virusi.106skoprivica,
-> #105, mgajic>-> Pa, sada da je bez veze, da vidis i nije. "Zasto su dugacki 10000
>-> Bytes kad sam priĚavljuje za koliko se pro,uzio ?". Na primer:
>-> Virus 3066 je upravo toliko i dugacak pa mu to dodje 13066. Zato
>-> bilo ko da
Sve ostalo sto si rekao stoji, ali ovo, kad ja startujem pvictim
prijavice da je (ako je) zarazen virusom koji ga je produzio za
nnnn bajtova, tako i da je dug (npr.) 5666 bytes, oduzeo bi tu
vrednost a ne 10000, tako je svejedno koja je duzina...
Aje... CTEBO.
virusi.107mgajic,
-> #100, smitrovic|Jel' zna neko nesto vise o virusu Bloody?
+------------------------------------------
Postoji Bloody Virus i Bloody! Virus. Na koji si mislio ?
Evo sta o Bloody Virusu pise u VIRUSSUM (nadam se da Patricija
Hofman nece imati nista protiv za ovo "kasapljenje").
Virus Name: Blood
Aliases: Blood2
V Status: Rare
Discovery: August, 1990
Symptoms: .COM file length increase, system reboots and/or hangs,
cascading screen effect
Origin: Natal, Republic of South Africa
Eff Length: 418 Bytes
Type Code: PNCK - Parasitic Non-Resident .COM Infector
Detection Method:
Removal Instructions: Delete infected files
General Comments:
The Blood Virus was submitted by Fridrik Skulason in August, 1990.
It was originally isolated in Natal, Republic of South Africa. There
are two variants of this virus, Blood and Blood2. This virus is a
non-resident infector of .COM files, including COMMAND.COM.
When a program infected with the Blood virus is executed, it will
infect one .COM file located in the C: drive root directory. The
newly infected file will have increased in length by 418 bytes. If
the program just infected is COMMAND.COM, a system reboot will
occur. Following the system reboot, executing an infected program
will result in a cascading effect of the cursor down the screen. The
next .COM file executed will then result in the hard disk being
accessed followed by the system hanging. Spurious characters from
memory may also appear on the screen on the line below the command
line.
After August 15, execution of an infected program will result in a
system hang.
Known variant(s) of Blood are:
Blood2 : Similar to Blood, with the major difference being that
system reboots, system hangs, and the cascading cursor
effect no longer occur. This variant also does not hang
the system after August 15.
A evo sta sam nasao u VIRSIG.LST > VIRUSSCAN by IBM:
*-----------------
* The Bloody! virus infects diskette boot records and hard disk
* master boot records. When booting from an infected hard disk,
* a message will occasionally be displayed.
* Features: Infects diskette, infects master boot, resident
*---------------------
Ako negde nadjem nesto vise o oba virusa ostavicu ti ovde. OK?
Da li imas neki od ova dva virusa ? Ako imas mogli bi da se menjamo ?
Ostavi ili ovde poruku ili na DURLAN BBSu (Gajic Miroslav).
Pozdrav, Gaja.
virusi.108mgajic,
-> #106, skoprivica| Sve ostalo sto si rekao stoji, ali ovo, kad ja startujem pvictim
| prijavice da je (ako je) zarazen virusom koji ga je produzio za
| nnnn bajtova, tako i da je dug (npr.) 5666 bytes, oduzeo bi tu
| vrednost a ne 10000, tako je svejedno koja je duzina...
+----------------------------------------------------------------------
A sta cemo sa "probirljivim" virusima koji zahtevaju da fajl
NE SME biti manji od toliko i toliko Kb.
Uzmimo, recimo, Virus 1451/1411 Ovaj virus napada datoteke tipa .COM i .EXE
i pri tom je vrlo izbirljiv. Da bi .COM datoteku pocastio svojim prisustvom
ona mora biti duga bar 1000 byte-ova. Za .EXE datoteke "standard" je bar 1024
byte-a. Ili Flash Virus koji "zahteva" .COM fajl veci od 500 bytes-a, ili Groen
Links Virus isto .COM veci od 1893 bytes-a, ili Juli 13th trazi .EXE fajl veci
od 1201. Ovo su samo neki primeri a u literaturi se pominju jos.
I zar nije lakse odmah videti duzinu virusa (10000+5666 = 15666) nego
sabirati ili oduzimati 5666 od, recimo 3250 ?
Samo da neko ne napise virus sa virusnim kodom od 10000 byte-a !!!
Eto toliko.
Pozdrav, Gaja.
virusi.109pstojkov,
-> #85, zormi>
> Miran si do 6.marta, a onda će da ti uništi disk.
>
Misliš do 9.marta?
virusi.110pstojkov,
-> #83, isekulovicMislim da nakon čišćenja disketa i diska treba da ugasiš mašinu. To je radilo
kod mene u firmi.
Osim toga, misli da je korisno imati u autoexecu neki program koji čuva boot
sektor
diska (kod mene je to Bootsafe iz paketa Cpav, a ima sličan program u TNt
paketu).
On mi je omogućio da se rešim upornih virusa koji i nakon čišćenja opstaju u
boot-u
i particionoj tabli. Naprosto sam dovoljan broj puta clenovao/resetovao
mašinu/restorirao boot sektor...
Upalilo je. I meni je čudno zašto je potrebno višestruko ponavljanje te tri
operacije?
virusi.111zormi,
-> #109, pstojkov* > Miran si do 6.marta, a onda će da ti uništi disk.
* >
* Misliš do 9.marta?
Izgleda da ga ipak nije pisao Srbin :).
virusi.112mgajic,
| Nemam ni jedan od ova dva virusa,vec me je jedan prijatelj iz Majdanpeka
| zamolio da se raspitam o virusu bloody i predocio mi simptome,pa pretpo-
| stavljamda se radi o virusu Bloody!
+------------------------------------------------------------------------------
Steta !!! A da zamolis tog prijatelja da ti posalje Virus pa da se ipak
menjamo (naravno, ako te interesuju Virusi) ???
| Kad smo vec kod Durlan-a,jel' imaju vscan85?Znam da ima i na SEZAMu,al mi
| se ne isplati da skidam,posto SEZAM dobijam na 1200 BPS,vec bih ga
|skinuo sa Durlana,jer njega bez problema dobijam na 2400 BPS.
+------------------------------------------------------------------------------
Pa, ja mislim da imaju najveci izbor McAfee-vih programa, da ne preteram,
ali u Srbiji. Odakle im - pojma nemam. Imaju i SCANV85, CLEAN85 i sve iz te
"familije". Nocas sam ih zvao, ima PVICTIM26, dodali su i "zrtve". Imaju na-
jveci izbor programa iz ove oblasti. Imaju i, samo je starija VSUM* - Patricija
Hofman. Svi su u [D] Homebase BBS McAfee, ako se ne varam.
| PS Hvala na odgovoru!
+------------------------
Ma nema problema.
Pozdrav, Gaja.
virusi.113skoprivica,
-> #108, mgajic>-> I zar nije lakse odmah videti duzinu virusa (10000+5666 = 15666)
>-> nego sabirati ili oduzimati 5666 od, recimo 3250 ?
Ma mislio sam na duzinu pvictima da je 5666 bytes, a virus koliko
mu treba....Usput, kad si zadnji put izlistao dir. sa pvictimom i
drugim antiv. programima? Jednostavno si startovao pvictim, koji
bi prijavio da li se i za koliko produzio, tako da 10000 bytes
duzine otpada kao valjan razlog, samo izgleda kao super ideja
na prvi pogled...
Aje... CTEBO.
virusi.114bearboy,
YO ! Evo, nadoh viruscic, Yankee Doodle (jes' stari, al' kad te capi... :()
Uzmem ja lepo, iskopiram program (inficiran), i na original pustim CLEAN (85).
Sve je lepo izlecio, ali kod programa koji su bili inficirani vise puta, nije
bio efektivan (tj. Izlecio jeste, ali se program nije mogao pokrenuti). U
pitanju su VAZNI programi ! Kako da ih vratim, a da rade ?
virusi.115drakce,
-> #114, bearboy
│ Evo, nadoh viruscic, Yankee Doodle (jes' stari, al' kad te capi ...
│ U pitanju su VAZNI programi! Kako da ih vratim, a da rade ?
└─────
Probaj sa ovim programom koji je namenjen baš za iskorenjivanje Yankee Doodle
virusa i to svih verzija. Nisam ga probao, hvala bogu :), al' možda ti
pomognu, kad već Clean nije ... Uzet je sa Durlan BBS-a.
Pozdrav od Dragana
p-doodle.arjvirusi.116drakce,
Nova verzija 2.6 "žrtvi" za viruse tipa COM i EXE. Odlični su, provereno :)
Pozdrav od Dragana
virusi.117dejanr,
From: "A. Padgett Peterson" <padgett%dnet.tccslr@com.mmc>
Subject: WARNING - Michelangelo Virus (PC)
Comments: To: valert-l@ibm1.cc.lehigh.edu
To: Multiple recipients of list VALERT-L <VALERT-L@LEHIIBM1>
Sender: VALERT-L@edu.lehigh.cc.ibm1
From all reports this destructive virus is spreading world-
wide very rapidly. Unlike the DataCrime "fizzle" in 1989 which
contained similar destructive capability but never spread, the
Michelangelo appears to have become "common" in just ten months
following detection. I have encountered three cases locally in
just the last few weeks.
