home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.158

< prev

next >

Wrap

Text File  |  1995-01-03  |  22KB  |  493 lines

---

1. VIRUS-L Digest   Monday, 24 Jul 1989    Volume 2 : Issue 158
2.  
3. Today's Topics:
4.  
5. virus sociology
6. Computer security report available
7. the CHRISTMA EXEC on BITNET and VNET (IBM VM/CMS)
8. resource fork viruses (Apple II)
9. Re:What kind of virus is this ? (PC)
10. Virus Encyclopedia (Was Re: INIT29 and data files (Mac))
11. Ping Pong Virus (PC)
12. Re: Request for boot sector information (PC)
13. safeware (PC)
14. Still on viruscan (PC)
15. Re: query re: VIRUSCAN program availability (PC)
16. Re: new network-virus group?
17. Re: VIRUSCAN tested (PC)
18.  
19. ---------------------------------------------------------------------------
20.  
21. Date:    21 Jul 89 20:10:28 +0000
22. From:    mrc@Tomobiki-Cho.CAC.Washington.EDU (Mark Crispin)
23. Subject: virus sociology
24.  
25.      I've been reading this newsgroup for a while now, and have come
26. to speculate about whether or not the situation is going to become
27. self-perpetuating.  That is, I'm sure that the human scum who write
28. viri are doing so for the same reasons that any act of vandalism is
29. committed.  The motivations of attention getting and of maliciously
30. hurting innocent (and often unknown) people are common to all vandals.
31.  
32.      The question is: can we speculate that many, if not most, of this
33. scum reads (and perhaps participates) in this newsgroup?  Isn't the
34. effort of cataloging all the viri egging the scum on to greater
35. efforts?
36.  
37.      The next question is: how much effort should we be putting into
38. getting the vendors of various machines and operating systems to
39. design their software to be virus-proof as opposed to writing new
40. virus detectors/fixers?  Let's face it, the current generation of
41. personal computers have non-existant security not only from viri but
42. also from user screwups.
43.  
44. Mark Crispin / 6158 Lariat Loop NE / Bainbridge Island, WA 98110-2020
45. mrc@CAC.Washington.EDU / MRC@WSMR-SIMTEL20.Army.Mil / (206) 842-2385
46. Atheist & Proud / 450cc Rebel pilot -- a step up from 250cc's!!!
47.  
48. ------------------------------
49.  
50. Date:    Fri, 21 Jul 89 16:27:04 -0400
51. From:    Stephen Wolff <steve@note.nsf.gov>
52. Subject: Computer security report available
53.  
54. COMPUTER SECURITY: Virus Highlights Need for Improved Internet Management
55. (GAO/IMTEC-89-57) is the first U.S. General Accounting Office report that
56. has been made available on a wide-area computer network.  The report is
57. particularly relevant to Internet users -- it examines Internet security
58. and vulnerability to issues and factors relating to the the prosecution of
59. virus crimes.
60.  
61.      **************************************************************
62.      *   This is the first GAO report to be made available over   *
63.      *   the Internet.  GAO wants to know how many people         *
64.      *   acquire the report this way.  If you do, please send     *
65.      *   mail to me <swolff@nsf.gov> and I'll keep count for      *
66.      *   them.  Your name will not be saved or used.              *
67.      **************************************************************
68.  
69. The report is available by anonymous ftp from the NSF Network Service
70. Center on host nnsc.nsf.gov <128.89.1.178> in directory pub, from the NSF
71. Information Services host nis.nsf.net <35.1.1.48> in directory nsfnet, and
72. on host umd5.umd.edu <128.8.10.5> in directory pub.  In all cases, log in
73. as user anonymous, with password guest. The file is about 104 kilobytes.
74.  
75. If you would prefer a printed copy, send me your mailing address and GAO
76. will post one to you directly.
77.  
78. ------------------------------
79.  
80. Date:    21 Jul 89 13:46:11 -0500
81. From:    <U27745%UICVM.BITNET@VMA.CC.CMU.EDU>
82. Subject: the CHRISTMA EXEC on BITNET and VNET (IBM VM/CMS)
83.  
