home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.222

< prev

next >

Wrap

Text File  |  1995-01-03  |  23KB  |  478 lines

---

1. VIRUS-L Digest   Wednesday, 25 Oct 1989    Volume 2 : Issue 222
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. VIRUSCAN/VIRSCAN Issues (PC)
17. Free Catalog Disk Infected (PC)
18. Protecting Your User's Disks (Mac)
19. New virus in Israel (PC)
20. You're not alone; DataCrime infection report (PC)
21. possible virus infection (PC)
22. Re: 0 bytes in 1 hidden file, virus? (PC)
23. The not-so-new virus (Mac)
24. Re: VIRUSCAN test (IBM PC)
25. Jerusalem Virus Version B detected (PC)
26.  
27. ---------------------------------------------------------------------------
28.  
29. Date:    Tue, 24 Oct 89 11:12:03 -0700
30. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
31. Subject: VIRUSCAN/VIRSCAN Issues (PC)
32.  
33. The following is a forwarded message from John McAfee:
34.  
35. =============================================================================
36.  
37.     A number of people have commented on the "closed" architecture of
38. VIRUSCAN and the encryption of the individual search strings used for
39. virus identification.  Some users feel that this is done in order to
40. maintain a "monopoly" in the scanning industry and to keep competitors
41. from using the same strings.  I would like to put that concern to
42. rest, if possible.  First, as many users will have noticed, the
43. earlier versions of SCAN had all strings available for anyone who
44. cared to look at them.  The users who wished merely to scan for
45. viruses merely noticed them, shrugged (really - what value is it to
46. the average user?), and went on.  The folks who seemed to take notice
47. of the strings were those few crackers who used the strings to change
48. the virus segments referenced by the strings.  This has happened seven
49. times in three months, the most recent being the New Jerusalem virus
50. discovered by Jan Terpstra and Ernst Baedecker in the Netherlands.
51. The virus is identical to the Jerusalem-B, with the exception of the
52. string changes that SCAN originally referenced.  What this does is
53. invalidate all of the work done to date on identification of the
54. Jerusalem-B.  To make it more difficult for crackers to get around the
55. scanning process, I've done two things: 1. encrypt the strings (I know
56. that this merely slows down the determined cracker, but it does deter
57. the casual cracker - of which there are many). and 2. I use multiple
58. strings for the more mutable viruses.  In addition, I have taken to
59. randomly changing strings for different versions of scan.  None of
60. this was done to deter competition.  In fact, as Art Gilbert and Bill
61. Vance at IBM should agree, I co-operate fully with competitors in
62. providing virus samples, infection trends, market information and
63. (possibly unwelcome) suggestions for improvements and points to watch
64. out for in the more troublesome viruses.  I even provide my string
65. lists to any legitimate competitor who asks for them.  I just don't
66. provide them to the public, and I'm not sure the public really would
67. be served by knowing the binary string sequences I use to identify a
68. given virus.
69.     I response to the comments that IBM's open string list will make
70. it easier for users to update the files themselves - I absolutely
71. agree.  There's a lot to be said for the flexibility and control that
72. such an approach brings.  But, ignoring the problem crackers for the
73. moment, we will have to ask - who is going to update the string files?
74. Is it each user?  If so then chaos will ensue.  I can categorically
75. say that the average user is incapable of taking a live virus sample
76. and creating a valid search string for that virus.  The problems are
77. immense.  First, many viruses are written in C, PASCAL or other higher
78. level language.  Unless you are familiar with the actual code
79. generated by the compiler runtime library and the canned compiler
80. output sequences, you will have dificulty separating the origin virus
81. code from the same code that you will find in hundreds or maybe
82. thousands of other similarly compiled programs.  Second, the string
83. segments must have a unique "style" that will avoid false alarms with
84. similar styled programs.  For example, choosing a long string of
85. register saves as an identifier will guarantee false alarms with other
86. programs.  The user will also have to know something about the
87. infective characteristics of the virus as well.  Does it only infect
88. the partition record, or the boot sector?  Does it infect overly
89. files?  Which ones? etc.  All in all it is a task that most user
90. shouldn't have to face.  So we can agree, I think, that the strings
91. will havee to be done by competent programmers with a fair amount of
92. virus experience if it is to work.  The question then is - which
93. programmers?  Who will set the standard.  If there is no standard,
94. then again, chaos results and which version of the strings swhould we
95. use?  My feeling is that the IBM approach works well for researchers,
96. but that the general public should use only the strings that IBM
97. produces (or someone that IBM should designate).  So much for my
98. soap-box for the day.
