home *** CD-ROM | disk | FTP | other *** search

---

/ The World of Computer Software / The World of Computer Software.iso / vl6-3.zip / VL6-3.TXT

< prev

Wrap

Internet Message Format  |  1993-01-15  |  39KB

---

1. From lehigh.edu!virus-l Fri Jan  8 03:48:34 1993
2. Date: Tue, 5 Jan 1993 14:35:58 -0500
3. Message-Id: <9301051858.AA13030@barnabas.cert.org>
4. Comment: Virus Discussion List
5. Originator: virus-l@lehigh.edu
6. Errors-To: krvw@cert.org
7. Reply-To: <virus-l@lehigh.edu>
8. Sender: virus-l@lehigh.edu
9. Version: 5.5 -- Copyright (c) 1991/92, Anastasios Kotsikonas
10. From: "Kenneth R. van Wyk" <krvw@cert.org>
11. To:   Multiple recipients of list <virus-l@lehigh.edu>
12. Subject: VIRUS-L Digest V6 #3
13. Status: R
14.  
15. VIRUS-L Digest   Tuesday,  5 Jan 1993    Volume 6 : Issue 3
16.  
17. Today's Topics:
18.  
19. re: os2-stuff (OS/2)
20. Re: Viruses in OS/2 HPFS (OS/2)
21. Re: CHRISTMA EXEC (IBM VM/CMS)
22. Filler virus (PC)
23. Virus Simulator MtE Supplement (PC)
24. Re: VSHIELD, VIRSTOP, ... comparison ? (PC)
25. Clash between FDISK/MBR and scanners (PC)
26. Invalid Boot Sectors (PC)
27. Trojan detection/protection (PC)
28. Re: Is this a new virus? (PC)
29. ANTI-tel (PC)
30. Info on Vascina and 1701/1704 in Novell networks wanted (PC)
31. Does anyone have info on DAME (PC)
32. MS-DOS CHKDSK & VER /R (PC)
33. Good use of (possible bad) viruses
34. Good and bad viruses (was FC on virus creation)
35. Re: Viral Based Distribution System
36. TBAV 5.02 and VSIG9214 upload (PC)
37. The Internet Worm (CVP)
38. March Virus/Security Conference
39.  
40. VIRUS-L is a moderated, digested mail forum for discussing computer
41. virus issues; comp.virus is a non-digested Usenet counterpart.
42. Discussions are not limited to any one hardware/software platform -
43. diversity is welcomed.  Contributions should be relevant, concise,
44. polite, etc.  (The complete set of posting guidelines is available by
45. FTP on cert.sei.cmu.edu or upon request.) Please sign submissions with
46. your real name.  Send contributions to VIRUS-L@LEHIGH.EDU.
47. Information on accessing anti-virus, documentation, and back-issue
48. archives is distributed periodically on the list.  A FAQ (Frequently
49. Asked Questions) document and all of the back-issues are available by
50. anonymous FTP on cert.org (192.88.209.5).  Administrative mail
51. (comments, suggestions, and so forth) should be sent to me at:
52. <krvw@CERT.ORG>.
53.  
54.    Ken van Wyk
55.  
56. ----------------------------------------------------------------------
57.  
58. Date:    Wed, 23 Dec 92 02:36:37 -0500
59. From:    KARGRA@GBA930.ZAMG.AC.AT
60. Subject: re: os2-stuff (OS/2)
61.  
62. Hi Vesselin,
63. as pointed out in point 10 at least *.dll and *.drv files contain code which
64. cannot be executed by the user, but is loaded and executed as any other *.ov?
65. As there are viruses which infect overlays, they can be infected in a similar
66. way. However, if the virus is not specialized on these newer formats, they
67. shurely will be destroyed. BUT: Si vis pacem, para bellum. (If you want peace,
68. prepare for war.) I hope things will stay too complicated for most virus-
69. writers for the next 5 x 10^9 years.
70. Silly me! Forget about point 4...
71. Yesterday I downloaded the newest versions of McAfees OS2-scanning software.
72. There is a os2-specific version for netscan, so I'll try this one too, though
73. I do not expect it will work, as there is no network here on my poor, lonesome
74. home-pc. :)
75. Sorry for missing point B8. I'll look it up immediately. Thanks for info.
76. The only mention of the /EXT= switch of F-Prot I found in NEW.206. It is
77. definitely missing in COMMANDS.DOC. I just looked up all textfiles. Even
78. READ_ME.DOC :-)
79. As I go on vacation, I hope to report my results in January.
80.  
81.          A                                             A
82.         AXA                                           AXA
83.         OOO        M E R R Y   C H R I S T M A S      OOO
84.         OVO                                           OVO
85.          V                    and a                    V
86.          I                                             I
87.         ---         H A P P Y   N E W   Y E A R       ---
88.         I I                                           I I
89.         I I             WITHOUT MICH et al.           I I
90.         I I                   Alfred                  I I
91.         ---                                           ---
92.  
93. ------------------------------
94.  
95. Date:    Fri, 25 Dec 92 09:12:10 +0000
96. From:    buhr@umanitoba.ca (Kevin Andrew Buhr)
97. Subject: Re: Viruses in OS/2 HPFS (OS/2)
98.  
