home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.224

< prev

next >

Wrap

Text File  |  1995-01-03  |  18KB  |  416 lines

---

1. VIRUS-L Digest   Friday, 27 Oct 1989    Volume 2 : Issue 224
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Using OBJ files to prevent viruses (PC)
17. Macintoch MacWrite, STR 801 (Mac)
18. Obj - anti-virus (PC)
19. Re: Operating System virus protection (DOS & UNIX)
20. Re: VIRUSCAN/VIRSCAN Issues (PC)
21. VIRUSCAN False Alarms (PC)
22. CERT_RCP_Advisory
23. Can we get a summary?
24. Virus scanners
25. Clarifying SAM Comments... (Mac)
26. Jerusalem virus infects boot sector ? (PC)
27. PC Problem?
28.  
29. ---------------------------------------------------------------------------
30.  
31. Date:    26 Oct 89 09:15:00 -0500
32. From:    EVERHART%ARISIA.decnet@crdgw1.ge.com
33. Subject: Using OBJ files to prevent viruses (PC)
34.  
35. May I suggest that distributing .OBJ files and having the user link
36. them would only disable current viruses; an obj infector is perfectly
37. feasible, and could be easier than an .EXE infector.
38.    More to the point, though, linking applications is not always
39. feasible at all PC sites. To link AnalytiCalc on a 256K machine with
40. dual 5.25" floppies is barely possible, with many disk changes, and
41. requires some skill AND the correct linker (since the linker
42. distributed with most MSDOS versions cannot handle the particular .OBJ
43. constructions). This even though the resulting executable will fit
44. (tightly) in 256K. With an only slightly larger file, linking would be
45. completely infeasible on such a small engine. In addition to a fairly
46. onerous "installation" procedure thus invoked, the distribution would
47. be several times larger than it is; the object library requires an
48. entire disk, and separate objects needed for overlays take much of a
49. second. Documents, utilities, and so on are still required.
50.    Finally, commercial software vendors may be nervous about distributing
51. .OBJ code. Consider that global symbols, and sometimes internal symbols,
52. are present in these files. A disassembly of such a beast can be VERY
53. close to the original code, labels included...especially if the original
54. is IN assembler. This is wonderful for learning algorithms, etc., but
55. tends to make it easier to clone applications. In the current climate
56. I suspect it would lead to a great many more lawsuits based upon suspicions
57. that competitors' code was derived in part from such sources. Unfortunate,
58. but likely...
59.    Then, some object libraries that come with compilers can be linked and
60. the results distributed; without these, the .OBJ files cannot be linked.
61. This would also prevent widespread use of .OBJ files.
62.  
63.   In a different vein, may I suggest that a great deal of the hysteria
64. over viruses stems from the fact that well backed-up PC disks are the
65. exception rather than the rule. As an industry we should become VERY
66. upset over machines with inadequate backup hardware and software. More
67. energy in this direction could render the damage viruses can cause
68. moot.  By easy backup/restore, I mean hardware such that one can slap
69. a tape into a slot, type some simple command, and after a few minutes
70. (over lunch break, perhaps?) come back with the entire volume copied.
71. Not having this designed into ALL the PCs we use, or at least made a
72. requirement for those containing business-critical data, seems a
73. mistake. As Grace Hopper put it, we are terrible custodians of the
74. data we have/use.
75.  
76. Glenn Everhart
77. Everhart%Arisia.decnet@crd.ge.com
78.  
79. ------------------------------
80.  
81. Date:    Thu, 26 Oct 89 10:39:09 -0500
82. From:    Joe Simpson <JS05STAF%MIAMIU.BITNET@VMA.CC.CMU.EDU>
83. Subject: Macintoch MacWrite, STR 801 (Mac)
84.  
85. I'm unclear about the STR 801 discussion.  Let me tell a little story
86. to see if I can further confuse things.
87.  
88. About 4 months ago a client reported that MacWrite was growing in file
89. size on a public Mac.  I checked to see that VACCINE was turned on.
90. I ran Disinfectant 1.2.  A clean machine.
91.  
92. I then ran ResEdit to look at the MacWrite file.  There were a large
93. number of STR 801 resources.  The program was adding STR 801 resources
94. at some unknown interval.
95.  
96. I replacedthe file with a fresh copy of MacWrite and the problem disappeared.
97.  
98. I put it down to normal computer miseries and not a computer virus.
99.  
100. ------------------------------
101.  
102. Date:    Thu, 26 Oct 89 10:39:00 -0400
103. From:    "Paul Bienvenue" <s0703pdb@semassu.bitnet>
104. Subject: Obj - anti-virus (PC)
105.  
