home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.183

< prev

next >

Wrap

Text File  |  1995-01-03  |  17KB  |  383 lines

---

1. VIRUS-L Digest   Thursday, 31 Aug 1989    Volume 2 : Issue 183
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Ping-Pong variants (PC)
17. Virus Report from Brazil
18. PC virus list; Swap virus; Israeli virus; Disassemblies
19. CVIA reports new virus at Ohio State (PC)
20. VirusScan updated for New Ohio Virus (PC)
21. nVIR A and nVIR B explained (Mac)
22. VACSINA ... why we called it so (PC)
23. Virus Collection (Mac)
24. Virus Collecting (Mac)
25.  
26. ---------------------------------------------------------------------------
27.  
28. Date:    28 Aug 89 14:09:10 +0000
29. From:    mcvax!rhi.hi.is!frisk@uunet.uu.net (Fridrik Skulason)
30. Subject: Ping-Pong variants (PC)
31.  
32. I have now seen three different variants of the ping-pong virus. The
33. only difference is the character that bounces around the screen.
34.  
35. The (original ?) version where the character is a dot is the most
36. common one, but a version that uses the "diamond" (character number 4)
37. is also fairly common here. Finally, I have seen a version that
38. displays a "smiley" (character number 2) at one site.
39.  
40. Are the two modified versions known elsewhere in the world or are they
41. just local mutations ?
42.  
43.          Fridrik Skulason          University of Iceland
44.          frisk@rhi.hi.is
45.  
46.          Guvf yvar vagragvbanyyl yrsg oynax .................
47.     [Ed. ^(the above sentence) Huh?  :-) ]
48.  
49. ------------------------------
50.  
51. Date:    Tue, 29 Aug 89 10:44:26 +0300
52. From:    Geraldo Xexeo <COS20001@UFRJ.BITNET>
53. Subject: Virus Report from Brazil
54.  
55. I think that the netland could be interested in a Virus Report
56. from Brazil. It is important to say that in Brazil there aren't
57. big networks or lots of Lan's. Most of the virus are distributed
58. by disks.
59.  
60. Source: O Globo (nation-wide newspaper) from a research of Modulo
61. Consultants.(21/8/89)
62.  
63. Number of micro-computers researched: 550.
64.  
65. Viruses detected : disease
66.   Brain, Israely : lost of files
67.   Ping Pong      : a bouncing ball in the video , no harm
68.   sUMsDos        : slows machine, uses memory, no harm detected
69.   Alameda        : harm winchester
70.   Lehigh         : harm any disks (Why Lehigh?)
71.   Madonna        : While Madonna sings in your video, you looseyour disk
72.   Cookie         : Shows "Give me a cookie" in the video
73.   Water fall     : fallof characters(translated from Cascata)
74.   Mailson        : inversion of characters in video and printer
75.                  : named after a Brazilian politician
76.  
77. Number of detections:
78.   Jan: 2
79.   Feb: 4
80.   Mar: 6
81.   Apr: 12
82.   May: 22
83.   Jun: 41
84.   Jul: 66
85.  
86. Avaliation:
87.   Most of the virus are harmfull, thenames could not be right but
88. are the used in Brazil.More than 10% are infected. Exponencial growing.
89.  
90.                   From Brazil,
91.                               Geraldo Xexeo
92.  
93. ------------------------------
94.  
95. Date:    Tue, 29 Aug 89 16:05:44 +0300
96. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
97. Subject: PC virus list; Swap virus; Israeli virus; Disassemblies
98.  
99.   For several reasons, one of which is very irregular receipt of
100. VIRUS-L, I've been out of touch with it for several weeks now.  So
101. please forgive me if some of the postings referred to below are a few
102. weeks old.
103.  
104.   PC Virus List
105.   -------------
106.   Lan Nguyen asks whether a list of PC viruses, incl. date first dis-
107. covered and source(s), exists.  I will soon be submitting to VIRUS-L a
108. considerably updated version of the list I first posted on May 16.
109. Meanwhile, Lan, I'm sending you my list as it currently stands (29
110. viruses, 70 strains).
111.  
