home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / virus.ibm < prev    next >
Encoding:
Text File  |  2003-06-11  |  20.1 KB  |  503 lines
  1.  
  2. /========================================================================\
  3. |                                                                        | 
  4. |                         IIIII   BBBBB    MM   MM                       |
  5. |                           I      B   B   M M M M                       |
  6. |                           I      BBBB    M  M  M                       |
  7. |                           I      B   B   M     M                       |
  8. |                         IIIII   BBBBB    M     M                       |
  9. |                                                                        |
  10. |           V   V   IIIII   RRRR   U    U  SSSSS  EEEEE  SSSSS           |
  11. |           V   V     I     R   R  U    U  S      E      S               |
  12. |           V   V     I     RRRR   U    U  SSSSS  EEE    SSSSS           |
  13. |            V V      I     R   R  U    U      S  E          S           |
  14. |             V     IIIII   R   R   UUUU   SSSSS  EEEEE  SSSSS           |
  15. |                                                                        |
  16. |                                                                        |
  17. |                Author: Unknown (I DID NOT WRITE THIS)                  |
  18. |                        ==============================                  |
  19. |                                                                        |
  20. |          Uploaded to RIPCO (708) 528-5020 on 3 November 1989           |
  21. |                             ^^^ its actually 312                       |
  22. |                      Edited by: Paul M Chartraw                        |
  23. |                                                                        |
  24. \========================================================================/
  25.  
  26.  
  27.      I have arranged these viruses so that similar varieties are described
  28. in the sequence in which they appeared within the virus sub-group (to the
  29. best of my knowledge).  Not everyone agrees with my groupings.  Many people
  30. believe, for instance, that the Golden Gate-C (Mazatlan Virus) is a totally
  31. original virus and is not a variation of the Alameda.  I think differently
  32. and have endeavored to show how the Golden Gate evolved from the Alameda,
  33. through each precursor virus.  I cannot prove, of course, that the sequence
  34. of appearances is the correct sequence, and in many cases I have had to
  35. guess.  If anyone wishes to re-order these virii, I will not be offended.
  36. I have not included any of the specific application trojans in this list.
  37. There has been a lot of discussion about the Lotus 123 and DBASE "viruses",
  38. as one example.  These are not replicating programs and I do not classify
  39. them as viruses.  I had originally intended a separate list to include
  40. these non-replicating trojans but Time caught up with me.
  41.  
  42. 1. ALAMEDA VIRUS
  43.      (Also called: Yale; Merritt; Pecking; Seoul)
  44.      
  45.      This is a boot sector infector.  First discovered at Merritt
  46.      college in California (1987).  Original version caused no   
  47.      intentional damage.  Replicates at boot time <ctrl>-<alt>-  
  48.      <del> and infects only 5 1/4" 360KB floppies.  It saves the
  49.      real boot sector at track 39, sector 8, head 0.  Contains a
  50.      count of the number of times it has infected other
  51.      diskettes, although it is referenced for write only and is
  52.      not used as part of an activation algorithm.  The virus
  53.      remains resident at all times after it is booted, even if no
  54.      floppy is booted and BASIC is loaded.  Contains a rare POP
  55.      CS instruction that makes it incapable of infecting 286
  56.      systems.
  57.  
  58. 2. ALAMEDA-B
  59.  
  60.      (Also called Sacramento Virus)
  61.  
  62.      This is the original Alameda Virus that has the POP CS
  63.      removed.  Relocation is accomplished through a long jump
  64.      instruction.  All other characteristics are identical.  This
  65.      version runs OK on a 286. 
  66.  
  67. 3. ALAMEDA-C
  68.      
  69.      This is the Alameda-B virus that has been modified to
  70.      disable the boot function after 100 infections.  The
  71.      counter in the original Alameda virus has been re-activated
  72.      and is interrogated at each bootup.  When it reaches 100 the
  73.      virus disconnects from the original boot sector (control is
  74.      no longer passed) and the diskette will no longer boot.  At
  75.      infection time, the counter is zeroed on the host diskette.
  76.  
  77. 4. SF VIRUS
  78.      
  79.      This is the Alameda-C that has been modified to format the
  80.      boot diskette when the counter runs out.  
  81.  
  82. 5. GOLDEN GATE VIRUS
  83.  
  84.      (Also called The 500 Virus)
  85.  
