home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / PLASTIQ.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  8.8 KB  |  206 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   Reports on PLASTQUE viruses
  11.   ---------------------------
  12.  
  13.   Date:    19 Oct 90 14:20:30 -0400
  14.   From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
  15.   Subject: Plastique/Anti-CAD viruses (PC)
  16.  
  17.   There are now four known viruses in this series; all are based
  18.   heavily on the JV, with the addition of a timer-interrupt handler
  19.   that plays music periodically, some routines to make the occasional
  20.   disk-write fail, and (in the later ones) code to infect boot records
  21.   as well as executables; the later two (I think) also infect on OPENs
  22.   of files called EXE or COM, as well as on executions.  Most or all
  23.   of them also react in various ways to attempts to execute any
  24.   program called ACAD.EXE (is that familiar to everyone?).  Each one
  25.   contains a string (stored garbled in all but the first, earliest
  26.   virus).  I give the strings in clear (and slightly reformatted)
  27.   below.  Does anyone know where Fen Chia U.  is?  (I've also removed
  28.   the vowel from the leading obscenity in the first message...)
  29.  
  30.   DC
  31.  
  32.   >From the one just discovered at Western Michigan U:
  33.  
  34.   > Sh*t!  As you can see this document, you may know what this
  35.   > program is.  But I must tell you:  DO NOT TRY to WRITE ANY
  36.     ANTI-PROGRAM
  37.   > to THIS VIRUS.This is a test-program, the real dangerous code will
  38.   > implement on November.  I use MASM to generate varius virus
  39.   > easily and you must use DEBUG aginst my virus hardly, that is
  40.   > foolish.  Save your time until next month.  OK?  Your Sincerely,
  41.     ABT
  42.   > Group., Oct 13th, 1989 at FCU.
  43.  
  44.  
  45.   > From the "Plastique 4.51":
  46.   > Program:  Plastique 4.51 (plastic bomb),
  47.   > Copyright (C) 1988, 1989 by ABT Group.
  48.   > Thanks to:  Mr.  Lin (IECS 762??),
  49.   > Mr.  Cheng (FCU Inf-Center)
  50.  
  51.  
  52.   >From the "Plastique 5.21":
  53.   > PLASTIQUE 5.21 (plastic bomb)
  54.   > Copyright (C) 1988-1990 by ABT Group
  55.   > (in association with Hammer LAB.)
  56.   > WARNING: DON'T RUN ACAD.EXE!
  57.  
  58.  
  59.   >From the "Invader":
  60.   > by Invader, Feng Chia U.,
  61.   > Warning: Don't run ACAD.EXE!
  62.  
  63. ==============================   MORE   ==================
  64.  
  65.   Date:    Fri, 07 Dec 90 18:37:59 -0500
  66.   From:    Bob McCabe <PSYMCCAB@VM.UoGuelph.CA>
  67.   Subject: New Virus? (The Invader?) (PC)
  68.  
  69.   I got word today of a possible new virus that was apparently
  70.   deliberaty spread around at the Canadian Computer Show.  As I have
  71.   not heard or seen any postings of a simular virus I thought I'd post
  72.   a description here to see if anyone knows anything about it.
  73.  
  74.   The virus apparently infects (Ed: NO!  No virus can infect the CMOS;
  75.   only alter it) the CMOS on an AT, changing the drive type after an
  76.   incubation period, and the locking out the hard drive.  It can be
  77.   spread by running a program from an infected disk (how disks are
  78.   infected is unknown, nor is it know if a particular program is the
  79.   source).
  80.  
  81.   According to one distributor that got hit, the only way to remove
  82.   the virus is to disconect the AT board from the battery backup and
  83.   to wipe the BIOS on the hard disk controler.  (Ed: NO! Simply reset
  84.   the CMOS) This may be a little extreme, but I have yet to see an
  85.   infected machine.
  86.  
  87.   Apparently there is also a message displayed when the virus becomes
  88.   active, calling the virus 'THE INVADER'.
  89.  
  90.   Does this sound simular to any know virus? Does SCAN pickup the
  91.   virus, and if so which version?  Is there a simpler way to remove
  92.   the virus from an infected machine?  Any help would be appreciated.
  93.   I should get a copy of an infected disk on monday and may have more
  94.   information then.
  95.  
  96. ======================================================================
  97. INET       : PSYMCCAB@VM.UOGUELPH.CA            Bob McCabe
  98. CoSy       : bmccabe                            Psycholgy Dept.,
  99. Compuserv  : 72260,1501                         University of Guelph
  100. Phone      : (519) 821-8982                     Guelph,
  101.                                                 Ont. Canada
  102. ======================================================================
  103.  
  104.             ++++++  more  +++++
  105.  