84. At the time of the CHRISTMA EXEC I was a student mainframe consultant.
85. and I don't recall BITNET being crippled by this program.
86.  
87. 2 copies of the program were sent to my reader and i just ignored
88. them.  Later when I had the time to look at them I went to my reader and
89. Voila, they were gone!  I asked my boss what happened to the files.
90. He ran a program that went thru the system and removed all copies of
91. the program from every one's reader and minidisk.  He took this a bit
92. further by having RSCS ( VM's communication server ) purge all files
93. going though our node named CHRISTMA EXEC.
94.  
95. I've heard that VNET was crippled by the CHRISTMA EXEC.
96. I've heard that IBM actually had to shut down
97. thier RSCS servers and then purge the files from each machine.
98. They have since done 2 things ( that I know of) to prevent future
99. instances.
100.  
101. First off, when one receives an EXEC from their reader
102. the filetype is changed from EXEC to CEXE to prevent execution
103. of the program.
104. Secondly, it is now very hard to get files/mail into VNET.
105. I've been trying for sometime to find a route for BITNET<->VNET
106. and haven't been successful. (( any help with this would be greatly
107. appreciated!! ))
108.  
109. As a sidebar, the reason I think the 2 nets were effected differently
110. is because these nets are used differently.  On BITNET most nodes are
111. primarily used for 'things' other than E-Mail.  So when the RSCS servers
112. started using too much CPU time, systems people got curious and found
113. out what was happening. IBM on the other hand uses VNET primarily for
114. E-Mail and with 300,000+ people (my guess) using E-Mail one would expect
115. RSCS to suck a lot of the systems resources.
116. This made it less obvious and the longer the CHRISTMA EXEC went
117. unchecked the harder it was going to be to eradicate.
118.  
119. Include standard disclaimers here:
120. A) These opinions are mine; MINE, ALL MINE!!
121. B) I've been wrong before
122.  
123. Bob Johnson << u27745@uicvm.uic.edu >>
124.  
125.  
126. ------------------------------
127.  
128. Date:    Fri, 21 Jul 89 21:18:00 -0400
129. From:    TMPLee@DOCKMASTER.ARPA
130. Subject: resource fork viruses (Apple II)
131.  
132. The Apple II GS OS is about to incorporate resource forks, something I
133. understand has been in the MAC OS forever.  I also note from all the
134. traffic that almost all the MAC viruses seem to have something to do
135. with resource forks.  (sounds to me like the virus writers aren't very
136. inventive; any bad guy worth his salt would bypass ALL the vendor's
137. software and play with the bare metal -- but since the IBM crowd ain't
138. much smarter I guess we just don't have the hackers like we used to)
139. Anyway, could someone summarize for me what the MAC resource forks are
140. used for (since I know essentially nothing about MAC-land) and how they
141. are or are not more vulnerable to virus/trojan horse penetration than
142. "conventional" file structures as found in IBM-land or the more earlier
143. Apple II DOS and ProDos-land?
144.  
145. TMPLee@dockmaster.ncsc.mil
146.  
147. ------------------------------
148.  
149. Date:    Sat, 22 Jul 89 12:49:10 +0700
150. From:    CCEYEOYT@NUSVM.BITNET
151. Subject: Re:What kind of virus is this ? (PC)
152.  
153. If I am not wrong, it is the Ping-pong virus ( also known as the Bouncing
154. ball virus). I remove the virus by first copy the original boot record (
155. it is stored in one of the bad sectors marked by the virus) back to the
156. boot sector and then erase the content in the two bad sectors.
157.  
158. Yeo Y.T.
159.  
160. Plus: I always boot-up the system with a 'clean' DOS before I make any
161. changes. Otherwise the virus will remain active in the RAM if you boot-up
162. with an infected disks. You will not be able to remove the virus even
163. though you format your disk.
164.  
165. ------------------------------
166.  
167. Date:    21 Jul 89 18:57:33 +0000
168. From:    chinet!henry@att.att.com
169. Subject: Virus Encyclopedia (Was Re: INIT29 and data files (Mac))
170.  