99. bjl1@Ra.MsState.Edu (Brett J.L. Landry) writes:
100. |
101. |  There has been aa lot of talk about OS/2 not being able to be infected
102. |  from regular old DOS boot sector viruses using the HPFS. This is false
103. |  since regular old STONED can infect both logical and physical parttions
104. |  on OS/2 using HPFS.  Why wait for true OS/2 viruses when you can suffer
105. |  from regular DOS viruses.
106.  
107. Keep in mind there is at least one special consideration with respect
108. to OS/2 and the "Stoned" variety of viri, however.  Be forewarned that
109. the following is a mixture of real knowledge and a bit of deduction.
110. The deduction part might trip me up a bit, but I'm pretty sure most of
111. the details are accurate.
112.  
113. For one thing, if a boot sector virus infects your system on start up,
114. it won't survive the OS/2 startup process.  You may get the "Your
115. computer is stoned!" message, since this is displayed (randomly
116. approximately one out of every eight times in many cases) before the
117. operating system is loaded.  HOWEVER, OS/2's own floppy disk device
118. drivers will take control of the floppy drive away from the boot
119. sector virus.  The virus will be neutralized, and will not spread to
120. floppy disks.  This will be true whether you are using the HPFS or the
121. FAT file system.
122.  
123. (In special situations, the virus may remain in a "semi-active" state.
124. It will not be able to infect floppy disks, but it may still cause a
125. system crash when the virus is overwritten by OS/2.  See the note
126. below for more information on this.)
127.  
128. "Normal" DOS sessions you start under OS/2 will *not* contain copies
129. of the virus, because they are not "booted" in the normal sense.  Only
130. special "DOS from Drive A"-style sessions, which are booted from
131. floppies, could potentially become infected if the floppy was
132. infected.  Only in these cases would the virus be able to spread, and
133. it would only spread during floppy drive accesses in the infected DOS
134. sessions; accesses from other sessions would have no effect.
135.  
136. As mentioned above, there is a special case where the boot sector
137. could remain partially active and interfere with OS/2's operation.  To
138. allow OS/2 to work with special hard disk devices (like Bernoulli
139. drives, I understand), OS/2 can be set up to use the built-in BIOS
140. routines for disk control rather than its internal drivers.  I'm not
141. sure how OS/2 behaves in this situation (i.e. I don't know whether it
142. uses the value of the INT 13 vector or generates an address in a more
143. elementary manner), but it seems possible to me that OS/2 could
144. mistake the virus code for the BIOS disk routines.  In this case, OS/2
145. could attempt to operate the hard drive via the virus code.
146.  
147. Because of the way OS/2 handles memory management, when OS/2 attempts
148. to access the hard drive, the virus code will probably be "invisible".
149. As a result, the operating system will immediately trap and display an
150. error message.
151.  
152. In summary, the worst you can expect is your system simply not
153. working.  An infected OS/2 system generally won't infect new floppy
154. disks unless you use the special "DOS from Drive A" sessions with an
155. infected boot floppy.
156.  
157. Kevin <buhr@ccu.UManitoba.CA>
158.  
159. ------------------------------
160.  
161. Date:    Tue, 22 Dec 92 17:14:20 -0500
162. From:    <U33515@UICVM.UIC.EDU>
163. Subject: Re: CHRISTMA EXEC (IBM VM/CMS)
164.  
165. Howdy!
166.  
167. About 6-8 months ago I received a "ZEBRATELL EXEC", this was the
168. CHRISTMA with a new hook.   ( It sent tells with each letter a
169. different color )     My copy of ZEBRATELL does not erase itself.
170.  
171. I did read the code and send it, with a warning, to our systems
172. administrators, they were able to prevent it from spreading to
173. or from our node.
174.  
175. Happy Holidays,
176.  
177. Tom Kirke                        |     All standard and non-standard
178. U33515@UICVM.CC.UIC.EDU          | disclaimers, declaimers, and claimers
179. U33515@UICVM.CC.UIC.EDU@INTERNET#|                apply.
180. APPLELINK:HARDBALL               |
181.  
182. We have discovered a *therapy* (NOT a cure) for the common cold,
183.                   play tuba for an hour.
184.  
185.  
186. ------------------------------
187.  
188. Date:    28 Dec 92 23:21:00 +0000
189. From:    bill.lambdin%acc1bbs@ssr.com (Bill Lambdin)
190. Subject: Filler virus (PC)
191.  
192. Quoting from Brill@aecom.yu.edu to All About Filler virus (PC) on 12-07-92
193.  
194. B >   Scan 99 detected "Filler" active in the memory of my computer.
195. B > When I booted from a write-protected floppy the nasty virus was not
196. B > found, no matter how many times I tried.  By the way, I have CPAV
197. B > constantly running and it did not detect anything wrong.
198.  
199. You have probably already received many answers, but I will add my two
200. cents any way.
201.  
202. The problem is the VSAFE or VWATCH TSRs that comes with CPAV. The virus
203. signatures are not encrypted when these TSRs are in memory, and Scan finds
204. the signature, and assumes the rest of the virus is there.
205.  
206. You have several options.
207.  
208. A. Use CPAV exclusively.
209. B. Stop using CPAV.
210.  
211. In my tests, these scanners rank highest.
212.  
213. F-Prot from Frisk Software
214. VIRx from Data Watch Software (Used to be Microcom)
215. McAfee's Scan.
216.  
217. Bill
218.  
219. - ---
220.  * WinQwk 2.0 a#383 * HALLOWEEN activates Oct 31st
221.  
