home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.217

< prev

next >

Wrap

Text File  |  1995-01-03  |  15KB  |  352 lines

---

1. VIRUS-L Digest   Monday, 23 Oct 1989    Volume 2 : Issue 217
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Datacrime II (PC)
17. Data on viruses in Brunnstein format?
18. Re: Virus protection (PC)
19. Operating System virus protection (DOS & UNIX)
20. 0 bytes in 1 hidden file, virus? (PC)
21. RE: IBM-PC virus scanning program from IBM
22. Re: New Mac Virus Not In 'Moria' But in SuperClock (Mac)
23. Re: New Mac Virus Not In 'Moria' But in SuperClock (Mac)
24. Virus list popularity
25. Re: The not-so-new virus (Mac)
26.  
27. ---------------------------------------------------------------------------
28.  
29. Date:    Mon, 09 Oct 89 20:45:50 +0000
30. From:    Alan Solomon <drsolly@ibmpcug.co.uk>
31. Subject: Datacrime II (PC)
32.  
33. In his article dated 5-10-89, Yisrael Radai says that he has
34. discovered that Datacrime II does the low level format on every day
35. between Jan 1 and Oct 12 except Sundays.
36.  
37. I have a specimen of what I believe is Datacrime II.  My analysis of
38. it is different - it does the low level format on every day between
39. October 13th and December 31st inclusive, except *Mondays*.  Perhaps my
40. specimen is different to the one that Yisrael is reporting?  It
41. certainly announces itself as "DATACRIME II", and matches the rest of
42. his description in file size and avoidance of files whose second
43. letter is "B" and infection of both COM and EXE files.  Another
44. possible explanation is that the date comparison has not been
45. disassembled correctly by whoever did the disassembly, so could I ask
46. that Yisrael check his specimen;  if he is correct, then we have two
47. Datacrime IIs.
48.  
49. While on the subject of Datacrime in general, although the virus
50. certainly exists, there has not been a single reported infection in
51. the field in the UK, and I rather think very few indeed elsewhere.  On
52. the other hand, there seems to be a considerable tidal wave of media
53. scare building up in the run up to October 13th.  My advice to anyone
54. who might be concerned is:  work normally, take normal backups
55. regularly using Dos BACKUP or any other back up utility.
56.  
57. One thing that will happen is this:  there are, say, 10 million PCs in
58. the world.  If the average computer lasts 10 years, 3650 days, then on
59. average about 3000 computers go down per day;  I've been deliberately
60. conservative about these figures.  There is no reason to suppose that
61. October 13th will see significantly fewer of these normal failures.
62. Please remember that computers fail all the time, for assorted
63. non-virus reasons.
64.  
65. Myself, and a number of other researchers, have noticed that there
66. seem to be a number of viruses emerging that do not seem to exist in
67. significant numbers (or indeed, perhaps at all) in the field.  Could
68. it be thet virus authors are writing viruses and sending them directly
69. to the virus research community, so cutting out the middle man?  Or is
70. it that we are more alert now, and trap viruses before they get very
71. far?
72.  
73. Dr Alan Solomon                Day voice:     +44 494 791900
74. S&S Anti Virus Group           Eve voice:     +44 494 724201
75. Water Meadow                   Fax:           +44 494 791602
76. Germain Street,                BBS:           +44 494 724946
77. Chesham,                       Fido node:     254/29
78. Bucks, HP5 1LP                 Usenet:        drsolly@ibmpcug.co.uk
79. England                        Gold:          83:JNL246
80.                                CIX, CONNECT   drsolly
81.  
82. ------------------------------
83.  
84. Date:    09 Oct 89 22:24:03 +0000
85. From:    mpl@csd4.csd.uwm.edu (Mary Patricia Lowe)
86. Subject: Data on viruses in Brunnstein format?
87.  
88. I recently came across Fridrik Skulason's message to this
89. news group from 10 July 89 detailing the Icelandic Virus
90. in "Brunnstein Format". I was wondering if the 40 some
91. other known viruses and their mutants are similarily
92. cataloged and if this data is retreivable.
