home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.126

< prev

next >

Wrap

Text File  |  1995-01-03  |  14KB  |  295 lines

---

1. VIRUS-L Digest              Friday, 2 Jun 1989         Volume 2 : Issue 126
2.  
3. Today's Topics:
4. Computer Virus Catalogue (Aims and Scope)
5. Computer Virus Catalogue: format
6. Computer Virus Catalogue: Index (May 25, 1989)
7. Special ACM Issue on the Internet Worm
8.  
9. ---------------------------------------------------------------------------
10.  
11. Date:    Fri, 02 Jun 89   15:21 CET
12. From:    BRUNNSTEIN@RZ.INFORMATIK.UNI-HAMBURG.DBP.DE
13. Subject: Computer Virus Catalogue (Aims and Scope)
14.  
15. After having reverse-engineered several viruses on different PCs
16. (AMIGA, Atari, MacIntosh and IBM), we have developped (and
17. experimentally tested, in a German mailbox of the national Informatics
18. society, since December 1988) a format in which we describe essential
19. features of computer viruses: the Computer Virus Catalog. Thanks to
20. Y.Radai, David Ferbrache and Otto Stolz, this Catalog is now available
21. in a revised form. The goal is to describe all those features which a
22. (not too well-informed) user needs to analyse whether and what virus
23. may have reached his machine; moreover, the catalog should contain
24. some hints which established tools help him to erase the virus.
25.  
26. At this time, about 25 viruses (maybe some of which exist in German
27. locations have been catalogued. At the Virus Test Center of Hamburg
28. University/Informatics (with a group of students, who participate in
29. my 4-semester course on Computer Security), we have concentrated on
30. AMIGA and IBM PC viruses, but in the latter case, we have difficulties
31. to get virus code 1) because the German IBM PC virus scene doesnot
32. offer the internationally reported manifold, and 2) we refuse to
33. exchange viruses, like stamps (we also don't publish virus code or the
34. `dossiers' which we produced by reverse-engineering). We therefore
35. appreciate any help which we can get from competent and cooperative
36. experts in the field.
37.  
38. As a separat document I send:
39.                 1st: the format of the Computer Virus Catalog,
40.                 2nd: the index on entries at this time.
41.  
42. To minimize the transfer problems to `remote locations' (seen from a
43. Germanocentric world view), we try to find locations where the actual
44. entries may be invoked (e.g. in US). Moreover, in order to guarantee
45. some degree of completeness, we ask groups/persons with developped
46. knowledge in the field, to take on the task of adding information
47. about viruses not yet catalogued. We plan to establish a committee
48. which controls new or updated entries; while Y.Radai, and D.Ferbrache
49. have accepted to cooperate in this Virus Catalog Editorial Committee,
50. we hope for a few more experts to cooperate in this task.
51.  
52. Thank you in advance for comments.   Klaus Brunnstein.
53.  
54. - -----------------------------------------------------------------------
55. PostAdress:      Prof.Dr. Klaus Brunnstein
56.             Faculty for Informatics, Univ.Hamburg
57.                     Schlueterstr.70
58.                    D 2000 Hamburg 13
59.            Tel: (40) 4123-4158 / -4162 Secr.
60. ElMailAdr:   Brunnstein@RZ.Informatik.Uni-Hamburg.dbp.de
61. FromINTERNET:Brunnstein%RZ.Informatik.Uni-Hamburg.dbp.de@Relay.CS.Net
62. FromBITNET:  Brunnstein%RZ.Informatik.Uni-Hamburg.dbp.de@DFNGate.Bitnet
63. FromUUCP:    brunnstein%rz.informatik.uni-hamburg.dbp.de@unido.uucp
64. - -----------------------------------------------------------------------
65.  
66. ------------------------------
67.  
68. Date:    Fri, 02 Jun 89   15:31 CET
69. From:    BRUNNSTEIN@RZ.INFORMATIK.UNI-HAMBURG.DBP.DE
70. Subject: Computer Virus Catalogue: format
71.  