99.     We survived the earthquake out here.  We were 6 miles from the
100. epicenter, but we must have been on a standing wave since we suffered
101. only moderate damage.  My cat slept through the entire event (though,
102. admittedly, he only normally wakes for 15 minutes at breakfast and 20
103. minutes at dinnertime).
104.     Have a good day.
105.  
106. John McAfee
107.  
108. ------------------------------
109.  
110. Date:    Mon, 23 Oct 89 19:21:00 -0500
111. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
112. Subject: Free Catalog Disk Infected (PC)
113.  
114.   My friend just received, and I now have in my posession a free
115. disk from a Shareware copying company, which he received after
116. he sent in a "bingo" card from a popular computer magazine.
117.  
118.   The disk has three infected files on it:
119.  
120.   1) GETKEY.COM  3074 bytes  01-01-80  12:35a
121.   2) CL.COM      3457 bytes  08-01-86  02:39p
122.   3) LIST.COM    7871 bytes  06-17-86  02:37p
123.  
124.   SCAN version 0.7V42 reports as follows:
125.  
126.   GETKEY.COM - 3066/2930 TRACEBACK VIRUS
127.       CL.COM - 3066/2930 TRACEBACK VIRUS
128.     LIST.COM - FU MANCHU VERSION A
129.  
130. GETKEY.COM and CL.COM are in the disks ROOT directory. CL.COM
131. appears to a hidden file, as it is not seen when you do a DIR from
132. the DOS prompt. LIST.COM is in the subdirectory \ORD.
133.  
134. To be fair to the company which sent the disk, I will mention their
135. name here, as in all probability, they do not know the disk is
136. infected. No sense creating another major problem...
137.  
138. The disk label is designed as follows:
139.  
140.                        1989 COMPANY NAME CATALOG
141.                       ***************************
142.                      P.O. xxxx HESPERIA, CA 92345
143.                MAY VIEW OR PRINT CATALOG & ORDERFORM
144.                      TO START CATALOG . . . A>START
145.  
146. The disk has one subdirectory on it named \ORD which contains 8 files.
147. The ROOT directory contains 25 files.
148.  
149. My friend spotted the fact that LIST.COM is in both the ROOT and the
150. sub-directory and the file sizes differ. Also, since he did not know
151. the company, he ran SCAN as a precaution.
152.  
153. If Dave Chess at IBM or Mr. McAfee wants a copy of this disk, please
154. let me know...by EMAIL. I have gone to great lengths to not identify the
155. company to avoid any problems.
156.  
157. Also..please note this disk WAS NOT sent to the university, nor was any
158. damage done to any of the university equipment.
159.  
160. I hope I have given you all enough information to identify the disk,
161. if you happen to receive one. The disk was not unsolicited, in other
162. words, the disk was requested by my friend and the magazine has nothing
163. to do with this issue, at this point in time.
164.  
165. ------------------------------
166.  
167. Date:    Tue, 24 Oct 89 15:32:00 -0500
168. From:    "Thomas R. Blake" <TBLAKE%BINGVAXA.BITNET@VMA.CC.CMU.EDU>
169. Subject: Protecting Your User's Disks (Mac)
170.  
171. >(Prior to INIT29,  I had been advising my users that if they go
172. >to Kinko's they would be safe if they took only their data diskette.
173. >But if a data infection  can spread to their application disks,
174. >this would not be good advice.)
175. >
176. >Anyone got the REAL answer?
177.  
178. Well, I assume they're going to Kinko's to print.  (Yes/No?)  I'd say
179. if they write-protect their diskettes they have no need to worry.
180.  
181. Macintosh viruses will not spread to write-protected diskettes.
182.  
183.                                                 Thomas R. Blake
184.                                                 SUNY-Binghamton
185.  
186. ------------------------------
187.  
188. Date:    Tue, 24 Oct 89 19:32:37 +0200
189. From:    "Yuval Tal (972)-8-474592" <NYYUVAL@WEIZMANN.BITNET>
190. Subject: New virus in Israel (PC)
191.  
192. A new virus was found here in Israel. I didn't know whether to call
193. it: The Do Nothing Virus or The Stupid Virus.
194.  
195. The author (which is as usually known) put an infected program on one
196. of the BBSs in Israel. The program was an infected program which my
197. friend wrote BUT it claimed to be a new version (eg. my friend's
198. latest version was 3.4 and the one on the BBS was 4.0). He quickly
199. downloaded this file and he found out that it is infected with a
200. virus. After checking this virus he and I got to one big conclusion.
