home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / PIXEL.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  5.8 KB  |  123 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   PIXEL (V-847) aka AMSTRAD VIRUS
  11.   ===============================
  12.  
  13.   This virus was imported into Bulgaria by a foreign student from
  14.   Greece, where it had been around since it was published in the April
  15.   1987 edition of PIXEL magazine, as an example of a virus program. It
  16.   was written by a local computer wizard known as Nick the Greek.
  17.  
  18.   Three months later the magazine published an 'antibiotic', claiming
  19.   that release of the disinfector had been delayed so that readers
  20.   could set up a few practical jokes.
  21.  
  22.   The virus is supplied as a program in BASIC, which when run creates
  23.   a COM-file which in fact contains the real virus.
  24.  
  25.   The virus is extremely stupid. It infects only .COM-files in the
  26.   current directory of the current drive. However, it infects ALL
  27.   these files at once. The only way to spread the virus is to run an
  28.   infected file when one of the directories listed in the PATH
  29.   variable is current.  Then each time a file from this directory is
  30.   run, all files in the current directory will get infected.
  31.  
  32.   The virus is not memory resident. It becomes active only when an
  33.   infected file is run.
  34.  
  35.   The virus prepends itself in front of the infected files and their
  36.   size increases by 847 bytes, most of which is garbage.
  37.  
  38.   Each infected file contains the generation number of the virus.
  39.  
  40.   There are no effects before the 5th generation. After the 5th
  41.   generation, however, when an attempt is made to execute an infected
  42.   file, the probability of success is only 1/2 (the lowest bit of the
  43.   system timer is used as a random number generator).
  44.  
  45.   If the program refuses to load, a message is displayed:
  46.  
  47.   "Program sick error: Call doctor or buy PIXEL for cure description"
  48.  
  49.   and the program will terminate.
  50.  
  51.   This original virus has been modified and there are now several
  52.   versions known in Bulgaria and elsewhere.
  53.  
  54.    * The first has been optimized and is only 345 bytes long. (See
  55.      V-345)
  56.  
  57.    * The second has been optimized even further and has a length of
  58.      only 299 bytes.  (See V-299).
  59.  
  60.   The AMSTRAD variant which carries a false advertisement for AMSTRAD
  61.   computers is believed to have originated in Portugal.
  62.  
  63.   There are now many variants. A decsription of one follows:
  64.  
  65.  
  66. ====== Computer Virus Catalog 1.2: "V-345" Virus (11-June-1990) ======
  67. Entry.................. "V-345" Virus
  68. Alias(es).............. ---
  69. Strain................. Amstrad Virus Strain
  70. Detected: when......... Winter 1989
  71.           where........ Bulgaria
  72. Classification......... Program virus, direct action, prefix
  73. Length of Virus........ 345 bytes
  74. ------------------------ Preconditions -------------------------------
  75. Operating System(s).... MS-DOS
  76. Version/Release........ 2.xx and upward
  77. Computer models........ IBM-PC's and compatibles
  78. -------------------------- Attributes --------------------------------
  79. Easy identification.... The virus contains the string "Program sick
  80.                            error:Call doctor or buy PIXEL for cure
  81.                            description". The virus identifies
  82.                            infection by checking for the string "IV"
  83.                            at offset 3 in the COM file.
  84. Type of infection...... A program virus that infects all COM files
  85.                            in the current directory by prepending
  86.                            itself to its victim. The virus will not
  87.                            spread very quickly.
  88. Infection trigger...... As it is a direct action virus, it will
  89.                            only infect on run-time, but will do this
  90.                            at any time.
  91. Media affected......... Any logical drive that is the "current" drive
  92. Interrupts hooked...... ---
  93. Damage................. Denial of access
  94. Damage trigger......... The virus carries an evolution counter that is
  95.                            increased every time the virus is executed.
  96.                            When the counter is above or equal to 5,
  97.                            the virus reads the system timer. If the
  98.                            value is odd, the virus will terminate
  99.                            with the message described above. (This is
  100.                            effectively a 50% chance of termination.)
  101. Particularities........ This is an optimized variant of Amstrad virus
  102. Similarities........... Amstrad, V-299, Cancer Viruses
  103. ---------------------------- Agents ----------------------------------
  104. Countermeasures........ Checksumming programs will detect the changes
  105.                            to the files.
  106.  - ditto - successful.. V847clr by Vesselin Bontchev will successfully
  107.                            search and clear the Amstrad, V-345 and
  108.                            V-299 viruses, and find the Cancer virus.
  109. Standard Means......... Believe it or not, write protecting programs
  110.                            with ATTR will prevent the virus from
  111.                            spreading to them.
  112. ----------------------- Acknowledgements -----------------------------
  113. Location............... Bulgarian Academy of Science and
  114.                         University of Hamburg, Virus Test Center
  115. Classification by...... Morton Swimmer
  116. Documentation by....... Vesselin Bontchev
  117. Date................... 11-June-1990
  118. Information source..... ---
  119.  
  120.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  121.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  122.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  123.