home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.114

< prev

next >

Wrap

Text File  |  1995-01-03  |  14KB  |  331 lines

---

1. VIRUS-L Digest              Friday, 12 May 1989        Volume 2 : Issue 114
2.  
3. Today's Topics:
4. question on CERTUS (PC)
5. Request for info and experiences on viruses on LANs (PC)
6. 1 byte can save us from the Ping Pong virus (PC)
7. Comment on "The Computer Virus Crisis"
8. Mac Virus (maybe)
9. Boot Sector Protection (PC)
10. VM Trojan list? (VM/CMS)
11.  
12. ---------------------------------------------------------------------------
13.  
14. Date:    Fri, 12 May 89 09:15:34 EDT
15. From:    "W. K. (Bill) Gorman" <34AEJ7D@CMUVM.BITNET>
16. Subject: question on CERTUS (PC)
17.  
18.      I have been asked to evaluate CERTUS 1.0 from Foundationware.
19. Has anyone tried this package as an aid to virus protection, disaster
20. recovery, PC security, etc.?
21.      Thus far, I am not impressed. I have been able to get it to:
22.  
23.      a)   Eat a set of files from a floppy that it was supposed
24.           to be "registering" and "approving" to run on the test PC,
25.  
26.      b)   Recognize a non-existant hard drive (D:) on a system with
27.           one HD (C:) and two floppies (A: and B:),
28.  
29.      c)   Abend with a "FAT creation error" when creating what they call
30.           a "critical disk" during the installation.
31.  
32. Does anyone have any better/worse things to say about it?  BTW: It is
33. a commercial package.
34.  
35. Disclaimer: It should be obvious from these comments that I am NOT
36. connected with Foundationware or any of its products by blood, money,
37. marriage, financial interest, political affiliation or Act of God.
38.  
39. ..........................................................................
40. |W. K. "Bill" Gorman                               Foust Hall # 5        |
41. |PROFS System Administrator   E-Mail & Message     Computer Services     |
42. |Central Michigan University Encryption/Security   Mt. Pleasant, MI 48858|
43. |34AEJ7D@CMUVM.BITNET       Virus Countermeasures  (517) 774-3183        |
44. |_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-|
45. These comments reflect personal opinions held at the time this was
46. written.  Copyright (C) 1989 W. K. Gorman. All rights reserved.
47.  
48. ------------------------------
49.  
50. Date:    Fri, 12 May 89 10:50 EST
51. From:    <DAC@CUNYVMS1.BITNET>
52. Subject: Request for info and experiences on viruses on LANs (PC)
53.  
54. Greetings!
55.  
56. We are running a Novell LAN on which we found a Terminate and Stay
57. Resident (TSR) virus that infects executable files and then seems
58. to be responsible for the:
59.    1. failure of some infected programs to run;
60.    2. executables becoming very large;
61.    3. memory errors;
62.    4. stack errors;
63.    5. routing of files to printers; and
64.    6. loss of root directory on hard disks.
65.  
66. We've currently responded by:
67.    1. installing a second "clean" (at least until we hooked it up)  ;)
68.       server and brought down the original one; and
69.    2. placed Sentry 1.8 and Flushot 1.51 into the bootup procedure
70.       of all out boot disks (both floppy and hard).
71.  
72. Our next steps are to:
73.    1. formally release information about is going on and how to work
74.       with Sentry and Flushot (up to now we've been spreading info on
75.       an ad hoc basis;
76.    2. clean up the original file server and put it back in service; and
77.    3. find a better solution for the next time.
78.  
79. In order to help find a better LAN/virus solution, I thought I would
80. ask people with similar problems to write to me about their experiences
81. on LANs and what their solutions are.  I will summarize and depending
82. on the size of the response, either post directly to the list or place it
83. in an archive.  Anyone submitting anything to me will be mailed a
84. copy of the summary.
85.  
86. Suggestions about additional steps we should be taking are also welcome.
87.  
88. Aloha,
89. danny
90. *******************************************************************
91. snail:  Danny Choriki, Environmental Psychology Program, CUNY
92.         33 West 42nd Street, New York, NY  10036-8099
93. bitnet:    dac@cunyvms1
94. internet:  dac%cunyvms1.bitnet@cunyvm.cuny.edu or dangc@cunyvm.cuny.edu
95. compuserv: 71470,3060
96. =======================================================================
97. [Since a CUNY can't talk, this must have been my idea...]
98.  
99. ------------------------------
100.  
101. Date:     12 May 89, 13:21:53 HMT
102. From:     Stanley 'Spock' Fragakis  <CSSTU011@GRCRUN11.BITNET>
103. Subject : 1 byte can save us from the Ping Pong virus (PC)
104.  
105. Hello virus list
106. 1st of all I welcome myself in this list. :-))
107.  
108. I will not be surprized if I find out that there are virus designers
109. in this list. The information presented by the list will help them
110. create better 'killers' | I just hope they are the minority.
111.  
112. I want to say a few things about the BOOT sector on PC's.