Three factors make this virus particularly dangerous:
1) The virus uses similar techniques as the "STONED" virus which
while first identifies in early 1988 remains the most common
virus currently reported. Since the virus infects only the
Master Boot Record on hard disks and the boot record of
floppy disks, viral detection techniques that rely on
alteration of DOS executable files will not detect the
virus. Similarly, techniques that monitor the status of the
MBR may only provide users with a single warning that, if
execution is permitted to continue, may not be repeated.
2) Michelangelo was first discovered in Europe in mid-1991
consequently many virus scanners in use today will not pick
up the virus unless more recent updates have been obtained.
3) Unlike the Stoned and Jerusalem (the most common viruses in
the past) which are more annoying than dangerous, the
Michelangelo virus will, on its trigger date of March 6th,
attempt to overwrite vital areas of the hard disk rendering
it unreadable by DOS. Further, since the FATs (file
allocation tables) may be damaged , unless backups are
available recovery will be very difficult and require
someone who is able to rebuild a corrupt FAT (also a very
time-consuming process).
Fortunately, the Michelangelo virus is also very easy to
detect: when resident in a PC, the CHKDSK (included with MS-DOS
(Microsoft), PC-DOS (IBM), and DR-DOS (Digital Research) {all
names are registered by their owners}) program will return a
"total bytes memory" value 2048 bytes lower than normal. This
means that a 640k PC which normally returns 655,360 "total bytes
memory" will report 653,312. While a low value will not
necessarily mean that Michelangelo or any other virus is present,
the PC should be examined by someone familiar with viral activity
to determine the reason.
If the Michelangelo virus is found, the PC should be turned
off until disinfected properly. All floppy disks and other
machines in the area should then also be examined since the
Michelangelo virus is spread in the boot record (executable area
found on all floppy disks including data-only disks).
Padgett Peterson
Internet: padgett%tccslr.dnet@mmc.com
virusi.118skoprivica,
-> #117, dejanr Cini mi se da je Mich. mutirao, tj. potrebno je dva puta (???)
uraditi clean da bi se stvarno otklonio (kako ? zasto ?).
Ovo mi se desilo vec par puta sa disketama koje sam dobio,
ali srecom na dir a: vshield prijavi virus....
Aje... CTEBO.
virusi.124vcalic,
Evo novog SCAN-a
virusi.125bulaja,
-> #124, vcalic│Evo novog SCAN-a
└───
'de me nadje ;), stigao i meni istovremeno sa Trickla sa jos ostatkom
paketa, eno ih (tj. bice kad upotpunim upload ;) u \ibmpc\virus.
Thanks na prilogu. Pozdrav, Bulaja
virusi.126dnikolic,
-> #124, vcalic>> Evo novog SCAN-a
E ovo se vise ne moze izdrzati! Pa taman sam skinuo stari!!!!
dn
virusi.127dejanr,
Hello netters,
Our university just purchased some (noname brand) modems that came with
some software called BitCom. They've installed this software all over
campus; before my department put out the "virus alert". All of their
computers have been infected and the culprit has been found to be the
BitCom disks. We unpackaged an unopened copy and scanned it to be sure.
These disks are coming direct from the manufacturer with the Michelangelo
virus on-board. I have also heard of disks from Zylel being infected.
If you know of anyone who is using BitCom (I've never heard of it until
now), let them know before March 6 or their hard drives will be trashed.
Don't trust ANY disks - scan them first!!
If you need the ftp site for some virus protection software, let me know
and I'll look it up for you.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Daryl Spillman | Bitnet: TMIS1862@SLU.BITNET
MIS Programmer | Snail Mail: Box 409 - SLU Station
Southeastern Louisiana Univ. | Hammond, LA 70402
(504) 549-3645 |
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
virusi.128dejanr,
News Release
DaVinci Systems Corporation
P.O. Box 17449
Raleigh, North Carolina 27619
Tel: (919) 881-4320
Fax: (919) 787-3550
Contact: Chris Evans
Vice President of Marketing
DaVinci Systems Corporation
(919) 881-4320
DaVinci Discovers Michelangelo Virus
Warns users of possible infection
RALEIGH, North Carolina, February 1, 1992 - DaVinci Systems announced
today that a recent shipment of eMAIL 2.0 demonstration disks and
30-day kits may be infected with a computer virus known as
Michelangelo. Approximately 900 customers and potential customers
were sent the infected disks. Of these, over 600 were DaVinci
resellers.
DaVinci Systems immediately notified its resellers of the problem via
electronic mail and will mail a new set of disks to all recipients of
the infected disks by February 6th. DaVinci Systems also advises
anyone who has received a DaVinci eMAIL 2.0 demo disk or 30-day kit
between January 20, 1992 and January 31st, 1992 not to use the disks
they received.
According to Bill Nussey, President of DaVinci Systems, "While there
is only a slim chance of one of our customers contracting the
Michelangelo virus from these disks, we wanted to take every possible
precaution."
The Michelangelo virus sits passively on infected machines until March
6th (Michelangelo's Birthday) when it corrupts data on a user's hard
disk. FORTUNATELY, THE VIRUS CAN ONLY BE CONTRACTED BY BOOTING UP AN
INFECTED FLOPPY. Because the infected disks are not bootable, most
users who have received these diskettes will not contract the virus on
their machine even if they run the demo or install the software on
their hard disks. The only way users could catch the virus from an
infected disk is if they inadvertently boot up their computers with
the infected floppy in driver A while the drive door is closed.
DaVinci officials are still investigating the source of the virus.
Although DaVinci's master disks are routinely checked for viruses, the
virus software used apparently did not detect Michelangelo. "We are
now using multiple virus-detection products and insisting that our
duplicating contractors also check for viruses", said Nussey.
The Michelango virus can be detected by Microcom's Virex version 2.l1
or later or by McAfee Associates shareware program VIRUSCAN version
7.9v84 or later. DaVinci users and resellers can download VIRUSCAN
from DaVinci's BBS at (919) 881-4342.
Based in Raleigh, North Carolina, DaVinci Systems Corporation is the
leading independent supplier of LAN-based electronic mail
applications. The company's products run under acknowledged personal
computer network and operating system standards such as MS-DOS,
Microsoft Windows, and Novell Netware. DaVinci Systems is at P.O. Box
17449, Raleigh NC 27619. Telephone (919) 881-4320, (800) DAVINCI.
FAX: (919) 787-3550.
The product names and trademarks referenced are the trademarks or
registered trademarks of their respective companies.
virusi.129drakce,
-> #126, dnikolic
││ Evo novog SCAN-a
│└────
│ E ovo se vise ne moze izdrzati! Pa taman sam skinuo stari!!!! dn
└────
Vredi ga skinuti. Nova verzija donosi lepu stvar - opciju /AG koja dodaje
fajlu, boot-u, particiji Validate Check (isto kao i stara /AV), ali uz to i
dodatne informacije, neophodne CLEAN-u da rekonstruiše zaraženi fajl ili boot
sektor. Ovo važi čak i za nove viruse, nepoznate SCAN-u! Jednostavno, a
verovatno i efikasno.
Neki virusi (particioni) se mogu uspešno otkloniti samo programom M-DISK, koji
je takođe proizvod McAfee-ja. Odavno imam taj program i tek sam skoro primetio
da on u sebi sadrži 4 EXE programa, poseban za svaku verziju DOS-a:
MD40.EXE
MD33.EXE
MD32.EXE
MD30.EXE
Očigledno, nedostaje verzija za DOS 5.0. Da li neko ima noviji M-DISK, pa da
ga UL. Što da strepim od nekog "Chaosa" ili "NOPa", ako postoji lek i za te
male napasti :).
Pozdrav od Dragana
virusi.130mgajic,
Na DURLAN BBS imaju VSUMX112 - Virus Summary List - Patricija M. Hoffman.
Ako se ne varam to je najsvezija verzija koja se moze trenutno naci. A u njoj
nema sta nema o virusima. Samo, sve to je dugacko vise od 458Kb ;)))) !!!.
Pozdrav, Gaja.
virusi.131vojvoda,
Hi !
