home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker's Arsenal - The Cutting Edge of Hacking / Hacker's Arsenal - The Cutting Edge of Hacking.iso / texts / virus / Virus List.txt

< prev

next >

Wrap

Internet Message Format  |  2001-07-11  |  30KB

---

1. From mcvax!cs.hw.ac.uk!davidf@uunet.UU.NET Sun May  7 14:33:38 1989
2. Received: from uunet.UU.NET by atanasoff.cs.iastate.edu (3.24.1) id AA15611; Sun, 7 May 89 14:33:16 CDT
3. Received: from mcvax.UUCP by uunet.uu.net (5.61/1.14) with UUCP 
4.     id AA16504; Sun, 7 May 89 15:33:04 -0400
5. Received: by mcvax.cwi.nl via EUnet; Sun, 7 May 89 21:22:35 +0200 (MET)
6. Received: from cs.hw.ac.uk by kestrel.Ukc.AC.UK   via Janet (UKC CAMEL FTP)
7.            id aa25450; 7 May 89 20:08 BST
8. Received: from surya.cs.hw.ac.uk (surya) by brahma.cs.hw.ac.uk; Sun, 7 May 89 20:05:07 BST
9. From: "David.J.Ferbrache" <mcvax!cs.hw.ac.uk!davidf@uunet.UU.NET>
10. Message-Id: <4405.8905071907@surya.cs.hw.ac.uk>
11. Subject: Virus list (Homebase bulletin board and others)
12. To: brunnstein@rz.informatik.uni-hamburg.dbp.de,
13.         OJA <nccibm1.bitnet!OJA@earn-relay.ac.uk>,
14.         RADAI1 <hbunos.bitnet!RADAI1@earn-relay.ac.uk>,
15.         luken <lehiibm1.bitnet!luken@earn-relay.ac.uk>,
16.         jwright@atanasoff.cs.iastate.edu, well!odawa@uunet.UU.NET
17. Date: Sun, 7 May 89 20:07:33 BST
18. Cc: rzotto <dknkurz1.bitnet!rzotto@earn-relay.ac.uk>,
19.         r746ll12 <cmccvb.bitnet!r746ll12@earn-relay.ac.uk>,
20.         chess@cs.heriot-watt.ac.uk, drsolly@ibmpcug.co.uk,
21.         utoday!greenber@uunet.UU.NET
22. X-Mailer: ELM [version 2.2 PL0]
23. Status: R
24.  
25.  
26. Please find enclosed for your information and comment a listing of IBM PC
27. viruses from Jim Goodwin's Homebase BBS which Jim Wright passed on to me.
28. I have restructure the original document slightly to place each of his
29. 48 viruses under the original parent virus, so that strains of Brain are
30. grouped together. I have also added a few comments of my own in brackets.
31.  
32. Can I strongly suggest we pool our resources so that one comprehensive list
33. can be produced. It would seem well worth contacting Jim to arrange for
34. details of 1. the new viruses he describes, and 2. the modifications of
35. well know viruses which he has observed.
36.  
37.  
38.  
39.  
40. PC VIRUS LISTING
41. by Jim Goodwin
42.  
43. [edited without permission by Dave Ferbrache]
44.  
45.      It is difficult to name, identify and classify PC viruses. 
46. Everyone who first discovers a virus will name it and describe
47. what they think of it.  In most cases, the virus is not new and
48. has been named and described dozens of times before.  None of the
49. names and few of the descriptions will match.  While I'm writing
50. this, for example, I feel certain that someone, somewhere has
51. just been infected by the Jerusalem virus and they are telling
52. their co-workers and friends about it as if it were newborn - and
53. for them perhaps it is.  It will be impossible to verify the
54. strain and variety of the infection, however, unless we can get a
55. living sample of the virus to analyze and compare with other
56. strains of this same virus.  So problem number one is filtering
57. the reports of infection and collecting samples that can be
58. placed under the knife.
59.  
