home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa071.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.0 KB  |  82 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │         Icelandic 1         │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Saratoga 1, Icelandic, One in Ten, Disk Crunching Virus.
  7.  
  8. Date of Origin: June, 1989.
  9.  
  10. Place of Origin: Iceland.
  11.  
  12. Host Machine: PC compatibles.
  13.  
  14. Host Files: Remains resident. Infects EXE files.
  15.  
  16. Increase in Size of Infected Files: 642 bytes. A variant adds 656 bytes.
  17. Another grows by 671 bytes. File lengths after infection are divisible
  18. by 16.
  19.  
  20. Nature of Damage: Affects system run-time operation. Corrupts program
  21. files.
  22.  
  23. Detected by: Scanv56+, F-Prot, Pro-Scan.
  24.  
  25. Removed by: CleanUp, Scan/D, or F-Prot.
  26.  
  27. Scan Code: Infected files always end with 44 18 5F 19. You can also
  28. search at offset 0C6H for 2E C6 06 87 02 0A 90 50 53 51.
  29.  
  30.      The Icelandic virus was first detected in June, 1989, disassembled a
  31. week later, and the disassembly was made available around the beginning
  32. of July. The basic Icelandic virus is a resident EXE-file infector that
  33. infects every second EXE file executed, and sometimes will mark a free
  34. cluster on a hard disk as bad (the "damage" routine).
  35.  
  36.      The Icelandic virus will copy itself to the top of free memory the
  37. first time an infected program is executed. Once in high memory, it hides
  38. from memory mapping programs. If a program later tries to write to this
  39. area of memory, the computer will crash. If the virus finds that some
  40. other program has "hooked" Interrupt 13, it will not proceed to infect
  41. programs. If Interrupt 13 has not been "hooked", it will attempt to
  42. infect every 10th program executed.
  43.  
  44.      The virus attaches itself to the end of the programs it infects, and
  45. infected files will always end with "4418,5F19"H.
  46.  
  47.      On systems with 12-bit FATs (floppy drives or 10 MB hard disks), the
  48. virus will not cause any damage. However, on systems with 16-bit FATs
  49. (hard disks larger than 10 MB), the virus will select one unused FAT
  50. entry and mark the entry as a bad sector each time it infects a program.
  51.  
  52.      It is likely that as of this writing, the virus has not been detected
  53. outside of Iceland.  Several variants are known, including Saratoga 2,
  54. Icelandic Virus Version 2, and MIX1. See also the table.<Note: Prepared
  55. by Y. Radai, Hebrew University of Jerusalem.><$&3 Icelandic>
  56.  
  57.  
  58. ╔════════════════════════════════════════════════════════════════════╗
  59. ║  This document was adapted from the book "Computer Viruses",       ║
  60. ║  which is copyright and distributed by the National Computer       ║
  61. ║  Security Association. It contains information compiled from       ║
  62. ║  many sources. To the best of our knowledge, all information       ║
  63. ║  presented here is accurate.                                       ║
  64. ║                                                                    ║
  65. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  66. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  67. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  68. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  69. ║                                                                    ║
  70. ║  The NCSA is a non-profit organization dedicated to improving      ║
  71. ║  computer security. Membership in the association is just $45 per  ║
  72. ║  year. Copies of the book "Computer Viruses", which provides       ║
  73. ║  detailed information on over 145 viruses, can be obtained from    ║
  74. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  75. ║                                                                    ║
  76. ║            The document is copyright (c) 1990 NCSA.                ║
  77. ║                                                                    ║
  78. ║  This document may be distributed in any format, providing         ║
  79. ║  this message is not removed or altered.                           ║
  80. ╚════════════════════════════════════════════════════════════════════╝
  81.  
  82.