home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / VIRUS / EUROPEAN.TXT < prev    next >
Text File  |  1989-10-21  |  19KB  |  369 lines
  1.  
  2. Please find enclosed a list of known viruses in the UK prepared by
  3. Joe Hirst of the BCVRC, he is happy that it be distributed as widely
  4. as possible. 
  5.  
  6. Of great interest is the new Fu Manchu variant of the Israeli virus,
  7. a virus with a slightly embarassing manipulation task!
  8.  
  9. Ps. Joe doesn't have a mail box to date but I will relay any requests,
  10. comments or information you pass on.
  11.  
  12. D.Ferbrache
  13. European co-ordinator
  14. Comp.Virus
  15.  
  16.  IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM;
  17.  :  Joe Hirst                     British Computer Virus Research Centre    :
  18.  :  12 Guildford Street,   Brighton,   East Sussex,   BN1 3LS,   England    :
  19.  :  Telephone:     Domestic   0273-26105,   International  +44-273-26105    :
  20.  :                                                                          :
  21.  :                         List of known PC viruses                         :
  22.  :                                                                          :
  23.  :  This list is intended to give enough information to identify a virus    :
  24.  :  or a variant form of a virus.  It is not intended by itself to supply   :
  25.  :  enough information for a programmer to deal with a virus.  If any virus :
  26.  :  is found which does not exactly match any of the following descriptions :
  27.  :  the Centre requests that a copy of the virus be sent to us, or to a     :
  28.  :  local researcher known to be in contact with us.                        :
  29.  HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<
  30.  
  31.                 1.                     405
  32.                          Parasitic virus - overwriting
  33.  
  34. Type description:
  35.         Virus occurs overwriting the first 405 bytes of a COM file.  The virus
  36.         will attempt to infect one COM file on a different disk to the current
  37.         one.  If the length of the file to be infected is less than 405 bytes,
  38.         the length will be increased to 405.  Due to mistakes in the code it is
  39.         not able to infect other than in the current directory, nor is it able
  40.         to recognise an infected file.
  41.  
  42.                                   -----------
  43.  
  44.                 2.                   Brain
  45.                            Boot virus - floppy only
  46.  
  47. Type description:
  48.         This virus consists of a boot sector and three clusters (6 sectors)
  49.         marked as bad in the FAT.  The first of these sectors contains the
  50.         original boot sector, and the rest contain the rest of the virus.  It
  51.         only infects 360K floppies, and it occupies 7K of memory.  It creates a
  52.         label on an infected disk of ' (c) Brain '.  There are a number of
  53.         unused character strings which can be used to identify it:
  54.  
  55.         Offset 0010H:
  56.                 '      Welcome to the Dungeon                    '
  57.                 '                 (c) 1986 Basit & Amjad (pvt) Lt'
  58.                 'd.               BRAIN COMPUTER SERVICES..730 NI'
  59.                 'ZAM BLOCK ALLAMA IQBAL TOWN                LAHOR'
  60.                 'E-PAKISTAN..PHONE :430791,443248,280530.        '
  61.                 '  Beware of this VIRUS.....Contact us for vaccin'
  62.                 'ation............... $#@%$@!! '
  63.         Offset 0202H
  64.                 '(c) 1986 Basit & Amjads (pvt) Ltd '
  65.         Offset 0355H
  66.                 ' (c) 1986 Basit & Amjads (pvt) Ltd'
  67.         Offset 04A6H
  68.                 ' (c) Brain $'
  69.  
  70. Variations:
  71.         All the variations we have so far seen have only involved changes to
  72.         these character strings.
  73.  
