home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.113

< prev

next >

Wrap

Text File  |  1995-01-03  |  12KB  |  280 lines

---

1. VIRUS-L Digest              Friday, 12 May 1989        Volume 2 : Issue 113
2.  
3. Today's Topics:
4. Re: "Insecure" INIT.... (Mac)
5. InsecureINIT... (Mac)
6. Invisibility as a defense mechanism...
7. More on the SYS command (PC) / System complexity
8. POSSIBLE NEW (MAC) ATTACK VIRUS
9. Yet another virus? (Mac)
10. The only good virus is a dead one
11. SecureINIT - The last word (Mac)
12.  
13. ---------------------------------------------------------------------------
14.  
15. Date:    Wed, 10 May 1989 16:17:24 CDT
16. From:    Werner Uhrig <werner@rascal.ics.UTEXAS.EDU>
17. Subject: Re: "Insecure" INIT.... (Mac)
18.  
19. RE: warnings regarding Secure-INIT
20.  
21.         after MASH looked at the initial version and found it so utterly
22.         flawed (even dangerous) I removed it from the public archives
23.         on RASCAL (but kept it in the MASH archives)
24.  
25.         we have since received version 1.5 and a confirmation from our
26.         SWISS member, Danny Schwendener, that the authors are "for real"
27.         and, generally, reputable people (i.e. no intentional destructive
28.         code), but I have decided to only make 1.5 available to MASHers
29.         and, until I hear something good about the thing, I will not make
30.         it public and recommend against it.  Given the authors announcement
31.         that version 2.0 is  going to be commercial, I suspect the authors
32.         called earlier versions release 1.x to get people to debug the
33.         thingy for them.  dump it, I say.
34.  
35. ------------------------------
36.  
37. Date:    Wed, 10 May 89 22:14:52 EDT
38. From:    dmg@mwunix.mitre.org
39. Subject: InsecureINIT... (Mac)
40.  
41. I suppose it is reassuring that SecureINIT was indeed written by
42. "reputable" people; I'm no longer worried that some of the people in
43. DC have had a very clever and subtle virus infect their systems (or I
44. should say I am far less worried about this possibility).  I do find
45. it disturbing that "reputable" authors would let the general public do
46. their debugging for them.  While consumer feedback can give authors
47. valuable information, giving consumers a product that fails even the
48. most rudimentary tests is a disgrace to those authors.
49.  
50. Well, SAM should be on the shelves soon, and the beta testers I've
51. spoken with are impressed with it.  Let SecureINIT eat cake.  Or SAM's
52. dust as the case may be...
53.  
54. David
55.  
56. ------------------------------
57.  
58. Date:    Wed, 10 May 89 22:27:22 EDT
59. From:    dmg@mwunix.mitre.org
60. Subject: Invisibility as a defense mechanism...
61.  
62. Recently, Frank O'Dwyer (FMODWYER@cs.tcd.ie) [Auth: Is there some way
63. we can easily distinguish which net these addresses come off of?]
64. questioned my assertion that making Macintosh INITs invisible is
65. practical.
66.  
67. Actually, I don't know.  First off, I misspoke through a
68. generalization.  In order to fool a potential intruder as to the
69. presence of Vaccine (which is not really an INIT, it is a cdev), I
70. turned off the option that causes the Vaccine icon to be displayed at
71. startup, and made the file invisible in the system folder.  Vaccine
72. still installs itself (I checked).  Now whether this works for INITs,
73. I honestly don't know.
74.  
75. I'm also not sure what is gained by making something like Vaccine
76. invisible, but it seems like an easy and cheap thing to do to enhance
77. the security of a Mac.
78.  
79. David Gursky
80. Member of the Technical Staff, W-143
81. Special Projects Department
82. The MITRE Corporation
83.  
84. ------------------------------
85.  
86. Date:    11 May 1989, 08:54:17 EDT
87. From:    David M. Chess   <CHESS@YKTVMV.BITNET>
88. Subject: More on the SYS command (PC) / System complexity
89.  
90. >         The SYS command will remove all floppy based boot viruses
91. > and all HD based boot viruses except the Australian (Stoned).
92.  
93. Make that "all HD based boot viruses *that we know of* except..."
94. and I'll finally shut up!   *8)    There are probably other
95. master-boot-record infectors out there lurking...  (I know
