home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / PLOVDIV.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  4.6 KB  |  92 lines
  1.  
  2.          *********************************************
  3.          ***   Reports collected and collated by   ***
  4.          ***            PC-Virus Index             ***
  5.          ***      with full acknowledgements       ***
  6.          ***            to the authors             ***
  7.          *********************************************
  8.  
  9.   The PLOVDIV group of viruses are all from the same source, a first
  10.   year student of Informatics at Sofia University who previously lived
  11.   in Plovdiv, the second largest town in Bulgaria.  The writer has
  12.   also produced a virus detection scanner and he was reported to have
  13.   stopped writing viruses in November 1990 because 'there was no more
  14.   challenge'.  Since then, a second version of TERROR has appeared
  15.   (known as DARK LORD or MANOWAR) and also GERGANA.
  16.  
  17.   He also continues to update his scanner.
  18.  
  19.   The ANTI-PASCAL viruses (v605 described below) are said to have been
  20.   written as an act of revenge against a former employer.
  21.  
  22.  
  23. === Computer Virus Catalog 1.2: Anti-Pascal 605 Virus (12-Feb-1991) ==
  24. Entry................ Anti-Pascal 605 Virus
  25. Alias(es)............ AP-605, V605, C-605 Virus
  26. Virus Strain......... Anti-Pascal strain
  27. Virus detected when.. June 1990
  28.               where.. Sofia
  29. Classification....... Program Virus extending .COM, direct action
  30. Length of Virus...... 605 Bytes
  31. --------------------- Preconditions ----------------------------------
  32. Operating System(s).. MS-DOS, PC-DOS
  33. Version/Release...... 2.1x upward
  34. Computer models...... IBM PC/XT/AT and compatibles
  35. --------------------- Attributes -------------------------------------
  36. Easy identification.. Infected files begin with "PQVWS". They also
  37.                          contain the string "combakpas???exe" at
  38.                          offset 0x17.0
  39. Self identification.. Files are considered infected if the word at
  40.                          offset 7 contains 0x10C.
  41. VIRSCAN string....... BF00018B360C0103F7B95D021E07EA00, scan COM
  42.                          files only.
  43. Type of infection.... Extends .COM files. The virus overwrites the
  44.                          first 605 bytes of the file. The original 605
  45.                          bytes are moved after the end of the file.
  46. Infection Trigger.... Execution of an infected file.
  47. Storage Media affected Infects .COM files on the current drive and on
  48.                          disk D:.
  49. Interrupts hooked.... INT 24h during infection.
  50. Damage............... transient: ---
  51.                       permanent: may overwrite .BAK and .PAS files.
  52. Damage trigger....... If less than two files in the current directory
  53.                          can be infected, a .BAK or .PAS file is
  54.                          selected and overwritten with the virus body.
  55.                          The virus tries then to rename the file with
  56.                          a .COM or (if rename is unsuccess- ful) .EXE
  57.                          extension, but due to a bug this never
  58.                          succeeds.
  59. Infective range...... Only files with length 605 to 64930 bytes are
  60.                          infected.
  61. Particularities...... 1. Files larger than 64674 bytes are no longer
  62.                          loadable after infection.
  63.                       2. If the Archive attribute of the file is
  64.                          reset, the virus sets it after infection.
  65.                       3. If the ReadOnly attribute of the file is
  66.                          set, the virus is not able to infect it.
  67.                       4. File date is modified.
  68. Similarities......... ---
  69. --------------------- Agents -----------------------------------------
  70. Countermeasures...... Category 1: Monitoring files
  71.                       Category 2: Alteration detection
  72.                       Category 3: Eradication
  73. -ditto- successful... Category 1: FluShot+, Anti4us
  74.                       Category 2: Sentry
  75.                       Category 3: V605Clr.Com
  76. Standard means....... Setting the attributes of the .COM files to
  77.                          ReadOnly effectivly prevents this virus
  78.                          from infecting/spreading.
  79. --------------------- Acknowledgement --------------------------------
  80. Location............. Bulgarian Academy of Sciences, Sofia
  81. Classification by.... Vesselin Bontchev
  82. Documentation by .... Vesselin Bontchev
  83. Date................. June 7, 1990
  84. Information Source... ---
  85. ===================== End of Anti-Pascal 605 Virus ===================
  86.  
  87.  
  88.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  89.   +++++++++++++++++++++++++++++ ends +++++++++++++++++++++++++++++++
  90.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  91.  
  92.