home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.200

< prev

next >

Wrap

Text File  |  1995-01-03  |  20KB  |  445 lines

---

1. VIRUS-L Digest   Monday, 25 Sep 1989    Volume 2 : Issue 200
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. More on the CUPLVX Virus (VAX/VMS)
17. Virus humour
18. RE: McAfee Posting
19. Viruscan (PC)
20. re: datacrime & fdisk (PC)
21. Re: October 12/13 (PC)
22. correction to NOCRIME.DOC (PC)
23. Is this a virus? (PC)
24. should we fight fire with fire?
25. safety protocols
26. Write-protecting Disinfectant (Mac) (Was Re: disinfecting nVIR...
27. Latest V-Alert on a "good virus"
28.  
29. ---------------------------------------------------------------------------
30.  
31. Date:    Thu, 21 Sep 89 09:27:00 -0400
32. From:    John McMahon - NASA GSFC ADFTO - 301-286-2045
33.          <FASTEDDY@DFTBIT>
34. Subject: More on the CUPLVX Virus (VAX/VMS)
35.  
36. The following mail messages were posted to the INFO-VAX mailing list
37. in response to the message "Virus or Coincidence" posted by Tom Ivers
38. at the Columbia U. Plasma Physics Lab (IVERS@CUPLVX.APNE.COLUMBIA.EDU).
39. The message was posted to VIRUS-L in a previous isse.
40.  
41. Tom Ivers original mail message indicated that the VAX that had the
42. problem was running VMS 4.5.  VMS 4.4 through 4.7 had a fairly nasty
43. security hole in it that DEC has subsequently patched.  Perhaps this
44. system wasn't patched ?
45.  
46. Assuming the security hole wasn't patched, and LOGINOUT.EXE was
47. replaced then this type of attack has occurred before.  The last major
48. outbreak was when the Chaos Computer Club broke into machines on the
49. "World DECnet" (SPAN/HEPnet/Etc...) during the Summer of 1987.
50.  
51. ***> From:         "FIDLER::LEVINE" <levine%fidler.decnet@NWC.NAVY.MIL>
52. ***>
53. ***>    I got your message from info-vax, and passed it on to other
54. ***> system managers at NWC. One of them just called and said he had part of
55. ***> your problem once. The user limit message is a micro VMS message only,
56. ***> and he told me that the login problem was due to a bad floating point
57. ***> unit on his 750. Apparently the password hashing suborutine (HPWD) uses
58. ***> some Floating point instructions. He will be sending me a full
59. ***> desription of the problem next week which I will pass on to you.
60. ***> As for the VIRUS stuff, he had no trace of that.
61. ***> Michael N. LeVine  Naval Weapons Center, China Lake, Ca 93555, USA
62.  
63. ***> From:         "Richard B. Gilbert" <dragon@NSCVAX.PRINCETON.EDU>
64. ***>
65. ***> I think you've been well and truly screwed.  The safest thing to do is
66. ***> to scrub your disk and restore from a backup that you are certain is
67. ***> clean.
68. ***>
69. ***> I have this horrible feeling that SYS$SYSTEM:LOGINOUT.EXE has been
70. ***> patched or replaced.  Only extensive checking would reveal what else has
71. ***> been tampered with.  You had better assume that any sensitive
72. ***> information on your system has been compromised and that _anything_ may
73. ***> have been tampered with!
74. ***>
75. ***> Even after you restore your system, you will still be vulnerable to a
76. ***> repetion of the same attack!  You will need to read and heed the "Guide
77. ***> to VMS Security".  You should probably have security alarm ACLs on
78. ***> SYS$SYSTEM:SYSUAF.DAT, SYS$MANAGER:SYSTARTUP.COM or SYSTARTUP_V5.COM,
79. ***> SY$MANAGER:SYLOGIN.COM and perhaps a couple of other things.  This will
80. ***> not prevent a breakin but it will make it tougher to do it tracelessly.
81. ***> Check your modem lines if any.  Are they all set /MODEM /HANGUP /DIALUP?
82. ***> If not, they provide a potential entry point for a cracker.
83. ***>
84. ***> Priveleged accounts such as FIELD, and SYSTEST should be kept turned off
85. ***> with /FLAGS=DISUSER and enabled only when needed.