60.      Problem number two is - where do you draw the line between
61. an original virus and a true variation of the virus.  The
62. original Brain virus, for example, could only infect a floppy
63. diskette.  Do the varieties of the Brain that can infect hard
64. disks (but in every other respect are identical) deserve to be
65. called new viruses, or are they still the Brain?  What about
66. further modifications that destroy data?  Is this now a new
67. virus?  What if nothing changes but the imbedded text data, so
68. that the virus is in every way functionally identical, but the
69. volume label changes to "SMURF" instead of BRAIN.  All of these
70. modifications to the Brain have been discovered and logged.  How
71. do we deal with them?
72.      I choose to deal with these modifications in the simplest
73. way I know.  If the virus differs in any way from the original
74. (assuming that the "original" can in fact be identified), then I
75. log it as a new virus.  This relieves me from having to make
76. decisions.  Those of you who see the world differently can merely
77. take this listing and lump together all of the different strains
78. that you like.  That way we'll all be happy.
79.  
80. [have done Jim, it does seem simpler to me and allows tracing of the
81.     evolution of viruses. I personally think an edited text string does
82.     not constitute a new virus, although I agree the line is often hard to
83.     judge]
84.  
85.      This will be, by the way, my last virus document.  I have
86. worked double time for the past eighteen months helping John
87. McAfee and his Homebase folks and, while I have thouroughly
88. enjoyed myself, I have finally burned out.  It has been great fun
89. and I've learned a lot, and hopefully some of my works, like the
90. product review with Sankary and Marsh, will end up being somehow
91. useful to the world.  But now I have the irresistible urge to go
92. fishing, and, perhaps afterwards, to contemplate my navel for a
93. few years.  In-between times I intend to write a book on the
94. craziness in this industry and about the unique personalities
95. I've had the pleasure to work with in the Virus Marine Corps. 
96. It's been quite an adventure.  Thank you all.
97.  
98. Jim Goodwin
99.  
100.  
101.  
102.  
103.                     THE VIRUSES
104.  
105.      I have arranged these viruses so that similar varieties are
106. described in the sequence in which they appeared within the virus
107. sub-group (to the best of my knowledge).  Not everyone agrees
108. with my groupings.  Many people believe, for instance, that the
109. Golden Gate-C (Mazatlan Virus) is a distinctly original virus and
110. is not a variation of the Alameda.  I think differently and have
111. endeavored to show how the Golden Gate evolved from the Alameda,
112. through each precursor virus.  I cannot prove, of course, that
113. the sequence of appearances is the correct sequence, and in many
114. cases I have had to guess.  If you anyone wishes to re-order
115. these virus, I will not be offended.
116.      I have not included any of the specific application trojans
117. in this list.  There has been a lot of discussion about the Lotus
118. 123 and DBASE "viruses", for example.  These are not replicating
119. programs and I do not classify them as viruses.  I had originally
120. intended a separate list to include these non-replicating trojans
121. but Time caught up with me.
122.  
123.  
124.  
125. [BOOT SECTOR AND PARTITION RECORD VIRUSES]
126. [----------------------------------------]
127.  
128. [ALAMEDA VIRUS AND VARIANTS]
129.  
130. (Also called: Yale; Merritt; Pecking; Seoul)
131.      
132. First discovered at Merritt college in California (1987).  
133. Original version caused no intentional damage.  
134. replicates at boot time <ctrl>-<alt>-<del> and infects only 
135. 5 1/4" 360KB floppies.  It saves the real boot sector at track 39, 
136. sector 8, head 0.  Contains a count of the number of times it has 
137. infected other diskettes, although it is referenced for write only and is
138. not used as part of an activation algorithm.  The virus
139. remains resident at all times after it is booted, even if no
140. floppy is booted and BASIC is loaded.  Contains a rare POP
141. CS instruction that makes it incapable of infecting 286
142. systems.
143.  
144.      ALAMEDA-B (Also called Sacramento Virus)
145.  
146.      This is the original Alameda Virus that has the POP CS
147.      removed.  Relocation is accomplished through a long jump
148.      instruction.  All other characteristics are identical.  This
149.      version runs OK on a 286. 
