home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.220

< prev

next >

Wrap

Text File  |  1995-01-03  |  17KB  |  421 lines

---

1. VIRUS-L Digest   Tuesday, 24 Oct 1989    Volume 2 : Issue 220
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. The Power to Look Your Stupidest... (Mac)
17. Not-equals VIR Resource (Mac)
18. RE: IBM-PC virus scanning program from IBM (PC)
19. Dark Avenger and scanners (PC)
20. Re: 0 bytes in 1 hidden file, virus?? (PC)
21. Viruses in archives (PC)
22. init29: data->application?(Mac)
23. Viral susceptivity of UNIX vrs MS-DOS
24. Ohio Virus (no system given)
25. Creating a virus free boot disk (PC)
26. Re: /VIR ([not-equal-to-sign]VIR) App Signature (Mac)
27. Re: The DataCrime viruses (PC)
28. It can happen to anyone :-( (PC)
29.  
30. ---------------------------------------------------------------------------
31.  
32. Date:    Mon, 23 Oct 89 11:17:31 -0400
33. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
34. Subject: The Power to Look Your Stupidest... (Mac)
35.  
36.  
37. Some significant facts:
38.  
39. 1) Careful testing of SuperClock 3.5 (including dissection via ResEdit)
40.    turns up no - repeat, NO - viruses of any kind from any source I can
41.    get it from.
42.  
43. 2) STR 801 in a MacWrite file is OK and is in fact normal.
44.  
45. 3) No further developments have been heard. Can you please tell us more,
46.    if anything?
47.  
48. 4) Has anyone actually gotten to see this supposed virus? If you have
49.    a copy, will you PLEASE send it to John Norstad, or your favorite
50.    author of anti-virals?
51.  
52. I apologize abjectly to those who may have been misled by *my* contributions.
53. Networking means having to say you're sorry to LOTS of people :-(.
54.  
55.  --- Joe M.
56.  
57. ------------------------------
58.  
59. Date:    Mon, 23 Oct 89 11:24:14 -0400
60. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
61. Subject: Not-equals VIR Resource (Mac)
62.  
63. A Not-equals-VIR resource on your disk or in your Desktop file just
64. means that you ran the Interferon program at some point and haven't
65. removed it or rebuilt your Desktop file lately. Nothing to worry about.
66.  
67.  --- Joe M.
68.  
69. ------------------------------
70.  
71. Date:    23 Oct 89 00:00:00 +0000
72. From:    CHESS@YKTVMV.BITNET
73. Subject: RE: IBM-PC virus scanning program from IBM (PC)
74.  
75. Thomas Lapp <thomas@mvac23.uucp> writes:
76.  
77. >            Since it reports the number of files searched and number of
78. > disks checked, I suspect that this program would not be able to find
79. > those viruses which reside on sectors which are then marked bad.
80.  
81. All the viruses that I've heard of that live even partially in bad
82. sectors are boot-sector viruses; the "initial hook" of the virus
83. is written to the boot sector, and that hook then reads the rest
84. of the virus off of some sector elsewhere on the disk (which was
85. marked bad in the FAT at initial infection).   The IBM virus
86. scanner (and the McAfee one, and probably others) scans boot
87. records to detect this type of virus.
88.  
89. In general, a virus has to arrange to get executed; the viruses
90. we've seen so far do this either by modifying executable files,
91. or by modifying the boot record of a disk or diskette.   So
92. scanners for known viruses that scan executable files and
93. boot records are looking in the right places!   A "virus"
94. that just marked a sector as bad and wrote itself there,
95. without altering the boot sector or any other executable
96. object, would never get executed...
97.  
98. DC
99.  
100. ------------------------------
101.  
102. Date:    23 Oct 89 00:00:00 +0000
103. From:    CHESS@YKTVMV.BITNET
104. Subject: Dark Avenger and scanners (PC)
105.  
106. (This is in reply to Alan Roberts' warning about the Dark Avenger
107.  and scanners in VALERT-L.)
108.  
109. The recommended procedure for using the IBM Virus Scanning Program
110. includes, I'm pretty sure, cold-booting the machine from a trusted
111. boot diskette before running the scanner.   This will keep the
112. "spreads to all files on the disk" from happening, since it will
113. mean that the virus isn't in control when the scanner runs.  It's
114. also a bit of a pain, but it may be worth it.   If another virus
115. like the Dark Avenger appears, and you run a scanner that doesn't
116. know about it, without cold-booting first, you could end up
117. with an entire disk full of infected files, and not even know it!
118.  
