home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d23 / find1701.arc / 1701-VIR next >
Encoding:
Text File  |  1989-05-20  |  11.2 KB  |  209 lines
  1. =============================================================================
  2.                       THE  "1701 VIRUS" IS *VERY* REAL
  3. =============================================================================
  4.  
  5. May 16, 1989
  6.  
  7. One of my callers sent me a real live virus (I knew about it ahead of
  8. time) and it is a doozie.  It's called WOW, WOWTITLE, and apparantly
  9. some other names.  It is nothing but an ANSI screen that jiggles a bit,
  10. and does some other nonsense stuff, but while it is doing this, it is
  11. attaching itself to COMMAND.COM or the next .COM file that you run. It
  12. appears to be a TSR that remains in memory after it is first run. After
  13. it has run once, every single .COM program you run after that will become
  14. infected, by the virus inserting itself in the .COM program and it makes
  15. it *exactly* 1,701 bytes larger. For those of you that know your hardware
  16. errors, you know that a 1701 error means "hard disk failure" and that is
  17. what I expect this to do at some point in time. I think that this is more
  18. than coincidence so that's what I'll refer to it from now on.
  19.  
  20. Since I knew all of this before I ran it, I decided to do a little bit of
  21. tinkering. Changed the Boot Record on the hard disk to look for something
  22. other than IBMBIOS.COM & IBMDOS.COM. Changed the system files so they
  23. wouldn't look for COMMAND.COM, but some another name. Marked all of the
  24. .COM and .EXE files read only, and fired it up. Sure enough it found
  25. ALSCOMM.COM (as I renamed it) infected it, and when I ran any .COM program
  26. they also got infected.  It appears that it looks for some sort of pattern
  27. contained in COMMAND.COM and then goes for that file, no matter what the
  28. name is.  I even set the COMSPEC variable to point to COMMAND.COM and
  29. while other programs that read this variable, couldn't shell out to DOS
  30. because it wasn't there, this little critter found it, no problem. It
  31. appears that COMMAND.COM (or whatever you try to rename it to) does the
  32. damage, because I copied a good copy of COMMAND.COM over the infected
  33. one, and then ran the infected programs, along with some that hadn't
  34. become infected, and no problems appeared. But after running WOW again
  35. it infected COMMAND.COM once more, and after that every .COM program I
  36. ran got infected. If you run accross this virus, I'd suggest that you
  37. erase your copy of COMMAND.COM, do a cold re-boot, and then re-copy a
  38. good copy of COMMAND.COM back to your hard disk. I would suggest that
  39. you run a group of programs, Edlin, etc. and note the sizes before you
  40. run them, and after.  If you've run some programs after you run this
  41. little critter, they are all probably infected. I wanted to capture a
  42. screen image but it is all graphics, so I couldn't do it with any of
  43. the programs that I had.
  44.  
  45. The image is just one screenful, and it kinda looks like this:
  46.  
  47.                      "The Wizards of Warez"
  48.                       in assocoation with
  49.                          the copycats
  50.                       the Pirates Unlimited
  51.                             OUTRUN
  52.  
  53.               some other messages on who hacked this etc.
  54.  
  55. WOW (in the lower left hand corner)  (lower right hand corner)---1989
  56.  
  57. Since this is a TSR, and since it has already found and gotten through
  58. my security measures, I see no reason that it couldn't get into DSZ,
  59. which it has, and be transmitted from one BBS to another. I haven't tried
  60. this yet, but will in the near future. All of the infected programs run
  61. just fine, and show no changes whatever, except getting 1,701 bytes larger,
  62. from before they were infected. As far as to just what this virus does,
  63. from a damage standpoint, I have to say, nothing so far, but I'm going to
  64. let it run for a bit to see what it does when some more of the files on my
  65. other computer get infected. All it does so far it to just alter file sizes,
  66. but it doesn't change the time or date. It doesn't matter whether the file
  67. is marked read only either. Other than changing file sizes, is all that it
  68. does so far....But any program that can do that to "read only" files, and
  69. does it exactly 1,701 bytes, is up to something. Just what that something
  70. is, is not known at this time.
  71.  
  72. Once discovered it is simple, if not time consuming, to get rid of. All
  73. you have to do is to isolate all of the .COM files you have and replace
  74. them with ones from your backups. Once you do this, it is gone, but if
  75. you forget just one of them, and then you run that program, it will start
  76. all over again.
  77.  
  78. It seems to only affect .COM files, not .EXE files, or any other that I
  79. could discover. It doesn't seem to alter the system files, but it wouldn't
  80. hurt to replace them as well. But BE SURE that you aren't replacing them
  81. with infected files. I missed one file, and in 20 minutes I had re-infected
  82. 25 files all over again.  It only takes one.
  83.  
  84. For you Doubting Thomas' out there, here is a list of just some of the
  85. files that were infected on my other computer (not the BBS!)
  86.  
  87.                 COMMAND  COM    25332  12-31-87  12:00p
  88.                 COMMAND  VIR    27033  12-31-87  12:00p
  89.                 COMMO    VIR    19761   5-08-89   7:13p
  90.                 COMMO    COM    18060   5-08-89   7:13p
  91.                 HGCIBM   VIR     8386   1-01-01   1:01a
  92.                 HGCIBM   COM     6685   1-01-01   1:01a
  93.                 EDLIN    VIR     9196  12-31-87  12:00p
  94.                 EDLIN    COM     7495  12-31-87  12:00p
  95.                 DSZ      VIR    53863   5-07-89   5:09p
  96.                 DSZ      COM    52162   5-07-89   5:09p
  97.                 CLOCK    VIR     2725   1-01-01   1:01a
  98.                 CLOCK    COM     1024   1-01-01   1:01a
  99.                 CAPSRLSE COM     1327   4-16-89  12:00p
  100.                 CAPSRLSE VIR     3028   4-16-89  12:00p
  101.                 HUSH     VIR     1707   1-01-01   1:01a
  102.                 HUSH     COM        6   1-01-01   1:01a
  103.                 HOTKEY   VIR     2182   1-22-87  11:10a
  104.                 HOTKEY   COM      481   1-22-87  11:10a
  105.                 CED      VIR     8857  12-06-85   1:18p
  106.                 CED      COM     7156  12-06-85   1:18p
  107.                 SKN      VIR    35710  11-26-88  10:25a
  108.                 SKN      COM    34009  11-26-88  10:25a
  109.  
