home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d15 / fprot114.exe / FILVIR-2.TXT < prev    next >
Encoding:
Text File  |  1991-01-21  |  37.2 KB  |  888 lines
  1.        A description of PC viruses and their symptoms - Part II
  2.  
  3.                       Jerusalem (Israeli "Friday 13.")
  4.  
  5. The Jerusalem virus is one of the oldest and most common viruses around.
  6. As a result there are numerous variants of it.  It will infect both .EXE
  7. and .COM files, but the first version of the virus contained a bug,
  8. causing it to infect .EXE files over and over, until they became too
  9. large for the computer.  Needless to say, this has been fixed in later
  10. releases, including one called "New Jerusalem".  Infected files grow by
  11. 1808 bytes or so.
  12.  
  13. The original Jerusalem virus would activate on every Friday the 13th,
  14. deleting programs run on that day.  30 minutes after an infected program is
  15. run, the virus will also cause a general slowdown of the computer and make a
  16. part of the screen scroll up two lines.  This has been disabled in some
  17. variants of the virus, which makes them much harder to detect.
  18.  
  19. The first variant of the virus (sURIV 3.00) produced the side-effects
  20. described above 30 seconds after an infected program was run. 
  21.  
  22. One variant, "Century" will become active on Jan 1. 2000.  It will try to
  23. delete everything that can be deleted and then display the message
  24.  
  25.                         Welcome to the 21st Century
  26.  
  27. The programmer does not seem to have known that the 21st century does not
  28. start until a year later.
  29.  
  30. The "Sunday" virus is another variant of the Jerusalem virus.  Instead of
  31. activating on Friday the 13th, it will activate if the current day of the
  32. week is Sunday and display the message:
  33.  
  34.                 Today is SunDay! Why do you work so hard?
  35.                 All work and no play make you a dull boy!
  36.                 Come on! Let's go out and have some fun!
  37.  
  38. Apart from this the viruses are very similar.  A second variant, Sunday-2
  39. is also known, containing some minor changes.
  40.  
  41. Other variants include Payday, Anarkia, PSQR, Mendoza, Puerto, Spanish,
  42. Westwood and A-204, which are only different in minor ways - different
  43. activation dates and other minor changes.  Sometimes the changes only
  44. involve the reordering of a few instructions, perhaps to prevent the virus
  45. from being detected by some virus scanning program.  Perhaps the most
  46. unusual variant is "Frere", which is reported to play "Frere Jacques" on
  47. Fridays, when it activates and "Groen Links", a Dutch variant, which
  48. plays a tune whose name translates to "Vote Green Left" ("Green Left" is
  49. a political party there).
  50.  
  51.  
  52.                                 Jo-Jo
  53.  
  54. This virus is a 1701 byte, memory resident .COM infector, which is
  55. basically a patched, non-encrypted variant of the Cascade virus.  It
  56. is reported to have originated in Barcelona or Israel.  It contains a check
  57. for the IBM copyright message at address F000:E008, just like Cascade.  The
  58. virus contains two text strings:
  59.  
  60.                        Welcome to the JOJO virus.
  61.  
  62.                        Fuck the system (c) - 1990
  63.  
  64.  
  65.                                  Joker
  66.  
  67. This virus is probably extinct, but it originated in Poland, and is 11000
  68. bytes long.  It will overwrite .EXE files, and is therefore easily
  69. detected.  Infected programs will display silly messages when executed,
  70. like
  71.             Water detect in Co-processor
  72.                         I'm hungry  Insert HAMBUGER in drive A:
  73.  
  74.  
  75.                                 Joker-01
  76.  
  77. This is also a large Polish virus - 29233 bytes long.  It infects files
  78. in the same way as Vacsina - COM files are infected normally, but EXE
  79. files are converted to files with COM structure, by adding a small, 139
  80. byte loader program to them.  
  81.  
  82.  
  83.                                July 13th
  84.  
  85. This virus is designed to activate on July 13th - which happened to fall
  86. on a Friday in 1990.  It is a 1201 byte encrypted .EXE file infector, which
  87. has not been fully dissected yet.
  88.  
  89.  
  90.                                 Kemerovo
  91.  
  92. A primitive, 257 byte direct-action Russian virus, which only infects COM
  93. files.  It has not been fully analysed yet.
  94.  
  95.  
  96.                                 Kennedy
  97.  
  98. A simple .COM infecting virus, probably from Denmark.  When an infected
  99. file is run, it will infect a single .COM file in the current directory,
  100. adding 333 bytes to the end of the file.  The virus activates on three
  101. dates - June 6th, November 18th and November 22nd. On those dates it will
  102. display the message:
  103.  
  104.                Kennedy er d¢d - længe leve "The Dead Kennedys"
  105.  
  106. There have been reports that infection by this virus may cause FAT
  107. corruption, crosslinking of files and loss of clusters, but I have not
  108. been able to verify this.