  86.      This is the SF Virus that has been modified to format the C
  87.      drive when the counter runs out.  The activation occurs
  88.      after 500 infections, instead of 100 infections.  Note that
  89.      in all three of these strains, the counter is zeroed on the
  90.      host diskette at infection time.  Thus, the activation
  91.      period on this virus will on the average stretch into many
  92.      years.  No corruption will occur until 500 new diskettes
  93.      have been infected from within a given machine.  Since the
  94.      infection can only occur when the system is booted with a
  95.      new diskette, infection is not frequent with this virus.  I
  96.      expect that the overwhelming majority of infections will
  97.      never activate.  The IBM PC will have long since been
  98.      supplanted by another architecture in most environments.
  99.  
  100. 6. GOLDEN GATE-B
  101.  
  102.      This virus is the Golden Gate virus that has had the
  103.      activation delay reset to 30 infections.  This virus should
  104.      activate within a couple of years in most environments.  
  105.  
  106. 7. GOLDEN GATE-C
  107.  
  108.      (Also called the Mazatlan Virus)
  109.  
  110.      This virus is the Golden Gate virus that is able to infect a
  111.      hard disk.   It is a nasty virus, since it has more of an
  112.      opportunity to do damage than previous versions.  Prior
  113.      versions were limited since systems with hard disks are only
  114.      infrequently booted from floppy and booting from hard disk
  115.      overwrote earlier versions.
  116.  
  117. 8. GOLDEN GATE-D
  118.  
  119.      This virus is identical to number 7, except the counter has
  120.      been disabled (similar to original Alameda).
  121.  
  122. 9. THE BRAIN
  123.  
  124.      (Also called, Pakistani Brain; Basit Virus)  
  125.  
  126.      This virus originated in January, 1986, in Lahore Pakistan. 
  127.      It is the only virus yet discovered that includes the valid
  128.      names address and phone numbers of the original
  129.      perpetrators.  The Brain is a boot sector infector,
  130.      approximately 3K in length, that infects 5 1/4" floppies. 
  131.      It cannot infect hard disks.  It will infect a diskette
  132.      whenever the diskette is referenced.  For example, a
  133.      Directory command, executing a program from the diskette,
  134.      copying a file from or to the diskette or any other access
  135.      will cause the infection to occur.  The virus stores the
  136.      original boot sector, and six extension sectors, containing
  137.      the main body of the virus, in available sectors which are
  138.      then flagged as bad sectors.
  139.  
  140.      The virus is able to hide from detection by intercepting any
  141.      interrupt that might interrogate the boot sector and re-
  142.      directing the read to the original boot sector.  Thus,
  143.      programs like the Norton Utilities will be unable to see the
  144.      virus.  
  145.  
  146.      Infected diskettes are noticeable by "@BRAIN" displayed in
  147.      the volume label.
  148.  
  149. 10. BRAIN-B
  150.  
  151.      (Also called Brain-HD; the Hard Disk Brain; Houston Virus)
  152.  
  153.      This virus is identical in every respect to the original
  154.      Brain, with the single exception that it can infect the C
  155.      drive.  
  156.  
  157. 11. BRAIN-C
  158.      
  159.      This virus is the Brain-B that has the volume label code
  160.      removed.  The volume label of infected diskettes does not
  161.      change with this virus.  This virus was difficult to detect
  162.      since it does nothing overt in the system.
  163.  
  164. 12. CLONE VIRUS
  165.  
  166.      This virus is the Brain-C that saves the original boot
  167.      copyright label and restores it to the infected boot.  The
  168.      Basit & Mjad original Brain messages have been replaced with
  169.      non-printable garbage that looks like instructions if viewed
  170.      through Norton or other utility.  Even if the system is
  171.      booted from a clean diskette, it is virtually impossible to
  172.      tell, by visual inspection, whether the hard disk is
  173.      infected. 
  174.  
  175. 13. SHOE_VIRUS
  176.  
  177.      (Also called UIUC Virus)
  178.  
  179.      This virus is the Brain-B Virus that has been modified to
  180.      include the message - "VIRUS_SHOE RECORD, v9.0.  Dedicated
  181.      to the dynamic memories of millions of virus who are no
  182.      longer with us today".  The message is never displayed.
  183.  
  184. 14. SHOE_VIRUS-B
  185.  