106.     Damon Kelly writes:
107.  
108. >    Earlier this week I was reading a book by Peter Norton.  There was
109. >a passage about the importance of .OBJ files created by compilers
110. >(esp.  assembly).  While I was pondering the importance of .OBJ files,
111. >an idea hit me: since this type of file is non-executable and can only
112. >run when linked, wouldn't self-attaching viruses be scrambled when the
113. >"host" file is changed to an .EXE?
114.  
115.     It's a nice idea, but it wouldn't really stop virus writers, just
116. make life a little more difficult for them. (and possibly for virus
117. detectors as well) What would keep a virus writer from creating an obj
118. which would become a virus when compiled?  Also, it would be a real
119. pain for users to have to compile every piece of software they were
120. going to use.  Anyone with much assembling experience would also know
121. how difficult it is to write code which will successfully compile with
122. all major assemblers.  Good try, though...
123.  
124.                                                     Paul Bienvenue
125.                                                 S0703PDB@SEMASSU.BITNET
126.  
127. ------------------------------
128.  
129. Date:    Thu, 26 Oct 00 19:89:08 +0000
130. From:    davidsen@crdos1.crd.ge.com
131. Subject: Re: Operating System virus protection (DOS & UNIX)
132.  
133. |  How do you know?  The only machines DOS runs on are PCs and compatibles.
134. |  UNIX implemented on these machines would be just as vulnerable as DOS.
135. |  The most obvious weaknesses of DOS are unimportant compared to the fact
136. |  that the hardware itself has no protection mechanisms.
137.  
138.   True, but only of the 8088 (original XT) machines. The AT and 386
139. machines run UNIX in protected mode, and have as much hardware
140. protection as a VAX.
141. - ---
142. bill davidsen    (davidsen@crdos1.crd.GE.COM -or- uunet!crdgw1!crdos1!davidsen)
143. "The world is filled with fools. They blindly follow their so-called
144. 'reason' in the face of the church and common sense. Any fool can see
145. that the world is flat!" - anon
146.  
147.  
148. ------------------------------
149.  
150. Date:    Thu, 26 Oct 00 19:89:34 +0000
151. From:    davidsen@crdos1.crd.ge.com
152. Subject: Re: VIRUSCAN/VIRSCAN Issues (PC)
153.  
154.   You have a good point about encrypting strings, and I am as guilty
155. as anyone else of not saying thanks often or publically enough. Due to
156. the recent flap about viruses, I gave a talk about protection at a
157. local user group meeting, and distributed about 40 copies of viruscan,
158. including putting a copy on my BBS.
159.  
160.   I am happy to say that I am not a user of the program, since I run
161. UNIX, but I have tried it, am impressed, and do provide it to any PC
162. user who wishes it. Well done, for what it's worth!
163. - ---
164. bill davidsen    (davidsen@crdos1.crd.GE.COM -or- uunet!crdgw1!crdos1!davidsen)
165. "The world is filled with fools. They blindly follow their so-called
166. 'reason' in the face of the church and common sense. Any fool can see
167. that the world is flat!" - anon
168.  
169.  
170. ------------------------------
171.  
172. Date:    Thu, 26 Oct 89 10:52:42 -0700
173. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
174. Subject: VIRUSCAN False Alarms (PC)
175.  
176. This message is forwarded from John McAfee:
177. =============================================================================
178.  
179.     SCANV45 causes false alarms when used with a number of Jerusalem
180. Virus detectors/eradicators.  What has happened is this:  I returned to an
181. earlier version of string identification for this virus in order to avoid
182. conflicts with a number of newer Jerusalem detectors.  Apparently, however,
183. the string identifiers used in earlier versions (being unencrypted) were
184. picked up on by other authors (perfectly legitimate) and used in their
185. own detectors.  There are over 30 such detector/eradicator programs in use
186. now.  I stgrongly urge all such authors to do one of two things:  Choose
187. your own strings, or encrypt them if you use strings from older versions of
188. SCAN.  Otherwise, your programs will be flagged as viruses not just by my
189. scanner, but by everyone who chooses those same strings.  The problem is
190. worsened now cause I use multiple strings for some viruses (to avoid
191. cracking) and either one of the multiple strings will cause an alarm if
192. that string is chosen by others and not encrypted.  If authors do not like
193. the idea of encryption, then ASCII representations can be used (like IBM
194. uses).  THis will allow your users to see the strings that you have chosen
195. but will not cause false alarms.  We must all remember that multiple
196. authors are trying to fight the virus problem, and we should do everything
197. possible to avoid conflicts with each other's programs.
198.  
199. John McAfee
200.  
201. ------------------------------
202.  
