home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.210

< prev

next >

Wrap

Text File  |  1995-01-03  |  19KB  |  402 lines

---

1. VIRUS-L Digest   Tuesday,  3 Oct 1989    Volume 2 : Issue 210
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. re: Why not change OS?
17. re: Future AV software (PC)
18. List of PC viruses
19. VGA2CGA.ARC (or .ZIP) infected with virus (PC)
20. Re: Future AV software (PC)
21. Re: Posting to VALERT-L re: M-1704 (PC)
22. nVIR B (Mac)
23. Re: Viruses in Commercial Software
24. New PC Virus (AIDS Virus)
25.  
26. ---------------------------------------------------------------------------
27.  
28. Date:    02 Oct 89 00:00:00 +0000
29. From:    David.M..Chess.CHESS@YKTVMV
30. Subject: re: Why not change OS?
31.  
32. Hm.   You seem to be assuming, among other things, that:
33.  
34.   - If a virus can't talk directly to the hardware or to files
35.     belonging to other folks, it can't do any serious harm, and
36.  
37.   - UNIX programs are exchanged only as source, not as binaries.
38.  
39. I'd disagree with both of those claims; the Jerusalem virus, one of
40. the most widespread and troublesome in the PC world, doesn't talk
41. directly to the hardware, and doesn't rely on being able to write out
42. of the user's own space.  I imagine everyone on the list can think of
43. a number of nasty/destructive/confusing things that a virus could do
44. even if it only had access to the user's own data files, and couldn't
45. write direct to hardware (I won't list any here, hehe!).
46.  
47. As UNIX and UNIX-derived systems continue to spread beyond the
48. programmer community, program exchange among groups using the same
49. hardware will tend, I would expect, to include more exchange of
50. binaries.  I wouldn't expect to see a virus that could infect more
51. than one or two hardware platforms in the near future (cross fingers),
52. but a virus that could spread to any machine in one of the more
53. popular UNIX hardware categories would be quite enough to cause
54. problems for lots of folks!
55.  
56. While I don't know of any UNIX viruses at the moment, I would disagree
57. with the suggestion that UNIX is inherently virus-resistant enough to
58. make it worthwhile switching OS's in hopes of being able to forget
59. about virus protection!  The same applies to any other general-purpose
60. OS around; viruses *don't* need insecure systems to spread and do Bad
61. Things.  That's the whole point...
62.  
63. DC
64. IBM T. J. Watson Research Center
65.  
66. UNIX is a trademark of AT&T (or Bellcore, or someone like that)
67.  
68. ------------------------------
69.  
70. Date:    02 Oct 89 00:00:00 +0000
71. From:    David.M..Chess.CHESS@YKTVMV
72. Subject: re: Future AV software (PC)
73.  
74. Unfortunately, it's just about impossible to scan for new viruses by
75. examining the on-disk image of programs, and looking for things like
76. INTs.  Three (at least) of the families of PC viruses out in the world
77. today store themselves on disk in "garbled" form, with only a little
78. "degarbler" stored in clear.  That degarbler doesn't contain any INTs
79. or other suspicious instructions, and the garbled part of the virus
80. appears to be random data.  The nasty instructions don't appear until
81. the virus executes, and the degarbler converts the garbled stuff to
82. code.  So it's really only possible to catch these things at runtime
83. (as Flushot+ and similar programs try to do), not on disk...
84.  
85. DC
86.  
87. ------------------------------
88.  
89. Date:    Mon, 02 Oct 89 17:54:26 +0200
90. From:    Y. Radai <RADAI1%HBUNOS.BITNET@VMA.CC.CMU.EDU>
91. Subject: List of PC viruses
92.  
93.   On May 16 I submitted a list of 20 PC viruses to VIRUS-L.  Since
94. then, the Terrible Twenty have become the Threatening Thirty (Plus
95. Two).  Here's the list updated to the present (well, actually, only
96. to yesterday; at the current rate there'll probably be at least five
97. more today :-) ).