222. ------------------------------
223.  
224. Date:    23 Dec 92 03:13:17 +0000
225. From:    as194@cleveland.Freenet.Edu (Doren Rosenthal)
226. Subject: Virus Simulator MtE Supplement (PC)
227.  
228.  
229. Doren Rosenthal
230. 3737 Sequoia
231. San Luis Obispo, CA USA 93401
232.  
233. To: Vesselin Vladimirov Bontchev, Virus Test Center, University of Hamburg
234.  
235. In response to your questions posted on this forum about my Virus
236. Simulator MtE Supplement.
237.  
238.      > 1) Does is simulate perfectly the behavior of the MtE?
239.  
240. YES.  Although  safe  and controlled, these dummy  sample  programs  behave
241. identically to those produced MtE mutation engine viruses.
242.  
243.      >I.e.,   are  the  dummy  files  generated  by  it  the  same  as   if
244.      >generated  by  the MtE? If not, then it is not good as  a  simulator,
245.      >because the simulation is not
246.      >perfect enough.
247.  
248. YES. The dummy simulations are the same as those encrypted by the
249. MtE mutation engine.
250.  
251.      >2) If the answer of the above question is "yes", then it means that it
252.      >uses the MtE itself to encrypt the dummy files - because using
253.      >anything else would mean imperfect simulation. If it uses the MtE, do
254.      >you include the MtE itself in the generated dummies?
255.  
256. YES.  At  the hart of the simulations is an actual  MtE  mutation
257. engine.
258.  
259.      >3) If the answer of the above question is "no", then the simulation is
260.      >again not good enough, since the only way a scanner could detect the
261.      >unencrypted replicants of an MtE-based virus is to scan for a scan
262.      >signature of the unencrypted body of MtE. If the answer of the above
263.      >question is "yes", then it is pretty easy to extract the MtE from the
264.      >unencrypted dummies... Therefore, you are distributing malicious
265.      >software...
266.  
267. I  disagree. Although these are real MtE viruses, steps have been taken  to
268. insure  they  will  only  infect  the  dummy  test  programs  provided  and
269. modifications or reverse engineering has been discouraged.
270.  
271.      >Conclusion: regardless how you answer to the above questions, either
272.      >the simulator is useless, or you are distributing malicious
273.      >software... Hmm, I was able to draw this conclusion even without
274.      >having to look at the simulator... Pretty good, isn't it?... :-)
275.  
276. I'm  disappointed  that  you would pass yourself off as  a  fair  and  open
277. scientist  and researcher open to new ideas. Then ask what would appear  to
278. be  legitimate questions and without giving my response a fair  hearing  or
279. even  examining  the  Virus  Simulator  MtE  Supplement  yourself,  draw  a
280. conclusion and announce your findings in a public forum.
281.  
282. I also do not appreciate being accused of distributing malicious  software.
283. If you have evidence of this you should present it before posting  anything
284. else on this forum or use the forum for a public apology.
285.  
286.      >Leaving the ethical problems aside, do you try all kinds of flags
287.      >(i.e., the contents of the AX register before calling the MtE)?
288.      >Because, if you don't, you'll be able to generate only a small subset
289.      >of the code that can be generated with the MtE...
290.  
291. The  Virus Simulator MtE Supplement exercises as may flags and  options  as
292. possible.
293.  
294. Doren Rosenthal
295.  
296. ------------------------------
297.  
298. Date:    Wed, 23 Dec 92 05:16:52 -0500
299. From:    David_Conrad@MTS.cc.Wayne.edu
300. Subject: Re: VSHIELD, VIRSTOP, ... comparison ? (PC)
301.  
302. In VIRUS-L v5i207 Nemrod_Kedem@f101.n9721.z9.virnet.bad.se (Nemrod Kedem) write
303. s:
304. > > 3) VShield uses much more memory than VirStop.
305. >
306. >But may be loaded to high memory, and then needs less then 1K of
307. >conventional memory.
308.  
309. Implying that Virstop cannot?!  Virstop can be loaded high, and then
310. requires no conventional memory.
311.  
312. And still, VSHIELD will use more high memory that Virstop, reducing the
313. number of other things you can have loaded high simultaneously.
314. Even with loadhigh in DOS 5.0, smaller is still better when it
315. comes to memory-resident programs.
316.  
317. Regards,
318. David R. Conrad
319. David_Conrad@mts.cc.wayne.edu, dave@michigan.com
320.  
321. ------------------------------
322.  
323. Date:    Wed, 23 Dec 92 20:55:07 -0500
324. From:    "Roger Riordan" <riordan@tmxmelb.mhs.oz.au>
325. Subject: Clash between FDISK/MBR and scanners (PC)
326.  
327. The command FDISK /MBR is often recommended for removing MBR
328. infectors (Stoned, etc) from hard disks.  However in some
329. circumstances this can cause problems with some scanners.  It
330. appears that some versions of FDISK/MBR rewrite the Master Boot
331. Record only as far as the end of the error messages, leaving the all
332. important partition information unchanged, but also leaving any
333. viral code between the messages and the partition information.
334.  
335. This will cause problems if the user later scans the disk with a
336. scanner which uses a string in this area to detect the virus.
337.  
