home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.c2 < prev    next >
Encoding:
Text File  |  2003-06-11  |  9.8 KB  |  217 lines
  1.          _____________________________________________________
  2.               The Computer Incident Advisory Capability
  3.                           ___  __ __    _     ___
  4.                          /       |     / \   /
  5.                          \___  __|__  /___\  \___
  6.          _____________________________________________________
  7.                           Information Bulletin
  8.  
  9.              Dir II Virus on MS DOS Computers
  10.  
  11. October 18, 1991, 15:30 PDT                       Number C-2
  12.  
  13.                Critical Dir II Virus Facts
  14.  
  15. Name:     Dir II virus
  16. Aliases:  Dir-2, MG series II, Creeping Death, DRIVER-1024, Cluster
  17. Virus Type:    Directory infector with stealth characteristics
  18. Variants: Unsubstantiated reports exist for two variants
  19. Platform: MS-DOS computers 
  20. Damage:   May destroy all .EXE and .COM files and backup diskettes,
  21.           crash some look-alike systems, CHKDSK /F destroys all
  22.           executable files
  23. Symptoms: CHKDSK reports many cross-linked files and lost file
  24.           chains can corrupt backups, copied files are only 1024
  25.           bytes long, more (see below)
  26. First Discovered:   May 1991 in Bulgaria
  27. Eradication:   Perform a series of simple DOS commands (see below)
  28.  
  29.  
  30. The Dir II virus presents a new type of MS-DOS virus called a
  31. directory infector.  This virus modifies entries in the directory
  32. structure, causing the computer to jump to the virus code before
  33. execution of a program begins.  Also, this virus utilizes stealth
  34. techniques to hide its existence in memory.
  35.  
  36. How Infection Occurs
  37.  
  38. Initial hard disk infection occurs when a file with an infected
  39. directory is executed.  The virus establishes itself in memory and
  40. puts a copy of itself on the last cluster of the disk.  Once the
  41. virus is active in memory, executing any file (infected or not)
  42. will cause the virus to infect the directory entry of ALL .EXE and 
  43.  .COM files in the current directory and in the directories listed
  44. in the PATH variable.  Additional detailed information on the
  45. infection technique is included in the appendix at the end of this
  46. bulletin.
  47.  
  48. Potential Damage 
  49.  
  50. If there is currently information residing on the last cluster of
  51. the disk, this virus will overwrite it upon installation.  Since
  52. most backup utilities fill diskettes to capacity, backups are prone
  53. to immediate corruption upon initial infection.
  54.  
  55. The most damaging characteristic of this virus occurs if a user
  56. boots from a clean diskette and attempts to run a disk optimizer
  57. program such as CHKDSK /F, Norton Disk Doctor, or other similar
  58. utility programs.  When such a program attempts to "fix" the disk,
  59. all infected executables will "become" the virus, effectively
  60. destroying the original file!
  61.  
  62. Detection
  63.  
  64. Although current versions of many common anti-viral utilities will
  65. not detect this virus and are unable to remove it, manual detection
  66. can be performed using the following methods: 
  67.  
  68. 1.   Boot from the suspect infected hard disk.  With the suspected
  69.      virus active in memory, execute the command CHKDSK with NO
  70.      arguments.  Then reboot from a clean, write protected diskette
  71.      (such as the original DOS diskette), and execute the command
  72.      CHKDSK with no arguments again.  If many cross-linked files
  73.      and lost file chains are reported during the second CHKDSK and
  74.      not the first, it is an indication of infection.
  75.  
  76. 2.   Boot from the suspected infected hard disk.  With the
  77.      suspected virus active in memory, use the COPY command to copy
  78.      suspect files with the extension .EXE or .COM.  Examine the
  79.      file length of these copied files by using the DIR command,
  80.      then reboot from a clean, write protected diskette and perform
  81.      the same copy command(s).  If the file length of the second
  82.      copy is very small (around 1K) but the file length of the
  83.      first copy is much larger, you may be infected with the Dir II
  84.      virus.
  85.  
  86. Eradication
  87.  
  88. To manually eradicate this virus, follow these steps for every
  89. infected disk and diskette: 
  90.  
  91. 1.   While Dir II is active in memory, use the COPY command to copy
  92.      all .EXE and .COM files to files with a different extension. 
  93.      
  94.      Example:  COPY filename.com filename.vom
  95.  
  96. 2.   Reboot system from a clean, write protected diskette to ensure
  97.      the system does not have the virus in memory.
  98.  
  99. 3.   Delete all files with extensions of .EXE and .COM.  This will
  100.      remove all pointers to the virus.
  101.  
  102. 4.   Rename all executables to their original names.  
  103.      Example: RENAME filename.vom filename.com
  104.  
  105. 5.   Examine all these executables you have just restored.  If any
  106.      are 1K in length, they probably are a copy of the virus. 
  107.      Destroy any executables of this size.
  108.  
  109. For additional information or assistance, please contact CIAC:
  110.  
