home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa075.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.3 KB  |  87 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │        Italian Virus        │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Bouncing Ball, Vera Cruz, Ping-Pong, Bouncing Dot, Missouri
  7. virus.
  8.  
  9. Date of Origin: March, 1988.
  10.  
  11. Host Machine: PC compatibles. Original version won't infect 80286 or
  12. 80386 computers or hard disks.
  13.  
  14. Host Files: Remains resident. Infects boot sector on any disk with at
  15. least two sectors per cluster.
  16.  
  17. OnScreen Symptoms: A bouncing ball or dot may appear on the screen upon
  18. activation.
  19.  
  20. Increase in Size of Infected Files: n/a.
  21.  
  22. Nature of Damage: Affects system run-time operation. Corrupts or
  23. overwrites boot sector. Does no apparent damage.
  24.  
  25. Detected by: Scanv56+, F-Prot, IBM Scan.
  26.  
  27. Removed by: CleanUp, MDisk, F-Prot, or DOS SYS command.
  28.  
  29. Scan Code: 8E D8 A1 13 04 2D 02 00 A3 13 04 B1 06 D3 E0 2D C0 07 8E C0 BE
  30. 00 7C 8B FE B9 00. You can also search at offset 07CH for C7 06 4C 00 D0
  31. 7C 8C 0E 4E 00.
  32.  
  33. Description of Operation: This is a boot sector virus. Some forms infect
  34. only floppies, others will also infect the boot sector of hard disks. 
  35. This virus consists of a boot sector and 1 cluster (2 sectors used)
  36. marked as bad in the first copy of the FAT.  The first of these sectors
  37. contains the rest of the virus, and the second contains the original boot
  38. sector.  It infects all disks which have at least two sectors per
  39. cluster, and it occupies 2K of memory.
  40.  
  41.      When this virus activates (randomly) a bouncing dot/bouncing diamond
  42. (ASCII 4) /bouncing smiley face (ASCII 2)<Note: Depends on the strain
  43. which is running. There are at least three strains.> appears on the
  44. screen and can only be removed through reboot. The virus can be triggered
  45. by a disk access, should one occur during a one second window that occurs
  46. about every half hour. When triggered, the dot bounces off the edges of
  47. the screen, and passes through any text, with replacement after it. 
  48. Sometime, this doesn't work properly, the bouncing character interacts
  49. with the characters on the screen, and screen displays are messed up. 
  50. Infected diskettes have 1K in bad sectors, infected hard disks have 2K
  51. (and other numbers of bad sectors are possible).  No known intentional
  52. damage. Unintentional damage - the two copies of the FAT are left
  53. different; DOS might not like this.  Attempts to infect diskettes slows
  54. them down, and some computers won't read floppies, due to time-outs.  No
  55. other damage is done.
  56.  
  57. Recovery: Recover by powering down the system, and then using a
  58. write-protected DOS disk to boot.  Use the SYS command from the floppy to
  59. attempt to re-create a good boot sector.  Alternatively, use the program
  60. MD.
  61.  
  62.  
  63. ╔════════════════════════════════════════════════════════════════════╗
  64. ║  This document was adapted from the book "Computer Viruses",       ║
  65. ║  which is copyright and distributed by the National Computer       ║
  66. ║  Security Association. It contains information compiled from       ║
  67. ║  many sources. To the best of our knowledge, all information       ║
  68. ║  presented here is accurate.                                       ║
  69. ║                                                                    ║
  70. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  71. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  72. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  73. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  74. ║                                                                    ║
  75. ║  The NCSA is a non-profit organization dedicated to improving      ║
  76. ║  computer security. Membership in the association is just $45 per  ║
  77. ║  year. Copies of the book "Computer Viruses", which provides       ║
  78. ║  detailed information on over 145 viruses, can be obtained from    ║
  79. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  80. ║                                                                    ║
  81. ║            The document is copyright (c) 1990 NCSA.                ║
  82. ║                                                                    ║
  83. ║  This document may be distributed in any format, providing         ║
  84. ║  this message is not removed or altered.                           ║
  85. ╚════════════════════════════════════════════════════════════════════╝
  86.  
  87.