home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.110

< prev

next >

Wrap

Text File  |  1995-01-03  |  11KB  |  264 lines

---

1. VIRUS-L Digest              Monday, 8 May 1989         Volume 2 : Issue 110
2.  
3. Today's Topics:
4. re: Comment on SYS command (PC)
5. POSSIBLE NEW PC VIRUS
6. Virus propagation on PC. (United Kingdom)
7. "Benign" viruses
8. More on SecureINIT... (Mac)
9.  
10. ---------------------------------------------------------------------------
11.  
12. Date:    8 May 1989, 09:23:14 EDT
13. From:    David M. Chess  <CHESS@YKTVMV.BITNET>
14. Subject: re: Comment on SYS command (PC)
15.  
16. > Any competent programmer knows that the SYS command
17. > has to overwrite the boot sector.
18.  
19. I see a little education is needed here!   A standard fixed disk
20. has at least two (2) boot records.   The first is sometimes called the
21. "master boot record".   You can read it with code like
22.  
23.     MOV AX,0201h               ; Read one sector
24.     MOV BX,0500h               ;  into DS:0500
25.     MOV CX,0001h               ;  from absolute sector 1
26.     MOV DX,0080h               ;  on drive C:
27.     INT 13h                    ;  now, please
28.  
29. The master boot record's job is to look through the partition
30. table for a bootable partition, load the partition boot sector
31. (see below) from that partition, and pass control to it.  The
32. master boot sector is put on the disk by FDISK (for instance).
33. It is *not* written or updated by the SYS command.   If a virus
34. (like the "Stoned") infects the master boot record, SYS is
35. *not* going to help any.   (This is vanilla IBM PC-DOS's
36. SYS command that I'm talking about; there may, of course,
37. be other systems whose SYS commands do something different.)
38. The master boot record is very very simple, and doesn't
39. contain anything about DOS versions (take a look at it yourself
40. and see!).
41.  
42. The other important boot record is the partition boot record.
43. This is the record that the master boot record reads in and
44. passes control to.   If the partition is a DOS partition (as
45. most of them are, hehe!), this is a DOS boot record.   You can
46. look at it in DEBUG for instance, with commands like
47.  
48.    -l 500 2 0 1
49.    -d 500
50.    -u 500
51.  
52. You'll notice that what's displayed here includes the DOS version
53. number and so on, and is *different* from what you saw when you
54. did the BIOS call given above.   This DOS boot record is what
55. the SYS command overwrites.
56.  
57. > We have advised over 300 infected corporations involving over
58. > 20,000 infected computers and 100,000 infected floppies...
59.  
60. On a floppy disk, of course, there is only one boot record, and
61. the SYS command does replace it.   But fixed disks have more than
62. one boot record (if there are "extended partitions" on the disk,
63. I think there can actually be *three* types!), and SYS only writes
64. to one of them.  So SYS should not be counted on to Fix Everything,
65. even if invoked from a clean system.
66.  
67. Sorry if that upsets you, Alan and Tim, and I'd be glad to be
68. corrected if I'm wrong!   But try the things suggested above,
69. and see if you come to agree with me.   I tried it myself: made
70. a change to my master boot record, SYSed the disk from a clean
71. system, and noticed that the master change was still there.
72.  
73. > The virus situation is not a joke, a game or a playground.
74. > Many of us have dedicated full time efforts for over a year to
75. > understand and deal with waht's happening.
76.  
77. Couldn't agree with your more!   I've been fighting these
78. ugly things since early '88 myself (brag, brag), and I know
79. it's not a joke.  It's only by careful study, and tolerance
80. of each other's errors and foibles, that we can efficiently
81. cope with this new challenge.   Hang in there!
82.  
83. Dave Chess
84. IBM T. J. Watson Research Center
85.  
86. * Affiliation given for identification purposes only;
87. * all information herein represents the opinion of the
