home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.121

< prev

next >

Wrap

Text File  |  1995-01-03  |  16KB  |  387 lines

---

1.  
2.  
3. VIRUS-L Digest             Tuesday, 30 May 1989        Volume 2 : Issue 121
4.  
5. Today's Topics:
6. boot sector vaccine (PC)
7. RE: blown floppy disk (PC)
8. New virus? (PC)
9. Virus writing - crime?
10. Comp.virus Submission
11. Potential nVIR infection (Virus-L v2 i120) (Mac)
12. Macintosh Virus forum now on FIDOnet...
13. Summary of problem posted to VALERT-L (5/19) (Mac)
14. Virus Maker (PC)
15. New Virus for the PC
16. Stop a BOOT virus at BOOT time (PC)
17.  
18. [Ed. The moderator is in.  Anyone out there considering a vacation -
19. consider the Virgin Islands (imho).]
20.  
21. ---------------------------------------------------------------------------
22.  
23. Date:    Fri, 19 May 89 16:16:01 CDT
24. From:    "Rich Winkel    UMC Math Department" <MATHRICH@UMCVMB.BITNET>
25. Subject: boot sector vaccine (PC)
26.  
27. I liked Mr. Fragakis' idea of filling memory with CLI and HLT
28. instructions, but the offsets in the boot sector which he mentioned
29. seem to be occupied by active code on my DOS 3.3 disk, so I wrote my
30. own patch for 3.3.  I used a different method though: when the boot
31. sector gets control, the only other active code in the machine should
32. be ROM code, so ALL the active interrupt vectors should be pointing
33. into ROM.  (As far as I can see, INTs are the only way for a boot
34. virus to get periodic, transparent control of the machine, right?)  So
35. what the patch does is scan interrupt vectors in the range 0H to 1CH,
36. and 40H, which point to addresses between 0 and C8000.  (If such a
37. vector exists when the boot sector gets control, the machine is
38. infected) If it finds such a vector, it prints the message VIRUS
39. ALERT!! and halts the machine.  I had to rearrange some strings in the
40. sector to get things to fit.  This has been run on two true blue IBM
41. XT's and seems to work fine.  I'd be interested in reports from other
42. machines, particularly the IBM AT, where the bios might set up the
43. vector table differently at bootup.  Run the following batch file with
44. a dos 3.3 boot disk in drive A:
45. - --------------------
46. rem This will patch the boot sector of a dos 3.3 disk to detect
47. rem interrupt redirection for interrupts 0H through 1CH, and 40H.
48. pause Be sure you have an IBM DOS 3.3 bootable diskette in A: and ...
49.  
50. debug < %0.bat >nul
51. goto end
52.  
53. L 7C00 0 0 1
54. A 7C00
55. JMP 7DC0                ; JUMP TO VECTOR CHECK ROUTINE FIRST
56.  
57. A 7C6C
58. JB 7CC2                 ; REDIRECT 'BOOT FAILURE' TO 'DISK BOOT ERR'
59.  
60. A 7D0D
61. JB 7CC2                 ; DITTO
62.  
63. A 7CB5
64. JMP 7CDA                ; BYPASS CHECK FOR 'IBMDOS COM'
65.  
66. A 7CAB
67. MOV CX,6                ; REDUCE SCAN FROM 'IBMBIO COM' TO 'IBMBIO'
68.  
69. A 7CAE
70. MOV SI,7DBA             ; ADJUST POINTER TO NEW POSITION OF 'IBMBIO'
71.  
