home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.174 < prev    next >
Text File  |  1995-01-03  |  11KB  |  267 lines
  1. VIRUS-L Digest   Monday, 14 Aug 1989    Volume 2 : Issue 174
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU.  Information on
  8. accessing anti-virus, document, and back-issue archives is distributed
  9. periodically on the list.  Administrative mail (comments, suggestions,
  10. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  11.  - Ken van Wyk
  12.  
  13. Today's Topics:
  14.  
  15. Re: DataCrime II - tiny clarification (PC)
  16. Re: LaserWriter viruses
  17. Disk Killer (PC)
  18. Accessing the archives without ftp
  19. Re: Unix archive site
  20. Viruscan test (PC)
  21.  
  22. ------------------------------------------------------------
  23.  
  24. Date:    11 Aug 89 00:00:00 +0000
  25. From:    David M. Chess <CHESS@YKTVMV.BITNET>
  26. Subject: Re: DataCrime II - tiny clarification (PC)
  27.  
  28. Not to prolong the technical discussion too long, but...
  29. Kelly Goen and Alan Roberts are both completely correct
  30. (or, actually, I'll assume they are, not knowing myself!);
  31. CodeView probably does get confused by the odd things the
  32. virus does.   I always use good old DEBUG for initial
  33. examination of viruses, because I know exactly what it's doing!
  34. (CodeView is much more powerful, but for that reason
  35. also more complex.)   I didn't get thrown out to DOS at
  36. any point, but I *did* notice that the virus was doing
  37. some bizarre self-alteration, decided that it was trying
  38. to avoid being single-stepped, and then confirmed that
  39. by experiment.  (If you single-step through it, it
  40. degarbles to garbage, rather then to the actual virus code.)
  41. So I never got to observe the effect that Kelly and
  42. Alan saw!   (So I don't think anything I said was
  43. "fallacious"; we were just talking about different effects.)
  44.  
  45. Alan asks a good question about disassemblies.   I think
  46. it's probably a Good Thing if at least two or three people
  47. do independant disassemblies of each virus, just to make
  48. it less likely that something subtle will be missed.  I
  49. know my disassemblies (except the ones I've spent lots of
  50. time on) always contain sections marked with vaguenesses
  51. like "Does something subtle with the EXE file header here".
  52. At some point, I guess, some time does start to be wasted
  53. by duplication of effort; hard to say where, though.  I
  54. probably tend to lean towards "the more the merrier"!
  55.  
  56. DC
  57.  
  58. ------------------------------
  59.  
  60. Date:    Fri, 11 Aug 89 10:34:27 -0700
  61. From:    forags@violet.berkeley.edu
  62. Subject: Re: LaserWriter viruses
  63.  
  64. Networked Apple Laserwriters aren't really subject to permanent virus
  65. infestation, since a power-off cycle will clear their RAM.
  66.  
  67. HOWEVER, a proficient Postscript programmer can deposit code in an LW's
  68. memory which can stay resident and affect other users' output until the
  69. power is cycled.  These modifications can include re-defining standard
  70. Postscript operators to do different things (such as "showpage" could
  71. be extended to overprint the word "CLASSIFIED" on every page printed).
  72.  
  73. PostScript has a password mechanism to prevent some alterations to persistent
  74. parameters (such as printing a start-up page), but many users leave the
  75. password un-set.
  76.  
  77. Al Stangenberger                    Dept. of Forestry & Resource Mgt.
  78. forags@violet.berkeley.edu          145 Mulford Hall - Univ. of Calif.
  79. uucp:  ucbvax!ucbviolet!forags      Berkeley, CA  94720
  80. BITNET: FORAGS AT UCBVIOLE          (415) 642-4424
  81.  
  82. ------------------------------
  83.  
  84. Date:    12 Aug 89 03:34:00 +0000
  85. From:    tyl@cbnews.ATT.COM (Ten-Yu Lee)
  86. Subject: Disk Killer (PC)
  87.  
  88. Does anyone know of a virus called "Disk Killer" ?
  89.  