  186.      This is the Shoe_Virus that has been modified to so that it
  187.      can no longer infect hard disks.  The v9.0 has been changed
  188.      to v9.1.
  189.  
  190. 15. ClONE-B
  191.  
  192.      This is the Clone virus that has been modified to corrupt
  193.      the FAT when it is booted after May 5, 1992.  There are no
  194.      other apparent modifications.
  195.  
  196. 16. DOS-62
  197.  
  198.      (Also called the UNESCO Virus)
  199.  
  200.      This virus is a COM infector.  It was first discovered in
  201.      Moscow in April, 1988.  It was first publicized in August
  202.      1988 when it cropped up at a children's computer Summer camp
  203.      run by UNESCO.  When a program infected by this virus is
  204.      executed, it infects one other COM file in the system.  On a
  205.      random basis, infected programs will perform a system re-
  206.      boot when they are executed.
  207.  
  208. 17. 62-B
  209.  
  210.      This virus is similar to DOS-62 except the re-boot is
  211.      replaced by deleting the executed program.
  212.  
  213. 18. FRIDAY THE 13th
  214.  
  215.      (Also called COM Virus; 512 virus)
  216.  
  217.      This virus is a non-resident COM infector that first
  218.      appeared in South Africa in 1987.  At each execution of an
  219.      infected program the virus seeks out two other COM files on
  220.      the C drive and one COM file on the A drive and infects
  221.      them.  The virus is extremely fast and the only indication
  222.      of infection occurring is the access light on the A drive
  223.      (if the current drive is C).  The virus will only infect a
  224.      file once.
  225.  
  226.      On every Friday 13 the virus deletes the host program if it
  227.      is executed on that day (similar to the Jerusalem).
  228.  
  229. 19. Friday 13th-B
  230.  
  231.      This virus is identical to the original except that it
  232.      infects every file in the current subdirectory.  The only
  233.      way this virus can spread beyond the current subdirectory is
  234.      if an infected program ends up in the system PATH.  Then
  235.      every COM file in the currently selected subdirectory will
  236.      get infected.
  237.  
  238. 20. Friday 13th-C
  239.  
  240.      This is the 13th-B except a message has been added that
  241.      displays - "We hope we haven't inconvenienced you" appears
  242.      whenever the virus activates.
  243.  
  244. 21. JERUSALEM
  245.  
  246.      (Also called Israeli; Friday the 13th; PLO)
  247.  
  248.      This virus is a memory resident COM and EXE infector.  It
  249.      was first discovered at the Hebrew University in Jerusalem
  250.      in the fall of 1987.  It contains a flaw which makes it re-
  251.      infect EXE files over and over until the files become too
  252.      big to fit into memory.  The virus re-directs interrupt 8
  253.      (among others) and one-half hour after an infected program
  254.      loads, the new timer interrupt introduces a delay which
  255.      slows down the processor by a factor of about 10.  On every
  256.      Friday the 13, the virus deletes every program executed
  257.      during the day.
  258.  
  259. 22. JERUSALEM-B
  260.  
  261.      This virus is identical to the Jerusalem except it is able
  262.      to successfully identify pre-existing infections in EXE
  263.      files and will only infect them once.
  264.  
  265. 23.  JERUSALEM-C
  266.      (Also called the New Jerusalem)
  267.  
  268.      This virus is identical to Jerusalem-B except that the timer
  269.      interrupt delay code has been bypassed.  This virus is
  270.      virtually invisible until it activates.
  271.  
  272. 24.  BLACK HOLE
  273.  
  274.      (Also called the Russian Virus)
  275.  
  276.      This virus is the Jerusalem-C that has odd text and
  277.      additional code that is never referenced.  A new interrupt
  278.      eight routine is added to the non referenced area and a
  279.      number of interrupt 21 calls which appear meaningless.  The
  280.      additional text includes - "ANTIVIRUS".  It appears that
  281.      this virus is a modified version of some previous variety of
  282.      the Jerusalem which we have not yet seen.  
  283.  
  284. 25.  JERUSALEM-D
  285.  
  286.      This is the Jerusalem-C that destroys both versions of the
  287.      FAT on any Friday the 13th after 1990.  The code that
  288.      originally deleted executed programs has been overwritten
  289.      with the FAT destructive code.
  290.  
  291. 26.  JERUSALEM-E
  292.  
