home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.207

< prev

next >

Wrap

Text File  |  1995-01-03  |  17KB  |  423 lines

---

1. VIRUS-L Digest   Friday, 29 Sep 1989    Volume 2 : Issue 207
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Re: Tiger Team comments
17. DATACRIME II INFO (PC)
18. Tiger teams attempting to penetrate corporate machines at night
19. New virus on a PC ??
20. Virus detector program (PC)
21. Re: Anti-viral hard disk controllers
22. Re: Review of NIST anti-virus paper...
23. When is a virus not a virus?
24. Cascade in Sargon III (PC)
25. ViruScan Length (PC)
26. Oct 13 PC virus question
27. FixCrime.arc (PC)
28.  
29. ---------------------------------------------------------------------------
30.  
31. Date:    Thu, 28 Sep 89 07:41:32 -0400
32. From:    dmg@lid.mitre.org (David Gursky)
33. Subject: Re: Tiger Team comments
34.  
35. In Virus-L #205, Steve <XRAYSROK@SBCCVM.BITNET> and
36. <CTDONATH@SUNRISE.BITNE> had some good comments about my Tiger Team
37. suggestion.  Here are some answers to their comments:
38.  
39. RE:  Most viruses are not spread by someone sneaking in at night...
40.  
41. Absolutely true.  The objective of this proposal would be to ensure
42. that users are following a published anti-virus strategy, beyond
43. simply backing up the data.  If the user targeted by the Tiger Team is
44. following the procedures properly, then the virus should not be able
45. to get in.  For instance, say the policy reads "All Macintosh
46. computers shall run Gatekeeper".  Gatekeeper is very effective at
47. stopping nVir.  If the Tiger Team attempts to infect a Mac with nVir,
48. and the attempt fails, the user of the system is not properly
49. following the established procedure.
50.  
51. RE: What corporation is willing to take the risk of letting someone
52. *tamper* with the computers which the company depends upon, especially
53. when proper operating procedures will offer you very good protection?
54.  
55. Good question.  I would hope any company worth its salt.  The
56. objective of the "Tiger Teams" is to help ensure the corporate
57. anti-virus policy is being adhered to.  "Proper operating procedures"
58. per se do not prevent an infection, *following* those procedures do.
59.  
60. RE:  Can you guarantee that the "Team" will not do damage?...
61.  
62. In order for this proposal to be effective, the TT must do a complete
63. backup of the system's data before proceding (I suspect an image
64. backup would be preferred in this instance), and a restore afterward,
65. regardless of whether the team succeeds or fails.
66.  
67. RE: If they are introducing live viruses, ... no one can guarantee the
68. virus will be benign in all situations...
69.  
70. I have a problem with this suggestion.  Viruses (even nasty ones) such
71. as nVIR, (c) Brain, Lehigh, and so on are well understood.  If I start
72. with a "known" strain of one of these (and there are libraries out
73. there of unmodified versions of these and other viruses), I know
74. exactly how a virus will behave under any set of conditions.
75.  
76. Please also remember that I proposed using a "neutered" version of a
77. virus.  Using (c) Brain as an example, if the logic-bomb or time-bomb
78. is removed from it, leaving only the infector, it's hard to say that
79. such a neutered virus proposes a serious threat to a user when used by
80. a TT to check for the use of anti-virus procedures.
81.  
82. RE: If the tiger team fails to exterminate ALL copies of the virus
83. there is the possibility of virus parinoia (sic), files that grow in
84. size for no good reason, and the possibility of lost data thru virus
85. malfunctions.
86.  
87. See my earlier comment about backups and neutered versions.
88.  
89. RE: The virus would be released in a unsuspecting work area. The
90. presence of strangers insisting on checking every disk that leaves the
91. area would cause chaos.
92.  
93. As described above, the virus would not be released in an unsuspecting
94. work area.  Tiger Teams are used as a method to test the effectiveness
95. of a given policy.  If the users within a given work area are not
96. following an established anti-virus policy (it is taken as a given the
97. suggestion of TT is only valid where such a policy exists, for the
98. exact reason you point out) then they are at risk for a virus
99. infection, and poss a risk for other computing resources (oops!  Poss
100. = pose).
101.  
102. RE:  "Controlled" environment
103.  
104. Such environments are possible.  They are routinely used for the
105. handling of classified materials for example.  Again, the
106. effectiveness of the controls directly depends on how well you adhere
107. to them.
108.  
