home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa031.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.4 KB  |  134 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │         Brain Virus         │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Pakistani, Pakistani Brain, Basit Virus.
  7.  
  8. Date of Origin: January, 1986.
  9.  
  10. Place of Origin: Lahore Pakistan.
  11.  
  12. Host Machine: PC compatibles.
  13.  
  14. Host Files: Remains resident. Infects floppy disk boot sector.
  15.  
  16. OnScreen Symptoms: None. Use DIR to find a volume label on an infected
  17. floppy: "(c) Brain". Using a sector editor, you should be able to find
  18. "(c) Brain" in sector 0, as well.
  19.  
  20. Increase in Size of Infected Files: n/a.
  21.  
  22. Nature of Damage: Resident, taking 3-7K of RAM. Corrupts or overwrites
  23. boot sector.
  24.  
  25. Detected by: Scanv56+, F-Prot, IBM Scan, Pro-Scan.
  26.  
  27. Removed by: CleanUp, MDisk, F-Prot, or DOS SYS command.
  28.  
  29. Derived from: This virus appears to be "an original."
  30.  
  31. Scan Code: 8C C8 8E D8 8E D0 BC 00 F0 FB A0 06 7C A2 09 7C 8B 0E 07 7C 89
  32. 0E 0A 7C E8 57 00. You can also search at 15EH for 8B 0E 07 7C 89 0E 0A 7C
  33. E8 57.
  34.  
  35.      This virus originated in January, 1986, in Lahore Pakistan, but the
  36. first noticeable infection problems did not surface until 1988<Note: In
  37. the spring of 1988, for instance, 100 machines at The Providence
  38. Journal-Bulletin were infected with it.>.
  39.  
  40.      The Brain is unusual in that it includes the valid names, address and
  41. phone numbers of the original perpetrators. It was written by two
  42. brothers running a computer store in Lahore Pakistan. According to some
  43. sources, Basit Farooq Alvi (one of the brothers) wrote the virus so that
  44. it would infect machines running bootleg copies of a program he was
  45. selling for physicians. The original Brain put a copyright notice in the
  46. directory of floppy disks, but did no other damage to floppy disks, and
  47. would not infect hard disks.
  48.  
  49.      This virus consists of a boot sector and three clusters (6 sectors)
  50. marked as bad in the FAT.  The first of these sectors contains the
  51. original boot sector, and the rest contain the rest of the virus.  It
  52. only infects 360K floppies, and it occupies 7K of memory.
  53.  
  54.      The original Brain will infect a diskette whenever the diskette is
  55. referenced. For example, a DIR command, executing a program from the
  56. diskette, copying a file from or to the diskette or any other access will
  57. cause the infection to occur. The virus stores the original boot sector,
  58. and six extension sectors, containing the main body of the virus, in
  59. available sectors which are then flagged as bad sectors.  Diskettes have
  60. 3K of bad sectors (possibly more, if there are genuinely bad sectors, as
  61. well.)
  62.  
  63.      The Brain causes no known intentional damage.  However, it can slow
  64. diskette access a bit, and may cause time-outs, which can make some
  65. diskette drives unusable.
  66.  
  67.      Any attempts to examine the boot sector are likely to be intercepted
  68. by the Brain when it is memory resident, redirecting the "view" to the
  69. relocated boot sector. Thus, programs like the Norton Utilities will be
  70. unable to "see" the virus.
  71.  
  72.      There are a number of unused character strings which can be used to
  73. identify it:
  74.  
  75.      Offset 0010H:
  76.  
  77.       Welcome to the Dungeon
  78.  
  79.                  (c) 1986 Basit & Amjad (pvt) Lt
  80.  
  81. d.               BRAIN COMPUTER SERVICES..730 NI
  82.  
  83. ZAM BLOCK ALLAMA IQBAL TOWN                LAHOR
  84.  
  85. E-PAKISTAN..PHONE :430791,443248,280530.
  86.  
  87.   Beware of this VIRUS.....Contact us for vaccin
  88.  
  89. ation............... $#@%
  90.      Offset 0202H:
  91.   
  92.   
  93.  
  94. (c) 1986 Basit & Amjads (pvt) Ltd 
  95.  
  96.      Offset 0355H:
  97.  
  98.  (c) 1986 Basit & Amjads (pvt) Ltd
  99.  
  100.      Offset 04A6H:
  101.  
  102.  (c) Brain $
  103.  
  104.      Infected diskettes are noticeable by "@BRAIN" or "(c) BRAIN"
  105. displayed in the volume label.  Derivations can infect hard disks, and
  106. some have had the "(c) Brain" label removed, to make detection more
  107. difficult.
  108.  
  109.  
  110. ╔════════════════════════════════════════════════════════════════════╗
  111. ║  This document was adapted from the book "Computer Viruses",       ║
  112. ║  which is copyright and distributed by the National Computer       ║
  113. ║  Security Association. It contains information compiled from       ║
  114. ║  many sources. To the best of our knowledge, all information       ║
  115. ║  presented here is accurate.                                       ║
  116. ║                                                                    ║
  117. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  118. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  119. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  120. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  121. ║                                                                    ║
  122. ║  The NCSA is a non-profit organization dedicated to improving      ║
  123. ║  computer security. Membership in the association is just $45 per  ║
  124. ║  year. Copies of the book "Computer Viruses", which provides       ║
  125. ║  detailed information on over 145 viruses, can be obtained from    ║
  126. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  127. ║                                                                    ║
  128. ║            The document is copyright (c) 1990 NCSA.                ║
  129. ║                                                                    ║
  130. ║  This document may be distributed in any format, providing         ║
  131. ║  this message is not removed or altered.                           ║
  132. ╚════════════════════════════════════════════════════════════════════╝
  133.  
  134.