home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.11

< prev

next >

Wrap

Text File  |  1995-01-03  |  6KB  |  147 lines

---

1. VIRUS-L Digest            Wednesday, 11 Jan 1989        Volume 2 : Issue 11
2.  
3. Today's Topics:
4. Re: proprietary vs pd software
5. boot sequence (PC)
6. VIRUS ALERT: possible virus... keywords: CBUG, WEIRD (PC)
7.  
8. ---------------------------------------------------------------------------
9.  
10. [Ed. While trying to move the editing of VIRUS-L over to a different
11. machine today, I had a fight with the LISTSERV - it was converting my
12. address to uppercase, and Xenix wasn't delivering the mail to me.
13. It's possible that, during the scuffle, one or two messages to the
14. list were lost, and/or sent back to their author(s).  If this happened
15. to you, please resubmit your message, and I apologize.]
16.  
17. Date:         Wed, 11 Jan 89 13:51:35 EST
18. From:         Neil Goldman <NG44SPEL@MIAMIU.BITNET>
19. Subject:      Re: proprietary vs pd software
20.  
21. Stan Horwitz writes that Fred Cohen has determined that proprietary
22. software is a more common source of viruses than public domain (and
23. shareware?) software is.  This seems contrary to all the discussion I
24. have read and participated in on this list as well as in published
25. reports (for whatever they are worth).
26.  
27. I am very interested in how Dr. Cohen has determined this.
28.  
29. Comment?
30.  
31. Neil A. Goldman                        NG44SPEL@MIAMIU.BITNET
32.  
33. Replies, Concerns, Disagreements, and Flames expected.
34. Mastercard, Visa, and American Express not accepted.
35. Acknowledge-To: <NG44SPEL@MIAMIU>
36.  
37. ------------------------------
38.  
39. Date:        11 January 89, 20:00:17 +0100 (MEZ)
40. From:        Otto Stolz         +49 7531 88 2645     RZOTTO   at DKNKURZ1
41. Subject:     boot sequence (PC)
42.  
43. > When a user presses ctl-alt-del, the keyboard code in BIOS [...]
44. > redirects interrupt vectors to their default values, then boots. A
45. > worm sitting in memory (not a _virus_) would have to duplicate all the
46. > machine-specific stuff for various possible machines
47.  
48. What if the virus (why not?), or worm, simply hooks Int 9?
49.  
50. Then it could fake the warm boot by resetting the interrupt vectors
51. in a non-standard way that allowed itself to survive in memory and then
52. jumping to the booting code.  The machine-specific stuff would only be
53. the default values of the interrupt vectors (may be, even they are rather
54. standard, or can be derived from the memory contents -- I don't know).
55.  
56. Or it could infect the disk/diskette to be booted from, and then rely
57. on BIOS to be installed again;  the machine specific stuff would be nil,
58. and if it was a boot-sector virus, all required subroutines would already
59. be part of it.
60.  
61. Just a thought...
62.  
63. O, I just remember some expert told me that the Yale virus did redefine
64. Ctrl-alt-Sequences.  Hence I guess, my thought is not so far off from
65. what virus-inventors might consider.  So, be prepared!
66.  
67. Conclusion: Never, ever, warm-boot an infected computer.
68.  
69. Best wishes
70.             Otto
71.  
72. ------------------------------
73.  
74. Date:         Wed, 11 Jan 89 16:04:00 EST
75. Sender:       Virus Alert List <VALERT-L@IBM1.CC.Lehigh.Edu>
76. From:         Michael Brown <BROWN@CMR001.BITNET>
77. Subject:      VIRUS ALERT: possible virus... keywords: CBUG, WEIRD (PC)
78.  
79.     *Something a bit strange has appeared in one of our IBM PC labs.*
80.  
81.      One of our AT clones has a file called C:\CBUG.COM. Running CBUG.COM
82. has the following effect: The first time the Y key is pressed, it
83. prints the message "YOUR COMPUTER IS NOW INFECTED WITH SOME WEIRD VIRUSES",
84. and it hangs the system. A warm boot will restore the system to normal.
85.  
86. I looked at the file with PCTOOLS. It is a normal .COM file with a
87. length of 149 bytes. The message is clearly embedded in the beginning of
88. the file. The rest of the file contains  a block of 00h then a irregular
89. pattern of 00h 0Fh and FFh. The file is dated 1/01/80 (which is unusual,
90. because that machine has a clock, and usually get the date right) and
91. the machine is running PCDOS 3.3.
92.  
93. I checked the disk for other occurrences of the message, but it seems
94. to only be there once.
95.  
96. If I cold start the system:
97.  - run CBUG once, and type a Y, I get the message and the system hangs
98.  - run CBUG twice, and type a Y, I get the message and the system hangs
99.  - either time the system will warm boot
100.  - run CBUG three times, and type a Y, I get the message, the next time
101.    I type a Y it displays the message again and again until the fourth time
102.    the Y key is typed, then the system hangs and I cannot do a warm boot.
103. - - something similar happens if I run CBUG four times.
104. - - If I run CBUG five times, the number of time before the system hangs
105.   is irregular, but it always displays the message.
106.  
107. Enough said.
108.  
109. 1) Has anyone seen this before????
110. 2) Any suggestions????
111.  
112. I am planning on working on it tonight, using the following procedure...
113. - - Installing FSP 1.4 on the machine. (I have never used FluShot+, but from
114.   my understanding it is reliable).
115. - - Running all of the software packages installed on the machine to find
116.   out if any of the programs on the hard disk call it.
117. - - I will ask the people that used the machine in the last few days
118.   to use all of the software (on floppies) that they used while
119.   the machine is running under FSP.
120. - - I am *not* sure this is a virus, but I don't understand how the
121.   file got into the root directory of the disk, as most of the users
122.   use the software on the hard disk or if they use floppies, it is to
123.   play games. (There are only 3 files in c:\ , command.com, config.sys and
124.   CBUG.COM and there are 4 subdirectories with utilities that we purchased)
125.  
126. I am assuming that this procedure will help me find out 1) if it is a virus,
127. and 2) the source of the virus if such a beast exists. There is always
128. a possiblilty of this being a prank done by someone, but I cannot see
129. it being one of our student or staff as none of them know enough about
130. the IBM PC to create such a program. (we are a small college of 600
131. students with a small percentage in computer related studies).
132.  
133.  
134. Thanx for your time,
135. Any help/suggestions/flames would be appreciated.
136. Please reply directly to me, I will summarize to the list appropriately.
137.  
138.                   CP6-Mail: Michael Brown @CMR
139.                   NET-Mail: <brownm@cmr001.bitnet>
140. Michael Brown   Snail-Mail: Service Informatique CMR, St-Jean, Que. J0J 1R0
141.  
142. ------------------------------
143.  
144. End of VIRUS-L Digest
145. *********************
146. Downloaded From P-80 International Information Systems 304-744-2253
147.