109. ------------------------------
110.  
111. Date:    28 Sep 89 23:03:57 +0000
112. From:    edvvie!eliza!andreas@relay.EU.net (Andreas Brandl)
113. Subject: DATACRIME II INFO (PC)
114.  
115. Hello out there,
116.                a few days ago I read a article about the DATACRIME-
117. virus and how I can find it with search-strings. Yesterday I read in
118. an info-paper from a very, very, very big corporation about them.
119. This paper tells about three versions of DATACRIME.
120. The first two versions only infect COM-files. Their functions are
121. identical, only their increase-sizes are different. One increases the file
122. size by 1168 bytes, and the other by 1280 bytes. DATACRIME II virus is the
123. third version and infects COM and EXE files. In this version COM files
124. grow by 1514 bytes and EXE by a similar, but variable, size.
125. I possibly know the search-string for the third version. But I can  give no
126. warranty, that my info is absolut right. The search-string is like the
127. following:
128.             5E81EE030183FE00742A2E8A9403018DBC2901.
129. I hope this is a little help to locate and destroy this virus.
130.  
131. Bye bye, Andreas
132. - --
133.         ------------------------------------------------------------------
134.         EDV Ges.m.b.H Vienna            Andreas Brandl
135.         Hofmuehlgasse 3 - 5             USENET:  andreas@edvvie.at
136.         A-1060 Vienna, Austria/Europe   Tel: (0043) (222) 59907 (8-16 CET)
137.  
138. ------------------------------
139.  
140. Date:    28 Sep 89 13:27:06 +0000
141. From:    cpsolv!rhg@uunet.UU.NET (Richard H. Gumpertz)
142. Subject: Tiger teams attempting to penetrate corporate machines at night
143.  
144.  
145. Why should such a "tiger team" work under cover of dark?  Why not "surprise
146. inspections"?  "We're from virus security and we're here to help you ..."
147. - --
148. ==========================================================================
149. | Richard H. Gumpertz    rhg@cpsolv.UUCP -or- ...uunet!amgraf!cpsolv!rhg |
150. | Computer Problem Solving, 8905 Mohawk Lane, Leawood, Kansas 66206-1749 |
151. ==========================================================================
152.  
153. ------------------------------
154.  
155. Date:    28 Sep 89 20:57:36 +0000
156. From:    cosc75a@uhnix1.uh.edu (Parameshwaran Krishnan)
157. Subject: New virus on a PC ??
158.  
159. Hi,
160.         I am working in the College Of Business Admn, of the Univ
161. of Houston. And I am in the RICS Deptt. I manage Novell Networks
162. there.
163.  
164.         Today there was a report of a virus in a floppy disk.
165. I am listing down its features any body who would have seen it before
166. please inform me
167.  
168.         1. how destructive it can be .
169.         2. How can it be disinfected.
170.  
171. Features :
172.  
173.         1. It seemingly attaches to an exe file. When u try to execute
174.         the file it says that the very same file was not found (??).
175.         and asks for a path (in this specific instance it was a
176.         Wordperfect file. If u executed wp, it said wp.exe not found
177.         Please give a path likd c:\wp\wp.exe. I have a feeling that it
178.         does this to infect the harddisk too). If the path is given then
179.         it goes bonkers.
180.  
181.         2. In this case it created a hidden file called
182.         Wordperf.cet. It also screws some exe files  on the hard disk
183.         It took up 660Bytes extra and wrote the wp.exe back again on
184.         the disk. I think this might be the virus code.
185.  
186.  
187.         If u want any other feedback please e-mail me and i will
188. send it to u.
189.  
190.  
191. Thanks in advance,
192.  
193. P Krishnan (cosc75a@uhnix1.uh.edu)
194.  
195. (create a virus free computer world)
196.  
197. ------------------------------
198.  
199. Date:    Thu, 28 Sep 89 13:48:53 -0400
200. From:    unhd!stm@uunet.UU.NET (Steven T Mcclure)
201. Subject: Virus detector program (PC)
202.  
203. I would be very interested in seeing this program posted, as I don't
204. know much at all about viruses.  I have an AT&T PC6300 with MS-DOS 3.0
205. with a HD, and would like to be able to find out if I have any viruses
206. currently, and would also like to be told if a new one is being
207. introduced into the system.  I don't have ftp access, so I would
208. rather see it posted to c.b.i.p, and there are probably other people
209. who know about as much as I do who would be interested also, but
210. aren't news/ftp/bbs wizards.  Thanks.
