home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.202

< prev

next >

Wrap

Text File  |  1995-01-03  |  20KB  |  465 lines

---

1. VIRUS-L Digest   Monday, 25 Sep 1989    Volume 2 : Issue 202
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Columbus Day Virus (PC) (long)
17. [Ed. Due to its length, I've included this Press Release from NIST in
18. a separate VIRUS-L digest.]
19.  
20. ---------------------------------------------------------------------------
21.  
22. Date:    22 Sep 89 23:54:00 -0400
23. From:    "STEINAUER, DENNIS" <steinauer@ecf.ncsl.nist.gov>
24. Subject: Columbus Day Virus (PC) (long)
25.  
26. FOR IMMEDIATE RELEASE:                       Jan Kosko
27. Sept. 22, 1989                               301/975-2762
28.  
29.                                              TN-XXXX
30.  
31.  
32.              COMPUTER SECURITY EXPERTS ADVISE STEPS
33.                TO REDUCE THE RISK OF VIRUS ATTACKS
34.  
35.      To reduce the risk of damage from potentially serious
36. computer viruses, including one called "Columbus Day," experts at
37. the National Institute of Standards and Technology (NIST), the
38. National Computer Security Center (NCSC), and the Software
39. Engineering Institute (SEI) are recommending several measures plus
40. commonsense computing practices.
41.  
42.      "This advice is being offered to encourage effective yet calm
43. response to recent reports of a new variety of computer virus,"
44. says Dennis Steinauer, manager of the computer security management
45. and evaluation group at NIST.
46.  
47.      While incidents of malicious software attacks are relatively
48. few, they have been increasing.  Most recently, a potentially
49. serious personal computer virus has been reported.  The virus is
50. known by several names, including "Columbus Day," Datacrime and
51. "Friday the 13th."  In infected machines it is designed to attack
52. the hard-disk data-storage devices of IBM-compatible personal
53. computers on or after October 13.   The virus is designed to
54. destroy disk file directory information, making the disk's
55. contents inaccessible.  (A fact sheet on this virus is attached
56. and includes precautionary measures to help prevent damage.)
57.  
58.      While the Columbus Day virus has been identified in both the
59. United States and Europe, there is no evidence that it has spread
60. extensively in this country or that it is inherently any more
61. threatening than other viruses, say the computer security experts.
62.  
63.      "Computer virus" is a term often used to indicate any self-
64. replicating software that can, under certain circumstances,
65. destroy information in computers or disrupt networks.  Other
66. examples of malicious software are "Trojan horses" and "network
67. worms."  Viruses can spread quickly and can cause extensive
68. damage.  They pose a larger risk for personal computers which tend
69. to have fewer protection features and are often used by non-
70. technically-oriented people.  Viruses often are written to
71. masquerade as useful programs so that users are duped into copying
72. them and sharing them with friends and work colleagues.
73.  
74.      Routinely using good computing practices can reduce the
75. likelihood of contracting and spreading any virus and can minimize
76. its effects if one does strike.  Advice from the experts includes:
77.  
78. *    Make frequent backups of your data, and keep several
79.      versions.
80.  
81. *    Use only software obtained from reputable and reliable
82.      sources.  Be very cautious of software from public sources,
83.      such as software bulletin boards, or sent across personal
84.      computer networks.
85.  
86. *    Don't let others use your computer without your consent.
87.  
88. *    Use care when exchanging software between computers at work
89.      or between your home computer and your office computer.
90.  
91. *    Back up new software immediately after installation and use
92.      the backup copy whenever you need to restore.  Retain
93.      original distribution diskettes in a safe location.
94.  
95. *    Learn about your computer and the software you use and be
96.      able to distinguish between normal and abnormal system
97.      activity.
98.  
99. *    If you suspect your system contains a virus, stop using it
100.      and get assistance from a knowledgeable individual.
101.  
102.      In general, educating users is one of the best, most cost-
103. effective steps to take, says Steinauer.  Users should know about
104. malicious software in general and the risks that it poses, how to
105. use technical controls, monitor their systems and software for
106. abnormal activity, and what to do to contain a problem or recover
107. from an attack.  "An educated user is the best defense most
108. organizations have," he says.
109.  
110.      A number of commercial organizations sell software or
111. services that may help detect or remove some types of viruses,
112. including the Columbus Day virus.  But, says Steinauer, there are
113. many types of viruses, and new ones can appear at any time.  "No
114. product can guarantee to identify all viruses," he adds.
115.  
116.      To help deal with various types of computer security threats,
117. including malicious software, NIST and others are forming a
118. network of computer security response and information centers.
119. These centers are being modeled after the SEI's Computer Emergency
120. Response Team Coordination Center, often called CERT, established
121. by the Defense Advanced Research Projects Agency (DARPA).  The
122. centers will serve as sources of information and guidance on
123. viruses and related threats and will respond to computer security
124. incidents.
