home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / W-13.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  2.6 KB  |  52 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   Vesselin Bontchev reported in May 1990:
  11.  
  12.   The Toothless virus (V534) - Listed as: W13-534
  13.   ===============================================
  14.  
  15.   This virus came from the Soviet Union and is probably created there.
  16.   I have a Russian program against it. In the accompanying
  17.   documentation the virus is called "a version of the 648 (Vienna)
  18.   virus, made by a clumsy programmer". This definition is quite exact.
  19.   The virus is really very similar to the Vienna one, with some parts
  20.   of code removed and other slightly changed.  It is a non-resident
  21.   virus. It infects only .COM files in the current and in the root
  22.   directory.  The directories, listed in the PATH variable are *not*
  23.   searched - the code for finding this variable in the environment is
  24.   entirely removed.  The destructive function is also removed.  The
  25.   infected files are marked not with a 62 seconds mark in their time
  26.   of last update. Instead, a month equal to 13 in the date of last
  27.   update is used. This is rather boring, since it can be easily seen
  28.   (by obtaining a directory listing) and some programs (e.g., Norton
  29.   Utilities) treat such things as "not a proper directory entry".  The
  30.   virus increases the length of the infected files by 534 bytes.  Only
  31.   files with length between 256 and 64000 bytes are attacked (the
  32.   first of these numbers was 10 in the Vienna virus).  The virus is
  33.   not very virulent - I have only one report about it.  The man who
  34.   reported it brought me an infected COMMAND.COM and said that its
  35.   length had changed once a bit - "about 500 bytes" - and the month in
  36.   the file date has changed to 13.  When I was able to confirm that
  37.   this is indeed a new virus, I checked all his files, but found
  38.   nothing more than that infected COMMAND.COM.
  39.  
  40.   If the virus infects a file with the ReadOnly attribute set, this
  41.   attribute is cleared after the infection. This is due to a bug in
  42.   the virus code.
  43.  
  44.   The virus is assembled with a strange assembler (A86?).  Its
  45.   disassembly listing cannot be assembled back with MASM or TASM to
  46.   produce exactly the same code.
  47.  
  48.  
  49.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  50.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  51.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  52.