Topo Virus (Fax_Free)

Massy_73 · 25-01-2016, 19:55

Ho un problema con un virus che temo non sarà di facile risoluzione visto la risalenza nel tempo dello stesso.
Allora, sto facendo il backup di un mio vecchio 8088 per avere i programmi sull'attuale pc e accedervi con DOSBox.
Ora in questo vecchio PC già sapevo che c'era un virus (parliamo dei primi anni '90) di nome, all'epoca, Topo Virus. Nell'8088 non mi aveva mai creato problemi quindi lo avevo lasciato diciamo così proliferare tranquillamente

Comunque ricordo che cancellarlo dai file EXE (solo a quelli si "attaccava") era molto semplice. Avevo una stringa di codice mi pare in HEX che con un pctools (programma dell'epoca che ricorderanno solo i più vecchietti come me) bastava cercare nel codice sorgente del file e poi cancellare per eliminare il virus e tornare ad avere il file EXE perfettamente pulito. (ovviamente la sequenza da cercare/cancellare non la trovo più)
Ora NOD32 me lo rileva col nome di "Fax_Free.1536.Topo virus". Il problema è che se gli dico "pulisci" invece di pulirlo mi cancella l'intero file EXE

Ho provato anche altri tools di pulizia ma tutti si comportano nello stesso modo (quelli che rilevano il virus cancellano l'intero file EXE anziché pulirlo).
Ora io vorrei recuperare alcuni di questi file EXE infetti perché si tratta anche di software scritti da me all'epoca e che quindi rivestono un certo valore a livello affettivo e di ricordo.
A parte che non ho idea di che danni possa mai fare un virus così vecchio ad un pc di oggi, ma comunque ovviamente non voglio rischiare.
Per completezza, facendo la scansione di un qualsiasi file EXE infetto con Virus Total, il risultato è il seguente:

Consigli/idee su come pulire quei file senza cancellarli?!
Grazie.

x_Master_x · 28-01-2016, 16:01

Se potessi controllare con un "Hex Editor" un .exe pulito e uno infetto, mi riferisco allo stesso eseguibile, sarebbe facile capire quale stringa in questione rimuovere. Da quel che leggo:

Quote:

Originariamente inviato da Online VSUM

Virus Name: Mosquito
Aliases: Fax Free
...
Once memory resident, Mosquito will infect .EXE programs and overlay files on drives other than drive A: when they are executed. Infected programs will increase in size by 1,028 to 1,040 bytes, the virus will be located at the end of the infected file. Programs infected with the Mosquito virus will also contain the text string "Mosquito".

Dovrebbe trovarsi alla fine del file. Al massimo puoi procedere a tentativi, sempre con hex editor, avendo cura di operare su una copia. Vecchi "Virus Bulletin" riportano informazioni del genere, sempre se è la stessa variante:

Quote:

Originariamente inviato da VB

A large number of new variants in this family has appeared over the last year - mostly coming from Italy, although the virus-writing activity there seems to have decreased considerably in the past few months. The 1536(1) pattern below is a ‘generic’ pattern which will detect 1536.Pisello, 1536.Pinniz.A, 1536.Pinniz.B, 1536.Pinniz.C, 1536.Pinniz.D and 1536.Pinniz.E.

Fax_Free.608.A
80FC 3B74 E580 FC4B 757D 0E1F B860 022E A34F 021F B800 43CD
Fax_Free.608.B
80FC 4B74 03E9 5D01 0E1F B860 022E A34F 021F B800 43CD 2173
Fax_Free.622
80FC 4B75 7C0E 1FB8 6E02 2EA3 5D02 1FB8 0043 CD21 726B 2E89
Fax_Free.623
80FC 4B75 7D0E 1FB8 6F02 2EA3 5E02 1FB8 0043 CD21 726C 2E89
Fax_Free.1536(1)
0026 8706 0C00 508C C826 8706 0E00 50CC 589D 5826 8706 0E00

P.S. Hai scritto un thread su ogni forum esistente?

piccilab · 28-01-2016, 17:08

Mi ricordo di quel virus, lo presi in illo tempore (parliamo dei primi anni 90 o giù di lì).. mi ricordo che avevo un dischetto con un programma "micio.exe" che ripuliva i file infetti!

Comunque, dubito che riuscirai a trovare da qualche parte un programma che ti pulisca i file, sono passati troppi anni... però puoi stare tranquillo: è codice a 16 bit, non può girare su un pc moderno a 64bit, e comunque era scritto per il DOS... non può fare nessun danno!

menatwork · 28-01-2016, 19:53

Quote:

Comunque, dubito che riuscirai a trovare da qualche parte un programma che ti pulisca i file, sono passati troppi anni

si potrebbe cercare in un archivio

Massy_73 · 28-01-2016, 19:55

Quote:

Originariamente inviato da x_Master_x

Se potessi controllare con un "Hex Editor" un .exe pulito e uno infetto, mi riferisco allo stesso eseguibile, sarebbe facile capire quale stringa in questione rimuovere.

Dando in pasto un file infetto a questo sito http://www.fileformat.info/tool/hexdump.htm ho scoperto che la stringa di rimuovere è questa:
0026 8706 0C00 508C C826 8706 0E00 50CC 589D 5826 8706 0E00

Ora bisognerebbe trovare un software "moderno" che mi permetta di rimuovere quella stringa...
Ne conoscete qualcuno?