72. E 7D77 'Disk boot error' D A 'Replace and strike a key when ready' 0
73. E 7DAC 'VIRUS ALERT!!' 0 'IBMBIO'
74. A 7DC0
75. CLD                     ; SCAN FORWARD
76. XOR SI,SI
77. MOV DS,SI               ; DS:SI = START OF VECTOR TABLE
78. MOV CX,1D               ; CHECK FIRST 1DH VECTORS (0H THROUGH 1CH)
79. LODSW                   ; GET OFFSET
80. MOV BX,AX               ; SAVE IT IN BX
81. LODSW                   ; GET SEGMENT INTO AX
82. OR BX,AX                ; ARE THEY BOTH 0?
83. JZ 7DD5                 ; IF 0, GET NEXT ONE
84. CMP AX,C800             ; CHECK SEGMENT, IS IT <C800?
85. JB 7DEA                 ; IF <C800, IT'S BAD. PRINT MSG & LOCK UP
86. LOOP 7DC8               ; BACK TO FIRST 'LODSW'
87. MOV SI,100              ; POINT TO INT 40H
88. LODSW                   ; GET OFFSET
89. MOV BX,AX               ; SAVE IT IN BX
90. LODSW                   ; GET SEGMENT INTO AX
91. OR BX,AX                ; BOTH 0?
92. JZ 7DE7                 ; IF 0, ALL'S WELL, CONTINUE WITH BOOT
93. CMP AX,C800             ; NOT 0, IS SEGMENT <C800?
94. JB 7DEA                 ; YES, IT'S BAD. PRINT MSG & LOCK UP
95. JMP 7C36                ; ALL'S WELL, CONTINUE WITH BOOT
96. MOV SI,7DAC             ; POINT TO 'VIRUS ALERT!!' WARNING AND
97. CALL 7D32               ; PRINT IT OUT
98. CLI                     ; HANG IT UP!
99. HLT
100.  
101. W 7C00 0 0 1
102. Q
103.  
104. :end
105. - -----------------------------------
106. Rich
107.  
108. ------------------------------
109.  
110. Date:    Sat, 20 May 1989 13:54:11  +0200
111. From:    "UBMJS2::RMEYER"  <U0018@DGOGWDG5.BITNET>
112. Subject: RE: blown floppy disk (PC)
113.  
114. >     I have a 5-1/4" floppy disk under examination for possible virus
115. >damage, and have run into an interesting problem. The disk acts like
116. >it is totally unformatted; neither CHKDSK, RECOVER, the Norton stuff,
117. >or anything else seems to be able to access it. The result of this is
118. >that I cannot see anything about what has happened to the disk. What I
119. >need is a good pd or shareware sector editor that can get at the
120. >absolute sectors w/o trying to read the directory (or else a
121. >reasonably cheap commercial one), although I am not sure that will do
122. >any good, since I cannot write to the disk (no, it is not write
123. >protected) either.
124.  
125. The same happens to some of our students every year. If this happens
126. here, it's no virus! The students don't listen to us, if we tell them
127. how to use floppy disks. Everytime someone comes to me with an
128. unreadable floppy, I look (with my eyes) at it and find a fingerprint
129. of the user on the floppy.  Maybe you have the same problem
130.  
131. Reinhold Meyer
132. Abt. Forstliche Biometrie u. Informatik
133. Buesgenweg 5
134. D-3400 Goettingen
135. BITNET: U0018@DGOGWDG5
136.  
137. ------------------------------
138.  
139. Date:    Sat, 20 May 89 18:00:28 +0300
140. From:    "Yuval Tal (972)-8-474592" <NYYUVAL@WEIZMANN.BITNET>
141. Subject: New virus? (PC)
142.  
143. I have worked with a program that uses the graphic mode of my EGA.
144. After some time the picture started to move to all the directions...
145. Did anyone have heared about this virus (if it is one...)?
146.  
147. Yuval
148.  
149. - -------------------------------------------------------------------------
150. Yuval Tal                             Home phone: +972-8-474592
151. The Weizmann Institute Of Science
152. Rehovot, Israel                       "Only fools are quoted" - Anonymous
153. - -------------------------------------------------------------------------
154. Acknowledge-To: <NYYUVAL@WEIZMANN>
155.  
156. ------------------------------
157.  
158. Date:    Sat, 20 May 89 18:06:35 +0300
159. From:    Nir Zuk <NYZUK@WEIZMANN.BITNET>
160. Subject: Virus writing - crime?
161.  
162. I am new on this discussion and i think that the topic that i am
163. discussing have probly discussed before.
164.  
165. My question is if virus writing is a crime. I have thought of this
166. question a lot. At the begining i thought that it must be a crime
167. because people write this program in order to erase data to other
168. people but then i thought that if you do not copy diskettes you do not
169. have viruses. Diskette copying is a crime, ofcourse, so virus writing
170. is not a crime because people wouldn't had them unless they copy
171. diskettes.
172.  
173. Does any one know the law aspects about this matter?
174.  
175. Feel free to answer!
176.  
177. ------------------------------
178.  
179. Date:    Mon, 22 May 89 08:50:05 EDT
180. From:    kweeder@sun.soe.clarkson.edu
181. Subject: Comp.virus Submission
182.  