150.  
151.      ALAMEDA-C
152.      
153.      This is the Alameda-B virus that has been modified to
154.      disable the boot function after 100 infections.  The
155.      counter in the original Alameda virus has been re-activated
156.      and is interrogated at each bootup.  When it reaches 100 the
157.      virus disconnects from the original boot sector (control is
158.      no longer passed) and the diskette will no longer boot.  At
159.      infection time, the counter is zeroed on the host diskette.
160.  
161.      SF VIRUS
162.      
163.      This is the Alameda-C that has been modified to format the
164.      boot diskette when the counter runs out.  
165.  
166.      GOLDEN GATE VIRUS (Also called The 500 Virus)
167.  
168.      This is the SF Virus that has been modified to format the C
169.      drive when the counter runs out.  The activation occurs
170.      after 500 infections, instead of 100 infections.  Note that
171.      in all three of these strains, the counter is zeroed on the
172.      host diskette at infection time.  Thus, the activation
173.      period on this virus will on the average stretch into many
174.      years.  No corruption will occur until 500 new diskettes
175.      have been infected from within a given machine.  Since the
176.      infection can only occur when the system is booted with a
177.      new diskette, infection is not frequent with this virus.  I
178.      expect that the overwhelming majority of infections will
179.      never activate.  The IBM PC will have long since been
180.      supplanted by another architecture in most environments.
181.  
182.      GOLDEN GATE-B
183.  
184.      This virus is the Golden Gate virus that has had the
185.      activation delay reset to 30 infections.  This virus should
186.      activate within a couple of years in most environments.  
187.  
188.      GOLDEN GATE-C (Also called the Mazatlan Virus)
189.  
190.      This virus is the Golden Gate virus that is able to infect a
191.      hard disk.   It is a nasty virus, since it has more of an
192.      opportunity to do damage than previous versions.  Prior
193.      versions were limited since systems with hard disks are only
194.      infrequently booted from floppy and booting from hard disk
195.      overwrote earlier versions.
196.  
197.      GOLDEN GATE-D
198.  
199.      This virus is identical to number 7, except the counter has
200.      been disabled (similar to original Alameda).
201.  
202. [BRAIN VIRUS AND VARIANTS]
203.  
204. (Also called, Pakistani Brain; Basit Virus)  
205.  
206. This virus originated in January, 1986, in Lahore Pakistan. 
207. It is the only virus yet discovered that includes the valid
208. names address and phone numbers of the original
209. perpetrators.  The Brain is a boot sector infector,
210. approximately 3K in length, that infects 5 1/4" floppies. 
211. It cannot infect hard disks.  It will infect a diskette
212. whenever the diskette is referenced.  For example, a
213. Directory command, executing a program from the diskette,
214. copying a file from or to the diskette or any other access
215. will cause the infection to occur.  The virus stores the
216. original boot sector, and six extension sectors, containing
217. the main body of the virus, in available sectors which are
218. then flagged as bad sectors.
219.  
220. The virus is able to hide from detection by intercepting any
221. interrupt that might interrogate the boot sector and re-
222. directing the read to the original boot sector.  Thus,
223. programs like the Norton Utilities will be unable to see the
224. virus.  
225.  
226. Infected diskettes are noticeable by "@BRAIN" displayed in
227. the volume label.
228.  
229.      BRAIN-B (Also called Brain-HD; the Hard Disk Brain; Houston Virus)
230.  
231.      This virus is identical in every respect to the original
232.      Brain, with the single exception that it can infect the C
233.      drive.  
234.  
235.      BRAIN-C
236.      
237.      This virus is the Brain-B that has the volume label code
238.      removed.  The volume label of infected diskettes does not
239.      change with this virus.  This virus was difficult to detect
240.      since it does nothing overt in the system.
241.  
242.      CLONE VIRUS
243.  