88. * writer, and not necessarily that of his employer.
89.  
90. ------------------------------
91.  
92. Date:    Mon, 8 May 89 09:12:01 PDT
93. From:    rogers@cod.nosc.mil (Rollo D. Rogers)
94. Subject: POSSIBLE NEW PC VIRUS
95.  
96. Original-Subject: ->NEW VIRUS AND CURE<- for ALL IBM PC/XT/AT/386
97. Original-Date: 7 May 89 19:13:57 GMT
98.  
99. I do not know if this is realy a NEW virus, but this campus is now in
100. the middle of a large infection.
101.  
102. The virus is not destructive UNLESS the disk it is trying to infect is
103. full (it needs one cluster -- 1024 bytes)
104.  
105. HERE IS WHAT IT DOES:
106. At some time a single character will start bouncing around the screen
107. but you can still continue to do what ever you want.
108.  
109. HERE IS HOW IT SPREADS:
110. It loads into memory at boot time ONLY! (taking 2K of free memory)
111. If you boot with a clean disk, you are safe.
112. If you boot from an infected disk (hard drive or floopy) it will
113. then stay in memory (until a warm reboot) and transfer its self
114. to ANY disk (bootable or not) when ANY disk operation are done.
115. Then if you boot that disk on another computer it will start
116. transfering its self again.
117.  
118. HERE IS HOW TO FIND IT:
119. On your disk it marks its self as a bad cluster. BUT you can read it.
120. (it picks the FIRST free empty sector, or picks a used one if your
121. disk is full) In memory it takes up 2K (check your memory from a clean
122. disk then the questionable disk) To find the sector in you disk do
123. search of ALL sectors for FF 06 F3 7D 8B 1E F3 7D using something like
124. Norton's NU If you find that and it is maked as BAD in the FAT then
125. YOU HAVE IT.
126.  
127. HOW TO KILL IT:
128. You can do FILE by FILE back up then reformat the bad disk
129. then restore the files (the virus is NOT part of a file
130. it's part of the boot system)
131.  
132. The long way (But it works well...and for hard drives) Make a floopy
133. with the same version of the operating system you have on the bad disk
134. make sure that SYS and NU and NDD are on the good disk BOOT the good
135. disk...go into NDD do a "MAKE DISK BOOTABLE" from common fixes (to the
136. bad disk) then do a SYS to the bad disk....YOU ARE DONE...the virus
137. will no longer load....you should the go in to NU and unmark the fake
138. BAD cluster (2 sectors) and zero the sectors
139.  
140. REMEMBER: IT WILL INFECT ALL DISKS
141. even if they are not bootable....
142. the virus can still infect a cleaned disk...
143. flu-shot may detect it, but by the time you run it
144. the BUG is already in memory and running....
145.  
146. If you find a better way to KILL it then please POST!!
147. (and send me mail...)
148.  
149. Andrew Lindh, a student at the University of Hartford -- Computer Science
150. West Hartford, CT -- School Switchboard (203) 243-4100 -- ask for Math/CS
151. BITNET: LINDH@HARTFORD.bitnet   INTERNET:  maby later....
152. UUCP:   lindh@evecs.uucp   also   lindh@uhasun.uucp  (and root@evecs.uucp)
153.  
154. ------------------------------
155.  
156. Date:       8-MAY-1989 17:56:05 GMT
157. From:       ZDEE699@ELM.CC.KCL.AC.UK
158. Subject:    Virus propagation on PC. (United Kingdom)
159.  
160.         One of my friends who is not on the virus-l list has sent me
161. the following message from Southbank polytechnic.  The message to all
162. our UK subscribers is to watch-out for these programs which show
163. pornographic pictures, and which students copy from each other... thus
164. helping the virus contained within the program to propagate and infect
165. new hard disks.
166.  
167. Olivier Crepin-Leblond
168.  
169. forwarded message follows
170. ===============================================================
171. >Sender:  <MANDALR@UK.AC.SOUTHBANK-POLY.VAX>
172. >
173. >
174. >
175. >   We have a virus running on some OPUS 7 PCs, The program is
176. >   call oneontwo.exe it runs by reading in data from a file
177. >   call 1on2.gl, what it produces is a pornographic moving
178. >   animation.
179. >   Students, as usual, are very good at distributing such programs