  90. My IBM PC is seriously being infected with this virus.
  91. The system hung and can't be brought up by any means.
  92. I tried to use firmware to re-format the hard disk.
  93. The formatting completed without any error message but
  94. the computer still does not work.
  95.  
  96. I need help to remove or kill this virus.
  97.  
  98.  
  99. ------------------------------
  100.  
  101. Date:    12 Aug 89 20:18:59 +0000
  102. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  103. Subject: Accessing the archives without ftp
  104.  
  105.  
  106. In article <0003.8908111142.AA01970@ge.sei.cmu.edu> bnr-vpa!bnr-fos!bnr-public!
  107. mlord@gpu.utcs.toronto.edu (Mark Lord) writes:
  108. | Would you consider perhaps someday posting VIRUSCAN to
  109. | comp.binaries.ibm.pc ?
  110.  
  111. Not a good idea.  At the rate it is being updated, anything that eventually
  112. got through c.b.i.p would be long out of date.
  113.  
  114. | I know I would love to have a copy, and there are probably thousands
  115. | of other interested onlookers as well.  I know there are archive
  116. | sites, but that doesn't help those of us who lack BITNET and FTP
  117. | access.
  118.  
  119. If you can send email, you can access some of the archive sites.
  120. I think its safe to say that you have access to email, right?
  121. Here is a note I received from a VIRUS-L reader.  He was able to get
  122. through to simtel using only email.  Before trying this, CHECK THE ARCHIVE
  123. SITE LIST FOR THE SERVER NEAR YOU.  Overloading this one poor site would
  124. not be a nice thing to do.
  125.  
  126. > I have just managed to access WSMR-SIMTEL20.ARMY.MIL from mail via
  127. > LISTSERV@NDSUVM1. The commands I used are :
  128. >
  129. > 1) For a listing of the files in the directory :
  130. >
  131. >       /pddir pd:<msdos.trojan-pro>*.* 9999
  132. >
  133. > 2) To retreive a specified file :
  134. >
  135. >       /pdget pd:<msdos.trojan-pro>fname.ext
  136.  
  137. You can also get help, which will explain what is going on here.
  138.  
  139.  
  140. ------------------------------
  141.  
  142. Date:    Fri, 11 Aug 89 16:45:26 -0400
  143. From:    fitz@wang.WANG.COM (Tom Fitzgerald)
  144. Subject: Re: Unix archive site
  145.  
  146. About the UNIX anti-archive site at wustl.edu.  This sounds great, but
  147. since we (and a lot of other people) aren't on the Internet, we can't
  148. get to it.  Would it be possible to set up an anonymous UUCP account
  149. or an archive-server mail demon on the system?  Many people would be
  150. grateful.
  151.  
  152. [Ed. This was sent to me personally, but I thought that others may be
  153. interested...  The answer is that the people coordinating the Unix
  154. archive sites are working on the problems.  We hope to be able to make
  155. a mail-archive and an anonymous UUCP available in addition to the
  156. current anonymous FTP.  No estimate on time, but it's being worked
  157. on...]
  158.  
  159. - ---
  160. Tom Fitzgerald           Wang Labs, 1 Industrial ave. 019-890, Lowell MA 01851
  161. fitz@wang.com            uunet!wang!fitz                          508-967-5865
  162.  
  163.  
  164. ------------------------------
  165.  
  166. Date:    Sun, 13 Aug 89 09:48:20 -0700
  167. From:    portal!cup.portal.com!Charles_M_Preston@Sun.COM
  168. Subject: Viruscan test (PC)
  169.  
  170.     For the past couple weeks I have been testing the latest
  171. versions of John McAfee's virus scanning program, Viruscan,
  172. downloaded as SCANV29.ARC, SCANV33.ARC, etc., and very briefly
  173. the resident version archived as SCANRES4.ARC.
  174.  
  175.     While I have not completed the testing protocol with each
  176. virus, perhaps an interim report will be of interest.
  177.  
