home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa018.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  3.7 KB  |  77 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │        Alabama Virus        │
  4.                     └─────────────────────────────┘
  5.  
  6. Date of Origin: October 13, 1989.
  7.  
  8. Place of Origin: Israel.
  9.  
  10. Host Machine: PC compatibles.
  11.  
  12. Host Files: Remains resident. Infects EXE files.
  13.  
  14. OnScreen Symptoms: One hour after activation, the virus displays this
  15. message in a flashing box:
  16.  
  17. "SOFTWARE COPIES PROHIBITED BY INTERNATIONAL LAW
  18.  
  19. Box 1055 Tuscambia ALABAMA USA."
  20.  
  21. Increase in Size of Infected Files: 1560 bytes.
  22.  
  23. Nature of Damage: Affects system run-time operation. Corrupts program or
  24. overlay files. Directly or indirectly corrupts file linkage.
  25.  
  26. Detected by: Scanv43+, F-Prot, IBM Scan, Pro-Scan.
  27.  
  28. Removed by: CleanUp, F-Prot, or delete infected files.
  29.  
  30.      This virus was isolated by Ysrael Radai at Hebrew University. It
  31. manipulates the file allocation table and swaps file names so that files
  32. are slowly lost.
  33.  
  34.      The Alabama virus will infect .EXE files, increasing their size by
  35. 1,560 bytes. It moves into memory when any EXE containing the virus is
  36. executied. Unlike most other memory-resident viruses, the Alabama does
  37. not use the normal TSR function, but rather hooks interrupt 9 as well as
  38. IN and OUT commands. Upon detecting a Control-Alt-Delete, the virus
  39. generates what appears to be a warm boot, but remains in memroy. The
  40. virus loads to the top 30K of memory, unlike other memory-resident
  41. programs, and does not reduce the available memory reported by DOS.
  42.  
  43.      The Alabama virus uses a complex procedure during infection. It will
  44. first infect an EXE in the current directory, providing there is one
  45. which is uninfected. If all EXEs in the current directory are infected,
  46. then the Alabama virus will infect the program being executed --
  47. provided the system date is not Friday. On Fridays, the Alabama virus
  48. will swap entries in the FAT so that when the user attempts to execute an
  49. uninfected file, an infected file executes instead.  Over time, files
  50. will be lost through this process.
  51.  
  52.  
  53. ╔════════════════════════════════════════════════════════════════════╗
  54. ║  This document was adapted from the book "Computer Viruses",       ║
  55. ║  which is copyright and distributed by the National Computer       ║
  56. ║  Security Association. It contains information compiled from       ║
  57. ║  many sources. To the best of our knowledge, all information       ║
  58. ║  presented here is accurate.                                       ║
  59. ║                                                                    ║
  60. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  61. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  62. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  63. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  64. ║                                                                    ║
  65. ║  The NCSA is a non-profit organization dedicated to improving      ║
  66. ║  computer security. Membership in the association is just $45 per  ║
  67. ║  year. Copies of the book "Computer Viruses", which provides       ║
  68. ║  detailed information on over 145 viruses, can be obtained from    ║
  69. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  70. ║                                                                    ║
  71. ║            The document is copyright (c) 1990 NCSA.                ║
  72. ║                                                                    ║
  73. ║  This document may be distributed in any format, providing         ║
  74. ║  this message is not removed or altered.                           ║
  75. ╚════════════════════════════════════════════════════════════════════╝
  76.  
  77.