183. Call For Discussion:  The Usenet Virus Handbook  (With apologies to the
184.                                              mailing list people, please
185.                                              feel free to join in.)
186.  
187. With the advent of comp.virus and the establishment of virus tool
188. archives, I think it appropriate to organize a Handbook from
189. information available from the network.  The goal I have in mind is to
190. provide a *one-stop* source on what a virus (or trojan horse, etc.)
191. is, how they work and spread, and what can be done to prevent
192. infection and/or cure infections.  I don't have the virus guru's who
193. read this group in mind, but rather the average user who needs to be
194. educated if virii and other nasties are ever to be snuffed out.
195.  
196. Much of the information to accomplish this is already out there
197. (pointing to the info that Norstad et al. supplies with Disinfectant
198. and the virus 101 series as examples).  Thus, what I propose is to
199. form an editor *staff* to accumulate and organize the information and
200. keep it upto date.  My current concept is to have a general guide
201. (which sticks to general information) and then a number of supplements
202. each covering a different computing system.  This way, an interested
203. party can get the general guide and the particular supplement he/she
204. desires.  This information can then be carried in archives for easy
205. access.
206.  
207. The get the ball rolling, here are some discussion questions (besides
208. the obvious this is a good/bad idea one):
209.  
210. (1) How much information should be provided in the general guide?
211. Many users haven't the slightest idea what is a boot sector or what
212. use is ResEdit.  Perhaps the general section should have three
213. chapters: Beginner, Advanced, and a Secret chapter distributed only to
214. trusted individuals (although I suspect the latter one already
215. exists!).
216.  
217. (2) How best do we handle duplicate effort?  I would like any person
218. who can contribute to participate and I wouldn't want to put anyone in
219. the position of having to decide that X is preferable over Y.  We'll
220. need an equitable way to deal deserving people into the action.
221.  
222. (3) How do we assemble the editor staff?  Certainly, some of the
223. people who are now writing/collection things are natural choices (but
224. it's not my place to volunteer their time).  I think we should take
225. volunteers and then settle any races preferably by discussion or by
226. vote.
227.  
228. (4) How much staff do we need?  One or two for each supplement? One
229. for each general chapter? Should we have a chief editor or two to
230. oversee the whole effort and help to assure that project goals are
231. being met?  How about a temporary peer review group to evaluate each
232. section as the guide is being built for the first time?
233.  
234. (5) How about a different name for the effort?
235.  
236. Since a moderated group isn't the most convienent for this discussion,
237. can anyone suggest a group we could use (invade) to hash-out these
238. details to assemble a formal proposal?
239.  
240. I would appreciate some feedback (if you want to comment on my genetic
241. or moral backgroud, fine but please use e-mail :-) ).
242.  
243. Jim Kweeder
244. kweeder@sun.soe.clarkson.edu
245.  
246. ------------------------------
247.  
248. Date:    Mon, 22 May 89 11:52:50 EDT
249. From:    dmg@mwunix.mitre.org
250. Subject: Potential nVIR infection (Virus-L v2 i120) (Mac)
251.  
252. Sounds more like the disk dropped a few bits rather than a virus
253. infection Gregg.
254.  
255. (not =)VIR is a resource added to a Desktop file by Woodhead's
256. Interferon application.  It is nothing to worry about.
257.  
258. David Gursky
259. Member of the Technical Staff, W-143
260. Special Projects Department
261. The MITRE Corporation
262.  
263. ------------------------------
264.  
265. Date:    Mon, 22 May 89 15:28:22 EDT
266. From:    dmg@mwunix.mitre.org
267. Subject: Macintosh Virus forum now on FIDOnet...
268.  
269. Garner Miller has started a Macintosh Virus forum over FIDOnet called
270. "MacVIR".  If you use a FIDOnet BBS, you may wish to ask the Sysop to
271. pick up this conference (I do not believe it is on the FIDO backbone
272. yet; if enough people ask for it though, the backbone will pick it up
273. though).
274.  
275. This does not constitute an endorsement of anything or anyone.
276.  
277. ------------------------------
278.  
279. From:    gateh@conncoll.bitnet
280. Date:    Fri, 26 May 89 13:23:39 edt
281. Subject: Summary of problem posted to VALERT-L (5/19) (Mac)
282.  
283. I posted to VALERT-L on Friday, May 19, concerning a possible Mac virus
284. problem.
285.  
