home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa103.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.2 KB  |  84 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │        Palette Virus        │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Zero Bug virus, 1536 virus
  7.  
  8. Date of Origin: September, 1989.
  9.  
  10. Place of Origin: The Netherlands
  11.  
  12. Host Machine: PC compatibles.
  13.  
  14. Host Files: COM files. Memory resident.
  15.  
  16. Increase in Size of Infected Files: 1536 bytes.
  17.  
  18. Detected by: Scanv38+, F-Prot.
  19.  
  20. Removed by: Scan/D, F-Prot, or delete the infected files.
  21.  
  22. Scan Code: EB 2B 90 5A 45 CD 60 2E C6 06 25 06 01 90 2E 80 3E 26 06 00 8D
  23. 3E 08 06 0E 07 75 5E 2E C6 06 26 06 05 90.
  24.  
  25.      This virus infects .COM files, causing them to grow by 1536 bytes,
  26. but its main mission is to infect the copy of COMMAND.COM that is pointed
  27. to by the environment variable COMSPEC. If COMSPEC does not point to
  28. anything useful, the virus will install itself as a resident extension,
  29. taking over INT 21h.
  30.  
  31.      From the moment the virus has infected COMMAND.COM or has installed
  32. itself as a TSR, the virus will intercept DOS INT 21h, function calls 11h
  33. (find first file), 12h (find next file), 57 (get/set file date & time),
  34. 3Eh (close file), 40h (write to file or device) and 3Ch (create file).
  35.  
  36.      All COM files that are accessed via function calls 3Ch, 3Eh and 40h
  37. (by DOS itself or from any other program) will be infected by the virus.
  38. This includes actions like COPY and XCOPY. Any COM file you create by
  39. yourself via a compiler, linker, DEBUG or EXE2BIN will also be infected.
  40.  
  41.      The extra 1536 bytes in infected files will not show up when you
  42. display a directory of your disk. The virus intercepts DOS function
  43. calls Find First, Find Next and Get/Set file date & time. If a COM file
  44. found by these DOS functions has been infected by the virus, the
  45. information in the DTA (Disk Transfer Area) will be changed to show the
  46. actual filesize minus 1536 bytes. DIR and most full-screen file
  47. utilities (Like Norton and PCTOOLS) will be fooled by this trick. This
  48. makes it very hard to detect the virus by simply checking the size of COM
  49. files, because infected files will show up with their ORIGINAL size!
  50.  
  51.      If (and only if) the currently loaded COMMAND.COM is infected, the
  52. virus will also hook the timer interrupt 1Ch. After a while a smiley face
  53. (ASCII character 01) will move over your screen and "eat" all zeroes it
  54. can find. Hence the name "Zero Bug" for this virus. The virus does not
  55. format disks or erase files.
  56.  
  57.      The virus seems not to be spread very widely and may be rather new.
  58.  
  59.  
  60. ╔════════════════════════════════════════════════════════════════════╗
  61. ║  This document was adapted from the book "Computer Viruses",       ║
  62. ║  which is copyright and distributed by the National Computer       ║
  63. ║  Security Association. It contains information compiled from       ║
  64. ║  many sources. To the best of our knowledge, all information       ║
  65. ║  presented here is accurate.                                       ║
  66. ║                                                                    ║
  67. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  68. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  69. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  70. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  71. ║                                                                    ║
  72. ║  The NCSA is a non-profit organization dedicated to improving      ║
  73. ║  computer security. Membership in the association is just $45 per  ║
  74. ║  year. Copies of the book "Computer Viruses", which provides       ║
  75. ║  detailed information on over 145 viruses, can be obtained from    ║
  76. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  77. ║                                                                    ║
  78. ║            The document is copyright (c) 1990 NCSA.                ║
  79. ║                                                                    ║
  80. ║  This document may be distributed in any format, providing         ║
  81. ║  this message is not removed or altered.                           ║
  82. ╚════════════════════════════════════════════════════════════════════╝
  83.  
  84.