93.  
94. Thanks,
95.  
96. Patti Lowe
97. ..................................................................
98. mary patricia lowe                      computing services division
99. mpl@csd4.csd.uwm.edu            university of wisconsin - milwaukee
100. ...................................................................
101.  
102. ------------------------------
103.  
104. Date:    09 Oct 89 23:24:28 +0000
105. From:    steve@ucsd.Edu (Steve Misrack)
106. Subject: Re: Virus protection (PC)
107.  
108. I was wondering if somebody could tell me where I can find program
109. to detect machines infected with viruses.  I would appreciate
110. knowing where and how to get these programs.
111.  
112. Thanks in advance,
113.         Steve
114.  
115. smisrack@ucsd.edu
116.  
117. [Ed. Start by taking a look at VIRUSCAN, available via anonymous FTP
118. from the comp.virus archive sites (including ms.uky.edu).]
119.  
120. ------------------------------
121.  
122. Date:    10 Oct 89 00:21:35 +0000
123. From:    jlg%lambda@LANL.GOV (Jim Giles),
124.          jlg@lanl.gov (Jim Giles)
125. Subject: Operating System virus protection (DOS & UNIX) Re: UNIX virus proof?!
126.           (UNIX)
127.  
128. ficc!peter@uunet.uu.net writes:
129. >I wouldn't say UNIX is virus-proof (I posted a hoax article about a
130. >UNIX virus over a year ago, just before the Internet Worm incident),
131. >but it's sure a hell of a lot more virus-resistant than DOS.
132.  
133. How do you know?  The only machines DOS runs on are PCs and compatibles.
134. UNIX implemented on these machines would be just as vulnerable as DOS.
135. The most obvious weaknesses of DOS are unimportant compared to the fact
136. that the hardware itself has no protection mechanisms.
137.  
138. ------------------------------
139.  
140. Date:    10 Oct 89 00:45:59 +0000
141. From:    tasos@bu-cs.BU.EDU (Anastasios Kotsikonas)
142. Subject: 0 bytes in 1 hidden file, virus? (PC)
143.  
144.    When I run CHKDSK it reports "0 bytes in 1 hidden files" and I
145. am wondring if I have a virus. I have been unable to see a hidden file
146. with 0 bytes with PCTOOLS or Norton Commander. I would appreciate any
147. comments on how I could list all of the hidden files, or how does
148. CHKDSK find hidden files (i.e. is it looking for the second bit set ?)
149.  
150. Thanks,
151. Tasos
152.  
153. Internet: tasos@cs.bu.edu
154.  
155. ------------------------------
156.  
157. Date:    Mon, 09 Oct 89 18:30:06 -0400
158. From:    Thomas Lapp <thomas@mvac23.uucp>
159. Subject: RE: IBM-PC virus scanning program from IBM
160.  
161. Regarding a recent message sent which reproduced an IBM internal memo
162. about their VIRSCAN program:
163.  
164. >                                                  September 29, 1989
165. >
166. >  The program tests executable files on disks for signature strings that
167. >  are found in some common DOS computer viruses.  For each drive specified
168. >  it will also test the drive for boot sector viruses.
169. >
170. >  VIRSCAN.EXE is the executable program.  It will run under DOS 2.0, 2.1,
171. >  3.1, 3.2, 3.3, 4.0 and OS/2* 1.0, 1.1, and 1.2.  It will not support
172. >  OS/2 1.2 with high performance file system names.
173.  
174. I used this program on some PC's at work last week.  The program
175. VIRSCAN is the executable, however it uses two other files to obtain
176. the search strings and the message to be sent to the user if the
177. search string is found.  The search files are in ASCII and can be
178. modified to include more virus strings as necessary.  Obviously,
179. greater the search string, the less likely there will be a false
180. positive.  Since it reports the number of files searched and number of
181. disks checked, I suspect that this program would not be able to find
182. those viruses which reside on sectors which are then marked bad.