Pozdarv svima koji se bave virusima ! Zeleo bih da znam nesto vise o virusu
VHP , koji se javlja na vise mesta , kao virus 512 i kao samostalni virus i na
jos nekim mestima. Inace , ja pripadam onoj grupi ljudi koja misli da nijedan
program nije za bacanje , pa iako je on cak i virus ! Skupljam ih i imam oko 12
komada , novih i starih , inace sam video kako MICHAELANGELO radi. A evo ovako
SCAN84 ga je otkrio na disku jednog mog druga , a on rece ma pusti imam ih
nekoliko na disku , i nista mi jos ne fali! Ali , mislim da je zazali sto je to
rekaoKHKM. Kroz nekoliko dana , (nije bio 6.mart,vec nesto pred Novu godinu)
kada je pokusaao ba BOOT-uje sa hard diska , sistem je jednostavno stao i
prijavio poruku PARITY ERROR , SYSTEM HALTED !!! ili tako nesto i stojao od
jutra do sutra , bez promene ! posle koju nedelju dana Hard disk i ceo sistem
mu je proradio , ali je disk bio prazan i bez ostecenja ! A kada bi boot-ovao
sa diskete desilo bi se nesto cudno : ili nije mogao da digne sistem , ili C
diska nije bilo !!! Dalje ne znam sta se dogadjalo , odneo je masinu na
popravku !
Inace , ukoliko neko ima neki virus , nek ga posalje meni , preko
mail-a , rado cu mu odgovoriti i pomoci ! Naravno razmene su dobrodosle !!!
Hvala i pisite mi :
Vojvoda
virusi.132nbatocanin,
Danas sam imao susret sa virusima [Mich] i [Stoned] (na sreću, ne kod
mene). Digao sam sistem sa čiste i zaštićene diskete, otkucao FORMAT
C:, i reda radi posle toga SCAN C:. Kad ono, [Mich] još tamo! A kada
se resetuje računar sa tako formatiranim diskom, SCAN javi [Stoned] u
memoriji. Na kraju sam skinuo CLEAN sa Sezama i očistio ga, pa
formatirao disk. Gde sam pogrešio? Nije mi jasno kako prežive
formatiranje. Viruse sam pobio, al' se još štrecam!
virusi.133bulaja,
-> #132, nbatocanin│A kada se resetuje racunar sa tako formatiranim diskom, SCAN javi
│[Stoned] u memoriji. Na kraju sam skinuo CLEAN sa Sezama i ocistio ga,
│pa formatirao disk. Gde sam pogresio?
└───
Mozda i nisi pogresio (utesno ;)! Meni su se desavale slicne stvari
(naravno, ne na mom racunaru ;), takodje mi je Scan javljao da ima
[Stoned] i posle ciscenja. I to nije javljao uvek, vec samo pri nekom
misterioznom (it's a kind of magic ;) spletu okolnosti. Na kraju sam
provalio da je fora u glupavom IDE hard kontroleru (AT-BUS), kome je
magistrala (bio je neki 286/16) bila prebrza pa je pravio gluposti
prilikom rada. Kad sam iskljucio turbo (posto glupi BIOS nije mogao da
podesava bus clock) sve je radilo Ok, i [Stoned] nisam vise ni jednom
video ;). ISKLJUCI TURBO! ;)
virusi.134bearboy,
Xex, evo nabavio sam nov viruscic ! Zove se Azusa, i naseljava se u BOOT-u
i FAT-u diska. Mnogo je gadan... Stavis DIR A:, i on ti sve lepo ispise.
Ubacis neku drugu disketu, ponovo ukucas DIR A:, i dobices sadrzaj prethodne
diskete...
Ubih se... Kod jednog mog druga (koji ja imao taj virus) sam hteo instalirati
NU 6.0, ubacim prvu disketu, INSTALL, sve ide, al' kad sam trebao ubaciti 2.
disk, UVEK je ispisivao INSERT DISK 2... A ja se mucio 2 sata s jadnim nortonom
dok nisam posumnjao na virus...
PS. Ako treba kopija FAT-a zarazene diskete, recite !
PPS. Imam ga lokalizovanog na Stacker disketi... (sad ce zli jezici... :)
virusi.135nbatocanin,
-> #133, bulajaOK, ali i dalje mi nije jasno kako [Mich] preživljava FORMAT C: sa
čiste diskete (i to nekoliko puta!). Sumnjao sam u "čistoću" diskete,
ali SCAN kaže da je sve OK.
virusi.136bulaja,
-> #135, nbatocanin│OK, ali i dalje mi nije jasno kako [Mich] prezivljava FORMAT C:
└───
The point is (was) da je SCAN javljao prisustvo virusa koji nije ni
postojao! (?) Mozda si ti i imao pravog [Mich]-a, ali onaj [Stoned] koji
je meni javljao nikad nije ni postojao na tom disku.
virusi.137ilazarevic,
-> #134, bearboy█ PS. Ako treba kopija FAT-a zarazene diskete, recite !
Šalji da pogledamo, biće zainteresovanih 100% :)
PS. Da li je obuhvaćen novim SCAN-om?
virusi.138dzakic,
-> #137, ilazarevic>> █ PS. Ako treba kopija FAT-a zarazene diskete, recite !
>>
>> Šalji da pogledamo, biće zainteresovanih 100% :)
Joj bre. Kako može virus da bude u FAT-u? Evo vam michboot ako
vam baš treba...
michbootvirusi.139vojvoda,
-> #134, bearboy Pa to {se trazi
Saljite SVE viruse radi daljne analize , inace za postavljanje pitanja u vezi
SVIH virusa , zna se -mail vojvoda
P.S. Ako nekome treba neki virus , just ask for it .....
Buy!
virusi.140ilazarevic,
-> #138, dzakic█ Joj bre. Kako može virus da bude u FAT-u? Evo vam michboot ako
###############################
Pa video si valjda smajlija na kraju moje poruke?
virusi.141bearboy,
-> #137, ilazarevic-=< █ PS. Ako treba kopija FAT-a zarazene diskete, recite !
-=<
-=< Salji da pogledamo, bice zainteresovanih 100% :)
-=<
-=< PS. Da li je obuhvacen novim SCAN-om?
Aha.
virusi.142smiloradovic,
Ovo je danas stiglo sa RED-UG liste:
-----------------------------------------------------------------------
Today I read the following warning in comp.virus:
Newsgroups: comp.virus
Subject: Trojaned SCAN (87) (again) (PC) (sorry for all the parens)
Message-ID: <0013.9202181918.AA06111@ubu.cert.sei.cmu.edu>
Date: 15 Feb 92 07:24:31 GMT
Sender: Virus Discussion List <VIRUS-L@LEHIIBM1>
Lines: 30
Approved: krvw@sei.cmu.edu
I have had a report today of a trojaned (no! I did *not* use that
noun as a verb!) version of SCAN.
The program is contained in a SCANV87.ZIP file, and was obtained from
a local BBS run by one of the larger local computer stores. When
unzipped, the file displays the -AV codes. The license number is not
known at this time.
When run, the program apparently deletes and "zeros out" both files
and the FAT. PCTOOLS MIRROR was running on one machine and was unable
to recreate anything. UNDELETE was able to recover only five small
batch files from a 120 meg disk.
The program initially appears to perform like, or rather behave like,
SCAN. Files on the disk are listed (this is probably while they are
being wiped out. The program then presents a screen referring to the
Illuminatus. (This reference tickles at my memory, but I haven't
research it yet. Yes, I know what the Illuminatus is, but I recall
some reference to it in a virus or trojan.)
I will be getting a copy for study tomorrow and will submit further
details.
==============
Vancouver | "Don't buy a
Institute for Robert_Slade@sfu.ca | computer."
Research into rslade@cue.bc.ca | Jeff Richards'
User CyberStore Dpac 85301030 | First Law of
Security Canada V7K 2G6 | Data Security
----------------------------------------------------------------------
virusi.143skoprivica,
-> #128, dejanr>-> FORTUNATELY, THE VIRUS CAN ONLY BE CONTRACTED BY BOOTING UP
>-> AN INFECTED FLOPPY. Because the infected disks are not bootable,
>-> most users who have received these diskettes will not contract the
>-> virus on their machine even if they run the demo or install the
>-> software on their hard disks. The only way users could catch the
>-> virus from an infected disk is if they inadvertently boot up their
>-> computers with the infected floppy in driver A while the drive
>-> door is closed.
Xaxa, dobar stos, steta sto Mich. ne radi tako ;)))))))
Vrlo je zarazan, tj. moze i ovako....
>-> or later or by McAfee Associates shareware program VIRUSCAN
>-> version 7.9v84 or later.
v80 je mogla...
Aje... CTEBO.
virusi.144feniks,
Evo novih mamaca za viruse sa Durlan BBS-a
Í─Ě Í─Ě
║ ║ ║
Ë─Ż đ đ
virusi.145bulaja,
-> #144, feniks│** Uz poruku 'pvictm35.arj' (76447 bytes)
└───
Prebaceno u \ibmpc\virus, thanks na prilogu.
Pozdrav, Bulaja
virusi.146ssokorac,
"Politika", 6.mart
5. stranica
Peking, 5.mart (AFP)
Kina je danas saopštila da poseduje "softver" koji može da uništi
virus "Mikaelandjelo"...
Rim, 5.mart
...:prodaja disketa antivirusa naglo je poslednjih dana povećana,
bez obzira na to što se zna da za "mikelandjela" zasad nema leka...
Beograd :)
"Mikelandjelo je jedan od najpogubnijih. On jednostavno jede sve što
u memoriji postoji...
