home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.17 < prev    next >
Text File  |  1995-01-03  |  16KB  |  370 lines
  1. VIRUS-L Digest            Wednesday, 18 Jan 1989        Volume 2 : Issue 17
  2.  
  3. Today's Topics:
  4. Re: Encrypted/Decrypted viruses
  5. Re: Friday 13th / Israel Virus
  6. Re: Meaning of "CYBER"
  7. Computer Virus Industry Assc. ?
  8. Reality Hackers
  9. WordPerfect Access to Drive A (PC)
  10. Internet worm report available in Gemany & Switzerland
  11. Re: INIT 29 Virus (Mac)
  12. More VIRUS seminars...
  13. Virus created by software copying company?
  14. encryption
  15. Reply to Salzmann question about possible Word Perfect virus (PC)
  16.  
  17. ---------------------------------------------------------------------------
  18.  
  19. Date: Mon, 16 Jan 89 20:23:46 -0500 (EST)
  20. From: Michael Francis Polis <mp3o+@andrew.cmu.edu>
  21. Subject: Re: Encrypted/Decrypted viruses
  22.  
  23. Such an encryption system would only be useful if it were not
  24. standard.  If it became standard, or at least widely distributed,
  25. viruses would work their way around it by calling whatever interrupt
  26. did the encryption on themselves before they became part of your
  27. favorite program.  Even individual keys would not protect against
  28. this.
  29.  
  30. ------------------------------
  31.  
  32. Date: 17 January 1989, 09:40:32 MEZ
  33. From: Christoph Fischer   <RY15@DKAUNI11.BITNET>
  34. Subject: Re: Friday 13th / Israel Virus
  35.  
  36. I am a consultant at the computing center of the University of
  37. Karlsruhe West-Germany. We were asked to assist the people at the
  38. University of Hohenheim West-Germany. They found a virus spreading in
  39. their public PC-pool.  We identified the virus as the Israel type on
  40. wednesday afternoon. The people at Hohenheim had just one day to go
  41. through their PCs and remove the virus with the help of H&B EDVXs Anti
  42. Virus software (it had some trouble and didn't restore all files to
  43. their original function, but the author of the program will check if
  44. the virus is a mutant and will update the software) The viruses
  45. destructive action on friday was tested on one PC: it destroyed all
  46. executable files on the first attempt to run them. They didn't
  47. experience any low-level format (only possible on PC-XT controllers
  48. and a few AT contollers) maybe there is another threshold for that
  49. action or it is a pure rumor. The virus reappeared after friday since
  50. the students brought executable files on their disks. Larry Lover
  51. (well known game) was pinpointed as virus infected and a major source
  52. of the trouble since everyone copied this sw.
  53.  
  54. Chris
  55. (Christoph Fischer / University of Karlsruhe West-Germany / Computing Center )
  56. ( D-7500 Karlsruhe 1 / Zirkel 2 / Rechenzentrum  / Tel. +721 608 2997 )
  57. ( RY15 at DKAUNI11.BITNET )
  58.  
  59. ------------------------------
  60.  
  61. Date:         Tue, 17 Jan 89 09:19:51 EST
  62. From:         Joe McMahon <XRJDM@SCFVM.BITNET>
  63. Subject:      Re: Meaning of "CYBER"
  64. To:           Virus Discussion List <VIRUS-L@LEHIIBM1>
  65.  
  66. CYBER comes from cybernetics, a word invented by Norbert Weiner. Its
  67. root is from the Greek Cybernos, the steersman. Weiner's original
  68. application of it was in self-controlling systems.
  69.  
  70. - --- Joe M.
  71.  
  72. ------------------------------
  73.  
  74. Date:         Tue, 17 Jan 89 09:46:53 EST
  75. From:         "John P. McNeely" <JMCNEELY@UTCVM.BITNET>
  76. Subject:      Computer Virus Industry Assc. ?
  77.  
  78.      Has anyone out there ever heard of the 'Computer Virus Industry
  79. Association' ? If so, what functions does it perform? If you have any
  80. information about the organization, I would appreciate a reply either
  81. directly to me or to the list.
  82.  
  83. Thanks,
  84.  
  85. John P. McNeely
  86. <JMCNEELY@UTCVM.BITNET>
  87.  
  88. UT-Chattanooga (No, where not the Vols.)
  89.  
  90. ------------------------------
  91.  
  92. Date:         Tue, 17 Jan 89 10:52:20 EST
  93. From:         "Homer W. Smith" <CTM@CORNELLC.BITNET>
  94. Subject:      Reality Hackers
  95.  