211.  
212.                 -- Steve
213.  
214. ------------------------------
215.  
216. Date:    Thu, 28 Sep 89 21:02:15 +0000
217. From:    time@oxtrap.oxtrap (Tim Endres)
218. Subject: Re: Anti-viral hard disk controllers
219.  
220. Virus infection is not *spread* via hard disks. Floppies and modems
221. are the *movement* medium. I am not sure what advantage this read only
222. hard disk has over simply monitoring the checksum of an application.
223.  
224. More importantly, not all computer systems have "read-only"
225. executables. Most notably, the Macintosh stores code in the resource
226. fork of an application, which is *frequently* modified. The move to
227. distributed execution from file servers is slowly changing this, but
228. it remains an issue.
229.  
230. We have a program, that once run against an executable, makes it
231. IMPOSSIBLE for a virus to infect that application and be executed.
232. Infection is still possible, but the application will never execute
233. again, thus stopping propogation. This is simply a check sum of the
234. executable set up in a way to inhibit execution once infection has
235. occurred. The use of a quick key word entered by the user at run time
236. prevents the virus from "intelligently" by-passing the check sum.
237.  
238. This solves only one facet of the problem, but a large facet it be.
239.  
240. ------------------------------
241.  
242. Date:    Thu, 28 Sep 89 21:07:32 +0000
243. From:    time@oxtrap.oxtrap (Tim Endres)
244. Subject: Re: Review of NIST anti-virus paper...
245.  
246.  
247.    > Discussion of the NIST virus paper...
248.      The paper forwards the myth that programs obtained from public sources
249.      (bulletin boards; public network libraries) are inheritely tainted,
250.      and that shareware/freeware/etc. should really be avoided.
251.  
252.      By the same token, the paper forwards the myth that commercially
253.      obtained applications are inheritly untainted.
254.  
255. Sounds like the committee was seated with commercial software vendors!
256.  
257. ------------------------------
258.  
259. Date:    28 Sep 89 20:38:05 +0000
260. From:    mrsvr!gemed.mrisi!davej@csd4.csd.uwm.edu (David Johnson)
261. Subject: When is a virus not a virus?
262.  
263. The following article copied without permission from the Milwaukee
264. Sentinel, Thursday, September 28, 1988  to promote discussion
265. on the ethics involved, legal implications (especially if
266. Lab Force didn't answer their phone on a Saturday :-)), etc.
267.  
268. I have no interest nor association with any of the parties mentioned
269. in the article below; I just thought it would provide some interesting
270. beginnings for discussion.  I'm especially interested in hearing about
271. "good faith" legal ramifications of the software described below.
272.  
273. === BEGIN ARTICLE
274.  
275. "FIRM SAYS 'VIRUS' ENSURES PAYMENT"
276. By Mike Mulvey
277. Sentinel staff writer
278.  
279. The "viruses" that allegedly infected a computer system serving three
280. Milwaukee-area hospitals were actually fail-safe devices installed by
281. the manufacturer to ensure payment on the system, the company's president
282. said Wednesday.
283.  
284. Robert C. Lewis, president of Lab Force Inc. in Dallas, Texas, vehemently
285. denied allegations that his company intentionally introduced viruses to
286. sabotage the computer network that provided laboratory test results.
287.  
288. "The allegations are totally without merit," Lewis said.  "It is insane."
289. "We have not and never will cause a virus to disrupt a computer system."
290.  
291. Federal Judge John W. Reynolds issued a temporary restraining order
292. Tuesday barring the Dallas company from introducing any more alleged
293. viruses into the computer system.
294.  
295. The computer network run by Franciscan Shared Laboratory Inc. services
296. St. Michael and St. Joseph's Hospitals in Milwaukee and Elmbrook
297. Memorial Hospital in Brookfield.
298.  
299. Franciscan, of 11020 W. Plank Ct., Wauwatosa, file a lawsuit Tuesday
300. in Federal Court, alleging Lab Force introduced a computer virus that
301. disabled the system Sept. 16 and another virus scheduled to be
302. activated Nov. 15.
303.  
304. The suite alleged actions by Lab Force were endangering the lives of
305. patients at the three hospitals.  A hearing on the case is scheduled
306. for Oct. 6 in Federal Court
307.  
308. "We will let the evidence speak for itself.  We've done what we believe
309. is in the beset interest of our client and its patients," said attorney
310. John Busch, who is representing Franciscan.
311.  