201. The author of this virus probably doesn't know assembly so good. You
202. can see this quite clear:
203.    -The virus tries to push only one byte into the stack.
204.    -The virus is copied always to location 9800:100h this means that it will
205.     work only on computers 640KB. The virus doesn't reduce the amount of
206.     memory (like other viruses such as Denzuk, Ping-Pong etc'). The virus is
207.     copied and that's it! Turbo Pascal, for instance, may use this location
208.     as heap and the virus may be erased from memory.
209. Another thing, this virus infects only the first .COM file on the
210. directory.  It doesn't check if the file is already infected or not,
211. it just infects it.  This virus does nothing besides infecting the
212. file, no damage at all! This is why I called it The Do Nothing Virus.
213.  
214. Here is a report I made. I may change it a bit here and there..
215.  
216. - --------------------------------------------------------------------------
217. Entry................: The Do Nothing Virus
218. Alias(es)............: The Stupid Virus
219. Virus detection when.: 22-October-1989
220.                where.: Israel
221. Classifications......:.COM file infecting virus/extending.
222. Length of virus......: 583 bytes add to file.
223. Operating system(s)..: MS-DOS
224. Version/release......: 2.0 or higher
225. Computer model(s)....: IBM PC,XT,AT and compatibles
226. Identification.......: .COM files: The first 3 bytes of the infected files
227.                        are changed.
228.                        System: The virus copies itself to 9800h:100h.
229. Type of infection....: Extends .COM files. Adds 583 bytes to the end of
230.                        the file. The virus copies itself to 9800:100h. This
231.                        means that only computers with 640KB may be infected,
232.                        hooks int 21 and infects other programs by scanning the
233.                        directory until it finds a .COM file. It is infected
234.                        upon function Fh and 3Dh. .EXE files are not infected.
235. Infection trigger....: The first .COM file of the current directory is
236.                        infected whether the file is infected or not.
237. Interrupts hooked....: Int 21
238. Damage...............: None.
239. Damage trigger.......: Whenever a file is opened.
240. Standard means.......: Lots of programs such as Turbo Pascal use this area
241.                        And the virus may be erased...
242. Acknowledgment:
243. Location.............: The Weizmann Institute Of Science, Rehovot, Israel
244. Documented by........: Yuval Tal (NYYUVAL@WEIZMANN.BITNET).
245. Date.................: 25-October-1989
246. -
247.  -------------------------------------------------------------------------------
248.  
249. - -Yvual Tal
250.  
251. ------------------------------
252.  
253. Date:    Tue, 24 Oct 89 17:45:48 -0400
254. From:    Arthur Gutowski <AGUTOWS%WAYNEST1.BITNET@VMA.CC.CMU.EDU>
255. Subject: You're not alone; DataCrime infection report (PC)
256.  
257. >From Virus-L Digest v2.220, frisk writes:
258.  
259. > Well - now I know of one victim of the Datacrime-II virus .....
260. > myself. :-(
261.  
262. Well, you shouldn't feel alone.  A friend of mine who works for
263. ERIM (Environmental Research Institute of Michigan) got hit too.
264. His quotes sounded something like this (before being hit):
265.  
266.     "Oh, I'm not worried, I don't do much software trading,
267.      and what I do is straight from BBSs and buying from vendors."
268.  
269. That was until he turned on a computer at work on Saturday 10/14.
270. He had recently DLed a copy of PKZ102.EXE (PKZIP v1.02, self-extracting)
271. from CompuServe and decided to try it out.  Although I can't be sure
272. that this was the source of the infection, eh told me it was the first
273. time he had had a chance to run the program (hence, strong implication).
274.  
275. Then it was showtime.  Bye bye hard drive, low level format (F6) to
276. cylinder 0.  Effectively wiped out all access to the hard drive.
277. Even a large chunk of the 2d copy of the FAT was duly destroyed because
278. of this.  He admitted to me that rebuilding a FAT, even with Mr. Norton's
279. help, is not much fun.
280.  
281. Needless to say, he has grudgingly accepted from me a disk containing
282. several acrhives of antiviral tools to help him along in the battle.
283. This disk is soon to be out in our Consulting center and student labs.
284. Hopefully we can make enough people aware of things like this before
285. more have to pay the awful price.  Thankfully, it's already happening...
286.  
