home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.117

< prev

next >

Wrap

Text File  |  1995-01-03  |  11KB  |  245 lines

---

1. VIRUS-L Digest             Tuesday, 16 May 1989        Volume 2 : Issue 117
2.  
3. Today's Topics:
4. re: PC Virus List
5. Re: Macintosh virus query
6. blown floppy disk (PC)
7. Re: Virus-proof PC
8. re: The only good virus is a dead one
9. Virus in data files (MAC)
10.  
11. ---------------------------------------------------------------------------
12.  
13. Date:    16 May 1989, 13:05:24 EDT
14. From:    David M. Chess  <CHESS@YKTVMV.BITNET>
15. Subject: re: PC Virus List
16.  
17. Nice list!   A couple of notes:
18.  
19. - - I suspect that the "Vienna" (number 5, characteristic size 648)
20.   is exectly the same virus as the "DOS-62" (number 10).  It sounds
21.   that way from Jim Goodwin's list, anyway; the sample that I have
22.   grows COM files by 648 bytes (like the "Vienna") and overlays
23.   victims with reboot code one time in eight (like the "DOS-62").
24.   So I'd suggest that they're the same code, unless there's
25.   evidence otherwise.
26.  
27. - - There are in fact two variants of the "DataCrime"; one makes
28.   files bigger by 1280 bytes, and one makes them bigger by 1168.
29.   They seem to be functionally identical; the differences are
30.   just slightly tighter coding, and not saving some uninitialized
31.   scratch areas.
32.  
33. I'd be interested in more info on the "Nichols"; I've seen the
34. name here and there, but never a real description.
35.  
36. I'd also be interested in a complete set of descriptions of
37. all these, of course!   *8)
38.  
39. DC
40.  
41. ------------------------------
42.  
43. Date: Tue, 16 May 89 10:42:04 PDT
44. From: dplatt@coherent.com (Dave Platt)
45. Subject: Re: Macintosh virus query
46.  
47. > Has there ever been a macintosh virus than is part of a document? The
48. > macintosh has both data and resource forks. It would be interesting to
49. > create a macwrite or MS-word document with the document in the data
50. > fork and the virus as a code resource that is preloaded to override an
51. > application code resource (the printing code comes to mind). This
52. > would allow documents as well as applications to transfer the virus.
53.  
54. I've never heard of a virus that could successfully insert itself into
55. a Mac document, and have the resulting document be infectious.
56.  
57. There's a reason for this.  Many Mac applications don't use the
58. resource fork of their document files at all... all of the significant
59. information is stored in the data fork.  Apple recommends against
60. attempting to treat the Resource Manager as a database package (it
61. bogs down, badly, if you try to load too many resources into a single
62. file).
63.  
64. Some applications do store a limited amount of information in the
65. resource fork of their documents.  Many text editors, for example,
66. store font/point-size/tab-width information in the resource fork;
67. there are some resource-types that have acquired "conventional uses"
68. of this sort.
69.  
70. Opening the data fork of an file does _not_ automatically open the
71. resource fork and make the resources available... this must be done
72. separately.  In my experience, applications that store information in
73. the resource forks of their documents usually don't keep this fork
74. open for a long period of time... the resource forks are usually
75. opened only for the amount of time that's needed to load the desired
76. resources into memory, and are then closed.  When the resource fork is
77. closed, any and all resources that had been loaded from the resource
78. file will be purged, unless someone has issued a DetachResource() call
79. to unlink them from the file.
80.  
81. Therefore, there's only a very narrow window in which a virus-resource
82. in a document-file's resource fork could be loaded "by mistake".  The
83. virus would have to masquerade as a portion of code that the
84. application would execute _before_ the document file's resource fork
85. was closed...  otherwise, the viral resource would be purged before it
86. could ever be executed.
87.  
88. This is certainly possible... but I believe that the "window of
89. vulnerability" is so small, and so application-specific, that a
90. general-attack virus could not propagate itself effectively in this
91. manner.
92.  
93. Also, most of the free and commercial virus-blocking INITs
94. (GateKeeper, Vaccine, et al) would detect the attempt of a virus to
95. write a CODE resource into a document, and would raise the alarm.
96.  
97. I do know of one Mac virus (ANTI) which can infest nonexecutable
98. resource files (such as the Desktop file, the Scrapbook, and so
99. forth), and into documents whose resource-forks are used by the
100. applications that create them.  ANTI patches itself into the Resource
101. Manager and injects a copy of its INIT into any resource-file that's
102. opened by any application.  However, nonexecutable files containing
103. this INIT are not themselves infectious... the INIT is never executed.
104.  
105. Dave Platt    FIDONET:  Dave Platt on 1:204/444    VOICE: (415) 493-8805
106. UUCP: ...!{ames,sun,uunet}!coherent!dplatt  DOMAIN: dplatt@coherent.com
107. INTERNET:   coherent!dplatt@ames.arpa,  ...@uunet.uu.net
108. USNAIL: Coherent Thought Inc. 3350 West Bayshore #205 Palo Alto CA 94303
109.  
110. ------------------------------
111.  
112. Date:    Tue, 16 May 89 13:40:55 EDT
113. From:    "W. K. (Bill) Gorman" <34AEJ7D@CMUVM.BITNET>
114. Subject: blown floppy disk (PC)
115.  
116.      I have a 5-1/4" floppy disk under examination for possible virus
117. damage, and have run into an interesting problem. The disk acts like
118. it is totally unformatted; neither CHKDSK, RECOVER, the Norton stuff,