125.  
126.      In addition, NIST recently has issued guidelines for
127. controlling viruses in various computer environments including
128. personal computers and networks.
129.  
130.      NIST develops security standards for federal agencies and
131. security guidelines for unclassified computer systems.  NCSC, a
132. component of the National Security Agency, develops guidelines for
133. protecting classified (national security) systems.  SEI, a
134. research organization funded by DARPA, is located at Carnegie
135. Mellon University in Pittsburgh.
136.  
137.                               -30-
138.  
139. NOTE:  Computer Viruses and Related Threats:  A Management Guide
140. (NIST Special Publication 500-166) is available from
141. Superintendent of Documents, U.S. Government Printing Office,
142. Washington, D.C. 20402.  Order by stock no. 003-003-02955-6 for
143. $2.50 prepaid. Editors and reporters can get a copy from the NIST
144. Public Information Division, 301/975-2762.
145. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
146. Sept. 22, 1989
147.  
148.                            FACT SHEET
149.  
150.                    Columbus Day Computer Virus
151.  
152. Several reports of a new computer virus recently have been
153. published in the media and throughout the data processing
154. community.  This virus has been referred to as "Columbus Day,"
155. "Friday the 13th," as well as "Datacrime I" or "Datacrime II." It
156. attacks IBM-compatible personal computers running the MS-DOS/PC-
157. DOS operating system.  If activated, the virus will destroy disk
158. file directory information, making files and their contents
159. inaccessible. The following information has been compiled by
160. NIST, NCSC, and SEI from several sources and is being made
161. available for system managers to use in taking precautionary
162. measures.
163.  
164. NOTE: As with many viruses, there may be other, yet unidentified,
165. variants with different characteristics.  Therefore, this
166. information is not guaranteed to be complete and accurate for all
167. possible variants.
168.  
169. NAMES OF VIRUS:  Columbus Day, Friday the 13th, Datacrime I/II
170. EFFECT: Performs a low-level format of cylinder zero of the
171. hard disk on the target machine, thereby destroying the boot
172. sector and File Allocation Table (FAT) information.  Upon
173. activation it may display a message similar to the following:
174. DATACRIME VIRUS  RELEASED:1 MARCH 1989
175.  
176. TRIGGER: The virus is triggered by a system date 13 October or
177. later.  (Note that 13 October 1989 is a Friday.)
178.  
179. CHARACTERISTICS: Several characteristics have been identified:.
180.  
181. 1.  The virus, depending on its variant, appends itself to .COM
182. files (except for COMMAND.COM), increasing the .COM file by
183. either 1168 or 1280 bytes.  In addition, the Datacrime II variant
184. can infect .EXE files, increasing their size by 1514 bytes.
185.  
186. 2.  The 1168 byte version contains the hex string EB00B40ECD21B4.
187.  
188. 3.  The 1280 byte version contains the hex string
189. 00568DB43005CD21.
190.  
191. This virus reportedly was released on 1 March 1989 in Europe.  It
192. is unlikely that significant propagation could occur between the
193. release date and mid-October; therefore, U.S. systems should be
194. at a low risk for infection.  If safe computing practices have
195. been followed, the risk should be practically nil.  However,
196. managers believing their site may be at risk should consider
197. taking precautionary measures, including one or more of the
198. following actions:
199.  
200. 1.  Take full back-ups of all hard disks.  If the disks are later
201. found to have been infected and attacked by the virus, lost data
202. can be recovered from the back-ups.  Operating system and
203. application software can be restored from original media.  A full
204. low-level disk format should be performed on the infected hard
205. disk prior to restoration procedures.
206.  
207. 2.  Consider using a commercial utility that can assist in
208. restoration of a disk directory and recovery of data.  There are
209. a number of such utilities on the market.  Note that these
210. utilities normally must be run prior to data loss to enable disk
211. and file restoration.
212.  
213. 3.  Avoid setting the system date to 13 October or later until
214. the systems have been checked for virus presence.
215.  
216. 4.  Attempt to determine if the virus is present in one or more
217. files through one of the following techniques:
218.  
219.      a.   If original file sizes are known, check for increased
220.           sizes as noted above.
221.  
222.      b.   Use DEBUG or other utility to scan .COM and .EXE files
223.           for the characteristic hexadecimal strings noted
224.           earlier.
225.  
226.      c.   Copy all software to an isolated system and set the
227.           system date to 13 October or later and run several
228.           programs to see if the virus is triggered.  If
229.           activation occurs, all other systems will require virus
230.           identification and removal.
231.  
232.      d.   Use a virus-detection tool to determine if this (or
233.           another) virus is present.
