home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.140

< prev

next >

Wrap

Text File  |  1995-01-03  |  14KB  |  327 lines

---

1. VIRUS-L Digest             Tuesday, 20 Jun 1989        Volume 2 : Issue 140
2.  
3. Today's Topics:
4. Re: The strange story of the WordPerfect virus (PC)
5. More on the WordPerfect Virus [PC]
6. virus spreading modes
7. Virus policy
8. Mainframe Vulnerability
9. Large computer problems...
10. Saveinfo.exe (PC)
11. Robert T. Morris suspended from Cornell
12.  
13. ---------------------------------------------------------------------------
14.  
15. Date:    Fri, 16 Jun 89 12:34:07 PDT
16. From:    Rob Dixon <robd%jumbo.wv.tek.com@RELAY.CS.NET>
17. Subject: Re: The strange story of the WordPerfect virus (PC)
18.  
19. Greetings Mr. Radai,
20.  
21. I would greatly appreciate a copy of your UnVirus routine in uuencode
22. format. While we have not absolutly identified an infection, we do
23. seem to have some of the anomolys you documented.
24.  
25.  
26. Best regards,
27.  
28. Robert Dixon
29. robd@orca.WV.TEK.COM
30. [503]685-2811
31.  
32. ------------------------------
33.  
34. Date:    Fri, 16 Jun 89 23:00 EST
35. From:    Ron Kiener <RKIENER@TRINCC.BITNET>
36. Subject: More on the WordPerfect Virus [PC]
37.  
38. I today received the following message from Israel concerning the reported
39. WordPerfect virus.  This letter is in response to the original VALERT
40. message which I passed on to friends in Israel.  The following message
41. includes instructions for using UNVIRUS.EXE.
42. Here is the message:
43.  
44. > Date: Fri, 16 Jun 89 19:22:01 IST
45. > From: Shlomo <BIDERMAN@TAUNIVM.BITNET>
46. > Subject: Virus
47. >
48. > Dear Ron,
49. > Yoav sent me your Virus-letters. I read it and had a good laugh:
50. > almost half of the pc users in our advanced country have encountered
51. > the described virus more than 6 months ago (I had it too!!). And a
52. > remedy was found by two wizards from Jerusalem. I am sending it
53. > to you. It is called UNVIRUS.EXE. This is what you should do:
54. >
55. > 1) Put it on a *floppy* (NOT on HD), together with Command.Com (i.e.,
56. > the DOS system)
57. > 2) Boot up your pc with the Diskette (Don't write-protect it, since
58. > UNVIRUS.EXE creates a temporary file while operating)
59. > 3) Type
60. >
61. > unvirus c:<cr>
62. >
63. > 4) And boom ... out went the virus!!
64. > The program is free of charge, as you can see in the introduction
65. > Bye.  Shlomo
66.  
67. Since I know nothing about viruses, and a bit about WordPerfect, I cannot
68. vouch for the UNVIRUS program.  I did decode it and run it according to
69. instructions, but since I do not have the virus, the UNVIRUS program
70. reported my hard drive was clean.  During operation, I noted that the
71. UNVIRUS program examined all subdirectories of my drive and quickly
72. flashed through all .EXE files.
73. In a separate file I am also posting the UNVIRUS.UUE file which I received
74. from my friend at Tel Aviv University, a user of WordPerfect 4.2.  He is
75. also not a virus "maven." I take no responsibility for the outcome of
76. UNVIRUS.EXE, but I do hope it solves this problem.
77.  
78. Ronald Kiener                                RKIENER@TRINCC.BITNET
79. Trinity College, Hartford, CT
80.  
81. ------------------------------
82.  
83. Date: Sat, 17 Jun 89  10:50:06 CST
84. From: Acrc014@UNLCDC3
85. Subject: virus spreading modes
86.  
87.   This is my first posting on VIRUS-L and these are some of my scattered
88. thoughts.  They may have been discusses before, but I have not read all
89. of the back issues as of yet.
90.   The Trojan horse approach can be triggered by dates.  Has there ever
91. been one that activated by finding a seperate program.
92. An example of this would be a GIF shower triggered by a certain GIF
93. picture.
94.   Has there ever been code written so that the same effect (harmful or not)
95. appeared on more then one type of machine (I know it would take different
96. programs).  There has been discussion of hos >[Dw
97. a software company would "never" write a virus to be activated by a
98. competitor's program.  This I agree with, but with the reservation
99. that an individual might try and duplicate the effect.  If they were
100. ambitious and knowledgable, they could try and do it on a program that
101. had become popular enough to spread across machine boundaries.
102.   On the issue of legality, how vulnerable are the people who put up
103. technical information about bugs in systems.  A hacker (virus writer)
104. might by hard to find and prosecute.  But if a virus is based on such
105. information, the source author would be east to find (easy to find).
106.  
107. ------------------------------
108.  
109. Date:    Mon, 19 Jun 89 09:59:38 EST
110. From:    Margie Rogis <MDR100T@ODUVM.BITNET>
111. Subject: Virus policy
112.  
113. Here at Old Dominion University, our internal auditors have asked that a
114. virus policy be adopted.  We are forming a working group, composed of a
115. mainframe systems person, pc/lab person, and academic services person.
116.  
