home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ciac_c15.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  6.6 KB
  1. From: karyn@cheetah.llnl.gov (Karyn Pichnarczyk)
  2. Newsgroups: comp.virus
  3. Subject: CIAC Bulletin C-15: Michelangelo Virus (PC)
  4.  
  5.  
  6.                NO RESTRICTIONS
  7.           _____________________________________________________
  8.               The Computer Incident Advisory Capability
  9.                           ___  __ __    _     ___
  10.                          /       |     / \   /
  11.                          \___  __|__  /___\  \___
  12.          _____________________________________________________
  13.              Information Bulletin
  14.  
  15.         Michelangelo Virus on MS DOS Computers
  16.  
  17.  
  18. February 6, 1992, 1400 PDT                     Number C-15
  19. _________________________________________________________________________
  20. Name: Michelangelo virus
  21. Platform: MS-DOS computers
  22. Damage: On March 6 will destroy all files on infected disks and
  23.     diskettes that are accessed.
  24. Symptoms: CHKDSK reports "total bytes memory" 2048 bytes less than
  25.     expected
  26. Detection: DDI Data Physician Plus! v 3.0C, FPROT 2.01, other
  27.     anti-viral packages updated since late September 1991
  28. Eradication: DDI Data Physician Plus! v 3.0C, FPROT 2.01, other
  29.     anti-viral packages updated since late September 1991
  30. _________________________________________________________________________
  31.            Critical Facts about Michelangelo Virus
  32.  
  33. The Michelangelo virus, one of the most widespread viruses among MS
  34. DOS systems, infects the Master Boot Record of hard disks and the boot
  35. sector of floppy disks.  This virus will destroy infected disks on
  36. March 6 (Michelangelo's birthday).  It infects very rapidly and
  37. quietly, usually showing no indication of its presence until a virus
  38. detection utility notes its existence.
  39.  
  40. Infection Mechanism
  41.  
  42. This virus is very similar to the Stoned family of viruses (see CIAC
  43. Bulletin A-28 for a description of the Stoned virus).  When a
  44. Michelangelo-infected diskette is placed in the A: drive and the
  45. machine is booted, the virus is loaded into memory from the infected
  46. floppy disk.  It then quickly infects the machine by moving the hard
  47. disk's original boot sector to another location on the disk, and
  48. installs itself as the boot sector.  From then on, any access to
  49. another disk spreads the virus to that disk.  The disk which infects
  50. the hard disk does NOT have to be a bootable system diskette to spread
  51. the infection.  Also, all boot infector viruses, such as this one, do
  52. NOT affect user files, therefore, a backup prior to eradication will
  53. enable full recovery of all user data and programs.
  54.  
  55. Potential Damage
  56.  
  57. On March 6 of any year this virus will destroy all data on any disk
  58. from which the machine is booted.  This occurs by overwriting hard
  59. disk sectors 1-17, heads 0-3, tracks 0-255, or the entire diskette
  60. with random characters, thus making recovery questionable at best.
  61. Note that if your hard disk is partitioned and contains another
  62. operating system, such as UNIX, in the area overwritten, that data
  63. will be destroyed as well.  On all other days of the year this virus
  64. lays dormant, merely copying itself to other disks.  The infection
  65. mechanism of this virus may also cause read errors to occur upon some
  66. high density (1.2 M) diskettes.
  67.  
  68. A problem can occur if a disk is infected by both the Michelangelo and
  69. the Stoned viruses AT THE SAME TIME.  Both move the 'original' boot
  70. sector to the same location on the disk, so when the second infection
  71. occurs, the original clean boot sector is destroyed by being
  72. overwritten by the first virus.  CIAC recommends a low-level format of
  73. the disk if this double-infection occurs, although performing the
  74. DOS SYS operation may repair a damaged diskette, and performing the
  75. undocumented FDISK/MBR operation (in DOS 5.0 only) may repair a
  76. damaged hard disk.
  77.  
  78. Detection and Eradication
  79.  
  80. Because the Michelangelo virus has been discovered relatively
  81. recently, only anti-virus products updated since early autumn of 1991
  82. will detect it.  If you suspect your PC has this virus and do not have
  83. an updated version of a virus scanner, running CHKDSK will report a
  84. "total bytes memory" value 2048 bytes less than expected.  For
  85. example, a PC with 640 KBytes of memory will normally return a value
  86. of 655,360 bytes, with Michelangelo that value would be 653,312.  Of
  87. course, having less "total bytes memory" does not necessarily mean a
  88. virus is resident on your machine, as some valid memory resident
  89. programs can affect this value as well.
  90.  
  91. CIAC is aware of at least two publicized cases of this virus being
  92. inadvertently distributed by vendors.  The vendors involved are
  93. Leading Edge and DaVinci Systems; both vendors have made an attempt to
  94. contact all recipients of the software involved.
  95.  
  96. CIAC stresses the importance of checking all incoming diskettes with
  97. an anti-viral utility, such as VIRHUNT from DDI's Data Physician Plus!
  98. package.  CIAC recommends that once a system has had a virus
  99. eradicated, it be powered down.  The computer should then be observed
  100. closely throughout the entire boot-up process.  Another virus scan
  101. should be performed on the machine to ensure that it is devoid of any
  102. virus.
  103.  
  104. For additional information or assistance, please contact CIAC:
  105.  
  106. Karyn Pichnarczyk
  107. (510) 422-1779 or (FTS) 532-1779
  108. karyn@cheetah.llnl.gov
  109.  
  110. (FAX) (510) 423-8002 or (FTS) 543-8002
  111.  
  112. Send e-mail to ciac@llnl.gov or call CIAC at
  113. (510)422-8193/(FTS)532-8193.
  114.  
  115. PLEASE NOTE: Many users outside of the DOE and ESnet computing
  116. communities receive CIAC bulletins.  If you are not part of these
  117. communities, please contact your agency's response team to report
  118. incidents.  Some of the other teams include the NASA NSI response
  119. team, DARPA's CERT/CC, NAVCIRT, and the Air Force response team.  Your
  120. agency's team will coordinate with CIAC.
  121.  
  122. Neither the United States Government nor the University of California
  123. nor any of their employees, makes any warranty, expressed or implied,
  124. or assumes any legal liability or responsibility for the accuracy,
  125. completeness, or usefulness of any information, product, or process
  126. disclosed, or represents that its use would not infringe privately
  127. owned rights.  Reference herein to any specific commercial products,
  128. process, or service by trade name, trademark manufacturer, or
  129. otherwise, does not necessarily constitute or imply its endorsement,
  130. recommendation, or favoring by the United States Government or the
  131. University of California.  The views and opinions of authors expressed
  132. herein do not necessarily state or reflect those of the United States
  133. Government nor the University of California, and shall not be used for
  134. advertising or product endorsement purposes.
  135.  
  136. --- Fred-Uf 1.8(L)[BETA]
  137.  * Origin: Megabyte BBS, UUCP, Fidonet, IMEx, total messaging (1:340/201.0)
  138. SEEN-BY: 340/201 1000 688/13
  139.