home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.204

< prev

next >

Wrap

Text File  |  1995-01-03  |  17KB  |  378 lines

---

1. VIRUS-L Digest   Tuesday, 26 Sep 1989    Volume 2 : Issue 204
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Administrative announcement
17. Re: Good viruses?
18. New versions of scanv and scanres (PC)
19. IBM Virus (from EXPERT-L list) (PC)
20. Re: Copyrights and shareware...
21. Security procedures on LANs
22. re: 123 virus (PC)
23. re: More Datacrime hoopla, propoganda, and general paranoia
24. re: datacrime & fdisk (PC)
25. preventing virus attacks (PC)
26.  
27. ---------------------------------------------------------------------------
28.  
29. Date:    Tue, 26 Sep 89 07:00:00
30. From:    krvw@sei.cmu.edu (Kenneth R. van Wyk)
31. Subject: Administrative announcement
32.  
33. It seems like just yesterday that I took a vacation and VIRUS-L was
34. down for a week...  Well, it's going to happen again.  This time I'll
35. be in Hawaii for two weeks on my honeymoon, far away from any computer
36. and very much out of SkyPager range.  I'll be leaving Friday, October
37. 6 and returning on Monday, October 23.  During this time, no VIRUS-L
38. digests or comp.virus articles will be distributed.  However, feel
39. free to send in messages for subsequent posting upon my return.  Also,
40. VALERT-L will remain active and (as always) unmoderated, but is to be
41. used for VIRUS WARNINGS ONLY (violators will face my wrath when I get
42. back :-).
43.  
44. Also as always, the CERT can be contacted via cert@SEI.CMU.EDU or
45. (412) 268-7090 (24 hour hotline) for Internet security issues.
46.  
47. Sorry about any inconvenience.  Things will return to their normal
48. (hectic) pace when I get back.
49.  
50. Ken van Wyk
51.  
52. ------------------------------
53.  
54. Date:    Tue, 26 Sep 89 07:38:39 -0400
55. From:    dmg@retina.mitre.org (David Gursky)
56. Subject: Re: Good viruses?
57.  
58. A good virus is an oxymoron.  All a potential attacker would do is
59. take the infector code and transplant a logic-bomb or time-bomb code
60. to it.
61.  
62. This does raise an interesting question though for health checks.
63. Suppose a company has stringent rules about protecting desktop
64. computers from viruses.  How do you go about ensuring the rules are
65. being followed?  One thought I had was the user of "Tiger Teams".
66.  
67. What this Tiger Team would do is work at night and attempt to infect
68. some of the corporation's desktop computers with a "benign" virus (one
69. that produces a warning message, but takes no malicous action, akin to
70. the MacMag virus).  The Tiger Team would operate under strict
71. supervision, and a computer that was successfully penetrated would be
72. "quarantined" until the following day.
73.  
74. The next day, the user would get a visit from the Computer Center
75. folks and get a nice (or not so nice; depending on how often in the
76. past the user had been successfully "attacked" by the Tiger Team)
77. lecture on anti-virus methods.
78.  
79. Obviously, the virus would have to be carefully controlled.  The disks
80. would have to be kept under lock and key when not in use, and under
81. supervision when in use.
82.  
83. Comments?
84.  
85. David Gursky
86. Member of the Technical Staff, W-143
87. Special Projects Department
88. The MITRE Corporation
89.  
90. ------------------------------
91.  
92. Date:    Tue, 26 Sep 89 07:14:43 -0500
93. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
94. Subject: New versions of scanv and scanres (PC)
95.  
96. Recent updates, hot off the presses!
97.  
98. scanv38.arc
99.         Update to replace previous versions of viruscan.  Note that the
100.         documentation has an incorrect version number in it.  This is
101.         how the archive was released.  (The updates have been fast and
102.         furious, so it's understandable.)  Also note that the size of
103.         the executable is larger than what John McAfee promised it would
104.         always be.  I guess when he said "always", he didn't forsee
105.         the number of revisions of the program he'd be releasing.
106.         Executable is version 0.5v38.
107. scanres8.arc
108.         Update to replace previous versions of scanres.  It is possible
109.         that the previous version I sent was identical to an even more
110.         previous version I sent.  In any case, this one's NEW.  :-)
111.         Again, note that the docs and the program disagree on version
112.         number.  Executable is version 0.8v38.
