home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / YUGO.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  2.3 KB  |  54 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.  
  11.   Date:    Fri, 08 Jun 90 10:11:00 +0700
  12.   From:    "Tom Erjavec"<TOM.ERJAVEC@UNI-LJ.AC.MAIL.YU> x
  13.   Subject: 1451COM / 1411EXE ? new virus (PC) ?
  14.  
  15.   Here is some (of the rare) news from Yugoslavia:
  16.  
  17.   We have had some 'classical' PC viruses for two years now: 1701,
  18.   1704, Brain, Bouncing Ball, Jerusalem (1813COM/1808EXE), Yankee
  19.   Doodle like (2885COM/2880EXE), Yankee Doodle (2772COM/2772EXE) and
  20.   Disk Killer.  Now it seems we have another uninvited guest.
  21.  
  22.   In early June I was given a sample of a virus, found in a small SW
  23.   engineering company. They detected no strange behaviour but
  24.   prolongation of COM and EXE files.  I disassembled it and I'm
  25.   posting a brief report:
  26.  
  27.   VirusName       : ?, (1451COM/1411EXE)
  28.   Type            : indirect executable code infector
  29.   Infects         : COM and EXE files
  30.   VirusBodyLength : 1451 bytes (COM), 1411 bytes (EXE)
  31.   Expanding victim: YES, to paragraph boundary, both COM and EXE
  32.   Location in RAM : before end of memory
  33.   Steals interrupt: 21h
  34.   Intercepts func.: 40h (write to file), 4Bh (load & execute)
  35.   Attacks         : Sept., Oct., Nov., Dec., each year
  36.   Action          : When executing int 21h, func. 40h (write to file)
  37.                     intercepts the call. If triggered the action code
  38.                     increments register DX by 0Ah, changing the
  39.                     address of buffer to be written to disk.
  40.   Consequences    : wrong data (or garbage) written to disk
  41.  
  42.    Program package RETROVIR (c) Proteus detects and removes the
  43.    1451COM/1411EXE from disk, along with all the other viruses
  44.    mentioned above.
  45.  
  46.   I will be glad to receive reports on this virus from elsewhere.
  47.   Does anyone know its origin?
  48.  
  49.   Tom.
  50.  
  51.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  52.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  53.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  54.