Re: n-sima cifra del pigreco

From: Federico Spano' <ferdnan2_nonevero__at_libero.it>
Date: 2000/07/12

Credevo che fosse ormai chiaro che si tratta di un virus, comunque ho
avuto la risposta dalla societa' del mio antivirus con le istruzioni
per toglierlo, che sono identiche alle mie.
Premetto che se a qualcuno resta un Winwos 'strano' la soluzione piu'
immediata e' quella di reinstallarlo su se' stesso (win98 lo fa
tranquillamente), a meno di poter attuare interventi piu' mirati.
I danni provocati comunque non sono quelli descritti da Claudio ma
quelli descritti nel documento della societa' antivirus che riporto
qui di seguito.
Sono a disposizione di tutti voi, comunque, per risolvere problemi
individuali. Il fatto che questo possa far pensare che sono l'autore
del virus non mi riguarda.
Per la cronaca, sullo stesso sito, che ho naturalmente segnalato ai
gestori, si trova anche un programma denominato VACCINO.EXE che
contiene le seguenti stringhe di testo:

c:\windows\hhpigr32.ocx
Al geologo nano bastardo gli possano seccare i cxxxxxxi

(la censura e' mia)

mentre il virus contiene:

H1PIGR32.OCX
PATHc:\windows\h1pigr32.ocx
MODE.COM
Funzione prepare di MODE per la tabella codici completata
Funzione select di MODE per la tabella codici completata
HHPIGR32.OCX
C:\WINDOWS\PHPIGR32.OCX
c:\windows*.txt
PHPIGR32.OCX
3.141582654
a:\*.exe
c:\
Trovato il nano Autoeliminazione effettuata�

(notare il valore di pigreco sbagliato) e queste stringhe sono quelle
che mi hanno aiutato ad individuare i danni fatti (oltre alle mie
peraltro elementari nozioni di DOS e altri sistemi operativi).

Mi sembra evidente che l'idiota ce l'ha a morte con un geologo,
probabilmente di statura non altissima, che lui ritiene frequentatore
di questo newsgroup.

E con questo basta, direi. Segue il report di cui sopra.

Virus Name:
TROJ_PIGRECO

Alias:
None

Language:
Italian

Virus Type:
Trojan

Platform:
DOS

Number of Macros:
None

Encrypted:
No

Size of Virus:
7,504 Bytes

Place of Origin:
Unknown

Date of Origin:
Unknown

Symptoms:
All .TXT files in the WINDOWS directory grows by about 4MB.
The file size of MODE.COM in C:\Windows\Command
becomes 7,504 bytes. Presence of any of the following files
in the C:\WINDOWS directory : PHPIGR32.OCX,
HHPIGR32.OCX or H1PIGR32.OCX

Destructive:
Yes

Trigger Date:
None

Trigger Condition:
None

Password:
None

Seen in the Wild:
No

Payload:
None

[DESCRIPTION]

This DOS Trojan corrupts all the .TXT files in the C:\Windows
directory by appending garbage at the end of file. This virus
also deletes MODE.COM in the C:\WINDOWS\COMMAND
directory and replaces it with the virus file.

[Details]

This DOS trojan can be downloaded at
http://utenti.tripod.it/anasvidi/anasvi

This program supposedly calculates the n-th digit of PI but
when executed, this Trojan creates any of the files :
 PHPIGR32.OCX, HHPIGR32.OCX or H1PIGR32.OCX in the
C:\WINDOWS directory.

Then it deletes MODE.COM in the C:\Windows\Command
directory and copies itself as MODE.COM.

Then the Trojan appends 4,569,440 bytes of garbage bytes at
the end of each .TXT file in the C:\Windows directory.

[How to Clean]
Please follow these instructions to totally clean your PC:

1. The Trojan has overwritten MODE.COM. Please extract
the said file from your back-up or installer file in the
C:\Windows\Command directory.

2. Please manually delete the files PHPIGR32.OCX,
HHPIGR32.OCX or H1PIGR32.OCX if they exist on the
C:\WINDOWS directory.

3. If you have a back-up or installer file, kindly replace all .TXT
files in the C:\Windows directory. If you don't have an installer,
For each .TXT file in the C:\Windows directory, follow the
steps below:
a.Open the file in WordPad or any Text Editor.
b. Press PageDown or scroll the Vertical ScrollBar until you
reach the part where what is written are garbage bytes.
Highlight the readable part (from this point up to the top of
file).
c. Press Ctrl-C or Right-Click then choose copy.
d. Click Ctrl-N (for WordPad) or File-New to create a new
document
e. Don't save the original file
f. Press Ctrl-V or Right-Click then choose Paste
g. Save as the original file overwriting the old file.

On 10 Jul 2000 19:15:23 +0200, "Claudio" <rofalorn_at_tin.it> wrote:

>
>> Capisco che ci si possa incavolare per una cosa del genere, ma quando
>> si usa un programma preso dalla rete si dovrebbe essere consapevoli a
>> priori del rischio che si corre, specialmente se si usa un sistema
>> operativo in cui i singoli processi hanno accesso illimitato alle
>> risorse chiave del sistema come il registro.
>
>Beh, la famiglia dei SS.OO. Win � attualmente utilizzata dal 95% dei
>possessori di PC.... Son d'accordo con te che UNIX e LINUX sono migliori da
>molti punti di vista, per� i venditori installano Win e per ci� che mi serve
>il PC a casa va bene lo stesso.
>
>Comunque, il Sig. n_at_n potrebbe, a questo punto, farsi vivo [l'indirizzo
>E-mail che c'� nella fantomatica pagina � anch'esso inesistente] e
>comunicare le seguenti cose:
>
>- Con quale versione di MS-DOS � stato fatto il programma;
>- Quale codice di caratteri MS-DOS aveva nel suo PC al momento della
>creazione del file EXE (In Italia si ha CODE 850);
>- Se � a conoscenza del tipo di problemi creati nell'eseguire il programma
>con un S.O. Win (non sono il solo che ha avuto dei problemi);
>
>Poi vorrei sapere se qualcuno di Voi (magari con LINUX, UNIX, MS-DOS,
>OLIVETTI PCOS1982,...) � riuscito almeno a farlo girare questo benedetto
>programma. In caso contrario ritengo che trattasi di un Virus o roba del
>genere!!
>
>CIao Claudio
>
Received on Wed Jul 12 2000 - 00:00:00 CEST