234.  
235. Commercial products intended to detect or remove various computer
236. viruses are available from several sources.  However, these
237. products are not formally reviewed or evaluated; thus, they are
238. not listed here.  The decision to use such products is the
239. responsibility of each user or organization.
240.  
241.                              - 30 -
242. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++A
243. Suggested Readings List for Computer Viruses and Related
244. Problems:
245.  
246. Prepared by:   John Wack
247.                National Institute of Standards and Technology
248.  
249.                September 22, 1989
250.  
251.  
252.                             ABSTRACT
253.  
254.  
255. This document provides a list of suggested readings for obtaining
256. information about computer viruses and other related threats to
257. computer security.  The primary intended audience is management
258. as well as other technically-oriented individuals who wish to
259. learn more about the nature of computer viruses and techniques
260. that can be used to reduce their potential threat.  The suggested
261. readings may range from general discussions on the nature of
262. viruses and related threats, to technical articles which explore
263. the details of various viruses, the mechanisms they attack, and
264. methods for controlling these threats to computer security.
265.  
266. BASIC TERMS
267.  
268.  
269. The following list provides general definitions for basic terms
270. that are commonly used throughout the applicable literature.
271. Some of the terms are relatively new and their definitions are
272. not widely agreed upon, thus they may be used differently
273. elsewhere.
274.  
275.  
276. Computer Virus:  A name for a class of programs that contain
277. software that has been written to cause some form(s) of damage to
278. a computing system's integrity, confidentiality, or availability.
279. Computer viruses typically copy their instructions to other
280. programs; the other programs may continue to copy the
281. instructions to more programs.  Depending on the author's
282. motives, the instructions may cause many different forms of
283. damage, such as deleting files or crashing the system.  Computer
284. viruses are so named because of their functional similarity to
285. biological viruses, in that they can spread rapidly throughout a
286. system.  The term is sometimes used in a general sense to cover
287. many different types of harmful software, such as trojan horses
288. or network worms.
289.  
290. Network Worm:  A name for a program or command file that uses a
291. computer network as a means for adversely affecting a system's
292. integrity, reliability, or availability.  From one system, a
293. network worm may attack a second system by first establishing a
294. network connection with the second system.  The worm may then
295. spread to other systems in the same manner.  A network worm is
296. similar to a computer virus in that its instructions can cause
297. many different forms of damage.  However a worm is generally a
298. self-contained program that spreads to other systems, as opposed
299. to other files.
300.  
301. Malicious Software:  A general term for computer viruses, network
302. worms, trojan horses, and other software designed to deliberately
303. circumvent established security mechanisms or codes of ethical
304. conduct or both, to adversely affect the confidentiality,
305. integrity, and availability of computer systems and networks.
306. The software may be composed of machine-language executable
307. instructions, or could be in the form of command files.
308.  
309. Unauthorized User(s):  A user who knowingly uses a system in a
310. non-legitimate manner.  The user may or may not be an authorized
311. user of the system.
312. The actions of the user violate established security mechanisms
313. or policies, or codes of ethical conduct, or both.
314.  
315.  
316.  
317. Trojan Horse:  A name for a program that disguises its harmful
318. intent by purporting to accomplish some harmless and possibly
319. useful function.  For example, a trojan horse program could be
320. advertised as a calculator, but it may actually perform some
321. other function when executed such as modifying files or security
322. mechanisms.  A computer virus could be one form of a trojan
323. horse.
324.  
325. Back Door:  An entry point to a program or system that is hidden
326. or disguised, often created by the software's author for
327. maintenance or other convenience reasons.  For example, an
328. operating system's password mechanism may contain a back door
329. such that a certain sequence of control characters may permit
330. access to the system manager account.  Once a back door becomes
331. known, it can be used by unauthorized users or malicious software
332. to gain entry and cause damage.
333.  
334. Time Bomb, Logic Bomb:  Mechanisms used by some examples of
335. malicious software to cause damage after a predetermined event.
336. In the case of a time bomb, the event is a certain system date,
337. whereas for a logic bomb, the event may vary.  For example, a
338. computer virus may infect other programs, yet cause no other
339. immediate damage.  If the virus contains a time bomb mechanism,
340. the infected programs would routinely check the system date or
341. time and compare it with a preset value.  When the actual date or
342. time matches the preset value,  the destructive aspects of the
343. virus code would be executed.  If the virus contains a logic
344. bomb, the triggering event may be a certain sequence of key
345. strokes, or the value of a counter.
346.  
347. Anti-Virus Software:  Software designed to detect the occurrence
348. of a virus.  Often sold as commercial products, anti-virus
349. programs generally monitor a system's behavior and raise alarms
350. when activity occurs that is typical of certain types of computer
351. viruses.
352.  