338. In our case VET reported that the MBR of a PC was infected, and the
339. recovered copy of the MBR was also infected, but the PC booted OK,
340. the top of memory was OK, the virus was not in memory, and the PC
341. did not infect floppies.  The main part of the MBR seemde normal,
342. but code from Stoned followed the messages.  It appears that the PC
343. had twice been infected with Stoned, and each time it had been
344. removed using FDISK/MBR.  Thus both the MBR, and the copy saved by
345. Stoned, contained viral code, which included the template used by
346. VET.
347.  
348. FPROT reported the infected MBR as
349.      Master boot sector: Possibly a new varient of Stoned.
350.  
351. SCAN, Dr. S Toolkit, did not report any virus.
352.  
353. We understand that FDISK was definitely run on this PC, but we could
354. not confirm that FDISK was responsible, as it cleared this part of
355. the MBR when we used it to remove Stoned from an experimentally
356. infected PC.
357.  
358. Roger Riordan                     riordan.cybec@tmxmelb.mhs.oz.au
359.  
360. CYBEC Pty Ltd.                                 Tel: +613 521 0655
361. PO Box 205, Hampton Vic 3188   AUSTRALIA       Fax: +613 521 0727
362.  
363. ------------------------------
364.  
365. Date:    Wed, 23 Dec 92 20:55:50 -0500
366. From:    "Roger Riordan" <riordan@tmxmelb.mhs.oz.au>
367. Subject: Invalid Boot Sectors (PC)
368.  
369. I recently wrote
370.  
371. >In a recent comment on a query by MOPURC01@ULKYVM.LOUISVILLE.EDU
372. >(Michael Purcell) about a virus which allegedly made disks
373. >unreadable I wrote.
374.  
375. >> If you put the wrong byte in the wrong place you can get the
376. >> symptoms described.  ...
377.  
378. It appears the original message got lost, but the gist was that,
379. IN THEORY, it is possible to write a BS virus which is invisible
380. on an infected PC, but impossible to detect on an uninfected PC
381. with any existing scanner because DOS will crash if any attempt is
382. made to access an infected disk.
383.  
384. More seriously, we have established that neither F-Prot V2.05,
385. nor SCAN 8.9V97 will detect QUOX on 1.44M 3.5" disks.
386.  
387. F-Prot reports
388.  
389.      Scanning boot sector B:
390.      Error: B: not found
391.  
392. SCAN less elegantly crashes with a critical error
393.  
394.      Scanning for known viruses.
395.      General failure reading drive B
396.      Abort, Retry, Fail?
397.  
398. Seasons Greetings to All,
399. (PS - I'll be away till early Jan)
400. Roger Riordan                     riordan.cybec@tmxmelb.mhs.oz.au
401.  
402. CYBEC Pty Ltd.                                 Tel: +613 521 0655
403. PO Box 205, Hampton Vic 3188   AUSTRALIA       Fax: +613 521 0727
404.  
405. ------------------------------
406.  
407. Date:    Mon, 14 Dec 92 22:39:00 +0000
408. From:    Chris_Franzen@f3060.n492.z9.virnet.bad.se (Chris Franzen)
409. Subject: Trojan detection/protection (PC)
410.  
411.  > McAfee Associates does not make any kind of memory-resident "filter"
412.  > type program to look for Trojan horse programs because it is (1)
413.  > extremely simple to write a Trojan horse, as your batch file example
414.  > shows; and (2) prone to false alarms on legitimate actions, such as
415.  > formatting a disk or running DEBUG.  Given these two conditions, it
416.  > makes it very difficult to write some sort of program that will
417.  > accurately detect malicious activity while not giving any false
418.  > alarms.
419.  
420. Now there of course *are* memory-resident "filter" type programs (or
421. "watchers" in the field. One of them is Thunderbyte, which does not
422. work to well.
423.  
424. I understand, though, that at least one vendor is beta-testing a
425. product that looks very good and successfully keeps trojans out of the
426. house. I am puzzled by the low number of false alarms the program
427. generates. (Formatting a disk is one of them because the boot sector
428. is being written. i think nobody is going to create a solution to
429. this.)
430.  
431. I wonder: If you guys work so hard against viruses (and you do :-),
432. why don't you create a product in the anti-trojan field?
433.  
434. Don't you *have* an anti-trojan type program (VSHIELD) which takes
435. action to avoid infection by unknown viruses?
436.  
437. Maybe you would trash your ViruScan product because any good
438. anti-trojan were a very good anti-virus, too? (Well *that* might be a
439. reason everyone understands...)
440.  
441.  > Regards,
442.  
443.  > Aryeh Goretsky
444.  > Technical Support
445.  
446. Chris
447.  
448. - ---
449.  * Origin: You wanted junk -- so I drop some. (9:492/3060)
450.  
451. ------------------------------
452.  
453. Date:    24 Dec 92 07:03:27 +0000
454. From:    tck@bend.ucsd.edu (Kevin Marcus)
455. Subject: Re: Is this a new virus? (PC)
456.  
457. bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
458. >tck@fold.ucsd.edu (Kevin Marcus) writes:
459. >
460. >> I have varients of stoned which copy to 0,0,15, and 0,0,7, as well as a
461. >> few other locations.  They do not necessarily copy to the same spot.
462. >
463. >And we have here variants that put the original MBR at 0,0,2 and
464. >0,0,8. This is irrelevant. What is rellevant is that the problem with
465. >Michelangelo occurs exactly because the "standard" Stoned variant put
466. >the original MBR at 0,0,7 - at the same place as Michelangelo, and
467. >because the two viruses do not recognize each other.
