home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / VIRUS / ALLVIRUS.DF < prev    next >
Internet Message Format  |  1989-05-26  |  31KB
  1. From mcvax!cs.hw.ac.uk!davidf@uunet.UU.NET Sun May  7 14:33:38 1989
  2. Received: from uunet.UU.NET by atanasoff.cs.iastate.edu (3.24.1) id AA15611; Sun, 7 May 89 14:33:16 CDT
  3. Received: from mcvax.UUCP by uunet.uu.net (5.61/1.14) with UUCP 
  4.     id AA16504; Sun, 7 May 89 15:33:04 -0400
  5. Received: by mcvax.cwi.nl via EUnet; Sun, 7 May 89 21:22:35 +0200 (MET)
  6. Received: from cs.hw.ac.uk by kestrel.Ukc.AC.UK   via Janet (UKC CAMEL FTP)
  7.            id aa25450; 7 May 89 20:08 BST
  8. Received: from surya.cs.hw.ac.uk (surya) by brahma.cs.hw.ac.uk; Sun, 7 May 89 20:05:07 BST
  9. From: "David.J.Ferbrache" <mcvax!cs.hw.ac.uk!davidf@uunet.UU.NET>
  10. Message-Id: <4405.8905071907@surya.cs.hw.ac.uk>
  11. Subject: Virus list (Homebase bulletin board and others)
  12. To: brunnstein@rz.informatik.uni-hamburg.dbp.de,
  13.         OJA <nccibm1.bitnet!OJA@earn-relay.ac.uk>,
  14.         RADAI1 <hbunos.bitnet!RADAI1@earn-relay.ac.uk>,
  15.         luken <lehiibm1.bitnet!luken@earn-relay.ac.uk>,
  16.         jwright@atanasoff.cs.iastate.edu, well!odawa@uunet.UU.NET
  17. Date: Sun, 7 May 89 20:07:33 BST
  18. Cc: rzotto <dknkurz1.bitnet!rzotto@earn-relay.ac.uk>,
  19.         r746ll12 <cmccvb.bitnet!r746ll12@earn-relay.ac.uk>,
  20.         chess@cs.heriot-watt.ac.uk, drsolly@ibmpcug.co.uk,
  21.         utoday!greenber@uunet.UU.NET
  22. X-Mailer: ELM [version 2.2 PL0]
  23. Status: R
  24.  
  25.  
  26. Please find enclosed for your information and comment a listing of IBM PC
  27. viruses from Jim Goodwin's Homebase BBS which Jim Wright passed on to me.
  28. I have restructure the original document slightly to place each of his
  29. 48 viruses under the original parent virus, so that strains of Brain are
  30. grouped together. I have also added a few comments of my own in brackets.
  31.  
  32. Can I strongly suggest we pool our resources so that one comprehensive list
  33. can be produced. It would seem well worth contacting Jim to arrange for
  34. details of 1. the new viruses he describes, and 2. the modifications of
  35. well know viruses which he has observed.
  36.  
  37.  
  38.  
  39.  
  40. PC VIRUS LISTING
  41. by Jim Goodwin
  42.  
  43. [edited without permission by Dave Ferbrache]
  44.  
  45.      It is difficult to name, identify and classify PC viruses. 
  46. Everyone who first discovers a virus will name it and describe
  47. what they think of it.  In most cases, the virus is not new and
  48. has been named and described dozens of times before.  None of the
  49. names and few of the descriptions will match.  While I'm writing
  50. this, for example, I feel certain that someone, somewhere has
  51. just been infected by the Jerusalem virus and they are telling
  52. their co-workers and friends about it as if it were newborn - and
  53. for them perhaps it is.  It will be impossible to verify the
  54. strain and variety of the infection, however, unless we can get a
  55. living sample of the virus to analyze and compare with other
  56. strains of this same virus.  So problem number one is filtering
  57. the reports of infection and collecting samples that can be
  58. placed under the knife.
  59.  
  60.      Problem number two is - where do you draw the line between
  61. an original virus and a true variation of the virus.  The
  62. original Brain virus, for example, could only infect a floppy
  63. diskette.  Do the varieties of the Brain that can infect hard
  64. disks (but in every other respect are identical) deserve to be
  65. called new viruses, or are they still the Brain?  What about
  66. further modifications that destroy data?  Is this now a new
  67. virus?  What if nothing changes but the imbedded text data, so
  68. that the virus is in every way functionally identical, but the
  69. volume label changes to "SMURF" instead of BRAIN.  All of these
  70. modifications to the Brain have been discovered and logged.  How
  71. do we deal with them?
