home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.150

< prev

next >

Wrap

Text File  |  1995-01-03  |  23KB  |  536 lines

---

1. VIRUS-L Digest   Wednesday, 12 Jul 1989    Volume 2 : Issue 150
2.  
3. Today's Topics:
4. Antique Systems and Vaccine (Mac)
5. Icelandic virus
6. German DOS62 Virus
7. Macintosh system folder looks suspect
8. Comments on SENTRY and VIRUSCAN
9. on protecting Appleshare (Mac - from comp.sys.mac)
10. IEEE code of ethics and computer viruses
11. RE: nVir and Scores on Appletalk
12.  
13. [Ed. Sorry about the overwhelming quantity of mail, folks, but I have
14. quite a backlog now that we're back on-line (read: if you think
15. *YOU'VE* got it bad, you should see my inbox!). :-) ]
16.  
17. ---------------------------------------------------------------------------
18.  
19. Date:    Sat, 08 Jul 89 08:19:21 -0400
20. From:    Joe McMahon <XRJDM@SCFVM.BITNET>
21. Subject: Antique Systems and Vaccine (Mac)
22.  
23. System 3.2 (which Mac 128K users are probably running) does not support
24. cdev's. To get Vaccine protection, it is necessary to do the following:
25.  
26. 1) Copy your startup disk.
27. 2) Boot the disk containing ResEdit, and open the Vaccine file. Copy
28.    everything except the BNDL and cdev resources.
29. 3) Open the System file on the copy of the startup disk.
30. 4) Paste.
31.  
32. Reboot with the copy of the startup disk. To verify installation, run an
33. infected application, or run the "System Update" program. Either should
34. get violations. The dialogs will not show the file name properly,
35. however.
36.  
37. Disclaimer: I didn't have a 128K machine to try this on; I tested it on
38. a Plus running 3.2 and had no trouble.
39.  
40.   --- Joe M.
41.  
42. ------------------------------
43.  
44. Date:    Mon, 10 Jul 89 14:52:48 +0000
45. From:    Fridrik Skulason <frisk%RHI.HI.IS@ibm1.cc.lehigh.edu>
46. Subject: Icelandic virus
47.  
48. Some time ago I reported a new virus, the Icelandic "disk-crunching" virus. I
49. have now finished disassembling it, and a report follows ("Brunnstein"-format)
50.  
51.  
52.                 frisk@rhi.hi.is
53. or
54.                 ...mcvax!hafro!rhi!frisk
55.  
56. - ------ Computer Virus Catalog 1.1: "Icelandic"   July 8, 1989 --------
57.  
58. Entry...............: "Icelandic disk-crunching virus"
59. Alias(es)...........: One-in-ten, Disk-eating virus
60. Virus Strain........:
61. Virus detected when.: Mid-June '89
62.               where.: Iceland
63. Classification......: .EXE file infecting virus/Extending/Resident
64. Length of Virus.....: 1. 656-671 bytes added to file
65.                       2. 2048 bytes in RAM
66.  
67. - --------------------- Preconditions -----------------------------------
68.  
69. Operating System(s).: MS-DOS
70. Version/Release.....: 2.0 or higher
71.  
72. Computer model(s)...: IBM PC,XT,AT and compatibles
73.  
74. - --------------------- Attributes -------------------------------------
75.  
76. Identification......: .EXE Files: Infected files end in 4418 5F19 (hex).
77.                       System: Byte at 0:37F contains FF (hex)
78.  
79. Type of infection...: Extends .EXE files. Adds 656-671 bytes to the end of
80.                       the file. Length MOD 16 will always be 0.
81.                       Stays resident in RAM, hooks INT 21 and infects other
82.                       programs when they are executed via function 4B. It will
83.                       remove the Read-Only attribute if necessary. .COM files
84.                       are not infected.
85.  
86. Infection Trigger...: Every tenth program run is checked. If it is an
87.                       uninfected .EXE file it will be infected.
