home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / STONED.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  5.2 KB  |  117 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   STONED aka NEW ZEALAND, also KOREA
  11.   ==================================
  12.  
  13.   This virus was written late 1987 in Wellington, New Zealand.  The
  14.   author, who has been identified, was then a high-school student who
  15.   later went to university.  It seems that another individual was
  16.   responsible for spreading the virus.
  17.  
  18.   There were two similar versions of the original virus the difference
  19.   being where the original Boot Sector is stored. One version is
  20.   described in detail below, the second one uses the following
  21.   address:
  22.          * at Track Zero, Head One, Sector Three on a floppy disk and
  23.          * at Track Zero, Head Zero, Sector Two on a Hard Disk.
  24.  
  25.   There are now very variants ranging from simple character for
  26.   character substitutions (to change the message); minor 'hacks' to
  27.   evade a particular detection program to major rewrites.
  28.  
  29.   || The displaced boot sector is now relocated to a variety of
  30.   || sectors on the hard disk thus complicating disinfection, even
  31.   || though positive identification has apparently been made.
  32.  
  33.  
  34. ===== Computer Virus Catalog 1.2: Marijuana Virus  (15-Feb-1990) ===
  35.  
  36.  
  37. Entry...............: Marijuana Virus
  38. Alias(es)...........: Stoned Virus, New Zealand Virus
  39. Classification......: System Virus (= Bootsector virus)
  40.  
  41. Length of Virus.....: 440 bytes (occupies one sector on storage
  42.                         medium) 2 kbyte in RAM
  43.  
  44. --------------------Preconditions -----------------------------------
  45. Operating System(s).: MS-DOS,
  46. Version/Release.....: 2.xx and upward
  47. Computer model(s)...: IBM-PC/XT/AT
  48.  
  49. ------------------- Attributes --------------------------------------
  50.  
  51. Easy Identification.: 'Your PC is now Stoned!.....LEGALISE MARIJUANA!'
  52.                       in the bootsector at offset 18Ah
  53.  
  54. Type of infection...: Self-identification: The virus regards a disk as
  55.                       infected if the bootsector starts with
  56.                       EA 05 00 C0. The virus installs itself 2 kbyte
  57.                       below the end of available memory, removes that
  58.                       space from DOS, and infects the first hard disk
  59.                       when booting from an infected floppy disk. It
  60.                       captures all read and write calls to drive A:,
  61.                       checks for infection and if not present, infects
  62.                       the disk. Infection occurs by transferring the
  63.                       original bootsector on a floppy drive to head 1,
  64.                       track 0, sector 3 or on a hard disk to head 0,
  65.                       track 0, sector 7, and the original bootsector
  66.                       is replaced with the virus bootsector.  When the
  67.                       virus installs itself from a floppy drive and
  68.                       the last three bits of the system clock counter
  69.                       are all zero, the PC beeps and the message 'Your
  70.                       PC is now Stoned!' is printed on the screen.
  71.  
  72. Infection Trigger...: Infection of drive A: disks at any activity
  73.                       that invokes an int 13h read or write call
  74.                       (e.g. DIR, TYPE)
  75.                       Infection of the hard disk: when booting from an
  76.                       infected floppy disk.
  77.  
  78. Storage media affected: Infects only disks in drive A: (media type
  79.                         doesn't matter) and the first hard disk
  80.  
  81. Interrupts hooked...: Int 13h functions 2, 3 (read, write)
  82.  
  83. Damage..............: Indirect damage through infection:
  84.                       1. Floppy disks: The overwritten sector is
  85.                          usually a part of the root directory, so
  86.                          directory entries may be destroyed.
  87.                       2. Hard disk: Overwrites sector 7. Usually this
  88.                          sector is not used, but in some non-standard
  89.                          cases the hard disk may become inaccessible.
  90.  
  91. Damage Trigger......: Infection, booting
  92.  
  93. Particularities.....: Normal formating will not remove the virus from
  94.                       an infected hard disk
  95.  
  96. ------------------- Agents ------------------------------------------
  97.  
  98. Countermeasures.....: Category 3: ANTIMARI.COM (VTC Hamburg)
  99.  
  100. Countermeasures successful: ANTIMARI.COM deactivates the resident
  101.                             Marijuana-Virus in RAM and restores the
  102.                             bootsector to its correct place
  103.  
  104. ------------------- Acknowledgement ---------------------------------
  105.  
  106. Location............: Virus Test Center, University Hamburg, FRG
  107. Classification by...: Rainer Anscheit
  108. Documentation by....: Rainer Anscheit
  109. Date................: Jan. 14, 1990
  110.  
  111.  
  112. =================== End of Marijuana-Virus ==========================
  113.  
  114.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  115.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  116.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  117.