244.      This virus is the Brain-C that saves the original boot
245.      copyright label and restores it to the infected boot.  The
246.      Basit & [A]mjad original Brain messages have been replaced with
247.      non-printable garbage that looks like instructions if viewed
248.      through Norton or other utility.  Even if the system is
249.      booted from a clean diskette, it is virtually impossible to
250.      tell, by visual inspection, whether the hard disk is
251.      infected. 
252.  
253.      SHOE_VIRUS (Also called UIUC Virus)
254.  
255.      This virus is the Brain-B Virus that has been modified to
256.      include the message - "VIRUS_SHOE RECORD, v9.0.  Dedicated
257.      to the dynamic memories of millions of virus who are no
258.      longer with us today".  The message is never displayed.
259.  
260.      [I would also tentively identify this with the ashar virus as we
261.       have a VIRUS_SHOES RECORD v9.0 with the identifying string ashar at
262.       offset 04a6hex]
263.  
264.  
265.      SHOE_VIRUS-B
266.  
267.      This is the Shoe_Virus that has been modified to so that it
268.      can no longer infect hard disks.  The v9.0 has been changed to
269.      v9.1.
270.  
271.      [Have to question this we have a version of Brain with VIRUS_SHOE
272.       RECORD v9.0 which is incapable of activating a virus stored on hard
273.       disk due to the drive number being hardwired into the read routine
274.       for loading the virus. I suspect v9.1 may be the hard disk variant.]
275.  
276.      ClONE-B
277.  
278.      This is the Clone virus that has been modified to corrupt
279.      the FAT when it is booted after May 5, 1992.  There are no
280.      other apparent modifications.
281.  
282.      [JORK VIRUS]
283.      
284.      [This virus is the Shoe virus with the identifying text at 
285.       offset 0010hex reduced to "Welcome to the Dungeon (c) 1986 Brain", with
286.       the text at 0202hex reading "(c) 1986 Jork  & Amjads (pvt) Ltd".]
287.  
288.      [TERSE SHOE VIRUS]
289.  
290.      [A variant of Shoe virus with the initial text message truncated to
291.        a single line]
292.  
293. [ITALIAN VIRUS AND VARIANTS]
294.  
295. (Also Called Bouncing Ball; Vera cruz)
296.  
297. This is a boot sector virus that was first reported in March
298. 1988.  It is a floppy-only infector.
299.  
300. When this virus activates (randomly) a bouncing dot appears
301. on the screen and can only be removed through reboot.  No
302. other damage is done.
303.  
304.      ITALIAN-B
305.  
306.      This is a variation of Italian that is able to infect
307.      Hard disks.
308.  
309.      [Obviously they have been spared this virus which I find suprising, this
310.       does not seem to be based on first hand evidence]
311.  
312.  
313. [NEW ZEALAND AND VARIANTS]
314.  
315. (Also called Stoned Virus)
316.  
317. This is a boot sector infector that infects 360 KB 5 1/4"
318. floppies.  It was first reported in Wellington, New Zealand
319. in early 1988).  It displays - "Your computer is now stoned. 
320. Legalize Marijuana" every 8th bootup.  No overt damage. 
321. Unable to infect hard disk.
322.  
323.      NEW ZEALAND-B
324.  
325.      Variation of New Zealand.  Has been changed to be able to infect
326.      hard disks.  The hard disk is infected as soon as an
327.      infected floppy is booted.  No intentional damage done,
328.      except systems with RLL controllers will frequently hang.  
329.  
330.      NEW ZEALAND-C
331.  
332.      This is the Stoned-B virus that no longer displays the
333.      "Stoned" message.  This virus is difficult to detect.
334.  
335.  
336. [SEARCH AND VARIANTS]
337.  
338. (Also called Den Zuk; Venezuelan)
339.  
340. This is a boot sector infector that infects 360KB 5 1/4"
341. floppies.  It infects through any access to the host
342. diskette.  It can survive a warm reboot.  It will infect
343. data (non-system) diskettes, which in turn can pass on the
344. infection if an accidental attempt to boot from the data
345. disk occurs.  It has a bug which causes it incorrectly
346. attempt to infect 3.5" diskettes.  This will overwrite the
347. diskette's FAT and cause a read (or write) failure.  It
348. cannot infect a hard disk, and will not attempt to do so. 
