home *** CD-ROM | disk | FTP | other *** search

---

/ Simtel MSDOS 1992 December / simtel1292_SIMTEL_1292_Walnut_Creek.iso / msdos / trojnpro / find1701.arc / 1701-VIR

next >

Wrap

Text File  |  1989-05-20  |  12KB  |  209 lines

---

1. =============================================================================
2.                       THE  "1701 VIRUS" IS *VERY* REAL
3. =============================================================================
4.  
5. May 16, 1989
6.  
7. One of my callers sent me a real live virus (I knew about it ahead of
8. time) and it is a doozie.  It's called WOW, WOWTITLE, and apparantly
9. some other names.  It is nothing but an ANSI screen that jiggles a bit,
10. and does some other nonsense stuff, but while it is doing this, it is
11. attaching itself to COMMAND.COM or the next .COM file that you run. It
12. appears to be a TSR that remains in memory after it is first run. After
13. it has run once, every single .COM program you run after that will become
14. infected, by the virus inserting itself in the .COM program and it makes
15. it *exactly* 1,701 bytes larger. For those of you that know your hardware
16. errors, you know that a 1701 error means "hard disk failure" and that is
17. what I expect this to do at some point in time. I think that this is more
18. than coincidence so that's what I'll refer to it from now on.
19.  
20. Since I knew all of this before I ran it, I decided to do a little bit of
21. tinkering. Changed the Boot Record on the hard disk to look for something
22. other than IBMBIOS.COM & IBMDOS.COM. Changed the system files so they
23. wouldn't look for COMMAND.COM, but some another name. Marked all of the
24. .COM and .EXE files read only, and fired it up. Sure enough it found
25. ALSCOMM.COM (as I renamed it) infected it, and when I ran any .COM program
26. they also got infected.  It appears that it looks for some sort of pattern
27. contained in COMMAND.COM and then goes for that file, no matter what the
28. name is.  I even set the COMSPEC variable to point to COMMAND.COM and
29. while other programs that read this variable, couldn't shell out to DOS
30. because it wasn't there, this little critter found it, no problem. It
31. appears that COMMAND.COM (or whatever you try to rename it to) does the
32. damage, because I copied a good copy of COMMAND.COM over the infected
33. one, and then ran the infected programs, along with some that hadn't
34. become infected, and no problems appeared. But after running WOW again
35. it infected COMMAND.COM once more, and after that every .COM program I
36. ran got infected. If you run accross this virus, I'd suggest that you
37. erase your copy of COMMAND.COM, do a cold re-boot, and then re-copy a
38. good copy of COMMAND.COM back to your hard disk. I would suggest that
39. you run a group of programs, Edlin, etc. and note the sizes before you
40. run them, and after.  If you've run some programs after you run this
41. little critter, they are all probably infected. I wanted to capture a
42. screen image but it is all graphics, so I couldn't do it with any of
43. the programs that I had.
44.  
45. The image is just one screenful, and it kinda looks like this:
46.  
47.                      "The Wizards of Warez"
48.                       in assocoation with
49.                          the copycats
50.                       the Pirates Unlimited
51.                             OUTRUN
52.  
53.               some other messages on who hacked this etc.
54.  
55. WOW (in the lower left hand corner)  (lower right hand corner)---1989
56.  
57. Since this is a TSR, and since it has already found and gotten through
58. my security measures, I see no reason that it couldn't get into DSZ,
59. which it has, and be transmitted from one BBS to another. I haven't tried
60. this yet, but will in the near future. All of the infected programs run
61. just fine, and show no changes whatever, except getting 1,701 bytes larger,
62. from before they were infected. As far as to just what this virus does,
63. from a damage standpoint, I have to say, nothing so far, but I'm going to
64. let it run for a bit to see what it does when some more of the files on my
65. other computer get infected. All it does so far it to just alter file sizes,
66. but it doesn't change the time or date. It doesn't matter whether the file
67. is marked read only either. Other than changing file sizes, is all that it
68. does so far....But any program that can do that to "read only" files, and
69. does it exactly 1,701 bytes, is up to something. Just what that something
70. is, is not known at this time.
71.  
72. Once discovered it is simple, if not time consuming, to get rid of. All
73. you have to do is to isolate all of the .COM files you have and replace
74. them with ones from your backups. Once you do this, it is gone, but if
75. you forget just one of them, and then you run that program, it will start
76. all over again.
77.  
78. It seems to only affect .COM files, not .EXE files, or any other that I
79. could discover. It doesn't seem to alter the system files, but it wouldn't
80. hurt to replace them as well. But BE SURE that you aren't replacing them
81. with infected files. I missed one file, and in 20 minutes I had re-infected
82. 25 files all over again.  It only takes one.
83.  
84. For you Doubting Thomas' out there, here is a list of just some of the
85. files that were infected on my other computer (not the BBS!)
86.  
87.                 COMMAND  COM    25332  12-31-87  12:00p
88.                 COMMAND  VIR    27033  12-31-87  12:00p
89.                 COMMO    VIR    19761   5-08-89   7:13p
90.                 COMMO    COM    18060   5-08-89   7:13p
91.                 HGCIBM   VIR     8386   1-01-01   1:01a
92.                 HGCIBM   COM     6685   1-01-01   1:01a
93.                 EDLIN    VIR     9196  12-31-87  12:00p
94.                 EDLIN    COM     7495  12-31-87  12:00p
95.                 DSZ      VIR    53863   5-07-89   5:09p
96.                 DSZ      COM    52162   5-07-89   5:09p
97.                 CLOCK    VIR     2725   1-01-01   1:01a
98.                 CLOCK    COM     1024   1-01-01   1:01a
99.                 CAPSRLSE COM     1327   4-16-89  12:00p
