home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.105

< prev

next >

Wrap

Text File  |  1995-01-03  |  13KB  |  297 lines

---

1. VIRUS-L Digest             Thursday, 4 May 1989        Volume 2 : Issue 105
2.  
3. Today's Topics:
4. Virus - worm combinations: A future trend?
5. Virus Plurals
6. Chroma trojan horse (PC)
7. checksum algorythm
8. (c) Brain  ?????????? (PC)
9. old question - AV software info request (PC)
10. Possible virus, info request (PC)
11. Boot viruses - forwarded from HomeBase (PC)
12.  
13. ---------------------------------------------------------------------------
14.  
15. Date:    Sun, 30 Apr 89 16:02:48 +0200
16. From:    David Stodolsky <stodol@diku.dk>
17. Subject: Virus - worm combinations: A future trend?
18.  
19. Joe Sieczkowski <joes@scarecrow.csee.Lehigh.EDU> in "RE: Review of THE
20. COMPUTER VIRUS CRISIS," Virus-L Digest, 2(93), points out that the
21. definition offered distinguishing between virii and worms in "Review
22. of THE COMPUTER VIRUS CRISIS" (Mark Paulk <mcp@SEI.CMU.EDU> Virus-L
23. Digest, 2(92)) is not that accurate. Joe adds "If the [worm] program
24. had modified the actual sendmail and fingerd (sic) executables in such
25. a way that they would in turn modify other machines S&F executables,
26. then it could be called a virus."
27.  
28. The threat posed by virus - worm combinations was previously mentioned
29. in "Net hormones: Part 1 - Infection control assuming cooperation
30. among computers."  The relevant paragraph reads:
31.  
32. "An inapparent infection could spread rapidly, with damage noted only
33. much later. Consider a worm that is constructed to carry a virus. The
34. worm infects a system, installs the virus and then infects other
35. nearby systems on the net. Finally, it terminates erasing evidence of
36. its existence on the first system. The virus is also inapparent, it
37. waits for the right moment writes some bits and then terminates
38. destroying evidence of its existence. Later the worm retraces its path
39. reads some bits, then writes some bits and exits. The point is that an
40. inapparent infection could spread quite widely before it was noticed.
41. It also might be so hard to determine whether a system was infected or
42. not, that it would not be done until damage was either immanent or
43. apparent. This analysis suggests response to network-wide problems
44. would best be on a network level." (Citation: Stodolsky, D. (1989).
45. Net hormones: Part 1 - Infection control assuming cooperation among
46. computers [Machine- readable file]. van Wyk, K. R. (1989, March 30).
47. Several reports available via anonymous FTP. Virus-L Digest, 2(77,
48. Article 1). Abstract republished in van Wyk, K. R. (1989, April 24).
49. Virus papers (finally) available on Lehigh LISTSERV. Virus-L Digest,
50. 2(98, Article 4). (Available via anonymous file transfer protocol from
51. LLL-WINKEN.LLNL.GOV: File name "~ftp/virus-l/docs/net.hormones" and
52. IBM1.CC.LEHIGH.EDU: File name "HORMONES NET". And by electronic mail
53. from LISTSERV@LEHIIBM1.BITNET: File name "HORMONES NET")).
54.  
55. In January I started writing a paper, "Virus infected worms in
56. information machines." The virus - worm combination has both negative
57. and positive implications. In the biological world, virii have been
58. very effective in controlling bacteria that cause disease in farm
59. animals, etc. So far, the only thing I have seen like this for
60. computers is the "KillVirus" init. As discussed earlier, it is a
61. "virus" that overwrites and thereby destroys an invading one. The key
62. problem seems to be how to develop a virus that has no negative
63. affects, except on an invading agent. Are there any wizards, virus
64. writers, etc. who will accept this challenge?
65.  
66. - --------
67. David Stodolsky              Routing: <@uunet.uu.net:stodol@diku.dk>
68. Department of Psychology                  Internet: <stodol@diku.dk>
69. Copenhagen Univ., Njalsg. 88                   Voice + 45 1 58 48 86
70. DK-2300 Copenhagen S, Denmark                   Fax. + 45 1 54 32 11
71.  
72. ------------------------------
73.  
74. Date:    Tue, 02 May 89 12:15:45 EDT
75. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM.BITNET>
76. Subject: Virus Plurals
77.  
78. For all of you out there who might be confused between:
79.  
80. viruses
81. viri  or
82. virii.
83.  
84. According to the Second College Edition of The American Heritage
85. Dictionary the correct plural form of virus (drum roll please.......)
86.  
87. viruses   .
88.  
89. Please note that I will not be offended if any of the others are used,
90. nor should this message be conceived as snobby or condescending, I was
91. curious as to which is the "preferred" plural form and thought that
92. others out there in virusland (or is that viriland, viriiland,