119. This isn't really a bug in the scanners that needs to be "fixed".
120. Any program that opens many many files can have the same effect
121. when an infect-on-open virus is active.   This includes virus
122. scanners, anti-virus programs that compute check-values for your
123. executables to let you know what's changed, backup programs,
124. GREP-like programs, and so on.  It would certainly be a nice
125. enhancement if the scanners also scanned RAM before going to
126. the disk, but even that won't solve the general problem (since
127. an infect-on-open virus not known to the scanner can still be
128. spread to the entire disk, unless you cold-boot before
129. scanning).
130.  
131. DC
132.  
133. ------------------------------
134.  
135. Date:    Mon, 23 Oct 89 11:09:00 -0500
136. From:    <ACSJNF%DEPAUL.BITNET@VMA.CC.CMU.EDU>
137. Subject: Re: 0 bytes in 1 hidden file, virus?? (PC)
138.  
139.         In reference to CHKDSK's message about 0 bytes in 1 hidden file,
140.         if I remember correctly, CHKDSK is probably registering the
141.         volume label, in which case PCTOOLS does show it (at the top of
142.         the screen, instead of in the file listing).
143.  
144.         Try installing the system onto the disk (i.e. SYS A:), and then
145.         run a CHKDSK.  It should register xxxxxx bytes in 3 hidden files,
146.         where xxxxxx depends on the version of the system that you are
147.         using.  Respectively, the hidden files should be:
148.  
149.                 IBMBIO.COM -- Contains the BIOS routines
150.                 IBMDOS.COM -- Contains the DOS routines
151.                 (volume label)
152.  
153.         IBMBIO.COM and IBMDOS.COM will appear in the PCTOOLS window.  They
154.         will probably have the HIDDEN, SYSTEM, and READ-ONLY bits on.
155.         It may also have the ARCHIVE bit on.
156.  
157.                                         Joel N. Fischoff
158.                                         Software Support/Technician
159.                                         DePaul University, Chicago, IL
160.  
161. ------------------------------
162.  
163. Date:    Mon, 23 Oct 89 14:25:00 -0600
164. From:    CHRISTOPHER%GACVAX1.BITNET@VMA.CC.CMU.EDU
165. Subject: Viruses in archives (PC)
166.  
167.      Are there any programs currently available that will check for
168. viruses within an archive file?  I am familiar with the SHEZ program
169. and how it can be used with VIRUSCAN to scan archives, but SHEZ
170. un-arcs the archive file before running VIRUSCAN.  My question is,
171. does a program exist or could one be developed that searched for signs
172. of an archived and infected program?
173.  
174.      I can see two big problems with this immediately.  First, each
175. different archiving algorithm will archive a virus (call it X)
176. differently.  An ARCed X will be different from a ZIPed X will be
177. different from a ZOOed X, etc.  Secondly, say that virus X attaches
178. itself to the end of COM files.  Will the output (archived file) of an
179. archiving algorithm translate virus X into the same byte sequence
180. every time?  For example, program A is infected and becomes AX.  Is
181. arc(AX) (archived AX) the same as arc(A) + arc(X) and is arc(BX) the
182. same as arc(B) + arc(X)?
183.  
184.      I inquire because I have archived programs/software, and I would
185. like to know if programs in archives are infected without de-archiving
186. them (at last count I had over 100 .ARC files) and then SCANing them
187. as SHEZ does.
188.  
189. Christopher Kane
190.  <CHRISTOP@GACVAX1.BITNET>
191.  
192.  
193. ------------------------------
194.  
195. Date:    Mon, 23 Oct 89 10:55:45 -0700
196. From:    jim@insect.Berkeley.Edu
197. Subject: init29: data->application?(Mac)
198.  
199. INIT29 is a "popular" :-) new Macintosh virus that has
200. the unusual property of being able to infect data files,
201. as well as applications.
202.  
203. QUESTION:  If a diskette that CONTAINS ONLY DATA FILES, which
204. are infected by INIT29, is accessed by an uninfected application
205. residing on a clean diskette,  can the virus spread to the clean disk?
206.  
207. (Prior to INIT29,  I had been advising my users that if they go
208. to Kinko's they would be safe if they took only their data diskette.
209. But if a data infection  can spread to their application disks,
210. this would not be good advice.)
211.  
212. Anyone got the REAL answer?
213.  
214. Jim Bradley, CNR Computer Facility, UC Berkeley
215.  
216. ------------------------------
217.  
218. Date:    Mon, 23 Oct 89 16:15:00 -0800
219. From:    Steve Albrecht <ALBRECHT@CALIPH>
220. Subject: Viral susceptivity of UNIX vrs MS-DOS
221.  
