home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.193 < prev    next >
Text File  |  1995-01-03  |  10KB  |  251 lines
  1. VIRUS-L Digest   Friday, 15 Sep 1989    Volume 2 : Issue 193
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Notes on the SWAP virus (PC)
  17. Macintosh Virus List
  18. Virus Article in the making
  19. ??? Virus (Mac)
  20. A question on detecting viruses on bootable disks (PC)
  21. Request for info: Apollo Workstations
  22. Request for basic info
  23. How does one disinfect nVIR from an Appletalked network
  24. 12th National Computer Security Conference
  25.  
  26. ---------------------------------------------------------------------------
  27.  
  28. Date:    14 Sep 89 17:49:48 +0000
  29. From:    frisk@rhi.hi.is (Fridrik Skulason)
  30. Subject: Notes on the SWAP virus (PC)
  31.  
  32. The SWAP virus that was recently discovered in Israel is somewhat
  33. different from other PC boot sector viruses. Normally a BSV replaces
  34. the boot sector with virus code, and stores the original boot sector
  35. somewhere. In some cases the boot sector is stored in unused space,
  36. which is then marked as bad in the FAT (Ping-Pong, Typo, Brain). In
  37. other cases the virus stores the boot sector in a sector that is not
  38. likely to be used (Yale, Den Zuk, Stoned). One virus (Pentagon) even
  39. stores the boot sector in a hidden file.
  40.  
  41. When the computer is booted from an infected disk, the code on the
  42. boot sector will read the rest of the virus into memory. The virus
  43. will then install itself, read the original boot sector and transfer
  44. control to it.
  45.  
  46. SWAP is different - it does not store the original boot sector at all.
  47. Instead it assumes that bytes 196-1B4 (hex) on the boot sector contain
  48. messages that can be safely overwritten. This is true for most (but
  49. not all) boot sectors. It also assumes that the boot sector starts
  50. with a JMP instruction.
  51.  
  52. The virus then replaces these bytes with code to read the rest of the
  53. virus (which is stored at track 39, sectors 6 and 7) into memory. The
  54. virus will then execute the original boot code.
  55.  
  56. The fact that this virus does not store the original boot sector makes
  57. it hard (and in some cases impossible) to repair an infected diskette.
  58.  
  59.          Fridrik Skulason          University of Iceland
  60.          frisk@rhi.hi.is
  61.  
  62.          Guvf yvar vagragvbanyyl yrsg oynax .................
  63.  
  64. ------------------------------
  65.  
  66. Date:    Thu, 14 Sep 89 11:58:07 -0400
  67. From:    "Gregory E. Gilbert" <C0195%UNIVSCVM.BITNET@VMA.CC.CMU.EDU>
  68. Subject: Macintosh Virus List
  69.  
  70. If anyone has a list of currently known viruses for the Macintosh I would
  71. very much appreciate a copy.
  72.  
  73. Thank you very much!
  74.  
  75. Gregory E. Gilbert
  76. Academic Consultant
  77. University of South Carolina
  78. Columbia, South Carolina   USA   29205
  79. (803) 777-6015
  80.  
  81. ------------------------------
  82.  
  83. Date:    Thu, 14 Sep 89 11:42:04 -0400
  84. From:    "Gregory E. Gilbert" <C0195%UNIVSCVM.BITNET@VMA.CC.CMU.EDU>
  85. Subject: Virus Article in the making
  86.  
  87. Evidently our institution has come of age and the powers at be have
  88. decided that an article on viruses is needed for our newsletter.  I
  89. would be most grateful if those that have been through this "rite of
  90. passage" could forward their prose to me either e-mail or traditional
  91. mail.
  92.  
  93. Specifically what I am looking for are works that discuss viruses,
  94. trojan horses, worms, etc ... in general; problems that such beasts
  95. have caused on other campuses; and specifically how the fixes work
  96. (i.e. do fixes insert code into the virus files to render them
  97. harmless, are they removed totally, how do various fixes find the
  98. offending code?)
  99.  
  100. The article which I am writing is for a nontechnical campus computing
  101. news- letter and if any one is interested in reviewing the article
  102. before a final draft is made I would welcome the critism.  Just send
  103. me your e-mail address.
  104.  
  105. Thank you very much I certainly appreciate the effort.
  106.  
  107. Gregory E. Gilbert
  108. Academic Consultant
  109. University of South Carolina
  110. Columbia, South Carolina 29205
  111. (803) 777 - 6015
  112.  
  113. ------------------------------
  114.  
  115. Date:    Thu, 14 Sep 89 13:34:11 -0400
  116. From:    "Gregory E. Gilbert" <C0195%UNIVSCVM.BITNET@VMA.CC.CMU.EDU>
  117. Subject: ??? Virus (Mac)
  118.  
  119. Recently we have had problems running Adobe Illustrator on a MacIIcx.
  120. When opened a dialog box appears and says that not enough memory is
  121. available.  Multifinder is not running and other applications are not
  122. running so there should be enough memory available.
  123.  
  124. On running Disinfectant 1.2 a number of times nothing was located.
  125. Upon view- ing the System file in the System Folder I noted that it
  126. had been modified just an hour or two earlier.  I "ResEditted" the
  127. system file and did not find anything that was extremely obvious.
  128.  
  129. Any clues?  Thanks in advance.
  130.  