113.  
114. Each time the MSDOS BIOS performs a disk access it reads the BOOT
115. sector of the disk, which contains vital information such as number of
116. sectors/track, sectors/cluster, number of FATs etc The information is
117. used to correctly locate the requested disk sector.  The MSDOS checks
118. the first byte of the BOOT sector and if that byte is E9h or EBh it
119. assumes that the disk is MSDOS formatted, else the disk is assumed to
120. be non-MSDOS.
121.  
122. Lets see more about this.  Presence of E9h or EBh forces the MSDOS to
123. USE the information contained in the boot sector (bytes/sector etc) in
124. order to access the disk. Any other value makes the MSDOS to use
125. 'default' values, ignoring the BOOT sector.  If you study the source
126. code of the Ping Pong virus you will find out that it uses the BOOT
127. information to locate the FAT's, the start of disk's data area etc. In
128. order to e.g. interpret the logical sector into track,head,sector
129. format it needs to make a few divisions (/sectors per track etc).
130. These divisions are carried out using the DIV instruction of the CPU.
131. Hmmm... Here comes the big idea... What if I change e.g. the sectors
132. per track value from 9 (if we have 9 sectors/track) to 0.  That would
133. cause a crash when the virus tries to make the division.  The sectors
134. per track value is at offset 18h of the BOOT sector.  Sounds a good
135. Idea || :-) If you indeed change that value then the disk will be
136. 'useless' || Why ? Well the MSDOS tries to use the information
137. (sectors/track) but the 0 we put makes no sense and we could get a
138. 'GENERAL FAILURE..' message or something like that.  Hmmm.. It seemed
139. a good idea :( Can't we make something about it ?  Well of course :-)
140. we can. As I mentioned above the MSDOS uses the BOOT information ONLY
141. if the first byte of the BOOT sector is E9h or EBh.  Hmmm.. yes that's
142. it we change the first byte of the BOOT.  Change it to what ? In fact
143. giving any other value will do the trick but remember the 1st byte
144. must be a valid instruction, since the BOOT sector is assumed to
145. contain a small machine-language program.  If you look in a
146. instuction-table you will find out that the E9h and EBh bytes are
147. interpreted as JMP instructions by the CPU.  E9h is JMP FAR, so we'll
148. have
149.  
150. 0000 E9H
151. 0001 xx
152. 0002 yy
153.  
154. as the first 3 bytes of the boot sector.
155.  
156. EBh is JMP short, so we'll have
157.  
158. 0000 EBh
159. 0001 xx
160. 0002 NOP
161.  
162. as the first 3 bytes of the boot sector.
163. NOTE that the 3rd byte is a NOP (90h)
164.  
165. Usually the boot sector contains a JMP short i.e. EBh xx NOP
166. All we have to do is swap the commands :
167.  
168. 0000 NOP
169. 0001 EBh
170. 0002 zz
171.  
172. Note that the displacement is no longer xx (actually it is xx-1).
173.  
174. Now we have a disk that CAN NOT be contaminated by the Ping Pong virus
175. || When the virus tries to contaminate the disk we have a 'DIVISION by
176. zero' interruption which forces execution out of the virus code.
177. Further more the virus is disabled from that time on.  (I'll not say
178. more on that, since this is already getting too long but it has to do
179. with a flag-byte the virus has and it does not get updated correctly
180. since we have 'DIVISION BY ZERO' )
181.  
182. This trick works only on non-system disks (so you can't protect a hard
183. disk since a hard disk is usually a system disk).  I don't see why the
184. trick shouldn't work on similar viruses.  If you have any questions
185. just let me know.
186.  
187. Stanley Fragakis, GREECE  (csstu011 at grcrun11)
188.  
189. ------------------------------
190.  
191. Date:    Wed, 10 May 89 15:31:42 MDT
192. From:    Chris McDonald 678-4176 <cmcdonal@wsmr-emh10.army.mil>
193. Subject: Comment on "The Computer Virus Crisis"
194.  
195. Several weeks ago a Virus-L subscriber provided a review of a book
196. entitled "The Computer Virus Crisis."  Since I already had my copy on
197. order, it was too late to cancel.  When it arrived, I read the book
198. and found that I agreed with the previous subscriber.  Rather than
199. repeat all his observations, I would like to add the following.
200.  
201. [Ed. The review was posted by Mark Paulk <mcp@sei.cmu.edu>, who has
202. just (thanks Mark!) sent me a somewhat lengthy followup to his report
203. that was sent to him by the publishers of the book.  If there is
204. sufficient interest in reading this followup, I can post it in a
205. separate digest (it's about 26k) or put it on one of the archives.]
206.  
207. 1.  My dominant impression is that this book was "rushed" into print
208. to take advantage of the marketplace which is "virus" sensitized
209. beyond belief in some quarters, particularly the corporate world.
210. There are factual inaccuracies in describing the extent of the MacMag
211. World virus infection, in the actual spreading mechanism of the IBM
212. Christmas bacterium, and in the actual number of persons at the