  110. I've renamed the infected .COM programs to .VIR and they were all taken
  111. from my hard disk after I ran the program. As you can see this is a wide
  112. variety of programs from Sidekick to Edlin. All of them worked perfectly
  113. after the infection, so there is really no way to tell if something is
  114. wrong or not.
  115.  
  116. What's the bottom line of all of this??  Well, to be honest, I just don't
  117. really know.  But one thing that I *do* know is, that something is going
  118. on that shouldn't be going on. On top of that, there is no way I can see
  119. to stop it from doing its thing, once it has started, *unless* you know
  120. what the symptoms are.
  121.  
  122. Maybe all this thing does is change the file size in the directory, by
  123. 1,701 bytes, and that's all.  But I kinda think that my other computer
  124. is about to have something go very wrong at some point in time, and since
  125. the programs all run just fine, I could have copied them and given them
  126. to others not knowing the problem even existed.  If you have seen this
  127. program, or know sombody that has, just pass on this message to them,
  128. and hope that all the program does, is to change the file size and that's
  129. all.
  130.  
  131.  
  132. ==============
  133.  May 17, 1989
  134. ==============
  135.  
  136. I've been doing some more experimenting and have discovered that the virus
  137. not only attaches itself to .COM files, in some cases it will actually
  138. alter the files themselves.  I have a file HUSH.COM that quiets down the
  139. floppy drives, and it is only a 7 byte file, but ends up a 1,708 byte file
  140. after infection. As you can imagine it is pretty easy to compare the
  141. original file with the infected one. To my surprise the original code of
  142. the program had been altered, but it still worked !
  143.  
  144. I started to take a closer look at the files with LIST, (yes it got 1,701
  145. bytes larger) and discovered what might be considered a "signature" of
  146. this particular virus. There is a string    141$FLu   that seems to be
  147. a good way to know if you have been infected. None of the original files
  148. had it, and all of the larger ones did. I checked my BBS working C: and
  149. that particular string wasn't found anywhere, so it might be a good way
  150. to identify it. There are many utilties that will search the disk for
  151. strings. I'd suggest that you get one of them and run it on your entrie
  152. disk. If you get a "hit", you should erase the offending file, and replace
  153. it with one that you know to be OK. Just compare the file sizes. If the one
  154. on your hard disk is 1,701 bytes larger than the one on your backup, then
  155. you are in for some fun.
  156.  
  157. Some other observations. When you first run the virus, it appears that it
  158. looks for COMMAND.COM, but it may not effect it at all. I have a mono system
  159. and I ran HCGIBM to emulate CGA to see what was happening. HCGIBM got zapped
  160. and not COMMAND.COM, and once it was installed in memory, all subsequent
  161. .COM files became infected. The second time around, at least, COMMAND.COM
  162. hasn't become infected like it did the first time around. So it appears that
  163. the only sure way to find the infected files is to search for the tell tale
  164. string that the virus imbeds in the .COM file.
  165.  
  166. I put an uninfected version of LIST on a floppy along with some text files,
  167. and then put a write protect tab on the floppy. Ran a program that I knew
  168. had the virus in it, and then another one that didn't. Sure enough, it was
  169. loaded into memory, and when I went to drive a: and tried to List the text
  170. file I got a "write error" before List loaded the text file.  After the
  171. normal Abort, retry, ignore, fail (I choose Fail) List loaded the text file
  172. and remained unchanged, so if you have you floppies write protected, it
  173. can't do it's thing. There are many programs that "write protect" your hard
  174. disk, so this might be one way to protect against infection. Only problem
  175. is that lots of normal programs write files to the disk, so this isn't a
  176. very good solution.
  177.  
  178. Tonight we're going to unassemble the code to see what makes it tick.
  179.  
  180.  
  181. ==============
  182.  May 19, 1989
  183. ==============
  184.  
  185. With the help of one of my programming friends, we have dissambled the
  186. program and indeed it alters the original file, re-writes the first part
  187. of the program with a "jump" instruction as the first thing the infected
  188. program does. It goes to where it wants to find a copy of itself, and if
  189. the file isn't infected, it then will insert the code into the un-infected
  190. program, write the altered program to disk, and *then* runs the program as
  191. if nothing has happened. Next time that infected program is run, it will
  192. attach itself to COMMAND.COM if it isn't already infected, and if both
  193. the memory portion of COMMAND.COM is infected, and the file that is loaded
  194. is infected, no disk writes occur, the progarm loads normally.  We have
  195. also confirmed that the signature  141$FLu  is in the original program and
  196. is also in all of the infected copies. For all we know WOW might be nothing
  197. more than an infected program, not the original virus.
  198.  
  199. Enclosed in this ARC is a program that will search out this unique signature
  200. and identify all files that are infected. It is a quick way to spot this
  201. virus and get rid if it.
  202.  
  203. Pass this file along to a friend, and maybe save them some grief.
  204.  
  205. Al Kalian
  206. Palladin BBS
  207. 415-332-1655
  208.  
  209.