349. If an infected system is rebooted from the hard disk, the
350. virus will de-activate.  This is not the case with rebooting
351. from a clean floppy - which will become infected.
352.  
353. The virus causes CGA, EGA and VGA screens to display a
354. purple "DEN ZUK" graphic to appear after a <ctrl>-<alt>-
355. <del>.  It causes no damage.
356.  
357.      SEARCH-HD
358.  
359.      This virus is identical to the Search Virus, except it's
360.      able to infect hard disks.
361.  
362.      SEARCH-B
363.  
364.      This virus is identical to the Search virus, but
365.      unsuccessful modifications have been made to fix the 3.5"
366.      diskette problem.  The 3.5" infection still fails, plus
367.      unsuccessful attempts to infect the hard disk will occur
368.      which result in system failure in some systems.
369.  
370.      SYS VIRUS
371.  
372.      This virus is really a modification of the Search-HD virus. 
373.      The display code has been replaced (no display occurs on
374.      reboot) by code that disables the SYS program.  The SYS
375.      program itself is not modified, but any attempt to execute
376.      SYS will result in the program not being loaded.  Instead,
377.      multiple reads to the source and target drives will occur
378.      (to simulate the SYS activity).  The normal SYS message
379.      output is displayed by the virus at the appropriate time. 
380.      This virus will successfully avoid being removed by SYS.
381.      The virus does no damage.
382.  
383.      SYS-B
384.  
385.      This is similar to the SYS virus, but it performs a hard
386.      disk format on any Friday 13th after 1990.  This virus, and
387.      its precursor virus both still contain the 3.5" bug, so that
388.      they are easily detected on systems using 3.5" drives.  They
389.      are difficult to detect on other systems.
390.  
391.      SYS-C
392.  
393.      Similar to the SYS virus but performs random reboots
394.      beginning 2 hours after power-on or initial boot.
395.  
396. [COMMAND.COM VIRUSES]
397. [-------------------]
398.  
399. LEHIGH
400.  
401. This is a COMMAND.COM infector that first surfaced at Lehigh
402. University in late 1987.  It is the widest known virus, the
403. most discussed and the most analyzed of all the viruses, so
404. I won't waste any more time on it.
405.  
406. [A pity since there is now a further variant]
407.  
408.      [LEHIGH-2]
409.  
410.      [A version of the Lehigh virus modified to retain its infection 
411.       counter in RAM, and to only trigger the destructive phase when the
412.       counter reaches 10 infections the disk FAT table is nulled]
413.  
414. [TRANSIENT OBJECT FILE VIRUSES]
415. [-----------------------------]
416.  
417. [DOS-62 AND VARIANTS]
418.  
419. (Also called the UNESCO Virus)
420.  
421. This virus is a COM infector.  It was first discovered in
422. Moscow in April, 1988.  It was first publicized in August
423. 1988 when it cropped up at a children's computer Summer camp
424. run by UNESCO.  When a program infected by this virus is
425. executed, it infects one other COM file in the system.  On a
426. random basis, infected programs will perform a system re-
427. boot when they are executed.
428.  
429.      62-B
430.  
431.      This virus is similar to DOS-62 except the re-boot is
432.      replaced by deleting the executed program.
433.  
434. [FRIDAY THE 13th]
435.  
436. [Here lies a problem, this virus is totally different from the Israeli
437.  Friday 13th strain, for one thing it is transient in that it does not
438.  hook interrupts and remain active in memory]
439.  
440. (Also called COM Virus; 512 virus)
441.  
442. This virus is a non-resident COM infector that first
443. appeared in South Africa in 1987.  At each execution of an
444. infected program the virus seeks out two other COM files on
445. the C drive and one COM file on the A drive and infects
446. them.  The virus is extremely fast and the only indication
447. of infection occurring is the access light on the A drive
448. (if the current drive is C).  The virus will only infect a
449. file once.