112.   The Swap Virus
113.   --------------
114.   Yuval Tal writes:
115. >I don't think that it is so important how we call the virus.  I've
116. >decided to call it the swap virus becuase the message "The Swapping-
117. >Virus...' appears in it!  .......  I think that calling it "The
118. >Dropping Letter Virus" will be just fine.
119.  
120.   Well, "The Dropping Letter Virus" would be a poor choice since (as I
121. mentioned in an earlier posting) this also describes the Cascade and
122. Traceback viruses.
123.   Yuval has explained that he originally called it the Swap virus
124. because it writes the following string into bytes B7-E4 of track 39,
125. sector 7 (if sectors 6 and 7 are empty):
126.           The Swapping-Virus. (C) June, 1989 by the CIA
127. However, he has not publicly explained how the words SWAP VIRUS FAT12
128. got into the boot sector of some of the diskettes infected by this
129. virus, so let me fill in the details.  As David Chess and John McAfee
130. both pointed out quite correctly, these words are not part of the
131. virus.  What happened was that Yuval wrote a volume label SWAP VIRUS
132. onto each infected diskette for identification.  Had his system been
133. DOS 3 the label would have been written only into the root directory.
134. But since he was apparently using DOS 4, it was also written into
135. bytes 2Bh-35h of the boot sector.  (That still leaves the string FAT12
136. in bytes 36h-3Ah to be explained.  Under DOS4, the field 36h-3Dh is
137. supposed to be "reserved".  Anyone got any comments on that?)  So
138. although I didn't know at the time that the words SWAP VIRUS came from
139. Yuval, it seems that my (and his original) suggestion to call it the
140. Swap virus is still the best choice.
141.  
142.   The Israeli/Friday-13/Jerusalem Virus
143.   -------------------------------------
144.   In response to a query from Andrew Berman, David Rehbein gave a
145. quite accurate description of the virus, except for one small point:
146. >(It will infect and replicate itself in ANY executible, no matter
147. >the extension..check especially .OVL and .SYS)
148.  
149.   To the best of my knowledge, no strain of this virus (or, for that
150. matter, of any other virus that I know of) infects overlay or SYS
151. files.
152.  
153.   Andrew Berman writes concerning this virus:
154. >                                                          She think's
155. >she's cleaned it out by copying only the source codes to new disks,
156. >zapping the hard drives, and recompiling everything on the clean hard
157. >disks.
158.  
159.   It's a pity that so many people try to eradicate the virus by such
160. difficult means when (as has been mentioned on this list and else-
161. where) there is a file named UNVIR6.ARC on SIMTEL20 (in <MSDOS.TROJAN-
162. PRO>) containing a program called UNVIRUS which will easily eradicate
163. this virus and 5-6 others as well, plus a program IMMUNE to prevent
164. further infection.
165.  
166.   Disassembling of Viruses
167.   ------------------------
168.  In response to a posting by Alan Roberts, David Chess replied:
169.  
170. >I think it's probably a Good Thing if at least two or three people do
171. >independant disassemblies of each virus, just to make it less likely
172. >that something subtle will be missed.  I know my disassemblies (except
173. >the ones I've spent lots of time on) always contain sections marked
174. >with vaguenesses like "Does something subtle with the EXE file header
175. >here".  ....  I probably tend to lean towards "the more the merrier"!
176.  
177.   I can appreciate David's point.  However, I would like to point out
178. that the quality of (commented) disassemblies differs greatly from one
179. person to another.  As Joe Hirst of the British Computer Virus Re-
180. search Centre writes (V2 #174):
181. >Our aim will be to produce disassemblies which cannot be improved upon.
182.  
183. And this isn't merely an aim.  In my opinion, his disassemblies are an
184. order of magnitude better than any others I've seen.  He figures out
185. and comments on the purpose of *every* instruction, and vagueness or
186. doubt in his comments is extremely rare.
187.   What I'm suggesting is this: If you have the desire, ability, time
188. and patience to disassemble a virus yourself, then have fun.  But
189. unless you're sure it's a brand new virus, you may be wasting your
190. time from the point of view of practical value to the virus-busting
191. community.  And even if you are sure that it's a new virus, take into
192. account that there are pros like Joe who can probably do the job much
193. better than you.
