home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa088.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  6.9 KB  |  133 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │           Lehigh            │
  4.                     └─────────────────────────────┘
  5.  
  6. Date of Origin: late 1987.
  7.  
  8. Place of Origin: Lehigh University, Pennsylvania.
  9.  
  10. Host Machine: PC compatibles.
  11.  
  12. Host Files: Remains resident. Infects COMMAND.COM.
  13.  
  14. Increase in Size of Infected Files: overwrites files.
  15.  
  16. Nature of Damage: Corrupts program or overlay files. Overwrites the FAT
  17. and boot sector after infecting four floppies.
  18.  
  19. Detected by: Scanv56+, F-Prot, IBM Scan, Pro-Scan.
  20.  
  21. Removed by: CleanUp, or use MDisk and replace COMMAND.COM with a clean
  22. copy, or use F-Prot.
  23.  
  24. Scan Code: 50 53 80 FC 4B 74 08 80 FC 4E 74 03 E9 77 01 8B DA 80 7F 01 3A
  25. 75 05 8A 07 EB 07. You can also search at offset 01CH for B4 19 CD 44 04
  26. 61 1E 51 52 57.
  27.  
  28. History: This is a COMMAND.COM infector that first surfaced at Lehigh
  29. University in late 1987. It is one of the best known of viruses, and
  30. widely discussed and analyzed.  
  31.  
  32. Description of Operation: Infects only COMMAND.COM, where it overwrites
  33. the stack space.  If a disk which contains an uninfected copy of
  34. COMMAND.COM is accessed, that copy is also infected.  A count of
  35. infections is kept within each copy of the virus, and when this count
  36. reaches 4, every disk (including hard disks) currently in the computer
  37. is trashed by overwriting the initial tracks (boot sector & FAT). 
  38. Infection changes the date and time of the infected file.  If a floppy
  39. with an uninfected COMMAND.COM is write-protected, there will be a
  40. "WRITE PROTECT ERROR" message from DOS.
  41.  
  42.      I have reprinted below the warning that Kenneth van Wyk distributed
  43. on this virus.
  44.  
  45.      "WARNING: MS-DOS COMMAND.COM "virus" program will
  46. reformat your disks!!
  47.  
  48.      "Last week, some of our student consultants discovered a virus
  49. program that's been spreading rapidly throughout Lehigh University. I
  50. thought I'd take a few minutes and warn as many of you as possible
  51. about this program since it has the chance of spreading much farther
  52. than just our University. We have no idea where the virus started, but
  53. some users have told me that other universities have recently had
  54. similar problems.
  55.  
  56.      "The virus: the virus itself is contained within the stack space of
  57. COMMAND.COM. When a PC is booted from an infected disk, all a
  58. user need do to spread the virus is to access another disk via TYPE,
  59. COPY, DIR, etc. If the other disk contains COMMAND.COM, the virus
  60. code is copied to the other disk. Then, a counter is incremented on the
  61. parent. When this counter reaches a value of 4, any and every disk in
  62. the PC is erased thoroughly. The boot tracks are nulled, as are the FAT
  63. tables, etc. All Norton's horses couldn't put it back together again... :-)
  64. This affects both floppy and hard disks. Meanwhile, the four children
  65. that were created go on to tell four friends, and then they tell four
  66. friends, and so on, and so on.
  67.  
  68.      "Detection: while this virus appears to be very well written, the
  69. author did leave behind a couple footprints. First, the write date of the
  70. COMMAND.COM changes. Second, if there's a write protect tab on an
  71. uninfected disk, you will get a WRITE PROTECT ERROR... So, boot up
  72. from a suspected virus'd disk and access a write protected disk - if an
  73. error comes up, then you're sure. Note that the length of
  74. COMMAND.COM does not get altered.
  75.  
  76.      "I urge anyone who comes in contact with publicly accessible disks
  77. to periodically check their own disks. Also, exercise safe computing -
  78. always wear a write protect tab.
  79.  
  80.      "This is not a joke. A large percentage of our public site disks has
  81. been gonged by this virus in the last couple days."<Note: Kenneth R. van
  82. Wyk, User Services Senior Consultant, Lehigh University Computing
  83. Center, (215)-758-4988>
  84.  
  85.      The Lehigh original virus has been sporadically reported at dozens
  86. of installations outside of the university for over a year. It is not a
  87. particulary successful replicator <197> probably because of the
  88. extremely short activation fuse - and it is difficult to detect and
  89. report because there are few symptoms prior to activation. But there
  90. should certainly be no surprise that it's in the public domain.
  91.  
  92.      John McAfee has written: "The belief that viruses can be contained by
  93. early counter-action is belied by the Lehigh University experience. I
  94. have spoken to a number of individuals at the University who belived
  95. that the virus had somehow been contained because "no copies of the
  96. virus were distributed to outside organizations". This assumed, of
  97. course, that the original virus writer gave up after being foiled at
  98. Lehigh and did not insert the virus at any other location, and that all
  99. copies of the virus at Lehigh had indeed been accounted for. The first
  100. issue rests solely in the hands of the perpetrator and is beyond any
  101. containment controls. The second issue relies on an error-free
  102. containment process - allowing no possibility for overlooking, losing or
  103. mistaking an infected diskette. In any case, the Lehigh virus was by no
  104. means contained. I received a copy, as did virtually every virus
  105. researcher, in mid-1988, and infection reports issued throughout the
  106. year from universities, corporations and individual computer users."
  107.  
  108.  
  109. ╔════════════════════════════════════════════════════════════════════╗
  110. ║  This document was adapted from the book "Computer Viruses",       ║
  111. ║  which is copyright and distributed by the National Computer       ║
  112. ║  Security Association. It contains information compiled from       ║
  113. ║  many sources. To the best of our knowledge, all information       ║
  114. ║  presented here is accurate.                                       ║
  115. ║                                                                    ║
  116. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  117. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  118. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  119. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  120. ║                                                                    ║
  121. ║  The NCSA is a non-profit organization dedicated to improving      ║
  122. ║  computer security. Membership in the association is just $45 per  ║
  123. ║  year. Copies of the book "Computer Viruses", which provides       ║
  124. ║  detailed information on over 145 viruses, can be obtained from    ║
  125. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  126. ║                                                                    ║
  127. ║            The document is copyright (c) 1990 NCSA.                ║
  128. ║                                                                    ║
  129. ║  This document may be distributed in any format, providing         ║
  130. ║  this message is not removed or altered.                           ║
  131. ╚════════════════════════════════════════════════════════════════════╝
  132.  
  133.