222. in: VIRUS-L Digest V2 #217
223. Subject: Operating System virus protection (DOS & UNIX) Re: UNIX virus proof?!
224.       (UNIX)
225. jlg@lanl.gov (Jim Giles) writes:
226. >>I wouldn't say UNIX is virus-proof (I posted a hoax article about a
227. >>UNIX virus over a year ago, just before the Internet Worm incident),
228. >>but it's sure a hell of a lot more virus-resistant than DOS.
229. >
230. >How do you know?  The only machines DOS runs on are PCs and compatibles.
231. >UNIX implemented on these machines would be just as vulnerable as DOS.
232. >The most obvious weaknesses of DOS are unimportant compared to the fact
233. >that the hardware itself has no protection mechanisms.
234.  
235. Assuming everyone means "MS-DOS" when using the common acronym "DOS"...
236.  
237. Every UNIX implementation on 80286/386 processors that I've seen uses
238. the Intel Protected Mode.  If used properly, this provides process
239. isolation.  This alone is a great security improvement over MS-DOS.
240. File system security can be provided similarly by using memory-mapped
241. rather than i/o mapped devices.
242.  
243. Their are a few UNIX implementations which run on 8088-based PCs.  It
244. is true that hardware support for process isolation and file security
245. are lacking in off-the shelf IBM PC and PC/XT-type machines.  The
246. rarity of such machines running UNIX is a wonderful defense against
247. viruses, however.
248.  
249. The fact remains that most users of PC/AT and 386-based machines use
250. MS-DOS which, now in its 4th major version, is still incapable of
251. using Intel Protected Mode.  Thus, Peter's original statement is fully
252. justified.
253.  
254. MS-DOS is (also) an easier target than UNIX because of its simplicity
255. and easy access to technical information.  While UNIX internals are
256. also widely available, they are written for more sophisticated
257. readers.  The multitudinous flavors of UNIX also inhibits low level
258. attacks.  MS-DOS is is a sitting duck (such being the price of
259. standardization).
260.  
261. As an aside, I abhor the idea of anyone promulating "virus hoaxes" or
262. other forms of terrorism.  As I lack complete understanding of Peter's
263. claim to have "posted a hoax article about a UNIX virus over a year
264. ago", I will resist further comment on this distasteful subject.
265.  
266. (::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::)
267. ) Steve Albrecht - IntelliCorp, Inc. - Knowledge Systems Product Development (
268. ( "Opinions expressed here are my own, if anyone's, and not my employer's."  )
269. ) DDS   albrecht@intellicorp.com         :     COMPUSERVE  73657,1342        (
270. ( UUCP  ...!sun!intellicorp.com!albrecht :     public bbs  (415)969-5643     )
271. )   or  ...!sun!icmv!albrecht            :                "c"omment to sysop (
272. (::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::)
273.  
274. ------------------------------
275.  
276. Date:    23 Oct 89 14:13:01 +0000
277. From:    wsinrn@urc.tue.nl (Rob J. Nauta)
278. Subject: Ohio Virus (no system given)
279.  
280. Hello everybody
281.  
282. I'm back on a new usercode. If you still have my old one
283. (RCSTRN@HEITUE51.BITNET) please replace it by this one, as my bitnet
284. account expired sept.  1st.
285.  
286. I have a question. I recently found the Ohio Virus on a disk. I've
287. never heard of it, who knows more about it?
288.  
289. Thanks in advance
290.  
291. Rob J. Nauta
292. wsinrn@eutrc3.UUCP
293. wsinrn@urc.tue.nl
294.  
295. ------------------------------
296.  
297. Date:    Mon, 23 Oct 89 22:24:09 -0400
298. From:    Dave <consp12@bingvaxu.cc.binghamton.edu>
299. Subject: Creating a virus free boot disk (PC)
300.  
301. In regards to the already-resident-virus problem(disinfecting), I follow
302. a fairly easy procedure...  Do a low-level format of a new disk..  Take
303. your original(Write-protected, of course) dos and sys the disk..  add
304. command.com and your favorite virus scanner..  This is something that
305. you should do BEFORE you are infected...  You have to be sure that your
306. scanner is clean..
307.   Now write protect the disk and tuck it away somewhere..  If you think
308. you're infected, shut down and boot from your floppy..  Now you have no
309. resident virus's..  I don't trust mem-res scanners, myself..
310.  
311. Dave Hoelzer @sunyB..
312.           CONSP12@bingvaxa
313.  
314. ------------------------------
315.  
