home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.215

< prev

next >

Wrap

Text File  |  1995-01-03  |  19KB  |  422 lines

---

1. VIRUS-L Digest   Friday,  6 Oct 1989    Volume 2 : Issue 215
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. IBM-supplied antivirus software (IBM PC)
17. re: The DataCrime viruses (PC)
18. The not so new virus (Mac)
19. New Mac Virus Appears in Sweden (Mac)
20. Viruses that inhabit "bad" blocks (PC)
21. Re: Why not change OS?
22. Tiger Teams (General)
23. Re: UNIX virus proof?! (UNIX)
24. New Mac Virus Not In 'Moria' But in SuperClock3.5!
25. Re: OGRE virus in Arizona (PC)
26. Now I'm *REALLY* going...
27.  
28. ---------------------------------------------------------------------------
29.  
30. Date:    Thu, 05 Oct 89 16:18:45 -0400
31. From:    "E.C. Greer" <rs0xeg%rohvm1@VMA.CC.CMU.EDU>
32. Subject: IBM-supplied antivirus software (IBM PC)
33.  
34.  Below is the text of an announcement recently made by IBM. We got this
35.  from our IBM representative. It's not particularly clear to me
36.  exactly which viruses this software works for, but I thought I'd
37.  pass it along. There is a number to call for more information.
38.  
39.                                                  September 29, 1989
40.  MEMORANDUM TO: IBM Business Partners
41.  
42.  SUBJECT:       Personal Computer Virus Detection
43.  
44.  There is an increasing awareness in the industry of the existence of
45.  disruptive computer viruses.  Several personal computer viruses exist
46.  which are expected to activate after October 12, 1989.  These viruses
47.  can erase a DOS or OS/2* file or render the files on the fixed disk
48.  inaccessible.  Although the number of reported occurrences is low, this
49.  is to alert you to the potential risk of these viruses and to provide
50.  you with a program to assist you in detecting them.
51.  
52.  Enclosed are 3.5 inch and 5.25 inch diskettes with the IBM Virus
53.  Scanning Program for personal computers and its license agreement.  At
54.  your discretion, you may make copies for your customers.  Also included
55.  are a fact sheet on the IBM Virus Scanning Program and a virus question
56.  and answer document.
57.  
58.  We recommend that you and your customers run the IBM Virus Scanning
59.  Program on all of your personal computers using DOS and/or OS/2 as soon
60.  as possible prior to October 12th.
61.  
62.  If you provide customers a copy of these diskettes, you must also pro-
63.  vide them with a copy of the license agreement.  To ensure a virus free
64.  copy, you must follow the instructions in the READ.ME file on the
65.  diskette.  You should "write protect" all copies of the original disk-
66.  ettes.  The READ.ME file also contains additional information on the
67.  IBM Virus Scanning Program.  There is a $35.00 charge for this program.
68.  Payment is to be made by the customer directly to:
69.  
70.                   IBM Corporation
71.                   Grand Central Station
72.                   P.O. Box 2646
73.                   New York, NY 10163
74.  
75.  Alternatively, your customer may order the IBM Virus Scanning Program
76.  (part number 64F1424) at a cost of $35.00, with a major credit card,
77.  directly from the IBM fulfillment center by calling 1-800-426-7282.
78.  
79.                  IBM Virus Scanning Program Fact Sheet
80.  +               _____________________________________
81.  
82.  WARNING - BEFORE USING THE IBM VIRUS SCANNING PROGRAM MAKE CERTAIN
83.  THAT THE COPY YOU INTEND TO USE COMES FROM A SECURE UNINFECTED SOURCE,
84.  AND THAT THE DISKETTES' WRITE PROTECT TAB IS IN PLACE IF THE DISKETTE
85.  IS NOT PERMANENTLY WRITE PROTECTED.
86.  