171.  
172. In article <0010.y8907131623.AA04591@ge.sei.cmu.edu> IHLS400@INDYCMS.BITNET (Ho
173. lly Lee Stowe) writes:
174. >Also, for anyone using Macs and trying to teach others about what things
175. >to be aware, may I recommend highly a Hypercard stack called the Virus
176. >Encyclopedia which is available on GEnie and probably other places.
177. >(The author's name is Henry C. Schmitt, and he's from the Northwest of
178. >Us, a user group in Arlington Heights, IL.)  Also the informational
179. >screens from John Norstad's Disinfectant are very helpful.
180.  
181. Thanx for your praise Holly!  I didn't think I'd become famous when
182. I wrote the stack.  The latest version (dated 6/8/89 on the
183. disclaimer card) is available on GEnie.  I haven't uploaded it to
184. Compuserve yet, so the latest version there is only 3/31/89.  I also
185. upload it to The Rest of Us BBS here in Chicago (when it's up!).
186. Since it gets downloaded quite a lot, people put it elsewhere too.
187. I've seen it on HomeBase BBS in CA, someone sent me mail that they
188. got it off a BBS in Denver, I've even seen it on an archive list
189. from the U.K.!!
190.  
191. If you want to be sure you have the latest version:  check the Date
192. Modified on the Disclaimer card.  First Version: 1/22/89, second:
193. 3/31/89, third and latest: 6/8/89.  Of course I'm continually
194. working on it so I'll probably release another version soon.
195.  
196. Please send me any comments or suggestions.  My mail addresses are:
197.         GEnie: H.Schmitt
198.         CompuServe: 72275,1456
199.         UUCP: henry@chinet.chi.il.us
200.  
201. - --
202.   H3nry C. Schmitt     | CompuServe: 72275,1456  (Rarely)
203.                        | GEnie: H.Schmitt  (Occasionally)
204.  Royal Inn of Yoruba   | UUCP: Henry@chinet.chi.il.us  (Best Bet)
205.  
206. ------------------------------
207.  
208. Date:    Fri, 21 Jul 89 22:52:34 -0700
209. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
210. Subject: Ping Pong Virus (PC)
211.  
212. Hans Varkevisser described what appears to be the Ping Pong virus and asks
213. if there is any way to deal with it short of a low level format.  The Ping
214. Pong (Italian) is a boot infector and can be removed with McAfee's MDISK
215. programs.  The CVIA is distributing these programs free of charge (with
216. proof of infection) to anyone infected with a boot or partition table virus.
217. They've been tested against all the viruses we know about and work flawlessly
218. against all boot and partition table viruses.
219.     Contact the CVIA at 408 727 4559 or page SysOp on HomeBase at
220. 408 988 4004 to get these programs.
221.  
222. Alan Roberts.
223.  
224. ------------------------------
225.  
226. Date:    Sat, 22 Jul 89 11:58:28 -0400
227. From:    allbery@NCoast.ORG (Brandon S. Allbery)
228. Subject: Re: Request for boot sector information (PC)
229.  
230. In your article <0009.y8907171856.AA19378@ge.sei.cmu.edu> ["Request for boot se
231. ctor information"], you wrote:
232. +---------------
233. | I need an answer to the following question:
234. |
235. |     In the boot sector of every diskette and hard disk there is a short
236. |     string starting at the fourth byte. This string contains information
237. |     about the version of DOS used to format the disk/diskette.
238. |     Typically it is something like "IBM   3.0" or "MSDOS2.0".
239. |     What I need to know is: What other possibilities are there ?
240. +---------------
241.  
242. Out of three versions of DOS available to me, two don't follow this rule:
243.  
244. ITT XTra, ITT DOS 2.11: "ITT 2.0 "
245. Wyse PC DOS 3.2:        "PC & AT^@"
246. Altos 500 MS-DOS 3.3:   "MSDOS3.3"
247.  
