home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / virus / 4758 < prev    next >
Encoding:
Internet Message Format  |  1992-12-22  |  2.3 KB
  1. Path: sparky!uunet!think.com!yale.edu!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: riordan.cybec@tmx.mhs.oz.au (Roger Riordan)
  3. Newsgroups: comp.virus
  4. Subject: Another new version of Zerotime. (PC)
  5. Message-ID: <0005.9212212018.AA02123@barnabas.cert.org>
  6. Date: 17 Dec 92 22:24:11 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 40
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. We have just received another version of Zerotime (or Slow) virus, 
  12. which would appear to have been patched locally.  Two instructions  
  13. have been swapped, as shown below.  The only existing program we 
  14. have tried which will find it is F-Prot, which identifies it as "a 
  15. new strain of Slow".
  16.  
  17. This would have been fairly trivial if the finder had not had many 
  18. files in which the virus was protected by a CPAV product, supposed 
  19. to provide integrity checking.  This is reported in another note.
  20.  
  21. The effects of this virus do not seem to be well known.  It is 
  22. Jerusalem derived, is not obvious, and does not make the PC run 
  23. slow.  However for every 2nd file closed during business hours on 
  24. any Friday it sets the file date & time to zero (ie midnight on Jan 
  25. 1st, 1980).  This would appear to be intended to trick accounting 
  26. and backup software into thinking that the the latest weeks results 
  27. are incredibly boring old rubbish, and throwing them away.  
  28.  
  29. It also mutates, and occasionally generates a version with a new 
  30. randomly derived signature (used by the virus when checking if a 
  31. file is already infected).  The new version recognises, and will not 
  32. re-infect, files infected by its parent.  As no reputable scanner 
  33. uses this signature this has no practical significance.  Zerotime is 
  34. quite common in Australia.
  35.  
  36. Oddly DIR does not show a date or time for files dated Jan 1, 1980.
  37.  
  38.           Normal                             Zerotime 3
  39.  
  40.    0107 90        NOP                 0107 90        NOP
  41.    0108 81C61B00  ADD  SI,001B        010C B9900C    MOV  CX,0690
  42.    010C B9900C    MOV  CX,0690        0108 81C61B00  ADD  SI,001B
  43.    010F 2E        CS:                 010F 2E        CS:
  44.    0110 803471    XOR BYTE PTR..      0110 803471    XOR BYTE PTR..
  45.  
  46.  
  47. Roger Riordan                     riordan.cybec@tmxmelb.mhs.oz.au
  48.  
  49. CYBEC Pty Ltd.                                 Tel: +613 521 0655
  50. PO Box 205, Hampton Vic 3188   AUSTRALIA       Fax: +613 521 0727
  51.