72. - ------ Computer Virus Catalog 1.0: "Virusname" (Date of Entry) --------
73.  
74. Entry...............: "Virusname" (=Name of virus)
75. Alias(es)...........: Alternate Name(s)
76. Virus Strain........: "Family" (if any) to which this virus belongs
77. Virus detected when.: Date of first appearance
78.               where.: Where has Virus been produced or detected
79. Classification......: System Virus (BootSector, Command.Com, BAT V.)
80.                       Link or Program Virus (Overwriting/Relocating V.)
81. Length of Virus.....: Length (Byte) if applicable.
82.  
83. - --------------------- Preconditions -----------------------------------
84.  
85. Operating System(s).: e.g. AMIGA-DOS, ATARI-TOS, MacOS, MS-DOS,
86.                            UNIX, VMS, MVS, VM
87. Version/Release.....: Special Version of OS (e.g. UNIX System V,
88.                       UNIX BSD, VMS etc) if needed, and Release
89.                       (e.g. MS-DOS 3.2, UNIX BSD 4.2)
90. Computer model(s)...: The Computer models (e.g. ROM BIOS versions)
91.                       on which the Virus runs.
92.  
93. - --------------------- Typical Attributes ------------------------------
94.  
95. Identification......: Typical texts, either messages (e.g. screen),
96.                       or texts in Virus body (readable with HexDump-
97.                       facilities), Volume Labels etc.
98. Type of infection...: Self-Identification methods;
99.                       Executable File infection(.COM,.EXE):overwriting,
100.                       dislocating; permanent/transient; RAM or File
101.                       (Direct Action) Infection; WCS infection (e.g.
102.                       CMOS store at initialisation setup);
103.                       System infection: RAM-Resident, Reset-Resident,
104.                       Bootblock/Bootsectors, Command.Com, BAT, Device
105.                       Handlers/Libraries etc;
106.                       Infection of unlinked Object Files;
107.                       Source Code Infection.
108. Damage..............: Permanent Damage: e.g. overwriting bootblock,
109.                       repeated restart/format, zeroing of sectors,
110.                       Bad Sectors in FAT etc;
111.                       Transient Damage: e.g. screen buffer manipulation,
112.                       audio effects, blinking LEDs
113. Particularities.....: special effects e.g. process velocity slowed-down
114. Similarities........: dis/similarities to other viruses ( either from
115.                       same "family" (=strain) or different viruses);
116.                       names of related viruses.
117.  
118. - --------------------- Agents ------------------------------------------
119.  
120. Tested vaccines.....: Names of those Antivirus programs tested
121. Vaccines successful.: Names of those Antivirus programs which, without
122.                       any restriction, were `successful' to identify and
123.                       destroy, without any side effect, the given virus
124.                       (details of Vaccine in Antivirus Catalog)
125. Standard means......: Means in the respective System which may be
126.                       used to identify/destroy this virus.
127.  
128. - --------------------- Classification ---------------------------------
129.  
130. Location............: e.g. Virus Test Center, University Hamburg, FRG
131. Classification by...: Author(s) of Reverse-Engineering Document
132. Documentation by....: Author(s) of this Catalog Entry;
133.                       Translator of Non-English document (if applicable)
134. Date................: Production/last Update of this Catalog Entry
135.                       (this information also in the 1st line)
136. Information Source..: Information used for Documentation (only in cases
137.                       where Reverse-Analysis was not possible).
138.  
139. -
140.  
141. Reply received on ACAD3A from user SXCNB99 at ACAD3A Batch   04:15:35
142. $1$DUA8: Rebuild & Analysis begins in one minute.
143.  
144.  --------------------------End of "Virusname"-Virus---------------------
145.  