468.  
469. Oh, come on, it is relevant.  The original problem: Disinfection of a
470. Stoned and MIchelangelo infection.  Where they move the orig. MBR is
471. quite important, because in one case, it is possible to remove the
472. viruses by pulling the original MBR up, and in the other, it is not.
473.  
474. - --
475. || Kevin Marcus, Computer Virologist.  (619)/457-1836; RE-xxx, TSCAN       ||
476. || INET: tck@bend.ucsd.edu       []-[]-[]-[]-[]-[]-[]-[]-[]-[]-[]-[]-[]-[]-[]
477. ||       tck@fold.ucsd.edu       || All I wanted was a Pepsi...            ||
478. ||       datadec@watserv.ucr.edu ||       And she wouldn't give it to me...||
479.  
480. ------------------------------
481.  
482. Date:    Thu, 24 Dec 92 18:50:03 +0000
483. From:    Jean_Vanhove@f108.n321.z9.virnet.bad.se (Jean Vanhove)
484. Subject: ANTI-tel (PC)
485.  
486. Hello all,
487. warning!!! Anti-tel virus found on a local cite in Belgium.  Reading
488. vsum : status RARE Barcelona June 1991.  Found twice removed with
489. clean version 97b detected with scan version 89.  No dataloss, partion
490. table was damaged, but the virus was discovered in an early stade.
491.  
492. Groetjes,
493. Jean Vanhove
494. Sysop De Bosbeer 2:292/124  9:321/108
495.  
496. - --- FMail 0.92+
497.  * Origin: bosbeer is er bij (9:321/108)
498.  
499. ------------------------------
500.  
501. Date:    Wed, 30 Dec 92 08:51:28 +0000
502. From:    haverkam@uni-duesseldorf.de (Wilhelm Haverkamp)
503. Subject: Info on Vascina and 1701/1704 in Novell networks wanted (PC)
504.  
505. Who has got experiences with Vascina and 1701/1704 viruses on Novell
506. networks (SFT 286, V. 2.15)?  What would be the correct reaction of
507. the system administrator?  Any help will be appreciated. Please mail
508. directly to me.  Best wishes for 1993.  Wilhelm
509.  
510. ------------------------------
511.  
512. Date:    29 Dec 92 06:47:00 +0000
513. From:    bill.lambdin%acc1bbs@ssr.com (Bill Lambdin)
514. Subject: Does anyone have info on DAME (PC)
515.  
516. Quoting from Dave Mickle X5205 to All About Does anyone have info on on
517. 12-20-92
518.  
519. DM> We've got a PC which is displaying a message to the effect it's
520. DM> infected by the "DAME" virus.  Don't know what symptoms there are in
521. DM> addition to the message.  We're going to do a low level format, but
522. DM> would like to know what we've contracted.
523.  
524. I don't know of a DAME virus.
525.  
526. Did yje virus display that information, or did McAfee's Scan report this?
527.  
528. If this was reported by Scan, it found a a virus that uses the DAME
529. (Dark Avenger Mutation Engine). The DAME also known as MtE is a
530. routine that causes the virus to mutate.
531.  
532. Bill
533.  
534. - ---
535.  * WinQwk 2.0 a#383 * Viruses often make my FAT go on a crash diet.
536.  
537. ------------------------------
538.  
539. Date:    29 Dec 92 06:37:00 +0000
540. From:    bill.lambdin%acc1bbs@ssr.com (Bill Lambdin)
541. Subject: MS-DOS CHKDSK & VER /R (PC)
542.  
543. Quoting from A. Padgett Peterson to All About MS-DOS CHKDSK & why VER / on
544. 12-20-92
545.  
546. AP> Further, COMP finds no difference between this COMMAND.COM and the on
547. AP> just expanded from a new set of distribution disks that is dated 11-1
548.  
549. Just for your information, FC (File Compare) does a better job at
550. comparing files than COMP.
551.  
552. Bill
553.  
554. - ---
555.  * WinQwk 2.0 a#383 * SURIV 3.0 activates Friday the 13th
556.  
557. ------------------------------
558.  
559. Date:    Tue, 22 Dec 92 17:04:50 -0500
560. From:    celustka@sun.felk.cvut.cs (Celustkova-k336-doktorand(Richta))
561. Subject: Good use of (possible bad) viruses
562.  
563. Hi boys and girls, (a day of inspiration,huh ?)
564.  
565. Just one of those days...Two examples of good use of (possible bad)
566. viruses come to my mind :
567.  
568. 1. Viruses written to improve an A-V product
569.  
570. The logic is simple. It is better that I write virus which can do this
571. or that and have prepared solution to implement in my A-V product than
572. wait that such virus arises in wild and then react. That means if I
573. know that today exist viruses which could be stealthy, tunneling or
574. polymorfic why shouldn't I write virus which is all that and design my
575. A-V product to recognize such virus before it really appears in wild.
576. (Well, maybe it is not commercial, I don't know). If such virus *by
577. accident* escape from my lab I already have a response and there is no
578. ethical problem at all.
579.  
580. 2. Viruses built in an A-V product (it's just an idea, don't blame me if it
581. is not applicable in reality)
582.  