  109.  
  110. Another variant is also known - which is one of the shortest virus
  111. known - only 163 bytes long.  This variant seems to do nothing but
  112. replicate.  Like the original Kennedy virus, this variant, which is known as
  113. 'Tiny' has only been reported in Denmark. It is somewhat carelessly
  114. written - it does not close the files it opens, for example. 
  115.  
  116.  
  117.                                 Lehigh
  118.  
  119. The Lehigh virus is rather unusual in that it only infects one program,
  120. COMMAND.COM.  It does not increase the size of the program, because it
  121. overwrites the stack space.  This virus is rather badly written - it can
  122. be defeated by simply making COMMAND.COM read-only.  It is, however, very
  123. destructive.  "Lehigh" contains an infection counter and when it has reached
  124. a specific number of infections it will trash the disk.  This means that the
  125. virus never got a chance to spread much outside Lehigh University.
  126.  
  127.  
  128.                                 Leprosy-B
  129.  
  130. The name of the virus is derived from the following message found inside
  131. it.  
  132.         ATTENTION!  Your computer has been afflicted with
  133.         the incurable decay that is the fate wrought by
  134.         Leprosy Strain B, a virus employing Cybernetic
  135.         Mutation Technology(tm) and invented by PCM2 08/90.
  136.  
  137. Infected programs will either display this message or
  138.  
  139.         Program too big to fit in memory
  140.  
  141. This is a 666 byte overwriting virus, and disinfected programs must be
  142. deleted, as there is no way to remove the virus.
  143.  
  144.  
  145.                                  Liberty
  146.  
  147. Liberty originated in Indonesia.  It is a resident .EXE and .COM
  148. infecting file, 2857 byte long. The virus code is placed at the end of
  149. the file, but the virus also overwrites the first 120 bytes with
  150. code and the following message:
  151.  
  152.          - M Y S T I C - COPYRIGHT (C) 1989-2000, by  SsAsMsUsEsL
  153.  
  154. A second variant, 2867 byte long is also known. The effects of the
  155. viruses are not fully known yet.
  156.  
  157.  
  158.                                Lozinsky
  159.  
  160. This is a Russian, 1023 byte virus, which uses a simple encryption
  161. method.  It only infects COM files, but has not been fully analyzed yet.
  162.  
  163.  
  164.                                   MG
  165.  
  166. MG stands for "Matematicheska Gimnazia", the name of the school in Varna
  167. in Bulgaria where the virus seems to have been written.  This is a 500
  168. byte .COM virus, which hides itself in the upper half of the interrupt
  169. table, causing programs like Netware to crash.
  170.  
  171.                                  MG-3
  172.  
  173. A 500 byte virus, which only infects .COM files.  Awaiting analysis, but
  174. is probably related to the MG virus.
  175.  
  176.  
  177.  
  178.                                   MGTU
  179.  
  180. A very simple, 273 byte Russian virus. It does not remain resident in
  181. memory, but will infect COM files when infected programs are run.
  182.  
  183.  
  184.                                   MIX1
  185.  
  186. MIX1 was probably written in Israel, but it is derived from the Icelandic
  187. virus. There are two versions known, MIX1 and MIX1-B, practically identical.
  188. MIX1 displays a bouncing ball on the screen, and garbles all output going
  189. to the printer.  It will also disable the NumLock key. MIX1 is larger than
  190. the Icelandic virus - 1618 or 1636 bytes, depending on the version.  
  191.  
  192. One unusual "feature" of MIX1 is that it will only infect files 8192 bytes
  193. long or larger.
  194.  
  195.  
  196.                                 MLTI
  197.  
  198. This 830 byte Russian virus contains the text:
  199.  
  200.     Eddie die somewhere in time!
  201.     This programm was written in the city of Prostokwashino
  202.     (C) 1990   RED DIAVOLYATA
  203.     Hello! MLTI!
  204.  
  205. The text is more understandable if one considers the similar text found
  206. in the "Eddie" virus written by Dark Avenger.
  207.  
  208.  
  209.                                Murphy
  210.  
  211. The authors of this virus are known.  They are Lubomir Mateev Mateev and
  212. Iani Lubomirov Brankov, both in Bulgaria.  Murphy is a 1277 byte long,
  213. resident .COM and .EXE infecting virus.  It is based on the Dark Avenger,
  214. but is not harmful.  Inside it the following message can be found.
  215.  
  216.    Hello, I'm Murphy. Nice to meet you friend. I'm written since Nov/Dec.
  217.    Copywrite (c)1989 by Lubo & Ian, Sofia, USM Laboratory.
  218.  
  219. Another variant is also known.  It is a bit longer, 1521 bytes, and the
  220. message is different:
  221.  
  222.    It's me - Murphy.  Copywrite (c)1990 by Lubo & Ian, Sofia, USM Laboratory.
  223.  