88.  
89. Storage media affected: None
90.  
91. Interrupts hooked...: INT 21
92.  
93. Damage..............: If the current drive is a hard disk larger than 10M
94.                       bytes, the virus will select one cluster and mark it
95.                       as bad in the first copy of the FAT. Diskettes and 10M
96.                       byte disks are not affected.
97.  
98. Damage Trigger......: The damage is done whenever a file is infected.
99.  
100. Particularities.....: The virus modifies the MCBs in order to hide
101.                       from detection. It will not be activated if INT 13
102.                       contains something other than 0070:xxxx or F000:xxxx
103.                       when an infected program is run.
104.  
105. Similarities........: None.
106.  
107. - --------------------- Agents ------------------------------------------
108.  
109. Countermeasures.....: All programs which check for .EXE file length changes
110.                       will detect infections.
111.  
112.                       Any virus prevention program that changes INT 13 will
113.                       prevent the activation of the virus.
114.  
115.                       F-SYSCHK (by the author of this article) will detect
116.                       the system infection.
117.  
118.                       F-FCHK will identify infected files.
119.  
120. Countermeasures successful: See above.
121.  
122. Standard means......: Use DEBUG to check the byte at 0:37F.
123.                       Running any program which stays resident and modifies
124.                       INT 13 (like PRINT) will prevent the virus from being
125.                       activated.
126.  
127. - --------------------- Acknowledgement ---------------------------------
128.  
129. Location............: University of Iceland/Computing Services
130. Classification by...: Fridrik Skulason  (frisk@rhi.hi.is)
131. Documentation by....: Fridrik Skulason
132. Date................: July 8, 1989
133. Information Source..:
134. - --------------------------End of "Icelandic"-Virus---------------------
135.  
136. ------------------------------
137.  
138. Date:    Tue, 04 Jul 89 20:12:13 -0700
139. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
140. Subject: German DOS62 Virus
141.  
142.         The virus reported by Chris Fischer is clearly the DOS62
143. virus.  This virus will replace the firts five bytes of every eighth
144. infected file with the system initialization routine.  Clearly,
145. COMMAND.COM was the eighth file infected within his system - hence at
146. power-on the system will continuously cycle through the re-boot
147. sequence.  We have had numerous reports of similar synptoms from this
148. virus.
149.  
150. Alan Roberts
151. HomeBase/CVIA 408 988 4004
152.  
153. ------------------------------
154.  
155. Date:    Wed, 12 Jul 89 11:52:48 -0500
156. From:    Lee Brannon <CCREBEL@INDST.BITNET>
157. Subject: Macintosh system folder looks suspect
158.  
159.      Hello,
160.  
161. I am a Mac user who has already run across two virus programs on my
162. system, and I now suspect that I may have found a third. Any of you
163. who are using a macinto sh and have come across the following symptons
164. please drop me a line (especiall y if you know the cause):
165.  
166.                      Like the scores virus...My System, Finder, Clipboard
167.                      and scrapbook icons have changed.
168.  
169.                      Unlike the scores virus...they have changed to better
170.                      drawings of the mac plus with shaded screens
171.  
172. I have run several detection programs which do not show anything
173. wrong, but it is beginning to get on my nerves.
174.  
175. There maybe something other than a virus making the change, but I
176. really would like to know what?
177.  
178.                        Thank you in advance..... CCREBEL at INDST
179.  
180. ------------------------------
181.  
182. Date:    Mon, 10 Jul 89 21:12:36 -0000
183. From:    A.SIGFUSSON@ABERDEEN.AC.UK
184. Subject: Comments on SENTRY and VIRUSCAN
185.  
186. Hi out there,
187.  
188. I am new on this list, although I have followed the
189. discussions on the Lancaster Pdsoft archives, and I have
190. two points which I would like to raise.