583. Suppose that we have an A-V product which in regular intervals or
584. randomly send a virus in system. Virus (fast infector) infects only
585. programs which checksum doesn't correspond to previously calculated
586. values. If no such program is found virus deletes itself or removes
587. from memory. If changed program found virus activates scanner to check
588. if there is any known virus.  If known virus is found message is sent
589. to the user. If program is changed and no known virus is found the
590. message is sent to the user to make decision.  If decision is to leave
591. program as is, virus cuts itself from the program.  The whole process
592. (except messages) takes place in background. There is no need for all
593. A-V program (which is combination of I-checker and scanner) to be TSR,
594. only virus is occasionally TSR. There is slight similarity in this
595. idea with reaction of human immunity system. Anyone has ethical
596. problem with her/his own immunity system ?
597.  
598. Cheeeers,
599.  
600. Suzana
601.               ____________________________________________________
602.              /                /    |                              |
603.             /         |\__/| /     | We wish you Merry Christmas  |
604.        /~~~~~~\      /      \      | and Happy New Year !         |
605.     ~\(  * *   )/~~\(  0 0   )/~   |______________________________|
606.       (   O    )    (   O    )
607.        \______/      \______/
608.       @/       \@   @/      \@
609.  
610. - ---------------------------------------------------------------------------
611. Address: Suzana Stojakovic-Celustka          e-mail addresses:
612.          Department of Computers             celustka@sun.felk.cvut.cs
613.          Faculty of Electrical Engineering   celustkova@cs.felk.cvut.cs
614.          Karlovo namesti 13
615.          12135 Prague 2                      phone : (+42 2) 293485
616.          Czechoslovakia                      fax : (+42 2) 290159
617.  
618. ------------------------------
619.  
620. Date:    Tue, 22 Dec 92 17:04:48 -0500
621. From:    celustka@sun.felk.cvut.cs (Celustkova-k336-doktorand(Richta))
622. Subject: Good and bad viruses (was FC on virus creation)
623.  
624. With properly defined computer virus there shoudln't be doubts what is
625. a good and what is a bad virus. Or should be ? Let's suppose that bad
626. virus is intended to cause some unwanted function in system. Some
627. programs (even antiviral) can do the same thing, (what is unwanted
628. function anyway ?) but they cannot propagate. Good virus can
629. propagate, but it is supposed to not invoke anything unwanted. But, by
630. definition good virus can mutate, so can become bad virus. Also, good
631. virus on one system can be bad virus on another system (causing some
632. unwanted function). Could all bad viruses be good viruses ? Yes,
633. because without them many A-V producers would loose their source of
634. money. Can all good viruses be bad viruses ? Yes, because they are
635. viruses (something very suspicious). Confusing ? Not to anyone who
636. ever met chinese philosophy and principles of Yin and Yang. Shortly,
637. good and bad are inseparable and dependent one of the another (you
638. can't define good without defining bad and vice versa).
639.  
640. So, what to do ? Let's throw (unnecessary) philosophy and look at
641. (poor) simple PC user. S/he finds something weird on her/his PC and
642. suspects it could be a virus (whatever could be called by that name).
643. S/he chooses some A-V product and tries to solve the problem. If the
644. product solves problem and everything is like before user is
645. satisfied. And that should be the main goal of every A-V producer. If
646. Fred Cohen's customers are satisfied with his product why all that
647. complaining about ethical correctness. Ask them if they have any
648. ethical problem using that product. If they are not satisfied that is
649. Fred Cohen's problem and he has to solve it. Simple, isn't it ?
650.  
651. Cheeers,                __________________________
652.                        |                          |
653. Suzana                /|     I'm a good virus!    |\     |\__/|
654.          /~~~~~~\    / |     He's a bad virus!    | \   /      \
655.       ~\(  * *   )/~   |__________________________|  ~\(  0 0   )/~
656.         ( \___/  )                                     ( /---\  )
657.          \______/                                       \______/
658.         @/       \@                                    @/      \@
659. - ---------------------------------------------------------------------------
660. Address: Suzana Stojakovic-Celustka          e-mail addresses:
661.          Department of Computers             celustka@sun.felk.cvut.cs
662.          Faculty of Electrical Engineering   celustkova@cs.felk.cvut.cs
663.          Karlovo namesti 13
664.          12135 Prague 2                      phone : (+42 2) 293485
665.          Czechoslovakia                      fax : (+42 2) 290159
666.  
667. ------------------------------
668.  
669. Date:    24 Dec 92 22:10:21 +0000
670. From:    ygoland@edison.SEAS.UCLA.EDU (The Jester)
671. Subject: Re: Viral Based Distribution System
672.  
673. bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
674. >ygoland@edison.SEAS.UCLA.EDU (The Jester) writes:
675. >
676. >> If this is an
677. >> effective means of distribution then why use a virus at all?
678. >
679. >The question is incorrect. According to Dr. Cohen's definition, "this"
680. >- -is- a virus. And, since you are using it to do something you would
681. >like to be done, it is obviously a benevolent virus. Do you see the
682. >misunderstanding now? It's all matter of definitions...
683.  
684. Yes.. I understand. And may I say I STRONGLY disagree with Dr.
685. Cohen's definition. A program in the login script that checks if you
686. have been updated and then updates you is NOT a virus. The program in
687. the loader does NOT reproduce itself it reproduces another program
688. which is itself NOT a virus. (Lets ignore the obvious case where the
689. loader installs an infected program =) For me the acid test of a virus
690. is:Can it reproduce itself? Is the login script programing trying to
691. run around and find other login scripts or executable files to infect?