:))))))))))))))))))) Još je naslov "Strah kao nekad od Hanibala" :)))
virusi.147petrovic,
Ljudi 'ocemo li preziveti kobni 6.mart,ako hocemo
svakako da cu biti :)))).
Ovde je bilo reci oko [Mich] pa bi zamolio nekog
da mi ponovi o kom virusu se radi,i sta de facto radi.
P.S. Posle 6.marta dolazi 9.mart :)))))))))))))))))))
virusi.148vojvoda,
-> #147, petrovic Michaelangelo se aktivira na datum , to jest 6.mart.(kada je mikelandjelo
rodjen). On napada samo BOOT sektor i ne menja duzine fajlova (Pvictim je
nemocan). Useli se na particiju hard diska i polako pocinje svoj rad. Kada se
aktivira preformatira diskove i pusta neku cudnu lupnjavu... Inace kako radi
pogledaj moje predhodne poruke u ovoj konferenciji.
virusi.149vojvoda,
-> #146, ssokorac Koliko ja znam , vec i clean 82 ga VEOMA efikasno sklanja sa diska. Veruje
mi , uklanjao sam ga bar 20 puta i evo javljam se 6.Marta i nije mi nista.
Zar oni svi nisu culi za CLEAN ? (A ja mislio mi zaostala zemlja!!!).
Inace SVE u vezi virusa MAIL VOJVODA , razmena , pomoc , savet ...
virusi.150mgajic,
-> #148, vojvoda
> rodjen). On napada samo BOOT sektor i ne menja duzine fajlova (Pvictim je
> nemocan). Useli se na particiju hard diska i polako pocinje svoj rad.
--------------------------------------------------------------------------
Nije tacno. Pogledaj poslednju verziju i videces PVICTIMB
(PVICTIM BOOT). "Lovi" i Boot Viruse. A na DURLAN BBS ima i VR-MICH.ARJ,
odlican Svedski antivirus za Michelangela. Uklanja ga iz "cuga", provereno
vise puta !!!
Gaja.
virusi.151mkiric,
-> #147, petrovic>> ===============================
>> 14.147 PC.USER:virusi
>> petrovic, 06.03.Pet 15:41, 239 chr
^^^^^
>> ---------------------------------------------------------
>> Ljudi 'ocemo li preziveti kobni 6.mart,ako hocemo
>> svakako da cu biti :)))).
Ti si očigledno prebrinuo brigu. :))
Međutim, mnogi nisu - juče mi se javio jedan poznanik čijem je poznaniku ;)
virus olešio dve makine pune podataka. Malo posle toga sam čuo i da je Mich
napravio poharu u jednoj beogradskoj instituciji, ali pošto nisam siguran u
priču, neću da navodim konkretna imena. Ne čudi me kako su se zarazili, ne
čudi me ni što mnogi nisu znali da primene scan&clean (mnogi nisu znali gde da
ih nađu), ali me zaista čudi kako se nisu setili makar da 5. marta našteluju
kalendar na 7. mart pa da ga 7. ponovo vrate ?!
virusi.152vkrstonosic,
Hm, živeo Sezam. Mom komšiji mikelandjelo razbio 120M podataka i
to tako da je hard prestao sa radom. Bili su mu danas iz firme koje mu
je prodala računar i posle dva sata rešili da mu stave novi hard, jer
stari ne mogu da ožive.
virusi.153ivans,
-> #152, vkrstonosic* Hm, ziveo Sezam. Mom komsiji mikelandjelo razbio 120M
* podataka i to tako da je hard prestao sa radom. Bili su mu
* danas iz firme koje mu je prodala racunar i posle dva sata
* resili da mu stave novi hard, jer stari ne mogu da ozive.
Po svoj prilici (mich) je veoma opasan virus... A disk je, 100%, IDE... Samo
sto sada uopste ne ide ;(
Pozdrav,
Ivans.
virusi.154ilazarevic,
-> #146, ssokorac█ "Politika", 6.mart
█ 5. stranica
Evo i danas, 7.mart, cela strana posvećena svetskim "stručnjacima" i
njihovim neverovatnim problemima sa Mikelanđelom. Mislim se, ili su
Politikini novinari neobrazovani i nepismeni, ili smo jedino mi u
celom svetu čuli za SCAN&CLEAN :))
virusi.155nkbog,
-> #154, ilazarevic>> njihovim neverovatnim problemima sa Mikelanđelom. Mislim se, ili su
>> Politikini novinari neobrazovani i nepismeni, ili smo jedino mi u
Onda slična stvar važi i za američke novinare iz Nightline-a (virus traži
CPU pa onda tamo pravi karambol...).
NB.
virusi.156ndragan,
-> #147, petrovic/ Ljudi 'ocemo li preziveti kobni 6.mart,ako hocemo
Imao sam frx juče. Uključim makinu, kad ono neće. Pita me žena jel to
taj čuveni šesti mart? Reko jok, izgleda da se ulešio setap (al nešto
nisam bio siguran).
Jeste bio setap, CMOS se unulio :). Jedno dva tri reseta dok nisam
utrefio tip diska i još jedno pali gasi dok nije priznao da ima COM2 za
pacova.
I onda sken i - neeemaaa viiiiirusaaaaaa! Yoohooo!
Bue_ NDragan
virusi.157nbatocanin,
-> #152, vkrstonosic> podataka i to tako da je hard prestao sa radom. Bili su mu
> danas iz firme koje mu je prodala računar i posle dva sata
> rešili da mu stave novi hard, jer stari ne mogu da ožive.
Juče sam "oživljavao" jedan IDE disk koji je Mich upropastio. NDD je
javio da je fizički oštećen boot i da je jedini lek low-level format.
Pošto je ovo bio IDE disk, skoro sam se pomirio sa zamenom diska.
Onda probam sasvim jednostavnu operaciju: startujem FDISK, izbrišem
sve particije koje tamo nađem (jednu, a pre startovanja Mike bilo je
dve), ponovo kreiram nove particije - i disk proradi! Naravno, nema
podataka.
virusi.158drazen,
-> #157, nbatocanin>Onda probam sasvim jednostavnu operaciju: startujem FDISK, izbrisem
>sve particije koje tamo nadem (jednu, a pre startovanja Mike bilo je
>dve), ponovo kreiram nove particije - i disk proradi! Naravno, nema
>podataka.
Da, a da li ima virusa?
virusi.159dsoskic,
-> #157, nbatocaninPozdrav svima,
al izgleda da ipak leka ima,
al samo za za one sa 5.0 MSDOSovima.
Ako već nema druge, nego izgubiti podatke, moj savet je da se proba sledeće:
1.) - hard disk treba formatizovati sa FORMAT/S
2.) - onda uraditi UNFORMAT i particionisati ga ali samo onako kao što
je i bio
3.) pojavice se svi podaci i direktorijumi. Postoji mogućnost da je
dotični Michelangelo pojeo sve DIR. pa se umesto njihovih imena
pojavljuju direktorijumi sa imenima ala 1... 2... 3... 4... itd...
4.) - bitno je da su svi fajlovi sacuvani a za dir. nema veze - preimenujte ih
5..)) - VIRUS JE I DALJE PRISUTAN NA HARD DISKU -use clean-
p.s. ovo nisu moja lična iskustva, već je jedan naš drug DARIJO na taj način
spasao gomilu SOURCEova koji nisu imali BACKUP.... možda i vama upali
ovaj štos. NAPOMENA - provereno samo sa DOSom 5.0
Pozdrav svima od Šoleta
virusi.160dzivkovic,
PAZNJA!
POSTOJI MOGUCNOST SPASAVANJA PODATAKA UNEISTENIH OD MICHELANGELA!
SAMO ZA ONE KOJI RADE POD DOS-om 5.0
POSTUPAK SLEDECI:
FDISK-om NAPRAVITI NOVU PARTICIJU ISTU KAO STO JE POSTOJALA.
URADITI FORMAT, A ZATIM UNFORMAT
U ZAVISNOSTI OD SRECE IZGUBLJENI PODACI CE BITI SPASENI OD
50 DO 100%.
PROVERENO NA PET MASINA KOJE JE UNISTIO MICHELANGELO
Nadam se da ce ovo pomoci.
Pozdrav DZivkovic
virusi.161jpiri,
EVO NOVOG VIRUSA!
Najnoviji SCAN ga ne prepoznaje! Izgleda da zarazi svaki .COM
i .EXE fajl koji se startuje dok je on u memoriji ali se to NE VIDI
po duzini fajla! (tj. duzina ostaje ista). Takodje zarazi svaki
program koji se kopira sa harda na floppy ->tu se vidi da je duzina
fajla veca na floppyju! TO VAM JE UJEDNO I NAJBOLJI TEST DA VIDITE
DA LI JE MASINA ZARAZENA. Iskopirajte bilo koji .COM ili .EXE fajl
na disketu i gledajte da li se duzine razlikuju.