87.  The IBM Virus Scanning Program has been developd by IBM to aid in the
88.  detection of some computer viruses and is being used internally by IBM
89.  to detect computer viruses.  The program is designed to scan boot
90.  records and executable files looking for signatures of viruses known to
91.  IBM when the program was written.  A signature is a bit pattern that is
92.  indicative of a particular virus.  The files that are scanned by the IBM
93.  Virus Scanning Program must be in their native executable form (e.g.,
94.  not encrypted and not packed) in order for signature matching to occur.
95.  There may be other viruses that currently exist, or will exist in the
96.  future, that the IBM Virus Scanning Program will not detect.  We know
97.  of no available, guaranteed solution to computer viruses, so we
98.  recommend regular backups of your data, caution in acquiring and using
99.  software and good security practices.
100.  
101.  Description of the IBM Virus Scanning Program
102.  +_____________________________________________
103.  
104.  The program tests executable files on disks for signature strings that
105.  are found in some common DOS computer viruses.  For each drive specified
106.  it will also test the drive for boot sector viruses.
107.  
108.  To use it, simply type at the command prompt (for example)
109.  
110.      VIRSCAN C:  to scan the executable files on the C: drive
111.         or
112.      VIRSCAN A:  to scan the executable files on the A: drive
113.         or
114.      VIRSCAN n: n: n:  to scan multiple drives (n = drive id)
115.  
116.  Type VIRSCAN without any arguments for some help.
117.  
118.      Files infected with a virus should be erased and replaced with
119.      uninfected copies (obtained from the original source, such as
120.      original manufacturer's diskettes, in-house source code, backup
121.      copies, etc).
122.  
123.      NOTE:  Prior to restoring any files, run the program against
124.             the diskette from which you plan to restore to ensure
125.             it is virus-free.
126.  
127.  Technical Detail:
128.  +________________
129.  
130.  VIRSCAN.EXE is the executable program.  It will run under DOS 2.0, 2.1,
131.  3.1, 3.2, 3.3, 4.0 and OS/2* 1.0, 1.1, and 1.2.  It will not support
132.  OS/2 1.2 with high performance file system names.
133.  
134.  Virus detection programs and services are available from other companies
135.  and you may also wish to advise your customers of these.  The IBM Virus
136.  Scanning Program will not detect all personal computer virus possibili-
137.  ties and should be considered complementary to, and not a substitute
138.  for, established security and backup procedures.
139.  
140.  If you have any questions, please call the NDD National Support Center
141.  at 1-800-IBM-PROD or contact your IBM marketing representative.
142.  
143.                                    R. F. Martino
144.                                    Vice President
145.                                    Marketing
146.  Enclosures
147.  
148.    * Trademark of the IBM Corporation
149.  
150. ------------------------------
151.  
152. Date:    05 Oct 89 00:00:00 +0000
153. From:    David.M..Chess.CHESS@YKTVMV
154. Subject: re: The DataCrime viruses (PC)
155.  
156. > DC-2 does it on any day
157. > between Jan 1 and Oct 12, except on Sundays!
158.  
159. That's not true for the sample that I've seen.  I suspect someone's
160. just misreading the code (it's easy to do; that area is rather
161. convoluted).  It could be a new variant, of course, but if it really
162. *did* do its damage between Jan 1 and Oct 12, wouldn't it have
163. basically Gone Off by now?  I think your source is just misinformed.
164. There does seem to be a day-of-the-week check in there, but I'm not
165. sure what it does at the moment (not damaging on Sundays is possible,
166. but I wouldn't want to promise anyone!).
167.  
168. In summary, the important differences that I know of between the
169. DataCrime (1168 and 1280 strains) and the DataCrime II are that
170. the II:
171.   - Makes COM files 1514 bytes longer when it infects them
172.   - Also infects EXE files
173.   - Stores itself garbled on disk (except for the degarbler)
174.   - Has a slightly different message ("* DATACRIME II VIRUS *")
175.  
176. Otherwise, it's the same beast, with the same damage conditions.
177. Of course there may be more variants that I haven't seen!
178.  
