home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / MAGS.ZIP / VLAD#3.ZIP / ARTICLE.2_6 < prev    next >
Encoding:
Text File  |  1995-02-07  |  4.4 KB  |  94 lines
  1.  
  2.    VSUM denial time :)
  3.    +-----------------+
  4.  
  5.    Well people, it seems we have made it into VSUM, all AVers only
  6.    have one of our viruses it seems, the other seven or so never did
  7.    make it into any scanners or reports, so now you know what sources
  8.    to mess with ;)  As per usual with our articles which we have
  9.    something to say in I'm going to write comments in square brackets
  10.    in the article.
  11.  
  12.    Virus Name:  Incest
  13.    [when will all you AV fucks get it right?  there are four viruses
  14.    , each was published in VLAD#1 which you must have read!  Each a
  15.    member of the Incest family, therefore this virus should be called
  16.    Incest.Daddy!  the other three being Incest.Mummy, Incest.Brother
  17.    and Incest.Sister.]
  18.  
  19.    Aliases:
  20.    [how true, no aliases]
  21.    V Status:    New
  22.    Discovered:  September, 1994
  23.    Symptoms:    .COM & .EXE growth; DOS CHKDSK file allocation errors;
  24.                 decrease in total system & available free memory;
  25.                 file time changes
  26.    Origin:      Queensland, Australia
  27.    [ah well, now you know where the magazine was first released ;) ]
  28.    Eff Length:  1,117 Bytes
  29.    Type Code:   PRhAK - Parasitic Resident .COM & .EXE Infector
  30.    Detection Method:
  31.    [well it is detected by F-Prot and TBAV, but patti is too cool for
  32.    these heuristic scanners]
  33.    Removal Instructions:  Delete infected files
  34.    [haha how true, I know that tbclean won't remove it, not sure about
  35.    f-prot though, i doubt it]
  36.  
  37.    General Comments:
  38.    The Incest virus was submitted in September, 1994, after its isolation
  39.    in Australia.  Incest is a memory resident stealth-type virus which
  40.    infects .COM and .EXE programs, including COMMAND.COM.
  41.    [what's this isolation shit?  are these people thinking the virus
  42.    didn't get anywhere past Queensland?  hmm interesting! :) ]
  43.  
  44.    When the first Incest infected program is executed, this virus will
  45.    install itself memory resident at the top of system memory but below
  46.    the 640K DOS boundary, not moving interrupt 12's return.  Total system
  47.    and available free memory will have decreased by 2,400 bytes, and
  48.    interrupt 21 will be hooked by the virus is memory.
  49.  
  50.    Once the Incest virus is memory resident, it will infect .COM and .EXE
  51.    programs, including COMMAND.COM, when they are executed, opened, or
  52.    copied.  Infected programs will have a file length increase of 1,117
  53.    bytes, though the file length increase will be hidden when the virus
  54.    is memory resident.  The virus will be located at the end of the file.
  55.    The file's date in the DOS disk directory listing will not be altered,
  56.    however, the time field will have been altered.  The following text
  57.    strings are encrypted within the viral code:
  58.    [if I remember correctly Incest.Daddy changes the seconds on files
  59.    to 62 to check for infection (i might be wrong since I didn't write
  60.    it hehe)]
  61.  
  62.            "[Incest Daddy] by VLAD - Brisbane, OZ"
  63.            "ANTI-VIR.DAT MSAV.CHK      CHKLIST.CPS  CHKLIST.MS"
  64.            [well we had to say it was from somewhere didn't we,
  65.            and naturally Brisbane came to mind]
  66.  
  67.    This virus interfers with the Microsoft Anti-Virus and Central
  68.    Point Anti-Virus programs, deleting the above indicated files which
  69.    the programs require in order to be able to detect viral infections.
  70.    [I believe that's spelt "interferes" patti, but hey I'll let it go,
  71.    yeah you're right it messes with those, and tbscan but you wouldn't
  72.    mention that would you ;)]
  73.  
  74.    All in all the article is pretty much correct, although there are
  75.    two versions of the Incest.Daddy virus (as noted by F-Prot).  It's
  76.    obvious she hasn't read vlad#1 or I'm sure she would've mentioned
  77.    about the reason *why* it's called the Incest family.
  78.  
  79.    Ah well, VSUM is in general full of shit.. but this is ok.  It just
  80.    fucks me off that every single piece of AV bullshit has named our
  81.    virus (they all only have Incest.Daddy!!) wrong, they obviously don't
  82.    know how to read a magazine, any of them could get their hands on
  83.    it if they really wanted to.
  84.  
  85.    When it comes down to it, we're lucky these people are doing their
  86.    job badly.  It gives us a better chance of further infection, and
  87.    a virus with more names might get more attention :) hehe I dunno,
  88.    a pretty rooted theory but hey.. this is a magazine, I have to
  89.    crap on about something :) heheheh
  90.  
  91.    Metabolis/VLAD
  92.  
  93.  
  94.