home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4225 < prev    next >
Encoding:
Internet Message Format  |  1992-11-10  |  3.7 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: riordan.cybec@tmx.mhs.oz.au (Roger Riordan)
  3. Newsgroups: comp.virus
  4. Subject: "SHIFTER" Virus. (PC)
  5. Message-ID: <0004.9211101943.AA07075@barnabas.cert.org>
  6. Date: 4 Nov 92 08:24:37 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 66
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. We received a copy of this virus, which is believed to have been found
  12. recently in Australia, 0n Oct 14th.  The following notes are based on
  13. a preliminary analysis, and many parts have not been analysed in
  14. detail.
  15.  
  16. The virus is an alternating .EXE and Master Boot Record infector, and
  17. will only run on ATs and PCs with an 80286 or later microprocessor.
  18. It is a complex virus, and analysis has been made more difficult by
  19. the inclusion of many 80286 specific instructions.  It has a number of
  20. unusual features, and several nasty tricks which will cause the user
  21. serious inconvenience.  It claims to be destructive, but this appears
  22. to be bluff.
  23.  
  24. When an infected file is run the virus looks for the "AT" flag in the
  25. BIOS (FC at address FFFF:000Eh).  If this is found (and the MBR is not
  26. already infected) the virus overwrites the original MBR, without
  27. saving it, and writes 12 more sectors to track zero, head zero,
  28. starting at sector three.  It also writes zeroes to bytes 34 & 35 in
  29. the CMOS RAM.  These two bytes are subsequently used as an elapsed
  30. time counter, which determines when the various nasty tricks come into
  31. play.  These bytes are defined as "Reserved", and apparently are
  32. normally unused.
  33.  
  34. The virus then disinfects the original file (whether or not it
  35. infected the hard disk) and writes the clean version back to the
  36. original disk.  It then loads the original program and permits it to
  37. run normally.
  38.  
  39. When a PC with an infected hard disk is booted the virus goes
  40. resident, reserving 7K at the top of memory, and traps Ints 8, 9, 11,
  41. 17 & 21.  Int 8 (timer tick) is used to increment the counter in CMOS
  42. RAM each minute.  This enables various nasty tricks after different
  43. delays.
  44.  
  45. The Int 21 handler looks for functions 30 (Get version no), 4b (Load &
  46. execute), and 4e (Find first).  It appears that the virus only infects
  47. files returned by 4e (Find First) and only if they are .EXE files
  48. between 8000 & 327,680 bytes in length.  If this is correct it is a
  49. very ineffective infection procedure.  We certainly had trouble
  50. getting infected samples.  When a file is infected the length is
  51. increased by (decimal) 6672 bytes.
  52.  
  53. The other interrupts are used to harrass the user.  After the virus
  54. has been present for 10 days and 10 hours the Int 9 (keyboard) handler
  55. will occasionally randomly either ignore keystrokes, or trigger a
  56. RESET.
  57.  
  58. After 13 days and 13 hours Int 21, function 4b (Load & execute a
  59. program) will sometimes cause a message stating that the hard disk is
  60. being formatted to appear. Meanwhile random sectors are read, so that
  61. the disk light remains on, but it appears that no damage is actually
  62. done.
  63.  
  64. After 15 days & 15 hours Int 21, function 30 (Get DOS version) will
  65. always return version 2.0, and this will cause many programs to abort.
  66.  
  67. VET 7.06 can detect this virus, and restore infected files.  It cannot
  68. safely disable the virus, so it will ask the user to reboot from a
  69. clean disk if the virus is detected in memory.  If the Master Boot
  70. Record is infected, and VET has been previously installed for the PC,
  71. VETHDFIX can put back the saved copy of the MBR.  Otherwise VET can
  72. replace it with a "Plain Vanilla" boot sector.  This will normally
  73. work perfectly, but we cannot guarantee it will work on all PCs.
  74.  
  75. Roger Riordan.  CYBEC Pty Ltd              Ph: +61 3 521 0655
  76. PO Box 205, Hampton. Vic 3188  AUSTRALIA   Fax +61 3 521 0727
  77.