home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa047.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.2 KB  |  107 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │          Datacrime          │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: 1280 virus, Columbus Day, October 12th, October 13th, Friday
  7. 13th, Munich Virus, Miami Virus
  8.  
  9. Date of Origin: March, 1989.
  10.  
  11. Place of Origin: Europe.
  12.  
  13. Host Machine: PC compatibles.
  14.  
  15. Host Files: non-resident. Infects COM files.
  16.  
  17. OnScreen Symptoms: No screen symptoms during propagation. After October
  18. 12 of any year, it will display the message "DATACRIME VIRUS RELEASED 1
  19. MARCH 1989".
  20.  
  21. Increase in Size of Infected Files: 1280 bytes.
  22.  
  23. Nature of Damage: Corrupts program or overlay files. Formats or erases
  24. all/part of disk.
  25.  
  26. Detected by: Scanv56+, F-Prot, IBM Scan, Pro-Scan.
  27.  
  28. Removed by: AntiCrim, Scan/D, F-Prot, or CleanUp.
  29.  
  30. Scan Code: 00 56 8D B4 30 05 CD 21 or 8B 36 01 01 83 EE 03 8B C6 3D 00 00
  31. 75 03 E9 02 01. Uses self-encryption. You can also search at offset 000H
  32. for 2E 8B 36 01 01 83 EE 03 8B C6.
  33.  
  34.      The 1280 version of Datacrime is the earliest version, followed by
  35. the 1168 version. Both versions infect COM files, preserving the COM
  36. file's date and time. This virus saves the first three bytes of its host
  37. to a "save area" inside the virus shell, replacing them with a branch to
  38. the beginning of the virus. It appends the shell to the end of the .COM
  39. file on a paragraph boundary.  The resulting file apparently must not
  40. exceed 64K <197> the stack is at the top of the 64K file, where the shell
  41. resides. The stack must have room for virus use. It is not
  42. memory-resident.
  43.  
  44.      All versions of Datacrime activate after October 12th (hence the
  45. name October 12). In 1989 <197> its year of release <197> the day after
  46. October 12 was Friday the 13th (hence that name). Turning off your
  47. computer on that day will not provide any protection against it. The
  48. first time an infected program is run on or after Oct. 13, the virus will
  49. search through hard drive partitions (C:, then D:, etc.), then the
  50. directories of the A: and B: drives (in that order) for an uninfected COM
  51. file other than COMMAND.COM. It will ignore any COM file with a D as the
  52. seventh letter of its name (as in COMMAND.COM). It will then display the
  53. message: "Datacrime virus released 1 March 1989" and do a low-level
  54. format of cylinder 0 of the hard disk.
  55.  
  56.      Due to mistakes in the code, the system is almost certain to crash if
  57. the DOS critical error handler is called (caused by a disk missing from a
  58. drive, for example). If the computer has an ESDI, RLL, or SCSI
  59. controller, the virus may be unsuccessful in formatting the hard disk.
  60.  
  61.      The effect of this formatting is to wipe out the FAT (file allocation
  62. table) and the root directory, making the disk unreadable, except by
  63. special utilities.
  64.  
  65.      Detection:
  66.  
  67. *   The original version of the Datacrime will not infect files until
  68.     after April 1st of the year (April Fool's Day).
  69.  
  70. *   The virus, depending on its variant, appends itself to .COM files
  71.     (except for COMMAND.COM), increasing the .COM file by either 1168 or
  72.     1280 bytes. In addition, the Datacrime II variant can infect .EXE
  73.     files, increasing their size by 1514 bytes.
  74.  
  75. *   The 1168 byte version contains the hex string EB00B40ECD21B4.
  76.  
  77. *   The 1280 byte version contains the hex string 00568DB43005CD21.  In
  78.     this version, you can also look for this ten-byte hex pattern:
  79.     2E8B36010183EE038BC6. Note: the text message is encrypted, so it can't
  80.     be identified by a text string search or a disk utility.
  81.  
  82.  
  83. ╔════════════════════════════════════════════════════════════════════╗
  84. ║  This document was adapted from the book "Computer Viruses",       ║
  85. ║  which is copyright and distributed by the National Computer       ║
  86. ║  Security Association. It contains information compiled from       ║
  87. ║  many sources. To the best of our knowledge, all information       ║
  88. ║  presented here is accurate.                                       ║
  89. ║                                                                    ║
  90. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  91. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  92. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  93. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  94. ║                                                                    ║
  95. ║  The NCSA is a non-profit organization dedicated to improving      ║
  96. ║  computer security. Membership in the association is just $45 per  ║
  97. ║  year. Copies of the book "Computer Viruses", which provides       ║
  98. ║  detailed information on over 145 viruses, can be obtained from    ║
  99. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  100. ║                                                                    ║
  101. ║            The document is copyright (c) 1990 NCSA.                ║
  102. ║                                                                    ║
  103. ║  This document may be distributed in any format, providing         ║
  104. ║  this message is not removed or altered.                           ║
  105. ╚════════════════════════════════════════════════════════════════════╝
  106.  
  107.