  74.    (1)  Offset 0010H:
  75.                 'Welcome to the  Dungeon         (c) 1986 D.C.L', 17H, '&'
  76.                 ' Amjads (pvt) Ltd   VIRUS_SHOE  RECORD   v9.0   '
  77.                 'Dedicated to the dynamic memories of millions of'
  78.                 ' virus who are no longer with us today - Thanks '
  79.                 'GOODNESS!!       BEWARE OF THE er..VIRUS  : \thi'
  80.                 's program is catching      program follows after'
  81.                 ' these messeges..... $#@%$@!! '
  82.         Offset 0202H
  83.                 '(c) 1986 Brain & Amjads (pvt) Ltd '
  84.         Offset 0355H
  85.                 ' (c) 1986 Brain & Amjads (pvt) Ltd'
  86.         Offset 04A6H
  87.                 ' (c) ashar $'
  88.    (2)  As variation 1 except 'D.C.L' is changed to 'Brain' in string at offset
  89.         0010H
  90.    (3)  As variation 2 except 'Brain' is changed to 'Jork ' in string at offset
  91.         0202H
  92.  
  93.                                   -----------
  94.  
  95.                 3.         Cascade - AKA 1701, 1704
  96.                           Parasitic virus - resident
  97.  
  98. Type description:
  99.         The virus occurs attached to the end of a COM file.  COM files increase
  100.         in length by 1701 bytes.  The first three bytes of the program are
  101.         stored in the virus, and replaced by a branch to the beginning of the
  102.         virus.  The virus is encrypted (apart from the first 35 bytes) using an
  103.         algorithm that includes the length of the host program, so every sample
  104.         looks different.  It becomes memory-resident when the first infected
  105.         program is run, and it will then infect every COM file run (even if the
  106.         file has an EXE extension).  If the system date is between October and
  107.         December 1988 the cascade display will be activated at random
  108.         intervals.  The virus tests the BIOS for the string 'COPR. IBM', and
  109.         will not infect if it finds this - however there are errors in the code
  110.         which prevent it from working.  Because recognition depends on the
  111.         length of the virus, it will infect programs already infected by
  112.         variants with different lengths.
  113.  
  114. Variations:
  115.    (1)  COM files increase in length by 1704 bytes.  The only differences are
  116.         the removal of a conditional jump (which would never have been taken),
  117.         and some necessary segment overrides on the BIOS tests missing in the
  118.         previous version.  There is still a mistake preventing an IBM machine
  119.         from being recognised.
  120.  
  121.                                   -----------
  122.  
  123.                 4.             Datacrime - AKA 1168
  124.                         Parasitic virus - non-resident
  125.  
  126. Type description:
  127.         The virus occurs attached to the end of a COM file.  COM files increase
  128.         in length by 1168 bytes.  The first three bytes of the program are
  129.         stored in the virus, and replaced by a branch to the beginning of the
  130.         virus.  The virus will search through full directory structure of the
  131.         disks (in the order C, D, A, B) for a COM file other than COMMAND.COM. 
  132.         It will also ignore any COM file if the 7th letter of the name is a D. 
  133.         If the date is after 12 October (any year) it will display the message:
  134.                         'DATACRIME VIRUS'
  135.                         'RELEASED: 1 MARCH 1989'
  136.         and do a low level format on track zero, all heads, of the hard disk.
  137.         Due to mistakes in the code the system is almost certain to crash the
  138.         first time the critical error handler is invoked after the virus
  139.         terminates.
  140.  
  141.                                   -----------
  142.  
  143.                 5.      Dbase [report only - no sample]
  144.                           Parasitic virus - resident
  145.  
  146. Type description:
  147.         Infects COM and EXE files.  Transposes random bytes of any open .DBF
  148.         file, keeping a record of which bytes in a hidden file (BUG.DAT) in the
  149.         same directory.  The virus restores these bytes if the file is read. 
  150.         If the BUG.DAT file is 90 days old or more the FAT and root directory
  151.         are overwritten.
  152.  
  153.                                   -----------
  154.  
  155.                 6.  Den Zuk - AKA Search [report only - no sample]
  156.                            Boot virus - floppy only
  157.  
  158. Type description:
  159.         Graphics display of 'DEN ZUK', together with the AT&T logo, slides in
  160.         from the sides of the screen on bootup.  After five such bootups the
  161.         disk is trashed - no details of how.
  162.  
  163.                                   -----------
  164.  
  165.                 7.                  Fu Manchu
  166.                           Parasitic v