692. No. It doesn't infect anyone! 'Damnit Jim, its not alive!'
693.  
694. >> In conclusion, a system that changes in an unpredictable manner,
695. >> that uses hard to track mechanisms of change, is a security
696. >> nightmare.
697. >
698. >Yup... Ever tried MS Windows?... :-)
699.  
700. After reading this line I laughed so hard I almost fell out of my
701. chair. AS a matter of fact I have. Thats why I now run on OS/2. What
702. do you say about a program whose most recent release has as it's main
703. selling point "we fixed all the bugs in our previous release".  Of
704. course microsoft doesn't have 'bugs', they have 'features'. =) But I
705. digress.
706.  
707. >> The Jester-PGP Ver2 upon Request
708. >Please consider this a request... :-)
709.  
710. Actually I bet you already have it, I have yours. You can finger me
711. but I'll send it to you anyway just to be annoying. =)
712.  
713.          Yaron (The Jester) Goland
714. p.s. see mister moderator, I remembered!!! =)
715. - --
716.          The Jester
717. "Whats a Knock Out like you doing in a computer generated Gin
718. joint like this one?"-William Riker
719. "I'm god, whats your excuse?"-The Jester
720.  
721. ------------------------------
722.  
723. Date:    Fri, 25 Dec 92 16:36:04 +0700
724. From:    jeroenp@rulfc1.LeidenUniv.nl (Jeroen W. Pluimers)
725. Subject: TBAV 5.02 and VSIG9214 upload (PC)
726.  
727. Hi all,
728.  
729. I just uploaded to oak.oakland.edu and garbo.uwasa.fi the following
730. files:
731.  
732. <MSDOS.TROJAN-PRO>
733. VSIG9214.ZIP VIRSCAN.DAT with fix for TBSCANX
734. TBAV502.ZIP  TBAV utils 5.02 (was tbscanXX.zip)
735. TBAVU502.ZIP TBAV utils upgrade 5.01 to 5.02
736. TBAVX502.ZIP TBAV utils 5.02 processor optimized version
737.  
738. BTW: Merry X-mas and a healty 1993!
739.  
740. - --
741. jeroen                             voice: +31-2522-20908 (19:00-23:00 UTC)
742.                                    snail: P.O. Box 266
743. jeroenp@rulfc1.LeidenUniv.nl              2170 AG Sassenheim
744. jeroen_pluimers@f256.n281.z2.fidonet.org  The Netherlands
745.  
746. ------------------------------
747.  
748. Date:    Fri, 25 Dec 92 00:15:35 -0800
749. From:    rslade@sfu.ca
750. Subject: The Internet Worm (CVP)
751.  
752. HISVIRO.CVP   921215
753.  
754.                          The Internet Worm
755.  
756. By the fall of 1988, VIRUS-L had been established (let's hear it for
757. Ken!) and was very active.  Issues were, in fact, coming out on a
758. daily basis, so I was quite surprised when I didn't receive one on
759. November 3rd.  I didn't get one on November 4th, either.  It wasn't
760. until November 5th, actually, that I found out why.
761.  
762. Most machines on the net were not of the type that the Worm would
763. have affected.  The Worm was only able to run and propagate on
764. machine running the UNIX operating system, and then only those with
765. specific versions and specific CPUs.  However, given that the
766. machines that are connected to the Internet also comprise the
767. transport mechanism for the Internet, a "minority group" of
768. machines, thus affected, impacted the performance of the net as a
769. whole.
770.  
771. I learned it, initially, from a newspaper report.  However, by the
772. 5th I was also starting to get mailings across the net again.
773. During the run of the worm, a sufficient number of machines had been
774. affected that both email and distribution list mailings were
775. impaired.  Some mail was lost, either by mailers which could not
776. handle the large volumes that "backed up", or by mail queues being
777. dumped in an effort disinfect systems.
778.  
779. Most mail was not lost, but was substantially delayed.  The delay
780. could have been caused by a number, or combination of factors.  In
781. some cases mail would have been re-routed, via a possibly less
782. efficient path, after a certain time.  In other cases "backbone"
783. machines, affected by the Worm, were simply much slower at
784. processing mail.  In still others, mail routers would either crash
785. or be stopped, with a consequent delay in mail delivery.
786. Ironically, electronic mail was the primary means that the various
787. parties attempting to deal with the worm were trying to use to
788. contact each other.
789.  
790. By Sunday, November 6th, things were pretty much back to normal.
791. Mail was flowing, distribution lists and electronic "periodicals"
792. were running and the news was getting around.  The one difference
793. was the enormous volume of traffic given over to one topic: the
794. Internet Worm.
795.  
796. The Internet Worm is still the pre-eminent case of a viral program
797. in our time.  Even today, no "virus" story in the popular media is
798. complete without some reference to it.  It rates a mention in "The
799. Cuckoo's Egg".  Each school term brings fresh requests for
800. bibliographic material on it (sparked, one suspects, by either
801. choice or assignment of essay topics).  Currently (December of 1992)
802. there is a "thread" running on comp.security.misc on "Fun things to
803. do with RTM" which occupies about half the total bandwidth.
804.  
805. In many ways this fame (or infamy) is deserved: the Internet Worm is
806. the story of data security in miniature.  The Worm used "trusted"
807. links, password cracking, security "holes" in standard programs,
808. standard and default operations and, of course, the power of viral
809. replication.