191. After being hit by the Brain virus I decided to get some
192. protection and after reading both the VIRUS-L and some
193. reviews on protection software I decided to go for
194. SENTRY.  It seems to work fine except for the CONFIG.SYS
195. file.  The manual claims that sentry would pick up if you
196. added or changed a device driver but it did not when I
197. tried it.  Another thing about SENTRY is that the manual
198. does not state clearly enough for the novice PC user that
199. you have to reinstall SENTRY when you add a new .COM,
200. .EXE or .SYS file to your disk.  If this is not made
201. clear people who are not aware of this might be led to
202. think they are safe when they are not.
203. I also got a copy of VIRUSCAN which has been discussed
204. here recently.  When I tried it on few diskettes I
205. noticed that the program told me that they all had
206. same number of directories and files.  On inspection I
207. found that this was not the case.  For some reason if you
208. scan few diskettes, one after another, the program always
209. thinks it is reading the first one.  Only if you do
210. something like "A:>DIR" after inserting a new diskette
211. for scanning does the program do it properly.  I suspect
212. that if the first disk only contains 1 or 2 files the
213. remaining disks will not be scanned properly because I
214. found that my DOS disk, which contains lots of files took
215. a very short time if scanned following a disk with only 2
216. files on.
217. I wanted to point these two things out because lots of PC
218. users could be given false security by protection
219. programs if their use and function is not properly
220. explained.
221.  
222.  
223. Best wishes,
224.  
225. Arnor Sigfusson
226.  
227. ------------------------------
228.  
229. Date:    Tue, 11 Jul 89 11:55:13 -0000
230. From:    The Heriot-Watt Info-Server <infoadm@CS.HW.AC.UK>
231. Subject: on protecting Appleshare (Mac - from comp.sys.mac)
232.  
233. [Ed. The following is a discussion taken from comp.sys.mac regarding
234. the protection of Appleshare file servers from viruses.]
235.  
236. From: mmccann@hubcap.clemson.edu (Mike McCann)
237. Newsgroups: comp.sys.mac
238. Subject: Virus Protection for AppleShare File Servers?
239. Date: 9 Jul 89 07:00:29 GMT
240. Organization: Clemson University, Clemson, SC
241. Lines: 14
242.  
243. How does one protect the AppleShare file server from viruses?  Will
244. running Vaccine on it work?  Or will the dialog box produced upon
245. detection of a virus hang the server?
246.  
247. Also as a new administrator of a small AppleShare network, any other
248. helpful hints will be welcomed.
249.  
250. Thanks for the help,
251.  
252. Mike McCann       (803) 656-3714   Internet = mmccann@hubcap.clemson.edu
253. Poole Computer Center (Box P-21)       UUCP = gatech!hubcap!mmccann
254. Clemson University                   Bitnet = mmccann@clemson.bitnet
255. Clemson, S.C. 29634-2803         DISCLAIMER = I speak only for myself.
256.  
257.  
258. From: mithomas@bsu-cs.bsu.edu (Michael Thomas Niehaus)
259. Newsgroups: comp.sys.mac
260. Subject: Re: Virus Protection for AppleShare File Servers?
261. Date: 10 Jul 89 05:06:56 GMT
262. Organization: CS Dept, Ball St U, Muncie, IN, USA
263.  
264. In article <5956@hubcap.clemson.edu>, mmccann@hubcap.clemson.edu (Mike McCann)
265.  writes:
266. > How does one protect the AppleShare file server from viruses?  Will
267. > running Vaccine on it work?  Or will the dialog box produced upon
268. > detection of a virus hang the server?
269.  
270. I debated this with myself before, and came to this conclusion:  You do not
271. need to protect an AppleShare File Server from viruses.  How can I make such
272. a statement?  Well, install the AppleShare software and maybe the
273. Print Server software as well.  Use something like Virus Rx and make sure
274. that you did not install a virus (very unlikely if you are using original,
275. locked disks).
276.  
277. Now that your software is installed, you are safe because *THAT IS THE
278. ONLY SOFTWARE EVER RUN* from the server.  All of the other files on the
279. network are data files.  Viruses cannot be spread from these data files.