Za istrazivace virusa prilazem PVICTIM-e tj. .COM .EXE fajlove
duzine 10.000 koji su, nakon sto su zdravi kopirani sa zarazenog harda,
(nisam ih dakle cak ni morao startovati), narasli na 12.632 i 12.649.
Virus se inace u svakodnevnom radu za sada manifestuje tako sto
posle nekog reseta (ne uvek!) napise 'Error loading operating
system', zatim mi je par puta na dir ispisao gomilu gluposti
(i to na svim logockim particijama C, D, E, F, G) a takodje
mu smeta POPCALC, jer posle njega BRIEF nece da radi.
Dajte ljudi da ovo neko posalje autoru SCAN-a, plasim se sta ce virus
jos da mi uradi a nemam vremena da ga analiziram.
newvirus.zipvirusi.163dejanr,
-> #160, dzivkovic>> FDISK-om NAPRAVITI NOVU PARTICIJU ISTU KAO STO JE POSTOJALA.
>> URADITI FORMAT, A ZATIM UNFORMAT U ZAVISNOSTI OD SRECE IZGUBLJENI
>> PODACI CE BITI SPASENI OD 50 DO 100%.
Vrlo vredna informacija. Zna li neko, šta zapravo radi taj Mikelanđelo?
Ja sam razumeo da krene pa piše nule po disku, ali po ovome što kažeš
to nije slučaj (ili se možda "zadovolji" pisanjem nula po FAT-ovima i
root diru?)
virusi.164zormi,
-> #154, ilazarevic* Mislim se, ili su Politikini novinari neobrazovani i
* nepismeni, ili smo jedino mi u celom svetu čuli za
* SCAN&CLEAN :))
Ono prvo. Mnogo sam se veselio kad sam pre nekog vremena
čitao u "Politici", rubrika "Nauka i Tehnologija":
"Na Zapadu se plaše najezde kompjuterskih virusa iz Rusije,
ali taj strah je potpuno neopravdan pošto su virusi programirani
na ćirilici i ne mogu ništa njihovim računarima."
==========
virusi.165zormi,
-> #159, dsoskic* Ako već nema druge, nego izgubiti podatke, moj savet je da
* se proba sledeće: 1.) - hard disk treba formatizovati sa
* FORMAT/S
Meni se dva puta desilo da CLEAN ošteti particionu tabelu diska
sa koga skida Mich-a. Onda je bilo mučenja sa oporavkom pomoću
Norton Diskedit-a.
Zato ga sada uklanjam jednostavnim SYS C:, bez gubitka podataka.
virusi.167dzivkovic,
-> #163, dejanr<< Zna li neko šta radi ...
Nisam istrazivao šta zapravo radi. Indikativno je to da on ukloni
particionu tabelu na neki način, jer mašina ne prepoznaje uopšte disk
posle njegovog aktiviranja.
Jedino sa fdiskom se moze prići disku.
Doduše nisam pokušavao (nisam imao vremena a i nije mi bio pri ruci
NORTON, da vidim šta se zapravo desi (koliko se sećam - NU dosta
retko koristi"norton" moze fizički da pristupi disku i tom prilikom
bi moglo da se vidi šta zapravo on radi.)
virusi.168ssokorac,
-> #164, zormi -=)> "Na Zapadu se plaše najezde kompjuterskih virusa iz
-=)> Rusije, ali taj strah je potpuno neopravdan pošto su
-=)> virusi programirani na ćirilici i ne mogu ništa
-=)> njihovim računarima."
:))))))))))))))))))))))))))))))))))))))))))))))))))))
P.S. Kao što neko reče - poruka je glupa - ali je spontana...:)
P.P.S. Evo da ne ispadne bez sadržaja:
Sećate se onoga što je prebacio command.com u c:Đdos pa se pitao
zašto neće da se digne sisttem? E, sad je dobio ŠmichĆ. Ispričao sam
mu za onaj štos sa FORMAT-UNFORMAT... On lepo uzme FORMAT C:/S i
posle toga ne uradi UNFORMAT nego snimi nove igre za koje ranije nije
imao mesta. I sad kaže - kad mi dosade onda ću sa UNFORMAT da vratim
stare... Naravno, te nove su zauzele više od 50% diska... Ehhh:)))
virusi.169ltrajkovic,
-> #161, jpiri
Probaj da taj tvoj virus detektuješ i očistiš nekim starijim
SCAN-om i CLEAN-om .
Rekli su mi ( koliko je to tačno - ne znam ) da se, kad god se
neki virus ne pojavi izvestan broj godina ( ja sam čuo - dve ! ), on
se izbacuje iz nove verzije SCAN-a !
Ako je to tačno, možda imaš neki arhaični virus koji ne reaguje
na savremene vakcine .
U svakom slučaju, ne gubiš ništa ako probaš !
Pozdrav !
virusi.170gvuckovic,
-> #161, jpiri
Malo sam pogledo virus i shvatio da je veoma prost.On na pocetku stavi
jedan obican JMP i "nakaci" se na kraj programa.Jedini problem je sto
se duzina virusovog koda razlikuje kad zarazi EXE ili COM fajl.Vakcinu
nebi trebalo biti tesko napraviti.
Goran..
virusi.171fric,
-> #169, ltrajkovic> Rekli su mi ( koliko je to tačno - ne znam ) da se, kad
> god se neki virus ne pojavi izvestan broj godina ( ja sam
> čuo - dve ! ), on se izbacuje iz nove verzije SCAN-a !
Scan navodno po disku traži sve viruse za koje je ikada znao, a
u memoriji samo neke rasprostranjenije. Recimo, ako se ne startuje
sa opcijom /m, neće naći virus 1701 aktivan u memoriji !
fric
virusi.172ssokorac,
-> #170, gvuckovic -=)> se duzina virusovog koda razlikuje kad zarazi EXE ili
-=)> COM fajl.Vakcinu nebi trebalo biti tesko napraviti.
Sad još da mu damo ime... Recimo JP(iri) virus? :)
virusi.173prvul,
-> #168, ssokoracŮposle toga ne uradi UNFORMAT nego snimi nove igre za koje ranije nije
Ůimao mesta. I sad kaže - kad mi dosade onda ću sa UNFORMAT da vratim
Ůstare... Naravno, te nove su zauzele više od 50% diska... Ehhh:)))
Ů▄▄▄▄
E, ima nas raznih, ali su neki zaista razniji od ostalih.. :)
Prvul.
virusi.174skoprivica,
-> #168, ssokorac>-> Secate se onoga sto je prebacio command.com u c:Ddos pa se pitao
>-> zasto nece da se digne sisttem? E, sad je dobio SmichC. Ispricao
>-> sam mu za onaj stos sa FORMAT-UNFORMAT... On lepo uzme FORMAT C:/S
>-> i posle toga ne uradi UNFORMAT nego snimi nove igre za koje ranije
>-> nije imao mesta. I sad kaze - kad mi dosade onda cu sa UNFORMAT da
>-> vratim stare... Naravno, te nove su zauzele vise od 50% diska...
>-> Ehhh:)))
I oce li ovo da radi ? tj. Kako format cuva informacije o disku ?
Gde ?
Aje... CTEBO.
virusi.175dejanr,
-> #174, skoprivica>> > Ispricao sam mu za onaj stos sa FORMAT-UNFORMAT... On lepo uzme
>> > FORMAT C:/S i posle toga ne uradi UNFORMAT nego snimi nove igre
>> > za koje ranije nije imao mesta. I sad kaze - kad mi dosade onda
>> > cu sa UNFORMAT da vratim stare... Naravno, te nove su zauzele
>> > vise od 50% diska...
>>
>> I oce li ovo da radi ? tj. Kako format cuva informacije o disku ?
Pobogu! Pa ovo je navedeno kao štos, nisam pomišljao da će neko u to
da poveruje! Ne radi se o tome gde format čuva informacije, nego o tome
što su stavljanjem novih programa na disk stari podaci fizički uništeni
i ne mogu se povratiti, ne može se prostor stvoriti "iz ničega"!
virusi.176ilazarevic,
-> #164, zormi█ "Na Zapadu se plaše najezde kompjuterskih virusa iz Rusije,
█ ali taj strah je potpuno neopravdan pošto su virusi programirani
█ na ćirilici i ne mogu ništa njihovim računarima."
█ ==========
Blago njima! Pa meni zaista nije jasno kako u svim tim redakcijama,
na TV (AK:) ne može da se pojavi čovek koji zna o čemu govori...
virusi.177jpiri,
AKTIVIRAO MI SE VIRUS! I TO 9. MARTA! :)
Izgleda da je benigni. Naime prilikom svakog pisanja ili citanja
podataka sa diska pusti kratak zvucni signal i stavi tackicu
na ekran. Frekvencija zvuka i boja tackice zavise od rednog
broja sektora na disku.
Koja je to perverzija: ja mu lupim dir a on 'brlu bilu trata ta' i
ekran dobije ospice. A tek kad mu pustim linkovanje - pa to
su simfonije.
Boze mili na sta je neko stracio talenat, pa kad ce vec da im dojadi
da prave ovakve gluposti?
