home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.226

< prev

next >

Wrap

Text File  |  1995-01-03  |  22KB  |  473 lines

---

1. VIRUS-L Digest   Monday, 30 Oct 1989    Volume 2 : Issue 226
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Virus scanning on PCs?
17. Re: Protection in Operating Systems
18. How to Become a Virus Expert (Mac)
19. Re: Lode [sic] Runner Virus (Apple)
20. Where are the Sophisticated Viruses?
21. 2608- possible virus? (AMIGA)
22. BOOTCHEK (possible virus) (PC)
23. Defensive computing...
24. Re: Obj - anti-virus (PC)
25. MacDraw II 1.1/GateKeeper 1.1 problems (Mac)
26. Self-checking programs (PC anti-virus protection)
27.  
28. ---------------------------------------------------------------------------
29.  
30. Date:    26 Oct 89 16:07:15 +0000
31. From:    davidsen@crdos1.crd.ge.com (Wm E Davidsen Jr)
32. Subject: Virus scanning on PCs?
33.  
34.   Do scanning programs (in particular scanv45) check video memory for a
35. virus? I once developed a program which installed itself in the 2nd page
36. of video memory because there was nowhere else for it. Not a virus, just
37. a fix for some BIOS bugs, but someone else could hide a virus there if
38. they were so inclined. Very little software ever uses any page but the
39. first.
40.  
41.   Oh, if the video pages were swapped and then output to the serial port
42. was done, the display was really pretty!
43. - --
44. bill davidsen   (davidsen@crdos1.crd.GE.COM -or- uunet!crdgw1!crdos1!davidsen)
45. "The world is filled with fools. They blindly follow their so-called
46. 'reason' in the face of the church and common sense. Any fool can see
47. that the world is flat!" - anon
48.  
49. ------------------------------
50.  
51. Date:    26 Oct 89 16:03:14 +0000
52. From:    davidsen@crdos1.crd.ge.com (Wm E Davidsen Jr)
53. Subject: Re: Protection in Operating Systems
54.  
55. In article <0001.8910231129.AA06880@ge.sei.cmu.edu>, WHMurray@DOCKMASTER.ARPA w
56. rites:
57.  
58. |  However, as it relates to viruses, the big difference between them
59. |  today is the number and nature of uses and users.  If UNIX were being
60. |  used for the same things and by the same number of users as DOS, it
61. |  would be just as vulnerable.
62.  
63.   I don't see how that relates to the technical issues. DOS allows any
64. program to write anywhere in memory, including over the o/s. UNIX does
65. not. DOS allows any program to write directly on the hard disk. UNIX
66. does not. DOS allows any program to write to a floppy disk. UNIX may
67. or may not, but in general UNIX seldom uses floppies at all, and when
68. it does the formats are usually not susceptable to changing one file
69. without changing others (ie. tar, cpio). DOS allows any program to
70. modify any file on any disk. UNIX does not.
71.  
72.   This is not a case of one being "better" than another, just a case of
73. inherent characteristics of the systems. Yes, if someone is running UNIX
74. on an 8088 machine many of the protections are bypassed.
75. - --
76. bill davidsen   (davidsen@crdos1.crd.GE.COM -or- uunet!crdgw1!crdos1!davidsen)
77. "The world is filled with fools. They blindly follow their so-called
78. 'reason' in the face of the church and common sense. Any fool can see
79. that the world is flat!" - anon
80.  
81. ------------------------------
82.  
83. Date:    Fri, 27 Oct 89 15:48:39 -0500
84. From:    Joe McMahon <XRJDM%SCFVM.BITNET@VMA.CC.CMU.EDU>
85. Subject: How to Become a Virus Expert (Mac)
86.  
87. 1) Read this digest. There are probably more contributors here than
88.    in any other spot around.
89. 2) Study Inside Macintosh, particularly the sections on ROM patches,
90.    INITs, and VBL tasks. These are the principle attack vectors for
91.    Mac viruses.
92. 3) Become adept at using TMON, Macsbug, or some other disassembler/
93.    debugger. This will help you track down what is happening during
94.    a given infection.
95.  
96. I don't know of anything equivalent to the "microscope and tweezers"
97. report on the Internet worm for any Mac virus, so I can't refer you
98. to any articles which talk about the mechanics of any virus in great
99. detail. The only one which might be of use to you is an article in
100. MacTutor magazine (last year? check the MacTutor anthologies) which
101. has a description of an nVIR infection and a primitive but useful
102. removal program.
103.  
