home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / os / msdos / misc / 6782 < prev    next >
Encoding:
Internet Message Format  |  1992-12-30  |  3.2 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!moe.ksu.ksu.edu!crcnis1.unl.edu!unlinfo!vporguen
  2. From: vporguen@unlinfo.unl.edu (victor porguen)
  3. Newsgroups: comp.os.msdos.misc
  4. Subject: Viruses, viruses!
  5. Date: 31 Dec 1992 03:34:48 GMT
  6. Organization: University of Nebraska--Lincoln    
  7. Lines: 56
  8. Distribution: world
  9. Message-ID: <1htpooINN2jp@crcnis1.unl.edu>
  10. NNTP-Posting-Host: unlinfo.unl.edu
  11. Keywords: Virus Stoned
  12.  
  13.  
  14. The Gipsy Scholar (Bruce Bathurst, bathurst@phoenix.princeton.edu),
  15. writes:
  16.  
  17. > Last week a friend asked me to fix a floppy--an original disk from 
  18. > a commercial program.  The boot record (and following sector) had 
  19. > unusual code, so I suspected a boot-record virus.  Because no 
  20. > messages were displayed on his screen, I guessed it was the Stoned 
  21. > virus, and checked the spot it places the correct boot record.  
  22. > There was code--out of place--but different from the correct boot 
  23. > code and different from that in the first sector.  This was 
  24. > Michelangelo.  The poor floppy caught one, then the other.
  25.  
  26. Fortunately, computer virus "infections" are fairly rare occurrences.
  27. Double computer virus "infections" are even rarer.  A mad dog could 
  28. have bitten your friend, and the dog could have been rabid, and 
  29. there might not have been any good vaccine left in the hospital, and 
  30. the power went down at the same time, so that the hospital couldn't 
  31. get any fresh vaccine, and your friend may have died as a result. 
  32.  
  33. But I am not going to loose any sleep over mad dogs because of
  34. such possibility.
  35.  
  36. The operation you suggest (re-activating the Michelangelo while 
  37. cleaning the Stoned infection), while theoretically possible, has 
  38. seldom caused an actual problem in the field that I am aware of. 
  39. Do you know of any verifiable, documented case(s) which could be 
  40. confirmed by an independent observer?  (I don't mean the double 
  41. infection - I do believe you found one, and I've seen some myself, 
  42. mostly experimental, but I mean that "reactivation" you suggest. )
  43.  
  44. > BTW, the little program in the boot record is run not only during 
  45. > booting, but any time the computer needs to know what medium is in 
  46. > the drive.  This is why disks copy-protected with an odd format 
  47. > don't surprise your computer.  In principle, if you insert a 
  48. > floppy with a boot-record infection and type "C:\DOS>dir a:", 
  49. > your machine can be infected.
  50.  
  51. I believe the =code= written in the diskette's Boot Sector gets 
  52. executed only during a booting process or attempted booting process.
  53. At other times, i.e., when reading the disk to see what kind of disk 
  54. it is, there is no execution of code. There's only reading of =data=, 
  55. which the boot sector also contains. If the =data= is incorrect, the
  56. system might assume some weird things about the disk, but no boot
  57. sector code gets executed just from reading it for information
  58. purposes (i.e., to determine disk size, type, etc.)
  59.  
  60. Once a virus becomes TSR on the system, all kinds of things can 
  61. happen when you access a diskette, because accessing a disk is 
  62. executing =code=, the system's (BIOS) code, to read the boot sector 
  63. =data=, but NOT EXECUTING THE BOOT SECTOR CODE.  So initial 
  64. infection from the diskette to the system does not take place the 
  65. way you suggest.  
  66.  
  67. ( Unless somebody just discovered a new way to accomplish it! <g>. )
  68.  
  69.