  224. Originally this virus was reported to jump into ROM basic every exact
  225. hour, possibly causing some clones to "hang", but the variant available
  226. to researchers in the West produces the "Bouncing Ball" effect every time
  227. INT 18 is executed.
  228.  
  229.  
  230.                               Nina
  231.  
  232. This virus is only 256 bytes long, and derives its name from a the text
  233. string found at the end, which says simply "Nina".  Like many other small
  234. viruses, this one is written in Bulgaria.
  235.  
  236.  
  237.                            Nomenklatura
  238.  
  239. This virus appears to be of Bulgarian origin, as it contains a message in
  240. Bulgarian.  This is a 1024 byte virus, which corrupts data on the disk,
  241. by modifying the FAT.
  242.  
  243.  
  244.                          Number of the Beast
  245.  
  246. Like quite a few other viruses, this one was first reported in Bulgaria.
  247. It is 512 bytes long, but the length of infected files does not appear
  248. to increase.  This is because the virus overwrites the first 512 bytes of
  249. the programs it infects with itself, and stores the original 512 bytes
  250. in the unused space after the end of the file.  This is possible because
  251. DOS allocates file space in "clusters", which are usually 1024 or 2048
  252. bytes long.
  253.  
  254. In addition, if a program attempts to read from an infected file, while
  255. the virus is active in memory, the read operation will be intercepted and
  256. instead of finding the virus, the original code will be read instead.
  257.  
  258. This means that the virus will be able to fool any checksum program, as
  259. well as any virus-scanning program if it is active in memory when the
  260. program is run.  It does not matter how sophisticated the checksum
  261. algorithm is - if the virus is active in memory, no infected program
  262. can be detected.  F-DRIVER will, however, stop the virus.
  263.  
  264. At the end of the virus code, the string "666" appears - hence the name.
  265. Several new variants are also known in Bulgaria, where this string is
  266. missing, but they are functionally identical.
  267.  
  268.  
  269.                               Old Yankee
  270.  
  271. There is some confusion regarding the various "Yankee Doodle" viruses.
  272. They all originated in Bulgaria and play the tune "Yankee Doodle", but their
  273. structure is different.  This is the first one.  It only infects .EXE files, 
  274. increasing their length by 1961 bytes.  When an infected program is run,
  275. the virus will search for a non-infected file.  When it has been
  276. infected, the virus plays the melody, before the original program is
  277. executed.  At the very end of the virus, the word "motherfucker" appears.
  278.  
  279. Another version of the same virus is also known. The main difference is
  280. the length - the variant is only 1624 bytes long.
  281.  
  282.  
  283.                                 Oropax
  284.  
  285. This virus probably originated in W. Germany.  It is not very harmful -
  286. when it activates it will just repeatedly play three melodies. The virus
  287. infects .COM files, other than COMMAND.COM.  Infected files grow by
  288. 2756-2806 bytes, becoming a multiple of 51 bytes in length.  This virus
  289. stays resident in memory, but it will not infect other programs when they
  290. are executed.  Instead it will search for a file to infect when files are
  291. created or deleted, a subdirectory is created or the access mode of a
  292. file is changed.  A few other functions may also trigger an infection.
  293.  
  294. The virus uses a random number generator to decide when to become active,
  295. and if it does, it will start playing 5 minutes after an infected program
  296. is run.
  297.  
  298.  
  299.                                  Parity
  300.  
  301. This is a simple, 441 byte virus, which will infect one .COM file when an
  302. infected program is run.  The virus may emulate a parity error,
  303. displaying
  304.  
  305.                           PARITY CHECK 2
  306.  
  307. on the screen and halting the computer.
  308.  
  309.  
  310.                                 Perfume
  311.  
  312. A .COM infecting virus of German origin, that will sometimes ask the user a
  313. question and not run the infected file unless the answer is "4711", which
  314. is the name of a perfume.  This virus will look for COMMAND.COM and infect it
  315. unless it is already infected.  Infected files grow by 765 bytes.  In the
  316. most common variant of the virus the questions have been overwritten with
  317. garbage.
  318.  
  319.                                Phoenix
  320.  
  321. This is a family of viruses from Bulgaria, containing 1226, Proud (1302),
  322. Evil (1701) and Phoenix (1704). They all infect .COM files, and use a
  323. complicated encryption method, which complicates detection somewhat.
  324.  
  325.  
  326.                               Piter
  327.  
  328. This 529 byte Russian virus has not been analysed yet, but it infects
  329. only COM files, overwriting the beginning of the programs, and placing
  330. the original code at the end of the infected file.
  331.  
  332.  
  333.                            Plastique (AntiCAD)
  334.  