113.  
114. SCANV38.ARC     Scans hard drives and reports viruses found.
115. SCANRES8.ARC    Resident program scans progs for viruses before executing.
116.  
117. Jim
118.  
119. ------------------------------
120.  
121. Date:    Thu, 21 Sep 89 20:38:00 -0400
122. From:    Ken Hoover <consp21@bingvaxu.cc.binghamton.edu>
123. Subject: IBM Virus (from EXPERT-L list) (PC)
124.  
125. [Ed. This message was forwarded from the BITNET mailing list, EXPERT-L.]
126.  
127. Original-Date:         Mon, 18 Sep 89 17:38:00 EDT
128. Original-From:         Sanjay Hiranandani <GDO@CRNLVAX5.BITNET>
129.  
130. On Friday morning at 8:00 AM, I came into the Sibley facility, sat
131. down at IBM #18, and invoked Foxbase.  Instead of the familiar welcome
132. screen, the machine hung.  Other pieces of software throughout in the
133. facility had recently quit working for no apparent reason.  Gregg said
134. "I think there might be a virus here," (or words to that effect); from
135. that time to now, Gregg and I have spent most of our waking hours
136. trying to figure this out.  This comes at a specially bad time for
137. Gregg because he's in the middle of training new operators and so on.
138.  
139.     Here is a brief summary of what is now known about the virus:
140.  
141.     1.  Approximately seven of the Sibley facility's IBM PS/2's have
142. been found to be infected with a highly contagious IBM virus "time
143. bomb".  Gregg and I have developed a reliable test for the program and
144. will soon complete its eradication from the facility.  Some users'
145. personal applications and disks, however, are probably infected.
146.  
147.      2.  The DMPC program (disk manager) which is intended to restrict
148. users from copying or deleting our software, is effective in
149. protecting programs from being corrupted -- but only for those
150. programs for which DMPC has been properly configured to monitor.
151.  
152.      3.  The virus rewrites *.EXE and *.COM files with many changes
153. including the virus code itself.  In most cases, these changes are
154. tolerated by the program and it continues to work.  In the case of Word
155. Perfect (WP.EXE) and Foxbase (FOXPLUS.EXE), the changes make the program
156. completely nonfunctional.  In other programs, small difference are
157. noticed: small rectangles of the screen display may get misplaced, for
158. example.
159.  
160.      4.  An infected *.EXE file can be recognized by the hex string
161. 10078419C5, a five byte string which apparently takes over the 21st
162. through 25th bytes near the beginning of the file.  This is not the
163. only change, but it is a consistent one.  Infected copies of WP.EXE,
164. FOXPLUS.EXE, APL.EXE, ED.EXE, NU.EXE, etc., etc., all had this same
165. string in the exact same location.  No uninfected software had this
166. string anywhere.  Uninfected IBM's had no sign of this string anywhere
167. on their hard disks.
168.  
169.      5.  This same string also occurs in what appears to be the virus
170. code itself, which is written to the "slack area" of *.EXE files
171. between the end-of-file and the end of the file's actual allocated
172. disk space.  Often, maybe always, the end-of-file marker is
173. overwritten.  Secondly, a certain fixed distance after the occurence
174. of 10078419C5 is the ascii text "COMMAND.COM", a further clue for
175. identifying this virus.
176.  
177.      6.  Files modified by the virus show NO SIGN AT ALL of any change
178. to the DOS directory command.  The number of bytes and the date and time
179. of last modification are unchanged, when in fact a file is infected.
180.  
181.      7.  When a file is fragmented on the disk, individual fragments may
182. become separately infected.
183.  
184.      8.  Setting a file's attributes to "read-only" or "hidden" does NOT
185. protect it.
186.  
187.      9.  Setting the write protect tab on a diskette appears to
188. protect diskettes in the 3.5" drives at Sibley.  Executing a program
189. from a locked 3.5" diskette on an infected machine generates a "Write
190. protect error writing drive A" message.  The program on the diskette
191. remains uninfected.
192.  
