home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa062.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.3 KB  |  92 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │          Fu Manchu          │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: 2080, 2086
  7.  
  8. Date of Origin: March 10, 1988.
  9.  
  10. Place of Origin: written by Sax Rohmer.
  11.  
  12. Host Machine: PC compatibles.
  13.  
  14. Host Files: Remains resident. Infects COM, EXE, overlay files.
  15.  
  16. OnScreen Symptoms: You may see the message "You will hear from me again!"
  17.  
  18. Increase in Size of Infected Files: 2086 bytes for COM files, 2080 bytes
  19. for EXE files.
  20.  
  21. Nature of Damage: Affects system run-time operation. Corrupts COM and
  22. EXE files. Some versions corrupt overlay, SYS, and BIN files.
  23.  
  24. Detected by: Scanv56+, F-Prot, IBM Scan, Pro-Scan.
  25.  
  26. Removed by: CleanUp, Scan/D, or F-Prot.
  27.  
  28. Derived from: Jerusalem.
  29.  
  30. Scan Code: encrypted. You may be able to find the marker "sAXrEMHOr" in
  31. infected files. You can also search at offset 1EEH for FC B4 E1 CD 21 80
  32. FC E1 73 16.
  33.  
  34.      The virus occurs attached to the beginning of a COM file, or the end
  35. of an EXE file.  It is a rewritten ("improved") version of the Jerusalem
  36. virus, and most of what is said for that virus applies here with the
  37. following changes:
  38.  
  39. *   The code to delete programs, slow down the machine, and display the
  40.     black window has been removed, as has the dead area at the end of the
  41.     virus and some sections of unused code.
  42.  
  43. *   The marker is now 'rEMHOr' (six bytes), and the preceeding 'sU' is
  44.     now 'sAX' (Sax Rohmer - creator of Fu Manchu).
  45.  
  46. *   COM files now increase in length by 2086 bytes & EXE files 2080 
  47.     bytes.  EXE files are now only infected once.
  48.  
  49. *   One in sixteen times on infection a timer is installed which runs for
  50.     a random number of half-hours (maximum 7.5 hours).  At the end of this
  51.     time the message "The world will hear from me again!" is displayed in
  52.     the center of the screen and the machine reboots.  This message is
  53.     also displayed every time Ctrl-Alt-Del is pressed on an infected
  54.     machine, but the virus does not survive the reboot.
  55.  
  56. *   There is further code which activates on or after the first of August
  57.     1989.  This monitors the keyboard buffer, and makes derogatory
  58.     additions to the names of politicians (Thatcher, Reagan, Botha &
  59.     Waldheim), censors out two four-letter words, and to "Fu Manchu" adds
  60.     "virus 3/10/88 - latest in the new fun line!"  All these additions go
  61.     into the keyboard buffer, so their effect is not restricted to the
  62.     monitor.  All messages are encrypted.
  63.  
  64.      Some versions of this virus can infect overlay, SYS, and BIN files.
  65. It is still rare in the U.S.
  66.  
  67.  
  68. ╔════════════════════════════════════════════════════════════════════╗
  69. ║  This document was adapted from the book "Computer Viruses",       ║
  70. ║  which is copyright and distributed by the National Computer       ║
  71. ║  Security Association. It contains information compiled from       ║
  72. ║  many sources. To the best of our knowledge, all information       ║
  73. ║  presented here is accurate.                                       ║
  74. ║                                                                    ║
  75. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  76. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  77. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  78. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  79. ║                                                                    ║
  80. ║  The NCSA is a non-profit organization dedicated to improving      ║
  81. ║  computer security. Membership in the association is just $45 per  ║
  82. ║  year. Copies of the book "Computer Viruses", which provides       ║
  83. ║  detailed information on over 145 viruses, can be obtained from    ║
  84. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  85. ║                                                                    ║
  86. ║            The document is copyright (c) 1990 NCSA.                ║
  87. ║                                                                    ║
  88. ║  This document may be distributed in any format, providing         ║
  89. ║  this message is not removed or altered.                           ║
  90. ╚════════════════════════════════════════════════════════════════════╝
  91.  
  92.