96. that's what you meant.)
97.  
98. The only point I was really trying to make is that, for sites
99. that don't have the CVIA's detailed toolkit or equivalent,
100. relying completely on the SYS command to deal with a hard-disk
101. boot virus isn't safe (as you point out).
102.  
103. The larger point here, and it applies to all computers, not
104. just PCs or micros in general, is that computing systems (even
105. here in the primitive 1980's) are terribly complex things,
106. and it's very easy to forget (or forget to mention) all the
107. possible places a virus can get into.  Something for both
108. virus fighters and system designers to keep in mind!
109.  
110. All sweetness and light,
111. DC
112.  
113. ------------------------------
114.  
115. Date:    Thu, 11 May 89 08:15:11 PDT
116. From:    rogers@marlin.nosc.mil (Rollo D. Rogers)
117. Subject: POSSIBLE NEW (MAC) ATTACK VIRUS
118.  
119. Info is a bit sketchy i would say.
120.  
121. [Ed. A couple of "forwardings" deleted...]
122.  
123. Original-Date: Tue, 9 May 1989 23:13-EDT
124. Original-From: Michael.Mills@B.GP.CS.CMU.EDU
125.  
126. i thought i'd try asking you first since you've been of great help to
127. us in csd.  a large local company has been afflicted with a macintosh
128. virus over the past few days which apple claims to have never seen
129. before.  it evades cleanup with Disinfectant 1.1.  it apparently
130. affects the resource fork of various files in the system folder which
131. disallows the system to access its pointers.  the result is that you
132. can't throw these away and the memory remains allocated.  this beastie
133. has also randomly destroyed various personal folders.  they found no
134. pattern in what was missing; they also found no new mysterious files.
135. no other major clues.
136.  
137.                             thanks,
138.                                 mike
139.  
140. ------------------------------
141.  
142. Date:    Thu, 11 May 89       15:26:48 PST
143. From:    Donna Reynolds <DR9021@UCSFVM.UCSF.EDU>
144. Subject: Yet another virus? (Mac)
145.  
146. The University of California, San Francisco Computer Center currently
147. is experiencing a rash of virus-like problems, in particular when
148. MacDraw is in use.  The problems have suddenly appeared on three
149. separate machines, each of which is running its own registered copy of
150. MacDraw.  We've run both Interferon and Virus Rx against these
151. machines, and neither reports any problems.  Still, problems exist.
152. We don't know at this time whether these difficulties are
153. virus-induced, but thought we'd query the net to see if anyone else
154. has experienced similar problems.  (We are cross-posting this notice
155. to comp.sys.mac.)
156.  
157. We are experiencing the symptoms listed below.  Please note this is a
158. cumulative symptoms list.  No one machine currently is exhibiting
159. *all* symptoms.
160.  
161. Symptoms:  System Errors 02 and 03 when loading and printing from
162.              MacDraw I and II
163.            On restart, a file named "EIYBSKJTNX" appears in the
164.              folder containing the MacDraw application.
165.            MacDraw file creation times converted to garbage characters
166.            MacDraw program malfunctions - for example, when using
167.              text tool to select text, the block of text actually
168.              selected is not that (and is quite distant from) the
169.              text we were attempting to select.
170.            MacDraw screen displays incomplete - for example, the
171.              elevator bars are missing.
172.            System re-install fails until MacDraw deleted from the
173.              disk.
174.  
175. To repeat, these problems have shown up on three separate machines
176. running three separate copies of MacDraw - all of which have been in
177. use for a minimum of six months.  Any suggestions?
178.  
179. Our most sincere thanks for your time and attention.
180.  
181. Donna Reynolds
182. Senior Editor
183. UCSF Computer Center
184.  
185. BITNET:    dr9021@ucsfvm
186. INTERNET:  dr9021@ucsfvm.ucsf.edu
187.  
188. ------------------------------
189.  
190. Date:    Thu, 11 May 89 23:49:56 pdt
191. From:    well!odawa@lll-winken.llnl.gov (Michael Odawa)