98.  
99.                         PC-DOS/MS-DOS Viruses
100.                         =====================
101.  
102.                                 No. of                     First
103.     Names                       Strains  Type              Appearance
104.     -----                       -------  ----              ----------
105.  1. Brain, Pakistani, Ashar           8  Boot sector 7K F    Jan? 86
106.  2. Merritt, Alameda, Yale            8  Boot sector 1K F    Apr? 87
107.  3. South African, Friday 13th        2  COM D                ?   87
108.  4. Lehigh                            2  COMMAND.COM RO 0    Nov  87
109.  5. Vienna, Austrian, Dos-62, Unesco  3  COM D 648           Dec? 87
110.  6. Israeli, Friday-13, Jerusalem    12  COM/EXE R 1813/1808 Dec  87
111.  7. April-1-Com, Suriv-1              1  COM R 897           Jan  88
112.  8. April-1-Exe, Suriv-2              1  EXE R 1488          Jan  88
113.  9. Ping-Pong, Bouncing-Ball, Italian 3  Boot sector 2K      Mar  88
114. 10. Marijuana, Stoned, New Zealand,   2  Boot sector 1K;    Early 88
115.                            Australian    partition record on hard disk
116. 11. Nichols                           1  Boot sector         Apr  88
117. 12. Missouri                          1  Boot sector        May 88 (89?)
118. 13. Agiplan                           1  COM R 1536          Jul  88
119. 14. Cascade, Autumn, Blackjack        6  COM R 1701/1704    Sep 88 (87?)
120. 15. Oropax, Music                     1  COM RD 2756 to 2806 Feb  89
121. 16. DenZuk, Venezuelan, Search        6  Boot sector 7K F   Early 89?
122. 17. Dbase                             1  COM/EXE R           Mar? 89
123. 18. DataCrime                         2  COM D 1168/1280     Mar  89
124. 19. 405                               1  COM DO 405          Apr? 89
125. 20. Screen                            1  COM R               May? 89
126. 21. FuManchu                          1  COM/EXE R 2086/2080 May? 89
127. 22. Ohio                              1  Boot sector         May  89
128. 23. Icelandic, Saratoga               3  EXE R 656/642/632   Jun? 89
129. 24. Typo                              1  Boot sector 2K      Jun  89
130. 25. Traceback                         1  COM/EXE RD 3066     Jun  89
131. 26. Disk Killer                       1  Boot sector         Jun? 89
132. 27. Swap                              1  Boot sector 2K      Jul  89
133. 28. DataCrime II                      1  COM/EXE D 1514      Jul  89
134. 29. Vacsina                           1  COM/EXE R 1206      Aug  89
135. 30. Mix1                              1  EXE R 1618          Aug  89
136. 31. Syslock, 3555                     1  COM D 3555          Sep  89
137. 32. Dark Avenger                      1  COM/EXE 1800        Sep  89
138.                                      --
139. Total no. of strains                 77
140.  
141. Summary by type:
142.     Boot = 11, COM = 10, EXE = 3, COM/EXE = 7, COMMAND.COM = 1.
143. Among file viruses,
144.     Resident = 12, Direct = 6, Resident-Direct = 2.
145.  
146. Notes:
147.   1. In the "Type" column, "COM" or "EXE" indicates the type of files
148. infected.  "R" stands for "resident", meaning that when an infected
149. program is run the virus makes itself RAM-resident (hooking one or
150. more interrupts); usually such a virus infects subsequently executed
151. programs of the appropriate type, e.g. COM files.  "D" stands for
152. "direct", meaning that it searches the disk for an uninfected file and
153. infects it; normally such a virus does not stay resident.  (However,
154. it is possible for a virus to be both resident and direct in this
155. sense.)  "O" indicates that the virus overwrites the beginning of the
156. file instead of appending or prepending itself to it.  The number(s)
157. after the "R" or "D" indicate the number of bytes by which the virus
158. extends files which it infects (however, in the case of EXE files, the
159. total size of the file after infection will get rounded up to the next
160. multiple of 16 if it is not already such a multiple).  The number
161. after the "O" is the number of bytes overwritten.  In the case of a
162. boot-sector virus, the number of the form "nK" indicates the amount of
163. RAM which the virus occupies.  "F" means that the virus infects only
164. diskettes.