180. >   and run them without any permission. It comes with a bat file
181. >   which simply has oneontwo 1on2 as command line. The effects
182. >   are not noticed until later the hard disk refuses to boot up
183. >   even if it does have bootable files, it refuses to read command.com
184. >   but you can boot from A drive. So far one Opus 7 is very sick and
185. >   also an amstrad 1640 with 20mb HD is very very sick.
186. >
187. >  I'am OK it's mainly our terminal room we seem to have serious
188. >  problem, What happens is the PC's after a while refuse to BOOT
189. >  and any EXE or COM file become infected as soon as they run
190. >  We have a virus checker thats how we know about this little
191. >  bug.
192. >  What we are doing now is cleaning every hard disk in sight
193. >  and restoring with backups that's all that can be done for
194. >  now. If you know of any Virus preventer/checker for the PC
195. >  that would be helpful.
196. >  I supect whats happening is that the command.com file are growing
197. >  as they are run causing most of the above problems.
198. >
199. >Ripon..
200. ===================================================================
201.  
202. King's College London, United Kingdom.
203. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
204. |Olivier M.J. Crepin-Leblond                        | - If no-one can do it  |
205. |JANET   :<zdee699@uk.ac.kcl.cc.elm>                |   then do it yourself  |
206. |BITNET  :<zdee699%elm.cc.kcl.ac.uk@ukacrl>         | - If you can't do it,  |
207. |INTERNET:<zdee699%elm.cc.kcl.ac.uk@uk.ac.nsfnet-relay>| then  P A N I C ! ! |
208. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
209.  
210. ------------------------------
211.  
212. Date:    Mon, 8 May 89 10:41:16 PDT
213. From:    dplatt@coherent.com (Dave Platt)
214. Subject: "Benign" viruses
215.  
216. In VIRUS-L 2.107, Michael Odawa writes:
217.  
218. > The last thing I want is for some
219. > self-proclaimed wizard to release viral code that s/he "thinks" has no
220. > negative side effects.
221.  
222. Agreed!  One of the first viruses in the Mac community (known
223. variously as "Peace", "the MacMag virus", or "Brandow's Folly") was
224. intended to be benign.  Reportedly, the programmer worked for quite
225. some time to ensure that the virus would have only one effect
226. (displaying a message of world peace on a specified date), would
227. delete itself cleanly thereafter, and would have no unfortunate side
228. effects.
229.  
230. Didn't quite work out that way.  The virus was (apparently) tested on
231. machines in the Mac Plus family (monochrome, 68000-based), and didn't
232. take into account the differing architecture of the Mac II
233. (68020-based, multi-bit-deep screen, different memory layout).  There
234. were reports of Mac II systems crashing, and/or corrupting their hard
235. disks, when this virus kicked in.
236.  
237. A virus that's benign in one host can be deadly in another... this is
238. certainly true for biological viruses, and seems to be true for
239. computer viruses as well.
240.  
241. Dave Platt
242. FIDONET:  Dave Platt on 1:204/444        VOICE: (415) 493-8805
243. UUCP: ...!{ames,sun,uunet}!coherent!dplatt     DOMAIN: dplatt@coherent.com
244. INTERNET:   coherent!dplatt@ames.arpa,  ...@uunet.uu.net
245. USNAIL: Coherent Thought Inc.  3350 West Bayshore #205  Palo Alto CA 94303
246.  
247. ------------------------------
248.  
249. Date:    Mon, 08 May 89 12:28:54 EDT
250. From:    dmg@mwunix.mitre.org
251. Subject: More on SecureINIT... (Mac)
252.  
253. Another tidbit about this application.  One of the users on the
254. Twilight Clone BBS (not Joe McMahon) here in DC recently tried this on
255. his system at home.  He alledges (and I believe it) that SecureINIT
256. deleted some hold-dozen inits, including OnCue.  It looks more and
257. more like this one's a dog.
258.  
259. ------------------------------
260.  
261. End of VIRUS-L Digest
262. *********************
263. Downloaded From P-80 International Information Systems 304-744-2253
264.