194.   So what about David's point that any given disassembler may miss
195. something subtle?  Well, I'm not saying that Joe Hirst should be the
196. *only* person to disassemble viruses.  Even he is only human, so there
197. should be one or two other good disassemblers to do the job indepen-
198. dently.  But no more than 1 or 2; I can't accept David's position of
199. "the more the merrier".
200.   Btw, disassemblers don't always get the full picture.  Take, for
201. example, the Merritt-Alameda-Yale virus, of which I have seen three
202. disassemblies.  They all mentioned that the POP CS instruction is
203. invalid on 286 machines, yet none of them mentioned the important fact
204. that when such a machine hangs the virus has already installed itself
205. in high RAM and hooked the keyboard interrupt, so that the infection
206. can spread if a warm boot is then performed!  That fact seems to have
207. been noticed only by ordinary humans.
208.  
209.                                            Y. Radai
210.                                            Hebrew Univ. of Jerusalem
211.  
212. ------------------------------
213.  
214. Date:    Tue, 29 Aug 89 12:49:52 -0700
215. From:    portal!cup.portal.com!garyt@Sun.COM
216. Subject: CVIA reports new virus at Ohio State (PC)
217.  
218.  
219. Forwarded message from John McAfee on the Homebase BBS:
220.  
221.    A new boot sector virus has been turned in to the CVIA.  The virus
222. was first discovered at Ohio State University by Terry Reeves in May
223. of this year.  It is a floppy-only variety.  It will infect any new
224. diskette as soon as the diskette is accessed (COPY, DIR, DEL, Program
225. Load, etc.), similar to the Pakistani Brain.  The virus will freeze
226. the system if a <ctrl><alt><del> is pressed and a cold boot is then
227. required.  When the virus activates, the first copy of the FAT becomes
228. corrupted.  No other sysmptoms have been reported.  More information
229. will be supplied after a detailed analysis.
230.  
231. ------------------------------
232.  
233. Date:    Tue, 29 Aug 89 21:24:18 -0700
234. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
235. Subject: VirusScan updated for New Ohio Virus (PC)
236.  
237.     ViruScan V36 now identifies the new virus found at Ohio State
238. University.  The scanner identifies the virus as the 'Ohio Virus'.  This
239. name was discussed with Terry Reeves at Ohio State (the discoverer) and
240. he has assented to its use.
241. Alan
242.  
243. ------------------------------
244.  
245. Date:    Wed, 30 Aug 89 14:41:53 -0000
246. From:    LBA002%PRIME-A.TEES-POLY.AC.UK@IBM1.CC.Lehigh.Edu
247. Subject: nVIR A and nVIR B explained (Mac)
248.  
249. I spotted this in the August issue of Apple2000 (a UK Mac user group
250. magazine.) It first appeared on the Infomac network and the author is
251. John Norstad of Academic Computing & Network Services, Northwestern
252. University (hope it's OK with you to reproduce this John?)
253.  
254. It may be old-hast to all the virus experts but I found it
255. interesting & informative.
256.  
257. nVIR A & B
258.  
259. There has been some confusion over exactly what the nVIR A & nVIR B
260. viruses actually do. In fact, I don't believe the details have ever
261. been published. I just finished spending a few days researching the
262. two nVIR viruses. This report presents my findings.
263. As with all viruses, nVIR A & B replicate. When you run an infected
264. application on  a clean system the infection spreads from the
265. application to the system file. After rebooting the infection in turn
266. spreads from the system to other applications, as they are run.
267. At first nVIR A & B only replicate. When the system file is first
268. infected a counter is initialized to 1000. The counter is decremented
269. by 1 each time the system is booted, and  it is decremented by 2 each
270. time an infected application is run.
271. When the counter reaches 0 nVIR A will sometimes either say "Don't
272. Panic" (if MacinTalk is installed in the system folder) or beep (if
273. MacinTalk is not installed in the system folder.) This will happen on
274. a system boot with a probability of 1/16. It will also happen when an
275. infected application is launched with a probability of 31/256. In
276. addition when an infected application is launched nVIR A may say
277. "Don't Panic" twice or beep twice with a probability of 1/256.
278. When the counter reaches 0 nVIR B will sometimes beep. nVIR B does
279. not call MacinTalk. The beep will happen on a system boot with a
280. probability of 1/8. A single beep will happen when an infected
281. application is launched with a probability of 15/64. A double beep
282. will happen when an application is launched with a probability of
283. 1/64.