165.   2. I include only those viruses which have spread publicly, as
166. opposed to localized test viruses (of which there may be hundreds).
167. (The "Pentagon virus" is deliberately excluded since as far as I know
168. it has not spread publicly; in fact, in the form it was received in
169. the UK, it cannot spread at all.)
170.   3. By definition of "virus", this list does not include non-replica-
171. ting software.
172.   4. Questionable cases:
173. (a) I suspect that the "Lotus 123 virus" and the "Cookie virus" repor-
174. ted recently in VIRUS-L may not be true viruses, and I have therefore
175. decided not to include them, at least for the time being.
176. (b) Although I have included the Dbase and Screen viruses reported by
177. Ross Greenberg, no one else currently on VIRUS-L seems to have encoun-
178. tered them.  Jim Goodwin claimed that Dbase does not replicate and
179. hence is not a virus, though it's possible that Jim and Ross were
180. talking about two different things.
181. (c) In May 88 I read about a "retro-virus" which infects 3 specific
182. programs and is capable of reinfecting files after apparently being
183. eradicated.  Does anyone have any further info on this virus?
184. (d) I have heard of spreadsheet viruses which occasionally change a
185. value by a small amount, but I have not included them in the table.
186. Further info would be appreciated.
187.  
188.   We frequently find new viruses which have evidently been created by
189. using an existing virus as a starting point and then modifying it.
190. When should the new creature be considered a new virus and when should
191. it be considered as merely a new strain of the same virus?  The cri-
192. terion I have tried to follow (though I probably haven't been entirely
193. consistent) is as follows:
194.   If the "damage" part of the virus has been qualitatively altered, or
195. if a virus has been altered to infect additional files (e.g. EXE files
196. where the original infected only COM files), then I classify it as a
197. separate virus.  (E.g. although FuManchu, Typo, DataCrime-2, and Mix1
198. are based on Israeli-Friday13, Ping-Pong, DataCrime-1 and Icelandic-1,
199. resp., I consider these as separate viruses.)
200.   If code has been altered, but only by something minor, such as
201. changing a target date or the number of infections required to trigger
202. the damage, or if the alteration seems to be merely an attempt on
203. the author's part to *improve* the code of an existing virus without
204. adding new features, then I regard it as a different strain of the
205. same virus.
206.   If the only difference is that only strings (e.g. messages or volume
207. labels) have been modified, then I do not consider it as even a sepa-
208. rate strain.
209.  
210.   Corrections and additions to this list are welcome.  (I'm particu-
211. larly curious about those questionable dates.)  Please send your cor-
212. rections directly to me; I'll post an updated version of this table
213. from time to time.
214.  
215.   I have received suggestions to include additional info in the table,
216. such as the symptoms and damage caused by each virus, what types of
217. disks it infects, etc.  While I agree that such information would be
218. very useful, it is beyond the intended scope of this table, both be-
219. cause of the difficulty of describing this information in such a short
220. space and because the answers often depend on the particular strain
221. of the virus.  This would make the table much more complicated than it
222. was intended to be.  Those interested in further information on the
223. viruses listed here will eventually find it in various catalogs under
224. preparation, e.g. one by David Ferbrache and another by the Virus Test
225. Center at the Univ. of Hamburg (these include non-PC viruses as well).
226.  
227.   Acknowledgments: I have drawn on information provided by many
228. people.  Postings in VIRUS-L are too numerous to mention individual
229. names, but among those who have corresponded with me personally, I
230. would like to thank Dave Ferbrache, Dr. Alan Solomon, Joe Hirst, Prof.