Ako je neko malo poblize pogledao ovaj virus, neka mi bar javi
kakav mu je signature ako vec nema vakcine. Iz inata necu da trosim vreme
na njegovo proucavanje.
Signature bi dobro dosao i svima koji skidaju nesto sa BBS-ova
posto ga, da ponovim, scan NE prepoznaje.
virusi.178wizard,
-> #164, zormi>> "Na Zapadu se plaše najezde kompjuterskih virusa iz
>> Rusije, ali taj strah je potpuno neopravdan pošto su
>> virusi programirani na ćirilici i ne mogu ništa njihovim
>> računarima."
:( (znači ako koristim ChiWriter moram da se plašim i Ruskih virusa)
virusi.179ssokorac,
-> #174, skoprivica -=)> I oce li ovo da radi ? tj. Kako format cuva
-=)> informacije o disku ? Gde ?
Ajooojjj....:))))))
Pa ako pišem ponovo po disku ja ću FIZIžKI obisati stare programe!
Nisam mislio da će neko da pomisli da ovo može...:) To je bilo kao
pokazivač 'gluposti' ono ga koji to radi, kao neki štos...:))
Nisi valjda probao??? ;))
virusi.180nbatocanin,
-> #158, drazen> Da, a da li ima virusa?
Jok!
virusi.181vojvoda,
-> #177, jpiri Pa ako te interesuje , mogao bih i ja da pogledam malo , samo mi posalji
jedan .COM ili .EXE file zarazen virusom , i da ne bude mnogo dug , posto je
lakse da se pregleda ...
Vojvoda
virusi.182vojvoda,
Zna li neko kako se manifestuje virus SRBIJA. Cuo sam da je vremenska bomba
, pa reko da nije to ono iz poruke 14.177 , a ako jeste , javi se Durlan-u ,
oni sigurno imaju anti - virus.
virusi.184skoprivica,
-> #179, ssokorac>-> Nisi valjda probao??? ;))
Pa gde ste bili juce :))))
Aje... CTEBO.
virusi.185jpiri,
-> #181, vojvoda
> ..posalji jedan .COM ili .EXE fajl...
Pa eno ti oba uz poruku 14.161.
Uzgred, virus izgleda nije od onih najbanalnijih. Izgleda da se ucita
VAN prvih 640K, tako da se ne vidi sa mapmem i slicnim stvarima.
virusi.186ssokorac,
E ovako:
Imam disketu zaraženu stoned virusom.
C:Đ> scan a:
Found stoned virus in boot sector of drive a:...itd.
C:Đ> dir a:
_neki_fajlovi_
C:Đ> scan c:
Found stoned virus in boot sector of drive c:, please
reboot system from a clean protected diskette and then run
scan...da bi video koliko je raširen <zaboravio sam kako je ovo bilo
na engleskom;)>
C:Đ> reboot
dignem sistem sa čiste, zaštićene dikete i ponovo pregledam disk ali
ne nadje ništa. Inače imam stacker pa je u stvari pregledao stari d:
drive, koji je sada c: jer se stacker nije aktivirao.
Sada dignem noramlno sistem sa HD-a, pvictimb ne nalazi ništa, a ni
scan ne nalazi ništa ni na drajvu c: i na d:
Da li boot virus može da prenese jednostavnim dir a: i ako može, gde
je sad nestao, i da li je nestao?
Stasha
virusi.187mgajic,
-> #182, vojvoda
| Zna li neko kako se manifestuje virus SRBIJA. Cuo sam da je vremenska
| bomba, pa reko da nije to ono iz poruke 14.177 , a ako jeste , javi se
| Durlan-u , oni sigurno imaju anti - virus.
-------------------------------------------------------------------------------
Sreca njegova da nije SRBIJA. SRBIJA nit' je virus, nit' je Trojanac,
ne bar onaj klasican. Da je Srbija imao bi sada da kuka gore nego od Michela-
ngela. Srbija je jedan idiotski program koji mnogo lepo svira nesudjenu himnu
(hm, ko zna) i dok ti zanesen slusas milu ti melodiju on formatira i BOOT i
FAT i ROOT pa te elegantno natera da formatiras disk.
Ako te bas interesuje detalji obrati se Sysopu Fenix BBS-a, on je
imao susret prve vrste sa Srbijom pretprosle ili prosle godine pa Fenix nije
radio par dana. Na BBS-ima "kruzi" jos jedan takav program - FILEM.ZIP. Bio
je ranije na JUBAS-u a i na nekim ovdasnjim BBS-ima.
| Vrlo vredna informacija. Zna li neko, sta zapravo radi taj Mikelandelo?
| Ja sam razumeo da krene pa pise nule po disku, ali po ovome sto kazes
| to nije slucaj (ili se mozda "zadovolji" pisanjem nula po FAT-ovima i
|root diru?)
--------------------------------------------------------------------------
U VSUMX112 (Patricija Hoffman) izmedju ostalog za Michelangelo pise:
"Syptoms: Disk directory damage; hard disk format; decrease in total system
and available memory.
......
......
Partition table infection will result in the original partition table
having been moved to Side 0, Cylinder 0, Sector 7 on the hard disk.
......
......
Michelangelo activates on March 6, which time it will format the
system hard disk by overwriting it with random characters from
system
memory. "
Pozdrav, Gaja.
virusi.188mgajic,
-> #177, jpirirz
B0080000000dd38
Ő
| Boze mili na sta je neko stracio talenat, pa kad ce vec da im dojadi
| da prave ovakve gluposti?
| Ako je neko malo poblize pogledao ovaj virus, neka mi bar javi
| kakav mu je signature ako vec nema vakcine. Iz inata necu da trosim vreme
|na njegovo proucavanje.
| Signature bi dobro dosao i svima koji skidaju nesto sa BBS-ova
| posto ga, da ponovim, scan NE prepoznaje.
---------------------------------------------------------------------
Pa, sad' virus i nije bas toliko bezopasan koliko na prvi pogled izgleda.
Od onih iz Durlana sam "iskukao" *.ASM listinge oba PVICTIM* fajla i. . .
Uostalom, pogledaj sam. NOVVIRUS.ARJ
Pozdrav, Gaja.
novvirus.arjvirusi.189ivans,
-> #187, mgajic* Partition table infection will result in the original
* partition table having been moved to Side 0, Cylinder 0,
* Sector 7 on the hard disk.
Pazi, pazi! Pa ovo je radila i ona bezazlena marijuana!
Pozdrav,
Ivans.
virusi.190dejanr,
==========
security/main #1787, from m.bradley, 1894 chars, Thu Mar 5 21:13:39 1992
Comment(s).
----------
TITLE: NCSA Virus Detector Comparison
The following was posted on our corporate PC board:
N C S A S C A N N E R C E R T I F I C A T I O N
Research Center
National Computer Security Association
On February 12, 1992, the Research Center of the National
Computer Security Association (NCSA) ran six scanners
against a collection of 730 different strains of computer
viruses. The scanners are shown below, along with the
number and percent of viruses detected in these tests.
Company Product Version Detected %
============== ========== ========= ======== =====
Central Point AntiVirus 1.1 497 68
Certus NOVI 1.01 639 88
Fifth Generation UTScan 19.04 352 48
McAfee Associates ViruScan 8.3B86 727 99
Norton AntiVirus 2.0 449 62
Xtree ViruSafe 4.5 524 72
For more information about these tests, you may contact the
NCSA Research Center at (202) 364-8252. To obtain information
about the NCSA, call (717) 258-1816.
----------------------------------------------------------------------
Remember that None of the Anti-Viral systems can offer 100 percent
protection. (It is interesting that McAfee's ViruScan comes mighty
close to complete detection in these tests!!). Anti-Viral software
helps prevent and detect viri from penetrating a computer system.
However, anti-viral should be an integral part of any well designed
security system - be it a stand alone PC or a network with multiple
gateways. The risks may vary, but it is better to provide a proactive
security system for the poissibility for a viral infection than to have
to react to an unexpected infection of your computer system.
==========
security/main #1788, from roedy, 689 chars, Thu Mar 5 21:49:20 1992
Comment to 1787.
----------
I saw an estimate that only 50% of viruses at any one time are
known, so even McAfee is only batting 50% when it detects 99% of
known viruses. Further, who provided the sample viruses?
If the provider were McAfee, they would tend to look better.
Also of interest would have been a count "How many viruses
in addition to the ones we tested does the vendor
CLAIM to detect." I read that some of these companies
get their data from McAfee, and just provide a sexier
front end. This would account for them being a bit behind.
Some companies have BBSes to keep your software fresh.
If the test used mildly stale software, it would do worse
that if it had been freshly updated from the BBS.
virusi.191dejanr,
==========
security/main #1803, from clescuyer, 239 chars, Sun Mar 8 02:59:55 1992
Comment(s).
----------
TITLE: Warning about scan v87
I have received a warning about a v87 version of McAfee scan that
*would be* a Trojan horse. The information comes from a usually
reliable channel. Please check the package if you come across it.