  72.      I choose to deal with these modifications in the simplest
  73. way I know.  If the virus differs in any way from the original
  74. (assuming that the "original" can in fact be identified), then I
  75. log it as a new virus.  This relieves me from having to make
  76. decisions.  Those of you who see the world differently can merely
  77. take this listing and lump together all of the different strains
  78. that you like.  That way we'll all be happy.
  79.  
  80. [have done Jim, it does seem simpler to me and allows tracing of the
  81.     evolution of viruses. I personally think an edited text string does
  82.     not constitute a new virus, although I agree the line is often hard to
  83.     judge]
  84.  
  85.      This will be, by the way, my last virus document.  I have
  86. worked double time for the past eighteen months helping John
  87. McAfee and his Homebase folks and, while I have thouroughly
  88. enjoyed myself, I have finally burned out.  It has been great fun
  89. and I've learned a lot, and hopefully some of my works, like the
  90. product review with Sankary and Marsh, will end up being somehow
  91. useful to the world.  But now I have the irresistible urge to go
  92. fishing, and, perhaps afterwards, to contemplate my navel for a
  93. few years.  In-between times I intend to write a book on the
  94. craziness in this industry and about the unique personalities
  95. I've had the pleasure to work with in the Virus Marine Corps. 
  96. It's been quite an adventure.  Thank you all.
  97.  
  98. Jim Goodwin
  99.  
  100.  
  101.  
  102.  
  103.                     THE VIRUSES
  104.  
  105.      I have arranged these viruses so that similar varieties are
  106. described in the sequence in which they appeared within the virus
  107. sub-group (to the best of my knowledge).  Not everyone agrees
  108. with my groupings.  Many people believe, for instance, that the
  109. Golden Gate-C (Mazatlan Virus) is a distinctly original virus and
  110. is not a variation of the Alameda.  I think differently and have
  111. endeavored to show how the Golden Gate evolved from the Alameda,
  112. through each precursor virus.  I cannot prove, of course, that
  113. the sequence of appearances is the correct sequence, and in many
  114. cases I have had to guess.  If you anyone wishes to re-order
  115. these virus, I will not be offended.
  116.      I have not included any of the specific application trojans
  117. in this list.  There has been a lot of discussion about the Lotus
  118. 123 and DBASE "viruses", for example.  These are not replicating
  119. programs and I do not classify them as viruses.  I had originally
  120. intended a separate list to include these non-replicating trojans
  121. but Time caught up with me.
  122.  
  123.  
  124.  
  125. [BOOT SECTOR AND PARTITION RECORD VIRUSES]
  126. [----------------------------------------]
  127.  
  128. [ALAMEDA VIRUS AND VARIANTS]
  129.  
  130. (Also called: Yale; Merritt; Pecking; Seoul)
  131.      
  132. First discovered at Merritt college in California (1987).  
  133. Original version caused no intentional damage.  
  134. replicates at boot time <ctrl>-<alt>-<del> and infects only 
  135. 5 1/4" 360KB floppies.  It saves the real boot sector at track 39, 
  136. sector 8, head 0.  Contains a count of the number of times it has 
  137. infected other diskettes, although it is referenced for write only and is
  138. not used as part of an activation algorithm.  The virus
  139. remains resident at all times after it is booted, even if no
  140. floppy is booted and BASIC is loaded.  Contains a rare POP
  141. CS instruction that makes it incapable of infecting 286
  142. systems.
  143.  
  144.      ALAMEDA-B (Also called Sacramento Virus)
  145.  
  146.      This is the original Alameda Virus that has the POP CS
  147.      removed.  Relocation is accomplished through a long jump
  148.      instruction.  All other characteristics are identical.  This
  149.      version runs OK on a 286. 
  150.  
  151.      ALAMEDA-C
  152.      
  153.      This is the Alameda-B virus that has been modified to
  154.      disable the boot function after 100 infections.  The
  155.      counter in the original Alameda virus has been re-activated
  156.      and is interrogated at each bootup.  When it reaches 100 the
  157.      virus disconnects from the original boot sector (control is
  158.      no longer passed) and the diskette will no longer boot.  At
  159.      infection time, the counter is zeroed on the host diskette.
  160.  
  161.      SF VIRUS
  162.      
  163.      This is the Alameda-C that has been modified to format the
  164.      boot diskette when the counter runs out.  
  165.  
  166.      GOLDEN GATE VIRUS (Also called The 500 Virus)
  167.  
  168.      This is the SF Virus that has been modified to format the C
  169.      drive when the counter runs out.  The activation occurs
  170.      after 500 infections, instead of 100 infections.  Note that
  171.      in all three of these strains, the counter is zeroed on the
  172.      host diske