home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / os / msdos / misc / 6792 < prev    next >
Encoding:
Internet Message Format  |  1992-12-31  |  2.3 KB
  1. Path: sparky!uunet!gatech!enterpoop.mit.edu!eru.mt.luth.se!kth.se!sunic!isgate!complex!frisk
  2. From: frisk@complex.is (Fridrik Skulason)
  3. Newsgroups: comp.os.msdos.misc
  4. Subject: Re: Viruses, viruses!
  5. Keywords: Virus Stoned
  6. Message-ID: <182@complex.complex.is>
  7. Date: 31 Dec 92 15:20:13 GMT
  8. References: <1htpooINN2jp@crcnis1.unl.edu>
  9. Organization: Frisk Software International, Iceland
  10. Lines: 41
  11.  
  12. The Gipsy Scholar (Bruce Bathurst, bathurst@phoenix.princeton.edu),
  13. writes:
  14.  
  15. > Last week a friend asked me to fix a floppy--an original disk from 
  16. > a commercial program.  The boot record (and following sector) had 
  17. > unusual code, so I suspected a boot-record virus.  Because no 
  18. > messages were displayed on his screen, I guessed it was the Stoned 
  19. > virus, and checked the spot it places the correct boot record.  
  20. > There was code--out of place--but different from the correct boot 
  21. > code and different from that in the first sector.  This was 
  22. > Michelangelo.  The poor floppy caught one, then the other.
  23.  
  24. Well, you are not the first person to have this problem - I have seen several
  25. reports of it elsewhere.  The "Stoned" virus has been around for a long time,
  26. and with Michelangelo slowly becoming more common, others will have it too.
  27.  
  28. The real problem starts when a hard disk gets infected by both, as the
  29. viruses attempt to relocate the original MBR to the same location (0,0,7),
  30. with the result that wen the second virus infects the system, the original
  31. MBR is lost, and the machine becomes non-bootable, which is usually how
  32. the double-infection is discovered :-)
  33.  
  34. It is not a proper double-infection, though, as the viruses are not
  35. compatible with each other, but as I said it happens occasionally.
  36.  
  37. > don't surprise your computer.  In principle, if you insert a 
  38. > floppy with a boot-record infection and type "C:\DOS>dir a:", 
  39. > your machine can be infected.
  40.  
  41. Well, no ... the boot sector is read into memory, and if you run a virus
  42. scanner it may report "Stoned was found in memory", but the machine is not
  43. infected.
  44.  
  45. It is *possible* to become infected just by giving a DIR command, but only
  46. by using a really weird trick when creating the diskette originally, which
  47. I will not (for obvious reasons) describe here. 
  48.  
  49. -- 
  50. --
  51. Fridrik Skulason      Frisk Software International     phone: +354-1-694749
  52. Author of F-PROT      E-mail: frisk@complex.is         fax:   +354-1-28801
  53.