179. DC
180.  
181. ------------------------------
182.  
183. Date:    05 Oct 89 20:59:34 +0000
184. From:    jap2_ss@uhura.cc.rochester.edu (Joseph Poutre)
185. Subject: The not so new virus (Mac)
186.  
187. Enclosed is a mail message written by a fellow consultant.
188.  
189.   When it first appears, it's just a form of the nVIR virus which AntiPan
190.   works very well to eradicate.  But it seems to be a self modifying code
191.   which causes it to mutate to an unrecognizable form.  SO, what do we do
192.   about it, you ask?
193.  
194.   Well, we have had exceedingly good success in both TAGGING and ERADICATING
195.   the virus with a program called SYMANTEC ANTI-VIRUS CLINIC.  If the virus
196.   is tagged, it can be eradicated with AntiPan, or it can be eradicated with
197.   SAM, the SYMANTEC ANTI-VIRUS CLINIC.  So when people bring you their disks
198.   to have checked, please run SAM on them.  It's very easy, there will be
199.   instructions at the desk.
200.  
201. Copies of this message and an infected application will be sent to all those
202. who requested copies, and any others who also ask.
203. This is _not_ an endorsement of any sort for SAM, or Anti-pan.
204.  
205. Joseph Poutre (The Mad Mathematician)
206. jap2_ss@uhura.cc.rochester.edu
207.  
208. ------------------------------
209.  
210. Date:    Thu, 05 Oct 89 22:41:25 +0700
211. From:    Bertil Jonell <d9bertil@dtek.chalmers.se>
212. Subject: New Mac Virus Appears in Sweden (Mac)
213.  
214. Here on Chalmers, we've found an STR id 801 in the game MORIA
215. (Recently posted on comp.binaries.mac), I havent gotten time to check
216. it yet byt it *might* have come with moria.  (Altough some signs seam
217. to indicate that it has been around for a long time) Any information
218. on the virus, It's effects and possible techniques to combat it will
219. be geatly appriciated.
220.  
221. - --
222. Bertil K K Jonell @ Chalmers University of Technology, Gothenburg
223. NET: d9bertil@dtek.chalmers.se
224. VOICE: +46 31 723971 / +46 300 61004     "Don`t worry,I've got Pilot-7"
225. SNAILMAIL: Box 154,S-43900 Onsala,SWEDEN      (Famous last words)
226. "So for more than a decade, Tiamat had been observing Lucifer with
227. every possible kind of instrumentation" A.C.Clarke '2061'
228.  
229. ------------------------------
230.  
231. Date:    Thu, 05 Oct 89 19:26:00 -0400
232. From:    MAS-Polecat <MASERIK@ubvmsc.cc.buffalo.edu>
233. Subject: Viruses that inhabit "bad" blocks (PC)
234.  
235.      I was just reading about the OGRE virus when I noticed a pattern.
236. Since a lot (is it a lot?) of viruses mark the sectors they are using
237. as bad, why not just write a utility that will look up the bad sectors
238. on a disk and erase them.  There are utilities available now that will
239. analyze EACH sector on a disk to see if it is bad or not.  If it is
240. marked bad, but seems ok they will put that sector back into the
241. available sector list.  I think SpinRight (sp?) and perhaps PCTools do
242. this.  Even if not all of the virus is eradicated, it seems that it
243. would at least be fatally crippled.  Has anyone tried this?
244.  
245. Erik Bryant
246. Student Assistant Programmer
247. University at Buffalo
248.  
249. ------------------------------
250.  
251. Date:    Thu, 05 Oct 89 21:35:04 -0400
252. From:    ficc!peter@uunet.uu.net
253. Subject: Re: Why not change OS?
254.  
255. time@oxtrap.aa.ox.com (Tim Endres) writes:
256. > Better than changing OS to get better virus "resistance", why not
257. > encourage the systems designers at Apple and IBM to implement
258. > protection in their respective operating systems?
259.  
