home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa118.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.2 KB  |  104 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │            Swap             │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Israeli Boot, Falling Letters Boot, Fat 12
  7.  
  8. Date of Origin: August, 1989.
  9.  
  10. Place of Origin: Israel.
  11.  
  12. Host Machine: PC compatibles.
  13.  
  14. Host Files: Remains resident. Infects floppy disk boot sector.
  15.  
  16. OnScreen Symptoms: Cascading letters on screen 10 minutes after
  17. activation.
  18.  
  19. Increase in Size of Infected Files: n/a. The virus code is 740 bytes. It
  20. uses 2K of memory, once resident.
  21.  
  22. Nature of Damage: Corrupts or overwrites boot sector.
  23.  
  24. Detected by: Scanv56+, F-Prot, IBM Scan.
  25.  
  26. Removed by: MDisk, CleanUp, F-Prot, or the DOS SYS command.
  27.  
  28.      First studied by Yuval Tal of Israel, and called "the swap virus"
  29. because the message "The Swapping-Virus..." sometimes appears in it and
  30. the words "SWAP VIRUS FAT12" appeared in a modified boot sector on his
  31. disk.  Other virus researchers cannot see how the virus would produce
  32. this code, and have suggested that Mr. Tal placed the words there
  33. himself, to help him identify the virus.  Since the other researchers
  34. haven't found the word "SWAP" anywhere, they have argued against the
  35. name "Swap", but no one has come up with a better one.  "Israeli boot
  36. virus" will suffice only until there is a second virus from Israel that
  37. infects the boot sector (3-4 minutes from now, at the rate we're going!).
  38.  
  39.      At any rate, this virus may write the following string into bytes
  40. B7-E4 of track 39, sector 7 (if sectors 6 and 7 are empty):
  41.  
  42. The Swapping-Virus. (C) June, 1989 by the CIA
  43.  
  44.      When this virus replicates, however, the message transfers as binary
  45. zeros. Someone may have placed the text message into the virus thinking
  46. that it would replicate along with the virus.
  47.  
  48.      The Swap virus is somewhat different from other PC boot sector
  49. viruses. Normally a BSV replaces the boot sector with virus code, and
  50. stores the original boot sector somewhere. In some cases (Ping-Pong,
  51. Typo, Brain) the boot sector is stored in unused space, which is then
  52. marked as bad in the FAT. In other cases (Yale, Den Zuk, StonedDen Zuk
  53. virus), the virus stores the boot sector in a sector that is not likely
  54. to be used. One virus (Pentagon) even stores the boot sector in a hidden
  55. file.
  56.  
  57.      When the computer is booted from a disk infected with the a normal
  58. boot sector infecting virus, the code on the boot sector will read the
  59. rest of the virus into memory. The virus will then install itself, read
  60. the original boot sector and transfer control to it.
  61.  
  62.      Swap is different.  It does not store the original boot sector at
  63. all. Instead it assumes that bytes 196-1B4 (hex) on the boot sector
  64. contain error messages that can be safely overwritten. This is true for
  65. most (but not all) boot sectors. It also assumes that the boot sector
  66. starts with a JMP instruction.  Swap then replaces these bytes with code
  67. to read the rest of the virus (which is stored at track 39, sectors 6 and
  68. 7) into memory. The virus will then execute the original boot code.  The
  69. fact that this virus does not store the original boot sector makes it
  70. hard (and in some cases impossible) to repair an infected
  71. diskette.<Note: Some of this information was provided by Fridrik
  72. Skulason of the University of Iceland.>
  73.  
  74.      The Swap virus activates after being memory resident for 10 minutes.
  75. A cascading effect of letters and characters on the system monitor is
  76. then seen, similar to the cascading effect of the Cascade and Traceback
  77. viruses.
  78.  
  79.  
  80. ╔════════════════════════════════════════════════════════════════════╗
  81. ║  This document was adapted from the book "Computer Viruses",       ║
  82. ║  which is copyright and distributed by the National Computer       ║
  83. ║  Security Association. It contains information compiled from       ║
  84. ║  many sources. To the best of our knowledge, all information       ║
  85. ║  presented here is accurate.                                       ║
  86. ║                                                                    ║
  87. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  88. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  89. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  90. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  91. ║                                                                    ║
  92. ║  The NCSA is a non-profit organization dedicated to improving      ║
  93. ║  computer security. Membership in the association is just $45 per  ║
  94. ║  year. Copies of the book "Computer Viruses", which provides       ║
  95. ║  detailed information on over 145 viruses, can be obtained from    ║
  96. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  97. ║                                                                    ║
  98. ║            The document is copyright (c) 1990 NCSA.                ║
  99. ║                                                                    ║
  100. ║  This document may be distributed in any format, providing         ║
  101. ║  this message is not removed or altered.                           ║
  102. ╚════════════════════════════════════════════════════════════════════╝
  103.  
  104.