home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / VIRUS / PCBLKJCK.TXT < prev    next >
Text File  |  1989-02-23  |  5KB  |  95 lines
  1. ------------------------------
  2.  
  3. Date:    24 January 89, 17:25:02 +0100 (MEZ)
  4. From:    Otto Stolz <RZOTTO@DKNKURZ1.BITNET>
  5. Subject: Features of Blackjack Virus (PC)
  6.  
  7. Hello,
  8.  
  9. perhaps you remember the virus incident I reported on this list, on 2
  10. September 88, 14:44:40 +0200 (MESZ).  This note is intended to present
  11. some of the results and insights I gained since.  Most of the facts
  12. presented here have not been detected by myself; rather I have to
  13. thank several people in the local area, and several VIRUS-L
  14. subscribers, for their hints and contributions.
  15.  
  16. This virus has been termed "Blackjack", which is a pun on the German
  17. name "17+4" of the popular card game.  Blackjack reveals its existence
  18. by the length of infected COM-files, which is 1704 Bytes too large.
  19.  
  20. As with the Israeli virus strains, the virus has a two-stage
  21. life-cycle:
  22.  
  23. - - when you invoke an infected program, Blackjack will infect RAM;
  24.  
  25. - - when Blackjack is active in RAM, it will infect every COM file being
  26.   invoked.  This can be exploited for an easy test, e.g.:
  27.      copy con: test.com
  28.      {ALT-144} {ALT-205} {Blank} {CTRL-z} {return}
  29.      dir test.com
  30.      test
  31.      dir test.com
  32.   In the second line above, every brace-pair represents one byte entered;
  33.   if you key in these bytes correctly, you'll read a Capital Letter E
  34.   with Acute Accent, a Horizontal Double-Line Segment, a Blank, a Circum-
  35.   flex Accent, and a Capital Letter Z.  The 1st dir-command, above,
  36.   should report that
  37.   TEST.COM is 3 bytes long; if the 2nd dir reports 1707 bytes, instead,
  38.   your RAM, and hence the TEST.COM file, are infected by some virus--most
  39.   probably Blackjack.
  40.  
  41. Blackjack infects only COM-files which are at least 3 Bytes long, and
  42. it does so only once for any given file.  It overwrites the 1st three
  43. bytes with a JMP to the beginning of the viral code, which is appended
  44. to the file.  The 2 byte address of this JMP instruction is probably
  45. the reason why only COM files are susceptible to infection.  Blackjack
  46. retains the file's time stamp.  It even infects read-only files; on
  47. write-protected floppy disks, it attempts writing 5 times per file,
  48. thus revealing its activity.
  49.  
  50. In the infected file, the viral code is cryptographically encoded,
  51. using a simple Vigenere code depending on the length of the file; only
  52. the instructions for decoding the encrypted part of the code are in
  53. plain machine-language.  This is obviously intended as a impediment
  54. against disassembling.  Hence, every copy of the virus looks different
  55. (depending on the length of the file).
  56.  
  57. On invocation of an infected program, Blackjack installs itself in RAM
  58. (if no copy is already installed), then replaces the JMP instruction
  59. with its former contents and resumes normal program operation.
  60.  
  61. The storage map shows that Blackjack has tinkered with the free
  62. storage pointer-chain to hide the fact that it has hooked interrupt
  63. 21.  Hence, only a minor part of Blackjack is visible in the storage
  64. map.
  65.  
  66. In every year, from October to December, Blackjack will interfere with
  67. CGA or EGA operated screens, moving randomly chosen characters down,
  68. like falling leaves in autumn.  After a while, you'll have a big heap
  69. of characters at the bottom of your screen, and as you cannot see
  70. anymore what the computer is trying to display, you'll probably have
  71. to restart the system.  This behaviour has been predicted by two
  72. people, who have disassembled Blackjack, and has later been observed
  73. on many EGA-equipped ATs.
  74.  
  75. Together with two students, I have written a VIRCHECK program to check
  76. for Blackjack in RAM and in disk files.  VIRCHECK exploits the
  77. signaling device Blackjack uses to ensure at most one active copy to
  78. detect Blackjack in RAM; it searches the files for the few
  79. instructions which are alike in every copy, to detect infected files.
  80. At our consultant desk, everybody can obtain a copy of VIRCHECK
  81. (Pascal source, and EXE-file), plus a 16 kByte memo (in German) and
  82. the 3 Byte TEST.COM (cf. above).
  83.  
  84. An employee of a nearby software-house, who has detected Blackjack, in
  85. the 1st time, has circulated a DELVIRUS program to detect Blackjack
  86. and, optionally, repair infected files (taking the original contents
  87. of the 1st three bytes from the viral code meant to replace them, as
  88. explained above.  As the DELVIRUS's source is not available to the
  89. public (nor to myself), we do not distribute this program (nor
  90. recommend its use).
  91.  
  92. That's it, folks.  I hope I didn't bore you.
  93.              Otto
  94.  
  95. [Ed. Thanks for the detailed description, Otto!]