192. Subject: The only good virus is a dead one
193.  
194. In VIRUS-L 2-112, Allan Pratt mentioned the possibility of back door
195. neutralizers and other methods of disarming a potentially "beneficial"
196. virus which might unintentionally run amuck, contending,
197.  
198. > you can deliberately code in an easy way to kill the thing, such as the
199. > presence of a file with a certain name, or a certain magic number in a
200. > cookie someplace in RAM.
201.  
202. While these methods might be useful in containing the damage done by
203. some experiment run wild, they are less than sufficient to justify
204. intentional release of viral code, because in the event of bugs
205. discovered after the code has been set loose, they do not restore us
206. to the condition we were in prior to its release.
207.  
208. Again, let me restate what should be obvious: Viral propagation is an
209. extremely dangerous technique.  We do not need intentional viruses
210. running through the computing newtworks.  We can protect ourselves
211. adequately without them.  Thus, again,
212.  
213. The only good virus is a dead one.
214.  
215. Michael Odawa
216. Software Development Council
217. odawa@well.uucp
218.  
219. ------------------------------
220.  
221. Date:    Thu, 11 May 89 04:16 GMT
222. From:    <SEKRETAR@CZHETH5A.BITNET>
223. Subject: SecureINIT - The last word (Mac)
224.  
225. I think I'll have to put my bit of salt at this point. I won't
226. comment on the user interface or the (buggy) code. But I have the
227. strong impression that some of the people out there think the code
228. is purposefully malevolent. It isn't, but it is very delicate in
229. the practical use.
230.  
231. The purpose of SecureINIT is *not* to protect against viruses
232. (which it doesn't anyway - against the claims of the authors),
233. but to help out those poor guys in the universities who have to
234. look after the public macs. Those of you who are in charge of
235. student macs know that you don't get around reformatting all
236. hard disks on a regular basis, because they get cluttered up
237. with junk files, multiple system folders, etc. In small labs,
238. performing this task once or twice per week can be considered
239. as realistic, but in places like the ETH, where you have several
240. rooms with hundreds of Macs, it becomes quite a burden.
241.  
242. I have often thought about how great it would be to have a program
243. which automatically cleans up the hard disks every evening, leaving
244. it in the very same state as it was in the morning, removing the
245. CDEV's, INIT's, applications and documents which have been left there
246. by the students, replacing the current system by a fresh copy.
247.  
248. SecureINIT is not a protection against malevolent actions on the
249. student computers, as it is fairly easy to bypass the protections
250. if you have some knowledge in Macintosh Resources. But it is a
251. good garbage collector - well it will be in a future bug-free
252. version, I hope. According to P. Guberan, the first version which
253. was uploaded to CompuServe (1.3 I think) was a beta, although it
254. rather looked like an alpha to me.
255.  
256. One important thing to know is that SecureINIT is *NOT A PROTECTION
257. AGAINST VIRUSES*. Installing the program on your public Macs is not
258. sufficient to protect your people from getting infected. You still
259. have to use one or a combination of the existant virus detection
260. tools. A trap watcher (Gatekeeper, Vaccine) is fine, a trap watcher
261. *and* a regular check with a disk browser (disinfectant, virus-
262. detective) is better.
263.  
264. One last thing - I am not related with the authors of the Program.
265. I'm not even a test site. Due to my geographical vicinity, I was
266. asked to contact them, and to clear the questions raised in MacMASH
267. and on Virus-L.
268.  
269. - -- Danny Schwendener
270.  
271. - -- ETH Macintosh Support, ETH-Zentrum m/s PL, CH-8092 Zuerich
272. - -- Bitnet :   macman@czheth5a      UUCP   :   {cernvax,mcvax}ethz!macman
273. - -- Ean    :   macman@ifi.ethz.ch   Voice  :   yodel three times
274.  
275. ------------------------------
276.  
277. End of VIRUS-L Digest
278. *********************
279. Downloaded From P-80 International Information Systems 304-744-2253
280.