home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa009.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.6 KB  |  115 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │         1704 Format         │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Blackjack, 1704, Falling Letters.
  7.  
  8. Date of Origin: September, 1988.
  9.  
  10. Place of Origin: Germany.
  11.  
  12. Host Machine: PC compatibles.
  13.  
  14. Host Files: Remains resident. Infects COM files.
  15.  
  16. Increase in Size of Infected Files: 1704 bytes.
  17.  
  18. Nature of Damage: Affects system run-time
  19.      operation. Corrupts program or overlay files. Formats or erases
  20.      all/part of the hard disk upon activation.
  21.  
  22. Detected by: Scanv56+, F-Prot, IBM Scan, Pro
  23.     -Scan.
  24.  
  25. Removed by: CleanUp, M-1704, Scan/D, F-Prot.
  26.  
  27. Derived from: 1701 (Cascade) virus.
  28.  
  29. Scan Code: Uses self-encryption.  FA 8B EC E8
  30.      00 00 5B 81 EB 31 01 2E F6 87 2A 01 01 74 0F 8D B7 4D 01 BC
  31.      85 06 31 34 31 24 46 4C 75 F8.
  32.  
  33.      The code for the 1704 virus is identical to the 1701 except for a
  34. single instruction. The only differences are the removal of a
  35. conditional jump from the 1701 (which would never have been taken), and
  36. some necessary segment overrides on the BIOS tests missing in the
  37. previous version.  The virus was designed to not infect micros
  38. manufactured by IBM, but errors in coding enable it to infect any PC,
  39. regardless of origin. The virus tests the BIOS for the string "COPR.
  40. IBM", and contains code to not infect if it finds this - however there
  41. are errors in the code which prevent it from working.
  42.  
  43.      As with the 1701, the 1704 can recognize if it has previously
  44. infected a file. However, because recognition depends on the length of
  45. the virus, it will infect programs already infected by variants with
  46. different lengths. (1701 will infect COM files infected with 1704, and
  47. vice versa.)
  48.  
  49.      The encryption of this virus is different in each instance of the
  50. virus, being dependent on the size of the host file.
  51.  
  52.      The hard disk is formatted when the virus activates.
  53.  
  54.      This virus has been termed "Blackjack", which is a pun on the German
  55. name "17+4" of a popular card game.
  56.  
  57.      Blackjack infects only COM-files which are at least 3 bytes long, and
  58. it does so only once for any given file.  It overwrites the first three
  59. bytes with a JMP to the beginning of the viral code, which is appended to
  60. the file.  The 2 byte address of this JMP instruction is probably the
  61. reason why only COM files are susceptible to infection.  Blackjack
  62. retains the file's time stamp.  It even infects read-only files; on
  63. write-protected floppy disks, it attempts writing 5 times per file, thus
  64. revealing its activity.
  65.  
  66.      In the infected file, the viral code is cryptographically encoded,
  67. using a simple Vigenere code depending on the length of the file; only
  68. the instructions for decoding the encrypted part of the code are in plain
  69. machine-language.  This is obviously intended as a impediment against
  70. disassembling.  Hence, every copy of the virus looks different
  71. (depending on the length of the file).
  72.  
  73.      On invocation of an infected program, Blackjack installs itself in
  74. RAM (if no copy is already installed), then replaces the JMP instruction
  75. with its former contents and resumes normal program operation.
  76.  
  77.      The storage map shows that Blackjack has tinkered with the free
  78. storage pointer-chain to hide the fact that it has hooked interrupt 21. 
  79. Hence, only a minor part of Blackjack is visible in the storage map.
  80.  
  81.      In every year, from October to December, Blackjack will interfere
  82. with CGA or EGA operated screens, moving randomly chosen characters
  83. down, like falling leaves in autumn.  After a while, you'll have a big
  84. heap of characters at the bottom of your screen, and as you cannot see
  85. anymore what the computer is trying to display, you'll probably have to
  86. restart the system.  This behaviour has been predicted by two people, who
  87. have disassembled Blackjack, and has later been observed on many
  88. EGA-equipped ATs.<Note: Contributions to this section by Otto Stolz.>
  89.  
  90.  
  91. ╔════════════════════════════════════════════════════════════════════╗
  92. ║  This document was adapted from the book "Computer Viruses",       ║
  93. ║  which is copyright and distributed by the National Computer       ║
  94. ║  Security Association. It contains information compiled from       ║
  95. ║  many sources. To the best of our knowledge, all information       ║
  96. ║  presented here is accurate.                                       ║
  97. ║                                                                    ║
  98. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  99. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  100. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  101. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  102. ║                                                                    ║
  103. ║  The NCSA is a non-profit organization dedicated to improving      ║
  104. ║  computer security. Membership in the association is just $45 per  ║
  105. ║  year. Copies of the book "Computer Viruses", which provides       ║
  106. ║  detailed information on over 145 viruses, can be obtained from    ║
  107. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  108. ║                                                                    ║
  109. ║            The document is copyright (c) 1990 NCSA.                ║
  110. ║                                                                    ║
  111. ║  This document may be distributed in any format, providing         ║
  112. ║  this message is not removed or altered.                           ║
  113. ╚════════════════════════════════════════════════════════════════════╝
  114.  
  115.