home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4242 < prev    next >
Encoding:
Internet Message Format  |  1992-11-10  |  2.1 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: riordan.cybec@tmx.mhs.oz.au (Roger Riordan)
  3. Newsgroups: comp.virus
  4. Subject: "LARRY ON A SCREEN" Virus (PC)
  5. Message-ID: <0003.9211101943.AA07075@barnabas.cert.org>
  6. Date: 4 Nov 92 08:22:50 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 38
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. This virus was first reported (to our knowledge) by Brian Mariott,
  12. Dept of Computer Science, University of Tasmania, on Virus L, on 7th
  13. Oct.  They received it from a computer shop, which had found it on a
  14. PC brought in by a customer.  We received a sample on Oct 20th.
  15.  
  16. It is a resident .COM & .EXE infector, adding 491 & 507 bytes
  17. respectively.  Like Troi2, recently reported, it hides in the 2nd half
  18. of the interrupt table, overwriting interrupts 80 to FF, and, like
  19. Troi 2, it frequently crashed in our tests, again presumably because
  20. it overloads the system stack.  It has one most unusual bug; it gives
  21. a "Write protect error writing drive .." message (and usually hangs),
  22. if you run a program from a write protected disk - even if the file is
  23. already infected!
  24.  
  25. The virus uses the word 'GM' (474dh) as the signature.  This is found
  26. at offset 4 in .COM files, and at offset 12h (the checksum field) in
  27. the .EXE header.  The message below can be seen almost at the end of
  28. infected files.
  29.  
  30. It includes a counter (set to 19 in our sample) which is decremented
  31. each time a program is infected.  When the counter reaches zero the
  32. message
  33.  
  34.                           Larry on a Screen
  35.  
  36. is displayed instead of running the program.
  37.  
  38. This virus does not pose a serious threat, as it does no deliberate
  39. damage, and is so unreliable that most users will realise something is
  40. wrong, even before they get the message.
  41.  
  42. VET 7.06 will detect this virus, and restore infected files.  It will
  43. also detect and repair files infected with Shifter (also recently
  44. found in Australia), and will detect a number of viruses recently
  45. discovered overseas.
  46.  
  47. Roger Riordan.  CYBEC Pty Ltd              Ph: +61 3 521 0655
  48. PO Box 205, Hampton. Vic 3188  AUSTRALIA   Fax +61 3 521 0727
  49.