  293.      This is identical to the D variety except the activation is
  294.      any Friday the 13th after 1992.
  295.  
  296. 27.  CENTURY VIRUS
  297.  
  298.      (Also called the Oregon Virus)
  299.  
  300.      This is similar to the Jerusalem-C except the activation
  301.      date is January 1, 2000.  When the virus activates, it
  302.      erases both FATs on all connected drives and then begins
  303.      writing zeroes to every sector on every attached device.  If
  304.      allowed to continue to completion, it displays the message -
  305.       " Welcome to the 21st Century".
  306.  
  307. 28.  CENTURY-B
  308.  
  309.      This virus is similar to the original Century virus with the
  310.      following exception:
  311.  
  312.      It waits for BACKUP.COM to be executed and then garbles all
  313.      program writes.  After BACKUP terminates, the output
  314.      functions return to normal.
  315.  
  316. 29.  1701
  317.  
  318.      (Also called Cascade; Falling Tears)
  319.  
  320.      This virus evolved from a trojan horse disguised as a
  321.      utility to automatically turn off the num-lock light at
  322.      system boot.  The trojan horse caused the characters on the
  323.      screen to fall to the bottom of the screen in systems with
  324.      CGA monitors.  In late 1977 this trojan horse was turned
  325.      into a memory resident COM virus.  It gets it's name from
  326.      the size increase of infected COM files - 1701 bytes.  The
  327.      virus has some unique qualities:
  328.  
  329.           -    It uses an encryption algorithm to avoid detection
  330.                and complicate any attempted analysis.
  331.           -    It contains a sophisticated activation algorithm
  332.                that is based on randomizations, machine types,
  333.                monitor type, presence or absence of clock cards,
  334.                and time of year.
  335.           -    It was designed to infect only IBM clones.  True
  336.                IBM systems would be spared.
  337.  
  338.      The virus has a bug that causes the machine selection
  339.      algorithm to fail.  The virus activates on any machine with
  340.      a CGA or VGA monitor, in the months of September, October,
  341.      November or December in the year 1980 or 1988 (systems
  342.      without clock cards will often have a date set to 1980).  
  343.  
  344. 30.  1701-B
  345.  
  346.      This virus is identical to the 1701 except that it activates
  347.      in the fall of any year.
  348.  
  349. 31.  1704
  350.  
  351.      (Also called Cascade; Falling Tears)
  352.  
  353.      I would prefer to classify this virus as a variety of the
  354.      1701 but it has been universally referred to as a separate
  355.      virus, so I will go along with the crowd on this one.  It is
  356.      functionally identical to the 1701 except that the IBM
  357.      selection bug has been repaired.  The new virus is three
  358.      bytes longer.  In every other respect it is the same.
  359.  
  360. 32.  1704-B
  361.  
  362.      This virus is identical to the 1704, except the cascade
  363.      display has been replaced with a system re-boot when the
  364.      virus activates.  The activation uses the same interrupt 8
  365.      randomization algorithm, so the reboot will occur at a
  366.      random time interval after executing an infected program on
  367.      or after the activation date.
  368.  
  369. 33.  1704-C
  370.  
  371.      This virus is the same as the 1704-B, except the activation
  372.      date has been changed to occur in December of any year.
  373.  
  374. 34.  1704-D
  375.  
  376.      This virus is the same as the 1704, except the IBM selection
  377.      has been disabled (the virus infects true IBM PCs).
  378.  
  379. 35.  LEHIGH
  380.  
  381.      This is a COMMAND.COM infector that first surfaced at Lehigh
  382.      University in late 1987.  It is the widest known virus, the
  383.      most discussed and the most analyzed of all the viruses, so
  384.      I won't waste any more time on it.
  385.  
  386. 36.  SEARCH
  387.  
  388.      (Also called Den Zuk; Venezuelan)
  389.  
  390.      This is a boot sector infector that infects 360KB 5 1/4"
  391.      floppies.  It infects through any access to the host
  392.      diskette.  It can survive a warm reboot.  It will infect
  393.      data (non-system) diskettes, which in turn can pass on the
  394.      infection if an accidental attempt to boot from the data
  395.      disk occurs.  It has a bug which causes it incorrectly
  396.      attempt to infect 3.5" diskettes.  This will overwrite the
  397.      diskette's FAT and cause a read (or write) failure.  It
  398.      cannot infect a hard disk, and will not attempt to do so. 