104.  --- Joe M.
105.  
106. ------------------------------
107.  
108. Date:    Fri, 27 Oct 89 14:59:56 -0700
109. From:    nparker@cie.uoregon.edu
110. Subject: Re: Lode [sic] Runner Virus (Apple)
111.  
112. In article <0010.8910231129.AA06880@ge.sei.cmu.edu>,
113. davidbrierley@lynx.northeastern.edu posted an article about the Apple IIGS
114. LOAD RUNNER virus, and asked the following questions:
115. >                           [...]  (1) Does any reader of VIRUS-L
116. >know if the French expression "non-destructeur" means
117. >"non-destructive" or "indestructible?"  (2)Could anyone post a
118. >version of VIRUS.KILLER (source code follows the report) written
119. >in BASIC?  (It could be posted here or to Info-apple@brl.mil)
120. >(3)  Because the university does not import VIRUS ALERT I
121. >have not posted this report to it, for fear of replication.  Could
122. >someone post this message to VIRUS ALERT if it has not appeared there
123. >already?
124.  
125. Way back in July, I found this beasty lurking on some of my disks, and
126. did a fairly thorough analysis of it, which culminated in the writing
127. of the program which appeared at the end of the original article
128. (copies of the program are available from me at the addresses below).
129. I think I can provide some answers and information.
130.  
131. I speak no French, but I think I can say after looking at the virus
132. code that whatever "non-destructeur" really means, it OUGHT to mean
133. "non-destructive."  The damage done by this virus is minimal--it
134. destroys only the boot blocks of a 3.5" disk (5.25" disks and hard
135. disks seem to be immune), leaving all the files and directories intact
136. (it can, however, render some copy-protected games unusable).  My
137. impression is that the author of the virus was thinking something like
138. "I'm going to release this virus, which is a really bad thing to do,
139. but it will be all right if it doesn't do any real damage."  This
140. impression seems to be reinforced by the fact that LOAD RUNNER has a
141. finite life-span built in-- at the same time it starts damaging, it
142. also stops propagating, and being a boot block virus, it destroys
143. copies of itself when it destroys the boot blocks.
144.  
145. Posting a BASIC version of VIRUS.KILLER isn't really practical--the
146. steps that it takes to eliminate LOAD RUNNER are pretty much beyond
147. the capabilities of poor old Applesoft BASIC.  Any BASIC program would
148. probably be just a short menu routine wrapped around a
149. machine-language core which would be essentially the same as the
150. current program.
151.  
152. It's probably a bit late for a VIRUS ALERT message.  I first saw LOAD
153. RUNNER back in July (at which point it had probably already been
154. around for a while), and if memory serves, the article quoted in the
155. original posting was first posted sometime around August or September.
156. Besides, LOAD RUNNER's trigger dates are any time between Oct. 1 and
157. Dec. 31 inclusive, so any infected users have probably aready seen it
158. run its course, and an alert now would be somewhat akin to locking the
159. proverbial barn door after the horse has escaped.
160.  
161. - -------------------------
162. A summary of LOAD RUNNER:
163.  
164. Entry................: LOAD RUNNER
165. Alias(es)............: (none)
166. Virus detection when.: July, 1989
167.                where.: Various places in the US and Canada
168. Classifications......: Boot block virus
169. Length of virus......: 1024 bytes (all of blocks 0 and 1)
170. Operating system(s)..: ProDOS 8, ProDOS 16, GS/OS
171. Version/release......: all
172. Computer model(s)....: Apple IIGS
173. Identification.......: Boot blocks are changed.
174.                        System:  Virus copies itself to $E1/BC00 thru $E1/BFFF.
175. Type of infection....: Virus resides in the boot blocks of a 3.5" disk.  Copies
176.                itself to $E1/BC00 when disk is booted.  Copies itself
177.                to disk in slot 5, drive 1 when CONTROL-APPLE-RESET is
178.                pressed.  Propagation routine gains control by patching
179.                undocumented system vector in Memory Manager.  Original
180.                boot blocks are not saved--virus contains code to emulate
181.                standard boot process.
182. Infection trigger....: Infects disks in slot 5, drive 1 only.  Infection of
183.                disks occurs when CONTROL-APPLE-RESET is pressed.
184.                Infection of host machine occurs when an infected disk
185.                is booted.
186. Interrupts hooked....: n/a
187. Damage...............: Erases boot blocks of disk in slot 5, drive 1.  No files
188.                are damaged.
189. Damage trigger.......: Any date between Oct. 1 and Dec. 31 inclusive, of any
190.                year.  Damage occurs when an infected disk is booted.
