home *** CD-ROM | disk | FTP | other *** search
/ Night Owl 4 / Night Owl's Shareware - PDSI-004-1 - Wayzata Technology (1990).iso / 017b / fprot114.exe / lha / BOOTVIR.TXT < prev    next >
Text File  |  1991-01-10  |  14KB  |  335 lines
  1.        A description of PC viruses and their symptoms - Januar '91
  2.  
  3. This document lists the boot sector viruses recognized by F-PROT at the time
  4. of writing.  Since new viruses are continually appearing, this document will
  5. never be completely up to date.  A short description of the viruses follows,
  6. but it is far from complete.
  7.  
  8. The list of known Boot Sector Viruses (BSV) now includes:
  9.  
  10.                  Alameda
  11.                  Ashar --> Brain
  12.                  Brain
  13.                  Chaos --> Brain
  14.                  Den Zuk
  15.                  Disk Killer
  16.                  E.D.V.
  17.                  Fallboot --> Swap
  18.                  Filler
  19.                  Form
  20.                  Italian --> Ping-Pong
  21.                  Joshi
  22.                  Korea
  23.                  Lbc --> Korea
  24.                  Musicbug
  25.                  New-Zealand
  26.                  Ohio --> Den Zuk
  27.                  Ogre --> Disk Killer
  28.                  Pentagon
  29.                  Ping-Pong
  30.                  PrintScreen
  31.                  Stoned --> New-Zealand
  32.                  Swap
  33.                  Typo --> Ping-Pong
  34.                  V-1
  35.                  Yale --> Alameda
  36.  
  37. A few additional boot sector viruses have been reported, but are not
  38. recognized by the F-PROT package.  They are:
  39.  
  40. Nichols and Missouri. I have not been able to obtain a copy of those two
  41.         viruses yet.  As a matter of fact, it is not even certain that they
  42.         exist at all, as no virus researcher has a copy of them.  F-DRIVER
  43.         should be able to stop them, but I will update F-DISINF to recognize
  44.         and remove them if they ever become available.
  45.  
  46. Now, let's have a look at the viruses mentioned above.
  47.  
  48.  
  49.                         Alameda (Yale)
  50.  
  51. One of the oldest viruses around.  It was first found in California in April
  52. '87.  It replaces the original boot sector with itself and stores the original
  53. boot sector on track 39, head 0, sector 8.  This sector is generally not
  54. used unless the diskette is almost full.
  55.  
  56. The first version of the virus contained a POP CS instruction, which
  57. only exists on 8088 and 8086 machines.  This was "fixed" later, so the
  58. virus worked correctly on '286 and '386 machines.
  59.  
  60. Since this virus is so old, several variants have been reported.  Some of
  61. them are reported to format the hard disk, when they have infected a
  62. predetermined number of diskettes.
  63.  
  64. All variants of the Alameda virus replicate only when Ctrl-Alt-Del is
  65. pressed.
  66.  
  67. Alameda was probably written on an old IBM PC, by a rather lousy programmer,
  68. using the A86 assembler.
  69.  
  70.  
  71.                                 Brain
  72.  
  73. This is the oldest PC virus known, first detected in January '86. Several
  74. variants of this virus are known, but most of them are fairly harmless.  This
  75. virus is rather large and most of it is located in sectors that are marked as
  76. "bad" in the FAT.
  77.  
  78. Before this virus infects diskettes, it looks for a "signature".  This
  79. makes it possible to "inoculate" against it, just by putting the
  80. signature in the correct place in the boot sector.  F-INOC does just that.
  81.  
  82. The Brain virus tries to hide from detection by hooking into INT 13.  When
  83. an attempt is made to read an infected boot sector, Brain will just show
  84. you the original boot sector instead.  This means that if you look at the
  85. boot sector using F-BOOT or any similar program, everything will look normal,
  86. if the virus is active in memory.
  87.  
  88. The major effect of this virus is a (fairly harmless) change of the
  89. volume label.  It usually becomes
  90.  
  91.                         (c) Brain
  92.  
  93. but one variant of the virus changes the text into
  94.  
  95.                         (c) ashar
  96.  
  97. One of the most interesting details regarding the Brain virus is the
  98. following text, which appears inside it:
  99.  
  100.         Welcome to the Dungeon
  101.         (c) 1986 Basit & Amjad (pvt) Ltd.
  102.         BRAIN COMPUTER SERVICES
  103.         730 NIZAB BLOCK ALLAMA IQBAL TOWN
  104.         LAHORE-PAKISTAN
  105.         PHONE :430791,443248,280530.
  106.         Beware of this VIRUS....
  107.         Contact us for vaccination............  $#@%$@!!
  108.  
  109. In another version of the virus, the text looks like this:
  110.  
  111.         Welcome to the Dungeon
  112.         (c) 1986  Brain & Amjads (pvt) Ltd.
