home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / TENBYTES.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  5.0 KB  |  120 lines

  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   TENBYTE 1554 VIRUS, aka VALERT etc
  11.   ==================================
  12.  
  13.   (Originally thought to be 1559 bytes:  Files can grow up to 1569
  14.   bytes)
  15.  
  16.  
  17.   Date:    16 Feb 90 19:51:00 +0700
  18.   From:    Vesselin Bontchev (Bulgarian anti-virus researcher)
  19.   Subject: The 1559 virus (PC)
  20.  
  21.   Recently, the subscribers of VALERT-L received an uuencoded file
  22.   which (as the sender said) was infected with a new virus.  Of
  23.   course, sending an infected file to a public (and non-moderated)
  24.   forum is a big mistake, but I won't emphasize this here.
  25.  
  26.   Personally, I received at least 3 more messages, which warned me
  27.   that I *have* to delete this file and not to uudecode it.  However,
  28.   since I'm an antivirus researcher, I couldn't resist to the
  29.   temptation and "test" the virus --- of course in a "safe"
  30.   environment.
  31.  
  32.   It turned out that the environment was too safe... I worked on a
  33.   computer with physically disabled hard disk.  I booted from a
  34.   floppy, containing only the operating system (PC-DOS 3.30), the
  35.   infected file, MAPMEM (a public-domain utility) and ANTI4US --- an
  36.   interrupt monitoring program --- much like FluShot+ but with much
  37.   worse interface.
  38.  
  39.   I started the interrupt monitor and executed the infected file. Then
  40.   I executed MAPMEM. I wanted to (1) see if the virus can be "seen" in
  41.   memory with this utility and (2) confirm that the infected file is
  42.   "infective" i.e., contains  really  a  virus.  Of  course,  MAPMEM
  43.   didn't saw the beast.
  44.  
  45.   Then I cold-rebooted from a new clear and write-protected diskette
  46.   and inspected the MAPMEM.COM file.  Well, it wasn't infected at all!
  47.   I decided that I have received a damaged file and sent a message to
  48.   the author to send me a new file, consisting only of NOPs, infected
  49.   with the virus.  He did so.
  50.  
  51.   Further investigations showed that:
  52.  
  53.         - If I load ANTI4US and then run an infected program, the damn
  54.           thing does not spread --- it ever does not try to infect
  55.           files.
  56.  
  57.         - However, if I first run an infected program and then
  58.           ANTI4US, the beast tries to spread (which is detected by
  59.           ANTI4US) --- and of course infects ANTI4US.
  60.  
  61.   At that point I was convinced that it is really a virus. Now I'm
  62.   trying to disassemble it and to write an antidote. Here is what I
  63.   know for the moment (without any warrant!):
  64.  
  65.         - The virus is memory resident. It installs itself in the
  66.           memory at address 9800:0000. I couldn't find where (and if)
  67.           it checks for the memory size.
  68.  
  69.         - The virus is 1554 bytes long, but may add more bytes (up to
  70.           1569 I think) to the infected files.
  71.  
  72.         - Files are infected when they are executed (*not* when
  73.           copied).
  74.  
  75.         - Both *.COM and *.EXE files can be infected.
  76.  
  77.         - COMMAND.COM can be infected --- if it is executed.
  78.  
  79.         - Files are infected only once.
  80.  
  81.         - The ReadOnly attribute won't help (you already guessed
  82.           this :-) ).
  83.  
  84.         - The virus has its own critical error handler. Therefore an
  85.           attempt to infect a file on a write-protected diskette won't
  86.           display the usual "Abort, Retry, Ignore? " message.
  87.  
  88.         - The size of the infected files is such that always (SIZE mod
  89.           16 == 2).
  90.  
  91.         - Only *.COM files greater than 1000 bytes will be infected. I
  92.           couldn't find if there is a limit for the *.EXE ones.
  93.  
  94.         - The first 32 bytes of the *.COM files are overwritten. The
  95.           original 32 bytes can be found at offset [14,15]*16+1015
  96.           from the beginning of the file. Here [14,15] means the
  97.           contents of the word at offset 14 (decimal) from the
  98.           beginning of the file. I'm still trying to find how the
  99.           virus infects *.EXE files.
  100.  
  101.   DAMAGE:
  102.  
  103.         - The virus intercepts the WRITE function call (AH == 40h) of
  104.           INT 21h.  If the month of the current date is 9 or greater,
  105.           and if the write is on file handle > 4 (i.e., it is a "true"
  106.           file, not stdin/out/err/aux/prn), then the address of the
  107.           memory chunk which has to be written, is increased by 0Ah.
  108.           This leads to garbage being written.
  109.  
  110.   I haven't finished my work with this virus, but it's getting late
  111.   and I have to leave.  Therefore, I decided to post what I know.
  112.   Please, if anyone knows more about this virus, send info to the
  113.   forum too.
  114.  
  115.  
  116.  
  117.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  118.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  119.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  120.