100.                 CAPSRLSE VIR     3028   4-16-89  12:00p
101.                 HUSH     VIR     1707   1-01-01   1:01a
102.                 HUSH     COM        6   1-01-01   1:01a
103.                 HOTKEY   VIR     2182   1-22-87  11:10a
104.                 HOTKEY   COM      481   1-22-87  11:10a
105.                 CED      VIR     8857  12-06-85   1:18p
106.                 CED      COM     7156  12-06-85   1:18p
107.                 SKN      VIR    35710  11-26-88  10:25a
108.                 SKN      COM    34009  11-26-88  10:25a
109.  
110. I've renamed the infected .COM programs to .VIR and they were all taken
111. from my hard disk after I ran the program. As you can see this is a wide
112. variety of programs from Sidekick to Edlin. All of them worked perfectly
113. after the infection, so there is really no way to tell if something is
114. wrong or not.
115.  
116. What's the bottom line of all of this??  Well, to be honest, I just don't
117. really know.  But one thing that I *do* know is, that something is going
118. on that shouldn't be going on. On top of that, there is no way I can see
119. to stop it from doing its thing, once it has started, *unless* you know
120. what the symptoms are.
121.  
122. Maybe all this thing does is change the file size in the directory, by
123. 1,701 bytes, and that's all.  But I kinda think that my other computer
124. is about to have something go very wrong at some point in time, and since
125. the programs all run just fine, I could have copied them and given them
126. to others not knowing the problem even existed.  If you have seen this
127. program, or know sombody that has, just pass on this message to them,
128. and hope that all the program does, is to change the file size and that's
129. all.
130.  
131.  
132. ==============
133.  May 17, 1989
134. ==============
135.  
136. I've been doing some more experimenting and have discovered that the virus
137. not only attaches itself to .COM files, in some cases it will actually
138. alter the files themselves.  I have a file HUSH.COM that quiets down the
139. floppy drives, and it is only a 7 byte file, but ends up a 1,708 byte file
140. after infection. As you can imagine it is pretty easy to compare the
141. original file with the infected one. To my surprise the original code of
142. the program had been altered, but it still worked !
143.  
144. I started to take a closer look at the files with LIST, (yes it got 1,701
145. bytes larger) and discovered what might be considered a "signature" of
146. this particular virus. There is a string    141$FLu   that seems to be
147. a good way to know if you have been infected. None of the original files
148. had it, and all of the larger ones did. I checked my BBS working C: and
149. that particular string wasn't found anywhere, so it might be a good way
150. to identify it. There are many utilties that will search the disk for
151. strings. I'd suggest that you get one of them and run it on your entrie
152. disk. If you get a "hit", you should erase the offending file, and replace
153. it with one that you know to be OK. Just compare the file sizes. If the one
154. on your hard disk is 1,701 bytes larger than the one on your backup, then
155. you are in for some fun.
156.  
157. Some other observations. When you first run the virus, it appears that it
158. looks for COMMAND.COM, but it may not effect it at all. I have a mono system
159. and I ran HCGIBM to emulate CGA to see what was happening. HCGIBM got zapped
160. and not COMMAND.COM, and once it was installed in memory, all subsequent
161. .COM files became infected. The second time around, at least, COMMAND.COM
162. hasn't become infected like it did the first time around. So it appears that
163. the only sure way to find the infected files is to search for the tell tale
164. string that the virus imbeds in the .COM file.
165.  
166. I put an uninfected version of LIST on a floppy along with some text files,
167. and then put a write protect tab on the floppy. Ran a program that I knew
168. had the virus in it, and then another one that didn't. Sure enough, it was
169. loaded into memory, and when I went to drive a: and tried to List the text
170. file I got a "write error" before List loaded the text file.  After the
171. normal Abort, retry, ignore, fail (I choose Fail) List loaded the text file
172. and remained unchanged, so if you have you floppies write protected, it
173. can't do it's thing. There are many programs that "write protect" your hard
174. disk, so this might be one way to protect against infection. Only problem
175. is that lots of normal programs write files to the disk, so this isn't a
176. very good solution.
177.  
178. Tonight we're going to unassemble the code to see what makes it tick.
179.  
180.  
181. ==============
182.  May 19, 1989
183. ==============
184.  
185. With the help of one of my programming friends, we have dissambled the
186. program and indeed it alters the original file, re-writes the first part
187. of the program with a "jump" instruction as the first thing the infected
188. program does. It goes to where it wants to find a copy of itself, and if
189. the file isn't infected, it then will insert the code into the un-infected
190. program, write the altered program to disk, and *then* runs the program as
191. if nothing has happened. Next time that infected program is run, it will
192. attach itself to COMMAND.COM if it isn't already infected, and if both
193. the memory portion of COMMAND.COM is infected, and the file that is loaded
194. is infected, no disk writes occur, the progarm loads normally.  We have
195. also confirmed that the signature  141$FLu  is in the original program and
196. is also in all of the infected copies. For all we know WOW might be nothing
197. more than an infected program, not the original virus.
198.  
199. Enclosed in this ARC is a program that will search out this unique signature
200. and identify all files that are infected. It is a quick way to spot this
201. virus and get rid if it.
202.  
203. Pass this file along to a friend, and maybe save them some grief.
204.  
205. Al Kalian
206. Palladin BBS
207. 415-332-1655
208.  
209.