183.                          - tom
184. - --
185. internet     : mvac23!thomas@udel.edu  or  thomas%mvac23@udel.edu
186. uucp         : {ucbvax,mcvax,psuvax1,uunet}!udel!mvac23!thomas
187. Europe Bitnet: THOMAS1@GRATHUN1
188. Location: Newark, DE, USA
189. Quote   : Virtual Address eXtension.  Is that like a 9-digit zip code?
190.  
191. ------------------------------
192.  
193. Date:    10 Oct 89 15:51:33 +0000
194. From:    ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
195. Subject: Re: New Mac Virus Not In 'Moria' But in SuperClock3.5!
196.  
197. In article <0009.8910062006.AA22699@ge.sei.cmu.edu> d9bertil@dtek.chalmers.se (
198. Bertil Jonell) writes:
199. >Today when I had time to check the various downloads that had been occuring
200. >during the last few days I found that the recource STR ID 801 appeared
201. >in the document Clock Doc (a word document). I double checked this by
202.  
203. Actually, the file *type* is 'WORD', but it's not a Microsoft Word
204. document.  The 'WORD' document type is specific to MacWrite files.
205. Actual MS Word documents have a type of 'WDBN' and a creator of
206. 'MSWD'.  The creator for MacWrite files is 'MACA' (short for
207. MacAuthor).
208.  
209. >extracting it from the .sit archive again and examinig it directly
210. >(On Cue from StuffIt to ResEdit). Since Stuffit and Resedit seems to be
211. >clean from this and othe known viruses I can only assume that the virus
212. >was there when Clock Doc was packaged!
213.  
214. Incorrect assumption.  First it must be established that there *is* a virus.
215.  
216. >What I'm wondering now is: Is it confirmed that the STR ID 801 really *is*
217. >a sign of a virus? Is there any chance that it is a legitimate resource?
218.  
219. STR 801 *is* a legitimate resource in (at least) MacWrite versions 4.5
220. & 4.6.  It's also likely to be valid in files created by versions as
221. early as 3.0, and as late as 5.x.
222.  
223. To quote from an old copy of Tech. Note #12 (February 20, 1986) "Disk Based
224. MacWrite Format:
225.  
226. "FONT MAPPING - In the document's resources is a resource of type STR with
227.         the ID #801.  It contains a mapping of fonts to font resource IDs
228.         and information on real fonts.  This resource begins with a word...."
229.  
230. >(I've tested making new MacWrite documents with a locked copy, They have
231. > resources this 'International Resource' and a STR resource ID 701,
232.  
233. I think you mean STR 700 -- I don't know of any MacWrite format that
234. uses a STR with an ID of 701.  If you're curious, STR 700 contains the
235. fifteen most commonly used letters in whatever language MacWrite
236. happens to be set-up for.  It's used as an encryption/decryption key
237. for MacWrite's nibble-wise text compression scheme.
238.  
239. >None of them have had a STR ID 801) Clock Doc comes with the
240. >SuperClock! 3.5 INIT Recently posted to the comp.binaries.mac
241. >newsgroup.  I'm sorry for causing constenation by proclaming Moria as
242. >a possible source, (Frankly, That .sit archive had been deleted so I
243. >couldn't check it, But since the known infected machines both had
244. >Superclock 3.5 installed within the last few days, Moria hav dropped
245. >off the list of prime suspects)
246. >- -bertil-
247. >
248. >Bertil K K Jonell @ Chalmers University of Technology, Gothenburg
249.  
250. In conclusion, STR 801 is nothing to worry about, (1) because it's
251. supposed to be there, and (2) because, *in and of itself*, it couldn't
252. transmit a virus since no known program, and certainly no portion of
253. the Mac Toolbox or OS, is going to try to load a STR resource into
254. memory and execute it.
255.  
256. All in all, from the evidence listed above, there's no reason to
257. believe there's *any* form of virus present.
258.  
259. Cheers,
260. - ----Chris (Johnson)
261. - ----Author of GateKeeper
262.  
263. ------------------------------
264.  
265. Date:    10 Oct 89 21:12:25 +0000
266. From:    isle@eleazar.dartmouth.edu (Ken Hancock)
267. Subject: Re: New Mac Virus Not In 'Moria' But in SuperClock3.5!
268.  
