home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa132.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.0 KB  |  85 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │     Typo (COM infector)     │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Fumble virus, 867 virus
  7.  
  8. Date of Origin: summer, 1989.
  9.  
  10. Place of Origin: Israel.
  11.  
  12. Host Machine: PC compatibles.
  13.  
  14. Host Files: Remains resident. Infects COM files.
  15.  
  16. Increase in Size of Infected Files: 867 bytes.
  17.  
  18. Nature of Damage: Affects system run-time operation; corrupts program or
  19. overlay files.
  20.  
  21. Detected by: Scanv48+, F-Prot, IBM Scan, Pro-Scan.
  22.  
  23. Removed by: CleanUp, Scan/D, F-Prot, or delete infected files.
  24.  
  25.      First detected in Israel during the summer of 1989 (Some experts
  26. attribute first detection to Joe Hirst of Brighton, U.K., in November,
  27. 1989.) It creates errors in printouts, by (sometimes) replacing some
  28. characters or digits.  It is closely related to the Ping-Pong or Italian
  29. virus, which is one of the most common viruses. In fact, the viruses are
  30. so similar that some anti-virus programs even identify Typo as the
  31. Italian virus. This is not so surprising, since the boot sectors are
  32. almost identical. The differences between the boot sectors are:
  33.  
  34. *   Some local variables have been moved. For example, the word
  35.     containing the location of the original boot sector is now located
  36.     two bytes earlier than before.
  37.  
  38. *   The signature (two bytes that the virus uses to see if a diskette has
  39.     already been infected) has been changed.
  40.  
  41. *   The activation times have been changed. Ping-Pong had an "activation
  42.     window" (a second or so long) every half hour. Typo will become active
  43.     112.5 seconds after power-on, and will stay active most of the time.
  44.  
  45. *   The major differences between the two viruses are in the other part
  46.     of the virus code, which is not stored in the boot sector, but in the
  47.     cluster the viruses mark as "bad" in the FAT.
  48.  
  49.      Of course, there are quite a few interesting things the viruses have
  50. in common.  For instance, Typo contains the same "bug" as Ping-Pong does,
  51. that prevents it from working on '286 and '386 machines.
  52.  
  53.      It is possible to remove Typo with some programs designed to remove
  54. Ping-Pong.  Since the signature is stored in the same place on both
  55. viruses, it is possible to inoculate diskettes against one of them, but
  56. not both.
  57.  
  58.      Typo will only infect COM files on even-numbered days.
  59.  
  60.  
  61. ╔════════════════════════════════════════════════════════════════════╗
  62. ║  This document was adapted from the book "Computer Viruses",       ║
  63. ║  which is copyright and distributed by the National Computer       ║
  64. ║  Security Association. It contains information compiled from       ║
  65. ║  many sources. To the best of our knowledge, all information       ║
  66. ║  presented here is accurate.                                       ║
  67. ║                                                                    ║
  68. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  69. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  70. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  71. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  72. ║                                                                    ║
  73. ║  The NCSA is a non-profit organization dedicated to improving      ║
  74. ║  computer security. Membership in the association is just $45 per  ║
  75. ║  year. Copies of the book "Computer Viruses", which provides       ║
  76. ║  detailed information on over 145 viruses, can be obtained from    ║
  77. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  78. ║                                                                    ║
  79. ║            The document is copyright (c) 1990 NCSA.                ║
  80. ║                                                                    ║
  81. ║  This document may be distributed in any format, providing         ║
  82. ║  this message is not removed or altered.                           ║
  83. ╚════════════════════════════════════════════════════════════════════╝
  84.  
  85.