86. ***>
87. ***> The default DECnet account also provides a potential point of entry.
88. ***>
89. ***> I'm real glad I'm not in your shoes.
90.  
91. ***> From:         "Kevin V. Carosso" <KVC%FRIDAY.A-T.COM@CUNYVM.CUNY.EDU>
92. ***>
93. ***> The fact that you are running VMS V4.5 and getting the "USERS EXCEEDED"
94. ***> message is an important clue.  User limits for MicroVMS were enforced by
95. ***> code in LOGINOUT.EXE.  When you upgraded your license on your MicroVAX,
96. ***> say from 2 users to 8, DEC sent you a VMSINTAL kit which patched
97. ***> LOGINOUT.
98. ***>
99. ***> The fact that your 750 suddenly has a user limit of 2 (indeed any limit
100. ***> at all) and is not running VMS V5 means that you may be running with a
101. ***> LOGINOUT.EXE copied from a MicroVMS system.  One distinct possibility is
102. ***> that someone took the LOGINOUT.EXE from a MicroVMS system, possibly
103. ***> patched in their own trapdoor, and copied it to your 750 replacing the
104. ***> standard SYS$SYSTEM:LOGINOUT.EXE.
105. ***>
106. ***> A couple of years ago there were a rash of breakins to VMS machines
107. ***> characterized, in part, by patched LOGINOUT.EXE's being left behind.
108. ***>
109. ***> You should consider restoring LOGINOUT.EXE from tape.  You also might
110. ***> want to save the suspicious one and check it out with ANALYZE/IMAGE
111. ***> (which will report PATCH information unless the image was patched
112. ***> without using the standard VMS PATCH utility).
113. ***>
114. ***>         /Kevin Carosso                        kvc@friday.a-t.com
115. ***>          Innosoft                             kvc@ymir.bitnet
116.  
117. /------------------------------------+---------------------------------------\
118. |John "Fast Eddie" McMahon           |    Span: SDCDCL::FASTEDDY (Node 6.9)  |
119. |Advanced Data Flow Technology Office|    Arpa: FASTEDDY@DFTNIC.GSFC.NASA.GOV|
120. |Code 630.4 - Building 28/W255       |  Bitnet: FASTEDDY@DFTBIT              |
121. |NASA Goddard Space Flight Center    |GSFCmail: JMCMAHON                     |
122. |Greenbelt, Maryland 20771           |   Phone: 301-286-2045 (FTS: 888-2045) |
123. +------------------------------------+---------------------------------------+
124. |Invest heavily in SPAM futures...                                           |
125. \----------------------------------------------------------------------------/
126.  
127. ------------------------------
128.  
129. Date:    Thu, 21 Sep 89 08:08:10 -0700
130. From:    Robert Slade <USERQBPP%SFU.BITNET@VMA.CC.CMU.EDU>
131. Subject: Virus humour
132.  
133. Bit of trivia here.  I recently received a copy of issue 6 of the now
134. (unfortunately) defunct humour digest 'NutWorks'.  It contains an
135. article on a computer virus - a real organic virus that (supposedly)
136. attacked the latest development in computer memory, BRAM, Bacterial
137. Reproducible Active Memory.
138.  
139. The article was written in 1984.
140.  
141. ------------------------------
142.  
143. Date:    Thu, 21 Sep 89 11:57:45 -0400
144. From:    dmg@cornea.mitre.org (David Gursky)
145. Subject: RE: McAfee Posting
146.  
147. [Caveat Emptor: My copy of Virus-L V2 #198 seems to have been eaten by
148. the net, so I do not have my original message in front of me as a source.]
149.  
150. I believe both Chris McDonald and Kelly Goen missed the point of my
151. message about John's message, (which message? who? what?  ;-)
152.  
153. I agree wholeheartedly with Chris' characterization of Centel.  If
154. they are indeed purporting to be selling Viruscan for $25, they are in
155. flagrant violation of the law.  I deliberately tempered my remarks
156. about Centel as the only source of information I have about their
157. "offer" comes from a Washington Post article, and is consequently at
158. least third-hand (whereas my comments about John's posting were based
159. directly on his message).  For example, we know Viruscan is on the
160. disk, but how do any of us know that other utilities that Centel may
161. have developed are on the disk??  I could carry on these arguments for
162. awhile, but I suspect I've made my point here.  Relating this back to
163. my message about John McAfee's posting, I found his language
164. confrontational in the extreme, with no explanation as to why such a
165. tone needed to be adopted.