316. Date:    Tue, 24 Oct 00 19:89:02 +0000
317. From:    biar!trebor@uunet.UU.NET (Robert J Woodhead)
318. Subject: Re: /VIR ([not-equal-to-sign]VIR) App Signature (Mac)
319.  
320. In: VIRUS-L Digest   Monday, 23 Oct 1989    Volume 2 : Issue 216
321. prieto@gem.mps.ohio-state.edu (Juan Pablo Prieto-Cox) writes:
322.  
323. >I also found a resource of type =/VIR (for
324. >typographical reasons by =/ I mean the symbol for not equal). Remember
325. >that I had already ran Disinfectant.  Does anyone have a clue? or a
326. >similar problem?
327.  
328. You may have a new nVIR strain (I would appreciate copies of infected
329. files), but =/VIR is the application signature of my Interferon
330. program.  This is not the first time this has come up, and in retrospect
331. it may have been a bad choice.
332.  
333. Just FYI:
334.  
335. =/VIR    Interferon
336. VIRx    Virex (early versions)
337. VIRy    Virex (more recent versions)
338.  
339. Robert J Woodhead, Biar Games, Inc.   !uunet!biar!trebor | trebor@biar.UUCP
340. Announcing TEMPORAL EXPRESS.  For only $999,999.95 (per page), your message
341. will be carefully stored, then sent back in time as soon as technologically
342. possible.  TEMEX - when it absolutely, postively has to be there yesterday!
343.  
344. ------------------------------
345.  
346. Date:    24 Oct 89 09:13:11 +0000
347. From:    jr@ncrsecp.Copenhagen.NCR.dk (Jakob Riis)
348. Subject: Re: The DataCrime viruses (PC)
349.  
350. In article <0002.8910062006.AA22699@ge.sei.cmu.edu> David.M..Chess.CHESS@YKTVMV
351.  writes:
352. >> DC-2 does it on any day
353. >> between Jan 1 and Oct 12, except on Sundays!
354.  
355. >That's not true for the sample that I've seen.  I suspect someone's
356. >just misreading the code (it's easy to do; that area is rather
357. >convoluted).  It could be a new variant, of course, but if it really
358. >*did* do its damage between Jan 1 and Oct 12, wouldn't it have
359. >basically Gone Off by now?  I think your source is just misinformed.
360.  
361. You might both be right ! The de-assembled code I've seen shows that
362. its fairly easy to trim DCII to go off anytime you would like it - in
363. fact you can de-arm it yourself by setting the day check equal 8 !
364. (but I guess I would rather re-install the original programs). If I
365. don't remember wrong the newly dreaded Columbus day Virus was such a
366. re-programming of DCII.
367.  
368. Just my 2 cents worth,
369. _____________________________________________________________________________
370. Jakob Riis                      |                Jakob.Riis@Copenhagen.NCR.dk
371. NCR Corporation                 |                               or
372. Systems Engineering Copenhagen  |     ..!uunet!mcvax!dkuug!ncrsecp!jakob.riis
373. - ---------------------------------------------------------------------------
374. !                A plucked goose doesn't lay golden eggs                    !
375. - ---------------------------------------------------------------------------
376.  
377. ------------------------------
378.  
379. Date: Tue, 24 Oct 89 11:18:37 GMT
380. From: frisk@rhi.hi.is (Fridrik Skulason)
381. Subject: It can happen to anyone :-(  (PC)
382.  
383. Well - now I know of one victim of the Datacrime-II virus .....
384. myself. :-(
385.  
386. Last Tuesday I was demonstrating how any known virus could be stopped
387. with my anti-virus program. Unfortunately I had forgotten that it was
388. not installed at the time :-(
389.  
390. So, when I ran a program infected with DataCrime-II, I just got the
391. message
392.  
393.         DATACRIME II
394.  
395. Bye bye hard disk......
396.  
397. I turned the computer off, but when I turned it on again the computer
398. would of course not boot from the hard disk, but instead jumped into
399. BASIC.
400.  
401. When I booted from a diskette, the computer would not even admit that
402. drive C: existed.
403.  
404. It sounds bad, but this took only a few minutes to fix, simply by...
405.  
406.     ... formatting track 0 with correct parameters
407.     ... running NDD
408.  
409. and everything was back to normal again.
410.  
411. phew !
412.                         -- frisk
413.  
414. [Ed. NDD = Norton Disk Doctor, right?]
415.  
416. ------------------------------
417.  
418. End of VIRUS-L Digest
419. *********************
420. Downloaded From P-80 International Information Systems 304-744-2253
421.