  96.      I have been flooded with requests concerning the article in
  97. Reality Hackers on computer viri.  As I can not possibly xerox and
  98. send a copy of it to every one of you, I herewith post the name and
  99. address where you can get a copy for yourself.  It is on the news
  100. stands, some of them at least.
  101.  
  102.      High Frontiers/Reality Hackers
  103.      PO 40271
  104.      Berkeley, CA 94704
  105.      415 845-9018
  106.  
  107.      Winter issue number 6.
  108.  
  109.      'Cyber Terrorists/Viral Hitmen'
  110.  
  111.      For those of you who I have already promised to send a xerox,
  112. they will soon be on their way.
  113.  
  114. ------------------------------
  115.  
  116. Date: Tue, 17 Jan 89 10:01 MDT
  117. From: "Craig M." <SIERRA@usu.bitnet>
  118. Subject: WordPerfect Access to Drive A (PC)
  119.  
  120. The vanilla version of WordPerfect (as it comes from the box) uses the
  121. default directory/drive for temporary files (it creates several of
  122. them: a printer queue, backup files, timed backup files, and a couple
  123. of others).  If you are using a version of WP that has previously been
  124. configured for use from a floppy drive but copied and executed from a
  125. hard disk, these parameters will still be in the setup file (something
  126. like {WP}WP.SET).  These setup parameters can be changed by running WP
  127. with a /S switch from the DOS command line for version 4.2, or by
  128. pressing SHIFT-F1 in WordPerfect for version 5.0.  In either case,
  129. it's under the section of 'location of auxiliary files'.
  130.  
  131. Check these values to make sure someone hasn't changed the values.
  132. Another way to ensure the setup values are not wrong is by recopying
  133. the master (the ones with the original WP label) diskettes.
  134.  
  135. Another possibility I just thought of: If you boot from a floppy and
  136. do not have a statement SET COMSPEC=C:COMMAND.COM, the computer will
  137. look on the A (or whatever drive you booted from) for COMMAND.  If you
  138. try shelling out to DOS from WordPerfect (CTRL-F1), the version of
  139. COMMAND.COM that was on the boot drive will be loaded.
  140.  
  141. We have several thousand versions of WordPerfect (4.1/4.2/5.0) on our
  142. campus, and have not had any trouble with viruses--at least that
  143. haven't been openly publicized or reported.  Some kind of WP virus
  144. certainly could easily wipe us out; or at least bring us to our knees.
  145.  
  146. ------------------------------
  147.  
  148. Date:    17 January 89, 16:46:39 +0100 (MEZ)
  149. From:    Otto Stolz             +49 7531 88 2645     RZOTTO   at DKNKURZ1
  150.          Rechenzentrum der Universit2t
  151.          Postfach 5560
  152.          D-7750 Konstanz 1
  153. Subject: Internet worm report available in Gemany & Switzerland
  154.  
  155. Hi gang,
  156.  
  157. finally, I've got my Xmas present, directly from Bethlehem (it was
  158. posted on 4th Jan by Air Mail: those reindeers seem not to be very
  159. fast whith that sledge on their way across the ocean :-)
  160.  
  161. Thanks to Ken, I have now two reports on floppy disk:
  162. 1. Eugene H. Spafford: "The Internet Worm Program: An Analysis",
  163.    Purdue Technical Report CSD-TR-823, available as Postscript File
  164.    (neatly printing!) and as pure ASCII file.
  165. 2. Don Seeley: "A Tour of the Worm", Dept. Comp. Sci. Univ. Utah;
  166.    this report is available with some SCRIPT-like markup and as a pure
  167.    ASCII text, interspersed with many, many blank spaces. I didn't find
  168.    a way to print or display this one neatly, or even legibly :-(
  169.  
  170. Eugene Spafford handles the topic (in 107 kByte) thoroughly and
  171. clearly.  Large parts of the paper are comprehensable even to
  172. non-Unix-connaisseurs like me; appendices present detailed
  173. descriptions of worm-internals and fixes to Unix.  Also, a one-page
  174. bibliography is given.
  175.  
  176. Don Seeley gives in (73 kByte) a nearly equally complete description
  177. of the worms functioning, which can serve as a supplement to Stafford
  178. (I'm somewhat biased here by the difficulty to read it from an badly
  179. arranged screen).
  180.  
  181. Stafford grants permission to make copies of his work, without charge,
  182. solely for the purposes of instruction and research.  I didn't see any
  183. Copyright note in Seeley's report.
  184.  