810.  
811. copyright Robert M. Slade, 1992   HISVIRO.CVP   921215
812.  
813. ==============
814. Vancouver      ROBERTS@decus.ca         | Slade's Law of Computer
815. Institute for  Robert_Slade@sfu.ca      |        Literacy:
816. Research into  rslade@cue.bc.ca         |   - There is no such thing
817. User           p1@CyberStore.ca         |     as "computer illiteracy";
818. Security       Canada V7K 2G6           |     only illiteracy itself.
819.  
820.  
821. ------------------------------
822.  
823. Date:    Mon, 28 Dec 92 15:57:00 -0800
824. From:    Richard W. Lefkon <dklefkon@well.sf.ca.us>
825. Subject: March Virus/Security Conference
826.  
827.    6th INTERNATIONAL COMPUTER SECURITY & VIRUS CONFERENCE AND EXPOSITION
828.     Wed thru Fri - March 10-12, 1993 - Madison Square Garden Ramada, NYC
829.                     spons by DPMA Fin Ind. Ch. in coop. with
830.  ACM-SIGSAC, BCS, CMA, COS, EDPAAph, ISSAny, NUInypc, IEEE Computer Society
831.                    Box 894 NY NY 10268    (800) 835-2246 x190
832.  
833.           NOVELL'S REKHI KEYNOTES "IDES OF MARCH" SECURITY CONFERENCE -
834.           -----------------------------------------------------------
835.  
836.           UNIX Head for USL's New Owner Joins IBM, Apple Security Chiefs
837.           --------------------------------------------------------------
838.  
839. - - New York
840.  
841. [Information on conference:  Judy Brand, (800) 835-2246 x190]
842.  
843. With increased emphasis on hacker and virus attacks across systems,
844. the Sixth International Computer Security and Virus Conference and
845. Exposition has announced Kanwal Rekhi, Novell, Inc.'s EVP and General
846. Manager for Interoperability, as the March, 1993 Keynote Speaker.
847. Tentatively titled "Seamless Security," Rekhi's talk will focus on
848. UNIX strategies, TCP/IP, internetworking with workstations and
849. microcomputers, and network management.  His confirmation comes on the
850. heels of Novell's UNIX Systems Laboratories coup.  He will speak
851. Thursday, March 11, middle day of the annual "Ides of March"
852. conference, at the glass-enclosed 18th Floor of New York's Madison
853. Square Garden Ramada Hotel.
854.  
855. More than two thousand attendees are expected for the three days of
856. security security courses, panels, research papers and product
857. exhibits.  Ninety speaker from seven continents will be distributed
858. over the 46 sessions in five confer- ence tracks, and 70 vendors of
859. computer and network protection will demonstrate their wares.  This
860. year's theme is "Global vs. Corporate Solutions."
861.  
862. The conference is sponsored by the DPMA Financial Industries Chapter,
863. in cooperation with ACM-SIGSAC, Boston Computer Society, Corporation
864. for Open Systems, New York LAN Association / NetWare Users
865. International, Communications Managers Association, local chapters of
866. EDP Auditors association and Information Systems Security Association,
867. and the 90,000-strong IEEE Computer Society.  Because a great number
868. of world class security authorities speak here each March, two
869. European-based international security groups will hold one-day
870. meetings nearby.
871.  
872. Lead Speaker in the Research and Technical Track is Willilam Vance,
873. computer security head for IBM Corporation.  Other speakers and
874. session chairs include Jane Paradise, security head for Apple Corp.;
875. Gail Thackeray, leading prosecutor of toll fraud and telecom
876. break-ins; Robert Schiffreen, British hacker who managed to invade the
877. Queen's husband's computer mailbox, was exonerated by Parliament, and
878. then wrote a book explaining how to protect against attacks like his;
879. and Scott Charney, head of the U. S. Justice Department's initiative
880. against computer crime.
881.  
882. Mr. Rekhi of Novell previously served as President and CEO of Excelan,
883. a $100 million per year public company which merged with Novell in
884. 1989.  Having previously overseen all product and technology
885. development for Novell, he currently is responsible for Univel,
886. connectivity and messaging products, internetworking products and
887. network management products.
888.  
889. The "Ides of March" conference, nicknamed to match the season and the
890. effort to avoid sneak attacks on computers and networks, played a key
891. role in combatting last year's outbreak of Michelangelo Virus on
892. personal computers.  Technician Roger Riordan of Australia first
893. announced and named Michelangelo at this event in 1991, and subsequent
894. collaboration by various speakers enabled most anti-virus products to
895. recognize and defeat the electronic parasite before it could destroy
896. too many valuable business files.  CBS and ABC television spotlighted
897. the 1992 event, as well as a variety of industry and general
898. circulation periodicals.
899.  
900. Press conference is scheduled for 11:00 am Wednesday, March 10, at the
901. Ramada.  A "Meet the Experts" sit-down reception for press and
902. registrants will take place Thursday evening at the Empire State
903. Building Obeservatory.
904.  
905. Floor management at this year's event will be handled by Expoconsul
906. International, which also runs computer and network conferences such
907. as DEXPO, Open Systems Initiative, and Microcomputer Graphics.
908.  
909. ------------------------------
910.  
911. End of VIRUS-L Digest [Volume 6 Issue 3]
912. ****************************************
913.  
914.  
915.