Christian.
virusi.192gvuckovic,
-> #186, ssokorac> Da li boot virus može da prenese jednostavnim dir a: i ako mo
> je sad nestao, i da li je nestao?
Jeste nestao, naime on se zaista moze prenesti sa DIR A:
ali u memoruju pa on onda zarazi boot sector ako pocnes nesto
raditi sa hard diskom.
Goran..
virusi.193beast,
-> #182, vojvoda>> Zna li neko kako se manifestuje virus SRBIJA. Cuo sam da je
Taj fajl je trojanac.
virusi.194georges,
*************************************************************
VIRUS! VIRUS! VIRUS! VIRUS! VIRUS! VIRUS! VIRUS! VIRUS!
*************************************************************
U Francuskoj je otkriven novi virus FEXE 1.0. Trebao bi da
se aktivira negde u aprilu. Karakteristike:
Ime: FEXE 1.0
Poreklo: FRANCUSKA
Velicina: 897
Kript: Da
Napada: .EXE
TSR: Da
Korisceni
interapt: 21
Kod potrage:
FEXE 1.0 ER
EXE
B98E02BEF301BFF301CCEB0DAC3207AA433BDA7203BBBC01CF
Brisanje: Unistiti zarazeni fajl!
***************************************************************
GeorGes: DRAGON OPERA, DRAGON OPERA, DRAGON OPERA, DRAGON
**************************************************************
virusi.195jpiri,
Eh, posto vidim da se virusolozi nesto slabo javljaju u vezi
ovog novog virusa koji me je maltretirao poslednjih dana, bio
sam prinudjen da ipak izgubim par sati i uklonim bestiju.
Elem, ako neko dobije ovaj virus evo kako se on uklanja:
1. Virus NE zarazi .EXE .COM fajlove kada se startuju, vec SAMO
kada se kopiraju sa harda na disketu.
2. Spada u BOOT viruse. Promeni particionu tabelu tako da umesto na
pocetak diska (Side 1,Cyl 0,Sector 1) pokaze na kraj diska (ne
particije) tako da za sebe ostavi poslednjih 3K na disku.
Lek je dakle jednostavan: Masina se podigne sa zdravog floppyja
i pomocu Nortona se popravi particiona tabela tako da opet ukazuje
na gore navedene koordinate i to je sve!
Inace, jos jedan od nacina na koji se ovaj virus manifestuje
i to PRE nego sto pocne ono orgijanje sa zvukom i tackicama, je
sto ne radi CLS! Virus naime posalje ANSI sekvencu za clear screen
i ako ANSI driver nije ucitan cls ne radi.
Ako nekog interesuje, mogu mu poslati i onih 3K na kraju diska
u koje se smesta virus.
Poziv za otkrivanje signature-a jos uvek vazi: ne znam naime
kojim sam programom zarazio masinu! Takodje me interesuje gde
se virus smesti u memoriji.
virusi.196alexa,
-> #192, gvuckovic> Jeste nestao, naime on se zaista moze prenesti sa DIR A:
> ali u memoruju pa on onda zarazi boot sector ako pocnes nesto
> raditi sa hard diskom.
Listanjem sadržaja zaražene diskete se ne može zaraziti računar
pod operativnim sistemom MS-DOS. U svakom slučaju je potrebno
predati kontrolu mašinskom kodu virusa da bi on mogao da se
"instalira", a to se ne čini pomoću "DIR A:".
virusi.197feniks,
-> #196, alexa
│ Listanjem sadrzaja zarazene diskete se ne moze zaraziti racunar
│ pod operativnim sistemom MS-DOS. U svakom slucaju je potrebno
│ predati kontrolu masinskom kodu virusa da bi on mogao da se
│ "instalira", a to se ne cini pomocu "DIR A:".
└───────
Potpuno se slazem. Bar meni nije nikad uspelo da tako prenesem virus.
Zabunu pravi jedan bug u SCAN86 (koji je mnoge naveo na pogresan zakljucak).
Naime, evo o cemu se radi:
Kad imate disketu na kojoj je Micheladjelo u boot sektoru
i uradite "DIR A:" pa potom pokrenete SCAN86, dobija se poruka:
>> Found No-Int Virus [Stoned] active in memory.
>> Power down the system immediately.
>> Reboot from a clean, write protected system diskette and then
>> re-run SCAN to determine extent of hard disk infection.
Prvi put sam poslusao ovu preporuku, a potom sam napravio backup
diska i ponovio "DIR A:". Ovaj put sam pustio da vidim sta
ce taj Virus [Stoned] da mi napravi ako ne iskljucim. Koristio sam
COM i EXE programe, kopirao itd .... i sta mislite ?
Naravno da nije nista uradio, jer i nije bio prisutan ;)
Í─Ě Í─Ě
║ ║ ║
Ë─Ż đ đ
virusi.198janko,
-> #197, feniks> Potpuno se slazem. Bar meni nije nikad uspelo da tako
> prenesem virus. Zabunu pravi jedan bug u SCAN86 (koji je
> mnoge naveo na pogresan zakljucak).
It's not a bug, it's a feature. :)
Pomoću DIR, sadržaj nekih sektora diskete, u kojima je i virus,
došao je u memoriju PC-ja -- u bafere. Ali nije aktiviran. AKO
se ne dogodi ništa nepredviđeno, neće ni biti. Ali, kako u 8086
ne postoji zaštita memorije, bag nekog drugog programa bi
teorijski, mogao da aktivira virusa, ako ga ne prepiše svojim
učitavanjem. Jedino je tačno da SCAN pravi veću paniku,
govoreći da je virus već aktivan. Ne smatram da je to loše. Zar
čuvate diskete sa BOOT virusima? A ako jednog dana zaboravite
na kojima su BOOT virusi, a na kojima nisu?
virusi.199mgajic,
-> #197, feniks
| Prvi put sam poslusao ovu preporuku, a potom sam napravio backup
| diska i ponovio "DIR A:". Ovaj put sam pustio da vidim sta
| ce taj Virus [Stoned] da mi napravi ako ne iskljucim. Koristio sam
|COM i EXE programe, kopirao itd .... i sta mislite ?
--------------------------------------------------------------------------
Izgleda da se ovde radi o nekoj zabuni. Ako se sa nezarazenog hard
diska - C otkuca DIR A: sanse su pola - pola. Zavisi od virusa. Link
virus nece zaraziti hard disk a BOOT ???. Ili, sa zarazene diskete
(ako je na njoj BOOT virus) DIR C: garantovana zaraza. U prvom
slucaju
zavisi da li je Boot virus rezidentan. Ako jeste, a posle DIR A: sa
nezarazenog hard diska, eto njega u memoriju a odatle na hard disk.
A, sto se tice NoInt-a:
Virus Name: NoInt
Alias: Bloomington, LastDirSect
Type Code: BRxT - Rezident Boot Sector & Partition Table Infector.
Symptoms: BSC, decrease in total system and available free memory;
directory corruption.
Prema tome, tacno je da ga nema u EXE i COM fajlovima, a i sta ce tamo
kada mu to nije "domaci zadatak". Nesto mislim da ti ipak pregledas
jos
jednom hard disk.
Pozdrav,
Gaja.
virusi.200feniks,
-> #199, mgajic
│ Izgleda da se ovde radi o nekoj zabuni. Ako se sa nezarazenog hard
│ diska - C otkuca DIR A: sanse su pola - pola. Zavisi od virusa. Link
│ virus nece zaraziti hard disk a BOOT ???. Ili, sa zarazene diskete
│ (ako je na njoj BOOT virus) DIR C: garantovana zaraza. U prvom slucaju
│ zavisi da li je Boot virus rezidentan. Ako jeste, a posle DIR A: sa
│ nezarazenog hard diska, eto njega u memoriju a odatle na hard disk.
└─────────
Ako se sistem podigne sa nezarazenog harda moze se raditi i
DIR A: i sa zarazene diskete BOOT virusom DIR C: i nista se
nece desiti (tako BOOT virus ne moze da predje na hard) , pa su
tvoje predpostavke pogresne.
Jedini nacin na koji se prenosi Michelandjelo na hard je
ako pri podizanju sistema u drive A ostane disketa koja je zarazena
tim BOOT virusom (tako sam ja ne proveravajuci prvi put dobio ovaj
virus na sistemskoj disketi sa novim MS DOS 5.0 :)))
Í─Ě Í─Ě
║ ║ ║
Ë─Ż đ đ
virusi.201skoprivica,
-> #199, mgajic>-> diska - C otkuca DIR A: sanse su pola - pola. Zavisi od virusa.
>-> Link virus nece zaraziti hard disk a BOOT ???. Ili, sa zarazene
Pazi slucaj: Na disku invader (virus koji svira na lepom plavom
dunavu, boot virus), i ortak , ne znajuci to, stavlja redom
diskete u flopi i dir a:, i posle dolazim ja sa drugim ortakom
i dignemo frku i pregledamo diskete (7-8) i vidimo na 3-4 diskete
ima virusa na 3-4 nema virusa !!!??? I to nije bilo redom nego
jedna ima, pa ova nema, pa nema....
