home *** CD-ROM | disk | FTP | other *** search
/ Carousel Volume 2 #1 / carousel.iso / mactosh / virus / nvir_ass.sit / nVIR description < prev   
Encoding:
Text File  |  1988-11-29  |  2.0 KB  |  39 lines  |  [TEXT/WORD]
  1. The nVIR Virus
  2. --------------
  3. How the nVIR Virus Spreads and What It Does
  4.  
  5. The nVIR virus is similar to the Scores virus in many ways.  It does not
  6. appear to have malicious intent and is relatively harmless.  Initial
  7. infection of a system is also caused by an application with a modified
  8. CODE ID = 0 resource. When a nVir carrier application is launched, the
  9. virus' code segment is executed first.  This code checks for its INIT in
  10. the System File, and if it doesn't find it, the code copies the INIT there.
  11. Along with the INIT resource, eight 'nVIR' resources (0-7) are added to the
  12. System file.
  13.  
  14. The next time the system is restarted, the INIT ID = 32 is loaded into
  15. memory and tries to infect every application that is launched.  The nVir
  16. virus adds a CODE ID = 256 resource and modifies the CODE ID = 0 so that
  17. the nVir code is executed first.
  18.  
  19. Again, infection of an application is determined by examination of the
  20. CODE ID = 0 resource.  If the eleventh word of the resource (third word on
  21. the third line in the ResEdit listing) is NOT "0001", the application is
  22. suspect.  If the third word is something other than "0001", convert the
  23. value to its decimal equivalent (the numbers are in hexadecimal).  Then
  24. determine the resource number of the CODE resource at the top of the ResEdit
  25. resource list.  If these numbers are the same, the application is probably
  26. infected, and should be replaced.  Some applications will appear to be
  27. infected even though they are not.  If the eleventh word of CODE ID = 0 is
  28. not 1, check the tenth word; if it is '4EED' the application is most likely
  29. not infected.  The tenth word normally contains '3F3C'.
  30.  
  31. When launching an infected application, there is a one in sixteen chance
  32. that you will hear a short system beep.  We have been told that if MacinTalk
  33. is installed you will hear the words "don't panic".
  34.  
  35. How to Get Rid of the nVIR Virus
  36.  
  37. Remove the nVIR virus the same way you remove the Scores virus except you
  38. do not need to throw away all of the files in the System Folder; just throw
  39. away the System file.