home *** CD-ROM | disk | FTP | other *** search
/ Cream of the Crop 22 / Cream of the Crop 22.iso / virus / vds31e.zip / INFO-NYB.TXT < prev    next >
Text File  |  1996-11-05  |  7KB  |  137 lines

  1.                      S A M P L E    T E C H    R E P O R T                 
  2.                  
  3.                  Copyright (c) 1994-96 by VDS Advanced Research Group                
  4.  
  5.                            Virus      : NYB-boot or B1
  6.                            Date       : April 6, 1994
  7.                            Document ID: TY94040601
  8.                            
  9.                        B1 a.k.a. NYB-boot Virus Information
  10.                        ------------------------------------
  11. DESCRIPTION
  12. -----------
  13.  
  14. NYB-boot (a.k.a. B1) virus infects the MBR on hard disks and the BR on
  15. floppy diskettes. The virus fits in one sector, relocating the original
  16. contents of the MBR/BR to another place on the disk. On hard disks, the
  17. MBR is moved to sector 17, head 0, cylinder 0. On floppy disks, the
  18. location is the last sector of the root directory; which depends on the
  19. capacity of the diskette. For example, on 360K diskettes, the original
  20. clean boot sector is moved to sector 3, head 1, track 0, whereas
  21. on 1.2M diskettes, it will be at sector 14, head 1, track 0.
  22.  
  23. The virus stays resident in memory just below the top of conventional base
  24. memory. It reduces the base memory size by 1K. For example, a system with
  25. 640K base memory will appear to have 639K after the virus goes resident.
  26. Once loaded in memory, NYB-boot points the disk access vector (INT 13h)
  27. to its own handler to be able to spread. Its handler examines read and write
  28. requests. It infects the MBR/BR if it is not already infected. The handler
  29. also has stealth capability to mask its presence on the disk. It also
  30. protects itself against being overwritten. For example, you cannot use
  31. a general purpose disk sector editor such as Norton Utilities(tm) and
  32. modify the MBR, where the virus is located, as long as the virus is active
  33. in memory. You will most likely get an error message about the operation.
  34. The coding style in the virus suggests that its author is relatively
  35. experienced in PC assembly language; there is an apparent attempt to
  36. minimize code size and to use tricky code (to make reading it difficult).
  37.  
  38. The virus is highly infectious, more so than other Stoned variants. Doing
  39. a simple DIR on an unprotected diskette will cause it to get infected.
  40. Diskettes in both the A: and B: drives are infected. The virus transfers
  41. from infected diskettes to hard disks if the system is booted off of an
  42. infected floppy. Once the hard disk is infected, any unprotected disks 
  43. used in that system will become infected by the NYB-boot.
  44.  
  45. Diskettes used for backup with a program that has its own disk format may
  46. become corrupted and lose data. The virus checks the BIOS timer tick counter
  47. and executes a loop that contains a VERIFY SECTOR instruction. This may
  48. confuse certain software and give the impression of disk problems. The virus
  49. itself does not appear to have deliberate overwriting of data. The diskette
  50. can also become unusable if this mechanism triggers.
  51.  
  52. DETECTION
  53. ---------
  54.  
  55. On infected systems with 640K of base memory, the virus interrupt handler
  56. code will be located at 9FC0:0044 with the following sequence of bytes:
  57.  
  58. 9fc0:0044      50                  push           ax
  59. 9fc0:0045      d1 e8               shr            ax,1
  60. 9fc0:0047      fe cc               dec            ah
  61. 9fc0:0049      74 03               jz             004e
  62. 9fc0:004b      e9 6c 01            jmp            01ba
  63. 9fc0:004e      53                  push           bx
  64. 9fc0:004f      51                  push           cx
  65. 9fc0:0050      52                  push           dx
  66.  
  67. You can check if the virus is present by using the DEBUG program as follows:
  68.  
  69. 1. At the DOS prompt, type DEBUG.
  70. 2. Once the DEBUG prompt, which is a - (dash), appears, type:
  71.    -d 9fc0:0044  <enter>
  72.  
  73. 3. Look at the sequence of bytes displayed. If they are
  74.       50 D1 E8 FE CC 74 03 E9 6C 01 53 51 52
  75.    then, the virus is in memory.
  76.  
  77. 4. Type:
  78.    -q  <enter>
  79.  
  80.    to exit the DEBUG program.
  81.  
  82. REMOVAL
  83. -------
  84.  
  85. A. For simple removal without an anti-virus, take the following steps:
  86.  
  87. 1. Turn the infected computer OFF.
  88. 2. Boot off of a clean, write-protected (preferably original) DOS 5.0 or
  89.    higher diskette. Earlier DOS versions do NOT have the capability to
  90.    replace MBR code while leaving the partition table intact.
  91. 3. Once the A:> appears, type:
  92.        DIR  C:\  <enter>
  93.    You should see your root directory on the hard disk. If you DON'T,
  94.    then obtain the latest copy of VDS for removal. If everything looks fine,
  95.    type:      
  96.        FDISK  /MBR  <enter>
  97.  
  98. 4. This should get rid of the virus in the MBR and replace it with good code.
  99. 5. Remove the diskette, and turn the computer OFF and ON.
  100. 6. Check the base memory size and run DEBUG as explained above to verify that
  101.    the virus is no longer in memory.
  102. 7. For bootable diskettes, the DOS SYS command will be effective. For
  103.    non-bootable diskette, simply copy the files to another disk, and then
  104.    format the diskette, and then copy the files back. Note that you MUST NOT
  105.    use the DISKCOPY command, that would transfer the virus as well. If you
  106.    copy only the files, then the virus would NOT be transferred.
  107.  
  108. B. A safer approach would be to use the VDS Pro software. Get a copy of
  109.    version 3.0k or later. You can run VFSLITE or VDSFSCAN or VDS with the
  110.    -S option to scan for the virus and remove it automatically. As a
  111.    precautionary measure, you might want to install VDSTSR memory-resident
  112.    program so that any warmboot attempts off of an infected floppy will be
  113.    caught immediately and your hard disk will be protected. You should also
  114.    install VDS integrity checker for stronger protection. Note that the
  115.    integrity checker can detect and remove NYB-boot and many such viruses
  116.    easily, even before we get a sample of the virus.
  117.  
  118.    If you have a version of VDS earlier than 3.0k, then you can use the
  119.    VITALFIX program to remove the virus. On flopyy diskettes, choose the
  120.    "BOOT RECORD OPERATIONS" from the "MAIN MENU", then choose
  121.    "VITALIZE FLOPPY BR". On hard disks, choose the "PARTITION RECORD
  122.    OPERATIONS" from the "MAIN MENU", then choose "CONSTRUCT NEW MBR".
  123.    To scan for the virus using an earlier VDS version, you need to create
  124.    an external signature file. This is a simple text file, named XTERNAL.SIG
  125.    and it can be created with any ASCII text editor. Put the following in
  126.    this file:
  127.  
  128.       NYB-boot
  129.       BOOT
  130.       bb 44 00 ba 80 00 be 13 04 31 ff 8e df ff 0c ad
  131.  
  132.    After you are done, put the XTERNAL.SIG file in the C:\VDSPRO30 directory.
  133.    Now you can use VDSFSCAN or VFSLITE to scan diskettes for this virus.
  134.    We recommend that you use VDSFSCAN to scan more multiple diskettes in a
  135.    convenient manner, and then remove the virus.
  136.  
  137.