home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa019.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.9 KB  |  115 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │        Alameda Virus        │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Yale, Merritt, Peking, Seoul virus.
  7.  
  8. Date of Origin: Spring, 1987.
  9.  
  10. Place of Origin: Merritt College, Alameda, California.
  11.  
  12. Host Machine: PC compatibles. Does not run on 80286.
  13.  
  14. Host Files: Remains resident. Infects floppy disk boot sector.
  15.  
  16. Increase in Size of Infected Files: n/a.
  17.  
  18. Nature of Damage: Resident. Corrupts or overwrites floppy boot sector.
  19.  
  20. Detected by: Scanv56+, F-Prot, IBM Scan.
  21.  
  22. Removed by: CleanUp, MDisk, F-Prot, or DOS SYS command..
  23.  
  24. Scan Code: BB 40 00 8E DB A1 13 00 F7 E3 2D E0 07 8E C0 0E 1F 81 FF 56 34
  25. 75 04 FF 0E F8 7D. You can also search at offset 00EH for A1 13 00 F7 E3
  26. 2D E0 07.
  27.  
  28. History: First discovered at Merritt college in California in the Spring
  29. of 1987.  In February, 1988, it popped up at Alameda College, where it
  30. received large publicity. In October, 1988, it surfaced at Yale
  31. University, where it became known as the Yale virus. The original
  32. version caused no intentional damage.
  33.  
  34.      The original Alameda would only run on an 8088/8086, and was
  35. presumably assembled using A86 on such a machine. Because it does not
  36. infect hard disks, we may presume that the author's machine did not have
  37. one. The original version would not run on an 80286 or an 80386 machine,
  38. although it will infect on such a machine. Later versions of the virus
  39. can run on an 80286.
  40.  
  41. Description of Operation: The Alameda virus spends its life in the boot
  42. sector of 5.25" 360K floppy disks. When the machine boots from an
  43. infected 360K floppy, the Alameda becomes memory resident, occupying 1K
  44. of memory. It infects 360K floppies in the A: drive only.  Pressing
  45. Ctrl-Alt-Del activates the virus, rather than removing it from memory.
  46. At this point, it looks for a floppy in drive A: to infect. It will
  47. infect any 360K disk in that drive, whether or not it is a bootable disk.
  48.  
  49.      The original boot sector is held in track thirty-nine, head zero,
  50. sector eight. It does not map this sector bad in the FAT (unlike the
  51. Brain) and should that area be used by a file, the virus will die. It
  52. apparently uses head 0, sector 8 and not head 1 sector 9 because this is
  53. common to both single sided and double sided formats and common to both
  54. 8-sectored and 9-sectored formats (both the old 160K single sided and
  55. later 180K single sided formats).
  56.  
  57.      Alameda redirects the keyboard interrupt (INT 09H) to look for
  58. Ctrl-Alt-Del sequences. When it detects Ctrl-Alt-Del, it will attempt to
  59. infect any floppy it finds in drive A:.
  60.  
  61.      The virus is not malevolent. It contains code to format track
  62. thirty-nine, head zero, but this has been disabled. It also contains a
  63. count of the number of times it has infected other diskettes, although it
  64. is referenced for write only and is not used as part of an activation
  65. algorithm. The virus remains resident at all times after it is booted,
  66. even if the user removes the floppy from a machine having no bootable
  67. hard disk, and reboots with Ctrl-Alt-Del. When Ctrl-Alt-Del is pressed
  68. from inside Cassette Basic, it activates and infects the floppy from
  69. which the user is attempting to boot.
  70.  
  71.      Alameda contains no anti-detection mechanisms as does the Brain
  72. virus.
  73.  
  74.      The Alameda contains a rare POP CS instruction that is not understood
  75. by 80286 systems, and hangs the system up. The POP CS command is used to
  76. pass control to itself in upper memory. When such a machine hangs, the
  77. virus has already installed itself in high RAM and hooked the keyboard
  78. interrupt, so that the infection can spread if a warm boot is then
  79. performed.<Note: In fact, the way the virus is most often discovered is
  80. that a 286 won't boot from an infected disk.>
  81.  
  82. Removal: Alameda can not only live through an Ctrl-Alt-Del reboot
  83. command, but this is its only means of reproduction to other floppy
  84. diskettes. The only way to remove it from an infected system is to turn
  85. the machine off and reboot with an uninfected copy of DOS. The Norton
  86. utilities can be used to identify infected diskettes by looking at the
  87. boot sector and the DOS SYS utility can be used to remove it <197> unlike
  88. the Brain.
  89.  
  90.  
  91. ╔════════════════════════════════════════════════════════════════════╗
  92. ║  This document was adapted from the book "Computer Viruses",       ║
  93. ║  which is copyright and distributed by the National Computer       ║
  94. ║  Security Association. It contains information compiled from       ║
  95. ║  many sources. To the best of our knowledge, all information       ║
  96. ║  presented here is accurate.                                       ║
  97. ║                                                                    ║
  98. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  99. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  100. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  101. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  102. ║                                                                    ║
  103. ║  The NCSA is a non-profit organization dedicated to improving      ║
  104. ║  computer security. Membership in the association is just $45 per  ║
  105. ║  year. Copies of the book "Computer Viruses", which provides       ║
  106. ║  detailed information on over 145 viruses, can be obtained from    ║
  107. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  108. ║                                                                    ║
  109. ║            The document is copyright (c) 1990 NCSA.                ║
  110. ║                                                                    ║
  111. ║  This document may be distributed in any format, providing         ║
  112. ║  this message is not removed or altered.                           ║
  113. ╚════════════════════════════════════════════════════════════════════╝
  114.  
  115.