home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / SMACK.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  4.1 KB  |  109 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   DARK AVENGER V2100 v?: SMACK
  11.   ============================
  12.  
  13.   Report from Righard Zwienenberg (RiZwi):
  14.  
  15.    Virus Name:  SMACK
  16.       Aliases:  Italian-1835, Patricia
  17.     Discovery:  April 1991
  18.          Type:  Parasitic Resident .COM & .EXE Infector
  19.        Origin:  Italy
  20.    Eff Length:  1835 bytes
  21.   Documentation:  RiZwi of INFOdesk BBS The Hague (2:512/2@fidonet)
  22.  
  23.   Detection:
  24.  
  25.        HTSCAN/TBSCAN with the next signature for detection only:
  26.        ;
  27.        Smack Virus
  28.        COM EXE
  29.        A400B4408BD6B91800E89A00C3B904008BF883
  30.        ;
  31.  
  32.   General Comments:
  33.  
  34.        The Smack Virus was received in April 1991. It is a parasitic
  35.        resident .COM and .EXE infector with the viral code placed at
  36.        the end of infected files.  The virus did get the name 'Smack'
  37.        because of a message inside the viral code:
  38.  
  39.                       This virus was written in Italy by
  40.                             Cracker Jack 1991 IVRL
  41.  
  42.                        All rights reserved, please don't
  43.                               crack this virus!!
  44.  
  45.                       Special message to Patricia Hoffman:
  46.                               I love you!!!!!!!!
  47.  
  48.                                  SmackSmack!!
  49.  
  50.                          Can you give me your telephone
  51.                            number??? Ciao bellissima!
  52.  
  53.        When the virus is executed the first time, it will install
  54.        itself in high memory, allocating 1856 bytes of memory and
  55.        hooking interrupt 21. If an int 21 call is issued with
  56.        ah=4b(Exec), ax=3D00h (Open to Read Only) or ax=6c00 (Dos 4.0
  57.        Extended Open / Create with as access mode read-only), the
  58.        virus will check wheter the file is a COM or EXE-File.
  59.  
  60.        If the file is an EXE-File and the filename ends with 'AN',
  61.        'HA' or 'AK', the virus will perform a reboot, but if any
  62.        interrupt between 0h en 0Ch was hooked, the system will most
  63.        likely hang.
  64.  
  65.        If the filename is a valid one, the virus will check if the day
  66.        of the system equals Friday.  If it is Friday, the virus will
  67.        ask the uses a question:
  68.  
  69.                       Is today Friday? (Y/N)
  70.  
  71.        and will wait for an answer. If the 'y' or the 'Y'-key is
  72.        pressed, the virus will write the following message:
  73.  
  74.                       Sorry but on Friday I wish not work!!
  75.  
  76.        and terminates to DOS. If any other key is pressed, the virus
  77.        will write:
  78.  
  79.                       You are intruthful!!
  80.                       For punishment I format your HD Fat!!
  81.  
  82.        Due to a bug inside the code the Fat will not be destroyed.
  83.  
  84.        If the file is a COM-File and the filename ends with 'ND', so
  85.        the virus will not infect COMMAND.COM, the virus will also
  86.        boot, as with invalid EXE-Files.
  87.  
  88.        If the COM-Filename is a valid one, the virus will check if the
  89.        day of the system equals Saturday.  If it is Saturday, the
  90.        virus should delete the first file in the current directory,
  91.        but because of two bugs, this will not occur.
  92.  
  93.        If the length of the COM-File is below 1835 bytes or equal or
  94.        above 64000 bytes, the file will not be infected.
  95.  
  96.        Infected files will not show any changes in the filetime and
  97.        filedate as they are restored by the virus.
  98.  
  99.        Looking at the code, the virus is probably written by someone
  100.        without much experience with assembler. There are useless
  101.        instrutions within the code and every instruction is seperated
  102.        by one or more NOP's.
  103.  
  104. [RiZwi]
  105.  
  106.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  107.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  108.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  109.