353. Isolated System:  A system that has been specially configured for
354. determining whether applicable programs contain viruses or other
355. types of malicious software.  The system is generally
356. disconnected from any computer networks or linked systems, and
357. contains test data or data that can be restored if damaged.  The
358. system may use anti-virus or other monitoring software to detect
359. the presence of malicious software.
360.  
361. Computer Security:  The technological safeguards and management
362. procedures that can be applied to computer hardware, programs,
363. data, and facilities to assure the availability, integrity, and
364. confidentiality of computer based resources and to assure that
365. intended functions are performed without harmful side effects.
366.  
367.                        SUGGESTED READINGS
368.  
369.  
370.  
371. Brenner, Aaron; LAN Security; LAN Magazine, Aug 1989.
372.  
373. Bunzel, Rick; Flu Season; Connect, Summer 1988.
374.  
375. Cohen, Fred; Computer Viruses, Theory and Experiments; 7th
376. Security Conference, DOD/NBS Sept 1984.
377.  
378. Computer Viruses - Proceedings of an Invitational Symposium, Oct
379. 10/11, 1988; Deloitte, Haskins, and Sells; 1989
380.  
381. Denning, Peter J.; Computer Viruses; American Scientist, Vol 76,
382. May-June, 1988.
383.  
384. Denning, Peter J.; The Internet Worm; American Scientist, Vol 77,
385. March-April, 1989.
386.  
387. Dvorak, John; Virus Wars: A Serious Warning; PC Magazine; Feb 29,
388. 1988.
389.  
390. Federal Information Processing Standards Publication 83,
391. Guideline on User Authentication Techniques for Computer Network
392. Access Control; National Bureau of Standards, Sept, 1980.
393.  
394. Federal Information Processing Standards Publication 73,
395. Guidelines for Security of Computer Applications; National Bureau
396. of Standards, June, 1980.
397.  
398. Federal Information Processing Standards Publication 112,
399. Password Usage; National Bureau of Standards, May, 1985.
400.  
401. Federal Information Processing Standards Publication 87,
402. Guidelines for ADP Contingency Planning; National Bureau of
403. Standards, March, 1981.
404.  
405. Fiedler, David and Hunter, Bruce M.; Unix System Administration;
406. Hayden Books, 1987
407.  
408. Fitzgerald, Jerry; Business Data Communications: Basic Concepts,
409. Security, and Design; John Wiley and Sons, Inc., 1984
410.  
411. Gasser, Morrie; Building a Secure Computer System; Van Nostrand
412. Reinhold, New York, 1988.
413.  
414. Grampp, F. T. and Morris, R. H.; UNIX Operating System Security;
415. AT&T Bell Laboratories Technical Journal, Oct 1984.
416.  
417.  
418. Highland, Harold J.; From the Editor -- Computer Viruses;
419. Computers & Security; Aug 1987.
420.  
421. Longley, Dennis and Shain, Michael; Data and Computer Security
422.  
423. McAfee, John; The Virus Cure; Datamation, Feb 15, 1989.
424.  
425. NBS Special Publication 500-120; Security of Personal Computer
426. Systems: A Management Guide; National Bureau of Standards, Jan
427. 1985.
428.  
429. NIST Special Publication 500-166; Computer Viruses and Related
430. Threats: A Management Guide; National Institute of Standards and
431. Technology, Aug 1989.
432.  
433. Parker, T.; Public domain software review: Trojans revisited,
434. CROBOTS, and ATC; Computer Language; April 1987.
435.  
436. Schnaidt, Patricia; Fasten Your Safety Belt; LAN Magazine, Oct
437. 1987.
438.  
439. Shoch, J. F. and Hupp, J. A.; The Worm Programs: Early Experience
440. with a Distributed Computation; Comm of ACM, Mar 1982.
441.  
442. Spafford, Eugene H.; The Internet Worm Program: An Analysis;
443. Purdue Technical Report CSD-TR-823, Nov 28, 1988.
444.  
445. Thompson, Ken; Reflections on Trusting Trust (Deliberate Software
446. Bugs); Communications of the ACM, Vol 27, Aug 1984.
447.  
448. Tinto, Mario; Computer Viruses: Prevention, Detection, and
449. Treatment; National Computer Security Center C1 Tech. Rpt. C1-
450. 001-89, June 1989.
451.  
452. White, Stephen and Chess, David; Coping with Computer Viruses and
453. Related Problems; IBM Research Report RC 14405 (#64367), Jan
454. 1989.
455.  
456. Witten, I. H.; Computer (In)security: infiltrating open systems;
457. Abacus (USA) Summer 1987.
458.  
459.  
460. ------------------------------
461.  
462. End of VIRUS-L Digest
463. *********************
464. Downloaded From P-80 International Information Systems 304-744-2253
465.