home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa134.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.0 KB  |  83 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │           Vacsina           │
  4.                     └─────────────────────────────┘
  5.  
  6. Date of Origin: August, 1989.
  7.  
  8. Place of Origin: Sophia, Bulgaria.
  9.  
  10. Host Machine: PC compatibles.
  11.  
  12. Host Files: Remains resident. Infects COM, EXE, SYS, and BIN files.
  13.  
  14. OnScreen Symptoms: An infected file may beep when executed.
  15.  
  16. Increase in Size of Infected Files: 1206 bytes.
  17.  
  18. Nature of Damage: Affects system run-time operation. Corrupts program or
  19. overlay files.
  20.  
  21. Detected by: Scanv56+, F-Prot.
  22.  
  23. Removed by: CleanUp, Scan/D/A, F-Prot, or delete infected files.
  24.  
  25.      Synonym: TP04VIR virus.
  26.  
  27.      Developed in Sophia, Bulgaria, and possibly first reported by
  28. reported by Chris Fischer in Germany in August, 1989. Vacsina takes over
  29. interrupt 21 and connects to COM and EXE files.  Vacsina works on
  30. PC/MS-DOS ver. 2.0 or higher.  It infects COM files increasing them by
  31. 1206 to 1221 bytes (placing the virus code on a paragraph start).  It
  32. infects EXE files in two passes: After the first pass the EXE file is 132
  33. bytes longer; after the second pass its size increases by an aditional
  34. 1206 to 1221 bytes.  The virus installs a TSR in memory wich will infect
  35. executable files upon loading them (INT 21 subfunction 4B00) using 8208
  36. bytes of memory.
  37.  
  38.      The only "function" found so far is an audible alarm or beep(BELL
  39. character) whenever another file is successfully infected. This suggests
  40. that this virus is a "draft", and more is to come.
  41.  
  42.      Vacsina infects COM files that are bigger than 04B6h bytes and
  43. smaller than F593h bytes and start with a JMP (E9h). Vacsina infects EXE
  44. files if they are smaller than FDB3 bytes (no lower limit).
  45.  
  46.      The virus is named<Note: by Torsten Boerstler, Christoph Fischer and
  47. Rainer Stober of the Micro-BIT Virus Team, University of Karlsruhe, West
  48. Germany.> "vacsina" because it opens a file named VACSINA. It doesn't
  49. check the return status of the open call, and never touches the file
  50. until the end of the virus code, where it closes the file (again ignoring
  51. the return code).  It is believed that vacsina is a prematurely-escaped
  52. virus (or code built to detect viruses), and that the virus programmer
  53. will add some code in a later version of the virus.
  54.  
  55.      To detect the original virus, search for the word VACSINA (all
  56. capitals).
  57.  
  58.  
  59. ╔════════════════════════════════════════════════════════════════════╗
  60. ║  This document was adapted from the book "Computer Viruses",       ║
  61. ║  which is copyright and distributed by the National Computer       ║
  62. ║  Security Association. It contains information compiled from       ║
  63. ║  many sources. To the best of our knowledge, all information       ║
  64. ║  presented here is accurate.                                       ║
  65. ║                                                                    ║
  66. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  67. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  68. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  69. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  70. ║                                                                    ║
  71. ║  The NCSA is a non-profit organization dedicated to improving      ║
  72. ║  computer security. Membership in the association is just $45 per  ║
  73. ║  year. Copies of the book "Computer Viruses", which provides       ║
  74. ║  detailed information on over 145 viruses, can be obtained from    ║
  75. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  76. ║                                                                    ║
  77. ║            The document is copyright (c) 1990 NCSA.                ║
  78. ║                                                                    ║
  79. ║  This document may be distributed in any format, providing         ║
  80. ║  this message is not removed or altered.                           ║
  81. ╚════════════════════════════════════════════════════════════════════╝
  82.  
  83.