home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / VIRUS / BRAININF.TXT < prev    next >
Text File  |  1989-12-08  |  5KB  |  146 lines
  1. Information on the Brain Virus And Variants
  2. Prepared by David Stang
  3. National Computer Security Association
  4. Suite 309, 4401-A Connecticut Avenue NW
  5. Washington, DC 20008
  6. (202) 364-8252 (voice)
  7. (202) 364-1304 (BBS)
  8. This material (c) 1989 NCSA. It may not be reproduced
  9. without attribution to the NCSA.
  10.  
  11. Synonyms: Pakistani Brain, Basit Virus.
  12.  
  13. This virus originated in January, 1986, in Lahore
  14. Pakistan, but the first noticeable infection problems
  15. did not surface until 1988.  In the spring of 1988, for
  16. instance, 100 machines at The Providence Journal-Bulletin
  17. were infected with it. 
  18.  
  19. The Brain is the only virus yet discovered that
  20. includes the valid names address and phone numbers of
  21. the original perpetrators. It was written by two
  22. brothers running a computer store in Lahore Pakistan.
  23. According to some sources, Basit Farooq Alvi, one of
  24. the brothers, wrote the virus so that it would infect
  25. machines running bootleg copies of a program he was
  26. selling for physicians. The original Brain put a
  27. copyright notice in the directory of floppy disks, but
  28. did no other damage.
  29.  
  30. The Brain is a boot sector infector, approximately 3 K
  31. in length, that infects 5 1/4" floppies. It cannot
  32. infect hard disks. It will infect a diskette whenever
  33. the diskette is referenced. For example, a Directory
  34. command, executing a program from the diskette, copying
  35. a file from or to the diskette or any other access will
  36. cause the infection to occur. The virus stores the
  37. original boot sector, and six extension sectors,
  38. containing the main body of the virus, in available
  39. sectors which are then flagged as bad sectors. 
  40. Diskettes have 3K of bad sectors (the normal numbers
  41. are none at all, or 5K, or sometimes more).
  42.  
  43. No known intentional damage.  Unintentional damage: it
  44. slows down diskette accesses and causes time-outs,
  45. which can make some diskette drives unusable.
  46.  
  47. The virus is able to hide from detection by
  48. intercepting any interrupt that might interrogate the
  49. boot sector and re-directing the read to the original
  50. boot sector. Thus, programs like the Norton Utilities
  51. will be unable to see the virus.
  52.  
  53. Infected diskettes are noticeable by "@BRAIN" or "(c)
  54. BRAIN" displayed in the volume label.
  55.  
  56.  
  57.  
  58.         Brain-B
  59.  
  60. Synonyms: Brain-HD, the Hard Disk Brain, Houston Virus.
  61.  
  62. This virus is identical in every respect to the
  63. original Brain, with the single exception that it can
  64. infect the C drive. 
  65.  
  66.  
  67.  
  68.         Brain-C
  69.  
  70. This virus is the Brain-B that has the volume label
  71. code removed. The volume label of infected diskettes
  72. does not change with this virus. This virus was
  73. difficult to detect since it does nothing overt in the
  74. system.
  75.  
  76.  
  77.  
  78.         Clone Virus
  79.  
  80. This virus is the Brain-C that saves the original boot
  81. copyright label and restores it to the infected boot.
  82. The Basit & [A]mjad original Brain messages have been
  83. replaced with non-printable garbage that looks like
  84. instructions if viewed through Norton or other utility.
  85. Even if the system is booted from a clean diskette, it
  86. is virtually impossible to tell, by visual inspection,
  87. whether the hard disk is infected. 
  88.  
  89.  
  90.  
  91.         Shoe_virus
  92.  
  93. Synonym: UIUC Virus.
  94.  
  95. This virus is the Brain-B virus that has been modified
  96. to include the message - "VIRUS_SHOE RECORD, v9.0.
  97. Dedicated to the dynamic memories of millions of virus
  98. who are no longer with us today". The message is never
  99. displayed.
  100.  
  101. This might be identified with the Ashar vrus, as there
  102. is a VIRUS_SHOES RECORD v9.0 with the identifying
  103. string "ashar" at offset 04a6hex.
  104.  
  105.  
  106.  
  107.         Shoe_virus-B
  108.  
  109. Experts disagree on the classification of this.
  110.  
  111. @BULLET = It may be the Shoe_Virus that has been
  112. modified to so that it can no longer infect hard disks.
  113. The v9.0 has been changed to v9.1.
  114.  
  115. @BULLET = There is a version of Brain with VIRUS_SHOE
  116. RECORD v9.0 which is incapable of activating a virus
  117. stored on hard disk due to the drive number being
  118. hardwired into the read routine for loading the virus.
  119. v9.1 may be the hard disk variant of Brain.
  120.  
  121.  
  122.  
  123.         Clone-B
  124.  
  125. This is the Clone virus that has been modified to
  126. corrupt the FAT when it is booted after May 5, 1992.
  127. There are no other apparent modifications.
  128.  
  129.  
  130.  
  131.         Jork Virus
  132.  
  133. This virus is the Shoe_virus with the identifying text
  134. at offset 0010hex reduced to "Welcome to the Dungeon
  135. (c) 1986 Brain", with the text at 0202hex reading "(c)
  136. 1986 Jork & Amjads (pvt) Ltd".
  137.  
  138.  
  139.  
  140.         Terse Shoe Virus
  141.  
  142. This is a variant of the Shoe-virus with the initial
  143. text message truncated to a single line.
  144.  
  145. end of text. Prepared 12/7/89
  146.