  335. This is a family of viruses from Taiwan.  They are members of the Jerusalem
  336. family, perhaps based on the Fu Manchu variant, but are long - one 2900,
  337. one 3012 and three 4096 byte variants.  One of the 4096 byte variants is
  338. also known as "Invader".  The 4096-byte variants also contain code for
  339. infecting the boot sector.  The reason the viruses are also known as
  340. AntiCAD is that they are targeted against the AutoCAD program.  When a
  341. program named ACAD.EXE is run or sometimes when Ctrl-Alt-Del is pressed, the
  342. viruses will activate, overwriting data on floppy disks and hard disks,
  343. as well as garbling the contents of the CMOS.
  344.  
  345.  
  346.                               Polimer
  347.  
  348. The name of this virus is derived from a text message which infected
  349. programs may display when executed:
  350.  
  351.            A le'jobb kazetta a POLIMER kazetta !   Vegye ezt !    
  352.  
  353. The virus is a simple, 512 byte .COM infector, which seems to be based
  354. partially on the Vienna virus.
  355.  
  356.  
  357.                             Pretoria (June 16th)
  358.  
  359. Pretoria is a direct-action, .COM infecting virus from South Africa.
  360. It overwrites the first 879 bytes of infected files with itself, and
  361. stores the original 879 bytes at the end of the file.  This makes it
  362. impossible to fully restore programs shorter than 879 bytes, as their
  363. original length is not stored anywhere.
  364.  
  365. When an infected program is executed, the virus searches the entire current
  366. directory for .COM files to infect.  As it uses a full-depth recursive
  367. directory search, this may take considerable time on an XT-class machine.
  368.  
  369. On June 16th the execution of an infected file will cause all entries in the
  370. root directory to be changed to 'ZAPPED'.  June 16th is the day when the
  371. Soweto riots first broke out.
  372.  
  373. The virus uses a simple substitution encryption.
  374.  
  375.  
  376.                                 Prudents
  377.  
  378. This is a Direct-Action Spanish virus, 1205 bytes long, which infects
  379. .EXE files.  It is probably written by the same author as the PSQR variant
  380. of the Jerusalem virus, as it checks if that virus is present, when it is
  381. run. This virus will overwrite the last 32 bytes of any file it infects,
  382. possibly destroying the victim.  The virus activates on May 1st - May 4th
  383. of any year, interfering with disk writes.
  384.  
  385.  
  386.                                  Saddam
  387.  
  388. This virus is based on the Stupid virus, and is also from Israel.  It is
  389. 919 byte long.  The most obvious effect of the virus is to display:
  390.  
  391.         HEY SADDAM   LEAVE QUEIT BEFORE I COME
  392.  
  393.  
  394.  
  395.                                   Shake
  396.  
  397. Thake is a primitive 476 byte .COM infecting virus.  It may infect the
  398. same program over and over, and infected programs may cause a reboot when
  399. executed.  The name is derived from a string which is found inside the
  400. virus:
  401.                        Shake well before use !
  402.  
  403. This message is occasionally displayed when an infected program is run,
  404. followed by termination of the program.
  405.  
  406.  
  407.                                   Slow
  408.  
  409. This is a variant of the Jerusalem virus from Australia.  Some reports
  410. indicate it may cause a slowdown of the system, but this has not been
  411. confirmed.  The length is 1716 bytes, with extra 5 bytes added at the end
  412. of .COM files.  The major difference between this virus and the standard
  413. Jerusalem virus is the use of a simple encryption in the Slow virus.  A
  414. variant of Slow has been reported in California. This 2126 byte variant
  415. is known as "Scott's Valley".
  416.  
  417.  
  418.                            South African "Friday 13."
  419.  
  420. This is one of the oldest viruses around, but it is very rare.  In fact,
  421. it may even be extinct, apart from copies in the hands of virus researchers.
  422. It is a "direct action" virus, that will seek out one or more programs to
  423. infect, every time an infected program is run.  It will only infect .COM
  424. files, which grow by 415-544 bytes, depending on the variant in question.
  425. The original virus is 419 bytes long.  Like the Lehigh virus it can be
  426. stopped simply by making .COM files read-only.  Most other viruses are not
  427. bothered by this, however.  A version of this virus, called "Virus-B",
  428. where the destructive part has been disabled has been distributed for
  429. demonstration purposes.
  430.  
  431.  
  432.                            Stupid (Do-Nothing)
  433.  
  434. The "Do-Nothing" or "Stupid" virus is not a well written one.  In fact it
  435. is so badly written that in many cases it will simply cause the system to
  436. "hang", instead of properly infecting it.  It seems that this virus was
  437. created by a lousy programmer, somewhere in Israel.  It is not a serious
  438. threat.  It will only work on machines with at least 640K of memory,
  439. because it always tries to hide itself at the same address, starting at
  440. 9000:0000.  This virus infects .COM files, which grow by 583 bytes.  The
  441. original infected program distributed by the author contained the string:
  442.  
  443.                         (c)Stupid 1989 Virushmock!
  444.  
  445.  
  446.                                 Subliminal
  447.  