146. - -----------------------------------------------------------------------
147. PostAdress:      Prof.Dr. Klaus Brunnstein
148.             Faculty for Informatics, Univ.Hamburg
149.                     Schlueterstr.70
150.                    D 2000 Hamburg 13
151.            Tel: (40) 4123-4158 / -4162 Secr.
152. ElMailAdr:   Brunnstein@RZ.Informatik.Uni-Hamburg.dbp.de
153. FromINTERNET:Brunnstein%RZ.Informatik.Uni-Hamburg.dbp.de@Relay.CS.Net
154. FromBITNET:  Brunnstein%RZ.Informatik.Uni-Hamburg.dbp.de@DFNGate.Bitnet
155. FromUUCP:    brunnstein%rz.informatik.uni-hamburg.dbp.de@unido.uucp
156. - -----------------------------------------------------------------------
157.  
158. ------------------------------
159.  
160. Date:    Fri, 02 Jun 89   15:34 CET
161. From:    BRUNNSTEIN@RZ.INFORMATIK.UNI-HAMBURG.DBP.DE
162. Subject: Computer Virus Catalogue: Index (May 25, 1989)
163.  
164.                   =============================
165.                   Computer Virus Catalog Index:
166.                           May 25, 1989
167.                   =============================
168.  
169.             Content/Short description of Catalog entries:
170.             [(*) Viruses presently under reverse analysis,
171.                 catalogue entry will soon be available.]
172.  
173. 1) Amiga DOS:
174. - -------------
175. *A.S.S. Virus          BootBl/ResetRes?         Antivirus-Virus (L=1024)
176. Byte Bandit Virus      BootBl/ResetRes2         TransDamage     (L=1024)
177. Byte Warrior           BootBl/ResetRes2         Antivirus-Virus (L=1024)
178. *Camouflage Virus      BootBl/ResetRes2         ????Damage      (L=1024)
179. *Disk Doctors Virus    BootBl/ResetRes?         ????Damage      (L=1024)
180. *Gaddafi-Virus         BootBl/ResetRes.         ????Damage      (L=1024)
181. GYROS Virus            BootBl/ResetRes1         TransDamage     (L=1024)
182. IRQ-Team Virus         Program/ResRes2/Disl.    TransDamage      L=1096
183. *Lamer Virus           BootBl/ResetRes/SelfDisl.????Damage      (L=1024)
184. NorthStar Virus Strain BootBl/ResetRes1 Antivirus-Virus         (L=1024)
185.     1.North Star I Virus
186.     2.*North Star II Virus
187. Obelisk Virus          BootBl/ResetRes1          TransDamage    (L=1024)
188. *Paramount Virus       BootBl/ResetRes?          ????Damage     (L=1024)
189. SCA-Virus Strain:      BootBl/ResetRes. TransDamage             (L=1024)
190.     1.SCA-Virus: Swiss Cracking Association
191.     2.AEK-Virus: SCA-text modified
192. *System Z 3.0 Virus    BootBl/ResetRes?          Antivirus-Virus(L=1024)
193. *UNKNOWN I Virus       BootBl/ResetRes?          ????Damage     (L=1024)
194. *UNKNOWN II Virus      BootBl/ResetRes?          ????Damage     (L=1024)
195.  
196. [BootBl: AMIGA-DOS uses two standardized bootsectors as one BootBlock;
197.  ResetRes1: GYROS, NorthStar I/II, Obelisk and SCA/AEK Viruses become
198.             "Reset Resident" via manipulation of Capture Vector
199.  ResetRes2: Byte Bandit, Byte Warrior, Camouflage, IRG-Team and Lamer
200.             viruses become "reset Resident" via manipulation of KickTag
201.             Pointer)]
202.  
203. (Remark: unqualified information about several more viruses, including
204.     names WARHAWK-V. and LSD-V. could not be confirmed up to date)
205.  
206. 2) Atari TOS:
207. - -------------
208. ANTHRAX-Virus          Prog(.PRG)Disl. PermDamage
209.    =Milzbrand-Virus
210. c't Virus              BootS/ResetRes  PermDamage:FORMAT-HD     (L<512)
211. Emil 1A-Virus          BootS/ResetRes  TransDamage              (L<512)
212. Emil 2A-Virus          BootS/ResetRes  TransDamage              (L<512)
213. *Mouse Virus           BootS/???       PermDamage:Mouse up/down
214.    =SIGNUM Virus
215. Zimmermann-Virus       Prog(.PRG)Disl. TransDamage               L=1414
216.  
