home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / OLDYANK.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  3.3 KB  |  73 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   THE YANKEE-2  VIRUS
  11.   ===================
  12.  
  13.   Extract from Virus-L
  14.  
  15.   Date:    24 Jan 90 11:14:00 +0700
  16.   From:    Vesselin Bontchev
  17.  
  18.   In fact, I'm a bit guilty for the creation of this virus.  At that
  19.   good old time (about 18 months ago), there was only one virus in
  20.   Bulgaria.  This was the VHP-648 (Vienna) virus.  Since it infects
  21.   only .COM-files, I thought that infecting an .EXE-file is much more
  22.   difficult.  And I was fool enough to express my thought publicly.
  23.   The challenge was taken immediately and the virus was created in
  24.   less than a month.
  25.  
  26.   It infects .EXE-files only since the infection method for the .COM-
  27.   ones was very well known and therefore was not interesting to bother
  28.   with.  Files of any length can be infected.  However, if the program
  29.   CodeView (a debugger which comes with the Microsoft programming
  30.   languages) gets infected, it does not work any more.  I cannot
  31.   figure out the reason for this.
  32.  
  33.   The virus is not memory-resident.  It activates only when an
  34.   infected program is run.  When activated, it searches the whole
  35.   directory tree on the current drive for a still non-infected
  36.   .EXE-file and infects it.  (The directory tree is searched in a
  37.   depth-first method.  This means that first all the subdirectories
  38.   are searched and then the current directory is searched.) On each
  39.   run of an infected program one more .EXE-file of the file system
  40.   gets infected.  Then the virus plays the "Yankee Doodle" melody and
  41.   starts the original program.  It has no other effect.
  42.  
  43.   Please note, that this virus is not the one, known in the Western
  44.   countries as the "Yankee Doodle virus".  The later infects both
  45.   .COM- and .EXE-files, is memory-resident, and plays the melody
  46.   *only* at 5 pm.  The Yankee virus is not memory-resident, infects
  47.   only .EXE-files and plays the melody *every time* when an infected
  48.   file is run.
  49.  
  50.   The infected files are recognized by the virus by the string
  51.   "motherfucker" (excuse me) which appears at the very end of the
  52.   file.  Note that the string is in lower case only.
  53.  
  54.   The author of the virus did not spread the virus itself.  In fact he
  55.   did even worse --- he spread its source code.  Now there is at least
  56.   one mutation of the virus.  It does not play the melody and is a
  57.   little bit shorter.  There were rumors about another mutation which
  58.   is able to format the hard disk, but they are still not confirmed.
  59.  
  60.   This virus is not very widely spread in our country.  The main
  61.   reason should be that it infects only the files on the current drive
  62.   - --- i.e.  is not very "virulent".
  63.  
  64.   I wrote a program which can recognize the two known versions of the
  65.   virus and is able to cure the infected files.
  66.  
  67.                                         Vesselin
  68.  
  69.  
  70.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  71.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  72.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  73.