  448. As this wirus vas found close to where the Dyslexia was discovered and as
  449. the viruses are clearly related, they are believed to have been written
  450. by the same person - "Subliminal" probably just being an earlier version
  451. of the same virus.  The Subliminal virus derives its name from its
  452. activity - it will continously display the text "LOVE, REMEMBER?" for a
  453. fraction of a second in a corner of the screen. 
  454.  
  455.  
  456.                                Suomi
  457.  
  458. This is an encrypted 1008 byte virus from Finland.  It infects COMMAND.COM
  459. as soon as an infected program is run.  The virus has not been fully
  460. analyzed yet.
  461.  
  462.  
  463.                              Superhack
  464.  
  465. This is a 1077 byte virus, which infects .COM files in an ordinary way,
  466. but .EXE files are infected in a similar way, which prevents the virus
  467. from infecting .EXE files longer than 64K.  The virus was written in
  468. Scotland and is known there as "Murphy".
  469.  
  470.  
  471.                                SVC
  472.  
  473. This is the first Russian "stealth" virus.  It is 1689 bytes long and
  474. infects COM and EXE files.  It has not been analysed yet, but it contains
  475. the text string:
  476.  
  477.                       (c) 1990 by SVC,Vers. 4.0
  478.  
  479.  
  480.                   Sverdlov
  481.  
  482. This is an encrypted, 1962 byte Russian virus, which was first discovered
  483. in Sverdlov.  It is reported to display a moving banner across the
  484. screen, while playing the Russian national anthem.  Afterwards drive C:
  485. is reported to be inaccessible and a low-level format is required to make
  486. it usable again.
  487.  
  488.  
  489.                                 Svir
  490.  
  491. This is an unremarkable 512 byte direct-action .EXE file virus.  Its
  492. effects (if any) are not yet known.
  493.  
  494.  
  495.                                Sylvia
  496.  
  497. This virus is a bit unusual, to say the least.  It contains the following
  498. message:
  499.  
  500.               This
  501.                  program
  502.                         is
  503.                           infected
  504.                                   by
  505.                                     a
  506.                                      HARMLESS
  507.                                              Text-Virus V2.1
  508.  
  509.              Send a FUNNY postcard to : Sylvia Verkade,
  510.                                         Duinzoom 36b,
  511.                                         3235 CD Rockanje
  512.                                         The Netherlands.
  513.  
  514.              You might get an ANTIVIRUS program.....
  515.  
  516. It will display this message when an infected program is executed, but if
  517. the above text is tampered with, the following message, (which is stored in
  518. an encrypted form) will appear instead:
  519.  
  520.                      FUCK YOU LAMER !!!!
  521.  
  522.                      system halted...$
  523.  
  524. Some people have a weird sense of humor...
  525.  
  526. As the text above indicates, the virus originated in the Netherlands.
  527. When an infected program is run, the virus will seek out up to 5 .COM files
  528. to infect.  It will search drive C: and the current drive.  The three system
  529. files, COMMAND.COM, IBMBIO.COM and IBMDOS.COM are not infected.  The virus
  530. adds 1301 bytes to the beginning of the files it infects (and also 31 bytes
  531. to the end), but does no other damage.  The girl mentioned above exists,
  532. but she says that she has no idea who the author is.  It is very likely that
  533. he knows her, though.
  534.  
  535.  
  536.                                SysLock
  537.  
  538. The SysLock virus infects .EXE and .COM files.  It is a "Direct Action"
  539. virus that will search for files to infect when an infected program is
  540. executed.  The virus will first modify the length of any program it
  541. infects, so it becomes a multiple of 16 bytes.  Then the virus code, 3551
  542. bytes is appended to the file.
  543.  
  544. One unusual "feature" of this virus is that it will search the disk for
  545. the string "Microsoft" and change it into "MACROSOFT". The virus will not
  546. infect programs if the environment contains SYSLOCK=@.
  547.  
  548. Four other variants of this virus are known.  Two are called "Macho",
  549. since they both will change the string "Microsoft" into "MACHOSOFT".  One
  550. is very close to the original virus, the other a bit different.  The third
  551. variant, "Advent" will activate in December and then play "Oh, Tannenbaum".
  552. The last variant is 2232 bytes long and known as "Cookie", because it may
  553. display the message
  554.  
  555.                          I want a COOKIE!
  556.  
  557.  
  558.                                  Taiwan
  559.  
  560. This virus seems to have appeared in Jan '90. It is a direct-action .COM
  561. infector, which activates on the 8th day of any month, overwriting the FAT
  562. and root directory of drives C: and D:  Two variants are known, one is
  563. 708 bytes, but the other one is 743.  Infected programs sometimes "hang",
  564. for some unknown reason.
  565.  
  566.  
  567.                                Tenbyte
  568.  