260. I don't know about the Mac... its system software is a lot cleaner
261. than Messy-DOS, albeit rather unconventional. But this is pretty
262. much impossible with MS-DOS. I suspect you would have to write a
263. complete new operating system with an MS-DOS emulator. The reason for
264. this is that the original MS-DOS was so incompetant (for example,
265. the serial driver code never worked right for anything better than
266. dumping to a printer, and it's never been fixed) that any decent
267. program was forced to go direct to the hardware. And of course if
268. you're going to go to a new O/S, why not use an off-the-shelf one
269. that's already achieved wide acceptance?
270.  
271. I once sat down and tried to write a terminal emulator that was
272. entirely well-behaved.  I was able to keep up with 1200 baud using the
273. XT bios to put stuff on the screen, by heavy use of curses-style
274. heuristics, but I broke down and went straight to the serial port.
275.  
276. Of course, OS/2 is supposed to fix all this. For some bizzarre reason,
277. though, it's still got no security features.
278.  
279. Anyway, the reason Apple and IBM aren't doing anything is because
280. there's no great call from the user community to do anything, and
281. nobody's willing to consider a better alternative if it means risking
282. their cherished soft- ware investment. Which is only reasonable, but
283. there's no reason new installations can't be based on something like
284. UNIX.
285.  
286. - ---
287. Peter da Silva, *NIX support guy @ Ferranti International
288. Controls Corporation.
289. Biz: peter@ficc.uu.net, +1 713 274 5180.
290. Fun:peter@sugar.hackercorp.com.
291. `-_-' ``I feel that any [environment] with users in it is "adverse".''
292.  
293. ------------------------------
294.  
295. Date:    Fri, 06 Oct 89 08:18:43 -0400
296. From:    "Andy Wing" <V2002A@TEMPLEVM.BITNET>
297. Subject: Tiger Teams (General)
298.  
299. Hi,
300.      I think that your average non-sophisticated user would be
301. offended by computer support personnel checking their personal
302. machine for "infection".  An alternative would be to have the
303. Tiger Teams simply state that they are doing "regular preventative
304. maintenance".  People shouldn't have problems with that.  The end
305. user doesn't need to know the gruesome details of a PM call.
306.      Actually Tiger Team duties should be assigned to a companys
307. regular maintenance people (with a software expert supervising
308. them of course).  I guess the best anti-virus protection is one
309. that is both transparent to the end user and in the hands of a
310. well trained support staff.
311.      The original Tiger Team idea would work best if slightly
312. modified.  Every football team has both an offence and a defense.
313. Right now the anti-viral defense really has no one to practice
314. against.  I think what we need is a group of developers that will
315. try to "bust" Gatekeeper/Flushot/etc.  These people would be
316. in close contact with the anti-viral developers.  The Tiger Team
317. would document their methods and only use benign infections.
318.      I guess my real concern is that anti-virus developers take
319. a reactive stance instead of an active one.  If I were a anti-virus
320. developer, I would want to encounter a new infection method under
321. controlled, documented conditions.  This way anti-viral SW would
322. be guarded against bypass methods already thought up by the Tiger
323. Teams.
324.      Also, do any anti-viral programs use the 'bad block' method
325. to protect themselves?  I think that idea holds some promise.
326.  
327.    Andy Wing     V2002A@TEMPLEVM.BITNET
328.  
329. ------------------------------
330.  
331. Date:    06 Oct 89 15:22:42 +0000
332. From:    jmc@PacBell.COM (Jerry Carlin)
333. Subject: Re: UNIX virus proof?! (UNIX)
334.  
335. ficc!peter@uunet.uu.net writes:
336. >I wouldn't say UNIX is virus-proof (I posted a hoax article about a
337. >UNIX virus over a year ago, just before the Internet Worm incident),
338. >but it's sure a hell of a lot more virus-resistant than DOS.
339.  