  111. Karyn Pichnarczyk
  112. (510) 422-1779 **or (FTS) 532-1779
  113. karyn@cheetah.llnl.gov
  114.  
  115. Send e-mail to ciac@llnl.gov or call CIAC at 
  116. (510) 422-8193**/(FTS)532-8193.  
  117.  
  118. **Note area code has changed from 415, although the 415 area code
  119. will work until Jan. 1992.
  120.  
  121. CIAC would like to thank Bill Kenny of DDI for his help with this
  122. bulletin.  Neither the United States Government nor the University
  123. of California nor any of their employees, makes any warranty,
  124. expressed or implied, or assumes any legal liability or
  125. responsibility for the accuracy, completeness, or usefulness of any
  126. information, product, or process disclosed, or represents that its
  127. use would not infringe privately owned rights.  Reference herein to
  128. any specific commercial products, process, or service by trade
  129. name, trademark manufacturer, or otherwise, does not necessarily
  130. constitute or imply its endorsement, recommendation, or favoring by
  131. the United States Government or the University of California.  The
  132. views and opinions of authors expressed herein do not necessarily
  133. state or reflect those of the United States Government nor the
  134. University of California, and shall not be used for advertising or
  135. product endorsement purposes.
  136.  
  137.  
  138.             Appendix: Detailed DIR II Information
  139.  
  140. The DOS directory structure contains the following entries:
  141. filename, extension, attribute, time, date, cluster, file size, and
  142. an unused area; the cluster entry is the pointer to where the
  143. actual file exists on the disk.  Dir II infects the directory
  144. structure by scrambling the original cluster entry and storing it
  145. in part of the unused area, then placing a pointer to the viral
  146. code in the cluster entry.  Thus when a program is executed, the
  147. computer executes the viral code, the virus decrypts the original
  148. cluster entry, then the virus allows the original program to
  149. proceed.
  150.  
  151. Upon initial infection, the virus links itself into the device
  152. driver chain, copying itself to the last cluster (or last two
  153. clusters, if cluster size is less than 1024 bytes) on the disk and
  154. infects the directory structure of all .EXE and .COM files residing
  155. in the current directory and all directories defined in the path. 
  156. The virus infects all files with .EXE or .COM as an extension
  157. whether or not they are executable, EXCEPT if the size of the file
  158. is less than 2K, larger than 256K, or has an attribute of System,
  159. Volume, or Directory set. Therefore it does not infect the two
  160. hidden system files, but it DOES infect command.com.
  161.  
  162. Following the supplied eradication steps will simply remove all
  163. "live"pointers to the viral code.  After eradication you may wish
  164. to use a direct disk access utility (such as Norton Utilities) to
  165. directly access the viral code existing on the last cluster on the
  166. disk and overwrite it with blanks.  Another recommended final
  167. clean-up entails running a disk optimizer program that will clean
  168. out all unnecessary deleted files.  It is important to remember
  169. that this virus has infected all .COM and .EXE files, even if they
  170. are tagged as deleted. Therefore if an undelete utility is used on
  171. these files, the virus can resurface.
  172.  
  173. Other Facts About Dir II
  174.  
  175. -    Using CHKDSK to detect this virus from a clean boot will only
  176.      work if there is more than one infected executable on a disk.
  177.  
  178. -    Dir II does not infect partitions that are accessed through a 
  179.      loadable device driver.
  180.  
  181. -    Due to the stealth characteristics of Dir II, while the virus
  182.      is memory-resident all file accesses, backups, deletes,
  183.      copies, etc are accomplished with no discernable problems. 
  184.      Also, errors resulting from execution of Dir II (such as an
  185.      attempt to infect a write-protected diskette) are suppressed
  186.      by the virus.
  187.  
  188. -    The first execution of a file causes the virus to become
  189.      memory resident.  Before it is resident, if a file is copied
  190.      from an infected disk to an uninfected disk all that will copy
  191.      will be a 1K length file containing the virus.  After
  192.      eradication procedures this copied file will still be a copy
  193.      of the virus.  Such files can be a very good clue to track
  194.      where the virus originated.
  195.  
  196. -    If the virus is not active in memory, interaction with
  197.      infected files produces unusual results.  Copying an infected
  198.      file will copy a file only 1K long (the virus itself). 
  199.      Deleting a file will mark it as deleted, not but does not
  200.      affect the virus.
  201.  
  202. -    With the virus active in memory, formatting a disk will
  203.      produce the virus in the last cluster.
  204.  
  205. -    Because this virus uses a new type of attack scheme, versions
  206.      of most anti-viral utilities prior to October, 1991 utilities
  207.      will not detect it, and cannot clean it.  Since Dir II
  208.      associates itself with the device drivers, programs which
  209.      detect unauthorized requests to become memory resident do not
  210.      detect this virus.
  211.  
  212. -    This virus is not compatible with all non IBM MS-DOS machine
  213.      ROMS and will crash some hard disk systems immediately upon
  214.      initial infection.
  215. 
  216. Downloaded From P-80 International Information Systems 304-744-2253
  217.