191.                If damage occurs, further infection will not occur.
192.                (Note that the damage process wipes the virus off of the
193.                infected disk.)
194. Acknowledgment:
195. Location.............: University of Oregon
196. Documented by........: Neil Parker (nparker@cie.uoregon.edu)
197. Date.................: 27-October-1989
198.  
199. Personal opinion: A rather wimpy virus.  Damage is minimal and easily
200. repaired.  The virus code uses no special tricks, except for the
201. method used to survive and gain control after RESET.  All in all, it's
202. not worth making much of a fuss about (except to the extent that ALL
203. viruses are worth making a fuss about).
204.  
205. (This is my first posting to comp.virus/VIRUS-L.  Did I get the report
206. format right?)
207.  
208. Neil Parker     nparker@cie.uoregon.edu     parker@astro.uoregon.edu
209. DISCLAIMER:  Opinions are mine alone.
210.  
211. ------------------------------
212.  
213. Date:    Sat, 28 Oct 89 01:46:00 -0400
214. From:    TMPLee@DOCKMASTER.ARPA
215. Subject: Where are the Sophisticated Viruses?
216.  
217. For various reasons I have been behind in my reading of Virus-L, and
218. so I found myself skimming something like the last dozen issues of the
219. digest all at once.  I was struck by something: are we lucky and there
220. are no competent, sophisticated writers of viruses out there, or are
221. we just fooling ourselves?  Although the details of most of the virus
222. prevention programs (e.g., Gatekeeper for the Mac) haven't been
223. discussed at all or recently enough that I remember them, it seems to
224. me that any virus writer willing to get his hands dirty and write code
225. that directly uses the I/O hardware (rather than rely on the operating
226. system) should be able to write a virus that could not be detected by
227. any of the preventative defenses that are supposed to be watching for
228. suspicious writes and that would only be detected after-the-fact by
229. reactive defenses that did a lot of robust integrity checksumming.
230. (Looking for file modification dates would be useless since the virus
231. would of course not be polite enough to update any directories;
232. scanning programs would be useless on the assumption that the virus
233. remains undetected until it goes off so no-one would have included a
234. signature to scan for.)  Suppose some suitably motivated person wrote
235. such a virus and set the trigger for a year or two away (provided the
236. virus had been executed and/or propagated some number of times) -- how
237. far within the IBM-PC or Mac community would it likely spread before
238. the trigger fired?  How do we know one or more such beasts isn't
239. already out there, just biding its time?
240.  
241. ------------------------------
242.  
243. Date:    29 Oct 89 00:16:58 +0000
244. From:    n8735053@unicorn.wwu.edu (Iain Davidson)
245. Subject: 2608- possible virus? (AMIGA)
246.  
247. In article <0007.8910261143.AA02119@ge.sei.cmu.edu> okay@tafs.mitre.org (Okay S
248.  J) writes:
249. >I received this from Amiga-relay this morning....From all reports, it
250. >appears that Xeno, if it is a virus, is the 1st non-boot infector virus
251. >in the Amiga community. All the others I've seen so far live in the boot
252. >sector and most Amiga anti-virals seem to only worry about the boot sector
253. >and in RAM at the time.
254. >I'll cross-post anything I hear from either side to their respective
255. >lists.
256. >
257. >Stephen Okay    Technical Aide, The MITRE Corporation
258. >x6737        OKAY@TAFS.MITRE.ORG/m20836@mwvm.mitre.org
259.  
260. [Text deleted]
261.  
262. Well, while up in Vancouver, BC at an Amiga Users Group meeting, a interesting
263.   thing was demostrated.....
264.  
265. I call it the "2608" virus. (don't know the offical name).
266.  
267. It worked like the IRQ virus attaching itself to the first executable in
268.   the startup-sequence.  But with a slight twist.  It would copy the
269.   found executable to devs:"    " and copy itself into the old name in
270.   the "C" directory (size 2608 bytes).
271.  
272. The way that it was noticed was that the person had typed "echo blah blah"
273.   in his startup-sequence, but in "C" directory he had "echo" called
274.   "Echo" .  One day he had noticed that the command was in all lowercase
275.   and 2608 bytes long (not the usual 653? bytes long).  He also noticed
276.   that he had a extra file "   " in the devs: directory the same size
277.   as the echo command.
278.  
279. Evidently, the virus copyed itself to the command location, then
280.   copied the command to the devs: directory.  Everytime the command
281.   was executed it would call the virus-program which in turn would call
282.   the REAL command. Appearing as though all worked fine.
