home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.194

< prev

next >

Wrap

Text File  |  1995-01-03  |  13KB  |  300 lines

---

1. VIRUS-L Digest   Monday, 18 Sep 1989    Volume 2 : Issue 194
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. RE: How does one disinfect nVIR from an Appletalked net
17. Re: Source of virus reading material
18. October 12'th virus... (PC)
19. Where to Find a Copy of the Dirty Dozen List
20. Mac System File access time
21. Adobe Illustrator/68030 (Mac)
22. Re: A question on detecting viruses on bootable disks (PC)
23. Re: October 12th Virus (PC)
24. Re: Virus? or what? (PC)
25. New .COM virus (PC)
26.  
27. ---------------------------------------------------------------------------
28.  
29. Date:    Fri, 15 Sep 89 09:51:54 -0400
30. From:    dmg@lid.mitre.org (David Gursky)
31. Subject: RE: How does one disinfect nVIR from an Appletalked network
32.  
33. To answer your question literally, one Mac at a time....
34.  
35. 1)  Get a copy of Disinfectant 1.2.  This detects and removes all known
36.     versions of nVIR.  Also get a copy of Gatekeeper 1.1.1.  Both of these are
37.     available from the Info-Mac archives on SUMEX-AIM.STANFORD.EDU.
38.  
39.     When you finally get Disinfectant, and de-Binhex it and de-Stuffit, make
40.     sure the diskette you keep it on is write-protected!!!  This is very
41.     important; a virus cannot infect an application on a write-protected
42.     diskette!
43.  
44. 2)  Pick any Mac on your LAN, and run Disinfectant on the disk.  This will list
45.     all the infected files.  Here you have two options:
46.  
47.     a)  Throw out all the infected files and restore them from the original
48.         master diskettes *or*
49.  
50.     b)  Use the disinfect feature of Disinfectant to remove nVIR from the
51.         infected applications.
52.  
53.     a is the more effective treatment, but b may be a more practical solution.
54.  
55. 3)  Once the disk is "clean", put a copy of Gatekeeper in the System Folder,
56.     and reboot the machine.  Gatekeeper is a cdev that detects attempts to
57.     infect applications and System files.  I refer you to the documentation
58.     that accompanies Gatekeeper for instructions on how it works, in depth.
59.  
60. 4)  Repeat steps 1 through 3 for each Mac.  After this, you may wish to check
61.     floppy disks you have around for infection, but that is up to you.
62.  
63. As to your other questions, Disinfectant not only detects and kills
64. nVIR, but the various strains of it (such as MEV#, AIDS, nFLU, and so
65. on), as well as Scores, INIT 29, ANTI, and MacMag.  In short, it
66. detects and kills all known Mac viruses.
67.  
68. As far as tracing the source, well, that can be a hard thing to do.
69. You can look at the time the infected files were last modified, and
70. this should give you some form of a "traceback", but it is not a
71. certainty that you will be able to garner the source of the infection
72. from it.
73.  
74. Lastly, you ask about prgrams that can continually monitor for signs
75. of infection.  Gatekeeper is such an application.  Other tools that do
76. this are Vaccine (also available on the SUMEX archive), and SAM (a
77. commercial application written by Paul Cozza and published by
78. Symantec, and a very good application from what I understand).
79.  
80. David Gursky
81. Member of the Technical Staff, W-143
82. Special Projects Department
83. The MITRE Corporation
84.  
85. ------------------------------
86.  
87. Date:    Fri, 15 Sep 89 10:47:23 -0500
88. From:    m19940@mwvm.mitre.org (Emily H. Lonsford)
89. Subject: Re: Source of virus reading material
90.  
91. Two good books are: "Computer Viruses:a High-Tech Disease" by Ralf
92. Burger, Abacus Software. [contains examples!!] and "Computer Viruses"
93. by Ralph Roberts, COMPUTE! Publications Inc.  The "real scoop" from
94. the first few victims can be found in the April 89 issue of Computers
95. & Security.
96.   Also IBM has a free publication called "Coping with Computer Viruses
97. and Related Problems" which may be ordered from IBM Thomas J. Watson
98. Research Center, Distribution Services F-11 Stormytown, Box 218,
99. Yorktown Heights, NY 10598.
100.   It's difficult to give a comprehensive list because there's a new
101. article or book out almost every day.  Good luck and happy reading.
102.  
103. * Emily H. Lonsford *