248. ++Brandon
249. - ---
250. Brandon S. Allbery, moderator of comp.sources.misc           allbery@NCoast.ORG
251. uunet!hal.cwru.edu!ncoast!allbery                   ncoast!allbery@hal.cwru.edu
252. NCoast Public Access UN*X - (216) 781-6201, 300/1200/2400 baud, login: makeuser
253.  (Send inquiries to rhg@NCoast.ORG, *not* to me!  I'm just the resident guru.)
254. * "ncoast" regenerates again!  The 5th "ncoast", coming August 1 (stay tuned) *
255.  
256. ------------------------------
257.  
258. Date:    Sat, 22 Jul 89 13:23:00 -0400
259. From:    IA96000 <IA96@PACE.BITNET>
260. Subject: safeware (PC)
261.  
262. perhaps you remember my mentioning safeware several weeks ago.
263. we have been doing some testing and thought you might like to
264. know the results.
265. we tested safeinfo and several other safeware products on what
266. has now been identified as the jerusalem virus and several other
267. viral strains.
268. in each case, safeware detected that some change had been made in
269. the file since it had been compiled and notified me.
270. safeware runs a proprietary selftest (tm) module as soon as the
271. program is loaded.
272. execution is immediately halted if a change is detected in file
273. length, crc or both.
274. safeinfo.arc can be downloaded from (201) 473-1991 if you would
275. like to check it out. also viruscan can be downloaded from
276. (201) 249-1898. the first number is a 10 line tbbs so there is
277. almost never a busy signal.
278.  
279. i spoke to the author of safeware and he assures me neither safeware
280. nor the selftest module will ever be sold or allowed to be used by
281. a commercial software house.
282.  
283. he seems to be quite proud of the fact that safeware was written
284. and released by a shareware author. in fact when you think about it
285. it is quite amazing that commercial houses have not yet released
286. such a product, and it took a shareware author to do it first!
287.  
288. he also assures me that the code can be changed and programs
289. recompiled in less than 5 minutes if the need arises. it seems there
290. are several versions of the selftest module and only one has been
291. released in shareware so far.
292.  
293. in any event, the built in protection safeware offers works, and
294. there are now more than 25 programs released under the safeware
295. label.
296.  
297. almost forgot, we are working on getting copies of all the safeware
298. products. if we can get them, does anyone know where we can post
299. them for requests? we do not have a listserv here, so it would
300. be kind of hard.
301.  
302. any suggestions would be appreciated.
303.  
304. ------------------------------
305.  
306. Date:    Sun, 23 Jul 89 22:33:06 -0000
307. From:    A.SIGFUSSON@ABERDEEN.AC.UK
308. Subject: Still on viruscan (PC)
309.  
310. Mr. Alan Robertson sent me a message and pointed out to me that
311. the problem I had with VIRUSCAN and multiple scans was due to the
312. hardware and not a software problem.  He thinks that about 1% of
313. IBM clones suffer from this and it so happend that both the machines
314. I have used (COMMODORE PC20 & AMSTRAD 1640) fall into that 1%.  I have
315. now tried a copy of the new version of SCAN and find that the problem
316. does not occur any more.
317.  
318.            Best regards,
319.  
320.          Arnor Sigfusson (A.SIGFUSSON@UK.AC.ABERDEEN)
321.  
322. ------------------------------
323.  
324. Date:    Sun, 23 Jul 89 17:01:00 -0700
325. From:    kelly@uts.amdahl.com (Kelly Goen)
326. Subject: Re: query re: VIRUSCAN program availability (PC)
327.  
328. In article <0005.x8906301409.AA00605@ge.sei.cmu.edu> you write:
329. >in VIRUS-L of Jun 28, 1989 Alan J.Roberts mentioned a program called
330. >VIRUSCAN for the IBM PC. I would like to get this program, but I don't know
331. >how. Could someone, if possible, mail me a uuencoded ARC-file ?
332. >   Thank you,
333. >     Rainer Kleinrensing (RAINER at DBNUAMA1 in BITNET)
334.  
335. I have been doing beta testing for john and at his request I am going
336. to besubmitting the results and the virus scan program... here in just
337. a few hours to the mailing list... if any one knows a uucp reachable
338. archive site address to be a recipient of this code please email me
339. this address as I dont want to have to mail out continuous copies...