450.  
451. On every Friday 13 the virus deletes the host program if it
452. is executed on that day (similar to the Jerusalem).
453.  
454.      Friday 13th-B
455.  
456.      This virus is identical to the original except that it
457.      infects every file in the current subdirectory.  The only
458.      way this virus can spread beyond the current subdirectory is
459.      if an infected program ends up in the system PATH.  Then
460.      every COM file in the currently selected subdirectory will
461.      get infected.
462.  
463.      Friday 13th-C
464.  
465.      This is the 13th-B except a message has been added that
466.      displays - "We hope we haven't inconvenienced you" appears
467.      whenever the virus activates.
468.  
469.  
470. [AUSTRIAN VIRUS AND VARIANTS]
471.  
472. (Also called the 648 Virus)
473.  
474. This is a COM infector that increases the size of the
475. infected file by 648 bytes.  It was first reported in London
476. in the fall of 1988.  It is not a memory resident virus.  It
477. infects the next uninfected COM file in the current
478. directory (similar to the original Friday 13th).  It does no
479. overt damage.
480.  
481.      AUSTRIAN-B
482.  
483.      This is similar to the original, but it causes infrequent errors
484.      in the infected COM file so that the file will not execute. 
485.      Approximately one file in ten will be corrupted.
486.  
487.  
488. [405 VIRUS]
489.  
490. [A .COM infecting overwritting virus, similar to the Virus 1.1 published
491.  in Ralf Burger's book. Infected files are destroyed and replaced by the
492.  405 byte long virus code.]
493.  
494. [RESIDENT OBJECT FILE VIRUSES]
495. [----------------------------]
496.  
497. [JERUSALEM VIRUS AND VARIANTS]
498.  
499. (Also called Israeli; Friday the 13th; PLO)
500.  
501. This virus is a memory resident COM and EXE infector.  It
502. was first discovered at the Hebrew University in Jerusalem
503. in the fall of 1987.  It contains a flaw which makes it re-
504. infect EXE files over and over until the files become too
505. big to fit into memory.  The virus re-directs interrupt 8
506. (among others) and one-half hour after an infected program
507. loads, the new timer interrupt introduces a delay which
508. slows down the processor by a factor of about 10.  On every
509. Friday the 13, the virus deletes every program executed
510. during the day.
511.  
512. [The sUMsDos variant I assume]
513.  
514.      JERUSALEM-B
515.  
516.      This virus is identical to the Jerusalem except it is able
517.      to successfully identify pre-existing infections in EXE
518.      files and will only infect them once.
519.  
520.      JERUSALEM-C
521.      (Also called the New Jerusalem)
522.  
523.      This virus is identical to Jerusalem-B except that the timer
524.      interrupt delay code has been bypassed.  This virus is
525.      virtually invisible until it activates.
526.  
527.      BLACK HOLE
528.      (Also called the Russian Virus)
529.  
530.      This virus is the Jerusalem-C that has odd text and
531.      additional code that is never referenced.  A new interrupt
532.      eight routine is added to the non referenced area and a
533.      number of interrupt 21 calls which appear meaningless.  The
534.      additional text includes - "ANTIVIRUS".  It appears that
535.      this virus is a modified version of some previous variety of
536.      the Jerusalem which we have not yet seen.  
537.  
538.      JERUSALEM-D
539.  
540.      This is the Jerusalem-C that destroys both versions of the
541.      FAT on any Friday the 13th after 1990.  The code that
542.      originally deleted executed programs has been overwritten
543.      with the FAT destructive code.
544.  
545.      JERUSALEM-E
546.  
547.      This is identical to the D variety except the activation is
548.      any Friday the 13th after 1992.
549.  
550.      CENTURY VIRUS (Also called the Oregon Virus)
551.  
552.      This is similar to the Jerusalem-C except the activation
553.      date is January 1, 2000.  When the virus activates, it
554.      erases both FATs on all connected drives and then begins
555.      writing zeroes to every sector on every attached device.  If
556.      allowed to continue to completion, it displays the message -
557.       " Welcome to the 21st Century".