93. virusesland ?????) might want to know also.
94.  
95. ------------------------------
96.  
97. Date:    Tue, 02 May 89 14:21:51 -0700
98. From:    Steve Clancy <SLCLANCY@UCI.BITNET>
99. Subject: Chroma trojan horse (PC)
100.  
101. This is a short bulletin that I recently posted on our BBS.  I want to
102. emphasize that I DO NOT have all the facts, and am not trying to start
103. a wild rumor.  The user who informed me of this possible trojan horse
104. (as opposed to a virus) is reliable. -- Steve Clancy
105.  
106. Original-April, 19th, 1989.  Irvine, CA.
107.  
108. TROJAN HORSE ALERT!
109.  
110. John Cook of the French Connection BBS, just informed me of a possible
111. Trojan Horse that has surfaced in this area.  Details are sketchy.
112. All I have to go on is what he told me.
113.  
114. Evidently, someone downloaded a file called "HARDCORE.ARC" which
115. contained a file called either "CHROMA.EXE" or "CHROMA.COM."  This
116. person ran the program, and it displayed something approximating the
117. following message on the screen:
118.  
119.         "The worst possible thing has just happened to your hard disk!"
120.  
121. I don't have details on exactly what happened to this person's hard
122. disk, but at very least the TH seems to have erased all files.
123.  
124. Again, details are very sketchy at this point, but John is a reliable
125. source.  As more info becomes available, I will update this bulletin.
126.  
127. Steve Clancy, Wellspring RBBS, 714-856-7996, 714-856-5087
128. U.C. Irvine, California, USA.
129.  
130. ------------------------------
131.  
132. Date:    Tue, 2 May 89 11:01:45 CDT
133. From:    "Len Levine" <len@evax.milw.wisc.EDU>
134. Subject: checksum algorythm
135.  
136. In an earlier Virus-l dmg@mwunix.mitre.org states:
137.  
138. >I believe it is possible to use a checkfunction in a constructive
139. >manner to detect even the most advanced computer viruses, and it
140. >involves a technique called a "cryptographic checkfunction".
141.  
142. It is fairly easy to use a even simple CRC with a non-standard
143. polynomial to fool any arbitrary virus.  There is no way that a virus
144. writer can determine what polynomial you are using, as the program
145. that does the ckecking need not be stored in any special place on the
146. system for the virus to check against.  As long as you use a
147. polynomial for the CRC that is not published, no virus can match it.
148.  
149. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
150. | Leonard P. Levine               e-mail len@evax.milw.wisc.edu |
151. | Professor, Computer Science             Office (414) 229-5170 |
152. | University of Wisconsin-Milwaukee       Home   (414) 962-4719 |
153. | Milwaukee, WI 53201 U.S.A.              Modem  (414) 962-6228 |
154. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
155.  
156. ------------------------------
157.  
158. Date:    Wed, 03 May 89 13:12:35 CDT
159. From:    Michael K. Blackstock <ELTRUT@MSSTATE.BITNET>
160. Subject: (c) Brain  ?????????? (PC)
161.  
162. I am a student at Mississippi State Univ. and some of the computer
163. disks around here are getting odd data on them.  All of the disk that
164. I have seen have the label (c)Brain.  Doen any one out there know what
165. this is, is it a anti-virus or is it a virus itself?
166.  
167. I look at the disk with a program called Master Key and I found this
168. in sector number 0.
169.  
170. <   J.4    Welcome to the Dungeon    (c) 1986 Brain. & Amjads  (pvt)
171. <   Ltd     VIRUS_SHOE  RECORD       v9.0    Dedicated to the dynamic
172. <   memories of millions of virus who are no longer with us today -
173. <   Thanks GOODNESS!!     BEWARE OF THE er..VIRUS
174. <   \this program is catching    program follows after these messeges...
175.  
176. If anyone knows what this is infecting the disks on campus please let
177. me know.
178.  
179. Michael K. Blackstock                          ELTRUT@MSSTATE
180.  
181. P.S.   Thanks...................
182.  
183. [Ed. Sure sounds like the Pakistani (aka Brain) virus to me.  There
184. have been some excellent technical descriptions of the Brain published
185. on VIRUS-L.  Does someone have one of these handy that they could send
186. to Mr. Blackstock (directly)?]
187.  
188. ------------------------------
189.  
190. Date:    Wed, 3 May 89 17:00 EST
191. From:    "Shawn V. Hernan" <VALENTIN@pittvms.BITNET>
192. Subject: old question - AV software info request (PC)
193.  
194. Please anyone,
195.         Where can I get virus detection/removal software from some
196. network? I am looking for MS-DOS stuff, I have all the Macintosh stuff
197. I need, and I know where to get it. But I run a library of about 500
198. MS-DOS packages and I need to check for/eliminate viruses. I am hoping
199. to get public domain or shareware stuff.  Any help is appreciated. If
