home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa046.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  6.4 KB  |  124 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │        Dark Avenger         │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Black Avenger
  7.  
  8. Date of Origin: September, 1989.
  9.  
  10. Place of Origin: Sofia, Bulgaria. First isolated at U.C. Davis.
  11.  
  12. Host Machine: PC compatibles.
  13.  
  14. Host Files: Remains resident. Infects COMMAND.COM, EXE, COM, overlay
  15. files.
  16.  
  17. Increase in Size of Infected Files: 1800 bytes.
  18.  
  19. Nature of Damage: Affects system run-time operation. Corrupts program or
  20. overlay files. Directly or indirectly corrupts file linkage.
  21.  
  22. Detected by: Scanv36+, F-Prot, IBM Scan, Pro-Scan.
  23.  
  24. Removed by: M_DAV, CleanUp, F-Prot.
  25.  
  26.      The Dark Avenger originated in Sofia, Bulgaria, and was probably
  27. imported to the U.S. in September, 1989 by some visiting math professors
  28. at U.C. Davis.  It was first reported by Randy Dean at the U.C. Davis
  29. bookstore.
  30.  
  31.      It not only infects generic COM and EXE files, but will also infect
  32. COMMAND.COM. Only files larger than 1,774 bytes will be infected<Note:
  33. Most of the technical information in this section was provided by Daniel
  34. Kalchev, of Bulgaria>. Once in COMMAND.COM, the virus will even
  35. replicate through the DOS COPY and XCOPY commands, with both the source
  36. and destination files being infected in the COPY process. The virus has
  37. been named the Dark Avenger because this code appears within the virus. 
  38. The virus contains the words <197> "The Dark Avenger, copyright 1988,
  39. 1989" and the message <197> "This program was written in the city of
  40. Sofia. Eddie lives.... Somewhere in Time!"
  41.  
  42.      The Dark Avenger increases the length of infected COM files by 1,800
  43. bytes.  EXE files are rounded up to the next "paragraph", and the virus
  44. is appended.
  45.  
  46.      The Dark Avenger stays resident in memory (via manipulation of
  47. memory control blocks) and infects files via many DOS functions (such as
  48. open, close, exec). For this reason, a file may become infected not only
  49. when it is executed but even when viewed with PC Tools, when located with
  50. some "FileFind" program, or when copied with COPY or XCOPY. During copy
  51. commands, both source and target files become infected.
  52.  
  53.      When the Dark Avenger loads into memory, it begins by destroying the
  54. resident portion of COMMAND.COM, which causes reloading of the transient
  55. portion. At this time, the virus has already hooked the necessary
  56. interrupt and COMMAND.COM is infected first.
  57.  
  58.      Although it stays resident, the Dark Avenger can't be detected by
  59. many programs such as MAPMEM, MI, SMAP, and others. This is because when
  60. a such a program is executed, the virus finds the program's own memory
  61. control block (MCB) and changes it in a way that it looks like the last
  62. of the chain of the MCBs (originally the MCB points to the next MCB in
  63. which virus is located). This hint is especially designed to deceive
  64. programs such as MAPMEM.
  65.  
  66.      In addition, in the boot sector, two variables are maintained (at
  67. offset 0x08 and 0x0A). The latter is a counter to 15 (initialized to
  68. major version of current PC/MS-DOS). It is incremented each time an
  69. infected program is executed. When the counter reaches 16, the number
  70. from the first variable is used to select a random disk sector, which is
  71. then overwritten by the virus. If this sector is used by a file, the file
  72. is destroyed. Should the directory sector be selected and overwritten,
  73. the results are most unpleasant.
  74.  
  75.      When the Dark Avenger installs itself, it scans the ROMs of
  76. additional controllers to find the address of the INT 0x13 handler (the
  77. virus knows how it begins and looks for its own first bytes). After that,
  78. it directly calls this address. As a result, it can't be detected by a
  79. program waiting for INT 0x13.  The Dark Avenger uses INT 0x26 for this,
  80. and is detected by many antivirus programs (such as ANTI4US) with this
  81. interrupt. The virus affects functions of PC/MS-DOS such as "SetVector"
  82. and "Terminate And Stay Resident".
  83.  
  84.      If anti-virus software attempts to set some of the virus's vital
  85. interrupts via "SetVector", the Dark Avenger will prohibit this. If the
  86. anti-virus software directly changes the vector table, when the software
  87. terminates (via "Terminate And Stay Resident"), the virus restores its
  88. vectors.
  89.  
  90.      As an extremely infectious virus, treat it cautiously. Power down
  91. the system with the on/off switch. Re-boot from a write-protected system
  92. master diskette. Run SCAN or some other scanner to determine the extent
  93. of infection. The virus could conceivably be widespread.  A disinfector
  94. (M_DAV), written by Morgan Schweers, is available on the National
  95. Computer Security Association's BBS that can remove this virus.<Note:
  96. The board number is 202 364-1304.> Be sure to re-scan the disk after you
  97. think you are finished with disinfection.
  98.  
  99.  
  100. ╔════════════════════════════════════════════════════════════════════╗
  101. ║  This document was adapted from the book "Computer Viruses",       ║
  102. ║  which is copyright and distributed by the National Computer       ║
  103. ║  Security Association. It contains information compiled from       ║
  104. ║  many sources. To the best of our knowledge, all information       ║
  105. ║  presented here is accurate.                                       ║
  106. ║                                                                    ║
  107. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  108. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  109. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  110. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  111. ║                                                                    ║
  112. ║  The NCSA is a non-profit organization dedicated to improving      ║
  113. ║  computer security. Membership in the association is just $45 per  ║
  114. ║  year. Copies of the book "Computer Viruses", which provides       ║
  115. ║  detailed information on over 145 viruses, can be obtained from    ║
  116. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  117. ║                                                                    ║
  118. ║            The document is copyright (c) 1990 NCSA.                ║
  119. ║                                                                    ║
  120. ║  This document may be distributed in any format, providing         ║
  121. ║  this message is not removed or altered.                           ║
  122. ╚════════════════════════════════════════════════════════════════════╝
  123.  
  124.