280. Now, if you were to shut down your server, boot with another disk, and run
281. some of the software that is on that server's disk *ON THE SAME SERVER
282. MACHINE* then you could infect the server.  But, I recommend against
283. doing this.
284.  
285. The stations on the network that are using the software from the servers
286. are the ones that need to be protected.  If one of them put a virus in one
287. of the oft-used applications on the server, it would spread to all of the
288. stations in a matter of days (or less).  But since the server never runs
289. this software, it will remain unscathed.
290.  
291. > Also as a new administrator of a small AppleShare network, any other
292. > helpful hints will be welcomed.
293.  
294. Put your applications in locked folders so that viruses cannot be installed
295. into them.  Put Vaccine or something like it on all of the workstation's
296. system disks.  Check the workstation disks regularly.
297.  
298. > Mike McCann       (803) 656-3714   Internet = mmccann@hubcap.clemson.edu
299. > Poole Computer Center (Box P-21)       UUCP = gatech!hubcap!mmccann
300. > Clemson University                   Bitnet = mmccann@clemson.bitnet
301. > Clemson, S.C. 29634-2803         DISCLAIMER = I speak only for myself.
302.  
303. - -Michael
304.  
305. - --
306. Michael Niehaus        UUCP: <backbones>!$iuvax,pur-ee*!bsu-cs!mithomas
307. Apple Student Rep      ARPA:  mithomas@bsu-cs.bsu.edu
308. Ball State University  AppleLink: ST0374 (from UUCP: st0374@applelink.apple.com
309. )
310.  
311.  
312. From: chris@accuvax.nwu.edu (Chris Krohn)
313. Newsgroups: comp.sys.mac
314. Subject: Re: Virus Protection for AppleShare File Servers?
315. Message-ID: <852@accuvax.nwu.edu>
316. Date: 10 Jul 89 17:14:04 GMT
317. Organization: Northwestern Univ. Evanston, Il.
318. Lines: 84
319.  
320. In article <8148@bsu-cs.bsu.edu> mithomas@bsu-cs.bsu.edu (Michael Thomas
321.  Niehaus) writes:
322.  
323. ##> How does one protect the AppleShare file server from viruses?  Will
324. ##> running Vaccine on it work?  Or will the dialog box produced upon
325. ##> detection of a virus hang the server?
326. ##
327. ##I debated this with myself before, and came to this conclusion:  You do not
328. ##need to protect an AppleShare File Server from viruses.
329.  
330.     Having been an AppleShare net administrator for a couple years, and
331. having witnessed several viral infections on various types of server
332. configurations, I must strongly disagree with this statement.
333.  
334. ##How can I make such
335. ##a statement?  Well, install the AppleShare software and maybe the
336. ##Print Server software as well.  Use something like Virus Rx and make sure
337. ##that you did not install a virus (very unlikely if you are using original,
338. ##locked disks).
339.  
340.     Nevertheless, it can happen.  For example, Adobe shipped many copies
341. of it's popular Illustrator program complete with a virus.  Even if you
342. did use the orginal, locked disks, you were still vulnerable to infection.
343.  
344. ##Now that your software is installed, you are safe because *THAT IS THE
345. ##ONLY SOFTWARE EVER RUN* from the server.
346.  
347.     Well, the server system *itself* is safe, but (as you point out
348. below) the client workstations are not.
349.  
350. ##All of the other files on the
351. ##network are data files.  Viruses cannot be spread from these data files.
352.  
353.     Not true.  The Init29 virus, for example, will infect data files
354. as well as applications.
355.  
356. ##Now, if you were to shut down your server, boot with another disk, and run
357. ##some of the software that is on that server's disk *ON THE SAME SERVER
358. ##MACHINE* then you could infect the server.  But, I recommend against
359. ##doing this.
360.  
