home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / VIRUS / SAMSON.TXT < prev    next >
Text File  |  1990-03-23  |  6KB  |  115 lines
  1.  
  2. 036/109 24 Sep 89 15:00:00
  3. From:   Samson Luk
  4. To:     All
  5. Subj:   Viruses Pattern Update
  6. Attr:   
  7. ------------------------------------------------
  8.  Follow is a list of KNOWN virus affecting IBM PCs and compatibles,
  9.  including XTs, ATs and PS/2. The hexadecimal pattern can be used to
  10.  detect the presence of the virus by using any pattern searching software
  11.  such as Norton Utilities.
  12.  
  13.  Additions to the table this time are Datacrime II and a new variant of
  14.  Icelandic(listed last time as Saratoga with (1) and (2) in reverse
  15.  order). There is also a new "REPORTED" section added at the end of this
  16.  message which most of the viruses list there are not yet disassemble.
  17.  
  18.  - Seen and disassembled viruses
  19.  
  20.  Name            Aliases /      Type    Offset Hexadecimal
  21.                  Infective                     Pattern
  22.                  Lenght
  23.  
  24.  405             0              POC     00AH   26 A2 49 02 26 A2 4B 02 26 A2
  25.  Brain           Pakistani      BF      15EH   8B 0E 07 7C 89 0E 0A 7C E8 57
  26.  Cascade (1)     Fall,1701,1704 PRC     01BH   31 34 31 24 46 4C 75 F8
  27.  Cascade (2)     1704           PRC     01BH   31 34 31 24 46 4C 77 F8
  28.  Datacrime       1280 or 1168   PNC     000H   2E 8B 36 01 01 83 EE 03 8B C6
  29.  Datacrime II    1514           PNA     022H   2E 8A 07 2E C6 05 22 32 C2 D0
  30.  Den Zuk         Search         BF      03EH   BB 90 7C 53 C3 B9 B0 7C 51 C3
  31.  Fu Manchu       2086(COM),     PRA     1EEH   FC B4 E1 CD 21 80 FC E1 73 16
  32.                  2080(EXE)
  33.  Icelandic (1)   Saratoga,656   PRE     0C6H   2E C6 06 87 02 0A 90 50 53 51
  34.  Icelandic (2)   Saratoga,642   PRE     0B8H   2E C6 06 79 02 02 90 50 53 51
  35.  Icelandic (3)   Saratoga,632   PRE     106H   2E C6 06 6F 02 0A 90 50 53 51
  36.  Italian         Pingpong       BD      07CH   C7 06 4C 00 D0 7C 8C 0E 4E 00
  37.  Jerusalem       PLO, Israeli,  PRA     095H   FC B4 E0 CD 21 80 FC E0 73 16
  38.                  Friday 13th
  39.                  1813(COM),
  40.                  1808(EXE)
  41.  Lehigh          0              PRO     01CH   B4 19 CD 44 04 61 1E 51 52 57
  42.  New Zealand (1) Stoned,        BM      045H   B8 01 02 0E 07 BB 00 02 B9 01
  43.  New Zealand (2) Marijuana      BM      043H   B8 01 02 0E 07 BB 00 02 33 C9
  44.  Pentagon                       BF      03EH   8E D8 FB BD 44 7C 81 76 06
  45.  Suriv 1.01      Israeli, 897   PRC     30AH   81 F9 C4 07 72 1B 81 FA 01 04
  46.  Suriv 2.01      Israeli, 1488  PRE     05EH   81 F9 C4 07 72 28 81 FA 01 04
  47.  Suriv 3.00      Israeli,       PRA     099H   FC B4 E0 CD 21 80 FC E0 73 16
  48.                  1813(COM)
  49.                  1808(EXE)
  50.  Traceback       3066           PRA     108H   89 B4 51 01 81 84 51 01 84 08
  51.  Vienna (1)      Austrian, 648  PNC     005H   8B F2 83 C6 0A 90 BF 00 01 B9
  52.  Vienna (2)      Unesco    648  PNC     005H   8B F2 81 C6 0A 00 BF 00 01 B9
  53.  Yale            Alameda,       BF      00EH   A1 13 00 F7 E3 2D E0 07
  54.                  Merritt
  55.  
  56.  - Description for New Added:
  57.  
  58.  Datacrime II - Virus is encrypted. Infected a COM or EXE file each time an
  59.                 infected program is run. Will infect COMMAND.COM. Formats
  60.                 part of hard disk on any date up to and including 12 October
  61.                 (any year) except on Sunday.
  62.  
  63.  Icelandic    - Momory resident copy infect once in ten (or one in two for
  64.                 the Saratoga variant) EXE files executed. Date and time are
  65.                 changed. Clusters are flagged as bad on hard disk. There is
  66.                 a variant which does not flag clusters.
  67.  
  68.  - Reported only
  69.  
  70.  Name        Aliases        Type  Description
  71.  
  72.  2730                       B
  73.  Agiplan                    PRC   Infective length 1536, attachs to beginning
  74.                                   of COM file.
  75.  Dbase                      PRA   Transposes random bytes in dBase files
  76.                                   (.DBF). Trashes disk after 90 days.
  77.  Missouri                   ?
  78.  Mistake                    ?     Exchanges letters for phonetically similar
  79.                                   once (ie 'C' and 'K') while they are being
  80.                                   output to the printer.
  81.  Nichols                    B
  82.  Oropax      Music virus    PRC   Infected files increase by between 2756 &
  83.                                   2806 bytes. Total length becomes divisible
  84.                                   by 51. Plays three different tunes with a
  85.                                   seven minute interval.
  86.  Screen                     PRC   Infect all COM files in current directory,
  87.                                   including any already infected, before
  88.                                   going resident. Every few minutes it
  89.                                   transposes two digits in any block of four
  90.                                   on the screen.
  91.  Swap                       BF    Does not infect until ten minutes after
  92.                                   boot. One bad culster on track 39, sector 6
  93.                                   & 7 (head unspecified). Uses 2K of RAM.
  94.  
  95.  Type Code:
  96.  
  97.  A = Infects all program files (COM & EXE)
  98.  B = Boot virus
  99.  C = Infects COM files only
  100.  D = Infects DOS boot sector on hard disk
  101.  E = Infects EXE files only
  102.  F = Floppy (360K) only
  103.  M = Infects Master boot sector on hard disk
  104.  N = Non-resident (in memory)
  105.  O = Overwriting
  106.  P = Parasitic virus
  107.  R = Resident (in memory)
  108.  
  109. --- FD 2.00
  110.  * Origin: TAIC OPUS - HONG KONG, WOCing through the Blazer at 19.2K (3:700/1)
  111. SEEN-BY: 1/2 3 5 28/6 105/3 4 10 15 16 21 42 68 103 300 301 306 469 496
  112. SEEN-BY: 105/502 622 124/4115 138/108 152/17 204/557 869 280/16 343/6
  113. SEEN-BY: 700/1
  114.  
  115.