home *** CD-ROM | disk | FTP | other *** search
/ Hacker / Hacker.iso / HACKER / ANTIVIR / k_grief / K_GRIEF.DOC < prev    next >
Text File  |  1997-05-03  |  3KB  |  89 lines
  1.  
  2. K-Grief
  3. ----------------------------------------------------------------------------
  4.  
  5. (C)opyright 1992-97 by:
  6. -----------------------
  7.  ALL RIGHTS RESERVED!
  8.  
  9.  
  10.             ┌────────────────────────────────┐
  11.             │ ROSE Softwareentwicklung       │█
  12.             │ Dipl.-Ing. (FH) Ralph Roth     │█
  13.             │ Finkenweg 24                   │█
  14.             │                                │█
  15.             │ D 78658 Zimmern o. R.          │█
  16.             │                                │█
  17.             │ FAX/AB:  +49.741-32647         │█
  18.             └────────────────────────────────┘█
  19.               ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
  20.  
  21.     EMail:        Ralph_Roth@p2.f2101.n246.z2.fidonet.org
  22.     Fido:         2:246/2101.2, 2:2480/8849.6 (Virus Help Munich)
  23.  
  24.  
  25. Tips for removing the Grief virus:
  26. ----------------------------------------------------------------------------
  27.  
  28. 1.) Boot from a virus free disc!
  29. 2.) Run K_Grief c: -r to clean your drive c:
  30. 3.) Boot from HDD. Work for a few hours.
  31. 4.) Repeat steps 1-3 to ensure that the virus is gone.
  32. 5.) Scan all your disc with k_Grief a:
  33.  
  34. Hint: This cleaner can handle and remove multiple infections.
  35. ----------------------------------------------------------------------------
  36. German description: See GRIEF.DOC
  37. ----------------------------------------------------------------------------
  38.  
  39. There are 2 variants of this virus:
  40.  
  41.         - Standard version      (GRIEF.3584.Standard)
  42.         - Lucky                 (GRIEF.3584.Lucky)
  43.  
  44.     The other scanners meanwhile detect this virus family as
  45.     Nostradamus.3584...
  46.  
  47.     The cleaner detects both variants and cleans both variants (they
  48.     use different encryption keys!).
  49.  
  50.     This virus uses the EMME (Eternal Maverick Multilevel Encryptor)
  51.     v3.0.  Polymorphic (from 1 up to 4 levels of encryption) resident
  52.     COM, EXE & OV?  infector.  Does not decrease memory size and is
  53.     not detectable by heuristic analysers (like WEB,F-PROT & TBAV).
  54.     Does not destroy overlayed EXE, does not conflict with CHKDSK and
  55.     residents, can not be cured with TBCLEAN.  Many resident virus
  56.     traps (like ANTIAPE.SYS).  Blockers are not able to intercept its
  57.     attempt to stay resident (if it is possible it uses UMB, if not -
  58.     waits for program termination and then allocates about 2700 bytes
  59.     in low memory).  It uses an original technique to find DOS INT 21h
  60.     handler.  It is a true stealth virus.  Uses anti-debugging tricks,
  61.     disables stealth when archivators are executed.  It destroys Adinf
  62.     tables when executed first time.  Formats your harddisc if the
  63.     following condition is true:
  64.  
  65.                  (day of week + 1) * 2 == weekday
  66.  
  67.      E.g.    Sat. 14 Dec. 96  (6+1)*2 == 14
  68.  
  69.  
  70. General:
  71. ----------------------------------------------------------------------------
  72.  
  73.     K_GRIEF uses a small part of the decryption engine from VSP (I was
  74.     _too_ lazy to write a standalone encryption engine :) - Therefore
  75.     K_Grief will find at least the following viruses using a polymorph
  76.     mutation engine (ME):
  77.  
  78.     EMME 3.0  (Grief)
  79.     BWME      (Biolocial Warfare ME)
  80.     RME       (Rajaat's ME)
  81.     MIME
  82.     VME
  83.     SVL       (Slovakia)
  84.  
  85.     As well as the "Live Bait Test" will catch allmost every resident
  86.     virus.  But this are only benefical side-effects....  :-)
  87.  
  88. (C) by ROSE, Ralph Roth
  89.