home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa095.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.3 KB  |  130 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │            MIX1             │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: MIX/1
  7.  
  8. Date of Origin: First reported on August 22, 1989.
  9.  
  10. Place of Origin: First detected in Israel. May have been written
  11. elsewhere.
  12.  
  13. Host Machine: PC compatibles.
  14.  
  15. Host Files: Remains resident. Infects EXE files larger than 8K only in
  16. one version, 16K in another version.
  17.  
  18. OnScreen Symptoms: You will see a bouncing ball after a crash, which will
  19. occur after the sixth infection. (A variant will not crash the system.)
  20.  
  21. Increase in Size of Infected Files: 1618 bytes.
  22.  
  23. Nature of Damage: Affects system run-time operation. Corrupts program or
  24. overlay files.
  25.  
  26. Detected by: Scanv37+, F-Prot, IBM Scan, Pro-Scan.
  27.  
  28. Removed by: CleanUp, Scan/D, Virus Buster, or F-Prot.
  29.  
  30. Derived from: Icelandic-1.
  31.  
  32. Scan Code: "MIX1" will be the last four bytes of any infected EXE.
  33.  
  34.      MIX1 is a variant of the Icelandic-1 virus, like the Saratoga. The
  35. Icelandic virus was first detected in June, 1989, disassembled a week
  36. later, and the disassembly was made available around the beginning of
  37. July. The MIX1 virus appeared on several BBSs in Israel on August 22, and
  38. may have been written in any country, and then sent via modem to Israeli
  39. boards.
  40.  
  41.      The virus is put at the end of the .EXE file and the header is changed
  42. to point to the virus. Infected files can be manually identified by a
  43. characteristic "MIX1" always being the last 4 bytes of an infected file.
  44. Using Debug, if byte 0:33C equals 77h, then the MIX1 virus is in memory.
  45. EXE file execution through interrupt 21h service 4bh triggers the virus.
  46. The infected .EXE files grow by 1618-1634 bytes, depending on its
  47. original size. It will not infect files smaller than 8K. Once an infected
  48. program is run, the virus occupies 2,048 bytes of memory. 
  49.  
  50.      Some peculiarities include:
  51.  
  52. *   All output through vectors 14h and 17h  -- the serial and parallel
  53.     ports -- is garbled.
  54.  
  55. *   The NumLock key/light stays on.
  56.  
  57. *   After the 6th infection, booting may crash the computer due to a bug,
  58.     and a bouncing ball may appear on the monitor.
  59.  
  60. *   Memory allocation is done through direct MCB control.
  61.  
  62. *   It does not allocate stack space, and therefore makes some files
  63.     unusable.
  64.  
  65. *   It infects only files which are bigger than 16K, which makes
  66.     disassembly very hard.<Note: Portions of the description contributed
  67.     by Yuval Tal.>
  68.  
  69.      The modifications to Icelandic I appear to be intended to fool virus
  70. detection programs. The changes include replacing instructions with
  71. other equivalent ones.  For example,
  72.  
  73. XOR AX,AX
  74.  
  75.      has been replaced with:
  76.  
  77. MOV AX,0000
  78.  
  79.      and
  80.  
  81. MOV ES,AX
  82.  
  83.      has been replaced with:
  84.  
  85. PUSH AX
  86.  
  87. POP ES
  88.  
  89.      Also, NOP instructions have been inserted in several places,
  90. including inside the identification strings used by VIRUSCAN and most
  91. other similar programs. This seems to be a response by virus writers to
  92. anti-virus programs that look for infection by using identification
  93. strings. This method has been used in the '286 variant of the Ping-Pong
  94. virus.
  95.  
  96.      Apart from these changes, parts of the virus are almost identical to
  97. other variants of the Icelandic virus. In the installation part, the
  98. code to check INT 13 has been removed (as in Saratoga and Icelandic-2).
  99.  
  100.      In a variant, the infection routine has been modified to infect every
  101. file (instead of every tenth program run), and to not infect a program
  102. unless it is at least 16K long. A variant of the virus will not crash the
  103. system.
  104.  
  105.  
  106. ╔════════════════════════════════════════════════════════════════════╗
  107. ║  This document was adapted from the book "Computer Viruses",       ║
  108. ║  which is copyright and distributed by the National Computer       ║
  109. ║  Security Association. It contains information compiled from       ║
  110. ║  many sources. To the best of our knowledge, all information       ║
  111. ║  presented here is accurate.                                       ║
  112. ║                                                                    ║
  113. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  114. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  115. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  116. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  117. ║                                                                    ║
  118. ║  The NCSA is a non-profit organization dedicated to improving      ║
  119. ║  computer security. Membership in the association is just $45 per  ║
  120. ║  year. Copies of the book "Computer Viruses", which provides       ║
  121. ║  detailed information on over 145 viruses, can be obtained from    ║
  122. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  123. ║                                                                    ║
  124. ║            The document is copyright (c) 1990 NCSA.                ║
  125. ║                                                                    ║
  126. ║  This document may be distributed in any format, providing         ║
  127. ║  this message is not removed or altered.                           ║
  128. ╚════════════════════════════════════════════════════════════════════╝
  129.  
  130.