283.  
284. Another interesting thing....  about every 5 times he warm-boot, a
285.   message would come up saying something like "Virus Exterminator.. blah
286.   blah.... Virus by Blah Blah (i don't remember the specifics)" this
287.   only appeared for a brief second ... not long enough to read the whole
288.   thing.
289.  
290. Anybody else have any info on this ?
291.  
292. - -Iain Davidson
293. IAIN@wwu.edu
294. n8735053@unicorn.wwu.edu
295. uw-beaver!wwu.edu!IAIN
296.  
297. ------------------------------
298.  
299. Date:    Sun, 29 Oct 89 00:19:00 -0500
300. From:    PERRY@northeastern.edu
301. Subject: BOOTCHEK (possible virus) (PC)
302.  
303. HI!
304.  
305.         This list provides a service of great benefit to many many
306.    computer users! Congratulations.
307.  
308.         I recently downloaded BootChek 1.0 from Simtel20. With increasing
309.   frequency it has been saying my boot sector has been modified. I have
310.   allowed it to replace the "corrupt" boot sector on each of these occaisions.
311.   The complaint only happens on cold boots and not everytime the machine is
312.   cold booted. BootCHek lists the offset at which the sector starts to be
313.   different as 11 (on other occaisions 17, and most recently as 6.) The
314.   most recent time this symptom occured was after three reboots (each of
315.   which set off bootchek)
316.  
317.         Viruscanv42 shows no viruses on my 10 meg hard disk. I also run
318.   flushot plus ver 1.5 and UNVIRUS6 from Simtel20. These are running on
319.   my 4.77mhz IBM PC Clone with a DTK BIOS.
320.  
321.         I am concerned that BootChek has a bug, a virus, or both.
322.  
323.         Would someone please respond ASAP with any thoughts or info on
324.    my concerns!
325.  
326.                 Jeffrey Perry
327.                 Northeastern University PC Users Group
328.  
329. PS. I have the corrupt.hex file produced by each of the five times bootchek
330.     claimed my boot sector had been changed. If anyone wants to analyze them
331.     I would be glad to send them along.
332.  
333. PSS. I have backed up my Hard Disk so I am ready for just about anything
334.     BUT I hope it is merely a bug in bootchek!!!
335.  
336. ------------------------------
337.  
338. Date:    Sun, 29 Oct 89 09:33:05 -0500
339. From:    dmg@lid.mitre.org (David Gursky)
340. Subject: Defensive computing...
341.  
342. Just a "friendly reminder" to the readers of Virus-L (and apologies to
343. those who get both RISKS and Virus-L, and saw this note in RISKS some
344. weeks ago).
345.  
346. There are several key dates that electronic vandals like to strike on:
347. Any Friday the 13th, April Fool's Day, and Halloween.  The latter is
348. Tuesday, and it would be exceedingly prudent (not to mention cheap
349. insurance) for people to back up their disks in the event they are
350. infected with a virus, or are unwittingly using a Trojan Horse,
351. equipped with a time-bomb set for Halloween.
352.  
353. A backup will not prevent the time-bomb from going off, nor will it
354. remove the virus or Trojan Horse from your system, but it will be
355. invaluable in recovering any data you may loose.
356.  
357.  
358. ------------------------------
359.  
360. Date:    29 Oct 89 19:56:08 +0000
361. From:    kerchen@iris.ucdavis.edu (Paul Kerchen)
362. Subject: Re: Obj - anti-virus (PC)
363.  
364.  
365. In article <0003.8910271112.AA11335@ge.sei.cmu.edu> s0703pdb@semassu.bitnet (Pa
366. ul Bienvenue) writes:
367. >       [stuff about distributing OBJ files as anti-viral technique]
368. >
369. >    It's a nice idea, but it wouldn't really stop virus writers, just
370. >make life a little more difficult for them.
371.  
372. That's the whole point: to make life more difficult for virus writers.
373. The whole virus problem is NP complete, meaning that there is no way
374. to ever completely solve it.  For every protection scheme, there is a
375. way to break it; just look at the copy protection war that has been
376. going on for years now.  Anyone who's in the virus business (either
377. attacking or defending) had better know that they can never hope to
378. create a virus/vaccine which is completely bulletproof.  There will
379. always be someone on the other side who will figure out a scheme to
380. counter that virus/vaccine.  Therefore, no solution should ever be
381. ruled out simply on the basis that it cannot stop virus writers (I
382. know that this isn`t the only reason Paul gave, but I just wanted
383. to make this point). Stopping virus writers isn`t going to happen
384. in software or hardware, but in societal pressure.  (Perhaps some
385. future first lady will make that her project: viruses--just say no.