361.     I agree with this.  If you do need to do this, (run a disk
362. optimization package or partition utility or something), make sure you
363. have Vaccine installed and turned on for the system disk which you use
364. to boot the machine.
365.  
366.  
367. ##The stations on the network that are using the software from the servers
368. ##are the ones that need to be protected.  If one of them put a virus in one
369. ##of the oft-used applications on the server, it would spread to all of the
370. ##stations in a matter of days (or less).  But since the server never runs
371. ##this software, it will remain unscathed.
372.  
373.  
374. ##Put your applications in locked folders so that viruses cannot be installed
375. ##into them.  Put Vaccine or something like it on all of the workstation's
376. ##system disks.  Check the workstation disks regularly.
377. ##
378.  
379.     This is excellent advice.  This will not necessarily protect you
380. from spreading viruses off the server, but will do a good job.  It is
381. necessary to check the workstation disks regularly, as people often will
382. turn vaccine off, or delete it, or whatever.  Additionally, do what you can
383. to ensure your users are educated about viruses, because even if Vaccine
384. is installed, they may not understand what is going on, and may through
385. ignorance allow a virus to spread.
386.  
387.     Certain software packages will not run in locked folders, however.
388. (E.G.  FileMaker II, CricketDraw, WriteNow 1.0) and are therefore always
389. vulnerable.  The only real solution is not to allow such software packages
390. to be installed on the file server, but this may not be possible.
391.  
392.     Because no virus prevention technique is foolproof, you will *always*
393. be in danger of viral infections.  Check your server with a virus detection/
394. removal program like Disinfectant on a regular basis.
395.  
396.  
397. ##Michael Niehaus        UUCP: <backbones>!$iuvax,pur-ee*!bsu-cs!mithomas
398. ##Apple Student Rep      ARPA:  mithomas@bsu-cs.bsu.edu
399. ##Ball State University  AppleLink: ST0374 (from UUCP:
400.  st0374@applelink.apple.com)
401.  
402.  
403. Chris Krohn
404. Academic Computing and Network Services
405. Northwestern University
406.  
407. From: johnroc@ucsco.UCSC.EDU (John Rocchio)
408. Newsgroups: comp.sys.mac
409. Subject: AppleShare and virus
410. Date: 10 Jul 89 18:10:13 GMT
411. Organization: UCSC Computing and Telecommunications Services
412. Lines: 26
413.  
414. Here is some info I retrived from AppleLink:
415.  
416.  
417. AppleShare Security: How Secure Against Viruses Is It?
418.  
419. This article last reviewed: 23 March 1989
420.  
421. Q: How secure is AppleShare from viruses? Users recognize the threat to
422.    folders where others have write access and the ability to affect others
423.    using applications contained in those folders, but what about the Server
424.    Folder itself? Is the running of VACCINE on an AppleShare server
425.    indicated? Is there something better?  Is it possible to issue low-level
426.    I/O calls (PBWrite and lower?) to server volumes (bypassing any AppleShare
427.    built-in security) from other Macintosh systems on the network?
428.  
429. A: The AppleShare server folder itself is quite secure when the
430.    server is running. Is it not accessible by any system call, whether
431.    high-level or low-level. A virus would only be able to attack folders
432.    and files that it has access to. It is not necessary or recommended to
433.    install Vaccine in the Server folder on the AppleShare server. If the
434.    server is running at the Finder level, it is just as susceptible to
435.    viruses as any system.
436.  
437. Copyright 1989 Apple Computer, Inc.
438.  
439. disclaimer disclaimer disclaimer disclaimer disclaimer disclaimer disclaimer...
440.  
441. ------------------------------
442.  
443. Date:    Wed, 12 Jul 89 14:38:26 -0400
444. From:    Mark Paulk <mcp@SEI.CMU.EDU>
445. Subject: IEEE code of ethics and computer viruses
446.  
447. An article in the Computer Society News section of IEEE Computer,
448. July, 1989, pp. 83-84, discusses a draft position paper on software
449. vandalism, specifically computer viruses.  I had some comments, which
450. I mailed to the acting chair of the Committee on Public Policy:
451.  