200. possible, please respond directly to me, as this is rather urgent.
201. Thanks....
202.  
203. - ------------
204. Shawn V. Hernan
205. - --------------------------------------------------------------------------
206. Computing and Information Systems (Computer Center), Academic Computing
207. University of Pittsburgh     valentin%VMS.CIS.PITTSBURGH.EDU@VB.CC.CMU.EDU
208. 4015 O'Hara Street                valentin@PITTVMS.BITNET
209. Pittsburgh,Pennsylvania 15260     valentin@cisunx.UUCP
210. (412) 624-9356                    valentin@CISVM{1,2,3}.CCnet
211. __________________________________________________________________________
212.  
213. ------------------------------
214.  
215. Date:    Wed, 3 May 89 17:48:55 EDT
216. From:    vanembur@gauss.rutgers.edu (Bill Van Emburg)
217. Subject: Possible virus, info request (PC)
218.  
219. My friend's PC-compatible seems to have a virus, and I don't have
220. enough experience with IBM viruses to recognize it.  Does this sound
221. familiar to anyone??
222.  
223.          This virus (if it really is a virus) modifies the command.com
224.          file.  The result of this the next time you boot the machine
225.          is that all .exe files are no longer executable.  The machine
226.          boots just fine, and .bat files run, but the autoexec.bat
227.          file dies when it tries to execute xtree.exe.  The .exe files
228.          are still there, they just can't be run.  Diagnostics were
229.          run on the hard drive, and everything checked out.  When the
230.          command.com file was re-copied from an original DOS 3.3
231.          disk, everything started working normally again.
232.  
233. The BIG question: Was the virus killed when the command.com was
234.                   re-copied?  How can we be sure that it isn't
235.                   residing somewhere else, waiting to try it's little
236.                   game again?
237.  
238. The secondary question: Does anyone recognize this virus?  Does anyone
239.                         have any additional info (background, how it
240.                         works, what it does, where it hides, and how
241.                         to detect it) on it?
242.  
243.                                          -Bill Van Emburg
244.                                          Rutgers University
245.  
246. ------------------------------
247.  
248. Date:    Sun, 30 Apr 89 05:36:50 EDT
249. From:    Bruce Burrell <USERW6BL@UMICHUM.BITNET>
250. Subject: Boot viruses - forwarded from HomeBase (PC)
251.  
252. I was asked by Frank Nalls, a user on HomeBase Virus BBS, to forward
253. this message to VIRUS-L.  I'll forward responses to him there; if you
254. want to send private mail to him through me, that's fine too
255. (BPB@um.cc.umich.edu)
256.  
257.  -----------------------------------------------------------------------
258.  
259. I have just finished reading the Virus-L postings for the past year or
260. so and found a lot of good information in them.  I'm concerned,
261. though, about some of the virus product attitudes that I've seen
262. expressed.  Jim Goodwin, Mark Shaw and Tim Sankary reported on the
263. most common infections from over 700 corporate occurences and and
264. found that over 90% of PC infections were caused by one of the
265. following viruses:
266.  
267.  .      Pakistani Brain (Basit and Mjad Original)
268.  .      Pakistani Brain HD Version
269.  .      Alameda (Yale)
270.  .      Alameda (Version - C, Modifies FAT)
271.  .      Australian (Stoned) - Original Version
272.  .      Venezuelan (Den Zuk)
273.  .      Venezuelen-CX (No display)
274.  .      Ping Pong (Italian)
275.  .      Nichols (Original Version)
276.  
277. The reason I bring this up is that all 9 of these viruses are boot
278. sector infectors.  Virus filter products (like Flu-Shot+ and C-4)
279. can't prevent or even detect any boot sector virus.  Yet I see these
280. products hyped as good virus protection products.  Anyone who claims
281. these products works either has never seen a boot sector virus or has
282. never tested these products against them.  The only products that are
283. even remotely useful against these viruses are logging products like
284. Virus-Pro, Sentry, Magic Bullets and other detection type products.
285. I'm not trying to flame Mr. McAfee's C-4 or Mr. Greenberg's Flushot+,
286. it's just that the products don't match virus realities.  I also have
287. to strongly disagree with Mr. David Bader's assessment of Sentry.  I
288. suggest he try some live viruses and check the differences himself.
289.  
290. Frank Nalls
291.  
292. ------------------------------
293.  
294. End of VIRUS-L Digest
295. *********************
296. Downloaded From P-80 International Information Systems 304-744-2253
297.