193.      10.  When an infected machine's internal clock-calendar is
194. changed to register a date of 10-13-89 (Friday the 13th), all *.EXE
195. and *.COM files will DELETE themselves when a user tries to execute
196. them (for example, if a user types WP, for WordPerfect, the WP.EXE
197. file would be deleted, and the message "Bad command or file name"
198. would be displayed on the screen).  This condition applies when the
199. system date is 10-13-89, but not 10-12-89 or 10-14-89 (we speculate
200. that it may apply to every Friday the 13th, but this has not been
201. tested).  Attempts to execute a program from an unlocked diskette will
202. cause the deletion of the program, regardless of whether it was
203. previously infected.  The virus deletes programs in a normal fashion,
204. and these files are probably recoverable.  Of course, all these
205. recoverable files are infected anyway, and not really worth recovering
206. (unless the virus begins to kill data files as well).
207.  
208.      11.  When the system date is 10-13-89, the virus attempts to
209. delete DMPC-protected software (the warning bleep sounds), but fails.
210. Such programs continue to work even on machines heavily infected with
211. non-DMPC protected software.
212.  
213.      12.  After working all day Friday fighting this virus, I spoke
214. with my girlfriend, who had heard something on National Public Radio
215. about a virus which becomes active on October 13.  In the meantime,
216. Gregg heard a rumor about an October 12th virus.  From a friend in
217. Michigan, I heard about an October 12th virus which supposedly would
218. attach itself to *.COM files and disable the hard disk by overwriting
219. track 0.  I don't know whether these other reports are of the same
220. exact virus (with a few wrong facts), or whether there is some
221. national "collective action" to write lots of different viruses which
222. all spring into view on the same day or so.  (I incline toward the
223. first view, Gregg toward the second).
224.  
225.      Please let me know if I can be of any further assistance in
226. getting rid of this thing.
227.  
228.                      Larry Kestenbaum, Sibley PTOP
229.                      Gregg Cirielli, SIbley FTOP
230.  
231. ------------------------------
232.  
233. Date:    Tue, 26 Sep 89 09:20:16 -0400
234. From:    dmg@retina.mitre.org (David Gursky)
235. Subject: Re: Copyrights and shareware...
236.  
237. In Virus-L Digest V2 #203, an anonymous author (IA9600 --
238. <IA96%PACE.BITNET@VMA.CC.CMU.EDU>) writes:
239.  
240. this is not so. shareware is for the most part copyrighted and
241. mr. mcafee's software does indeed carry a copyright! as the owner
242. of a work which is copyrighted, j. mcafee caN CALL IT SHAREWARE
243. OR ANY OTHER NAME HE DESIRES, EVEN FREEWARE, AND STILL MAINTAIN
244. THE ABSOLUTE RIGHT TO DETERMINE WHO MAY OR MAY NOT DISTRIBUTE
245. HIS COPYRIGHTED WORK!
246.  
247. A copyrighted work is the sole property of the holder of the
248. copyright.like it or not, that is the law of the land. until
249. such time a case comes to court, copyrighted shareware remains
250. the property of the copyright holder, who may decide who has the
251. right to distribute such work.
252.  
253. - -----
254.  
255. I do not contest that the author of a computer application (especially
256. a copyrighted application) is entitled to set whatever conditions they
257. want on the use or distribution of their work, and I have stated so
258. before.  But this is a different issue than whether such an
259. application qualifies as "Shareware", "Freeware", etc.
260.  
261. Shareware has a specific meaning: software (copyrighted or otherwise)
262. that is distributed outside of commercial channels, that is paid for
263. if the user decides to use it.  Freeware is a subset of this; the cost
264. of a freeware application is zero.  Nowhere in this definition is
265. there a prohibition of the distribution of copyrighted software!
266.  
267. Any author is welcome to put whatever restrictions they want on their
268. work, no question about it.  When those restrictions go beyond a
269. certain point, they author cannot fairly call their work Shareware,
270. IMO.
271.  
272. This is getting/has gotten outside of the scope of Virus-L.  If
273. individuals wish to send me e-mail about it, fine.  Otherwise I
274. consider the subject closed.
275.  
276. ------------------------------
277.  
278. Date:    Tue, 26 Sep 89 10:04:00 -0400
279. From:    "No trouble, please" <BARGERK%UNCG.BITNET@VMA.CC.CMU.EDU>
280. Subject: Security procedures on LANs
281.  
282. Here at the University of NC at Greensboro, we have taken the step of
283. putting all of our network login software on notchless diskettes.
