home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / CASCADE.RPT < prev    next >
Encoding:
Text File  |  1991-05-28  |  6.0 KB  |  140 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   CASCADE SERIES
  11.   ==============
  12.  
  13.   Version 1 (1701 bytes):
  14.  
  15.   The virus occurs attached to the end of a COM file.  COM files
  16.   increase in length by 1701 bytes.  The first three bytes of the
  17.   program are stored in the virus, and replaced by a branch to the
  18.   beginning of the virus.  The virus is encrypted (apart from the
  19.   first 35 bytes) using an algorithm that includes the length of the
  20.   host program, so every sample looks different.  It becomes
  21.   memory-resident when the first infected program is run, and it will
  22.   then infect every COM file run (even if the file has an EXE
  23.   extension).  If the system date is between October and December 1988
  24.   the cascade display will be activated at random intervals.  The
  25.   virus tests the BIOS for the string 'COPR. IBM', and will not infect
  26.   if it finds this - however there are errors in the code which
  27.   prevent it from working.  Because recognition depends on the length
  28.   of the virus, it will infect programs already infected by variants
  29.   with different lengths.
  30.  
  31.  
  32.   Version 2 (1704 bytes):
  33.  
  34.   COM files increase in length by 1704 bytes.  The only differences
  35.   from Version 1 are the removal of a conditional jump (which would
  36.   never have been taken) and some necessary segment overrides on the
  37.   BIOS tests missing in the previous version.  There is still a
  38.   mistake preventing an IBM machine from being recognised.
  39.  
  40.  
  41.   Version 3 (1704 bytes):
  42.  
  43.   Same as Version 2 but has been modified, without recompiling, to
  44.   format the hard disk.  The formatting routine from Datacrime (1) has
  45.   been written over the cascade display, and the activation routine
  46.   changed to 1st October to 31st December, any year except 1993.
  47.   Formatting will be after a random interval, maximum 5 minutes.
  48.  
  49. ==== Computer Virus Catalog 1.2: Autumn Virus (July 15, 1989) ========
  50.  
  51. Entry...............: Autumn (Leaves) Virus
  52. Alias(es)...........: Blackjack =1704- =Herbst(laub)= Cascade A-Virus
  53. Virus Strain........: Cascade- = Autumn- =Herbst-Virus
  54. Virus detected when.: September 1988
  55.               where.: University of Konstanz, FRG
  56. Classification......: Program Virus (extending .COM), RAM resident
  57. Length of Virus.....: .COM filelength increases by 1704 byte
  58. -------------------- Preconditions -----------------------------------
  59.  
  60. Operating System(s).: MS-DOS
  61. Version/Release.....: 2.xx upward
  62. Computer model(s)...: IBM-PC, XT, AT and compatibles
  63.  
  64. -------------------- Attributes -------------------------------------
  65.  
  66. Easy Identification.: ---
  67. Type of infection...: System: is infected if the call of interrupt 21h
  68.                       with function 4Bh and subfunction FFh is
  69.                       possible and without error and 55AAh is returned
  70.                       in DI- register.
  71.  
  72.                       .COM file: Program virus, increases COM files by
  73.                       1704 Byte. A .COM file is infected if the first
  74.                       instruction is a three byte jump with DISP16 =
  75.                       (filelength minus viruslength).
  76.  
  77.                       .EXE file: no infection.
  78.  
  79. Infection Trigger...: Infects all files that are loaded via the
  80.                       function 4Bh and subfunction 00h of the
  81.                       interrupt 21h (MS-DOS uses this function to
  82.                       start any program)
  83.  
  84. Interrupts hooked...: Int21h, Int28h (only if Clockdevice Year =
  85.                       1980), Int1Ch (only if damage is triggered)
  86.  
  87. Damage..............: Transient Damage: Modifies screen by making the
  88.                       characters on the screen "fall down" on the
  89.                       screen in connection with clicking noises.
  90.  
  91. Damage Trigger......: IF function GetDate returns with
  92.                          1. ( year=1988 AND month>= 10 ) OR
  93.                          2. ( year=1980 AND
  94.                          2.1. clock is changed by user to year=1988
  95.                                 month>=10 OR
  96.                          2.2. clock is changed by user to year>1988 )
  97.                       AND a random number generator activates damage.
  98.  
  99. Particularities.....: 1. If the system is _not_ infected, the
  100.                          invocation of an infected program produces
  101.                          errors (system crash is possible).
  102.  
  103.                       2. COM-files up to a length of 63800 bytes will
  104.                          be infected, but files with a length of more
  105.                          than 63576 bytes are not loadable after
  106.                          infection.
  107.  
  108.                       3. The virus-program is encoded, dependent of
  109.                          the .COM-filelength.
  110.  
  111.                       4. The distinction between .EXE and .COM files
  112.                          is made by testing the "magic number (MZ)" in
  113.                          the .EXE-Header.
  114.  
  115. ------------------- Agents -----------------------------------------
  116.  
  117. Countermeasures.....: Category 3: ANTIHBST.EXE (VTC Hamburg)
  118.  
  119. Countermeasures successful: ANTIHBST.EXE is an antivirus that only
  120.                             looks for the HERBST-virus and, if
  121.                             requested, will restore the file.
  122.  
  123. Standard means......: ---
  124.  
  125. ------------------- Acknowledgement --------------------------------
  126.  
  127. Location............: Virus Test Center, University Hamburg, FRG
  128. Classification by...: Michael Reinschmiedt
  129. Documentation by....: Michael Reinschmiedt
  130.                       Morton Swimmer
  131. Date................: July 15, 1989
  132.  
  133.  
  134. =================== End of Autumn-Virus ============================
  135.  
  136.  
  137.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  138.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  139.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  140.