home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa136.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  3.6 KB  |  78 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │           Vienna            │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Austrian, One in Eight, DOS-62, DOS-68, 648, UNESCO virus.
  7.  
  8. Date of Origin: December, 1987.
  9.  
  10. Place of Origin: Vienna, Austria.
  11.  
  12. Host Machine: PC compatibles.
  13.  
  14. Host Files: COMMAND.COM, COM files.
  15.  
  16. Increase in Size of Infected Files: 648 bytes.
  17.  
  18. Nature of Damage: Corrupts program or overlay files.
  19.  
  20. Detected by: Scanv56+, F-Prot.
  21.  
  22. Removed by: M-VIENNA, CleanUp, VirClean, F-Prot..
  23.  
  24. Scan Code: You can search at offset 005H for 8B F2 83 C6 0A 90 BF 00 01
  25. B9.
  26.  
  27. History: The virus was first detected in Vienna in December, 1987. In
  28. April, 1988, this virus surfaced in Moscow at a children's summer
  29. computer camp run by UNESCO. Someone who didn't know of its prior
  30. existence in Austria gave it the name DOS-62, presumably because its
  31. method of indicating an already infected file is to set the seconds field
  32. of the time entry of the file to 62.<Note: Contributed by Y. Radai.>
  33.  
  34. Description of Operation: This virus is a memory resident virus. It
  35. infects COM files (including COMMAND.COM) as they are loaded and
  36. executed. The infected files increase in size by approximately 648
  37. bytes. Some infected programs will not run.
  38.  
  39.      The first three bytes of the program are stored in the virus, and
  40. replaced by a branch to the beginning of the virus.  The virus looks for,
  41. and infects, one COM file - either in the current directory or in one of
  42. the directories on the PATH.
  43.  
  44.      One in eight files infected does not get a copy of the virus. 
  45. Instead the first five bytes of the program are replaced by a far jump to
  46. the BIOS initialization routine. That is, in one out of eight attempted
  47. infections, the system will perform a warm reboot when the infected
  48. program is run.
  49.  
  50. Removal: To remove the virus, follow the instructions provided for the
  51. Jerusalem virus or run M-VIENNA.
  52.  
  53.  
  54. ╔════════════════════════════════════════════════════════════════════╗
  55. ║  This document was adapted from the book "Computer Viruses",       ║
  56. ║  which is copyright and distributed by the National Computer       ║
  57. ║  Security Association. It contains information compiled from       ║
  58. ║  many sources. To the best of our knowledge, all information       ║
  59. ║  presented here is accurate.                                       ║
  60. ║                                                                    ║
  61. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  62. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  63. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  64. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  65. ║                                                                    ║
  66. ║  The NCSA is a non-profit organization dedicated to improving      ║
  67. ║  computer security. Membership in the association is just $45 per  ║
  68. ║  year. Copies of the book "Computer Viruses", which provides       ║
  69. ║  detailed information on over 145 viruses, can be obtained from    ║
  70. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  71. ║                                                                    ║
  72. ║            The document is copyright (c) 1990 NCSA.                ║
  73. ║                                                                    ║
  74. ║  This document may be distributed in any format, providing         ║
  75. ║  this message is not removed or altered.                           ║
  76. ╚════════════════════════════════════════════════════════════════════╝
  77.  
  78.