home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.18

< prev

next >

Wrap

Text File  |  1995-01-03  |  15KB  |  299 lines

---

1. VIRUS-L Digest            Wednesday, 18 Jan 1989        Volume 2 : Issue 18
2.  
3. Today's Topics:
4. Re: The Ping-Pong virus (PC)
5. Re: Boot sequence (PC); Discretion
6. Init 29 virus (Mac)
7. Macintosh INIT 29 virus - brief description (Mac)
8. suspicious file
9. Worm paper in nroff (Internet)
10.  
11. ---------------------------------------------------------------------------
12.  
13. Date:        Tue,  17 Jan 89 15:06:39 +0200
14. From:        Y. Radai <RADAI1@HBUNOS.BITNET>
15. Subject:     Re: The Ping-Pong virus (PC)
16.  
17.   Eldad Salzmann asked about the Ping-Pong virus.  It is a virus
18. which first appeared in Israel about three months ago, and which got
19. its name because of a bouncing point which appears on the screen.
20. Like the Brain virus, it resides in the boot sector of disks, in bad
21. sectors, and in high RAM.  (Since I haven't heard of any reports of
22. its appearence anywhere else, I presume that it originated in Israel,
23. probably in the Tel Aviv area.)
24.   Among the points in which it differs from the Brain virus: (1) It
25. infects hard disks, not only 5 1/4-inch floppies.  (2) It marks only
26. two sectors as bad.  (3) It grabs only 2K of high RAM.  (4) To the
27. best of my knowledge, it does not cause any damage to files or to the
28. FAT.  In particular, the bad sectors seem to always be chosen from
29. unused clusters.
30.   As to Eldad's question about the possibility of a connection between
31. the Ping-Pong virus and his WordPerfect problem, I strongly doubt that
32. there is any.
33.   No, there is no panacea against viruses.  However, the same program
34. UNVIRUS which was originally written to eradicate the "sUMsDos"
35. (Friday-the-13th) Israeli virus, and was later extended to three other
36. Israeli viruses, has also been extended to eradicate the Ping-Pong
37. virus, both from the disk and from RAM.  (The author of all versions
38. of UNVIRUS is Yuval Rakavy.)
39.  
40.   I said above that points (1)-(4) were supposed to be in contrast to
41. the Brain virus, but actually I'm not at all sure what the latter does
42. with respect to point (4).  I have read (A) that it isn't at all des-
43. tructive; (B) that it "has been hacked ... into a very malignant form
44. which can infect hard disks and which destroys FAT entries, deletes
45. files, and performs other malicious activities" (quoted from the
46. InterPath document); (C) that is is destructive only to the extent
47. that it may copy its code to sectors which may belong to existing
48. files.  Obviously, each of these descriptions may be correct for a
49. different strain of the virus, although sometimes the reports contra-
50. dict themselves even when talking about the *same* variant (e.g. with
51. respect to that which hit the Univ. of Miami).  In any case, can any-
52. one verify from *actual first-hand experience* that there is a version
53. of Brain which is destructive in sense (B)?
54.  
55.                                            Y. Radai
56.                                            Hebrew Univ. of Jerusalem
57.  
58. ------------------------------
59.  
60. Date:        Tue,  17 Jan 89 17:10:21 +0200
61. From:        Y. Radai <RADAI1@HBUNOS.BITNET>
62. Subject:     Re: Boot sequence (PC); Discretion
63.  
64. Concerning the boot process on the PC, Dimitri Vulis writes (V2#10):
65. >                                  Certainly, one can mess around with
66. >a disk and create one that won't boot, because IBMBIO.SYS is not at
67. >the beginnig. This would require some (a little) conscious effort and
68. >cannot easily be done with just FORMAT/S or SYS. I was describing a
69. >successful boot, in which the file is read into memory.
70.   (1) I wasn't assuming a disk which wouldn't boot, since IBMBIO.SYS
71. does not have to be at the beginning of the disk in order for it to
72. boot.  If another program has been placed there (e.g. by a virus), it
73. would be executed first, but it could terminate with a transfer of
74. control to IBMBIO (which has been relocated elsewhere) in order for a
75. successful boot to take place.  (2) Even if Dimitri intended to des-
76. cribe only normal boots, it is more accurate to say that the boot rou-
77. tine loads certain sectors than that it loads certain files, and my
78. correction was intended to convert his description from one which is
79. correct only in the case of normal disks into one which would be accu-
80. rate also for altered disks (assuming, of course, that the boot rou-
81. tine itself has not been altered).  (3) Although my correction may
82. seem trivial to some readers, I have reasons for considering it to be
83. quite significant for certain purposes.
84.  
85.   Another (not very important) point:
86. >     if the disk has IBMBIO.COM and IBMDOS.COM as the first files in
87. >the directory, (and finding that takes room too) and if they are
88. >hidden/system, then the code assumes that the disk is OK ....
89.   I once removed the hidden and system attributes from IBMBIO.COM and
90. IBMDOS.COM on one of my diskettes, yet I was still able to boot from
91. it.
