home *** CD-ROM | disk | FTP | other *** search

---

/ System Booster / System Booster.iso / Virushunter / VIB / Virus / E / EM-Wurm

< prev

next >

Wrap

Text File  |  1996-09-26  |  3KB  |  90 lines

---

1.      Name         : EM-Wurm
2.  
3.      Aliases      : Anti-EuroMail-File-Virus, $a0 QuickInt Trojan
4.  
5.      Type/Size    : Trojan BBS Infiltrator
6.  
7.      Clone        : Not known clones yet
8.  
9.      Symptoms     : A little confusing, not elucidated really
10.  
11.      Discovered   : 16-07-91
12.  
13.      Way to infect: No Spreading
14.  
15.      Rating       : Less Dangerous
16.  
17.      Kickstarts   : Preferably 2.x, but not only maybe.
18.  
19.      Damage       : Indeed dangerous for BBS equilibrists
20.  
21.      Removal      : Remove the file immediately
22.  
23.      Comments     : Usually  the  EM-Wurm trojan is embedded in downloaded
24.                     powerpacked   programmes   which  contains  their  own
25.                     installers.
26.  
27.                     QuickInt  is its  real name  but sometimes something's
28.                     going  wrong  with  its work.  It will then occur with
29.                     the   name   $a0   and  this  is  a  variable  in  the
30.                     environment  Env:<dir>  (RAM:Env/name)
31.                     Liken:
32.  
33.                     1.SYS:> Echo > Env:a0 poooh
34.                     1.SYS:> Echo $a0
35.                     poooh
36.                     1.SYS:>
37.  
38.                     or the command GetEnv.
39.  
40.                     Anyway,   the  file  $a0  is  protected  ---- -w-d  in
41.                     c:<dir>  and has always  displaced the file  QuickInt.
42.                     Therefore this one shouldn't work. But, ...
43.  
44.  
45.  
46.      Damage         All  files  in  the  entire  directory  concerned  are
47.                     overwritten.
48.  
49.                     Nothing  to  salvage  at  all.
50.  
51.  
52.  
53.      Manifestation  When the file is executed it will start a  search  for
54.                     all divices or directories with names e.g.:
55.  
56.                     EM:,  EuroMail:,  EuroSYS: or similar to that.
57.  
58.                     When  found  it  will  overwrite  the device  contents
59.                     with  nonsense data.  Especially the search for EM: is
60.                     a bit tricky.  ( Enquiries_of_Mine ... Root:EM )
61.  
62.                     The  behavior  of  the program is not explained in all
63.                     details, yet, but when  the Prefs:Env is copied to the
64.                     environment  during  booting  of system 2.x  it  would
65.                     possibly  be  a  good  idea  to  take  a  look  there.
66.                     Sometimes  it  looks  like it chucks  a none-writeable
67.                     character  in  the beginning  of  the StartUp-Sequence
68.                     because  of  an  empty  line  when  edited.
69.  
70.                     Take  for  example it is a LF ( LineFeed ). Nothing to
71.                     see  except the empty line. Watch Your StartUp's first
72.                     calls.
73.  
74.  
75.  
76.      More comments  Something   gives   the   conjecture   that  the  file
77.                     originately  was  made  to  upload  at a BBS. When the
78.                     System  Administrator  then  unpacked  the file on his
79.                     BBS  the  file  would execute without his cooperation,
80.                     which  means,  it  could  download  something  to  the
81.                     uploader,   unless  the  System  Administrator  turned
82.                     the mainpower off his machine.
83.  
84.                     In   this   way   the   invisible   character  in  the
85.                     StartUp-Sequence  probably  would  be  a CR ( Carriage
86.                     Return "^m" )
87.  
88.  
89. TBH 04-94
90.