  569. This is a 1554 byte long .COM and .EXE infecting virus that was by
  570. accident posted to the V-ALERT electronic mailing list, which is intended
  571. for urgent messages regarding virus infections.  Just like the "Stupid"
  572. virus, it will only work on machines with at least 640K memory.  It
  573. activates on September 1st, and stays active until December 31st.  While
  574. active, it will corrupt all disk writes, deleting the first ten characters
  575. of any data written to the disk and add ten "garbage" characters at the
  576. end.  This will cause destruction of data files, as well as preventing
  577. the compilation of any programs.
  578.  
  579.  
  580.                                 Traceback
  581.  
  582. The "Traceback" virus produces a screen display similar to that produced
  583. by the Cascade virus.
  584.  
  585. There are of course differences, since the viruses are totally unrelated.
  586. Every file infected with "Traceback" contains the name of the file that
  587. infected it.  This makes it possible to trace the path of the infection.
  588.  
  589. Another difference is that it is possible to make the characters "jump"
  590. back up, by pressing keys on the keyboard, after all the characters on
  591. the screen have fallen down.
  592.  
  593. There are two variants known of this virus, but the size is the only
  594. significant difference.  The original virus is 3066 bytes long, but the
  595. variants are 2930 and 3031 bytes long.
  596.  
  597.  
  598.                                    TUQ
  599.  
  600. This is a simple, non-remarkable, 453 byte long .COM infecting virus,
  601. probably written in Germany.  It has no effects other than replication.
  602.  
  603.  
  604.                                Turbo
  605.  
  606. The name of the virus is derived from a text string contained inside it.
  607. The virus family contains two viruses, one 512 byte known as "Turbo Kukac",
  608. but the other as Turbo-448.  Both viruses only infect COM files, and
  609. may cause program crashes.  For example, COMMAND.COM will always crash if
  610. infected.
  611.  
  612.  
  613.                                   Turku
  614.  
  615. This is one of two viruses from Finland, the other being the "Suomi"
  616. virus.  It will infect .COM and .EXE files.  The length of the virus is
  617. either 1232 or 1472 bytes, depending on the file type.  No interesting
  618. effects have been observed, other than occasional "repeats" of certain
  619. keys, when pressed.
  620.  
  621.  
  622.                         Vacsina and Yankee Doodle
  623.  
  624. A programmer in Bulgaria has written a number of viruses - 50 different
  625. variants or so. Two of the variants, number 5 and 39 "escaped" to the
  626. West in 1989.  One of the features of virus in this family is that they
  627. contain a version number system, similar to that used in the "Den Zuk"
  628. virus. If a virus in the family finds a file infected with an older version
  629. of itself, it will remove the infection and re-infect with the new version.  
  630.  
  631. A number of the variants play the tune "Yankee Doodle", but the viruses
  632. are not to be confused with the original "Yankee Doodle" virus, which is
  633. called "Old Yankee" by the F-FCHK program.
  634.  
  635. This family can be divided into two groups, one consisting of versions
  636. numbered below 38, but the other one versions 38 and upwards.  The first
  637. group is identified as "Vacsina" variants by F-FCHK, and the second one
  638. as "Yankee Doodle" variants.  However, this division is based on
  639. differences in the internal structure of the viruses - several of the
  640. "Vacsina" viruses also play "Yankee Doodle".
  641.  
  642. The "Vacsina" viruses seem to have been written originally to infect only
  643. .COM files.  .EXE files are also infected, but that is done in two steps.  
  644. First a short piece of code is added to the end of the file. Then a JMP
  645. command is added at the front of the file.  This code seems to be based on
  646. the code used in FORMAT.COM and CHKDSK.COM in some versions of MS-DOS.
  647. When executed it will relocate the .EXE file.  This makes the .EXE file
  648. structurally equivalent to a .COM file, so it can be infected as one.
  649.  
  650. The second group (versions 38 and upwards) infects .EXE files in a
  651. "ordinary" way.
  652.  
  653. Compared to most other viruses, these are fairly harmless. In the first
  654. versions a beep (BELL) is heard, every time a .COM-type file is successfully
  655. infected.  As mentioned before, some of them play "Yankee Doodle", sometimes
  656. at 5 o'clock, but other variants play the tune when the computer is rebooted
  657. by pressing Ctrl-Alt-Del. 
  658.  
  659. The latest versions of the viruses contain several advanced features -
  660. including self-correcting Hamming code, disabling of debugging tools, and
  661. the ability to search for and remove the Ping-Pong and Cascade viruses.
  662.  
  663. One related virus is also known, but it is shorter than any of the Yankee
  664. viruses, only 1049 bytes long.  It seems to have been created by removing
  665. parts of the "Yankee" code.
  666.  
  667.  
  668.                                     Vcomm
  669.  
  670. An .EXE infecting virus that came from Poland.  It is not very well written, but
  671. easy to study because the commented source code was included in the sample
  672. that arrived from there.  When an infected program is run, it will infect one
  673. .EXE file in the current directory.  Infected programs are first padded so
  674. their length becomes a multiple of 512 bytes.  Then the virus adds 637 bytes
  675. to the end of the file.  It will also install a resident part that will
  676. intercept any disk write and change it into a disk read.