166.  
167. Kelly is levelling a rather serious charge at Centel.  If indeed
168. Centel was suggesting to purchasers of the disk with Viruscan that
169. they were buying the application, rather than covering distribution
170. costs, he is absolutely right, but as I suggest above, we do not have
171. enough information present to make this judgement.  Again, John's
172. message had no information backing this up.
173.  
174. The question has also been raised about charging for the distribution
175. of software.  I'm no lawyer, but I have the strong suspicion this is
176. perfectly legal (although as I stated about, a $25 distribution charge
177. "smells", to quote Chris).  Consider that several companies in the
178. United States sell disks full of public-domain, freeware, and
179. shareware applications.  When shareware is involved, these companies
180. (at least the better ones) explicitly state that a seperate payment is
181. needed.  Also remember that this is how many user groups generate
182. revenue (through the charge of a nominal distribution fee for a disk
183. of pd/fw/sw software.
184.  
185. Another question was raised about what say the author has in the
186. distribution of his or her work, when done under the auspices of the
187. "Shareware" label.  There is no question that when a piece of
188. shareware code is included in a commercial application or disk, the
189. author is fully within their right to demand payment, or place
190. restrictions on dissemination, or a host of other things.  I am not
191. aware of a precedent that allows a shareware offer to say in the
192. general case that a piece of shareware can be available from source A,
193. but not source B.  Furthermore, such an example (you can get the
194. software from source A, but not B) appears contrary to the philosophy
195. behind shareware.
196.  
197. ------------------------------
198.  
199. Date:    Thu, 21 Sep 89 12:10:40 -0400
200. From:    dmg@cornea.mitre.org (David Gursky)
201. Subject: Viruscan (PC)
202.  
203. The recent discussions of Viruscan have reminded me of something.  The
204. Computer Center folks recently asked me about Anti-virus packages for
205. PCs.  I wanted to pass on to them information about Ross Greenberg's
206. "FluShot Plus" and John McAffee's "Viruscan".  Anyone out there care
207. to synopsize these two (please include information about finding out
208. about site licensing...
209.  
210. Thanks!
211.  
212. David Gursky
213. Member of the Technical Staff, W-143
214. Special Projects Department
215. The MITRE Corporation
216.  
217.  
218. ------------------------------
219.  
220. Date:    Thu, 21 Sep 89 13:18:42 -0500
221. From:    "Rich Winkel UMC Math Department" <MATHRICH@UMCVMB.BITNET>
222. Subject: re: datacrime & fdisk (PC)
223.  
224. >From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
225. >if you use fdisk to create a dummy partition of lets says 2
226. >cylinders and then create a second normal active dos partition
227. >will this prevent the virus from destroying track zero?
228.  
229. It depends on how it accesses the disk.  If it uses bios calls (INT
230. 13H), it will still attack physical cyl 0 on the disk.  If it uses the
231. dos absolute disk write call (INT 26H) it will wipe out whatever the
232. starting track of the dos partition is.  Even if it uses the bios call
233. though, and you've partitioned the disk so it doesn't touch dos's FAT
234. and directory, it will still wipe out the master boot sector where the
235. partition table is stored.  That wouldn't be so bad if you could make
236. FDISK simply put a new master boot sector on the disk, but
237. unfortunately FDISK insists on doing some general housecleaning which
238. may finish the job that datacrime started.  I'm not sure of the extent
239. of the housecleaning, so I can't say for sure.
240.  
241. Rich
242.  
243. ------------------------------
244.  
245. Date:    20 Sep 89 19:29:03 +0000
246. From:    ttidca.TTI.COM!hollombe%sdcsvax@ucsd.edu (The Polymath)
247. Subject: Re: October 12/13 (PC)
248.  
249.  