203. Date:    Thu, 26 Oct 89 21:24:58 -0400
204. From:    CERT Advisory <cert@cert.sei.cmu.edu>
205. Subject: CERT_RCP_Advisory
206.  
207.  
208.                 CERT Advisory
209.  
210.                October 26, 1989
211.  
212.             Sun RCP vulnerability
213.  
214.  
215. A problem has been discovered in the SunOS 4.0.x rcp.  If exploited,
216. this problem can allow users of other trusted machines to execute
217. root-privilege commands on a Sun via rcp.
218.  
219. This affects only SunOS 4.0.x systems; 3.5 systems are not affected.
220.  
221. A Sun running 4.0.x rcp can be exploited by any other trusted host
222. listed in /etc/hosts.equiv or /.rhosts.  Note that the other machine
223. exploiting this hole does not have to be running Unix; this
224. vulnerability can be exploited by a PC running PC/NFS, for example.
225.  
226. This bug will be fixed by Sun in version 4.1 (Sun Bug number 1017314),
227. but for now the following workaround is suggested by Sun:
228.  
229. Change the 'nobody' /etc/passwd file entry from
230.  
231. nobody:*:-2:-2::/:
232.  
233. to
234.  
235. nobody:*:32767:32767:Mismatched NFS ID's:/nonexistant:/nosuchshell
236.  
237.  
238. If you need further information about this problem, please contact
239. CERT by electronic mail or phone.
240.  
241.  
242. J. Paul Holbrook
243. Computer Emergency Response Team (CERT)
244. Carnegie Mellon University
245. Software Engineering Institute
246.  
247. Internet: <cert@SEI.CMU.EDU>
248. (412) 268-7090 (24 hour hotline)
249.  
250.  
251. ------------------------------
252.  
253. Date:    Thu, 26 Oct 89 21:16:31 +0100
254. From:    cas@mtdcb.att.com (Clifford A Stevens, Jr)
255. Subject: Can we get a summary?
256.  
257. I'm new to all this stuff, been on superminis for 10 or so years, so
258. could somebody post a summary of what a virus is, how it works (in *REAL*
259. general terms), and how it propogates?
260.  
261. Thanks!
262.  
263. [Ed. This is a frequently asked question; let me "answer" it by
264. referring you, and others who've asked, to some of the introductory
265. documents found on the VIRUS-L/comp.virus documentation archive sites
266. - - or to any of the introductory books on the subject, many of which
267. can be commonly found in bookstores.]
268.  
269. Who, me worry?!?
270.     Cliff Stevens    MT1E228  att!cbnewsj!ncas  (201)957-3902
271.  
272. ------------------------------
273.  
274. Date:    Thu, 26 Oct 89 18:58:33 -0700
275. From:    portal!cup.portal.com!cpreston@Sun.COM
276. Subject: Virus scanners
277.  
278. In VIRUS-L #222 David Gursky wrote concerning an earlier posting that
279. "a strategy that relied solely on a scanner application would not be
280. a strong defense defense against electronic vandalism."  This is because
281. "you must remember to periodically scan the disk."
282.  
283. I believe Mr. Gursky is quite correct about not relying solely on a
284. scanning program.
285.  
286. While I was mainly relying on the technical sophistication of VIRUS-L
287. readers to know that, I did mention qualifiers such as "very useful
288. part of an anti-virus program."
289.  
290. Actually, there are programs for the Macintosh (SAM, Virex) that can
291. be set to check each floppy disk each time it is inserted.  Or a
292. "log-on" or "log-off" batch file could be used for other machines to
293. run the scanning program against all the hard disk files.  Even if
294. that were done, it would still not be adaquate protection against
295. viruses, even on microcomputers, since it can be effective only
296. against known viruses.
297.  
298. My point about "How good are scanning programs" is mainly that if the
299. program uses well-chosen search strings it can be more effective than
300. I, at least, initially expected.  Several scanning programs for the
301. Macintosh relied only on resource names (resources include program
302. code on the Mac).  These resource names, such as nVIR, are very easily
303. and quickly changed to hPat or anything else, completely defeating the
304. scanning program.
305.  
306. I always urge clients to use additional detection and prevention, and
307. am somewhat frustrated that some of them feel that scanning programs will
308. protect them.
309.  
310. Charles M. Preston                     MCI Mail 214-1369
311. Information Integrity                  BIX cpreston
312. Box 240027                             907-344-5164
313. Anchorage, AK 99524
314.  
315. ------------------------------
316.  
317. Date:    26 Oct 89 17:05:00 -0700
318. From:    harvard!applelink.apple.com!D1660@garp.MIT.EDU
319. Subject: Clarifying SAM Comments... (Mac)
320.  