284. This means that nothing can be writtien to this diskette, and nothing
285. can be written to the network itself (except to personal account
286. areas).  So, any viruses that someone brings in are confined to
287. his/her own diskettes.  It also saves us from the thankless task of
288. going through everything periodically and erasing files users have
289. left on our disks!
290.  
291. [Ed. That is the same setup that we used at Lehigh University.  It
292. seemed to work pretty well but you still have to trust the security of
293. the network OS (Lehigh uses Novell) and the physical security of the
294. file servers.  What are other LANned sites doing to address this (on
295. PCs and on Macs)?]
296.  
297. Kyle Barger
298. UNCG Student & Academic Computer Center Part-Time Employee
299. BARGERK@UNCG.BITNET
300. DISCLAIMER:  these are my opinions; not neccessarily those of UNCG
301.  
302. ------------------------------
303.  
304. Date:    26 Sep 89 00:00:00 +0000
305. From:    David.M..Chess.CHESS@YKTVMV
306. Subject: re: 123 virus (PC)
307.  
308. Not sure I entirely understand this; if the virus infects -only-
309. 123DOS.EXE, how did you get it?  How would it spread?   (Why, that
310. is, would an infected copy of 123DOS.EXE ever find itself running
311. with access to an uninfected copy; why would there ever be two
312. different copies of the file on the same machine?)           DC
313.  
314. ------------------------------
315.  
316. Date:    26 Sep 89 00:00:00 +0000
317. From:    David.M..Chess.CHESS@YKTVMV
318. Subject: re: More Datacrime hoopla, propoganda, and general paranoia.
319.  
320. > (it is, after-all, a "time-bomb" virus, that activates on specific
321. > dates, in this case, Friday the 13ths).
322.  
323. No, no!   The DataCrime viruses activate whenever the date is
324. October 13th -or later-; no Friday-check.   (Sorry to pick on
325. you, but people keep getting this wrong!   Other points are
326. well taken.)                     DC
327.  
328. ------------------------------
329.  
330. Date:    Tue, 26 Sep 89 10:16:50 -0400
331. From:    "A.R. PRUSS" <2014_5001@uwovax.uwo.ca>,
332.          2014_5001@uwovax.uwo.ca
333. Subject: re: datacrime & fdisk (PC) re: datacrime & fdisk (PC)
334.  
335. In article <0005.8909251230.AA29228@ge.sei.cmu.edu>, MATHRICH@UMCVMB.BITNET (Ri
336. ch Winkel UMC Math Department) writes:
337. >>From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
338. >>if you use fdisk to create a dummy partition of lets says 2
339. >>cylinders and then create a second normal active dos partition
340. >>will this prevent the virus from destroying track zero?
341. >
342. > It depends on how it accesses the disk.  If it uses bios calls (INT
343. > 13H), it will still attack physical cyl 0 on the disk.  If it uses the
344. > [correct info deleted to conserve space]
345.  
346. Is it not simpler to back the FAT/boot sectors up to floppy and then
347. restore them?  You can use Norton Utilities Advanced for that, or a
348. quick little utility that I will release within a week.
349.  
350. What I would like to know, however is whether just rewriting the boot
351. and FAT sectors will be sufficient?
352.  
353. Alexander Pruss, at one of: Department of Applied Mathematics, Astronomy,
354. Mathematics, or Physics                     University of Western Ontario
355. pruss@uwovax.uwo.ca         pruss@uwovax.BITNET          A5001@nve.uwo.ca
356.  
357. ------------------------------
358.  
359. Date:    26 Sep 89 17:06:57 +0000
360. From:    usenet@saturn.ucsc.edu (Usenet News Account)
361. Subject: preventing virus attacks (PC)
362.  
363. subject mentioned, so here goes (with a dumb idea).
364. Will changeing a file attribute to READ ONLY stop or slow down a virus?
365. What about write locking a whole Directory?
366. Does hiding a file or directory have any effect???
367. I'm guessing that a virus will disregard any attribute settings.
368.                         -ted-
369. ted@helios.ucsc.edu
370. From: ted@helios (Ted Cantrall)
371. Path: helios!ted
372.  
373. ------------------------------
374.  
375. End of VIRUS-L Digest
376. *********************
377. Downloaded From P-80 International Information Systems 304-744-2253
378.