340. See "Experience with Viruses on UNIX Systems" by Tom Duff in Computing
341. Systems, Vol 2 No 2, Sprint 89 pp: 155-181. He discusses building a true
342. UNIX virus and the consequences thereof.
343.  
344. - --
345. Jerry Carlin (415) 823-2441 {bellcore,sun,ames,pyramid}!pacbell!jmc
346. To dream the impossible dream. To fight the unbeatable foe.
347.  
348.  
349. ------------------------------
350.  
351. Date:    Fri, 06 Oct 89 14:51:08 +0700
352. From:    Bertil Jonell <d9bertil@dtek.chalmers.se>
353. Subject: New Mac Virus Not In 'Moria' But in SuperClock3.5!
354.  
355. Today when I had time to check the various downloads that had been occuring
356. during the last few days I found that the recource STR ID 801 appeared
357. in the document Clock Doc (a word document). I double checked this by
358. extracting it from the .sit archive again and examinig it directly
359. (On Cue from StuffIt to ResEdit). Since Stuffit and Resedit seems to be
360. clean from this and othe known viruses I can only assume that the virus
361. was there when Clock Doc was packaged!
362. What I'm wondering now is: Is it confirmed that the STR ID 801 really *is*
363. a sign of a virus? Is there any chance that it is a legitimate resource?
364. (I've tested making new MacWrite documents with a locked copy, They have
365.  resources this 'International Resource' and a STR resource ID 701,
366. None of them have had a STR ID 801) Clock Doc comes with the
367. SuperClock! 3.5 INIT Recently posted to the comp.binaries.mac
368. newsgroup.  I'm sorry for causing constenation by proclaming Moria as
369. a possible source, (Frankly, That .sit archive had been deleted so I
370. couldn't check it, But since the known infected machines both had
371. Superclock 3.5 installed within the last few days, Moria hav dropped
372. off the list of prime suspects)
373. - -bertil-
374.  
375. Bertil K K Jonell @ Chalmers University of Technology, Gothenburg
376. NET: d9bertil@dtek.chalmers.se
377. VOICE: +46 31 723971 / +46 300 61004     "Don`t worry,I`ve got Pilot-7"
378. SNAILMAIL: Box 154,S-43900 Onsala,SWEDEN      (Famous last words)
379. "GOOD DEEL ON SLIGHTLY USED CRANE" - Orson Scott Card 'The Abyss'
380.  
381. ------------------------------
382.  
383. Date:    Fri, 06 Oct 00 19:89:36 +0000
384. From:    clout!kericks!ken@gargoyle.uchicago.edu
385. Subject: Re: OGRE virus in Arizona (PC)
386.  
387. > A new, extremely nasty virus has been discovered on some IBM PCs in
388. > the state of Arizona.  This virus, known as OGRE, has been found on
389. > some disks in Flagstaff and nearby areas.  This is the first
390. > recognition of said virus that has come to my attention.  This memo
391. > gives a description of the virus and possible ways of recognizing and
392. > removing it.
393.  
394.         This is a very interesting virus.  However, I would like to
395. know if anyone knows how it originally infects a disk.  It would seem
396. that it would have to be in an executable program at least initially
397. (to infect the first disk).
398.  
399.         Any ideas?
400.  
401. ------------------------------
402.  
403. Date:    Fri, 06 Oct 89 16:00:00 EDT
404. From:    "Kenneth R. van Wyk" <krvw@SEI.CMU.EDU>
405. Subject: Now I'm *REALLY* going...
406.  
407. Really, this is the *last* digest until I get back!
408.  
409. I stopped in the office on the way to the airport and was overwhelmed
410. by the amount of email, so I decided to send out *one* more digest
411. (especially since some of it pertained to DataCrime - which should be
412. history by the time I return).
413.  
414. So now I'm on my way out the door.  REALLY!  :-)
415.  
416. Ken
417.  
418. ------------------------------
419. End of VIRUS-L Digest
420. *********************
421. Downloaded From P-80 International Information Systems 304-744-2253
422.