  185. I volunteer as a sub-distributor of these two reports for the Federal
  186. Republic and Switzerland, under the following conditions:
  187. 1. Both reports on floppy disks:
  188.    Send me one 5.25", 1.2 MByte disk
  189.         or one 3.50", 0.7 MByte disk
  190.         or two 5.25", 0.4 MByte disks
  191.    formatted for MS-DOS (cf. postal address in the header of this note).
  192.    Enclose a stamped (German or Swiss stamps acceptable), self-addressed
  193.    envelope.
  194.    I'll copy the 4 files to your disk(s) and post it in the envelope you
  195.    provided.  I'll post envelops with Swiss stamps in Switzerland, others
  196.    in Germany.  I'll add no stamps, no stable envelope, I'll make no
  197.    corrections to the address.
  198. 2. Stafford's report only, in print:
  199.    Send me one stamped (allow for 204 g + weight of your envelope), self-
  200.    addressed envelope and 4 DM or 3.50 sFr for printing costs.
  201.    I'll print the report for you (worth 4.10 DM) on my private account
  202.    and post it in the envelope provided, as above.
  203.  
  204. I hope everybody interested in the two reports will be able to agree
  205. with this proviso, which is designed to save me a lot of unneccessary
  206. work.
  207.  
  208. If anybody in Europe, but outside Germany and Switzerland, is still
  209. interested in the reports, please drop me a note to my EARN/BITNET
  210. address, and I'll try to make some suitable arrangement.  But be
  211. prepared to act as a sub-distributor for your country, then!
  212.  
  213. Best wishes
  214.             Otto
  215.  
  216. [Ed. Thanks Otto!  That second report, TOUR.N, was written in nroff, I
  217. believe.  It also comes with a file called TOUR.CRT which was
  218. formatted for CRT viewing.  Printing that file on a printer which
  219. obeys backspaces and underlines will work just fine; that's what I
  220. did.  Anyone more fluent in nroff than I (read: at all fluent in...)
  221. might be able to format TOUR.N for another output device.  Thanks
  222. again.]
  223.  
  224. ------------------------------
  225.  
  226. Date:         Tue, 17 Jan 89 14:08:39 EST
  227. From:         Joe McMahon <XRJDM@SCFVM.BITNET>
  228. Subject:      Re: INIT 29 Virus (Mac)
  229. To:           Virus Discussion List <VIRUS-L@LEHIIBM1>
  230.  
  231. Can anyone give me further information on this virus? Is it the "hPAT"
  232. variation of nVIR, or is it another virus altogether? I have seen
  233. mention of articles in comp.sys.mac, but that's not available to me
  234. here on BITNet.  Thanks for anything which you might find.
  235.  
  236. - --- Joe M.
  237.  
  238. ------------------------------
  239.  
  240. Date:    Tue, 17 Jan 89 15:47 CST
  241. From:    Ken  De Cruyenaere <KDC@UOFMCC.BITNET> 204-474-8340
  242. Subject: More VIRUS seminars...
  243.  
  244. MIS Training Institute announces:
  245.               AN EMERGENCY BRIEFING ON
  246.                 ON COMPUTER VIRUSES
  247. UNDERSTANDING THE PROBLEM AND IMPLEMENTING THE SOLUTION
  248. The material is 8 pages long but the key points are:
  249.  Cost: $590
  250.  dates/locations:
  251.   February 28 Chicago
  252.   March 1     Dallas
  253.   March 7     NewYork
  254.   March 8     Atlanta
  255.   March 14    Washington D.C.
  256.   March 16    San Francisco
  257.  
  258. Dr. Fred Cohen is the "briefing leader".
  259. "Two special features:
  260. 1. You will see demonstrations showing live computer viruses actually
  261.    damage systems.
  262. 2. As a participant you will receive diskettes containing over 20 programs
  263.    for viral defense product lines that you can try on your own computer.
  264.    Researched, compiled, and explained for you, the value of these sample
  265.    evaluation copies alone far exceeed the cost of the Briefing."
  266.  
  267. To register: call Pamela Bissett at 508-879-7999
  268. MIS Training Institute, 498 Concord Street, Framingham, MA 01701
  269. - ---------------------------------------------------------------------
  270. Ken De Cruyenaere - Computer Security Coordinator
  271. Computer Services - University of Manitoba - Winnipeg, Manitoba, Canada
  272. Bitnet: KDC@CCM.UManitoba.CA               (204)474-8340
  273.  
  274. ------------------------------
  275.  
  276. Date:         Tue, 17 Jan 89 20:44:22 EDT
  277. From:         <SSAT@PACEVM.BITNET>
  278. Subject:      Virus created by software copying company?
  279.  