452. Ralph J. Preiss
453. 12 Colburn Drive
454. Poughkeepsie, NY  12603
455.  
456. I think the article, and possibly my comments, will be of interest to
457. the VIRUS-L readers.  Letter text follows:
458.  
459. - - -------
460.  
461. I have just finished reading the article in the July 1989 issue of
462. IEEE Computer on the code of ethics and computer viruses position
463. paper.  First, let me compliment your group on their statement.  It
464. seems so obvious what the correct ethical position with regard to
465. these issues is, yet I have communicated with all too many "unethical"
466. people where computer viruses and Trojan horses are concerned.  I
467. support having the IEEE take a very clear and explicit stand in these
468. matters.
469.  
470. I have a minor interest in these matters.  Although not of direct
471. professional interest, I just gave a presentation on "Computer Fauna:
472. Viruses, Worms, and Trojan Horses" where I discussed the differences
473. between these entities.  I have some qualms about the definitions
474. given in the sidebar.
475.  
476. The second sentence in the definition of a "worm" is an overstatement.
477. Although worm programs @i(may) overlay or erase other programs or
478. data, in the original work with worm programs by J.F. Shoch and J.A.
479. Hupp ("The 'Worm' Programs - Early Experience with a Distributed
480. Computation," Communications of the ACM, Vol. 25, No. 3, March, 1982,
481. pp. 172-180) the worm model is "a program or a computation that can
482. move from machine to machine, harnessing resources as needed, and
483. replicating itself when necessary" aka distributed computation, a
484. program which spans machine boundaries.  They quote the science
485. fiction writer John Brunner: a worm adds to itself; a phage wipes out
486. (Shockwave Rider).
487.  
488. The same problem of assuming malicious behavior holds with viruses.
489. In Cohen's work, he gives an example of a beneficient "compression" virus.
490. Although I agree that for all practical purposes, there are no benign
491. viruses, worm programs hold a great deal of promise as a distributed
492. computing technology.
493.  
494. The two different definitions of computer virus are also problematic.
495. Computer virus-A seems to be an attempt to address programs such as
496. the Christmas worm which propagate by the (inadvertent) action of humans.
497. This is NOT a computer virus.  Terms which have been used for this
498. class of programs includes "rabbit" and "bacterium," although the emphasis
499. tends to be on denial of service rather than the infection mechanism.
500. I think the Trojan horse definition covers the class of program
501. described adequately.
502.  
503. Computer virus-B is a "reasonable" virus definition, although I have some
504. slight qualms about the assumption of malicious instructions as mentioned
505. earler.
506.  
507. Good definitions for these classes of programs are rather nebulous at
508. this time, and there are a number of candidates running around.  Most
509. notably Fred Cohen and Peter Freeman have supplied readily available
510. definitions, although there are no rigorous ones yet.  The discussions
511. on the VIRUS-L (Comp.virus) group, moderated by Ken van Wyk, covers
512. this ground now and again.  I might suggest that you solicit some
513. discussion from the group.  I will take the liberty of cross-posting
514. this missive to direct attention to the article.
515.  
516. All in all, my compliments.  Keep up the good work.
517.  
518. ------------------------------
519.  
520. Date:    Wed, 05 Jul 89 13:05:00 -0400
521. From:    <ACSAZ@SEMASSU.BITNET>
522. Subject: RE: nVir and Scores on Appletalk
523.  
524.                                             ACSAZ@SEMASSU,  5-JUL-1989
525.  
526.     To the best of my knowledge and experience, nVir and Scores do not
527. spread over appletalk.  At least they didn't spread over ours.
528.  
529.                                    Alex Z... . .  .
530.  
531. ------------------------------
532.  
533. End of VIRUS-L Digest
534. *********************
535. Downloaded From P-80 International Information Systems 304-744-2253
536.