231. Klaus Brunnstein, Fridrik Skulason, John McAfee, Bernd Fix, Otto
232. Stolz, and David Chess.
233.  
234.                                            Y. Radai
235.                                            Hebrew Univ. of Jerusalem
236.  
237. ------------------------------
238.  
239. Date:    Mon, 02 Oct 89 11:08:00 -0600
240. From:    Keith Petersen <w8sdz@WSMR-SIMTEL20.ARMY.MIL>
241. Subject: VGA2CGA.ARC (or .ZIP) infected with virus (PC)
242.  
243. A BBS operator in the Detroit area received an MSDOS program infected
244. with a virus.  The file, VGA2CGA.ARC (or .ZIP) - a program which
245. claims it can display VGA graphics on a CGA display, has not been
246. distributed in Detroit and no systems were affected as far as we know.
247.  
248. The date/time stamps of the member files in this archive are April 1,
249. 1989 (April fools day).
250.  
251. The BBS in California where this file was obtained has been notified
252. to remove the file.
253.  
254. Please let me stress that SIMTEL20 does NOT have this program in its
255. archives.  I am just acting as a go-between to pass the warning to
256. this newsgroup.
257.  
258. [Ed. See followup, on "AIDS" virus, from Alan Roberts in this digest.]
259.  
260. - --Keith Petersen
261. Maintainer of SIMTEL20's CP/M, MSDOS, and MISC archives
262. Internet: w8sdz@WSMR-SIMTEL20.Army.Mil [26.2.0.74]
263. Uucp: {ames,decwrl,harvard,rutgers,ucbvax,uunet}!wsmr-simtel20.army.mil!w8sdz
264.  
265. ------------------------------
266.  
267. Date:    02 Oct 89 21:32:49 +0000
268. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
269. Subject: Re: Future AV software (PC)
270.  
271.  
272. In article <0014.8910021145.AA27888@ge.sei.cmu.edu> carroll1!tkopp@uunet.UU.NET
273.  (Tom Kopp) writes:
274. | A version/variant of ViruScan would run, searching not for
275. | viral-identifying code, but rather for the interrupt calls that write
276. | to a disk (a la Flu_Shot techniques).  When it finds one, it looks in
277. | a table to see if that code is allowed.
278.  
279. There is a program to do this already.  CHK4BOMB will scan a program and
280. report on anything "suspicious" it finds.  This was originally meant to
281. find Trojan Horses, but could work against some viruses as well if used
282. in conjunction with other programs.  One thing it cannot find is code
283. which is self-modifying, thus hiding the actual low-level access to the
284. disk controller.
285.  
286. - --
287. Jim Wright
288. jwright@atanasoff.cs.iastate.edu
289.  
290.  
291. ------------------------------
292.  
293. Date:    Mon, 02 Oct 89 18:18:56 -0500
294. From:    James Ford <JFORD1%UA1VM.BITNET@VMA.CC.CMU.EDU>
295. Subject: Re: Posting to VALERT-L re: M-1704 (PC)
296.  
297. I recently posted a question on VALERT-L about the file M-1704.EXE.
298. SCAN V36 stated that it was infected.  I now know, from McAfee and
299. others, that the 1704 virus is encrypted.  Since it is, M-1704 must
300. have a specific hex search string in it....one that will indeed cause
301. SCAN to flag it.  This is *normal* (thats as technical as I can
302. get....I don't know more, and what I just said is probably techincally
303. wrong).
304.  
305. I hope that my posting of the VALERT-L message does not reflect
306. negatively on the Wellspring BBS.  The Wellspring BBS is a top-notch
307. BBS, and its anti-viral file collection is among the best in the
308. country.  If I gave you a wrong impression of Wellspring, I apologize.
309. I would post this statement about the Wellspring BBS on VALERT-L, but
310. have been informed that VALERT-L is not suppost to be carrying such
311. postings.
312.  
313.                                   JF
314. Acknowledge-To: <JFORD1@UA1VM>
315.  