287. One final note, I'm not POSITIVE it was DC that hit him, it may have
288. been some variant.  He is currently trying to see if he can get the
289. infected program to me so I can look at it using info I've gained
290. from watching here.  Two strane things that made me question my
291. assumption:
292.          1)  No "DATACRIME" message was thrown up on the screen
293.              that he remembers;
294.          2)  A name, Siegmar Schmidt, was written to the partition
295.              record.
296. Now again, it DID format cyl0 and only cyl0...can anyone say for sure?
297. Please e-mail me to the bitnet address above, 'twould be much appreciated.
298.  
299. It CAN happen to anyone!
300.  
301. Art
302.  
303. +------------------------------------------------------------------+
304. | Arthur J. Gutowski, Student Assistant                            |
305. | Antiviral Group / Tech Support / WSU University Computing Center |
306. | 5925 Woodward; Detroit MI  48202; PH#: (313) 577-0718            |
307. | Bitnet: AGUTOWS@WAYNEST1   Internet: AGUTOWS@WAYNEST1.BITNET     |
308. +==================================================================+
309. | "OOPS, what OOPS?!?...No, I diSTINCTly heard you say 'OOPS'!"    |
310. +------------------------------------------------------------------+
311.  
312. ------------------------------
313.  
314. Date:    Tue, 24 Oct 89 19:34:21 -0400
315. From:    flanders@grebyn.com (Dennis Flanders)
316. Subject: possible virus infection (PC)
317.  
318. I am a new user on VIRUS-L.  I am a communication engineer on the
319. FTS2000 project at Boeing Computer Services and we run a large
320. client/server data network.  It now serves over 800 PC's, Sun
321. Workstations and is served by several host machines from mainframes to
322. micros.  I said all that to say this:
323.  
324. In the process of "de lousing" our network for Columbus day and Friday
325. the 13th, using a program called VScan, we discovered seven programs
326. that showed as possible infected programs or carrier programs.  In
327. disassembling them only one proved to be dangerous.  The others
328. contained code sequences to totally lock the keyboard and triggered
329. warnings.  It may have had the infection passed on by another virus as
330. the first three bytes in the .com file were 909090h. The following
331. bytes (I believe 19) simply blitzed track 0.
332.  
333. The infected file was a brief program (217 bytes) called KEYLOCK.COM
334. which comes with a set of utilities distributed by PC Magazine.  We
335. could find no infected distribution disks.  Only versions found on two
336. PCs were found to contain this bomb.
337.  
338. Curiously enough a couple of programs (ie NORTON.COM) popped a warning
339. due to 1Fh found in the Seconds field of the directory.  We also found
340. several programs with a value >60 (ie 62) in the same location.  All
341. but one turned out to be harmless, we are still looking at the one.
342.  
343. +-------------------------------------------------+----------------------+
344. |Dennis M. Flanders                               |                      |
345. |AT&T Mail:  !DFLANDERS                           | If at first you      |
346. |MCI Mail:   DFLANDERS                            |   don't succeed get  |
347. |INTERNET:   flanders@grebyn.com                  |     a bigger hammer! |
348. |CompuServe: 73507,1771                           |                      |
349. +-------------------------------------------------+----------------------+
350.  
351. ------------------------------
352.  
353. Date:    Tue, 24 Oct 89 14:56:02 -0400
354. From:    rjs@moss.ATT.COM (Robert Snyder)
355. Subject: Re: 0 bytes in 1 hidden file, virus? (PC)
356.  
357. In volume 2 issue 217 of the virus list, Tasos notes that CHKDSK
358. report "0 bytes in 1 hidden files" and wonders if he has a virus.
359. This seems to come up fairly often when new people join the list so
360. maybe an automatic answer is needed.  In any case, Tasos probably ran
361. CHKDSK on a disk with a volume label as that will exhibit his
362. symptoms.  I.e. it's not likely that Tasos has a virus.
363.  
364.     Robert Snyder
365.     {att|clyde}!moss!rjs
366.     rjs@moss.ATT.COM
367.     (201) 386-4467
368.  
369. The above statements are my own thoughts and observations and are not
370. intended to represent my employer's position on the subject(s).
371.  
372. ------------------------------
373.  
374. Date:    25 Oct 89 03:02:34 +0000
375. From:    jap2_ss@uhura.cc.rochester.edu (The Mad Mathematician)
376. Subject: The not-so-new virus (Mac)
377.  
378. I am the one who first posted about the possibly new virus.  I will
379. give all the information I have here.  I believe I hae finally gotten
380. some infected software.
381.  