250. In article <0003.8909191146.AA07427@ge.sei.cmu.edu> ACS1W@uhvax1.uh.edu (Meesh)
251.  writes:
252. }I'm the editor of our university's computing newletter.  I need to
253. }know how users can detect the October 12/13 virus ahead of time.  Is
254. }there a way at all?  ...
255.  
256. How about backing up the hard disk, then setting the system date ahead to
257. October 13 and re-booting?
258.  
259. [Ed. Sounds (to me) kind of like testing to see if the mines in an
260. inert minefield are "ert" by having someone walk through it. :-)]
261.  
262. - --
263. The Polymath (aka: Jerry Hollombe, hollombe@ttidca.tti.com)  Illegitimis non
264. Citicorp(+)TTI                                                 Carborundum
265. 3100 Ocean Park Blvd.   (213) 452-9191, x2483
266. Santa Monica, CA  90405 {csun|philabs|psivax}!ttidca!hollombe
267.  
268. ------------------------------
269.  
270. Date:    Thu, 21 Sep 89 18:29:38 -0700
271. From:    fu@unix.sri.com (Christina Fu)
272. Subject: correction to NOCRIME.DOC (PC)
273.  
274. I have to thank Jim Wright for pointing out to me the mistake I have
275. made in the NOCRIME documentation.  I referred to "NOCRIME.DOC" as
276. "DATACRM.DOC."  Correction has been made, but I do not intend to make
277. it a new version.  I apologize for the confusion.  Those who receive
278. copies directly from me starting Sep. 20 will have the corrected copy.
279.  
280. Sincerely,
281. Christina H. Fu
282.  
283. p.s. Please try to obtain copies from archive sites.  I have trouble
284. keeping up with my mail lately.  Thank you very much.
285.  
286. ------------------------------
287.  
288. Date:    22 Sep 89 00:00:00 +0000
289. From:    Christoph.Fischer.RY15@DKAUNI11
290. Subject: Is this a virus? (PC)
291.  
292. Hi,
293.   we just had an inquiery about 4 strange files that appeared on a
294. Microsoft WORD installation. All 4 files are hidden system and readonly.
295. The filenames are:
296.   MWA.      MW.COD    MW.COM    MW.DAT
297.   256       47296     27902     24442  bytes file length
298.  
299. The file MWA is text and contains:
300.  
301. Copyright   1984 by Microsoft
302. Word Freedom Fighters:
303. Richard Brodie
304. Jabe Blumenthal
305. Jeff Harbers
306. Doug Klunder
307. Bruce Leak
308. Frank Liang
309. Carl McConnell
310. David Palmer
311. Chris Peters
312. Jeff Raikes
313. Tom Reeve
314. Ken Shapiro
315. Charles Simonyi
316. Greg Cox
317. Pat Th....
318.  
319. File dates showed a 1985 creation date
320.  
321. Has anyone seen this before?????? These guys there have a bunch
322. of problems, but we couldn't find a virus yet|
323.  
324. Chris and Torsten
325.  
326. *****************************************************************
327. * Torsten Boerstler and Christoph Fischer and Rainer Stober     *
328. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
329. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
330. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
331. *****************************************************************
332.  
333. ------------------------------
334.  
335. Date:    Fri, 22 Sep 89 02:57:00 -0400
336. From:    CZMUREK%DREW.BITNET@VMA.CC.CMU.EDU
337. Subject: should we fight fire with fire?
338.  
339. [Ed. The following message was sent to VALERT-L, not
340. VIRUS-L/comp.virus (where it should have gone).  Please send any
341. follow-ups here to VIRUS-L/comp.virus.  Also, there are already a
342. number of responses to this message in this (and the next) digest.
343. I've included most of them since they present different reasons for
344. vetoing Chris's idea of creating a virus fighting virus.  I will try
345. to keep the number of redundant messages on this to a minimum.]
346.  
347.      It would seem to me, as probably to most of you, that the
348. creation of yet one more virus would be the last straw.  But the other
349. day I had an idea that might have occured to the rest of you, or maybe
350. not.  I began to design a virus algorythm that would eventually serve
351. as the platform for the destruction of other viruses.  It's purpose
352. would be to infect single programs, single disks, or multiple disks in
353. the first, second and third versions respectively.  Before any alarm
354. sets in here about my intentions, I would like to say that the purpose
355. here is to aid in the effort to combat these little nasties.