  677.  
  678.                    VFSI (Happy)
  679.  
  680. This virus is believed to have been written by a student at the
  681. "Vish Finansovo-Stopanski Institut" in Bulgaria.  It is a small, 437
  682. byte, direct-action .COM-infecting virus.  It can be stopped by making
  683. files read-only.  When it activates, it may display the following
  684. messages.
  685.  
  686.                      HELLO!!! HAPPY DAY and SUCCESS
  687.                      from virus 1.1 VFSI-Svistov
  688.  
  689.  
  690.                                      Victor
  691.  
  692. This is a 2442 byte .EXE and .COM virus from the USSR, at least according
  693. to the text found inside it:
  694.  
  695.         Victor V1.0 The Incredible High Performance Virus
  696.         Enhanced versions available soon.
  697.         This program was imported from USSR.
  698.         Thanks to Ivan
  699.  
  700. Little is yet known about its effects.  
  701.  
  702.  
  703.                                      Vienna
  704.  
  705. This virus, also called DOS-62, UNESCO and 648 will only infect .COM files.
  706. When an infected file is run, the virus will search for an uninfected file
  707. and infect it.  One out of eight files infected is destroyed, by overwriting
  708. the first few bytes with instructions that will cause a restart when the
  709. program is run.
  710.  
  711. Infected files can be easily found because they contain an "impossible"
  712. value (62) in the "seconds" field of the time stamp.
  713.  
  714. Unfortunately the source code to this virus has been published in a book:
  715. "Computer viruses: A High-Tech Disease", so it will probably become very
  716. common in the future.  This version was modified slightly, in order to
  717. make it a little less harmful - it would only infect files in the current
  718. directory.
  719.  
  720. The virus appends 648 bytes to the files it infects, but a 646 byte
  721. variant is also known.
  722.  
  723. One variant of this virus, "Lisbon", has been found in Portugal.  It has
  724. clearly been modified and reassembled - probably in order to fool
  725. signature-type anti-virus programs.  This virus overwrites the beginning
  726. of the programs it destroys with "@AIDS".  The GhostBalls virus is also closely
  727. related.  Several other variants have been reported in Bulgaria. Some of them
  728. are so different that they have received a new name, "New Vienna".  The
  729. Bulgarian variants are similar to the original virus, but the changes include:
  730.  
  731.         Different length - 435,367,354 and 348 bytes.
  732.         Different damage function - formatting of hard disk.
  733.         Critical error handler added.
  734.  
  735. Other variants exist as well.  One, named 'Violator' is 1055 bytes long,
  736. and it contains the following text strings:
  737.  
  738.         TransMogrified (TM) 1990 by RABID N`tnl Development Corp.
  739.         Copyright (C) 1990 RABID !
  740.         Activation Date: 08/15/90 - Violator Strain B
  741.         (Field Demo Test Version) *NOT TO BE DISTRIBUTED*
  742.  
  743. The text seems to indicate the existence of another version, which has
  744. not yet been reported anywhere.  
  745.  
  746. Perhaps the most unusual variant is "Father Christmas" or "Choinka",
  747. which was discovered in Poland.  It is 1881 bytes long, with most of the
  748. extra length devoted to a Christmas greeting.  The Monxla or "Time"
  749. variant is 939 bytes long, and has different effects, depending on the
  750. exact time when it activates.
  751.  
  752.  
  753.                                     Virdem
  754.  
  755. This 1336-byte, direct action .COM-infecting virus was written in 1986,
  756. which makes it one of the oldest viruses in existence.  It was written
  757. by R. Burger, the author of "Computer Viruses: A High-Tech Disease". It
  758. will not spread unless modified, because the virus makes it quite clear
  759. that the program has been infected.  Virdem overwrites the first part of
  760. the program and appends the original code to the end of the file.  At
  761. least two variants of this virus are known - one with all the text strings
  762. in German, but the other is an English language version.  In addition, a
  763. modified 792 byte variant is also known, where all the text messages have
  764. been removed.
  765.  
  766.  
  767.                                     Virus-90
  768.  
  769. The most interesting fact regarding this virus is that the author of it
  770. is known. He uploaded the virus to a number of BBS, saying that the
  771. source code was available for around $20. The virus is a simple .COM
  772. infector that adds 857 bytes to any file it infects.  It will only infect
  773. files on drive A: and B: but it would be easy to "fix" that. An infected
  774. program will display the message "Infected!" when it is executed, but
  775. otherwise the virus does nothing at all.  The virus was uploaded for
  776. educational purposes, according to the author, but has now been removed.
  777.  
