home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.138 < prev    next >
Text File  |  1995-01-03  |  7KB  |  131 lines
  1. VIRUS-L Digest             Thursday, 15 Jun 1989       Volume 2 : Issue 138
  2.  
  3. Today's Topics:
  4. WP virus (PC)
  5. Request for info on viruses (PC)
  6. The strange story of the WordPerfect virus (PC)
  7.  
  8. ---------------------------------------------------------------------------
  9.  
  10. Date:     Wed, 14 Jun 89 21:02 N
  11. From:     ROB_NAUTA <RCSTRN@HEITUE5.BITNET>
  12. Subject:  WP virus (PC)
  13.  
  14. I read the messages about the so-called WP virus. The message states
  15. that the virus attacks WP.EXE and any other EXE file. WP complains
  16. with 'Can't find correct copy of WP.EXE' and something more. This is
  17. not a WP virus ! We have to thank Wordperfect Corporation for building
  18. in a virus-checker in WP.EXE.  WP checks its own EXE file and prints
  19. this message when it has been modified.  This traps EXE infectors. It
  20. seems to me that this virus doesn't infect WP.EXE specifically, just
  21. any EXE file that is started, with WP.EXE as the only one giving a
  22. proper warning.
  23.  
  24. Rob J. Nauta
  25. rcstrn@heitue51.bitnet
  26. - --- Fidelio Software ---
  27.  
  28. ------------------------------
  29.  
  30. Date:    Thu, 15 Jun 89 16:39:37 SST
  31. From:    Y T Yeo <CCEYEOYT@NUSVM.BITNET>
  32. Subject: Request for info on viruses (PC)
  33.  
  34. Hello! I'm new to this list. I wonder if any of you could send me info
  35. on (c)Brain, Ping-pong virus and a virus which adds 1701 bytes to .com
  36. files (call 1701 virus?). Info such as how diskettes/harddisk get
  37. infected, what these viruses do and the procedures/vaccines to remove
  38. the viruses would be of great help to me. You can send the info direct
  39. to me at CCEYEOYT@NUSVM.  BITNET.Thanks in advance for all your help.
  40.  
  41. Y T Yeo
  42.  
  43. ------------------------------
  44.  
  45. Date:    Thu,  15 Jun 89 14:46:58 +0300
  46. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
  47. Subject: The strange story of the WordPerfect virus (PC)
  48.  
  49.   A virus which specifically infects WordPerfect was described recen-
  50. tly by people from Pace and Stanford.  Despite a few discrepancies in
  51. some of their descriptions, I suspect that they have the same virus
  52. which was described in VIRUS-L last January by Eldad Salzmann and Dirk
  53. Bode.  In any case, since I have just now discovered the explanation
  54. for that virus, I am giving it here.
  55.  
  56.   Last January, Eldad Salzmann described in VIRUS-L how his Word-
  57. Perfect program suddenly started looking in drive A: for the file
  58. WP.EXE when it had previously been working well from his hard disk.
  59. Soon Dirk Bode reported that this behavior sounded like the problem
  60. they had, which was caused by a memory-resident virus that attaches
  61. itself to every executed COM or EXE file except WP 4.2; however it
  62. prevents WP from using the hard disk.
  63.   This sounded a lot like the behavior of the Israeli virus, although
  64. as far as I knew, that virus never alters normal execution of a pro-
  65. gram it infects.  Also, while one could see from the disassembly that
  66. the virus was deliberately coded not to infect COMMAND.COM, there was
  67. absolutely nothing to indicate that WP was also singled out for special
  68. treatment.  So my guess was that either someone had hacked the Israeli
  69. virus to make it attack WP, or that the WP problems were caused by
  70. something other than a virus.
  71.   Later Otto Stolz kindly sent me a copy of Dirk's virus, mentioning
  72. that he could find no difference between it and the Israeli virus.
  73. But it was only a few days ago, when Eldad sent me his copy of WP.EXE,
  74. that I finally got around to researching this virus.  I have now found
  75. the solution to the enigma.
  76.   First of all, I verified that the WP virus is indeed identical with
  77. the Israeli virus.  There now remained two main questions: (1) How
  78. can a virus which is programmed to add code to files without affecting
  79. their behavior, not do this in *all* cases?  (2) What is so special
  80. about WP.EXE?  I discovered that when the virus is in RAM and WP is
  81. executed, instead of adding 1808 bytes to the end of WP.EXE, as it
  82. does with almost every other EXE file, the virus *overwrites* part of
  83. WP.EXE (at least in the case of WP 4.2) with the 1808-byte viral code!
  84. Now when a WP.EXE file is executed, WP apparently checks itself for
  85. validity before doing anything else.  If the virus has overwritten
  86. code instead of appending it, WP will discover that it is invalid.
  87. This causes it for some reason to look for the file WP.EXE on drive
  88. A:.  If it doesn't find it, it issues the message "Can't find correct
  89. copy of WP.EXE".  In any case, one can no longer use the copy of
  90. WP.EXE on the h.d.
  91.   This was where I had gotten to at the beginning of the week.  I
  92. dropped the subject for a while to work on other things, until yester-
  93. day, when (without consciously thinking about the matter) it suddenly
  94. hit me *why* the Israeli virus treats WP.EXE differently from other
  95. EXE files.  In order to determine the length of an EXE file it is
  96. infecting, a virus can use the the length-of-file field (bytes 2
  97. through 5) in the header at the beginning of the EXE file, and this is
  98. indeed what the Israeli virus does when infecting EXE files.  But what
  99. if the value of this field is incorrect??  I looked at these bytes in
  100. the uninfected WP.EXE, and found that they were 80 01 29 01 (hex).
  101. Translating, we get (01*256 + 29h - 1)*512 + 01*256 + 80h = 151936,
  102. which is much smaller than the actual length of the file (269963
  103. bytes).  Checking the infected WP.EXE I found that the starting
  104. address of the viral code was precisely 151936.  Also, by changing
  105. these bytes in the uninfected WP.EXE to 8B 00 10 02, I was able to get
  106. WP to execute normally even after infection.  Thus my hunch was con-
  107. firmed.  (As to why the value of this field was incorrect in the
  108. header of WP.EXE, I leave this to the WordPerfect Corp. to explain.)
  109.   I have also heard of another file, PK36.EXE, which is overwritten
  110. by the Israeli virus.  Presumably this too is due to an incorrect byte
  111. count in its header.
  112.  
  113.   The description by "IA96000" of the virus discovered at Pace differs
  114. from that of the Israeli virus in a few respects.  However, experience
  115. has taught me that descriptions of viruses at a time of panic are
  116. often inaccurate, so that my guess is that it's the same virus.  In
  117. any case, anyone who needs a program for eradicating the Israeli virus
  118. (plus a few others) can obtain one (UnVirus by Yuval Rakavy) by writ-
  119. ing to me.  (Please indicate if you want it in uuencoded or xxencoded
  120. form.)
  121.  
  122.                                           Y. Radai
  123.                                           Hebrew Univ. of Jerusalem
  124.                                           RADAI1@HBUNOS.BITNET
  125.  
  126. ------------------------------
  127.  
  128. End of VIRUS-L Digest
  129. *********************
  130. Downloaded From P-80 International Information Systems 304-744-2253
  131.