  131. Gregory E. Gilbert
  132. Academic Consultant
  133. University of South Carolina
  134. Columbia, South Carolina   USA   29208
  135. (803) 777-6015
  136.  
  137. ------------------------------
  138.  
  139. Date:    14 Sep 89 15:10:00 -0400
  140. From:    "Damon Kelley; (RJE)" <damon@umbc2.umbc.edu>
  141. Subject: A question on detecting viruses on bootable disks (PC)
  142.  
  143.     I've recently read George Woodside's file on how viruses work
  144. (obtained from SIMTEL20.ARPA, VIRUS101.001-004).  He says that a virus
  145. latches on a read/write interrupt to spread itself.  Would the
  146. instructions the interrupt calls be near or located at the first JMP
  147. instruction in the boot sector?
  148.     From reading a certain reference that concerns the programming of
  149. the IBM PC, I have the impression that that JMP instruction in the
  150. boot sector is quite consistant for the type of PC a user uses.  If
  151. that JMP instruction is changed, does that signal a virus present, or
  152. have virus writers skipped around that limitation and had the virus
  153. write over what code is found at that JMP destination?
  154.  
  155. jnet%"damon@umbc"
  156. damon@umbc.bitnet
  157. damon@umbc2.umbc.edu
  158.  
  159.  
  160. ------------------------------
  161.  
  162. Date:    Thu, 14 Sep 89 10:25:55 -0400
  163. From:    KARYN@NSSDCA.GSFC.NASA.GOV
  164. Subject: Request for info: Apollo Workstations
  165.  
  166. Has anyone ever heard anything about viruses on an Apollo workstation
  167. running DOMAIN?
  168.  
  169. *-- *-- *-- *-- *-- *-- *-- *-- *--
  170.  
  171. Karen Pichnarczyk
  172. KARYN@nssdca.gsfc.nasa.gov
  173. ARC Professional Services Group
  174. 1801 Alexander Bell Drive
  175. Reston, VA 20906
  176. 703-648-0770
  177.  
  178. ------------------------------
  179.  
  180. Date:    Fri, 15 Sep 89 00:59:09 -0400
  181. From:    "Interface Associates, Inc." <Q4071@pucc.princeton.edu>
  182. Subject: Request for basic info
  183.  
  184. If I may be permitted to post a very basic question?  Although I have
  185. over ten years' experience in DP, and can intuit how viruses might
  186. operate, I find myself distressingly unfamiliar with the practical
  187. side and jargon.  Is there a good reference on the subject with which
  188. I can begin to bring myself up to speed?
  189.  
  190. Please reply by E-mail to Q4071@PUCC.PRINCETON.EDU.  The retention
  191. periods have gotten very short on this system, and I may not log on in
  192. time to see posted replies (not to mention the probable duplication).
  193.  
  194. [Ed. I'd be willing to bet that there are others with the same
  195. questions - please send a summary of any responses to the list.]
  196.  
  197. =========================================================================
  198. Robert A. West c/o Interface Associates, Inc.    (Q4071@PUCC)
  199. US Mail: 666 Plainsboro Rd. Office Commons, Suite 1A, Plainsboro NJ 08536
  200. Voice  : (609) 275-5711
  201.  
  202. ------------------------------
  203.  
  204. Date:    15 Sep 89 06:26:29 +0000
  205. From:    Jeff Medcalf <mimsy!oddjob.uchicago.edu!uokmax!jeffm@uunet.UU.NET>
  206. Subject: How does one disinfect nVIR from an Appletalked network of macs?
  207.  
  208. The microcomputer lab at the University of Oklahoma has several
  209. Macintoshes linked together by Appletalk.  The nVIR virus (don't know
  210. which variant) has hit them hard, and I would like the answers to some
  211. questions for them:
  212.  
  213. 1) How do you disinfect such a network when being attacked?
  214.  
  215. 2) Is there a program available which will not only kill infected
  216.    folders, but will change each byte that the folder currently
  217.    represents to null (to delete the virus code entirely, not just the
  218.    directory entry)?
  219.  
  220. 3) How does one detect other likely viruses (I am new to comp.virus,
  221.    and have no idea of how to get hold of disinfectant programs).
  222.  
  223. 4) How far can the source of the infection be traced (for example, not
  224.    at all, to the machine, to the date, to the time, to the user)?
  225.  
  226. 5) Are any programs available which constantly monitor problem files
  227.    and inform of modifications to them?
  228.  
  229. Thank you very much
  230.  
  231. jeffm@uokmax.UUCP   |  Arkansas state motto:  At Least We're Not Oklahoma.  |
  232. Jeff Medcalf    +-----------------------------------------------------------+
  233. - ----------------|       Artificial Intelligence?  As opposed to what?     |
  234.                 +-----------------------------------------------------------+
  235.  
  236. ------------------------------
  237.  
  238. Date:    Fri, 15 Sep 89 07:47:14 -0400
  239. From:    dmg@lid.mitre.org (David Gursky)
  240. Subject: 12th National Computer Security Conference
  241.  
  242. As a follow-up to the recent notes about the 12th National Computer
  243. Security Conferences, let me add hotel rooms in the Inner Harbor area
  244. are going fast...
  245.  
  246. ------------------------------
  247.  
  248. End of VIRUS-L Digest
  249. *********************
  250. Downloaded From P-80 International Information Systems 304-744-2253
  251.