home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 345.21A04.TXT < prev    next >
Text File  |  1993-01-31  |  7KB  |  163 lines
  1. 21A04.TXT - Description file for 21A04.DEF
  2. AntiVirus Lab, SYMANTEC/Peter Norton Product Group
  3. February 1, 1993
  4. ******************************************************************
  5.  
  6. Instructions for loading virus definitions, using Norton AntiVirus
  7. 2.1:
  8.  
  9. 1)   Run Virus Clinic by typing NAV at the DOS prompt or clicking
  10. on the NAV Icon from within Windows.
  11.  
  12. 2)   Select "Cancel," or press <Esc> to bypass the "Scan Drives"
  13. Screen.
  14.  
  15. 3)   Select the "Definitions" menu.
  16.  
  17. 4)   Select "Load from File..."
  18.  
  19. 5)   If the name of the drive and directory to which you loaded the
  20. definition file does not appear on the "Directory:" line, change to
  21. the proper drive and directory.  The name of the definition file
  22. should appear in the "Files" window.
  23.  
  24. 6)   Select the definition file, click "OK," or press <Enter>.
  25.  
  26. 7)   After the definitions have loaded, press <Enter> to exit from the
  27. "Load Definition File Results" screen.
  28.  
  29. 8)   Select "Exit" from the "Scan" menu.
  30.  
  31. 9)  Reboot your computer to activate the new definitions.
  32.  
  33. ******************************************************************
  34.  
  35. Note for users who are not updated through Corporate Channels:
  36.  
  37. If you experience MtE problems, please download the patch file,
  38. PTCH1A.ZIP, unzip the file, follow the instructions in included
  39. in the readme file, then load these definitions again.
  40.  
  41. ******************************************************************
  42.  
  43. In our effort to merge the industry to standards, we have chosen to
  44. follow the naming conventions established by CARO, the Computer Anomoly
  45. Research Organization.    In future months, we will be slowly changing the
  46. virus names in the NAV product to more closely resemble names established
  47. by CARO.
  48.  
  49. In this update, the following name changes occur:
  50.  
  51. Old name            New Name
  52. --------            --------
  53. Christmas in Japan        Japanese Christmas
  54. Agiplan             Month 4-6
  55. Manta                VCS
  56. Jerusalem-Related-2        Jerusalem-2
  57. Manola                Manuel
  58. MFace                Multiface
  59. Newcom                YD-44.Login
  60. Smobla                Vienna (Sicilian Mob 1a)
  61. Pisselo             Pisello
  62. Taiwan-3            Anticad 2
  63. Rocko                Rock Steady
  64. UNK                Kiss
  65. Invol                Involuntary
  66. DiskInfect            Quox
  67. Gnose                Necros
  68.  
  69. -----
  70.  
  71. Exebug
  72. Exebug is a memory resident infector of floppy diskette boot sectors
  73. and hard disk master boot records.  The original boot sectors will be
  74. stored in encrypted form elsewhere on the disk, depending on the disk
  75. type.  And the disk boot sector will now be replaced by the viral boot
  76. sector which will not be a legal MBR!  It is a very complicated virus.
  77. If you are infected with Exebug, all attempts to read the boot sector
  78. will be redirected to the correct version of the boot sector.  As a
  79. result, your system will seem to be unaffected.  The only way to detect
  80. the virus when infected is by its memory signature.
  81.  
  82. Exebug steals 1K of memory from the 640K mark.    Thus infected systems
  83. will show 1K less memory available than normal.  The virus will alter
  84. the CMOS configuration of the system to report that there is no A:
  85. drive.    On some systems, this alteration causes the system to always
  86. boot first from the C: drive.  Thus, on those systems, the virus will
  87. get into memory first.    The virus, understanding that a user just
  88. attempted to reboot, will then simulate the booting process from A:
  89. but it will already be in memory.
  90.  
  91. Fortunately, the Exebug virus is only known to be in the wild in South
  92. Africa and neighboring locations.  If you discover that you are infected
  93. by this virus, please call our Technical Support for instructions on how
  94. to remove the virus.
  95.  
  96. Apart from these technical complications, the virus does not intentionally
  97. damage the computer.  Sector 7 of the hard disk boot track or a sector on
  98. track 0 of floppies is used to store the original boot sector.    Thus, it
  99. might overwrite information.
  100.  
  101. -----
  102.  
  103. Kilroy
  104. Kilroy is a very simple boot sector infector.  It is from the book,
  105. "The Little Black Book of Viruses."  It is not believed to be in the wild.
  106. However, as some people have the book and might be mischieviously playing
  107. with its instructions, we provide it to make sure those people do not
  108. mistakenly put it into the wild.  The virus displays "Kilroy was here!"
  109. when booted from an infected diskette.
  110.  
  111. _____
  112.  
  113. Vienna-629
  114. Vienna-629 is a strain of the Vienna family of viruses.  It is a direct
  115. action infector of COM files.  On each execution of an infected file,
  116. another COM file in the current directory is found and infected.  Files
  117. with the read-only bit set do not affect the decision criteria.  Not all
  118. files COM files will be infected as some may randomly match the virus'
  119. self check against reinfection.  Infected files will grow by 629 bytes.
  120. On random occasions, instead of a size increase, the virus will instead
  121. destroy the file by overwriting the first 5 bytes with garbage.  The
  122. files which have grown by 629 bytes are repairable by NAV.  Those files
  123. which have been overwritten are not.
  124.  
  125. -----
  126.  
  127. Jerusalem (Pipi)
  128. Jerusalem (Pipi) is another strain in the Jerusalem family of viruses.
  129. It is a memory resident infector of COM and EXE files.    For COM files, it
  130. prepends itself into the file.    In EXE files, it appends itself to the
  131. file.  The memory resident portion of the virus uses 2K of memory but
  132. CHKDSK will not show any memory deficiency.  Files are infected when
  133. executed once the virus is in memory.  Infected files grow by approximately
  134. 1550 (1552) bytes.  Infected files will also have their file timestamps
  135. altered to that of the time of infection.
  136.  
  137. The virus intercepts INT 21H and INT 1CH.  INT 21H is the primary DOS
  138. interrupt and is used by the virus to replicate.  INT 1CH is the timer
  139. tick interrupt and used by the virus to determine when to display a
  140. message on the screen.
  141.  
  142. This virus, like many of the memory resident types in the Jerusalem
  143. family, has conflicts with the Novell network environment and may crash
  144. such systems.
  145.  
  146. -----
  147.  
  148. Michelangelo 5/26
  149. This virus is a third strain of the well known Michelangelo virus.  It
  150. has been slightly altered from the original Michelangelo virus.  One of
  151. the things that was altered was the activation date.  This strain
  152. activates on May 26th.    Otherwise, it has all the same characteristics
  153. as the other Michelangelo viruses.
  154.  
  155. -----
  156.  
  157. (Note: File size growth is given in approximate numbers.  If a number is
  158. enclosed in parentheses, that number would be the growth of one of the more
  159. common variants.  As it is too easy for a virus writer to alter this number
  160. without changing the virus significantly, do not depend on the more precise
  161. number.  It is provided for your confidence should you encounter it, which
  162. we hope never happens.)
  163.