92.  
93.   In his reply concerning the false-sense-of-security issue which I
94. raised, Dimitri has clarified what he meant by discretion.  Among
95. other things he writes:
96. > I don't download software from BBS's anymore (too bad) ....
97.   Yes, it certainly is too bad.  I continue to download software
98. (mainly from the SIMTEL20 archives).  One reason that I feel relative-
99. ly safe doing so is that I try out all new software on a separate com-
100. puter (I realize, of course, that this facility is not available to
101. everyone), and I don't transfer the new software to the hard disk of
102. my ordinary computer until several weeks (sometimes even months) have
103. elapsed, during which time I check for suspicious activity by means of
104. the programs I mentioned earlier: FSP, PROTECT, and (most important)
105. the checksum program in order to see if anything on the disk is get-
106. ting altered which shouldn't.  (I use the same programs on my ordinary
107. computer too, of course.)  Also, I simulate dates in the future just
108. in case the software contains a time bomb with a long delay.  (Yes, I
109. know, even then I can't be *completely* sure, but I don't mind taking
110. the risk.)
111.   Secondly, Dimitri has mentioned ads which claim 100% protection from
112. viruses, and he has discussed the exploitation by crooks and gonefs of
113. "dumb ignorant people", "complete idiots" and "very stupid and igno-
114. rant individuals".  However, I don't find that he has given a direct
115. answer to my main question: Why can't we use *both* anti-viral soft-
116. ware *and* discretion?
117.                                            Y. Radai
118.                                            Hebrew Univ. of Jerusalem
119.  
120. ------------------------------
121.  
122. Date: Wed, 18 Jan 89 11:39:10
123. Resent-From: XRJDM@SCFVM.Bitnet
124. From: Confusion's Drummer <R746LL12@CMCCVB.BITNET>
125. Subject: Init 29 virus (Mac)
126.  
127. Here's an extract describing the Mac INIT 29 virus from Laura Lemay
128. at Carnegie-Mellon University.
129.  
130.  --- Joe M.
131.  
132.  
133. 1.  To answer your question on Virus-L...init 29 is NOT hpat.  Hpat is
134. a near-clone of nVIR B (the 422-byte, code 256 version that says
135. "don't panic"), except the code is 255 instead of 256, and I think the
136. byte-size has changed.  Rumors are still flying. {Several new repair
137. programs are available, but have not yet been put out on the SCFVM
138. server. They will be announced and sent to the Simtel-20 and Info-Mac
139. archives when they are installed.}
140.  
141. Init 29 is an entirely NEW virus.  It is tiny (1/2 k!)), and the only
142. sign it exists is an INIT (29, wonder of wonders) that starts popping
143. up in everything.  SO far, the only side effects I've heard of is that
144. it gives "disk needs minor repairs" errors while trying to mount TOPS
145. volumes.
146.  
147. The really evil thing about INIT 29 is that it doesn't need a program
148. to be run in order to spread.  It starts infecting the moment a disk
149. is inserted in a drive!  In this way, an idle hard disk can be
150. infected completely in a short amount of time.
151.  
152. Oops - I just found another note about INIT 29....it adds CODE
153. resources to applications, and INITs to everything else.  Both are 712
154. bytes.  I don't know what number the code is -- they didn't mention it
155. in the note.  Protected code 0's foil the virus (as they do in nVIR
156. and scores).
157.  
158. VirusDetective (tm) and RWatcher can be modified to look for it
159. (search on INIT 29 and code size 712). New versions of Vaccine,
160. Interferon, and Virus RX either have appeared or will appear soon.
161. {New Vaccine is out; haven't seen a new Interferon yet; new Virus RX
162. is out and available at SCFVM.}
163.  
164. I hope I haven't sounded too confused -- there are still a lot of
165. rumors flying around.  All my info comes from a friend at apple who
166. pulled it off of mac link.
167.  
168. If you want to post this info on virus-L, please do.  For some reason,
169. I don't have access to the group or to the moderator.  Sigh. {Any
170. ideas, Ken?}
171.  
172. Laura Lemay
173. R746LL12@CMCCVB.BITNET
174. Carnegie-Mellon University
175.  
176. [Ed. She does now...welcome to VIRUS-L, Laura.]
177.  
178. ------------------------------
179.  
180. Date: Wed, 18 Jan 89 14:05:52 -0500
181. From: Joel B Levin <levin@BBN.COM>
182. Subject: Macintosh INIT 29 virus - brief description (Mac)
183.  
184. Here is a brief overview of the recently seen INIT 29 virus.  I have
185. disassembled it and this represents a summary of what I have discovered.
186.  
187. * PLEASE NOTE: Where I describe what this virus does or does not do, keep in
188. * mind the phrase "AS FAR AS I KNOW."  I have looked at all the code in the
189. * virus, but I'll not guarantee that I have seen everything that there is to
190. * see in it.
191.  
192. First, the good news: it appears to have almost no harmful side
193. effects (files destroyed, beeping, and the like).  If it can't do
194. something it generally does nothing.  All its code is devoted to the
195. task of propagating itself.
196.  