312. "Lewis may deny allegations of sabotage, but he doesn't deny the fact
313. that the system was down."
314.  
315. Lewis said the system began operation in April 1988, although Lab Force
316. still is adding to the network.
317.  
318. He said the system always had had a "key," a device that locks out the
319. user if a payment schedule isn't kept or a licensing agreement isn't
320. honored.
321.  
322. Although Franciscan had been making its payments on time, the key that
323. originally was set to shut down the system Sept. 16 was not rescheduled
324. for a later date because of a mistake by a Lab Force technician,
325. Lewis said.
326.  
327. When the technician was notified that the computer system shut down
328. Sept. 16, he immediately corrected the problem by rescheduling the key
329. for Nov. 15, said Jerry Levine, a consultant for Lab Force.
330.  
331. "It was a mistake.  Our operator screwed up.  There has never been a
332. virus in there.  There has only been a simple key."
333.  
334. "Keys are commonly used by hundreds, if not thousands, of software
335. companies," Levine said.  "Until software is accepted and paid for,
336. the only protection a software company has against the equipment being
337. stolen is to place a key in the system."
338.  
339. Lewis said Lab Force was considering filing a countersuit against
340. Franciscan for damage done to the Dallas company's reputation.
341.  
342. === END ARTICLE
343.  
344.  
345. - --
346. David J. Johnson - Computer People Unlimited, Inc. @ GE Medical Systems
347. gemed!python!davej@crd.ge.com  - OR - sun!sunbird!gemed!python!davej
348.   "What a terrible thing it is to lose one's mind." - Dan Quayle
349.  
350.  
351. ------------------------------
352.  
353. Date:    Thu, 28 Sep 89 12:30:50 +0000
354. From:    Fridrik Skulason <frisk@RHI.HI.IS>
355. Subject: Cascade in Sargon III (PC)
356.  
357. I just received a report of a shrink-wrapped and write-protected copy of
358. Sargon III arriving infected with the cascade (1704-A) virus.
359.  
360. The store selling the program did not have any more copies, but since they
361. do not allow the return of games, the disk must have been infected outside
362. of Iceland. Has anybody else seen found an infected original of this
363. program ?
364.  
365.                             --- frisk
366.  
367. ------------------------------
368.  
369. Date:    Thu, 28 Sep 89 07:19:19 -0700
370. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
371. Subject: ViruScan Length (PC)
372.  
373. John McAfee asked me to forward the following message:
374.  
375.     My apologies to the VIRUSCAN user community about my premature
376. announcement some months back that VIRUSCAN would always remain 34400
377. bytes long.  I am old enough to have known better.  Architectural
378. changes brought about by newer viruses have necessitated a changing
379. size for some versions.  Version 39 in particular, has been virtually
380. re-written to double its speed, link with the SHEZ program to scan
381. archived files and provide an individual file scan if requested.  Such
382. changes can't be squeezed into the original 34400 bytes.  I accept the
383. title of idiot from anyone who wishes to confer it on me.  Future
384. versions of SCAN will contain the file size in the documentation, and
385. sizes will be appropriately advertised.  John McAfee
386.  
387. ------------------------------
388.  
389. Date:    Thu, 28 Sep 89 14:48:00 -0600
390. From:    Frank Simmons <FSIMMONS%UMNDUL.BITNET@VMA.CC.CMU.EDU>
391. Subject: Oct 13 PC virus question
392.  
393. I am the editor of our Computer center newsletter. I want to include
394. an article in our early October issue about this Oct 13 virus. Has
395. anyone any concrete facts about this I can relate and secondly what
396. hope/vaccines can I offer my readership?
397.  
398. Frank Simmons
399.  
400. ------------------------------
401.  
402. Date:    Thu, 28 Sep 89 18:47:36 -0500
403. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
404. Subject: FixCrime.arc (PC)
405.  
406. New anti-viral, sent directly to me by the author.
407.  
408. fixcrime.arc
409.         Will fix files infected by DataCrime virus.  Operates only
410.         on .COM files, not .EXE.  Has programs to combat three
411.         different strains of DataCrime.  *Use with caution!*
412.  
413. FIXCRIME.ARC    Removes infections of DataCrime virus
414.  
415. Jim
416.  
417.  
418. ------------------------------
419.  
420. End of VIRUS-L Digest
421. *********************
422. Downloaded From P-80 International Information Systems 304-744-2253
423.