home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / PINGPONG.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  5.3 KB  |  120 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   PING PONG aka BOUNCING BALL, ITALIAN
  11.   ====================================
  12.  
  13. === Computer Virus Catalog 1.2: Bouncing-Ball (September 10, 1989) ==
  14.  
  15. Entry.................. Bouncing-Ball Virus
  16. Alias(es).............. Italian = Ping Pong = Turin-Virus
  17. Strain................. ---
  18. Detected: when......... March 1988
  19.           where........ University of Turin, Italy
  20. Classification......... Bootsector/resident; loads to high-memory.
  21. Length of Virus........ Length on disk: 2 Sectors of 512 Bytes
  22.                            length plus original bootsector  = 3
  23.                            Sectors.
  24.  
  25.                         Length in RAM: 1024 Byte.
  26.  
  27. --------------------- Preconditions-----------------------------------
  28.  
  29. Operating System(s).... MS-DOS
  30. Version/Release........ ---
  31. Computer models........ IBM-PC, XT, AT and compatible
  32.  
  33. --------------------- Attributes--------------------------------------
  34.  
  35. Easy identification.... 1.The bootsector contains at the offset
  36.                           01FCh the word 1357h. This is how the
  37.                           virus identifies itself.
  38.                         2.Enter TIME 0, then immediately press any
  39.                           key and Enter; if the virus is present, the
  40.                           bouncing dot will be triggered
  41.                           (->Damage Trigger).
  42.  
  43. Type of infection...... Infects disk media as follows:
  44.                         1. Determines whether infection is possible
  45.                         2. Secures original bootsector
  46.                         3. Copy the virus's first sector to the
  47.                            bootsector
  48.                         4. Copy the virus's second sector to the
  49.                            first free cluster
  50.                         5. Mark the cluster as bad
  51.                         6. Load and jump to the original boot sector.
  52.  
  53. Infection trigger...... Every disk that is _read_ using the BIOS
  54.                         function 13h will be infected. (As all read
  55.                         and write operations use this interrupt,
  56.                         any disk operation can lead to infection.)
  57.  
  58. Media affected......... Infects floppy disks as well as hard disks.
  59.                         The media must fulfill the following criteria:
  60.                         1. 512 bytes per sector (standard)
  61.                         2. There must one free cluster
  62.                         3. A cluster must be at least 2 sectors long.
  63.                         For hard disks: The master boot block (which
  64.                         contains disk and partition data) must conform
  65.                         to the standard.
  66.  
  67. Interrupts hooked...... BIOS Int 13h
  68.  
  69. Damage................. Permanent: the boot block is overwritten
  70.                         Transient: A small rhombus (IBM character set:
  71.                                    07h) moves like a "bouncing ball"
  72.                                    (or ping pong ball) over the
  73.                                    screen.
  74.  
  75. Damage trigger......... Triggered randomly after a disk access within
  76.                            1 second after the system clock reaches a
  77.                            multiple of 30 minutes (e.g, 00:00, 00:30,
  78.                            01:00, etc.).
  79.  
  80. Particularities........ 1. The virus loads itself to high memory and
  81.                            reduces the memory available to the
  82.                            operating system by modifying a BIOS
  83.                            variable.
  84.  
  85.                         2. The virus cannot always tell if the hard
  86.                            disk is non-standard, and terminates.
  87.                            Should the virus try to infect a
  88.                            non-standard disk, data may be destroyed on
  89.                            the disk.
  90.  
  91. Similarities........... ---
  92.  
  93. ----------------------- Agents---------------------------------------
  94.  
  95. Countermeasures........ Infected system disks can be cleaned by using
  96.                         the DOS program "SYS.COM". (You must boot from
  97.                         a clean disk.) The "bad" cluster will,
  98.                         however, remain.
  99.  
  100. Countermeasures successful ---
  101.  
  102. Standard Means......... The DOS program "CHKDSK.COM" shows clusters,
  103.                         that contain bad sectors.
  104.  
  105. --------------------- Acknowledgements ----------------------------
  106.  
  107. Location............... Virus Test Center, University Hamburg, FRG
  108. Classification by...... Michael Reinschmiedt
  109. Documentation by....... Michael Reinschmiedt
  110. Date................... July 30, 1989
  111. Updated by............. Y.Radai, Hebrew University, August 31, 1989
  112. Information source..... ---
  113.  
  114. =============== End of Bouncing Ball-Virus ==========================
  115.  
  116.  
  117.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  118.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  119.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  120.