home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / V800.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  2.2 KB  |  55 lines

  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.  
  11.   Vesselin Bontchev reported in May 1990:
  12.  
  13.   The V800 virus (Live after Death)
  14.   =================================
  15.  
  16.   I was already sending this letter, when a new virus popped up.  I
  17.   haven't studied it yet. At a first glance, it has the following
  18.   properties:
  19.  
  20.   - The virus infects .COM-files in a rather strange way.  Large parts
  21.   of them can be found in the virus body and parts of the virus can be
  22.   found in the file (before the end of the original - non-infected -
  23.   file). It does not infect files with size less than 1024 bytes.  It
  24.   seems that COMMAND.COM is never infected (there is a check for 'CO'
  25.   and 'MM' in the virus body).  Sometimes the virus can attach itself
  26.   multiple times to a file.  Files grow by 800 bytes after each
  27.   infection.
  28.  
  29.   - Files are infected both when one executes them and when one copies
  30.   them.
  31.  
  32.   - The virus is memory resident. It uses 8 K of memory.  I still
  33.   cannot figure out why so much memory is needed.
  34.  
  35.   - The virus is able to fetch the original INT 13h handler in PC-DOS
  36.   version 3.30. This is achieved in the same manner as in the Number
  37.   of the Beast (512) virus.
  38.  
  39.   - The virus does not intercept INT 21h. Instead, it intercepts INT
  40.   2Ah, function 82h. This interrupt is called on every DOS function
  41.   call, which deals with files.
  42.  
  43.   - The virus is encrypted. It seems that the encrypted part does not
  44.   change from file to file (as the Cascade virus does), but I'm not
  45.   sure.
  46.  
  47.   - When the virus decrypts itself in memory, the string "Live after
  48.   Death" appears in its body. I have suspicions that this virus was
  49.   also created by the Dark Avenger.
  50.  
  51.  
  52.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  53.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  54.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  55.