  106.   Report from Jim Bates - The Virus Information Service - 4th January
  107.   1991
  108.  
  109.   === Plastique Virus ===
  110.  
  111.   The Plastique Virus is Parasitic on COM and EXE files but excludes
  112.   COMMAND.COM.  The infection method is slightly unusual in that COM
  113.   files have the virus code prepended to the file, while EXE files
  114.   have it appended.  In either case, the infective length is 2900
  115.   bytes and no stealth capabilities exist to mask this increase in
  116.   file length.  After infection, file attributes and date/time
  117.   settings are restored to their original values.  The virus code is
  118.   partially encrypted but allows the extraction of a recognition
  119.   string.
  120.  
  121.   This virus becomes resident in high memory by using the DOS
  122.   Terminate and Stay Resident function 31H.  During installation a
  123.   timing routine determines the processing speed and this is used for
  124.   sound effects later.
  125.  
  126.   As it becomes resident, INT 21H is intercepted by a special handler
  127.   which will cause file infection on function requests 4B00H and
  128.   3D00H, these correspond to Load and Execute, and Open file for Read
  129.   Only.  The DOS Critical Error handler (INT 24H) is bypassed during
  130.   the infection cycle to avoid error messages.
  131.  
  132.   On a random basis, virus installation after 20th Sept 1990 may cause
  133.   other handlers to be installed which will produce certain sound
  134.   effects and may result in execution of the trigger routine.  These
  135.   handlers are as follows :- One of two INT 08 - Timer Interrupt
  136.   handlers are installed (chances are even of either one being
  137.   installed).
  138.  
  139.   Handler 1 increments a timer counter and slows processing
  140.   progressively up to a limit decided during installation timing.
  141.  
  142.   Handler 2 also increments the timer counter and makes "explosion"
  143.   noise about every 4.5 minutes
  144.  
  145.   An INT 09 - Keyboard Interrupt handler is installed which will
  146.   intercept a Ctrl-Alt-Del key sequence and then act accordng to which
  147.   INT 08 handler is installed.  If Handler 1 is present then the
  148.   trigger routine is activated.  If Handler 2 is present then
  149.   Non-volatile RAM is overwritten with 0FFH bytes.  The INT 09 handler
  150.   also counts keypresses and after 4000 keypresses, an error will be
  151.   forced on the next disk write request to INT 13H
  152.  
  153.   An INT 13H - Disk Access handler is installed which intercepts write
  154.   requests and forces an error according to the condition of a flag.
  155.   The error consists of putting -1 into DX (Head and Drive) and
  156.   completing the call.  The routine then returns without setting the
  157.   relevant flags so that the caller is not aware that his data has NOT
  158.   been written.
  159.  
  160.   The Trigger routine occurs immediately on execution of ACAD.EXE,
  161.   otherwise during a Ctrl-Alt-Del sequence from within INT09 handler
  162.   if INT08 Handler 1 is installed and the timer counter has reached a
  163.   predetermined limit.  The actual routine checks if there is a floppy
  164.   disk in drive A:, if so it overwrites head 0 of all tracks with the
  165.   contents of memory from address 0000:0000.  Processing continues
  166.   similarly for floppy in drive B:, zapping it if possible.  Then the
  167.   "explosion" routine is set to occur as both the first and second
  168.   fixed disk drives are overwritten on all heads and tracks.  Finally
  169.   a loop overwrites the contents of CMOS by direct port access.
  170.  
  171.   The virus recognises itself in memory by issuing an INT 21H with
  172.   4B40H in the AX register.  If the virus is resident, the call
  173.   returns with 5678H in AX.  Recognition on disk is by examining the
  174.   word at offset 12H in the target file.  If this word is 1989H then
  175.   the file is assumed to be infected.
  176.  
  177.   The recognition string for the Plastique virus is as follows :-
  178.  
  179.          B840 4BCD 213D 7856 7512 B841 4BBF 0001
  180.  
  181.   and this will be found at offset 82CH into the virus code.
  182.  
  183.   VIS Classification - CEOARK2900A
  184.  
  185.  
  186.   The information contained in this report is the direct result of
  187.   disassembling and analysing a specimen of the virus code.  I take
  188.   great pains to ensure the accuracy of these analyses but I cannot
  189.   accept responsibility for any loss or damage suffered as a result of
  190.   any errors or omissions.  If any errors of fact are noted, please
  191.   let me know at :-
  192.  
  193.     The Virus Information Service,
  194.     Treble Clef House,
  195.     64, Welford Road,
  196.     WIGSTON MAGNA,
  197.     Leicester  LE8 1SL
  198.  
  199.   or call +44 (0)533 883490
  200.  
  201.   Jim Bates
  202.  
  203.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  204.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  205.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  206.