home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4207 < prev    next >
Encoding:
Internet Message Format  |  1992-11-10  |  1.9 KB

  1. Path: sparky!uunet!ukma!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: cjkuo@ccmail.norton.com (Jimmy Kuo)
  3. Newsgroups: comp.virus
  4. Subject: Re: Autoexec deletion virus?? (PC)
  5. Message-ID: <0003.9211101922.AA06969@barnabas.cert.org>
  6. Date: 3 Nov 92 20:30:45 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 32
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. ed street writes:
  12. >My mom recently purchased a IBM machine (PS/1) and is complaining
  13. >about her virus checker deleting her autoexec.bat file,(she has the
  14. >standard virus checking program that came with the computer) this only
  15. >occurs when she gets an error message that says something similar to
  16. >"can't read autoexec.bat and procedes to delete it.  This sounds to
  17. >me not like a virus problem, but a file problem.
  18.  
  19. >So my question is does anyone know anything about this problem and if
  20. >i told her right? (the program also deletes a text file from where the
  21. >search program is located on her hard drive, so I am at a loss on
  22. >this.  I know some programs delets file upon use (like workperfect and
  23. >others) but never have I heard of this happening.)
  24.  
  25. We have encountered a direct action infector of C:\COMMAND.COM and
  26. C:\DOS\COMMAND.COM which renames C:\AUTOEXEC.BAT to C:\AUTOEXEC.BAK on
  27. Thursdays.  Presently, we have dubbed this "Thursday Autoexec".  We
  28. had only one single sighting of this in the wild.
  29.  
  30. This is a COM appender virus which makes COMMAND.COM files grow by
  31. 452 bytes and spreads ONLY through COMMAND.COM!  It's a minor miracle
  32. that this virus could spread (unless, "it gets lucky" [Dave Chess]).
  33. Question: Has your mother recently purchased software or otherwise
  34. obtained software that included its own copy of COMMAND.COM?
  35.  
  36. You can verify an infected command.com by debugging and noting that
  37. it starts with: JMP [0104]
  38.  
  39. If all the above is true, NAV 2.1 can detect and repair this virus.
  40.  
  41. Jimmy Kuo                                       cjkuo@ccmail.norton.com
  42. Norton AntiVirus Research
  43.