home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / VACSINA.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  6.8 KB  |  152 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.  
  11.   YANKEE DOODLE SERIES, aka TP, VACSINA.
  12.   ======================================
  13.  
  14.   There is said to be 50 versions in this series of viruses, which
  15.   were written in Bulgaria by 'TP' during the period December 1988 to
  16.   Summer 1990, although only 15 versions have been seen and only two
  17.   seem to have propagated widely.
  18.  
  19.   All the viruses have been carefully written to avoid causing damage
  20.   as far as possible.  TP's development cycle was to write a virus and
  21.   then to produce an antidote for it, which he called 'Vacsina' (the
  22.   Bulgarian name for 'vaccine'.  The 'VACSINA' string appeared in some
  23.   of the early viruses, hence the name.
  24.  
  25.   Version 5 (Catalog entry follows) was the first version reported in
  26.   the West in August 1989.  This version 'beeped' when it it succeeded
  27.   in infecting a file, a feature that was removed in Version 18.
  28.  
  29.   The viruses are version numbered and an earlier version will not
  30.   infect a machine infected by a newer one.  Some later versions play
  31.   the tune "Yankee Doodle".
  32.  
  33.   An earlier but different Bulgarian virus also plays the same tune
  34.   and this is known as YANKEE-2 (qv).
  35.  
  36.   The last version, Version 50, is said to use 80286 protected mode
  37.   instructions to circumvent interrupt monitoring software when
  38.   running on 286 machines (or later), although this has not been
  39.   confirmed.
  40.     
  41.  
  42. ==== Computer virus catalog:  VACSINA Rev. 2  (Nov. 14, 1989) ========
  43.  
  44. Entry.................. VACSINA virus
  45. Alias(es).............. ---
  46. Strain................. ---
  47. Detected: when......... Early August 1989
  48.           where........ University of Cologne, West-Germany
  49. Classification......... Filevirus/resident    with update facility
  50. Length of virus........ length added to a COM-type file 1206-1221
  51.                            bytes
  52.                          length added to a EXE-type file 132 bytes and
  53.                            then like a COM-type file
  54.  
  55. -------------------- Preconditions-----------------------------------
  56.  
  57. Operating System(s).... MS-DOS
  58. Version/Release........ ---
  59. Computer models........ IBM-PC, XT, AT, PS/2 and compatibles
  60.  
  61. -------------------- Attributes--------------------------------------
  62.  
  63. Easy identification.... The string 'VACSINA' in the viruscode
  64.                         the last 4 bytes of an infected file show
  65.                            F4 7A 05 00
  66.                         memorysegment 0000:00C5 contains 7F 39 05
  67.                            when VACSINA is resident.
  68.                         The bytes 05 00 at the end of the file and
  69.                         the 05 in memory 0000:00C7 are version-
  70.                         numbers of VACSINA (see below).
  71.  
  72. Type of infection...... VACSINA installs a TSR that trapps INT 21H
  73.                         function 4BH (load & execute). Every file
  74.                         that is loaded via this function will be
  75.                         infected (provided some constraints are met
  76.                         see below)
  77.                         VACSINA checks the version number (current is
  78.                         0005) and will remove earlier versions of
  79.                         itself and substitute with the newer virus
  80.                         code!
  81.  
  82. Infection trigger...... Executing an uninfected file after an infected
  83.                         file was used.
  84.  
  85. Media affected......... Any via INT 21H funtion 4BH loadable file,
  86.                         that either starts with E9H (jump) or 'MZ'
  87.                         (EXE header). This includes COM, EXE, OVL, and
  88.                         APP (GEM) files.
  89.                         Files with the leading E9 must be bigger
  90.                         than 1206 and smaller than 62867
  91.                         Files with a EXE-Header must not be bigger
  92.                         than 64947 for the 132 loader attachment.
  93.                         after that they have to meet the constraints
  94.                         of a E9H headed file.
  95.  
  96. Interrupts hooked...... INT 21H (function 4BH), INT 24H
  97.                         The INT 31 table entry is used as the VACSINA
  98.                         present flag.
  99.  
  100. Damage................. After a successfull infection of a COM-type
  101.                         file a beep (DOS-BELL) is issued.
  102.  
  103.                         NO OTHER PAYLOAD !
  104.                         This looks like test code for the infection-
  105.                         mechanism.
  106.  
  107. Damage trigger......... The beep is triggered when a COM-Type file is
  108.                         successfully infected.
  109.  
  110. Particularities........ Probably a test version that prematurely
  111.                         escaped since there is no payload, the beep
  112.                         when infecting another file, and some
  113.                         incomplete codesections.  The virus opens a
  114.                         file 'VACSINA' and closes it after a while,
  115.                         never writing or reading from it.  The
  116.                         returncodes of the open and close operations
  117.                         are ignored.  The words for vaccine are
  118.                         written with two Cs in all languages that use
  119.                         latin letters except for norvegian (they write
  120.                         vaksine).  The virus has an update facility
  121.                         and will replac old versions with new versions
  122.                         of itself!
  123.  
  124. Similarities........... ---
  125.  
  126. --------------------- Agents---------------------------------------
  127.  
  128. Countermeasures........ ANTI-VD of the MVC (University of Karlsruhe)
  129.                         detects and removes the virus from any file.
  130.                         EXE-headers are reconstructed!
  131.  
  132. Countermeasures successful ---
  133. Standard Means......... The DEL command after booting from a clean
  134.                         systemdisk.
  135.  
  136. ------------------- Acknowledgements -------------------------------
  137.  
  138. Location............... Micro-BIT Virus Center University of Karlsruhe
  139.                                                West-Germany
  140. Classification by...... C. Fischer, T. Boerstler, R. Stober
  141. Documentation by....... C. Fischer, T. Boerstler, R. Stober
  142. Date................... Nov. 13, 1989
  143. Information source..... The update feature was first discovered by
  144.                         David M. Chess, Yorktown Heights
  145.  
  146.  
  147. ============== END OF VACSINA VIRUS =================================
  148.  
  149.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  150.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  151.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  152.