104. MITRE - Houston W123 (713) 333-0922
105.  
106. [Ed. As Emily points out, Ralf Burger's book contains, for better or
107. for worse, source code examples of several viruses.  This was a topic
108. of discussion here on VIRUS-L some time back - most people seemed
109. shocked that such a book would ever be published.  Indeed, the book is
110. readily available at bookstores as well as from the publisher.]
111.  
112. ------------------------------
113.  
114. Date:    Fri, 15 Sep 89 16:34:06 -0400
115. From:    angelo@pilot.njin.net (Michael F. Angelo)
116. Subject: October 12'th virus... (PC)
117.  
118. Okay,
119.     I have heard lots of rumours about this virus.  I would like
120. it if someone could PLEASE answer the following questions:
121.  
122.     1- What is this viruses signature?
123.     2- Is there any program out there that will locate all
124.         the DATACRIME virus strains? ( I think there are
125.         3 -> 5 )...
126.     3- How wide spread is the virus?  ( Can be conjecture :-> ).
127.  
128.     Thanx much...
129.  
130.         Michael F. Angelo
131.  
132. ------------------------------
133.  
134. Date:    Fri, 15 Sep 89 14:39:55 -0600
135. From:    Chris McDonald ASQNC-TWS-RA <cmcdonal@wsmr-emh10.army.mil>
136. Subject: Where to Find a Copy of the Dirty Dozen List
137.  
138. Version 9.0, Jul 89, of the Dirty Dozen list is available on simtel20.
139. A compressed copy resides on pd1:<msdos.trojan-pro>dirtydz9.arc.1.
140. The file is available on an "anonymous" ftp.
141.  
142. Chris Mc Donald
143. White Sands Missile Range
144.  
145. ------------------------------
146.  
147. Date:    Fri, 15 Sep 89 16:22:00 -0400
148. From:    Peter W. Day <OSPWD%EMUVM1.BITNET@VMA.CC.CMU.EDU>
149. Subject: Mac System File access time
150.  
151. Someone recently mentioned that they were having problems loading an
152. application (not enough memory), noticed that the Modified date on
153. their Mac System File had changed, wondered if they had a viral
154. infection, but could not detect any with Disinfectant. The System file
155. gets modified whenever the Chooser is run, so a change in the Modified
156. date does not in itself indicate infection. While I don't know the
157. cause of the suddenly inadequate memory, the user should try removing
158. all INITS from theSystem Folder and then see if the program will load.
159.  
160. ------------------------------
161.  
162. Date:    Fri, 15 Sep 89 11:07:11 -0400
163. From:    Thomas Neudecker <tn07+@andrew.cmu.edu>
164. Subject: Adobe Illustrator/68030 (Mac)
165.  
166. The recent question regarding problems in running Adobe Illustrator '88
167. on a Mac SE/30 or IIcx is not a virus but rather a bug in the program.
168.  
169. Adobe has a bug fix version 1.8.3 that is available to registered owners.
170.  
171. ------------------------------
172.  
173. Date:    16 Sep 89 14:20:04 +0000
174. From:    frisk@rhi.hi.is (Fridrik Skulason)
175. Subject: Re: A question on detecting viruses on bootable disks (PC)
176.  
177. A reply to "A question on detecting viruses on bootable disks (PC)" from
178. Damon Kelley.
179.  
180. >   I've recently read George Woodside's file on how viruses work
181. > obtained from SIMTEL20.ARPA, VIRUS101.001-004).  He says that a virus
182. > latches on a read/write interrupt to spread itself.
183.  
184. Most of the boot sector viruses (BSV) do, but not all. The Yale/Alameda
185. virus hooks into the keyboard interrupt, and will only spread when the
186. Ctrl-Alt-Del combination is pressed. A program virus will of course
187. use an entirely different method.
188.  
189. > Would the instructions the interrupt calls be near or located at the
190. > first JMP instruction in the boot sector?
191.  
192. No. In fact the new interrupt routine does not have to be located in the
193. boot sector at all. Many BSV only store a small part of their code on the
194. boot sector, the rest (and the original boot sector) may be located
195. somewhere else on the diskette.
196.  
197. Most, (but not all) boot sectors contain a JMP instruction at the
198. start. All disks formatted by the FORMAT command contain either a 3-byte
199. JMP (DOS 2.x) or a 2-byte JMP (DOS 3.x and 4.x). This JMP instruction
200. transfers control to a sequence of instructions, usually starting like this:
201.  
202.                 CLI
203.                 XOR     AX,AX