  113.         VIRUS_SHOE RECORD v9.0
  114.         Dedicated to the dynamic memories
  115.         of millions of virus who are no longer with us today -
  116.         Thanks GOODNESS!!
  117.         BEWARE OF THE er..VIRUS :This program is catching
  118.         program follows after these messeges.....  $#@%$@!!
  119.  
  120. These messages have led to considerable speculation regarding the
  121. possible author(s) of the virus.
  122.  
  123. One harmful variant has been reported, which will attack on May 5. 1992,
  124. and another 'Chaos' with different text strings has been reported, but
  125. not yet made available for research.
  126.  
  127.  
  128.                              Den Zuk
  129.  
  130. This virus seems to have been originally written as an anti-virus,
  131. designed to seek out and destroy copies of the Brain virus.  If it finds a
  132. Brain-infected diskette, it will remove the infection, and replace it
  133. with a copy of itself.  This virus hides on track 40 on diskettes, but
  134. normally 360K diskettes only have tracks numbered 0 to 39.  This virus
  135. does not infect 1.2M or 3.5" diskettes correctly, but will destroy data
  136. on them.  The volume label "(c) Brain" on an infected diskette would be
  137. changed to "Y∙C∙1∙E∙R∙P".  A mysterious string, but with a simple
  138. explanation.  YC1ERP is the call sign of a radio amateur in Indonesia
  139. who is suspected of being the author of "Den Zuk" and "Ohio".
  140.  
  141. On a computer infected with this virus, pressing Ctrl-Alt-Del will not
  142. result in a simple reboot.  Instead the text "DEN ZUK" will appear on the
  143. screen for a fraction of a second.  Then the computer will appear to
  144. reboot, but the virus will remain in memory.
  145.  
  146. Pressing Ctrl-Alt-F5 will produce a "true" reboot.
  147.  
  148. The Ohio virus is presumably an older version of this virus and seems to
  149. be written by the same person.  Den Zuk will also remove the "Ohio" virus
  150. if it is found.
  151.  
  152.  
  153.                             Disk Killer
  154.  
  155. A recent, rather nasty virus that seems to have originated in the U.S.
  156. It contains an infection counter that is incremented each time a new
  157. diskette is infected.  The virus will activate if the computer has been
  158. turned on for 48 hours. It will then display the following messages on the
  159. screen:
  160.  
  161. Disk Killer -- Version 1.00 by COMPUTER OGRE 04/01/1989
  162. Warning !!
  163. Don't turn off the power or remove the diskette while Disk Killer is Processing!
  164. PROCESSING
  165.  
  166. I hope you will never see this appear - it sure means trouble, namely
  167. that the virus has started to encrypt all the data on the hard disk (using a
  168. simple XOR method).  When finished, the virus will display this message: 
  169.  
  170. Now you can turn off the power
  171. I wish you luck !
  172.  
  173. If you see this message, start looking for a recovery program.  You can
  174. of course reformat the disk and restore everything from a backup, but it
  175. is not necessary because the virus only encrypts everything on the disk,
  176. but does not destroy anything.
  177.  
  178. Like many other viruses, Disk Killer hides in sectors it marks as "bad"
  179. in the FAT.  The infection/replication mechanism is very similar to that
  180. used by other boot sector viruses - despite some early reports that this
  181. virus was somehow more advanced than the rest.  On a hard disk, the virus
  182. will hide in the sectors just before the boot record.  Disk Killer is the
  183. first boot sector virus that is properly able to handle other sector
  184. sizes than 512 bytes.
  185.  
  186.  
  187.                                  E.D.V.
  188.  
  189. Most boot sector viruses hide by lowering the amount of RAM visible to the
  190. operating system and hiding in the free space they create. E.D.V. is
  191. different. It searches for free RAM, starting at E800 and searching
  192. downwards.  It is also unusual on one other way - on every timer tick it
  193. will check if ES or DS point to it - which is possibly the case if a
  194. virus-scanning program like F-SYSCHK is running.  In this case a HLT
  195. instruction is executed - which halts the computer.
  196.  
  197. Aside from this, the virus is fairly usual. It marks infected diskettes
  198. with a "EV" at the end of the boot sector and stores the original boot
  199. sector code in the last sector of the last track on 360K diskettes, just
  200. like the Yale virus.
  201.  
  202. One encrypted text string is stored inside the virus code:
  203.  
  204.                     That rings a bell,no ? from Cursy
  205.  
  206.  
  207.                                Filler
  208.  
  209. The Filler virus was first reported in Hungary.  It uses the "extra
  210. track" method to hide the virus code, storing the rest of the virus code
  211. and the original boot sector on track 40.  Its effects are not known,
  212. but it may affect programs in some way.
  213.  
  214.  
  215.                                 Form 
  216.  
  217. This is a non-remarkable virus from Switzerland.  It is able to infect
  218. hard disks as well as floppies, and stores the rest of itself, as well as
  219. the original boot sector on the last track of the disk.  It contains
  220. the following text:
  221.  
