home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / V2P6.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  8.1 KB  |  150 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   Report from Jim Bates - The Virus Information Service - March 1991
  11.  
  12.   === V2P6 Virus ===
  13.  
  14.   The whole business of taking MSDOS computer viruses apart so that
  15.   they can be analysed and classified is done solely to provide
  16.   information that will enable rapid identification and effective
  17.   protection for the users who are likely to be at risk from the
  18.   malicious targets of such code.  Researchers worldwide are becoming
  19.   far more accomplished in their dissections and analyses but all of
  20.   them are still severely overworked trying to keep pace with new
  21.   viruses as they are discovered.  The whole research effort operates
  22.   under the one over-riding premise that there is no such thing as a
  23.   computer virus which cannot be taken apart.  Since virus code (by
  24.   definition) must be totally mobile, it must also be completely self-
  25.   contained - including such tricks as self-modifying code, pre-fetch
  26.   queue manipulation, anti-debugging code and direct hardware access.
  27.   The particular collection of selected "tricks" used, together with
  28.   their respective order and location within the program provides a
  29.   recognisably unique "profile" by which a virus may be identified and
  30.   dealt with.  Virus writers recognised this fact some time ago and in
  31.   some cases have gone to extreme lengths to hide the details of this
  32.   "profile" from prying eyes by introducing various layers of
  33.   encryption and randomisation of their code, even varying these from
  34.   infection to infection.  The fact that virus code MUST be
  35.   self-contained and therefore MUST be capable of decrypting itself
  36.   before execution, seems to have escaped the tiny minds involved in
  37.   virus production.  Nevertheless, some of them still persist in
  38.   attempting the impossible - a truly anonymous virus which will
  39.   escape detection by virtue of its anonymity.  One of the most
  40.   stubborn of these individuals is known to researchers since he
  41.   operates under the guise of virus "research" and produces live virus
  42.   code which contains his name and address!  I refer of course to Mark
  43.   Washburn, who has produced Casper, V2P2 (1260) and latterly the V2P6
  44.   virus.  That this man is allowed to write and distribute virus code
  45.   with impunity is symptomatic of just how badly legislation against
  46.   computer crime has fallen behind in various countries.  By no
  47.   stretch of the imagination can his "work" be classified as virus
  48.   research since his code has produced nothing that responsible
  49.   researchers were not already aware of.  What he has achieved is to
  50.   distribute virus code of a most dangerous kind, through channels
  51.   which lack any sort of security and in such a way that there is no
  52.   doubt that samples of his code are (or soon will be) in the hands of
  53.   virus writers who will undoubtedly use his virus vehicles to deliver
  54.   ever more vicious trigger effects.
  55.  
  56.   Reports of virus analyses produced for public information must
  57.   necessarily be carefully examined before publication to ensure that
  58.   they do not provide technical details which could be of use to virus
  59.   writers.  In the case of the V2P6 virus, the technical details are
  60.   quite sparse and completely innocuous.  In the original sample there
  61.   is no trigger routine, the virus does NOT become memory resident and
  62.   only COM files are effected.  The infective length is between 1801
  63.   and 2350 bytes and no attempt is made to hide the increase in length
  64.   from normal DOS operations.  A single COM file is infected each time
  65.   the virus code is executed, first in the current directory, and then
  66.   by searching along the designated PATH as specified within the
  67.   machine environment area.  Infected files are marked with the
  68.   ubiquitous 62 second marker in the date/time field of the file's
  69.   directory entry and this is used as a recognition flag by the virus
  70.   itself.  There are several bugs within the code, some of which
  71.   affect how the virus selects files to infect.  For example, it is
  72.   obvious that file lengths of 10 and 63746 respectively were intended
  73.   to be minimum and maximum limits but careless coding has resulted in
  74.   the virus infecting all COM files EXCEPT those two sizes.
  75.  
  76.   So, the internal V2P6 code is unremarkable.  From a researcher's
  77.   point of view, this virus must be classified as "armoured" because
  78.   as well as primary encryption (and randomisation), it contains a
  79.   primitive routine which is supposedly designed to make disassembly
  80.   difficult.  This is a linked INT03/INT01 handler which decrypts and
  81.   recrypts certain sections of the virus code "on the fly".  Such
  82.   routines have already been observed in other virus code and present
  83.   only a minor irritation to experienced researchers.  Washburn's main
  84.   effort (as in his other viruses) has been directed at randomising
  85.   the primary decryption routine in such a way as to nullify the
  86.   normal pattern recognition techniques used in most virus scanners.
  87.   More than half of the virus code is taken up with the convoluted
  88.   calculations and bitmapping gymnastics needed to generate a
  89.   randomised decryptor for each infection of the virus.  This is
  90.   certainly makes the virus capable of producing hundreds of millions
  91.   of possible combinations for the decryption routine.  All of the
  92.   viruses that Washburn has produced seem designed to impress the
  93.   researcher with just how "clever" he is at producing randomised
  94.   encryption/decryption routines.  Unfortunately for him, simple
  95.   pattern recognition is only a small part of the armoury of good
  96.   scanning software. His approach produces a different kind of profile
  97.   which is paradoxically even easier to recognise than a
  98.   straightforward hex pattern.
  99.  
  100.   It is therefore apparent that Washburn's efforts have added nothing
  101.   to existing knowledge about MSDOS computer viruses other than to
  102.   increase the already heavy workload of dedicated researchers around
  103.   the world who must necessarily disassemble his nonsense.  Continued
  104.   production of such "research" viruses can only be detrimental to the
  105.   research effort and his masquerade should be stopped forthwith.  If
  106.   he had not already demonstrated his irresponsible attitude to the
  107.   virus problem, he might be better employed in helping the rest of us
  108.   in a positive way by analysing existing virus programs for the
  109.   general benefit of computer users everywhere.  As it is, there is
  110.   little doubt that eventually one of his programs (or a recognisable
  111.   derivative) will appear as a vehicle for a malicious trigger
  112.   routine.  When that day dawns, Mark Washburn should be held
  113.   personally (and criminally) responsible for the damage that results.
  114.  
  115.   Virus Attribute Summary
  116.  
  117.   Name    V2P6
  118.   Origin    U.S.A. (Mark Washburn)
  119.  
  120.   Non-resident, one-shot COM infector (including COMMAND.COM) uses
  121.   multiple encryption and randomisation.  Has no trigger routine.
  122.   Infects all COM files except those with lengths of 10 bytes and
  123.   63746 bytes.  Marks infected files with 62 second marker in the
  124.   directory entry Time field.  It is not possible to extract a
  125.   hexadecimal recognition string for this virus.
  126.  
  127.   VIS Classification:    CcAK1801A
  128.  
  129.  
  130.   The information contained in this report is the direct result of
  131.   disassembling and analysing a specimen of the virus code.  I take
  132.   great pains to ensure the accuracy of these analyses but I cannot
  133.   accept responsibility for any loss or damage suffered as a result of
  134.   any errors or omissions.  If any errors of fact are noted, please
  135.   let me know at :-
  136.  
  137.     The Virus Information Service,
  138.     Treble Clef House,
  139.     64, Welford Road,
  140.     WIGSTON MAGNA,
  141.     Leicester  LE8 1SL
  142.  
  143.   or call +44 (0)533 883490
  144.  
  145.   Jim Bates
  146.  
  147.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  148.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  149.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  150.