213. National Security Agency involved in viral protection.  All these
214. exaggerations support the "crisis" proposition of the authors.  But
215. readers of Virus-L and RISKS Forum receive a much better perspective
216. on the threats and protective mechanisms, than would a reader of the
217. book.  Hopefully we subscribers will never take for granted what is
218. now available over the INTERNET.
219.  
220. 2.  The authors claim that "DOS machines were relatively unaffected
221. until communications and connectivity came into the picture." (page
222. 33) This is a debatable proposition on conceptual as well as on
223. historical grounds.
224.  
225. 3.  The authors state more than once that mainframes are "more secure"
226. and "less vulnerable" to virus attack.  Since Fred Cohen's early work
227. was on mainframes, not DOS machines, and since the authors refer to
228. Fred's first paper on the subject, this is just not in my mind a
229. proven fact as much as it is their commentary on reported cases to
230. this point.
231.  
232. Chris Mc Donald
233. White Sands Missile Range
234.  
235. ------------------------------
236.  
237. Date:    Fri, 12 May 89 11:16:28 EDT
238. From:    Joe McMahon <XRJDM@SCFVM.BITNET>
239. Subject: Mac Virus (maybe)
240.  
241. I would say that the definite test for whether or not this is a virus
242. is to see if applications on the affected system can infect another.
243. You might want to try this:
244.  
245. 1) Pick some application that's on the infected system, and copy it to
246.    a floppy.
247.  
248. 2) Create a clean system from the "system Tools" disk (assuming you
249.    haven't been using it unlocked).
250.  
251. 3) Put a clean copy of Virus Rx on the disk, too.
252.  
253. 4) Boot the clean system and run the application. See if the symptoms
254.    you've been seeing occur. Set the date ahead a week or two and see
255.    if anything shows up.
256.  
257. 5) Run Virus Rx and see if it puts up its dialog telling you that it's
258.    been infected. If so, you've got something. If not, probably not.
259.  
260. If nothing spreads into the System, and Virus Rx doesn't commit
261. suicide when running on the "infected" system, then you've got a
262. clobbered System file, not a virus. Try restoring just the System
263. folder and seeing if that corrects the problem.
264.  
265. If you need Virus Rx or advice, drop me a note direct.
266.  
267.  --- Joe M.
268.  
269. ------------------------------
270.  
271. Date:    Fri, 12 May 89 13:19:30 EDT
272. From:    mcvax!rhi.hi.is!frisk@uunet.UU.NET (Fridrik Skulason)
273. Subject: Boot Sector Protection (PC)
274.  
275. Some viruses and Trojans attempt to write to the boot sector on
276. diskettes. Any program intended to prevent attacks must therefore be
277. able to protect the boot sector.
278.  
279. It seems that there are 5 methods for writing to the boot sector.
280.  
281.         1: Use INT 26.
282.         2: Use INT 13.
283.         3: Use INT 40.
284.         4: Use the original ROM BIOS routines.
285.         5: Program the PD765 directly.
286.  
287. It is easy to prevent methods 1 and 2 from working, and most (all ?)
288. diskette protection software packages available seem to do that. All
289. BSV that I know of use one of these two methods.
290.  
291. Method 3 is just as easy to prevent, but quite a few available
292. software packages allow it, including Flushot (at least my version).
293.  
294. Method 4 is very hard to prevent, but it is actually the main subject
295. of this message (see below). No known viruses use it, but sooner or
296. later they will.  I have not been able to find ANY program that
297. prevented this type of attack.
298.  
299. Method 5 seems to be able to work, no matter what software protection
300. is used.  Fortunately, no known viruses use it.
301.  
302. Now - I have written a small TSR, that attempts to prevent a program
303. using method 4 from doing its task. It works on my own computer (a
304. '386 HP VECTRA, running DOS 3.3), but since the method it uses is
305. rather weird, I am not sure if it will interfere with something else.
306. So - I am asking for volunteers to test this program, before I send it
307. to the anti-viral archives.
308.  
309. please E-mail me at frisk@rhi.hi.is if you are interested in receiving
310. a test copy.
311.  
312. ------------------------------
313.  
314. Date:    Fri, 12 May 1989 14:54:02 EDT
315. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM>
316. Subject: VM Trojan list? (VM/CMS)
317.  
318. Does anyone have any info on the recent "VMEXEC EXEC" trojan horse?
319. Any knowledge anyone has would be appreciated.  Feel free to send it
320. directly to me if you prefer.  Have a good weekend.
321.  
322. P.S.  Ben Yalow requests reports on this trojan horse.  He is a BITNET
323.       technician and can be contacted at YBMCU@CUNYVM on BITNET and
324.       YBMCU@CUNYVM.CUNY.EDU on Internet.
325.  
326. ------------------------------
327.  
328. End of VIRUS-L Digest
329. *********************
330. Downloaded From P-80 International Information Systems 304-744-2253
331.