558.  
559.      CENTURY-B
560.  
561.      This virus is similar to the original Century virus with the
562.      following exception:
563.  
564.      It waits for BACKUP.COM to be executed and then garbles all
565.      program writes.  After BACKUP terminates, the output
566.      functions return to normal.
567.  
568. [No mention of the sURIV 3.00 variant here]
569. [Nor any of the April 1st sURIV 1.01 and sURIV 2.01 viruses]
570.  
571. [APRIL 1ST AND VARIANTS]
572.  
573. [A memory resident .COM infecting virus which displays the message
574.  "APRIL 1ST HA HA HA YOU HAVE A VIRUS" on April 1st after memory is infected by 
575.  execution of an infected .COM file and a further .COM file is executed.
576.  
577.  The system locks up requiring a reboot. This virus has the identifying text
578.  string sURIV 1.01.
579.  
580.      APRIL 1st-B
581.  
582.      A .EXE infecting version of .COM which will display the characteristic
583.      message on execution of any infected .EXE file on April 1st, with
584.      associated lockup. A similar lockup will occur 1 hour after infection
585.      of memory on any day on which the default date 1-1-80 is used.]
586.  
587. [CASCADE VIRUS AND VARIANTS]
588.  
589. (Also called 1701; Falling Tears; [Autumn Leaves])
590.  
591. This virus evolved from a trojan horse disguised as a
592. utility to automatically turn off the num-lock light at
593. system boot.  The trojan horse caused the characters on the
594. screen to fall to the bottom of the screen in systems with
595. CGA monitors.  In late 1977 this trojan horse was turned
596. into a memory resident COM virus.  It gets it's name from
597. the size increase of infected COM files - 1701 bytes.  The
598. virus has some unique qualities:
599.      -    It uses an encryption algorithm to avoid detection
600.           and complicate any attempted analysis.
601.      -    It contains a sophisticated activation algorithm
602.           that is based on randomizations, machine types,
603.           monitor type, presence or absence of clock cards,
604.           and time of year.
605.      -    It was designed to infect only IBM clones.  True
606.           IBM systems would be spared.
607. The virus has a bug that causes the machine selection
608. algorithm to fail.  The virus activates on any machine with
609. a CGA or VGA monitor, in the months of September, October,
610. November or December in the year 1980 or 1988 (systems
611. without clock cards will often have a date set to 1980).  
612.  
613.      CASCADE-B
614.  
615.      This virus is identical to the cascade except that it activates
616.      in the fall of any year.
617.  
618.      1704 [(Also called Blackjack)] 
619.  
620.      I would prefer to classify this virus as a variety of the
621.      1701 but it has been universally referred to as a separate
622.      virus, so I will go along with the crowd on this one.  It is
623.  
624.      [Nope I have compared the code, identical except for a single instruction,
625.       in my book that counts as the same virus]
626.  
627.      functionally identical to the 1701 except that the IBM
628.      selection bug has been repaired.  The new virus is three
629.      bytes longer.  In every other respect it is the same.
630.  
631.      1704-B
632.  
633.      This virus is identical to the 1704, except the cascade
634.      display has been replaced with a system re-boot when the
635.      virus activates.  The activation uses the same interrupt 8
636.      randomization algorithm, so the reboot will occur at a
637.      random time interval after executing an infected program on
638.      or after the activation date.
639.  
640.      1704-C
641.  
642.      This virus is the same as the 1704-B, except the activation
643.      date has been changed to occur in December of any year.
644.  
645.      1704-D
646.  
647.      This virus is the same as the 1704, except the IBM selection
648.      has been disabled (the virus infects true IBM PCs).
649.  
650. [No mention either of the Dbase virus Ross reported recently, of the Oropax
651.  reported by Klaus Brunnstein, so] 
652.  
653. [DBASE VIRUS]
654.  