269. In article <0009.8910062006.AA22699@ge.sei.cmu.edu> d9bertil@dtek.chalmers.se (
270. Bertil Jonell) writes:
271. [Garbage about finding a STR 801 resource in SuperClock 3.5 documentation]
272.  
273. Since when does a STRING RESOURCE become a virus?
274.  
275. Get real, folks.
276.  
277. Ken
278.  
279. Ken Hancock  '90                     | E-mail: (BITNET/UUCP/INTERNET)
280. Computer Resource Center Consultant  |    isle@eleazar.dartmouth.edu
281. - -------------------------------------+--------------------------------------
282. DISCLAIMER?  I don't get paid enough to worry about disclaimers.
283.  
284. ------------------------------
285.  
286. Date:    Wed, 11 Oct 89 10:59:24 -0000
287. From:    "David.J.Ferbrache" <davidf%cs.heriot-watt.ac.uk@NSFnet-Relay.AC.UK>
288. Subject: Virus list popularity
289.  
290. For the avid followers of statistics just a quick note from the September
291. 89 USENET readership report, comp.virus now has:
292.  
293. 14000 estimated readers worldwide, is received by 87% of all sites,
294. averages 214 messages a month (352Kbytes), no crossposting to other
295. groups, costs 4 cents per month per reader to distribute and is
296. read by 2.7% of all newsreaders.
297.  
298. [Ed. Thanks for the stats, David!]
299.  
300. ------------------------------
301.  
302. Date:    11 Oct 89 17:18:24 +0000
303. From:    Richard Kennaway <jrk@sys.uea.ac.uk>
304. Subject: Re: The not-so-new virus (Mac)
305.  
306. We have not seen any symptoms of the MacWrite-attacking MacWight virus
307. at this site, but on seeing the messages about it, I started looking for
308. STR 801 resources.  I doubt if they have anything to do with the virus.
309.  
310. A scan of my hard disc showed that something like half the MacWrite docs
311. had STR 801 in them.  There didnt seem to be any pattern in which files
312. had STR 801 and which didnt.  The STR 801s are not all the same size, BTW.
313. Opening a file which did not have it with MacWrite4.6M had the effect of
314. adding a STR 801.  In response to a local enquiry, a colleague said:
315.  
316. > I don't have all that many MacWrite docs. on my hard disc, but I managed
317. > find a few that I created about two years ago.  They had STR id. = 801
318. > resources.  As far as I can remember, I haven't touched them since
319. > Christmas '87 (other than copying the folder [that contains the folder ...]
320. > that contains them, in the Finder, and running Disinfectant).
321. >
322. > I've also just looked at the MacWrite floppy that came with a new Mac+
323. > about two years ago.  As far as I can remember this disc has been
324. > languishing in its box since a day or two after the machine arrived: the
325. > "Sample Memo" doc. on this disc also has a STR id. = 801 resource on it.
326.  
327. I suspect that STR 801 is legitimately used by newer versions of
328. MacWrite for its own inscrutable purposes.  Disclaimer: only Apple or
329. Claris can make a definitive pronouncement.
330.  
331. Paranoid speculation follows.
332.  
333. Maybe someone is using the Joker's trick.  There could be several
334. infected applications out there, all quietly spreading harmless-looking
335. things like STR 801 that dont ring GateKeeper's alarms, but when they
336. all come together in one application, the real virus is triggered...
337.  
338. Plug for Virus Detective: with this it was easy to search for all files
339. containing STR 700 (legitimate MacWrite resource) or STR 801.  All the
340. other virus detectors I've seen have the symptoms to look for
341. hard-wired.  I have no relationship with the author other than being a
342. satisfied customer.
343. - --
344. Richard Kennaway          SYS, University of East Anglia, Norwich, U.K.
345. Janet:  kennaway@sys.uea.ac.uk          uucp:  ...mcvax!ukc!uea-sys!jrk
346.  
347. ------------------------------
348.  
349. End of VIRUS-L Digest
350. *********************
351. Downloaded From P-80 International Information Systems 304-744-2253
352.