217.  
218. 3) MacIntosh:
219. - -------------
220. Aladin-Virus           Prog/Disl.Code0 PermDamage             L=3 kByte
221. Frankie-Virus          Prog/Disl.Code0 PermDamage             L=3 kByte
222.  
223. (Remark: several more viruses, such as nVIR, are under reverse-analysis;
224.  for special knowledge of 68000: refer to David Ferbrache, Heriot-Watt-
225.  University, Scotland/UK).
226.  
227. 4) MS-DOS:
228. - ----------
229. Autumn(=Herbst)Virus   Prog(.COM)Disl.  TransDamage          L=1704/1701
230. Bouncing Ball Virus    BootS/---        TransDamage            (L=1024)
231. Israeli Virus #1       Prog(.COM/.EXE)Disl.PermDamage      L=1813/n*1808
232. Oropax Virus           Prog(.COM)disl.  TransDamage          L=2756-2806
233. *SHOE Virus            BootS/---        TransDamage
234.  
235. (Remark: Out of the multiplicity of MSDOS viruses, only a few have
236.  in FRG; it is therefore difficult to receive copies for analysis)
237.  
238.  
239. 5) Information Policy:
240. - ----------------------
241. 5.1 Entries published in the Computer Virus Catalogue may be copied and
242.     edited if the original source ("Computer Virus Catalogue, Virus Test
243.     Center, University of Hamburg/Germany") is properly referenced and
244.     changes applied are mentioned.
245.  
246. 5.2 Several "NoName" Viruses have been produced in or are known to Virus
247.     Test Center, Hamburg; such systems include MVS and VM, VMS and UNIX;
248.     moreover, viruses with different replication strategies in MSDOS and
249.     other PC systems have been tested. Since such "Test" viruses are
250.     only produced to analyse proper defense methods (which maybe needed
251.     in some future), it is the general information policy *not to dis-
252.     tribute further information*  in the Computer Virus Catalogue until
253.     such viruses appear in "real world".
254.  
255. - ----------------------------------------------------------------------
256. PostAdress:      Prof.Dr. Klaus Brunnstein
257.             Faculty for Informatics, Univ.Hamburg
258.                     Schlueterstr.70
259.                    D 2000 Hamburg 13
260.            Tel: (40) 4123-4158 / -4162 Secr.
261. ElMailAdr:   Brunnstein@RZ.Informatik.Uni-Hamburg.dbp.de
262. FromINTERNET:Brunnstein%RZ.Informatik.Uni-Hamburg.dbp.de@Relay.CS.Net
263. FromBITNET:  Brunnstein%RZ.Informatik.Uni-Hamburg.dbp.de@DFNGate.Bitnet
264. FromUUCP:    brunnstein%rz.informatik.uni-hamburg.dbp.de@unido.uucp
265. - -----------------------------------------------------------------------
266.  
267. ------------------------------
268.  
269. Date:    Fri, 2 Jun 89 10:25 EDT
270. From:    Roman Olynyk - Information Services <CC011054@WVNVAXA.WVNET.EDU>
271. Subject: Special ACM Issue on the Internet Worm
272.  
273. For those who aren't card-carrying members of ACM, the June issue of
274. "Communications of the ACM" (Vol 32, No. 6) is a special issue devoted
275. to articles on the now infamous Internet worm (the virus, not the person).
276.  
277. Articles include:
278.    The Worm Story
279.    The Internet Worm:  Crisis and Aftermath
280.    With Microscope and Tweezers:  The Worm from MIT's Perspective
281.    Password Cracking:  A Game of Wits
282.    The Cornell Commission:  On Morris and the Worm
283.  
284. Also, a column, "Legally Speaking," features an excellent discussion
285. titled "Can Hackers Be Sued for Damages Caused by Computer Viruses?"
286. Look for the issue with the Cootie Bug cover!
287.  
288. ------------------------------
289.  
290. End of VIRUS-L Digest
291. *********************
292.  
293.  
294. Downloaded From P-80 International Information Systems 304-744-2253
295.