home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / Library / +ORC / Orc pac 3 / FILEZ.ZIP / MONKEY.ZIP / KILLMONK.ZIP / INT_10.NOT next >
Encoding:
Text File  |  1993-11-01  |  4.1 KB  |  94 lines
  1. (from Padgett Peterson)                                 
  2.             Int_10 Virus
  3.  
  4. Recently  a new virus was discovered that  shows  some disturbing 
  5. advances in "stealth". 
  6.     
  7. It does not appear to be deliberately malicious (its "payload" is
  8. a  graphic  snowfall  on  the screen at  midnight  or  six  hours 
  9. following boot in December) but can cause disk corruption.
  10.     
  11. A floppy boot sector and hard disk MBR infector, the virus seems
  12. specifically  directed at "generic"/"heuristic" scanners  and  my 
  13. early stuff.
  14.     
  15. This  virus goes resident in 1k at the TOM and  actually  removes 
  16. itself from the fixed disk during boot. While it eventually hooks 
  17. interrupt   13h,  this  is  not  during  the  BIOS  load,   being 
  18. accomplished through DOS instead.
  19.     
  20. Once fully resident, "stealth" is used to hide the return of  the 
  21. virus to the MBR.
  22.         
  23. While  two variants have been found so far, both may be  detected 
  24. via  the following string in the MBR (if booted from  floppy),  a 
  25. floppy DBR, or in the last 1k area at the TOM if resident in RAM;
  26.     
  27.   88 85 93 02 41 41 D3 E0 80 7D 0B 00 75
  28.     
  29.                        Warmly,
  30.                              Padgett
  31.     
  32.     ps DiskSecure II detects and removes it 8*).  
  33.  
  34. --------------------------------------------------------------
  35.  
  36. Additional Notes on Int_10.
  37. (by Tim Martin)
  38.  
  39. 1. When the Snow pattern comes onto the screen, the keyboard is no 
  40. longer responded to, so any work in progress at that time, that has 
  41. not been saved to disk, will be lost.
  42.  
  43. 2. The virus is two sectors long.  On diskettes, one sector of the 
  44. virus body is hidden at the end of the root directory, along with 
  45. the hidden copy of the original boot sector.  This reduces the number 
  46. of files that can be in the root directory by 32.  If 80 or more 
  47. files are in the root directory on a 360k or 720k diskette, or 192 
  48. or more on high density diskettes, the directory will be corrupted.
  49.  
  50. 3. Int_10 is not polymorphic, but it does encode the saved copy 
  51. of the MBR or boot sector, by XORing each byte with the value
  52. of the CX register, which decreases from 200h to 1h as the sector
  53. is encoded.  On hard disks, this sector is hidden in sector 12 (Ch),
  54. and the second part of the virus body is in sector 13 (Dh).
  55.  
  56. 4. After a few disk accesses, the virus increases the Top of 
  57. Memory pointer (at 40:13h) by 1, so that the presence of the
  58. virus might not be evident through a MEM or CHKDSK command.
  59.  
  60. 5. I have seen the Int_10 virus cause some device drivers to lock up.
  61. Specifically, the PC/NFS software on my computer locks up if my 
  62. computer is infected with Int_10.  However the virus doesn't seem 
  63. to interfere with Novell networks.  I haven't yet figured out the 
  64. cause of this lockup, but it might have to do with the Int_10
  65. interception, or the virus' step of linking itself into the
  66. DOS Int 13h call.
  67.  
  68. 6. Int_10 temporarily removes itself from the hard disk,
  69. during the boot process, then re-installs itself when DOS
  70. is loaded.  This means that an infected computer might be
  71. cleaned by shutting the computer off during the boot process,
  72. between the running of the Master Boot Record and the loading
  73. of DOS.  It's a tricky timing, though.
  74.  
  75. 7. The Int_10 virus fiddles slightly with two bytes in the copy
  76. of the partition table found in the virus body.  The DOS 5.0+
  77. command "FDISK /MBR" will remove the virus from a hard disk, 
  78. but the partition table data left behind are not quite correct 
  79. in most cases.  The errors are not expected to cause problems,
  80. though, under normal conditions.  But, when it comes to DOS,
  81. as Bruce Cockburn put it, "the trouble with normal is it always 
  82. gets worse."
  83.  
  84. 8. Technically, Virus Taxonomists might want to note that the 
  85. two variants are called Stoned.Empire.Int_10.A  and  
  86. Stoned.Empire.Int_10.B, according to CARO naming standards.
  87.  
  88.  -----------------------------------------------------------------
  89.   Tim Martin                       *      Reluctant to find he's 
  90.   Spatial Information Systems      *      stuck in the nineties
  91.   University of Alberta            *      again.
  92.   martin@ulysses.sis.ualberta.ca   *              - Moxy Fruvous
  93.  ------------------------------------------------------------------
  94.