home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #18 / NN_1992_18.iso / spool / comp / virus / 3580 < prev    next >
Encoding:
Internet Message Format  |  1992-08-13  |  3.3 KB
  1. Path: sparky!uunet!gatech!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: rslade@sfu.ca (Robert Slade)
  3. Newsgroups: comp.virus
  4. Subject: (c) Brain - part 1 (CVP)
  5. Message-ID: <0016.9208131902.AA05714@barnabas.cert.org>
  6. Date: 13 Aug 92 18:59:17 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 57
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. HISVIR6.CVP   920810
  12.  
  13.                         (c) Brain - part 1
  14.  
  15. The "Brain" virus is probably the earliest MS-DOS virus.  At one
  16. time it was the most widespread of PC viral programs.  (Yet more
  17. support for the "superiority" of boot sector viral programs in terms
  18. of numbers of infections.)  Extensive study has been done on the
  19. Brain family, and those wishing further details should consult Alan
  20. Solomon's analyses (which, unfortunately, are too detailed for full
  21. inclusion in the Anti-Virus Toolkit).  In spite of this, and in
  22. spite of the existence of address and phone number information for
  23. the supposed author, we still have no first, second or even third
  24. hand reports of the production of the virus, and so little can be
  25. said with absolute certainty.  (We do have a first hand report from
  26. the author of the Den Zuk variant, for which I am grateful to
  27. Fridrik Skulason.)
  28.  
  29. The Brain "family" is prolific, although less so than Jerusalem. 
  30. (Seemingly, any "successful" virus spawns a plague of copies as
  31. virus-writer-wannabes use it as a template.)  Again, like the
  32. Jerusalem, it seems that one of the lesser variants might be the
  33. "original".  The "ashar" version appears to be somewhat less
  34. sophisticated than the most common "Brain", and Brain contains text
  35. which makes no sense unless it is "derived" from ashar.  Brain
  36. contains other "timing" information: a "copyright" date of 1986, and
  37. an apparent "version" number of 9.0.
  38.  
  39. Brain is a boot sector infector, somewhat longer than some of the
  40. more recent BSIs.  Brain occupies three sectors itself, and, as is
  41. usual with BSIs, repositions the normal boot sector in order to
  42. "mimic" the boot process.  As the boot sector is only a single
  43. sector, Brain, in infecting a disk, reserves two additional sectors
  44. on the disk for the remainder of itself, plus a third for the
  45. original boot sector.  This is done by occupying unused space on the
  46. diskette, and then marking those sectors as "bad" so that they will
  47. not be used and overwritten.  The "original" Brain virus is
  48. relatively harmless.  It does not infect hard disks, or disks with
  49. formats other than 360K.  (Other variants are less careful, and can
  50. overlay FAT and data areas.)
  51.  
  52. Brain is at once sly and brazen about its work.  It is, in fact, the
  53. first "stealth" virus, in that a request to view the boot sector of
  54. an infected disk, on an infected system will result in a display of
  55. the original boot sector.  However, the Brain virus is designed
  56. *not* to hide its light under a bushel in another way: the volume
  57. label of infected diskettes becomes "(c) Brain" (or "(c) ashar" or
  58. "Y.C.1.E.R.P" for different variants).  Hence the name of the virus.
  59.  
  60. copyright Robert M. Slade, 1992   HISVIR6.CVP   920810
  61.  
  62. ===================
  63. Vancouver          ROBERTS@decus.ca         | "Power users think
  64. Institute for      Robert_Slade@sfu.ca      |  'Your PC is now
  65. Research into      rslade@cue.bc.ca         |  Stoned' is part of
  66. User               p1@CyberStore.ca         |  the DOS copyright
  67. Security           Canada V7K 2G6           |  line." R. Murnane
  68.