  178.     The testing protocol is:
  179.       1. Scan a disk containing a copy of a virus in some form;
  180.       2. Have the virus infect at least one other program (for
  181.          .COM and .EXE infectors) or  disk (for boot infectors)
  182.          so Viruscan must locate the virus signature as it would
  183.          normally be found in an infected machine;
  184.       3. Modify the virus in the most common ways people change
  185.          them (cosmetic changes to ASCII text messages or small
  186.          modifications to the code and try Viruscan again.
  187.  
  188.     Step 2 arises from testing another PC anti-virus product
  189. which was supposed to scan for viruses.  When I found that it
  190. would not detect a particular boot virus on an infected floppy,
  191. I asked the software vendor about it.  I was told that it would
  192. detect a .COM program which would produce an infected disk - not
  193. useful to most people with infected disks, the common way this
  194. virus is seen  Even though the viruses tested are not technically
  195. self-mutating, my intent is to test Viruscan against later
  196. generation infections, as they would be found in a normal
  197. computing environment.
  198.  
  199.     Naturally, there is a problem knowing which virus is actually
  200. being found, since they go under different names and are
  201. frequently modified.  The viruses are currently identified by
  202. their length, method of infection, symptoms of activity or
  203. trigger, and any imbedded text strings, based on virus
  204. descriptions from a variety of sources. These include Computers &
  205. Security journal, and articles which have been on Virus-L, such
  206. as Jim Goodwin's descriptions modified by Dave Ferbrache, and
  207. reports by Joe Hirst from the British Computer Virus Research
  208. Centre.
  209.  
  210.     There is  a proposal for  checksumming of viruses in the June
  211. Computers & Security, which would allow confirmation that a found
  212. virus is the identical one already disassembled and described by
  213. someone.  In the meantime, identification has been made as
  214. mentioned.
  215.  
  216.     So far, Viruscan has detected the following viruses:
  217.  
  218.     Boot infectors - Brain, Alameda/Yale, Ping-Pong, Den Zuk,
  219.       Stoned, Israeli virus that causes characters to fall down
  220.       the screen;
  221.  
  222.     .COM or .EXE infectors - Jerusalem -several versions
  223.       including sURIV variants, 1701-1704-several versions,
  224.       Lehigh, 1168, 1280, DOS62-Vienna, Saratoga, Icelandic,
  225.       Icelandic 2, April First, and Fu Manchu.
  226.  
  227.     SCANV33 has a byte string to check for the 405.com virus, but
  228. does not detect it.  SCANV34 has been modified to allow proper
  229. detection.
  230.  
  231.     SCANRES 0.7V34, the resident version of Viruscan, correctly
  232. detects the 405 virus when an infected program is run.
  233.  
  234.     I have not had any false positives on other commercial or
  235. shareware programs that have been scanned.  Viruscan appears to
  236. check for viruses only in reasonable locations for those
  237. particular strains.  If there is a virus that infects only .COM
  238. files, and an infected file has a .VOM or other extension, it
  239. will not be reported.  Of course, it is not immediately
  240. executable, either.
  241.  
  242.     On the other side of the coin, if a disk has been infected by
  243. a boot infector, and still has a modified boot record, it will be
  244. reported by Viruscan.  This is true even if the rest of the virus
  245. code normally hidden in other sectors has been destroyed, thus
  246. making the disk non-bootable and non infectious.  This is a
  247. desirable warning, however, since the boot record is not
  248. original, and since other disks may be still infected.
  249.  
  250. Disclaimer:  I am a computer security consultant and have been
  251. working with PC and Macintosh microcomputer viruses and anti-
  252. virus products for about 18 months. I have no obligation to John
  253. McAfee except to report the outcome of the tests.  I am a member
  254. of the Computer Virus Industry Association, which is operated by
  255. John McAfee.
  256.  
  257. Charles M. Preston                       907-344-5164
  258. Information Integrity                    MCI Mail  214-1369
  259. Box 240027                               BIX  cpreston
  260. Anchorage, AK  99524                     cpreston@cup.portal.com
  261.  
  262. ------------------------------
  263.  
  264. End of VIRUS-L Digest
  265. *********************
  266. Downloaded From P-80 International Information Systems 304-744-2253
  267.