321. In response to Henry Schmitt's comments about SAM, I would like to
322. clear up a few things. SAM does indeed provide a mechanism to view,
323. edit, and even print its exceptions list (i.e., the alerts that have
324. been learned). It's quite easy to remove any exception that may have
325. been accidentally entered. So his comments about SAM letting a virus
326. through, etc. are not true.
327.  
328. Also, I programmed the alert display in SAM without the help of MacDTS
329. (I too am simply an independent developer)! BUT, I believe how I do it
330. is even safer than how Apple does certain similar things! This was the
331. hardest part of SAM, and required quite a bit of research, testing,
332. and so forth to guarantee a stable alert under all environments. There
333. are man-months of work in those alert boxes!!
334.  
335. Paul Cozza
336. SAM Author
337.  
338. ------------------------------
339.  
340. Date:    Fri, 27 Oct 89 11:23:16 +0700
341. From:    "S. Yeo" <CCEYEOYT%NUSVM.BITNET@VMA.CC.CMU.EDU>
342. Subject: Jerusalem virus infects boot sector ? (PC)
343.  
344. Hi everybody,
345.  
346. My colleague passed me a diskette which contains a viruscan program from
347. Rotterdam this morning. While looking through a file which contains some
348. virus signatures, I was surprise to learn that all Jerusalem strains
349. of viruses except Jerusalem (PLO/sUMsDos) virus infect COM/EXE files
350. as well as*boot sector*.The documentation for this program was written
351. by J.P. van der Landen and the signatures collected by Jan Terpstra.
352. Could anyone out there please verify this?
353. Thanks !
354.  
355. ------------------------------
356.  
357. Date:    Thu, 26 Oct 89 23:54:48 -0500
358. From:    James Ford <JFORD1%UA1VM.BITNET@VMA.CC.CMU.EDU>
359. Subject: PC Problem?
360.  
361. A friend who works a company began to experience some interesting problems
362. on his hard drive.  He works with JL Modula2.  Code that had run in the
363. past would not work now.  Someone else could put a comment in a file
364. (however you do that in Modula2), re-compile it, and it would hang.
365.  
366. I gave him a copy of Scan 1.1V45 and Scanres 1.1V45, but they found
367. nothing strange.  He has purchased a copy of Flushot, and the following
368. message is from him, describing what Flushot sees.  Can anyone explain
369. this?  If you need more information from him, send direct to me and I'll ask
370. him.  For better or worse, the powers-that-be are leaning towards taking all
371. source code off the hard drives, and doing a lowlevel/highlevel format of
372. all harddisks involved.  (I have no ideal if he has installed Flushot+
373. correctly, but he is by no means ignorant when dealing with computers.)
374.  
375. Thxs
376. James Ford - JFORD1@UA1VM.BITNET
377.  
378. ===========================================================================
379. Sent : Oct 25, 1989  at 5:44 PM
380. Subj : Re: <1446> Bit
381.  
382. (...after running SCAN 1.1V45, it found...)
383.  
384. Not a thing.. it found nothing either on my systems or the ones at work.
385. I'm still totally convinced something is sorely amiss, however.  We
386. installed Flu+ and watched JPI's Mod 2 compiler/linker do all kinds of
387. strange calls (Flu+ labeled them as 'handle write access attempted'
388. operations, but they appeared to be reads... why would anyone write to a
389. 'DEF' file during a link?  I checked them with a disk editor afterwards
390. and found nothing but pure ASCII text...)
391.  
392. I did discover one interesting thing.  When you copy a non-executable file
393. with COMMAND.COM, Flu is perfectly happy.  When you copy an EXE, COM, etc.
394. file you get the old 'handle write access attempted' msgs. Curious. Why
395. would COMMAND.COM care what type of file is being copied?  It seems to use
396. DOS to open the file and the BIOS to transfer the data or something.
397.  
398. The only thing I can figure with the compiler is that the program opens
399. the file for READ/WRITE and Flu+ flags it just to be safe.  We all got
400. tired of the beeping, and Dean absolutely refused to believe anything was
401. wrong, so everyone just kinda went back to doing their stuff and just
402. checked it occasionally.
403.  
404. Anyway, I really appreciate your uploading SCAN45 - I'm gonna keep pluggin
405. and see if I can find out the problem. I'm also gonna call McAffee Assoc's
406. board tonite and see what I can start finding out.  Thanks!
407.  
408. - -=Marcel=-
409. ====================== end of note ========================================
410.  
411. -----------------------------
412.  
413. End of VIRUS-L Digest
414. *********************
415. Downloaded From P-80 International Information Systems 304-744-2253
416.