284. I've discovered that it is possible for nVIRA and nVIRB to mate and
285. sexually reproduce, resulting in new viruses combining parts of their
286. parents.
287. For example if a system is infected with nVIRA and if an application
288. infected with nVIRB is tun on that system, part of the nVIRB
289. infection is replaced by part of the nVIRA infection from the system.
290. The resulting offspring contains parts from each of its parents,
291. and behaves like nVIRA.
292. Similarly if a system is infected with nVIRB and if an application
293. infected with nVIRA is run on that system, part of the nVIRA
294. infection in the application is replaced by part of the nVIRB
295. infection from the system. The resulting offspring is very similar
296. to its sibling described in the previous paragraph except that it has
297. the opposite "sex" - each part is from the opposite parent. it
298. behaves like nVIRB.
299. These offspring are new viruses. if they are taken to a clean system
300. they will infect that system, which will in turn infect other
301. applications. The descendents are identical to the original
302. offspring.
303. I've also investigated some of the possibly incestual matings of these
304. two kinds of children with each other and with their parents. Again
305. the result is infections that contain various combinations of parts
306. from their parents.
307.  
308. (Hot stuff!)
309.  
310. Rgds,
311.  
312. Iain Noble
313.  
314. ------------------------------
315.  
316. Date:    Wed, 30 Aug 89 19:52:23 -0500
317. From:    Christoph Fischer <RY15%DKAUNI11.BITNET@IBM1.CC.Lehigh.Edu>
318. Subject: VACSINA ... why we called it so (PC)
319.  
320. Hi,
321.    we called the virus VACSINA because the virus opens a file named VACSINA.
322. It dosen't check the return status of the open call. It never touches the
323. file till the end of the virus code, where it closes the file (again
324. ignoring the return code). We think the virus programmer will add some
325. code in a later version of the virus. (Remember we presumed that this is
326. a prematurely escaped virus). The word vaccine comes from the latin word
327. vacca = cow and is spelled with two c in all languages. Only in Norwegian
328. we found the word to be spelled vaksine. So VACSINA is rather odd and what
329. the virus does with the file it opens is odd too, so we decide to name the
330. virus VACSINA. Anyhow nobody will detect a virus by it's name like cascade
331. or vienna or whatever. The File length is somewhat ambigous and therefor
332. not necessarily suitable.
333. To detect the original virus we found, you can in fact search for the word
334. VACSINA (all capitals).
335. I hope this answers those questions about the name.
336. Chris
337.  
338. *****************************************************************
339. * Torsten Boerstler and Christoph Fischer and Rainer Stober     *
340. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
341. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
342. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
343. *****************************************************************
344.  
345. ------------------------------
346.  
347. Date:    Wed, 30 Aug 89 15:35:53 -0400
348. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM>
349. Subject: Virus Collection (Mac)
350.  
351. Suppose one has a disk infected with nVir B.  How would one go about
352. "capturing" the virus?
353.  
354. ------------------------------
355.  
356. Date:    Wed, 30 Aug 89 17:11:34 -0400
357. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
358. Subject: Virus Collecting (Mac)
359.  
360. "Gregory E. Gilbert" <C0195@UNIVSCVM> writes:
361. >
362. >How does one go about "capturing" virus code on an infected disk or at
363. >least view the offending code?  Would one use ResEdit?  Any other
364. >comments are most welcome.  Thanks much.
365. >
366. Very carefully. ResEdit is of course the best way of looking at the
367. resources in a given file, but it's of little use if you are attempting
368. do disassemble the code. MacNosy is a good debugger/disassembler
369. combination, once you know where the code is hiding.
370.  
371. My suggestion, of course, is to get rid of any virus you find as fast
372. as possible. If you're sure it's new, contact John Norstad at the
373. address in the Disinfectant documentation; he's interested in new
374. viruses, so that he can keep Disinfectant up to date.
375.  
376.  --- Joe M.
377.  
378. ------------------------------
379.  
380. End of VIRUS-L Digest
381. *********************
382. Downloaded From P-80 International Information Systems 304-744-2253
383.