home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / virus / 3695 < prev    next >
Encoding:
Internet Message Format  |  1992-09-03  |  2.6 KB
  1. Path: sparky!uunet!cs.utexas.edu!sun-barr!rutgers!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: AMN@vms.brighton.ac.uk (Anthony Naggs)
  3. Newsgroups: comp.virus
  4. Subject: Re: VACSINA Information Wanted (PC)
  5. Message-ID: <0002.9209031748.AA14082@barnabas.cert.org>
  6. Date: 1 Sep 92 00:34:03 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 49
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. [A quick apology to anyone whose mail I haven't replied to - a hard
  12. disk failed one morning.  Backup?  No need - nothing important on
  13. there; only a couple of packages and some files (& mail) off the net.
  14. Even I am not perfect, :-) ]
  15.  
  16. Garry Scobie, <g.j.scobie@edinburgh.ac.uk>, reports a VACSINA incident:
  17. > Bates Anti-Virus Utilities v3.37
  18. >
  19. > TREE.COM        Found Vacsina - TP05 <1206>
  20. > MEM.EXE         Found Vacsina - TP05 <1206>
  21. >
  22. > F-PROT v2.04
  23. >
  24. > TREE.COM        Infection: Vacsina (TP-5)
  25. > MEM.EXE         Infection: Vacsina (TP-5)
  26. > CHKDSK.EXE      Infection: Vacsina-loader
  27. >
  28. > I am interested in the result of F-PROT indicating CHKDSK. Is this
  29. > file infected - probably but to what extent?
  30.  
  31. First I should remind/explain that MS-DOS supports two executable file
  32. formats, (omitting batch files from this discussion).  These are known
  33. as 'COM' and 'EXE' formats, often the format used is reflected by the
  34. filename extension, but this is not necessarily the case.
  35.  
  36. The infection function of Vacsina viruses recognises 'COM' format files
  37. and will infect them when they are found.  Some of the early variants
  38. infect 'EXE' files in two passes, when they are first encountered the
  39. virus modifies them to become 'COM' format files.  So when the file is
  40. encountered on another occasion the infection will be completed.
  41.  
  42. CHKDSK.EXE is in this state where it has been converted to a 'COM' file,
  43. but the second stage of infection hasn't occurred.
  44.  
  45. > Is it important that one utility recognised CHKDSK while the other did not?
  46.  
  47. Yes, 'EXE' files modified in this way may be corrupted and either fail to
  48. work or work incorrectly.  This includes a number of programs that
  49. use overlays or include configuration information in the executable file.
  50. Software that misses these files may leave continuing problems, and resolving
  51. these will be difficult if you believe that the virus has been removed.
  52.  
  53. Yours,
  54. Anthony Naggs
  55. Software/Electronics Engineer                   P O Box 1080, Peacehaven
  56. (and virus researcher)                          East Sussex  BN10 8PZ
  57. Phone: +44 273 589701                           Great Britain
  58. Email: (c/o Univ of Brighton) amn@vms.brighton.ac.uk  or  xa329@city.ac.uk
  59.                --  Oe Noe!  Danny Quale is in the shrubbery!  --
  60.