117. I joined this list in the hopes of learning from those who have gone
118. before!  I am seeking any advice, or policies set up by other
119. institutions which could help us define our own.
120.  
121. I suppose we would like to address prevention, detection, and recovery, as
122. well as procedures for dealing with anyone caught trying to infect any
123. of our systems.
124.  
125. Any responses would be GREATLY appreciated.
126.  
127. ------------------------------
128.  
129. Date:  Mon, 19 Jun 89 10:55 EDT
130. From:  WHMurray@DOCKMASTER.ARPA
131. Subject:  Mainframe Vulnerability
132.  
133. >  He [Harold Joseph Highland] indicated large systems could be
134. >infected more easily than was
135. >commonly believed.  In particular, he said a glaring weakness existed
136. >in Communications Monitoring System (CMS) version 4 for IBM's MVS
137. >operating system where a dangerous virus could be introduced by simply
138. >programming 16 lines of code.
139.  
140. Since this problem has been referred to several times, a little
141. background might be useful.
142.  
143. The "weakness" referred to was in a spool handling program shipped
144. as part of VM/SP, not MVS.  In early VM systems, spool objects were
145. "card images" containing only one CMS named object per spool object.
146. Later a "disk image" spool object was added.  This disk image could
147. contain more than one CMS object per spool object.
148.  
149. A user, looking at his in-spool queue, or READER, would see as the
150. name of the spool object only the name of the first CMS object in
151. the spool object.  Unless he scanned, or PEEKed, the object in the
152. spool before reading it in, he might read in a CMS object that he
153. did not know about.
154.  
155. HJH may call it a glaring weakness if he likes.  It seems to me that
156. the problem was that it did not "glare" enough.  Indeed, it was
157. quite subtle, but it might have made it likely for someone to read
158. into his virtual machine a named data object that he had not seen in
159. his reader.  Such an object could have been "an armed warrior" in a
160. gift horse.
161.  
162. I call it a reasonable design choice, at least at the time that the
163. choice was made.
164.  
165. IBM made a change in Rel.  5 to protect a naive user from his own
166. behavior.  It did so at the expense of a performance hit and a
167. useability hit to all users.  It made the change on its own
168. initiative.  If memory serves me correctly, there were no complaints
169. from customers about the the condition.  On the other hand, there
170. were a number of questions raised about the performance implications
171. of the change.  Had IBM not made the change, it is unlikely that HJH
172. would know anything of the exposure.
173.  
174.  
175. [I am retired from IBM and receive a small income from them.  In return
176. for that income, I owe them nothing in comparison to what I owe the
177. truth.]
178.  
179. William Hugh Murray, Fellow, Information System Security, Ernst & Whinney
180. 2000 National City Center Cleveland, Ohio 44114
181. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
182.  
183. ------------------------------
184.  
185. Date:     Mon, 19 Jun 89 11:51 EDT
186. From:     John McMahon - NASA GSFC ADFTO - <FASTEDDY@DFTBIT.BITNET>
187. Subject:  Large computer problems...
188.  
189. A few comments on the latest issue of VIRUS-L...
190.  
191. ***> From:    Ken  De Cruyenaere <KDC%ccm.UManitoba.CA@CUNYVM.CUNY.EDU>
192. ***>
193. ***> He indicated large systems could be infected more easily than was
194. ***> commonly believed.  In particular, he said a glaring weakness existed in
195. ***> Communications Monitoring System (CMS) version 4 for IBM's MVS operating
196. ***> system where a dangerous virus could be introduced by simply programming
197. ***> 16 lines of code.
198.  
199. Well, the problem I see here (although I may be wrong also) is the
200. perennial problem of the media getting their facts straight (or lack of
201. proper verification).  I thought CMS was the "Conversational Monitor
202. System" and ran under the IBM VM (Virtual Machine) operating system, not
203. MVS.
204.  
205. My favorite media confusion story is when a newspaper in a college town
206. near here blamed the failure of the local ATMs on the release of a
207. computer virus...  The virus in question was the Internet Worm.  What
208. really happened ?  Backhoe Bill plowed through one of the main phone
209. circuits into town, and the ATMs couldn't reach their home offices to
210. verify transactions.
211.  
212. I think there is a need to promote computer literacy in the media...
213.  
214. ***> From:    ZDEE699@ELM.CC.KCL.AC.UK
215. ***>
216. ***> I agree with Ken that there should be more discussions on network
217. ***> security issues. I joined the discussion list in November 88, on the
218. ***> exact day when the RTM virus struck the internet community, and most of
219. ***> the talk was about networks. Nowadays, it looks like the list has gone
220. ***> to microcomputer-based viruses discussions...
221.  