386. :-) )
387.  
388. Paul Kerchen                            | kerchen@iris.ucdavis.edu
389.  
390. ------------------------------
391.  
392. Date:    Sun, 29 Oct 89 15:14:00 -0500
393. From:    HONORS@kuhub.cc.ukans.edu
394. Subject: MacDraw II 1.1/GateKeeper 1.1 problems (Mac)
395.  
396. Question: Does GateKeeper 1.1 have problems with MacDraw 1.1? Our
397. installation has version 1.1 running on a machine protected with
398. GateKeeper. Whenever we try to save a previously opened document, we
399. get a dialog box saying "File not Found". SOMETHING is saved, because
400. the changes are there when we open the document; but MacDraw does not
401. recognize this. I've pretty much narrowed the trouble down to either
402. GateKeeper or a virus in MacDraw II, because when I use the override
403. feature on GateKeeper, MacDraw works fine. But even when I give
404. MacDraw II 1.1 full privliges, (Res/File on Other, System, and Self)
405. it still gives the File Not Found dialog box. Has anyone else had this
406. problem?
407.                       Travis Butler at HONORS@kuhub.cc.ukans.edu
408.  
409. ------------------------------
410.  
411. Date:    Sun, 29 Oct 89 21:13:00 -0500
412. From:    JHSangster@DOCKMASTER.ARPA
413. Subject: Self-checking programs (PC anti-virus protection)
414.  
415. Bob McCabe of the University of Guelph wrote (27 Oct) "it struck me
416. that it should be possible to work out a scheme by which any program
417. could check itself at load time for infection..."
418.  
419. This is quite true, and in fact there is at least one commercial
420. anti-virus product out there which implements this idea.  (There may
421. well be others.)  The one I have noticed is VACCINATE PLUS, by Computer
422. Integrity Corp.  of Boulder Colorado.  Along with several other
423. anti-viral tools, this product includes an "INSTALL" utility which
424. "vaccinates" the boot track and all executables on the disk.
425. "Vaccination" consists of appending a cryptographic "seal" checking
426. module (smaller than a typical virus!)  and patching the load module
427. header so that this module executes first, then passes control to the
428. original application program if the program is "clean", otherwise
429. halting and issuing a warning message.
430.  
431. According to Larry Martin of Computer Integrity Corp., the resulting
432. protection is entirely transparent to the end user, i.e.  no keystrokes
433. are required, you just run a program in the normal way, and it runs
434. normally unless the file has been infected, in which case it issues the
435. warning and returns control to DOS.
436.  
437. Computer Integrity Corp.  can be reached by phone at (303) 449-7377 (FAX
438. number is 449-7477).  Their address is PO Box 17721, Boulder CO 80308.
439. (I have no commercial connection with this company.)
440.  
441. Regarding the specific scheme Bob McCabe described, i.e.  computing a
442. CRC on a program and then encrypting it, it is fairly well known that
443. since the CRC process is linear over the binary field (commonly called
444. "GF(2)" by algebraists), it is little more than a high school algebra
445. exercise to make your desired changes to the program, then make a few
446. more bits' worth of additional changes (determined by simple linear
447. algebra over GF(2)) which restore the CRC bits to their former value so
448. that they will still perfectly match the bits recovered from the
449. encrypted CRC -- thus defeating the protection scheme.  The only trick,
450. in an executable program, is to set up the code so that the additional
451. bits you have to diddle to restore the CRC do not adversely affect
452. execution, e.g.  include a branch around them or whatever suits your
453. fancy.
454.  
455. The basic idea is OK, but you need to use a "one-way" hash function,
456. rather than something readily invertible like a linear CRC.  See Dorothy
457. Denning's book or any of a number of recent articles for ideas on better
458. hash functions, or use one of the "chained" modes of the DES which have
459. been proposed for detecting data alterations.
460.  
461. The key (so to speak) property that is needed is that it must be
462. difficult to construct a second message or in this case computer program
463. with the same value for the hashing function's output.
464.  
465. - -John Sangster SPHINX Technologies, Incorporated (617) 235-8801 P.O.
466. Box 81287 Wellesley Hills, MA 02181
467.  
468. ------------------------------
469.  
470. End of VIRUS-L Digest
471. *********************
472. Downloaded From P-80 International Information Systems 304-744-2253
473.