382. There was a great deal of confusion at first as what exactly was
383. happening.  I was a consultant once, and as such am called upon to
384. assist the present consultants with tasks they are new at.  We had
385. been having a problem with disks crashing at an alarming rate, all
386. showing identical symptoms.  They are these:
387.  
388. The Chooser becomes unable to find any printer resources.
389. The System and most system software gets writeen to, in an as yet
390. unknown manner.  Their sizes may or may not change.
391. Other applications are written to, and documents created with them
392. become unreadable.
393. The Desktop gets damaged, causing the message "This disk needs minor
394. repairs.  Do you want to fix it?" to come up on bootup.  By this stage
395. the only recourse is to copy documents off with something like Deskzap
396. and reformat the disk, replacing all the software.
397. If the disk is repaired, it actually may seem that way, but ususally
398. is ruined, even to the point of unusability.
399.  
400. No virus detection programs identify a virus, except perhaps SAM Anti
401. Virus Clinic, and even that doesn't always work.  It _may_ be a
402. NVIR variant that is self-modifying, but it does not create the
403. nVIR resource.  It does go through Vaccine, but Gatekeeper stops
404. it cold.
405.  
406. The reported STR 801 resource was an error by me.  Please ignore this.
407.  
408. There appeared to be a second virus also running around for a while.
409. The sysmptoms were:
410. Macwrite had its name changed to Macwite or Macwight.
411. The ICN resource for the application was changed to show Macwite instead
412. of the parallel lines.
413. That's all we could find.  We have found no other examples since the first
414. three or four disks.  I am of the opinion that someone modified one copy
415. using something like Resedit, then shared it.
416.  
417. That is all the information I can recall at this time.  As I said, I
418. believe I have found an infected disk, and will be sending copies of
419. an infected application at the earliest opportunity, hopefully
420. tommorrow.  Thank you for your patience.
421.  
422. Joseph Poutre (The Mad Mathematician)
423. jap2_ss@uhura.cc.rochester.edu
424. Understand the power of a single action.  (R.E.M.)
425.  
426. ------------------------------
427.  
428. Date:    Tue, 24 Oct 89 23:28:15 -0400
429. From:    dmg@lid.mitre.org (David Gursky)
430. Subject: Re: VIRUSCAN test (IBM PC)
431.  
432. In VIRUS-L Digest V2 #221, Charles Preston wrote a rather long message
433. about virus scanners vs. more automated virus detection applications.
434. I would like to point out to him that although there are some
435. excellent scanning applications on the market, for Macs, PCs, etc., I
436. prefer recommending that users do not rely on scanners simply because
437. you must remember to periodically scan the disk.  My experience has
438. been that users simple do not remember to do this, hence a strategy
439. that relied solely on a scanner application would not be a strong
440. defense against electronic vandalism.
441.  
442. David Gursky
443. Member of the Technical Staff
444. Special Projects Department, W-143
445. The MITRE Corporation
446.  
447. ------------------------------
448.  
449. Date:    Tue, 24 Oct 89 23:48:11 -0500
450. From:    shaynes@lynx.northeastern.edu
451. Subject: Jerusalem Virus Version B detected (PC)
452.  
453. After running Scan 1.1V45 on my hard drive I detected the Jerusalem Virus
454. Version B on one of my files.  The file that I detected the virus on had
455. not appeared in earlier runs of Scan.
456.  
457. The infected file is UNVIRUS.EXE.  The archive I got it out of was
458. UNVIRUS.ARC.  I downloaded this file from the SIMTEL20 PD archives.  I
459. immediately deleted the file.  I have never had a reason to the
460. program (and I would think that running the program on itself would
461. have adverse affects).
462.  
463. [Ed. Could someone at SIMTEL20 please check into this and confirm or
464. deny it?  Thanks!]
465.  
466. +-----------------------------------------------------------------------------+
467. | PA_HAYNES@VAXE.COE.NORTHEASTERN.EDU  | Sean A. Haynes |Student Northeastern |
468. | SHAYNES@LYNX.NORTHEASTERN.EDU        | 46 Udine St.   |University, Boston   |
469. | PA_HAYNES@NUHUB.BITNET               | Arlington, MA  |MA 02115             |
470. |                                      | (617) 648-8390 |(617) 437-5422       |
471. +-----------------------------------------------------------------------------+
472.  
473. -----------------------------
474.  
475. End of VIRUS-L Digest
476. *********************
477. Downloaded From P-80 International Information Systems 304-744-2253
478.