340.                                      cheers
341.                                      kelly
342. p.s. its even more inclusive now!!
343.  
344. ------------------------------
345.  
346. Date:    Sun, 23 Jul 89 17:10:00 -0700
347. From:    kelly@uts.amdahl.com (Kelly Goen)
348. Subject: Re: new network-virus group?
349.  
350. >      A little while ago, there was some hashing about the overly
351. > pcoriented direction of this list or something like that. (Forgive me,
352. > I had 4+ week's worth of mail to catch up on in the past 1-1/2 wks,
353. > and it's been a while since I read the virus-l notebook - which was
354. > sizeable. So...)
355. [...]
356. >      My thought here is that the group has kind of shifted directions
357. > towards the PC environment. But the networking environment and the issues
358. > surrounding it are very different. There are of course no major network
359. > virus dangers right now, but network security and finding loopholes is
360. > always a major concern. Is there a place for another list concerning
361. > viruses in the network and PC-NFS/LAN environment?
362.  
363. Actually given RPC's(Remote Procedure calls) and other given holes in
364. present lan systems they are as vunerable as any non-protected system
365. nowadays!!  My vote would have to be yes lets cover these issues also
366. I just hope the vendors are listening!!
367.                                      cheers
368.                                      kelly
369.  
370.  
371. ------------------------------
372.  
373. Date:    24 Jul 89 08:04:25 +0000
374. From:    kelly@uts.amdahl.com (Kelly Goen)
375. Subject: Re: VIRUSCAN tested (PC)
376.  
377.           Last week someone asked for inputs about the VIRUSCAN program and
378.           whether or not it had actually identified any viruses. The
379.           following log is an actual log by VIRUSCAN against viruses I have
380.           collected for taxonomy purposes. VIRUSCAN correctly identified
381.           the Virus and strain involved. At present in the log are the
382.           strains of EXE and com infectors I have gathered and will be
383.           testing the boot and partition infectors sometime this week. I
384.           would be interested on anyone elses's inputs that might have
385.           samples of strains that I have not yet tested.
386.  
387.                                    EXE AND COM INFECTORS:
388.  
389.           Scanning for 27 viruses.
390.           Scanning boot sectorFECTED\1704.COM
391.             Found 1701/1704 Virus - Version B
392.           Scanning D:\VIRUS\INFECTED\SARATOGA.EXE
393.             Found Saratoga/Icelandic Virus
394.           Scanning D:\VIRUS\INFECTED\ICELANDI.EXE
395.             Found Saratoga/Icelandic Virus
396.           Scanning D:\VIRUS\INFECTED\1168.COM
397.             Found 1168 Virus
398.           Scanning D:\VIRUS\INFECTED\1280.COM
399.             Found 1280 Virus
400.           Scanning D:\VIRUS\INFECTED\1701.COM
401.             Found 1701/1704 Virus - Version B
402.           Scanning D:\VIRUS\INFECTED\1704-B.COM
403.             Found 1701/1704 Virus - Version B
404.           Scanning D:\VIRUS\INFECTED\1704-C.COM
405.             Found 1701/1704 Virus - Version C
406.           Scanning D:\VIRUS\INFECTED\ATTRIB.EXE
407.             Found Jerusalem Virus - Version B
408.           Scanning D:\VIRUS\INFECTED\JRVIR-C.COM
409.             Found Jerusalem Virus - Version B
410.           Scanning D:\VIRUS\INFECTED\JRVIRUS.COM
411.             Found Jerusalem Virus - Version A
412.            More? ( H = Help )NFECTED\NUMOFF.COM
413.             Found Jerusalem Virus - Version A
414.           Scanning D:\VIRUS\INFECTED\DOS62.COM
415.             Found Vienna (DOS 62) Virus - Version A
416.           Scanning D:\VIRUS\INFECTED\FUMANCHU.COM
417.             Found Fu Manchu Virus - Version A