222. I too joined the discussion after a major "big machine" event.  In my
223. case it was the SPAN/HEPnet Father Xmas Worm.  The PC stuff is nice, and
224. I find a few raw bits in their that is useable...  but I am more
225. concerned about my big machines, and the WANs they are connected to.
226.  
227. ***> Coming back to network security, here is the question:
228. ***> " Would another major disaster like the November 1988 Internet Worm be
229. ***> possible now, more than 6 months later ? "
230.  
231. Probably...  but I doubt we will see another "big" event real soon.
232. However, there are probably "small" events which happen every day out on
233. the network that noone ever catches.
234.  
235. For example...  This mail message claims to be from
236. FASTEDDY@DFTBIT.BITNET... but did I (being the owner of that account)
237. really write it ?  Could you verify it if you had to ?  If I didn't
238. write it, could you figure out who did ?  What is the risk of having an
239. unsecured network mail system ?
240.  
241. Just some food for thought...
242. +------------------------------------+----------------------------------------+
243. |John "Fast Eddie" McMahon           |    Span: SDCDCL::FASTEDDY (Node 6.9)   |
244. |Advanced Data Flow Technology Office|    Arpa: FASTEDDY@DFTNIC.GSFC.NASA.GOV |
245. |Code 630.4 - Building 28/W255       |  Bitnet: FASTEDDY@DFTBIT               |
246. |NASA Goddard Space Flight Center    |GSFCmail: JMCMAHON                      |
247. |Greenbelt, Maryland 20771           |   Phone: x6-2045                       |
248. +------------------------------------+----------------------------------------+
249.  
250. ------------------------------
251.  
252. Date:    MON 19 JUN 1989 19:38:00 EDT
253. From:    IA96000 <IA96@PACE.BITNET>
254. Subject: Saveinfo.exe (PC)
255.  
256. I just downloaded a program named safeinfo.exe from a bbs
257. at (201)473-1991. safeinfo (tm) is a trademark of
258. safeware (TM) incorporated. the program is a clone of norton's
259. sysinfo with more features.
260.  
261. what makes it worthy of mention here is the fact that safeware (TM)
262. runs an internal test upon itself each and every time it is loaded.
263.  
264. this test checks a crc as well as the file length of the particular
265. safeware (tm) product being run. if  >> any << changes have been
266. made since it was compiled, execution stops and the user is then
267. informed of the change that was made.
268.  
269. i tested it, and any changes made to the file are picked up and
270. reported as claimed. The full documentation is not included with
271. safeinfo (TM) but i managed to speak to the author and the here is
272. a capsule of what was discussed, with his permission.
273.  
274. safeware (TM) is a unique new concept in shareware. all safeware (TM)
275. products run safeware's (TM) proprietary selftest (TM) module as soon
276. as they are loaded.
277.  
278. selftest (TM) checks the file and only lets execution proceed if the
279. file has not been altered in any way since it was compiled.
280.  
281. any change made is immediately picked up and reported
282.  
283. ------------------------------
284.  
285. Date:    20-JUN-1989 12:38:20 GMT
286. From:    ZDEE699@ELM.CC.KCL.AC.UK
287. Subject: Robert T. Morris suspended from Cornell
288.  
289. I was surprised that these news were not forwarded to VIRUS-L.
290.  
291. Message forwarded from RISKS-FORUM digest 8.74 with authorisation from
292. Dave Curry (davy@riacs.edu).
293.  
294. forwarded message:
295.  -------------------------
296. Original-Date: Thu, 25 May 89 18:49:38 -0700
297. Original-From: davy@riacs.edu
298. Original-Subject: Robert T. Morris suspended from Cornell
299.  
300. Taken from San Jose Mercury News, 5/25/89 (From the New York Times)
301.  
302.   Cornell University has suspended the graduate student identified by school
303. officials as the author of [the Internet worm].
304.   In a May 16 letter to Robert Tappan Morris, 23, the dean of the Cornell Uni-
305. versity Graduate School said a university panel had found him guilty of vio-
306. lating the school's Code of Academic Integrity.
307.   He will be suspended until the beginning of the fall semester of 1990, and
308. then could reapply.
309.   No criminal charges have been filed against Morris.  A federal grand jury
310. this year forwarded its recommendations to the Justice Department, which has
311. not taken any action.   [....]
312. - -------------------------
313. end of forwarded message.
314.  
315. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
316. |Olivier M.J. Crepin-Leblond                         | - If no-one can do it  |
317. |JANET   : <zdee699@uk.ac.kcl.cc.elm>                |   then do it yourself  |
318. |BITNET  : <zdee699%elm.cc.kcl.ac.uk@ukacrl>         | - If you can't do it,  |
319. |INTERNET: <zdee699%elm.cc.kcl.ac.uk@uk.ac.nsfnet-relay>| then  P A N I C ! ! |
320. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
321.  
322. ------------------------------
323.  
324. End of VIRUS-L Digest
325. *********************
326. Downloaded From P-80 International Information Systems 304-744-2253
327.