  280. It seems from reading the last several digests that a certain company
  281. who produces Word Processing software, has yet another virus to
  282. contend with?
  283.  
  284. In all fairness, since the company does not (I think) produce the
  285. disks they sell perhaps they should look at the company who does their
  286. production runs?
  287.  
  288. I could easily see a virus sitting in a duplicator passing itself on
  289. to each disk that runs through the duplicator.
  290.  
  291. [Ed. Don't mass-copiers essentially do a sector-for-sector diskcopy
  292. from an original?  Does anyone have any more info on this?]
  293.  
  294. ------------------------------
  295.  
  296. Date:     Tue, 17 Jan 89 17:05:58 EST
  297. From:     Jefferson Ogata (me!) <OGATA@UMDD.BITNET>
  298. Subject:  encryption
  299.  
  300. There is a bit of discussion on the subject of program encryption for
  301. virus prevention in back issues of VIRUS-L (I think maybe around July
  302. or August of last year).  The two major glaring flaws in the idea are
  303. that it takes time to decrypt the programs before you run them, and
  304. that the encryption/decryption program itself could become infected,
  305. since it clearly cannot be stored in an encrypted format.  Also,
  306. program encryption cannot easily protect the operating system, since
  307. that also cannot be encrypted, so boot block viruses and the like are
  308. still pretty pervasive.  The second problem is not easily dealt with,
  309. but here is a bit of elaboration on the first:
  310.  
  311. If a virus is out to beat an encryption scheme, then it probably
  312. doesn't make much difference which one is being used; even if some-
  313. thing pretty hairy like DES encryption is being used, the virus can
  314. intercept keyboard input and wait for the key to be entered.  Any
  315. encryption scheme can be circumvented fairly easily by a virus
  316. designed with that in mind.  However, using encryption of any kind
  317. would provide excellent protection from most other types of virus.
  318. Since the actual algorithm doesn't matter as much as the encryption
  319. itself, a very simple algorithm would achieve largely the same results
  320. as a complicated one.  Therefore, the problem of time consumption can
  321. be fairly eradicated by using a fast, simple algorithm (e.g. a single
  322. cipher).
  323.  
  324. Keep in mind that even a simple virus like Brain will spread regard-
  325. less of program encryption, because it attaches to code that could
  326. not be stored encrypted.
  327.  
  328. - - Jeff Ogata
  329.  
  330. ------------------------------
  331.  
  332. Date:    Tue, 17 Jan 89 16:04 PST
  333. From:    Larry Cobb 63898 <ILZ1LFC@OAC.UCLA.EDU>
  334. Subject: Reply to Salzmann question about possible Word Perfect virus (PC)
  335.  
  336. A reply to the WP part of the following message:
  337.  
  338. >Date:     Mon, 16 Jan 89 16:33:29 IST
  339. >From:     "Eldad Salzmann (+972)-3-494520" <ELDAD@TAUNIVM.BITNET>
  340. >Subject:  Any connection between the ping-pong virus and WordPerfect? (PC)
  341. >...  Was WordPerfect infected by the omnipotent virus?
  342. >...  A WordPerfect which was till then working quite smoothly from
  343. >the HD, sud- denly began to look at drive A: for its WP.exe file, ...
  344.  
  345. I've had similar problems occasionally with Word Perfect 4.2.  I've
  346. not had any such with WP 5.0, but then I've been using WP 5.0 only a
  347. while.  Those problems were traced to various possible causes, *none*
  348. of them viruses.
  349.  
  350. Yes, WP sets up working and backup files for itself, usually in the
  351. default directory unless you specify otherwise when you do WP setup.
  352. You could have lost or damaged your setup file (named {WP}SYS.FIL ).
  353. I think I've established that too little RAM also allows WP to start
  354. but soon do silly things.  Have you added drivers, memory resident
  355. software, or anything else that may reduce RAM?  Lastly, WP sometimes
  356. looses control of itself when I ask it to load document files from
  357. another word processor or files it created but were munched by a
  358. hapless user.  This latter possibility is corrected by rebooting and
  359. not loading those files; the first two would stay with you until
  360. they're corrected.
  361.  
  362. Larry Cobb, UCLA School of Nursing, ILZ1LFC@UCLAMVS or ILZ1LFC@OAC.UCLA.EDU
  363.             213-206-3898
  364.  
  365. ------------------------------
  366.  
  367. End of VIRUS-L Digest
  368. *********************
  369. Downloaded From P-80 International Information Systems 304-744-2253
  370.