119. or anything else seems to be able to access it. The result of this is
120. that I cannot see anything about what has happened to the disk. What I
121. need is a good pd or shareware sector editor that can get at the
122. absolute sectors w/o trying to read the directory (or else a
123. reasonably cheap commercial one), although I am not sure that will do
124. any good, since I cannot write to the disk (no, it is not write
125. protected) either.
126.      Perhaps a little history is in order. The disk was obtained from
127. a student employee in one of our administrative offices. My initial
128. response was to suspect that the disk had been mistreated in some way,
129. resulting in a total erasure of all data and format information. Both
130. the student and his boss, however, insist that the failure occurred
131. spontaneously while using the disk, and that it has happened more than
132. once. Suspicious, IMHO. I could format the disk and probably make it
133. useful again, but that would defeat the purpose of my investigations.
134. I repeat, I am *not* certain that this is a virus case, but I
135. definitely would like to find out what happened to this disk (and
136. recover the student's files, just to be a nice guy (!) in the
137. process). Since we are currently awash in nVIR, SCORES, and
138. gawd-knows-what-else, I think an investigation of this problem is a
139. reasonable approach.
140.      Suggestions? Comments? Flames? Nasty notes?  :-)
141.  
142. .........................................................................
143. |W. K. "Bill" Gorman                              Foust Hall # 5        |
144. |PROFS System Administrator   E-Mail & Message    Computer Services     |
145. |Central Michigan University Encryption/Security  Mt. Pleasant, MI 48859|
146. |34AEJ7D@CMUVM.BITNET       Virus Countermeasures (517) 774-3183        |
147. |_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_|
148. These comments reflect personal opinions held at the time this was written.
149. Copyright (C) 1989 W. K. Gorman. All rights reserved.
150.  
151. ------------------------------
152.  
153. Date:    16 May 89 14:20:00 EST
154. From:    "BARRY NEWTON" <newton@enh.nist.gov>
155. Subject: Re: Virus-proof PC
156.  
157. The only ways I can imagine to implement a "virus-proof" PC involve
158. marking executables with some sort of authorization signature or
159. placing them on a list of authorized programs.  Either activity is
160. probably too much overhead for most organizations.
161.  
162. If the authorization process is centrally controlled, users will
163. revolt and defeat it.  If it is not centrally controlled, it would be
164. totally useless.
165.  
166. Barry Newton
167. National Institute of Standards and
168. Technology (Which is neither aware of nor interested
169. in my opinions expressed here)
170.  
171. ------------------------------
172.  
173. Date:    Tue, 16 May 89 20:05:02 BST
174. From:    Neil Youngman <nyo@CS.EXETER.AC.UK>
175. Subject: re: The only good virus is a dead one
176.  
177. >From:    well!odawa@lll-winken.llnl.gov (Michael Odawa)
178. >In VIRUS-L 2-112, Allan Pratt mentioned the possibility of back door
179. >neutralizers and other methods of disarming a potentially "beneficial"
180. >virus which might unintentionally run amuck, contending,
181. >
182. >> you can deliberately code in an easy way to kill the thing, such as the
183. >> presence of a file with a certain name, or a certain magic number in a
184. >> cookie someplace in RAM.
185.  
186. To add my few pence worth:
187.  
188. 1: How many of these things are there going to be? I could need
189. hundreds of "antibody" files or magic numbers in RAM locations that
190. might have other uses.
191.  
192. 2. What if there's a bug in the self-destruct test?
193.  
194. 3. What about people who don't know how to kill it?
195.  
196. 4. What about mistakes like the INTERNET worm? If you are going to
197. test it there might be problems with it spreading in an unexpected
198. fashion. (God forbid the release of an untested version).
199.  
200. >The only good virus is a dead one.
201.  
202. Very true.
203.  
204. >Michael Odawa
205.  
206. Neil Youngman, Computer Science Dept, Exeter University,
207. Prince of Wales Road, Exeter, Devon, EX4 4PT, UK.
208.         UUCP:   nyo@expya.uucp          JANET:  nyo@uk.ac.exeter.cs
209. "The lights are on but Mr Brain is not at home!"
210.  
211. ------------------------------
212.  
213. Date:    Tue, 16 May 89 14:37:43 EDT
214. From:    dmg@mwunix.mitre.org
215. Subject: Virus in data files (MAC)
216.  
217. In a recent Virus-L (May 15), Emil Rainero
218. (rocksanne!rainero@cs.rochester.edu) raises the possibility of a virus
219. hiding in the resource fork of a data file.
220.  
221. Generally, such a virus would not be very successful at propogating,
222. if this were the lone method of propogation (using the resource fork
223. of data files).  Information in resource forks are generally not
224. executed.  There is (however) a notable exception to this.
225.  
226. INITs, cdevs, and the like are "data" files; they contain no CODE
227. resources that make an application an application.  Conceivably, they
228. could be used to spread a virus as the information in the
229. INIT/cdev/... is executed at system startup if the file is in the
230. system folder.  The INIT 29 virus makes use of this.  It will infect
231. the resource fork of data files, and should such a data file reside in
232. the system folder, the virus will be executed from the data file when
233. the system is next started.
234.  
235. David Gursky
236. Member of the Technical Staff, W-143
237. Special Projects Department
238. The MITRE Corporation
239.  
240. ------------------------------
241.  
242. End of VIRUS-L Digest
243. *********************
244. Downloaded From P-80 International Information Systems 304-744-2253
245.