home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / cert_advisories / CA-92:02.Michelangelo.PC.virus.warning < prev    next >
Encoding:
Text File  |  1992-02-05  |  4.6 KB  |  101 lines
  1. ===========================================================================
  2. CA-92:02                        CERT Advisory
  3.                      February 6, 1992
  4.                          Michelangelo PC Virus Warning
  5.  
  6. ---------------------------------------------------------------------------
  7.  
  8. The Computer Emergency Response Team/Coordination Center (CERT/CC) has
  9. received information concerning a personal computer virus known as
  10. Michelangelo.  The virus affects IBM PCs and compatibles.  A description
  11. of the virus, along with suggested countermeasures, is presented below.
  12.  
  13. ---------------------------------------------------------------------------
  14.  
  15. I.   Description
  16.  
  17.      The Michelangelo virus is a computer virus that affects PCs
  18.      running MS-DOS (and PC-DOS, DR-DOS, etc.) versions 2.xx and
  19.      higher.  Note, however, that although the virus can only execute
  20.      on PCs running these versions of DOS, it can infect and damage PC
  21.      hard disks containing other PC operating systems including UNIX,
  22.      OS/2, and Novell.  Thus, booting an infected DOS floppy disk on
  23.      a PC that has, for example, UNIX on the hard disk would infect
  24.      the hard disk and would probably prevent the UNIX disk from
  25.      booting.  The virus infects floppy disk boot sectors and hard
  26.      disk master boot records (MBRs).  When the user boots from an
  27.      infected floppy disk, the virus installs itself in memory and
  28.      infects the partition table of the first hard disk (if found).
  29.      Once the virus is installed, it will infect any floppy disk that
  30.      the user accesses.
  31.  
  32.      Some possible, though not conclusive, symptoms of the
  33.      Michelangelo virus include a reduction in free/total memory by
  34.      2048 bytes, and some floppy disks that become unusable or display
  35.      "odd" graphic characters during "DIR" commands.  Additionally,
  36.      integrity management products should report that the MBR has been
  37.      altered.
  38.  
  39.      Note that the Michelangelo virus does not display any messages on
  40.      the PC screen at any time.
  41.  
  42. II.  Impact
  43.  
  44.      The Michelangelo virus triggers on any March 6.  On that date,
  45.      the virus overwrites critical system data, including boot and
  46.      file allocation table (FAT) records, on the boot disk (floppy or
  47.      hard), rendering the disk unusable.  Recovering user data from a
  48.      disk damaged by the Michelangelo virus will be very difficult.
  49.  
  50. III. Solution 
  51.  
  52.      Many versions of anti-virus software released after approximately
  53.      October 1991 will detect and/or remove the Michelangelo virus.
  54.      This includes numerous commercial, shareware, and freeware
  55.      software packages.  Since this virus was first detected around
  56.      the middle of 1991 (after March 6, 1991), it is crucial to use
  57.      current versions of these products, particularly those products
  58.      that search systems for known viruses.
  59.         
  60.      The CERT/CC has not formally reviewed, evaluated, or endorsed any
  61.      of the anti-virus products.  While some older anti-virus products
  62.      may detect this virus, the CERT/CC strongly suggests that sites
  63.      verify with their anti-virus product vendors that their product
  64.      will detect and eradicate the Michelangelo virus.
  65.  
  66.      The CERT/CC advises that all sites test for the presence of this
  67.      virus before March 6, which is the trigger date.  If an infection
  68.      is discovered, it is essential that the user examine all floppy
  69.      disks that may have come in contact with an infected machine.
  70.  
  71.      As always, the CERT/CC strongly urges all sites to maintain good
  72.      backup procedures.
  73.  
  74. ---------------------------------------------------------------------------
  75.  
  76. The CERT/CC wishes to thank for their assistance: Mr. Christoph
  77. Fischer of the Micro-BIT Virus Center (Germany), Dr. Klaus Brunnstein
  78. of the Virus Test Center (Germany), Mr. A. Padgett Peterson, P.E., of
  79. the Technical Computing Center at Martin-Marietta Corp., and Mr. Steve
  80. R. White of IBM's Thomas J. Watson Research Center.
  81.  
  82. ---------------------------------------------------------------------------
  83.  
  84. If you believe that your system has been compromised, contact CERT/CC or
  85. your representative in FIRST (Forum of Incident Response and Security Teams).
  86.  
  87. Internet E-mail: cert@cert.sei.cmu.edu
  88. Telephone: 412-268-7090 (24-hour hotline)
  89.            CERT/CC personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  90.            on call for emergencies during other hours.
  91.  
  92. Computer Emergency Response Team/Coordination Center (CERT/CC)
  93. Software Engineering Institute
  94. Carnegie Mellon University
  95. Pittsburgh, PA 15213-3890
  96.  
  97. Past advisories, information about FIRST representatives, and other
  98. information related to computer security are available for anonymous ftp
  99. from cert.sei.cmu.edu (192.88.209.5).
  100.  
  101.