Aje... CTEBO.
virusi.202dragisha,
U Sarajevu se pojavio neki rebooter koji scan 86 ne otkriva.
Brlja ekran na raznorazne nacine i s vremena na vrijeme uradi boot
sekvencu (cijeli config.sys i dalje) i nastavi raditi kao da nista nije
bilo.
Sta s njim?? Je li ima novijeg scana/cleana ili neki drugi alat moze
pomoci?
dragisha
virusi.203isekulovic,
Da li postoji neki virus, koji posle startovanja na ekranu
ispise nesto tipa 'sunce, mesec, zvezde' i onda zablokira kompjuter?
Poruka ne glasi bas tako, ali sam samo cuo od keve da im se to desava
na kompjuteru u skoli.
ivan
virusi.204vojvoda,
hi!
Drug mi se vhali da ima Scan 91 , pa me interesuje jeol izasao novi Scan ili je
to samo neki pomukli virus u tom obliku ?
Vojvoda
virusi.205bulaja,
-> #204, vojvoda│Drug mi se vhali da ima Scan 91 , pa me interesuje jeol izasao novi Scan
│ili je to samo neki pomukli virus u tom obliku ?
└───
Nije izasao (as far as i know ;), jedino se pojavilo saopstenje McAfee-a
da nece izaci scan87 jer se pojavio neki trojanac sa tim imenom.
virusi.206zonjic,
-> #202, dragishapa da - to je BOSANSKI VIRUS: Uradi FDISK tako da napravi tri particije!
:-)
virusi.207vbole,
-> #202, dragisha> Brlja ekran na raznorazne nacine i s vremena na vrijeme uradi boot
> sekvencu (cijeli config.sys i dalje) i nastavi raditi kao da nista nije
> bilo.
Ovo mi nije bas najjasnije, kako uradi boot i nastavi da radi ??
Ako stvarno uradi boot, onda nema gde da nastavi jer tek pocinje sa radom.
Jedino moze da se prvi startuje, zapamti uvodne ekrane koji se ispisuju iz
autoexec-a, pa da posle simulira boot ponovnim ispisivanjem tih ekrana.
Jel' to mislis ?
bye... vbole
virusi.208mgajic,
-> #195, jpiri|
| Ako nekog interesuje, mogu mu poslati i onih 3K na kraju diska
| u koje se smesta virus.
+-------------------------------------------------------------------
Dobro si se setio da kazes da ima jos. A ja poslao preko agenta u Becu
Mcafee-u. Daj, ostavi to sto pre da i to uz izvinjenje posaljem ljudima.
mgajic.
virusi.209mgajic,
-> #200, feniks
| Ako se sistem podigne sa nezarazenog harda moze se raditi i
| DIR A: i sa zarazene diskete BOOT virusom DIR C: i nista se
| nece desiti (tako BOOT virus ne moze da predje na hard) , pa su
| tvoje predpostavke pogresne.
+---------------------------------------------------------------------
To da. Ako se sistem podigne sa nezarazene diskete ili hard diska
onda postoje male sanse da se sa DIR zarazi hard ili floppy. Ali sta
cemo sa onim virusima koji zaraze i fajlove i Boot pa i FAT ?. Ako si
pokrenuo prvi put Virus koji je u fajlu i koji nije do tada bio u si-
stemu i on "ode" u memoriju ???. Onda ce i DIR A: i DIR C: napraviti
svoj posao. To znaci da sistem mozes da podignes sa nezarazenog (Boot)
hard diska, pokrenes zarazeni fajl, virus postane rezidentan i sa (i
dalje cistog hard diska) sa DIR A: zarazi disketu, a sa DIR C i hard
disk. Takav je Invader ali takva je i Malteska Amoeba koja zarazi sve
zivo osim COMMAND.COM-a. Znaci: mozes da sa Boot nezarazene diskete
podignes sistem i da kasnije sa DIR C: zarazis hard disk.
Gaja.
virusi.210feniks,
-> #209, mgajic
>> svoj posao. To znaci da sistem mozes da podignes sa nezarazenog (Boot)
>> hard diska, pokrenes zarazeni fajl, virus postane rezidentan i sa (i
>> dalje cistog hard diska) sa DIR A: zarazi disketu, a sa DIR C i hard
Ovo je sasvim drugi slucaj, kad virus postane rezidentan tj.
aktiviran, on je spreman za sirenje po kreaciji autora :)))
Ali cela diskusija je pocela tako da se tvrdilo da je samo
pomocu komande DIR (u nezarazenom sistemu) moguce preneti virus
sa diskete na hard.
Í─Ě Í─Ě
║ ║ ║
Ë─Ż đ đ
virusi.211obren,
-> #201, skoprivica> Pazi slucaj: Na disku invader (virus koji svira na lepom plavom
> dunavu, boot virus), i ortak , ne znajuci to, stavlja redom
> diskete u flopi i dir a:, i posle dolazim ja sa drugim ortakom
> i dignemo frku i pregledamo diskete (7-8) i vidimo na 3-4 diskete
> ima virusa na 3-4 nema virusa !!!??? I to nije bilo redom nego
> jedna ima, pa ova nema, pa nema....
Ja sam imao tu (ne)sreću da mi INVADER otpeva malo drugačiju "pesmicu". Naime,
disketa na kojoj je bio INVADER u bootu, zatekla mi se u drajvu posle reseta
iako nije bila sistemska. Nisam siguran da li je virus dospeo u memoriju
zbog ovoga, ili sam ja kasnije startovao neki zaražen program sa te diskete.
Kada sam pritisnuo CTRL-ALT-DEL, hard je počeo da mi "kuva". Bilo mi je čudno,
ali sam malo sačekao. Onda sam se osvestio i resetovao ga na dugme. Ali bilo
je već kasno, disk je bio formatiran/prebrisan.
Kasnije sam eksperimentisao, (naravno isključivši hard iz setupa) i došao do
zaključka da se INVADER ne može aktivirati sa DIR, ali ako je u memoriji, može
zaraziti disk čiji se sadržaj gleda sa DIR. Lično smatram da se na PC-ju ne
može zaraditi virus pregledanjem sadržaja zaražene diskete, ma kakav virus bio
u pitanju. Da bi se kôd virusa startovao mora mu se predati kontrola, a do toga
sigurno ne dolazi sa dir a:, čak ni kod boot virusa.
Sasvim je drugi slučaj ako je virus već u memoriji. Tada je sasvim moguće, a
invader to i radi, zaraziti disketu koja se gleda sa dir a:.
P.S. Invader nije virus tipa Yenkija, odnosno ne zaustavlja se na sviranju
lepog plavog Dunava. To je jedan od najgorih virusa koje sam sreo. Samo što
se ne uvlači u CMOS. Uostalom pogledaj malo VIRLIST.TXT.
Pozdrav, Dragan
virusi.212skoprivica,
-> #211, obren>-> zakljucka da se INVADER ne moze aktivirati sa DIR, ali ako je u
>-> memoriji, moze zaraziti disk ciji se sadrzaj gleda sa DIR. Licno
>-> smatram da se na PC-ju ne
Ok, moguce da je onaj ortak radio jos ponesto, ali nama je
'prijavio' samo dir a:....:)
>-> P.S. Invader nije virus tipa Yenkija, odnosno ne zaustavlja se na
>-> sviranju lepog plavog Dunava. To je jedan od najgorih virusa koje
>-> sam sreo. Samo sto se ne uvlaci u CMOS. Uostalom pogledaj malo
>-> VIRLIST.TXT.
Izvini, moja greska, nisam mislio da mu je to jedina 'svrha' nego
sam naveo vise kao kuriozitet, tj. tako se najlakse prepoznaje da
je on (mislim da je pola sata-45 min. po ukljucenju masine, ili u
pola devet ujutru(manje verovatno), nisam stigao mnogo da eksperim-
entisem)...
Aje... CTEBO.
virusi.213dragisha,
-> #207, vboleű> Ovo mi nije bas najjasnije, kako uradi boot i nastavi da
ű> radi ?? Ako stvarno uradi boot, onda nema gde da nastavi
ű> jer tek pocinje sa radom. Jedino moze da se prvi
ű> startuje, zapamti uvodne ekrane koji se ispisuju iz
ű> autoexec-a, pa da posle simulira boot ponovnim
ű> ispisivanjem tih ekrana. Jel' to mislis ?
Bio sam nejasan, sto yest yest.
Ja kucam na cmd liniji npr. "dir" i prije nego prikaze "r" on izvrsi boot
sekvencu (redom sve iz config.sys) ali tako da samo dopise ono HIMEM
installed, HMA blabla i to kao da je sve to rezultat npr. type komande.
Znaci, ekran ne brise a zaista butira. Sve se prekida i pocinje iz pocetka
naravno.
Rijesio sam problem tako sto sam obrisao *.EXE *.COM *.SYS uradio SYS c:
sa zdrave diskete, resetovao, snimio ponovo svoj sw i zdravo i zivjeli.
dragisha