  399.      If an infected system is rebooted from the hard disk, the
  400.      virus will de-activate.  This is not the case with rebooting
  401.      from a clean floppy - which will become infected.
  402.  
  403.      The virus causes CGA, EGA and VGA screens to display a
  404.      purple "DEN ZUK" graphic to appear after a <ctrl>-<alt>-
  405.      <del>.  It causes no damage.
  406.  
  407. 37.  SEARCH-HD
  408.  
  409.      This virus is identical to the Search Virus, except it's
  410.      able to infect hard disks.
  411.  
  412. 38.  SEARCH-B
  413.  
  414.      This virus is identical to the Search virus, but
  415.      unsuccessful modifications have been made to fix the 3.5"
  416.      diskette problem.  The 3.5" infection still fails, plus
  417.      unsuccessful attempts to infect the hard disk will occur
  418.      which result in system failure in some systems.
  419.  
  420. 39.  SYS VIRUS
  421.  
  422.      This virus is really a modification of the Search-HD virus. 
  423.      The display code has been replaced (no display occurs on
  424.      reboot) by code that disables the SYS program.  The SYS
  425.      program itself is not modified, but any attempt to execute
  426.      SYS will result in the program not being loaded.  Instead,
  427.      multiple reads to the source and target drives will occur
  428.      (to simulate the SYS activity).  The normal SYS message
  429.      output is displayed by the virus at the appropriate time. 
  430.      This virus will successfully avoid being removed by SYS.
  431.      The virus does no damage.
  432.  
  433. 40.  SYS-B
  434.  
  435.      This is similar to the SYS virus, but it performs a hard
  436.      disk format on any Friday 13th after 1990.  This virus, and
  437.      its precursor virus both still contain the 3.5" bug, so that
  438.      they are easily detected on systems using 3.5" drives.  They
  439.      are difficult to detect on other systems.
  440.  
  441. 41.  SYS-C
  442.  
  443.      Similar to the SYS virus but performs random reboots
  444.      beginning 2 hours after power-on or initial boot.
  445.  
  446. 42.  648 VIRUS
  447.  
  448.      (Also called the Austrian Virus)
  449.  
  450.      This is a COM infector that increases the size of the
  451.      infected file by 648 bytes.  It was first reported in London
  452.      in the fall of 1988.  It is not a memory resident virus.  It
  453.      infects the next uninfected COM file in the current
  454.      directory (similar to the original Friday 13th).  It does no
  455.      overt damage.
  456.  
  457. 43.  648-B
  458.  
  459.      This is similar to the 648, but it causes infrequent errors
  460.      in the infected COM file so that the file will not execute. 
  461.      Approximately one file in ten will be corrupted.
  462.  
  463. 44.  STONED
  464.  
  465.      (Also called New Zealand Virus)
  466.  
  467.      This is a boot sector infector that infects 360 KB 5 1/4"
  468.      floppies.  It was first reported in Wellington, New Zealand
  469.      in early 1988).  It displays - "Your computer is now stoned.
  470.  
  471.      Legalize Marijuana" every 8th bootup.  No overt damage. 
  472.      Unable to infect hard disk.
  473.  
  474. 45.  STONED-B
  475.  
  476.      Variation of Stoned.  Has been changed to be able to infect
  477.      hard disks.  The hard disk is infected as soon as an
  478.      infected floppy is booted.  No intentional damage done,
  479.      except systems with RLL controllers will frequently hang.  
  480.  
  481. 46.  STONED-C
  482.  
  483.      This is the Stoned-B virus that no longer displays the
  484.      "Stoned" message.  This virus is difficult to detect.
  485.  
  486. 47.  VERA CRUZ
  487.  
  488.      (Also Called Bouncing Ball; Italian Virus)
  489.  
  490.      This is a boot sector virus that was first reported in March
  491.      1988.  It is a floppy-only infector.
  492.  
  493.      When this virus activates (randomly) a bouncing dot appears
  494.      on the screen and can only be removed through reboot.  No
  495.      other damage is done.
  496.  
  497. 48.  VERA CRUZ-B
  498.  
  499.      This is a variation of the Vera Cruz that is able to infect
  500.      Hard disks.
  501.  
  502. -------------
  503.