Quote:

Dovrebbe trovarsi alla fine del file.

Beh non proprio alla fine, ma verso la fine.

Quote:

P.S. Hai scritto un thread su ogni forum esistente?

Ehmmm....

Massy_73 · 28-01-2016, 20:04

Quote:

Originariamente inviato da piccilab

Comunque, dubito che riuscirai a trovare da qualche parte un programma che ti pulisca i file, sono passati troppi anni...

Beh mi basterebbe un software che mi permettesse eliminare la stringa HEX a mano...

Quote:

però puoi stare tranquillo: è codice a 16 bit, non può girare su un pc moderno a 64bit, e comunque era scritto per il DOS... non può fare nessun danno!

E' quello che pensavo anch'io (anche se il mio sistema è a 32 non 64bit

). Ma sai, la sicurezza non è mai troppa. Anche perché, in qualche modo, il file infetto sembra cercare in qualche modo di accedere... O almeno NOD32 mi dice, se apro ad es. semplicemente un floppy con dentro un file infetto senza eseguire nulla: "Minaccia (Fax_Free.1536.Topo) è stato trovato in un file che Esplora risorse sta tentando di eseguire l'accesso. Può essere rimosso solo attraverso l'eliminazione del file problematico (solo se appartenente al sistema operativo)
Applicazione: C:\WINDOWS\explorer.exe
[...]
File: A:\NOME FILE INFETTO.EXE".
Boooh!

x_Master_x · 28-01-2016, 21:32

Quote:

Originariamente inviato da Massy_73

Dando in pasto un file infetto a questo sito ho scoperto che la stringa di rimuovere è questa:
0026 8706 0C00 508C C826 8706 0E00 50CC 589D 5826 8706 0E00

Ora bisognerebbe trovare un software "moderno" che mi permetta di rimuovere quella stringa...
Ne conoscete qualcuno?

Quindi é la stringa che ho trovato nel VB, Fax_Free.1536(1)
Te l'ho detto, puoi usare un qualsiasi editor hex come HexEdit e metti tutti zero al posto di quella sequenza, é il metodo più semplice

Massy_73 · 31-01-2016, 01:50

Quote:

Originariamente inviato da x_Master_x

Quindi é la stringa che ho trovato nel VB, Fax_Free.1536(1)

Eh sì

Quote:

come HexEdit

Esatto proprio un sw del genere cercavo. Grazie mille!

\già pulito il primo file!

betsubara · 05-02-2016, 15:51

Wow!!!!
Hai un virus molto vecchio del dos.

Prova ad usare virit.

25-01-2016, 19:55	#1
Massy_73 Member Iscritto dal: Jan 2007 Messaggi: 58	Topo Virus (Fax_Free) Ho un problema con un virus che temo non sarà di facile risoluzione visto la risalenza nel tempo dello stesso. Allora, sto facendo il backup di un mio vecchio 8088 per avere i programmi sull'attuale pc e accedervi con DOSBox. Ora in questo vecchio PC già sapevo che c'era un virus (parliamo dei primi anni '90) di nome, all'epoca, Topo Virus. Nell'8088 non mi aveva mai creato problemi quindi lo avevo lasciato diciamo così proliferare tranquillamente Comunque ricordo che cancellarlo dai file EXE (solo a quelli si "attaccava") era molto semplice. Avevo una stringa di codice mi pare in HEX che con un pctools (programma dell'epoca che ricorderanno solo i più vecchietti come me) bastava cercare nel codice sorgente del file e poi cancellare per eliminare il virus e tornare ad avere il file EXE perfettamente pulito. (ovviamente la sequenza da cercare/cancellare non la trovo più) Ora NOD32 me lo rileva col nome di "Fax_Free.1536.Topo virus". Il problema è che se gli dico "pulisci" invece di pulirlo mi cancella l'intero file EXE Ho provato anche altri tools di pulizia ma tutti si comportano nello stesso modo (quelli che rilevano il virus cancellano l'intero file EXE anziché pulirlo). Ora io vorrei recuperare alcuni di questi file EXE infetti perché si tratta anche di software scritti da me all'epoca e che quindi rivestono un certo valore a livello affettivo e di ricordo. A parte che non ho idea di che danni possa mai fare un virus così vecchio ad un pc di oggi, ma comunque ovviamente non voglio rischiare. Per completezza, facendo la scansione di un qualsiasi file EXE infetto con Virus Total, il risultato è il seguente: Consigli/idee su come pulire quei file senza cancellarli?! Grazie.

28-01-2016, 17:08	#3
piccilab Junior Member Iscritto dal: Jan 2016 Messaggi: 1	Mi ricordo di quel virus, lo presi in illo tempore (parliamo dei primi anni 90 o giù di lì).. mi ricordo che avevo un dischetto con un programma "micio.exe" che ripuliva i file infetti! Comunque, dubito che riuscirai a trovare da qualche parte un programma che ti pulisca i file, sono passati troppi anni... però puoi stare tranquillo: è codice a 16 bit, non può girare su un pc moderno a 64bit, e comunque era scritto per il DOS... non può fare nessun danno!

05-02-2016, 15:51	#9
betsubara Junior Member Iscritto dal: Jul 2013 Messaggi: 14	Wow!!!! Hai un virus molto vecchio del dos. Prova ad usare virit.

Strumenti
Mostra una versione stampabile Invia questa pagina per email