home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa055.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.0 KB  |  101 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │         Disk Killer         │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Ogre, Disk Ogre, Computer Ogre.
  7.  
  8. Date of Origin: Spring, 1989.
  9.  
  10. Host Machine: PC compatibles.
  11.  
  12. Host Files: Remains resident. Infects both floppy and hard disk boot
  13. sectors.
  14.  
  15. Increase in Size of Infected Files: n/a.
  16.  
  17. Nature of Damage: Corrupts or overwrites boot sector. Affects system
  18. run-time operation. Corrupts program or overlay files. Corrupts data
  19. files. Formats or erases all/part of disk.
  20.  
  21. Detected by: Scanv39+, F-Prot, IBM Scan, Pro-Scan.
  22.  
  23. Removed by: MDISK, CleanUp, F-Prot, or DOS COPY and SYS commands.
  24.  
  25.      The Disk Killer is a boot sector virus that infects both hard disks
  26. and floppies.
  27.  
  28.      The first organization to report this virus was Birchwood systems in
  29. San Jose in early Summer, 1989. Additional reports were received from
  30. Washington, Oklahoma, Minnesota and Arizona. It was finally isolated at
  31. Wedge Systems in Milpitas, California. Disk Killer was isolated on
  32. September 26, 1989. 
  33.  
  34.      The virus spreads by writing copies of itself to three unused
  35. clusters on either a floppy or hard disk, marking them as "bad" in the
  36. FAT to prevent overwriting. The boot sector is modified to execute the
  37. virus code during the boot, permitting it to infect any new disks exposed
  38. to the system.
  39.  
  40.      The virus counts the number of disks it has infected and does no harm
  41. until it has reached a predetermined limit. When the limit is reached or
  42. exceeded and the system is rebooted, this message is displayed:
  43.  
  44. "Disk Killer <197> Version 1.00 by COMPUTER OGRE. Don't turn off the
  45. power or remove the diskettes while Disk Killer is processing! ...
  46. PROCESSING ... Now you can turn off the power. I wish you luck."
  47.  
  48.      During "processing", it writes clusters of a single character
  49. randomly all over the disk, effectively trashing it.
  50.  
  51.      Note that when the message is displayed, if the system is turned off
  52. immediately it may be possible to salvage some files on the disk using
  53. various utility programs, as this virus first destroys the boot sector,
  54. FATs, and root directory.
  55.  
  56.      The internal messages do not appear in sector zero, but are stored in
  57. sector 152 on floppy disks and an as yet undetermined location on hard
  58. disks. This had always added to the confusion over the virus because
  59. message remnants were sometimes discovered in the middle of executable
  60. files, and it was assumed that the virus was a COM or EXE infector. 
  61.  
  62.      If your boot sector does not contain the standard DOS error messages,
  63. then immediately power down and clean out the boot. Infected boot
  64. sectors begin with FAEB. You can check boot sectors with a tool such as
  65. Norton's NU. If the DOS messages are not there (non-system disk; etc.),
  66. then the system is infected. MDISK will remove the virus.
  67.  
  68.      Disk Killer can be removed by using MDisk, or the DOS SYS command, to
  69. overwrite the boot sector on your hard disk or bootable floppies. On
  70. non-system floppies, files can be copied to non-infected floppies,
  71. followed by reformatting the infected floppies. Be sure to turn the
  72. system off, then reboot the system from a write-protected master
  73. diskette before attempting to remove the virus, or you will be
  74. reinfected by the virus in memory.
  75.  
  76.  
  77. ╔════════════════════════════════════════════════════════════════════╗
  78. ║  This document was adapted from the book "Computer Viruses",       ║
  79. ║  which is copyright and distributed by the National Computer       ║
  80. ║  Security Association. It contains information compiled from       ║
  81. ║  many sources. To the best of our knowledge, all information       ║
  82. ║  presented here is accurate.                                       ║
  83. ║                                                                    ║
  84. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  85. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  86. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  87. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  88. ║                                                                    ║
  89. ║  The NCSA is a non-profit organization dedicated to improving      ║
  90. ║  computer security. Membership in the association is just $45 per  ║
  91. ║  year. Copies of the book "Computer Viruses", which provides       ║
  92. ║  detailed information on over 145 viruses, can be obtained from    ║
  93. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  94. ║                                                                    ║
  95. ║            The document is copyright (c) 1990 NCSA.                ║
  96. ║                                                                    ║
  97. ║  This document may be distributed in any format, providing         ║
  98. ║  this message is not removed or altered.                           ║
  99. ╚════════════════════════════════════════════════════════════════════╝
  100.  
  101.