418.           Scanning D:\VIRUS\INFECTED\SURIV01.COM
419.             Found April First Virus - Version C
420.    !      Scanning D:\VIRUS\INFECTED\SURIV02.EXE
421.             Found Jerusalem Virus - Version D
422.           Scanning D:\VIRUS\INFECTED\SURIV03.COM
423.             Found Jerusalem Virus - Version E
424.           Scanning D:\VIRUS\INFECTED\INFECTED\1280.COM
425.             Found 1280 Virus
426.           Scanning D:\VIRUS\INFECTED\I2\1168.COM
427.             Found 1168 Virus
428.           Scanning D:\VIRUS\INFECTED\I2\1280.COM
429.             Found 1280 Virus
430.           Scanning D:\VIRUS\INFECTED\I2\1701.COM
431.             Found 1701/1704 Virus - Version B
432.           Scanning D:\VIRUS\INFECTED\I2\1704-B.COM
433.             Found 1701/1704 Virus - Version B
434.           Scanning D:\VIRUS\INFECTED\I2\1704-C.COM
435.             Found 1701/1704 Virus - Version C
436.            More? ( H = Help )NFECTED\I2\1704.COM
437.             Found 1701/1704 Virus - Version B
438.           Scanning D:\VIRUS\INFECTED\I2\1704FRMT.COM
439.             Found 1701/1704 Virus - Version C
440.           Scanning D:\VIRUS\INFECTED\I2\DOS62.COM
441.             Found Vienna (DOS 62) Virus - Version A
442.           Scanning D:\VIRUS\INFECTED\I2\FUMANCHU.COM
443.             Found Fu Manchu Virus - Version A
444.           Scanning D:\VIRUS\INFECTED\I2\ICELANDI.EXE
445.             Found Saratoga/Icelandic Virus
446.           Scanning D:\VIRUS\INFECTED\I2\JRVIR-C.COM
447.             Found Jerusalem Virus - Version B
448.           Scanning D:\VIRUS\INFECTED\I2\JRVIRUS.COM
449.             Found Jerusalem Virus - Version A
450.           Scanning D:\VIRUS\INFECTED\I2\SARATOGA.EXE
451.             Found Saratoga/Icelandic Virus
452.           Scanning D:\VIRUS\INFECTED\I2\SURIV01.COM
453.             Found April First Virus - Version C
454.           Scanning D:\VIRUS\INFECTED\I2\SURIV02.EXE
455.             Found Jerusalem Virus - Version D
456.           Scanning D:\VIRUS\INFECTED\I2\SURIV03.COM
457.             Found Jerusalem Virus - Version E
458.           Scanning D:\VIRUS\INFECTED\I2\TRACEBCK.COM
459.             Found 3066 (Traceback) Virus
460.            More? ( H = Help )RUS.LIB\V3.COM
461.             Found Jerusalem Virus - Version A
462.  
463.           Disk D: contains 81 directories and 1466 files.
464.            36 files contain viruses.
465.  
466.           This list was edited to eliminate a lot of intermediate output...
467.           information proprietary to my system... The test system is a NEC
468.           PROSPEED 386 Laptop at MS-DOS Level 3.3 .with Quarterdecks
469.           2.25/386 multitasking system. The disk size was a 32 meg
470.           partition running on a 100mb disk.
471.  
472.           I will be running the series of tests for boot sector infectors
473.           and partition table infectors later this week and will post those
474.           results then.
475.                                         cheers
476.                                         kelly
477.           p.s. I think this should settle any doubts
478.  
479.           DISCLAIMER: The views expressed above are not those of AMDAHL
480.           Corp. who has generously provided e-mail facilities or those of
481.           ONSITE CONSULTING... they do represent the views of Cybernetic
482.           Systems Specialists Inc. A CVIA Member... No warranty is
483.           expressed implied or granted in any fashion what so ever...
484.           However The VIRUSCAN program was tested against LIVE viral
485.           programs and it did correctly identify what I have in my archives
486.           to this date..
487.  
488. ------------------------------
489.  
490. End of VIRUS-L Digest
491. *********************
492. Downloaded From P-80 International Information Systems 304-744-2253
493.