316. ------------------------------
317.  
318. Date:    Mon, 02 Oct 89 19:46:00 -0500
319. From:    <CTDONATH@SUNRISE.BITNET>
320. Subject: nVIR B (Mac)
321.  
322. I recently came across the nVIR B virus on a cluster of Macs. I removed
323. it using Disinfecant 1.5 and appears to be gone.
324.  
325. What problems does nVIR B cause? Does it delete files, do annoying things,
326. or simply spread? Being a semi-public cluster, how much of a concern
327. is its presence?
328.  
329. ------------------------------
330.  
331. Date:    03 Oct 89 02:23:01 +0000
332. From:    bnr-di!borynec@watmath.waterloo.edu (James Borynec)
333. Subject: Re: Viruses in Commercial Software
334.  
335.  
336. In article <0008.8909281133.AA14331@ge.sei.cmu.edu>, TMPLee@DOCKMASTER.ARPA wri
337. tes:
338. > In commenting on viruses being distributed (accidentally, of course)
339. > through commercial software someone recently mentioned that someone
340. > near him had been hit by a virus that was in a shrink-wrapped copy of
341. > WordPerfect.  I'm  skeptical...
342.  
343. It happened.  A co-worker bought a copy of WordPerfect for his Amiga.  When
344. it came to him, it was infected.  Those are the facts as he told them to me.
345.  
346. If anyone wants more details I am willing to supply them.  It probably
347. won't do any good because the problem has been fixed.  If anyone is
348. collecting historical information and wants more details send E-mail.
349. (BTW. to the person who sent me E-mail on this topic, did my reply get
350. through to you?)
351.  
352. The story behind this goes something like:  WP sold the distribution and
353. support rights for the Amiga version of WP for Canada to a company in
354. Ontario.  That company had some problems.  That company no longer
355. has the redistribution rights.
356.  
357. I personally have been hit TWICE by viruses in commercial software.  From
358. different vendors. Once when I was examining a popular speech synthesis
359. package for my Mac, and once when we got our TI micro-explorer.  Just the
360. thing, factory loaded viruses.
361.  
362. To summarize: It happens.   Treat ALL software entering your system
363. with caution.
364.  
365. James Borynec
366.  
367. - --
368. UUCP : utzoo!bnr-vpa!bnr-di!borynec  James Borynec, Bell Northern Research
369. Bitnet: borynec@bnr.CA        Box 3511, Stn C, Ottawa, Ontario K1Y 4H7
370.  
371.  
372.  
373. ------------------------------
374.  
375. Date:    Mon, 02 Oct 89 21:45:03 -0700
376. From:    portal!cup.portal.com!Alan_J_Roberts@SUN.COM
377. Subject: New PC Virus (AIDS Virus)
378.  
379.     A new PC virus was submitted to the CVIA from Keith Peterson (who
380. maintains the SIMTEL20 MSDOS archives).  This virus replicates in COM files
381. and has the unusual capability of infecting generic COM files internally -
382. without changing the real size of the file (unlike the zero-bug virus which
383. maintains an "apparent" constant infected file size).  Small COM files are
384. infected externally, and the files sizes, for all files under 10K, changes to
385. 13952 bytes - another unusual characteristic.  The virus displays a full
386. screen graphic with the the word "AIDS" occupying the bottom half of the
387. screen.  The top half contains a long rambling message from the author
388. informing the user of how stupid he has been for using public domain
389. software.
390.     SCANV40 has been updated to identify the virus.  It is not yet known
391. how destructive the virus may be (all tests have been done with a disabled
392. hard disk).  More info forthcoming.  ViruScan identifies the virus as the
393. AIDS Virus.  Thanks to Keith Peterson for his quick identification of
394. the virus and for his timely response.
395. Alan
396.  
397. ------------------------------
398.  
399. End of VIRUS-L Digest
400. *********************
401. Downloaded From P-80 International Information Systems 304-744-2253
402.