  222.     The FORM-Virus sends greetings to everyone who's reading this text.
  223.     FORM doesn't destroy data! Don't panic! Fuckings go to Corinne.
  224.  
  225.  
  226.                                Joshi
  227.  
  228. Joshi is reported to have originated in India.  It infects the partition
  229. boot sector of hard disks, storing the original, as well as the rest of
  230. the virus code elsewhere on track 0, head 0.  Just like the Brain virus,
  231. Joshi redirects attempts to read the virus code while it is active in
  232. memory.
  233.  
  234. The virus activates on January 5th of any year and displays the message:
  235.  
  236.                type Happy Birthday Joshi
  237.  
  238. Unless the user obeys and types "Happy Birthday Joshi", the system will
  239. hang.
  240.  
  241.                                 Korea
  242.  
  243. This virus is in some ways similar to the Stoned virus - it is only 512
  244. bytes long and stores the original boot sector at track 0, head 1, sector 3.
  245. It may therefore be destructive in the case of 1.2M or 3.5" diskettes.
  246. It might even be more dangerous to hard disks, as track 0, head 1, sector 3
  247. often contains a part of the FAT.  This virus contains the text string:
  248.  
  249.                     virse program   messge Njh to Lbc
  250.  
  251.  
  252.                             New Zealand (Stoned)
  253.  
  254. Some boot sector viruses, like Den Zuk, can only infect diskettes, but
  255. other, like New Zealand, can also infect hard disks, where it replaces
  256. the Partition Boot Record, instead of the Boot Sector.
  257.  
  258. A computer infected with this virus will sometimes display the following
  259. message when it starts.
  260.  
  261.                      Your computer is now stoned.
  262.  
  263. This virus seems to have been designed to be harmless, but due to a
  264. mistake, it did not quite work out that way.  On an infected diskette, the
  265. original boot sector is stored on track 0, head 1, sector 3.  This is the
  266. last sector of the root directory on a 360K diskette, so this will work
  267. unless the root directory contains more than 96 files, which is rather
  268. unlikely.  Overwriting this sector on a 1.2M diskette is, however, much
  269. more likely to cause damage.
  270.  
  271.  
  272.                              Pentagon
  273.  
  274. This "virus" does not work, so it will not be described here, but with some
  275. modifications it could be turned into a working virus. It originated in the
  276. Philippines and was sent to the US and UK from there. 
  277.  
  278.  
  279.                              Ping-Pong
  280.  
  281. The Ping-Pong virus (also called "Bouncing Ball" or "Italian") is probably
  282. the most common and best known boot sector virus.  This virus was first found
  283. in Italy in March 1988, but now it is known all over the world.
  284.  
  285. An infected diskette will contain 1K in "bad clusters".
  286.  
  287. When this virus activates, a small "ball" starts bouncing around the
  288. screen, but in most cases no serious damage occurs.
  289.  
  290. There is one small bug in the virus code, which causes a crash on '286
  291. machines (and also V20, '386 and '486).  The reason is that the author
  292. used the "MOV CS,AX" instruction, which only exists on '88 and '86
  293. processors.  However, this has recently been "fixed".
  294.  
  295. One variant of this virus ("Typo") appeared in Israel.  There the effect of
  296. the virus has been drastically changed.  Instead of displaying a bouncing
  297. ball, the virus introduces typing errors in all text going out to the
  298. printer.
  299.  
  300.  
  301.                                 PrintScreen
  302.  
  303. This is a very small Boot Sector virus that stores the original boot sector
  304. in the last sector of the root directory, just like the Stoned and Korea
  305. viruses. It relocates the original INT 13 to INT 6D, which will cause
  306. problems with many VGA cards.  As the name indicates, the virus will
  307. occasionally perform a PrintScreen operation.
  308.                   
  309.  
  310.                                Swap
  311.  
  312. The Swap virus does not really swap anything, so the name is a bit
  313. misleading.  This boot virus from Israel is unusual in that it does not
  314. store the original boot sector anywhere, but instead it just overwrites
  315. the original boot sector with a short piece of code to load the rest of
  316. the virus, which is stored on one of the last sectors on track 39.  A
  317. similar method is used by the Alameda virus.
  318.  
  319. When this virus activates it is said to produce a display of falling
  320. letters on the screen - similar to the Cascade virus, but I have not 
  321. seen this effect yet.
  322.  
  323.  
  324.                                V-1
  325.  
  326. This is a remarkable virus, from a technical point of view, as it is the
  327. first one to operate both as a boot sector virus and also as a program
  328. virus. As a boot sector virus it is able to infect the partition table on
  329. hard disks, storing the original sector on track 0, head 0, sector 4.
  330. When infecting diskettes, it will format an extra track, where it stores
  331. the original boot sector, as well as the rest of the virus code.  When
  332. the virus is executed, it will load itself into memory and monitor the
  333. execution of programs.  When a non-infected COM file is executed, it will
  334. be infected.  The virus adds 1253 bytes to all programs it infects.
  335.