655. A memory resident .COM/.EXE virus. When an infected application is executed
656. the virus will install in memory looking for an open operation on .DBF files,
657. any writes would thereafter have two bytes transposed at random, their 
658. location being recorded in the file BUG.DAT in the .DBF directory. Reads of
659. data would be corrected by the resident portion of the virus, thus data 
660. appeared correct. After 90 days the virus would null the root directory and
661. FAT structures.
662.  
663. [OROPAX VIRUS]
664.  
665. (alias music virus)
666.  
667. A memory resident .COM infecting virus. When an infected application is 
668. executed the virus installs in memory trapping the DOS 21h interrupt. Thereafter
669. when a program attempts a create subdirectory, remove subdirectory, create
670. file, open file, delete file, get/set file attributes, rename file, delete file
671. (FCB), create file (FCB) or rename file (FCB) call one .COM file is infected
672. in the home directory. Command.com, com files with length divisible by 51,
673. com files with attribute other than normal or archive or com files with
674. length > 61980 bytes will not be infected. If based on a random number
675. the virus activates it will play 3 melodies repeatedly with a 7 minute
676. interval.
677.  
678. [In addition I have reports of a further transient object file virus]
679. [
680.  In general the virus list seems very comprehensive listing as it does a 
681.  large number of variants of the more common viruses. It does seem to omit
682.  detail on the Italian and Lehigh viruses in particular which any list 
683.  seeking to be comprehensive must include. I suggest that it would be
684.  very useful to contact the author and arrange for a pooling of resources.
685.  
686.  We now have 5 separate lists of IBM viruses in preparation. Klaus'
687.  catalog is very detailed (from the sample entries I have examined) although
688.  I doubt if it can achieve the coverage that Jim Goodwin's list has. As
689.  always it comes down to arranging that we receive, disassemble and 
690.  detail new virus strains when they are discovered. Having a number of
691.  centres world wide seems an unnecessary duplication of effort, made even
692.  worse by the lack of sharing of information which occurs. We need a 
693.  standard format for virus reports, a list of contacts and the free
694.  interchange of information between each of the existing sites (this should
695.  include virus samples, disassemblies and analysis).
696.  
697.  Comp.virus can (I think) prove useful as a contact point through which we
698.  can track new infections, although this will be supplanted by the 
699.  establishment of national centres with a reputation (and/or government
700.  recognition) for work in this field.
701.  
702.  I am still collating information for an exhaustive catalog, although 
703.  indications are that with the explosion of the virus problem this is now
704.  becoming a full time job. Co-operation is important. I entered the field
705.  four months ago, and in that time I have seen how important the establishment
706.  of these links is. Within the UK there are a number of isolated workers
707.  in the virus field, this must change.
708.  
709.  Within the Mac field there is a mailing list (Macmash) where discussion
710.  and technical analysis of new strains takes place. I stand by my original
711.  view that there is a place for such a list for IBM PC systems in addition
712.  to virus-l. Many of the viruses described above have never come to light
713.  in reports on virus-l, this should also change. There have been a number
714.  of excellent virus reports on virus-l which have provided very useful
715.  symptomatic analyses of viruses, without providing too much technical
716.  detail. 
717.  
718.  Anyway, enough of the soapbox. Any comments on the above list, including
719.  additions, omissions and corrections would be appreciated. The list seems
720.  extensive, but lacks the detailed information required (for me at least)
721.  to prepare user information and detection software for the above viruses.
722. ]
723.  
724. ------------------------------------------------------------------------------ 
725. Dave Ferbrache                            Internet   <davidf@cs.hw.ac.uk>
726. Dept of computer science                  Janet      <davidf@uk.ac.hw.cs>
727. Heriot-Watt University                    UUCP       ..!mcvax!hwcs!davidf
728. 79 Grassmarket                            Telephone  +44 31-225-6465 ext 553
729. Edinburgh, United Kingdom                 Facsimile  +44 31-220-4277
730. EH1 2HJ                                   BIX/CIX    dferbrache
731. ------------------------------------------------------------------------------
732.  
733.