356.      I am posting this info in the hopes that some of you will respond
357. with your thoughts on the moral, ethical, and legal aspects of such an
358. act as producing and spawning a virus that is intended to find and/or
359. kill off other viruses that it comes into contact with without causing
360. harm to any other software.  I have thought of many ways to detect and
361. defeat viruses in this manner.  I have not as of yet done any coding
362. beyond the replication stages.  The two methods that I am using are by
363. the boot sector and by piggy-backing com and exec files.  There are
364. others, but for obvious reasons I am not posting the source code or
365. other more elaborate techniques.
366.      Please send me your insightful comments on this subject.  I would
367. also like to know what you think about designing the software to
368. infect only the original user's system (this can be done) assuming it
369. was to be sold commercially.
370.      Thank you in advance for your help in this ethical dilema...
371. Chris (poet)
372.  
373. ------------------------------
374.  
375. Date:    Fri, 22 Sep 89 03:08:00 -0400
376. From:    <CZMUREK%DREW.BITNET@VMA.CC.CMU.EDU>
377. Subject: safety protocols
378.  
379.      In a recent digest, Jim Blakely requested some help in developing a
380. protocol for the prevention of contamination from outside viruses.  I
381. would suggest to him and to any of you the following:
382.   When confronted by the problem of constant disk swapping and usage
383. of disks from the outside, you should set up a machine that is not
384. connected in any way to any other.  Then in the event that a new disk
385. is to be used (one from the outside), this disk should be tested on
386. the new machine by one or more of the most trusted anti-virus programs
387. on the market.  This will insure that its introduciton into the
388. working environment of the facility will not cause any harmful
389. results.  If a disk were to be found infected, the user can then be
390. almost certain that his/her home machine was also infected.
391.      By implementing this policy it would help to insure a safer
392. environment for all.
393.  
394.  
395. ------------------------------
396.  
397. Date:    22 Sep 89 12:29:31 +0000
398. From:    HUUSKONEN@hylka.Helsinki.FI (TANELI HUUSKONEN, DEPT MATH, HELSINKI, FI
399.           NLAND)
400. Subject: Write-protecting Disinfectant (Mac) (Was Re: disinfecting nVIR...
401.  
402.  
403. In article <0008.8909211142.AA16502@ge.sei.cmu.edu>, chinet!henry@att.att.com w
404. rites:
405. >>    When you finally get Disinfectant, and de-Binhex it and
406. >> de-Stuffit, make sure the diskette you keep it on is
407. >> write-protected!!!  This is very important; a virus cannot infect
408. >> an application on a write-protected diskette!
409. >
410. > This is a good idea, but not entirely necessary with Disinfectant.
411. > Disinfectant is resistant to all currently known viruses and will
412. > refuse to run if it has been changed in any way. ...
413.  
414. Two objections:
415. 1)  You need to get a new copy of Disinfectant if a virus attacks it
416.     and makes it refuse to run.
417. 2)  Someone _may_ write a Disinfectant-specific virus that prevents it
418.     from checking itself and from noticing the virus.
419.  
420. ------------------------------
421.  
422. Date:    Fri, 22 Sep 89 00:00:00 +0000
423. From:    "David A. Bader" <DAB3%LEHIGH.BITNET@VMA.CC.CMU.EDU>
424. Subject: Latest V-Alert on a "good virus"
425.  
426.   I don't care who you are - good, bad.. it doesn't matter, I don't
427. want *ANY* viruses!  This is *MY* computer system.  I prefer knowing
428. what's going on in here.  In order for you to create something that
429. will detect and erradicate all viruses but not harm any software or
430. applications - that is just a contradiction... I don't want to see my
431. files grow in size for any reasons.
432.    Viruses are sometimes modified by hackers and new strains appear,
433. so what is stopping someone from modifying your virus into a *bad*
434. virus that looks JUST LIKE the "good" one with the capability of
435. replacing the "good" one and wreaking havoc??
436.    If you started programming... stop.  That's my suggestion.
437.  
438.        -David Bader
439.  
440. ------------------------------
441.  
442. End of VIRUS-L Digest
443. *********************
444. Downloaded From P-80 International Information Systems 304-744-2253
445.