  778. A "new and improved" version, Virus-101 also exists.  It infects .EXE
  779. files as well as .COM files, and is somewhat variable.  Some attempts were
  780. made to make it difficult to disassemble or modify the virus, but this
  781. "protection" is easily defeated.  The virus contains one unusual feature,
  782. it infects COMMAND.COM by overwriting it, in the same manner as the Lehigh
  783. virus does, so no change in length is visible.  Unlike Virus-90, this
  784. virus was not made publically available.
  785.  
  786.  
  787.                                  Voronezh
  788.  
  789. This is a 1600 byte virus from Eastern Europe, which infects COM and EXE
  790. files.  It overwrites the beginning of COM files, placing the original code
  791. in encrypted form at the end.  EXE files are also infected in an unusual
  792. way - the original CS:PC is not changed, but the first 5 bytes of the
  793. program code are overwritten with a FAR CALL to the virus code.  A
  794. related virus, 600 bytes long is also known, but it is only able to
  795. infect COM files.
  796.  
  797.  
  798.                                       VP
  799.  
  800. First reported in April '90, this virus is of the direct-action .COM
  801. infecting kind.  It contains one unusual feature - at the beginning of the
  802. virus a variable number of NOP instructions (0-15 in number) are added.
  803. This is probably done in order to confuse "on-the-fly" virus scanners.
  804. The virus then appends 909 bytes containing the virus code.
  805.  
  806.  
  807.                                       W13
  808.  
  809. This is a rather primitive .COM infecting virus. Two variants are known,
  810. the first one is 534 bytes long, but the second, with some bugs corrected,
  811. is only 507 bytes long. The variants are both of the "Direct Action" type and
  812. do nothing interesting. They are based on the Vienna virus, but mark
  813. infected files by setting the "month" field to 13, instead of setting the
  814. "seconds" field to 62.  This virus originated in the Soviet Union.
  815.  
  816.  
  817.                                     Whale
  818.  
  819. This is a recent, rather remarkable virus.  It is long, 9216 bytes and
  820. able to infect COM and EXE files.  The increase in file size is not
  821. visible though, while the virus is active in memory, as it uses several
  822. advanced "stealth" methods.  Other effects of the virus are not known,
  823. but one infected program displayed the following message when run:
  824.  
  825.              THE WHALE IN SEARCH OF THE 8 FISH
  826.              I AM '~knzyvo}' IN HAMBURG addr error D9EB,02
  827.  
  828. Most of the virus is devoted to encryption and code which moves blocks of
  829. virus code around.  This overhead results in a considerable slowdown of
  830. infected systems.
  831.                                   
  832.  
  833.                                   Wisconsin
  834.  
  835. Like the AntiPascal viruses, this one is targeted against Pascal
  836. programs.  It even includes the string
  837.  
  838.                                  Death to Pascal
  839.  
  840. in encrypted form.  The virus is 825 byte long and only infects .COM
  841. files.
  842.  
  843.  
  844.                                      XA1
  845.  
  846. The XA1 virus overwrites the first 1539 bytes of infected .COM files with
  847. itself and stores the original code at the end of the file.  On April
  848. 1st, a part of the virus will activate - overwriting the boot sector with
  849. code that will cause the computer to "hang" on next boot-up.  The virus
  850. will also activate on December 21st and stay active until the end of the
  851. year.  It will then display a Christmas tree, and the text:
  852.  
  853.         Und er lebt doch noch: Der Tannenbaum! Frohe Weihnachten
  854.  
  855.                                   Zero Bug
  856.  
  857. The "Zero Bug" will mark infected files in the same way as the Vienna
  858. virus, placing 62 in the "seconds" field of the timestamp of the .COM
  859. files it infects.  Apart from this, the viruses are very dissimilar.
  860.  
  861. This virus will search for COMMAND.COM, using the value of the COMSPEC
  862. environment variable to locate the file.  Then it will remain resident,
  863. hook INT 60 and infect every .COM file run.  After some time has passed,
  864. a "smiley" (ASCII 1) will appear on the screen and "eat" any zero it
  865. finds on the screen.
  866.  
  867. The virus seems not too well written - containing some unreachable code,
  868. but it is unusual in some ways.
  869.  
  870. When it infects a file, it will add 1536 bytes in front of the original code,
  871. just like the Agiplan virus.  It also contains one "feature" that will
  872. probably be more used in the future - if the virus is active in memory and
  873. you look at a directory containing infected files, the virus will make
  874. the directory entries appear as they were before the infection. That is,
  875. you will not see any increase in file length. This method is also used by 
  876. some of the latest viruses from Bulgaria.
  877.  
  878.  
  879.                             Zero Hunt (Minnow)
  880.  
  881. This virus infects programs by overwriting them, but unlike most
  882. overwriting viruses it will generally not destroy the host program. This
  883. is because it will only overwrite unused areas within the program.  The
  884. virus searches for a block of at least 416 zero bytes, and places itself
  885. there.  As such programs are rare, this reduces the chances of the virus
  886. spreading.
  887.  
  888.