197. So the bad news: it is very good at propagating; I would agree with
198. those who term INIT 29 virulent.
199.  
200. INIT 29 is a single 712 byte resource which installs itself into
201. non-applications as (you guessed it) INIT 29, and into applications as
202. a CODE resource.  There are no ancillary resources such as those used
203. by nVIR (and Hpat), so it is somewhat less noticeable using ResEdit,
204. say.
205.  
206. The INIT works by patching a trap, OpenResFile.  (If it detects that
207. another copy of itself has already patched OpenResFile, it does
208. nothing.)
209.  
210. The patch to OpenResFile is a tail patch; i.e., it calls the routine
211. at the address previously dispatched to by OpenResFile, then does its
212. dirty work on the resource file just opened.  This, basically, is to
213. copy itself into that resource file if it was not previously infected.
214. If the file has no CODE resources, it copies itself in as INIT 29.  If
215. the file does have CODE resources, it writes itself into the file as a
216. new CODE resource with the previously lowest unused resource number.
217. It patches the jump table in CODE 0 so that it is called before the
218. application proper is started.
219.  
220. When an infected application runs, it examines the system file for
221. INIT 29.  If the system is infected, it just starts the application
222. proper; if not, it first adds itself as INIT 29 to the system file.
223.  
224. The only overtly destructive thing this virus does is to remove and replace
225. any legitimate INIT 29 which may have been present in the file before the
226. infection attempt.
227.  
228. Because it patches the trap that it does, any resource file which is
229. opened once this INIT has run at boot time will become infected: your
230. Desktop file will have a copy of the INIT; all your INIT files may
231. have it; your EDIT text files will have it.  Just examining a resource
232. fork with ResEdit is sufficient to add it, either as the INIT, or
233. patching in the new CODE.
234.  
235. The VirusDetective DA can detect it; Apple's Virus Rx 1.4a1 appears to
236. flag it (though it doesn't say why it thinks a file is bad).  Other
237. virus programs may or may not catch it, and I don't know if any can
238. repair it.  Removing the INIT 29 resource should be safe; however, DO
239. NOT try to repair applications by removing the offending CODE
240. resource, as there will still be a patched jump table entry pointing
241. to that resource.  I do not know at this time if Vaccine, RWatcher, or
242. any of the other infection attempt detectors will catch this.
243.  
244. ------------------------------
245.  
246. Date:         Mon, 16 Jan 89 11:27:42 EDT
247. From:         "W. K. (Bill) Gorman" <34AEJ7D@CMUVM.BITNET>
248. Subject:      suspicious file
249.  
250. I have a user who has a suspicious file on the disk. It has a filename
251. consisting of what looks like random alphanumeric characters, no
252. extension, and shows a size of zero in the directory. Further, it
253. shows up on a normal DIR listing, but cannot be deleted by either DOS,
254. NORTON or a couple of other things. NORTON thinks, judging from the
255. first character in the fileneme, that it is a deleted file... but it
256. still shows up on the normal DOS "DIR" listing. The user says there
257. were a bunch of files out there like this one, but they were all
258. deleted except this one.
259.  
260. I am wondering if this might be a viral footprint?
261.  
262. .............................................................................
263. |W. K. "Bill" Gorman                 "Do             Foust Hall # 5         |
264. |PROFS System Administrator        SOMETHING,        Computer Services      |
265. |Central Michigan University      even if it's       Mt. Pleasant, MI 48858 |
266. |34AEJ7D@CMUVM.BITNET                wrong!"         (517) 774-3183         |
267. |_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_|
268. |Disclaimer: These opinions are guaranteed against defects in materials and |
269. |workmanship for a period not to exceed transmission time.                  |
270. |...........................................................................|
271.  
272. ------------------------------
273.  
274. Date: 18 January 89, 14:12:44 EST
275. From: Jeffery K. Bacon     <BACON@MTUS5.BITNET>
276. Subject: Worm paper in nroff (Internet)
277.  
278. Quick note on the "Tour of the Worm" file for Otto (and others):
279.  
280. In the nroff source, there IS a copyright note. However, considering the
281. thing was put up for anon ftp...
282.  
283. I'm sending Otto a reformatted version of the file...
284.  
285. - -JB
286.  
287. [Ed. Thanks Jeff.  Having never really looked at the nroff source (I
288. only printed the .CRT file), I never noticed the copyright notice.  I
289. just looked at it now, however, and it does say "Copyright 1988 by
290. Donn Seeley, all rights reserved".  Anyone who wishes to use this
291. report (a very informative one, by the way) should get permission from
292. Mr. Seeley.]
293.  
294. ------------------------------
295.  
296. End of VIRUS-L Digest
297. *********************
298. Downloaded From P-80 International Information Systems 304-744-2253
299.