbage" files would render a
  147.   previously bootable floppy disk unbootable.
  148.  
  149.   In limited testing on a hard disk (ST-412), the virus infects the
  150.   boot record (not the partition table) and after a cold boot from a
  151.   clean, protected floppy, the above method of recovery works. On the
  152.   HD, the "lost clusters" do not coincide with the viral code, instead
  153.   files in other areas may be corrupted/lost in multiple 4k (or
  154.   larger) chunks.
  155.  
  156.   My concern is that since these disks were apparently distributed
  157.   along with Packard-Bell Computers and these computers are generally
  158.   sold by mass marketeers & department stores (I have seen about a
  159.   dozen ads in the last week) that the potential for a considerable
  160.   spread exists. I have no idea how many disks are involved.
  161.  
  162.   Incidently, regardless of the operating system involved, these
  163.   infected disks have the signature "IBM 3.3" in the infected boot
  164.   record and the first three bytes of the sector are "FA E9 CC".  No
  165.   "stealth" is involved. An infected machine will have total memory
  166.   reduced by 4096 bytes (on 640k machine, CHKDSK will report 651264
  167.   bytes instead of 655360).
  168.  
  169.   The following is a abbreviated directory listing of the three
  170.   infected distribution disks (2 in "SVA" envelope, 1 in "COMBASE"
  171.   envelope - note: id is by disk label, there are no markings on the
  172.   envelopes other than the seal):
  173.  
  174.    "SVGA-Utility" Disk No. 1          "SVGA-Utility" Disk No. 2
  175.  
  176.   Volume in drive A has no label    Volume in drive A has no label
  177.   Directory of  A:\                 Directory of  A:\
  178.  
  179.   VGA800   DRV    32720  10-19-88   WIN30        <DIR>      1-01-80
  180.   VGA800   GRB     3573  10-18-88   OAK386   3EX    34460   2-24-89
  181.   VGA800   LGO      468  10-18-88   OAK386   386   139491   2-24-89
  182.   SD_VGA_5 VGA    46592  10-07-88   OAK386   GRB     8589   2-24-89
  183.   SDVGA8   VGA    48128  10-05-88   OAK386   LGO      468  11-12-87
  184.   DSVGA    EXE    11003  10-13-88   OAK386   DRV    32720  10-19-88
  185.   VP11     EXE    11006   3-19-87   READ     ME       574   8-09-90
  186.   GEMINSTL BAT     2935  10-29-88      7 File(s) 67584 bytes free
  187.   SETUP    TXT     1968  10-23-88
  188.   VP       BAT       51  10-23-88        "COMBASE" Disk
  189.   GEMSETUP TXT    12072  11-03-88
  190.   VP1_1    TXT     2205  10-30-88    Volume in drive A is NN
  191.   OAK25V2  DRV      990   1-25-89    Directory of  A:\
  192.   OAK43V2  DRV      990   1-25-89
  193.   OAK640V2 DRV     2023   1-25-89   ADCOMHLP DBF     1214   3-31-89
  194.   OAK800V2 DRV     2023   1-25-89   ADCOMHLP DBT    36462   3-31-89
  195.   OAK3     SC      1503   2-08-89   ADCOMM   DBT     1536   2-08-88
  196.   OAK4     SC      1539   2-08-89   ADCOMMAC DBT     1024  11-18-87
  197.   OAK5     SC      6611   2-07-89   COMBASE  EXE   289328   3-31-89
  198.   OAK6     SC      6625   2-07-89   ADCOMMAC MAC      211   3-31-89
  199.   OAK1     SC      1503   3-07-89   ADCOMM   MAS       66   1-11-90
  200.   OAK2     SC      1539   3-07-89   ADCOMM   TEL      540   1-18-90
  201.   DSVGA9   EXE    13480   3-16-89   ADCOMDEF MEM     1348   1-16-90
  202.   READ     ME      1513   1-03-80   CAPTURE  TXT        0   5-06-89
  203.   UTILITY      <DIR>      1-01-80     10 File(s) 25600 bytes free
  204.   25 File(s) 59392 bytes free
  205.  
  206.  
  207.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  208.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  209.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  210.