home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / VIRUS / NIST02.TXT < prev    next >
Text File  |  1989-09-28  |  4KB  |  100 lines
  1.  
  2.              Columbus Day Virus: A Fact Sheet (22)
  3.  
  4.  
  5. Sept. 22, 1989
  6.  
  7.                            FACT SHEET
  8.  
  9.                    Columbus Day Computer Virus
  10.  
  11. Several reports of a new computer virus recently have been
  12. published in the media and throughout the data processing
  13. community.  This virus has been referred to as "Columbus Day,"
  14. "Friday the 13th," as well as "Datacrime I" or "Datacrime II." It
  15. attacks IBM-compatible personal computers running the MS-DOS/PC-
  16. DOS operating system.  If activated, the virus will destroy disk
  17. file directory information, making files and their contents
  18. inaccessible. The following information has been compiled by
  19. NIST, NCSC, and SEI from several sources and is being made
  20. available for system managers to use in taking precautionary
  21. measures.
  22.  
  23. NOTE: As with many viruses, there may be other, yet unidentified,
  24. variants with different characteristics.  Therefore, this
  25. information is not guaranteed to be complete and accurate for all
  26. possible variants.
  27.  
  28. NAMES OF VIRUS:  Columbus Day, Friday the 13th, Datacrime I/II
  29. EFFECT: Performs a low-level format of cylinder zero of the
  30. hard disk on the target machine, thereby destroying the boot
  31. sector and File Allocation Table (FAT) information.  Upon
  32. activation it may display a message similar to the following:
  33. DATACRIME VIRUS  RELEASED:1 MARCH 1989
  34.  
  35. TRIGGER: The virus is triggered by a system date 13 October or
  36. later.  (Note that 13 October 1989 is a Friday.)
  37.  
  38. CHARACTERISTICS: Several characteristics have been identified:.
  39.  
  40. 1.  The virus, depending on its variant, appends itself to .COM
  41. files (except for COMMAND.COM), increasing the .COM file by
  42. either 1168 or 1280 bytes.  In addition, the Datacrime II variant
  43. can infect .EXE files, increasing their size by 1514 bytes.
  44.  
  45. 2.  The 1168 byte version contains the hex string EB00B40ECD21B4.
  46.  
  47. 3.  The 1280 byte version contains the hex string
  48. 00568DB43005CD21.
  49.  
  50. This virus reportedly was released on 1 March 1989 in Europe.  It
  51. is unlikely that significant propagation could occur between the
  52. release date and mid-October; therefore, U.S. systems should be
  53. at a low risk for infection.  If safe computing practices have
  54. been followed, the risk should be practically nil.  However,
  55. managers believing their site may be at risk should consider
  56. taking precautionary measures, including one or more of the
  57. following actions:
  58.  
  59. 1.  Take full back-ups of all hard disks.  If the disks are later
  60. found to have been infected and attacked by the virus, lost data
  61. can be recovered from the back-ups.  Operating system and
  62. application software can be restored from original media.  A full
  63. low-level disk format should be performed on the infected hard
  64. disk prior to restoration procedures.
  65.  
  66. 2.  Consider using a commercial utility that can assist in
  67. restoration of a disk directory and recovery of data.  There are
  68. a number of such utilities on the market.  Note that these
  69. utilities normally must be run prior to data loss to enable disk
  70. and file restoration.
  71.  
  72. 3.  Avoid setting the system date to 13 October or later until
  73. the systems have been checked for virus presence.
  74.  
  75. 4.  Attempt to determine if the virus is present in one or more
  76. files through one of the following techniques:
  77.  
  78.      a.   If original file sizes are known, check for increased
  79.           sizes as noted above.
  80.  
  81.      b.   Use DEBUG or other utility to scan .COM and .EXE files
  82.           for the characteristic hexadecimal strings noted
  83.           earlier.
  84.  
  85.      c.   Copy all software to an isolated system and set the
  86.           system date to 13 October or later and run several
  87.           programs to see if the virus is triggered.  If
  88.           activation occurs, all other systems will require virus
  89.           identification and removal.
  90.  
  91.      d.   Use a virus-detection tool to determine if this (or
  92.           another) virus is present.
  93.  
  94. Commercial products intended to detect or remove various computer
  95. viruses are available from several sources.  However, these
  96. products are not formally reviewed or evaluated; thus, they are
  97. not listed here.  The decision to use such products is the
  98. responsibility of each user or organization.
  99.  
  100.