286. First I'd like to thank all those who responded - your suggestions
287. were helpful.  At this point I think it is safe to say that my problem
288. was generated by a legitimate disk error, and that there was no virus
289. activity involved.  While I still do not understand the events fully,
290. I cannot reproduce any of the activity, and so it would appear that
291. they were isolated and not the result of execution of code.  I will,
292. however, keep a close eye on these machines for any indication of
293. unusual activity.
294.  
295. If anyone is interested in a more detailed description of my problems,
296. please feel free to write.  Once again, thanks for the help.  - Gregg
297.  
298. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*
299. Gregg TeHennepe                  | Academic Computing and User Services
300. Minicomputer Specialist          | Box 5482
301. BITNET:  gateh@conncoll          | Connecticut College
302. Phone:   (203) 447-7681          | New London, CT   06320
303.  
304. ------------------------------
305.  
306. Date:         Sat, 27 May 89 15:31:03 +0300
307. From:         "Yuval Tal (972)-8-474592" <NYYUVAL@WEIZMANN.BITNET>
308. Subject:      Virus Maker (PC)
309.  
310. I was shocked when a friend of mine gave me a diskette for the IBM PC
311. which contains a Virus Maker! I examined the program and this is what
312. it does: It knows four types of viruses and then, it asks you to
313. insert a diskette and it will put one of the viruses (the one you
314. tells her), on you diskette.
315.  
316. Did anyone see this kind of program before?? I didn't!
317.  
318. Yuval Tal
319.  
320. - -------------------------------------------------------------------------
321. Yuval Tal                             Home phone: +972-8-474592
322. The Weizmann Institute Of Science
323. Rehovot, Israel                       "Only fools are quoted" - Anonymous
324. - -------------------------------------------------------------------------
325. Acknowledge-To: <NYYUVAL@WEIZMANN>
326.  
327. ------------------------------
328.  
329. Date:    Sat, 27 May 89 15:35:37 +0300
330. From:    "Yuval Tal (972)-8-474592" <NYYUVAL@WEIZMANN.BITNET>
331. Subject: New Virus for the PC
332.  
333. Another new virus....
334.  
335. This time as far as i understand it doesn't upload it self on a hard disk
336. but it does load it-self on floppy disks.
337.  
338. The thing that you see on the screen it simple....when you work in
339. text mode, every 5 seconds (something like that), one letter falls
340. from the screen and a blank character it written instead of her.
341.  
342. I made a small research about this virus and it turned out that the
343. boot record of the diskette with the virus on it, was chnged. The
344. first JMP command in the boot-record was changed to something else.
345. This virus marks track 39 sector 8 as bad (it stores the virus there).
346.  
347. Has any-one ever seen or heard of this virus?
348.  
349. Yuval Tal
350.  
351. - -------------------------------------------------------------------------
352. Yuval Tal                             Home phone: +972-8-474592
353. The Weizmann Institute Of Science
354. Rehovot, Israel                       "Only fools are quoted" - Anonymous
355. - -------------------------------------------------------------------------
356. Acknowledge-To: <NYYUVAL@WEIZMANN>
357.  
358. ------------------------------
359.  
360. Date:    Tue, 30 May 1989 00:39:44 EDT
361. From:    Steve <XRAYSROK@SBCCVM.BITNET>
362. Subject: Stop a BOOT virus at BOOT time (PC)
363.  
364. I just want to correct my recent comments concerning Stanley
365. Fragakis's alteration of the boot program to stop a boot virus at boot
366. time by overwriting everything in RAM (except the boot program
367. itself).  I have actually tried the alterations on a couple floppies
368. and they seem to work fine (i.e. they do not interfere with normal
369. operation of the computer).  If the floppy is not a system disk and
370. you try to boot from it, the computer does not die and you do get the
371. standard error message, contrary to my previous comment.  Also, the
372. alterations should work fine with system disks (The boot program
373. overwrites memory prior to loading the operating system into memory,
374. so there is no problem).
375.  
376. Steven C. Woronick     | Disclaimer:  These are my own opinions.
377. Physics Dept.          |              Check it out for yourself!
378. SUNY at Stony Brook    |
379. Stony Brook, NY  11794 |
380. Acknowledge-To: <XRAYSROK@SBCCVM>
381.  
382. ------------------------------
383.  
384. End of VIRUS-L Digest
385. *********************
386. Downloaded From P-80 International Information Systems 304-744-2253
387.