home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.c15 < prev    next >
Encoding:
Text File  |  2003-06-11  |  6.9 KB  |  142 lines
  1.  
  2. Received: from nixon.llnl.gov by vax2.cstp.umkc.edu (PMDF #12396) id
  3.  <01GG7DV0JUDCAEL196@vax2.cstp.umkc.edu>; Thu, 6 Feb 1992 16:14 CST
  4. Received: by nixon.llnl.gov (5.57/1.15) id AA14093; Thu, 6 Feb 92 14:11:16 -0800
  5. Received: by  (4.1/SMI-4.1) id AA17189; Thu, 6 Feb 92 14:06:14 PST
  6. Date: Thu, 6 Feb 92 14:06:14 PST
  7. From: karyn@cheetah.llnl.gov (Karyn Pichnarczyk)
  8. Subject: CIAC Bulletin C-15: Michelangelo Virus on MS DOS Computers
  9. To: external@cheetah.llnl.gov
  10. Message-id: <9202062206.AA17189@>
  11.  
  12.  
  13.                NO RESTRICTIONS
  14.           _____________________________________________________
  15.               The Computer Incident Advisory Capability
  16.                           ___  __ __    _     ___
  17.                          /       |     / \   /
  18.                          \___  __|__  /___\  \___
  19.          _____________________________________________________
  20.              Information Bulletin
  21.  
  22.         Michelangelo Virus on MS DOS Computers
  23.  
  24.  
  25. February 6, 1992, 1400 PDT                     Number C-15
  26. _________________________________________________________________________
  27. Name: Michelangelo virus
  28. Platform: MS-DOS computers 
  29. Damage: On March 6 will destroy all files on infected disks and
  30.     diskettes that are accessed.
  31. Symptoms: CHKDSK reports "total bytes memory" 2048 bytes less than
  32.     expected
  33. Detection: DDI Data Physician Plus! v 3.0C, FPROT 2.01, other
  34.     anti-viral packages updated since late September 1991
  35. Eradication: DDI Data Physician Plus! v 3.0C, FPROT 2.01, other
  36.     anti-viral packages updated since late September 1991
  37. _________________________________________________________________________
  38.            Critical Facts about Michelangelo Virus
  39.  
  40. The Michelangelo virus, one of the most widespread viruses among MS
  41. DOS systems, infects the Master Boot Record of hard disks and the boot
  42. sector of floppy disks.  This virus will destroy infected disks on
  43. March 6 (Michelangelo's birthday).  It infects very rapidly and
  44. quietly, usually showing no indication of its presence until a virus
  45. detection utility notes its existence.
  46.  
  47. Infection Mechanism
  48.  
  49. This virus is very similar to the Stoned family of viruses (see CIAC
  50. Bulletin A-28 for a description of the Stoned virus).  When a
  51. Michelangelo-infected diskette is placed in the A: drive and the
  52. machine is booted, the virus is loaded into memory from the infected
  53. floppy disk.  It then quickly infects the machine by moving the hard
  54. disk's original boot sector to another location on the disk, and
  55. installs itself as the boot sector.  From then on, any access to
  56. another disk spreads the virus to that disk.  The disk which infects
  57. the hard disk does NOT have to be a bootable system diskette to spread
  58. the infection.  Also, all boot infector viruses, such as this one, do
  59. NOT affect user files, therefore, a backup prior to eradication will
  60. enable full recovery of all user data and programs.
  61.  
  62. Potential Damage 
  63.  
  64. On March 6 of any year this virus will destroy all data on any disk
  65. from which the machine is booted.  This occurs by overwriting hard
  66. disk sectors 1-17, heads 0-3, tracks 0-255, or the entire diskette
  67. with random characters, thus making recovery questionable at best.
  68. Note that if your hard disk is partitioned and contains another
  69. operating system, such as UNIX, in the area overwritten, that data
  70. will be destroyed as well.  On all other days of the year this virus
  71. lays dormant, merely copying itself to other disks.  The infection
  72. mechanism of this virus may also cause read errors to occur upon some
  73. high density (1.2 M) diskettes.
  74.  
  75. A problem can occur if a disk is infected by both the Michelangelo and
  76. the Stoned viruses AT THE SAME TIME.  Both move the 'original' boot
  77. sector to the same location on the disk, so when the second infection
  78. occurs, the original clean boot sector is destroyed by being
  79. overwritten by the first virus.  CIAC recommends a low-level format of
  80. the disk if this double-infection occurs, although performing the
  81. DOS SYS operation may repair a damaged diskette, and performing the
  82. undocumented FDISK/MBR operation (in DOS 5.0 only) may repair a
  83. damaged hard disk.
  84.  
  85. Detection and Eradication
  86.  
  87. Because the Michelangelo virus has been discovered relatively
  88. recently, only anti-virus products updated since early autumn of 1991
  89. will detect it.  If you suspect your PC has this virus and do not have
  90. an updated version of a virus scanner, running CHKDSK will report a
  91. "total bytes memory" value 2048 bytes less than expected.  For
  92. example, a PC with 640 KBytes of memory will normally return a value
  93. of 655,360 bytes, with Michelangelo that value would be 653,312.  Of
  94. course, having less "total bytes memory" does not necessarily mean a
  95. virus is resident on your machine, as some valid memory resident
  96. programs can affect this value as well.
  97.  
  98. CIAC is aware of at least two publicized cases of this virus being
  99. inadvertently distributed by vendors.  The vendors involved are
  100. Leading Edge and DaVinci Systems; both vendors have made an attempt to
  101. contact all recipients of the software involved.
  102.  
  103. CIAC stresses the importance of checking all incoming diskettes with
  104. an anti-viral utility, such as VIRHUNT from DDI's Data Physician Plus!
  105. package.  CIAC recommends that once a system has had a virus
  106. eradicated, it be powered down.  The computer should then be observed
  107. closely throughout the entire boot-up process.  Another virus scan
  108. should be performed on the machine to ensure that it is devoid of any
  109. virus.
  110.  
  111. For additional information or assistance, please contact CIAC:
  112.  
  113. Karyn Pichnarczyk
  114. (510) 422-1779 or (FTS) 532-1779
  115. karyn@cheetah.llnl.gov
  116.  
  117. (FAX) (510) 423-8002 or (FTS) 543-8002
  118.  
  119. Send e-mail to ciac@llnl.gov or call CIAC at 
  120. (510)422-8193/(FTS)532-8193.
  121.  
  122. PLEASE NOTE: Many users outside of the DOE and ESnet computing
  123. communities receive CIAC bulletins.  If you are not part of these
  124. communities, please contact your agency's response team to report
  125. incidents.  Some of the other teams include the NASA NSI response
  126. team, DARPA's CERT/CC, NAVCIRT, and the Air Force response team.  Your
  127. agency's team will coordinate with CIAC.
  128.  
  129. Neither the United States Government nor the University of California
  130. nor any of their employees, makes any warranty, expressed or implied,
  131. or assumes any legal liability or responsibility for the accuracy,
  132. completeness, or usefulness of any information, product, or process
  133. disclosed, or represents that its use would not infringe privately
  134. owned rights.  Reference herein to any specific commercial products,
  135. process, or service by trade name, trademark manufacturer, or
  136. otherwise, does not necessarily constitute or imply its endorsement,
  137. recommendation, or favoring by the United States Government or the
  138. University of California.  The views and opinions of authors expressed
  139. herein do not necessarily state or reflect those of the United States
  140. Government nor the University of California, and shall not be used for
  141. advertising or product endorsement purposes.