204.                 MOV     SS,AX
205.                 MOV     SP,7C00
206.                 :
207.                 :
208.  
209. Most BSV replace the original boot sector with a new one. The new boot
210. sector may look very similar to an uninfected one, or it may be obviously
211. different (Not containing the "Not a system disk" message for example)
212. Note that the virus boot sector may contain the same instructions as listed
213. above.
214.  
215. >    From reading a certain reference that concerns the programming of
216. > the IBM PC, I have the impression that that JMP instruction in the
217. > boot sector is quite consistent for the type of PC a user uses.
218.  
219. No, no, no. If the boot sector starts with a JMP instruction at all
220. (and the boot sectors of many "autoboot" games don't) it does not depend
221. upon the type of machine, but rather the program used to format the
222. disk.
223.  
224. > If that JMP instruction is changed, does that signal a virus present,
225.  
226. Yes, but it is impossible to know if it has been changed, without keeping a
227. copy of the original boot sector.
228.  
229. > or have virus writers skipped around that limitation and had the virus
230. > write over what code is found at that JMP destination?
231.  
232. No - most of them just replace the boot sector.
233.  
234.          Fridrik Skulason          University of Iceland
235.          frisk@rhi.hi.is
236.          Guvf yvar vagragvbanyyl yrsg oynax .................
237.  
238. ------------------------------
239.  
240. Date:    Sat, 16 Sep 89 15:40:02 -0400
241. From:    Lee Sailer <UH2@PSUVM.PSU.EDU>
242. Subject: Re: October 12th Virus (PC)
243.  
244. I am new to this virus watching business.  There is a bit of logic that
245. I don't understand.  Several of you have said that since there are
246. only seven reported occurrances in the US, it isn't much of a threat.
247.  
248. But, since the virus lays low til 10/13, couldn't many people be infected
249. but not know?  My environment is a small college with about 200 virus-
250. innocent faculty and staff.  Our computer center has only just begun
251. to look for viruses.  I bet none of the faculty have a virus detector,
252. and certainly the secretaries don't.
253.  
254. If one of these destructive viruses got a foothold in a place like this,
255. couldn't it spread quite a bit between now and 10/13?
256.  
257.                                                      lee
258.  
259. ------------------------------
260.  
261. Date:    Sat, 16 Sep 89 10:14:00 -0500
262. From:    hutto@icarus.riacs.edu (Jon Hutto)
263. Subject: Re: Virus? or what? (PC)
264.  
265. Well, 've found the probablem, (The one thing after everything doesn't work)
266. I had a messed up cable. Oh well.. Life goes on.
267.  
268.  
269. ------------------------------
270.  
271. Date:    Sun, 17 Sep 89 13:10:03 -0700
272. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
273. Subject: New .COM virus (PC)
274.  
275. I though the following message on HomeBase from John McAfee might be of
276. interest:
277.     We have received a new encrypting .COM infector from Dave Chess at
278. IBM and have updated the VIRUSCAN program to be able to identify it.
279. Please download SCANV37.ARC and replace your current version of SCAN.
280. We are trying to find out how widespread this virus may be, so if
281. anyone identifies this virus using SCAN, please contact us
282. immediately.  We know little about this virus as yet, but three
283. volunteers are currently analyzing it.  We should have a report by the
284. 21st.  The only indications so far are: It increases the size of
285. infected COM files by 3555 bytes; It is able to infect COMMAND.COM; it
286. has a 50 byte encryption routine, similar to DATACRIME II; It infects
287. COM files at the time that the infected program is loaded - it does
288. not appear to be memory resident; It sometimes cause the message -
289. "Error Writing to Device AUX1" to occur at the time an infected
290. program is executed.  We have no indication of activation date or
291. function at this time.  Again PLEASE contact the board if SCAN
292. displays the message - "Found 3555 virus".
293. Thanks.  John
294.  
295. ------------------------------
296.  
297. End of VIRUS-L Digest
298. *********************
299. Downloaded From P-80 International Information Systems 304-744-2253
300.