home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa034.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.1 KB  |  111 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │        Cascade Virus        │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: 1701, Falling Letters, Falling Tears, Fall virus, Autumn
  7. Leaves.
  8.  
  9. Date of Origin: late 1987.
  10.  
  11. Place of Origin: Switzerland?
  12.  
  13. Host Machine: The 1701 version will infect both true IBM PC's and PC
  14. compatibles; the 1704 version will only affect PC compatibles. This is
  15. the only difference between the two versions.
  16.  
  17. Host Files: Remains resident. Infects COM files. Uses self-encryption.
  18.  
  19. OnScreen Symptoms: If the system month is between September and
  20. December, and the system year is either 1980 or 1988, and the monitor is
  21. either CGA or VGA, the cascade display will be activated at random
  22. intervals.
  23.  
  24. Increase in Size of Infected Files: 1701 or 1704 bytes (two different
  25. versions).
  26.  
  27. Nature of Damage: Affects system run-time operation. Corrupts program or
  28. overlay files.
  29.  
  30. Detected by: Scanv56+, F-Prot, IBM Scan, Pro-Scan.
  31.  
  32. Removed by: M-1704, CleanUp, or F-Prot. You may also follow the
  33. instructions for removing the Jerusalem virus.
  34.  
  35. Derived from: A NumLock utility Trojan horse.
  36.  
  37. Scan Code: Uses self-encryption.   FA 8B EC E8 00 00 5B 81 EB 31 01 2E F6
  38. 87 2A 01 01 74 0F 8D B7 4D 01 BC 82 06 31 34 31 24 46 4C 75 F8. You can
  39. also search at offset 01BH for 31 34 31 24 46 4C 75 F8.
  40.  
  41.      This virus was adapted from a Trojan utility which was claimed to
  42. turn of the Num Lock light and mode. The Trojan caused characters on CGA
  43. screens to "fall" to the bottom of the screen. In late 1987 this Trojan
  44. was turned into a memory resident COM virus, and reported by Rudolf
  45. Rindler of Switzerland.
  46.  
  47.      Two version of the virus exist.
  48.  
  49. *   The 1701 version increases the size of COM files by 1,701 bytes, and
  50.     infect both machines containing an IBM copyright notice in the ROM
  51.     and clones.
  52.  
  53. *   The 1704 version increases the size of COM files by 1,704 bytes, and
  54.     infects only clones.
  55.  
  56.      The virus occurs attached to the end of a COM file.  The first three
  57. bytes of the program are stored in the virus, and replaced by a branch to
  58. the beginning of the virus. It becomes memory-resident when the first
  59. infected program is run, and it will then infect every COM file run (even
  60. if the file has an EXE extension).
  61.  
  62.      The virus is unique in several ways:
  63.  
  64. *   The virus is encrypted (apart from the first 35 bytes) using an
  65.     algorithm that includes the length of the host program, so every
  66.     sample looks different.
  67.  
  68. *   The mechanics of its activation are complex, being based on
  69.     randomizations, machine types, monitor type, presence or absence of
  70.     clock cards, and time of year.  The virus activates on any machine
  71.     with a CGA or VGA monitor, in the months of September, October,
  72.     November or December, in the year 1980 or 1988 (systems without clock
  73.     cards will often have a date set to 1980).
  74.  
  75. *   Occasionally, 1701 triggers a "hailstorm".  The characters on the
  76.     screen behave as if the were pinned to the screen, and someone is
  77.     removing the pins one at a time <197> it looks a bit like a hailstorm,
  78.     and has appropriate sound effects.  In fact, it is a purely
  79.     audio-visual effect - nothing is happening to your data. But over
  80.    -reaction at this point -- turning the machine off -- may result in
  81.     lost clusters and file damage.
  82.  
  83.      To remove the virus, either run M-1704 or follow the instructions
  84. offered for the Jerusalem virus.
  85.  
  86.  
  87. ╔════════════════════════════════════════════════════════════════════╗
  88. ║  This document was adapted from the book "Computer Viruses",       ║
  89. ║  which is copyright and distributed by the National Computer       ║
  90. ║  Security Association. It contains information compiled from       ║
  91. ║  many sources. To the best of our knowledge, all information       ║
  92. ║  presented here is accurate.                                       ║
  93. ║                                                                    ║
  94. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  95. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  96. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  97. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  98. ║                                                                    ║
  99. ║  The NCSA is a non-profit organization dedicated to improving      ║
  100. ║  computer security. Membership in the association is just $45 per  ║
  101. ║  year. Copies of the book "Computer Viruses", which provides       ║
  102. ║  detailed information on over 145 viruses, can be obtained from    ║
  103. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  104. ║                                                                    ║
  105. ║            The document is copyright (c) 1990 NCSA.                ║
  106. ║                                                                    ║
  107. ║  This document may be distributed in any format, providing         ║
  108. ║  this message is not removed or altered.                           ║
  109. ╚════════════════════════════════════════════════════════════════════╝
  110.  
  111.