home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.23

< prev

next >

Wrap

Text File  |  1995-01-03  |  20KB  |  408 lines

---

1. VIRUS-L Digest             Tuesday, 24 Jan 1989         Volume 2 : Issue 23
2.  
3. Today's Topics:
4. New Dirty Dozen listing!
5. FLU_SHOT PLUS 1.5  (PC)
6. What do we have here? (Mac)
7. Mac virus, part II
8. WordPerfect 4.2 and ping-pong virus (PC)
9. Known PC Viruses in the UK and their effects (longish)
10.  
11. ---------------------------------------------------------------------------
12.  
13. Date: Mon, 23 Jan 89 13:04:53 -0800
14. From: Steve Clancy <SLCLANCY@UCI.BITNET>
15. Subject: New Dirty Dozen listing!
16.  
17. Some kind user just uploaded the latest issue (8D) of the Dirty Dozen
18. listing! Eric Newhouse (current author of the list) moved from
19. California, and appeared to have dropped out of sight for a time.
20. This latest issue gives his new address and BBS # as follows:
21.  
22. The Dirty Dozen List
23. c/o Eric Newhouse
24. 40 Whitney Tavern Rd.
25. Weston, MA  02193
26.  
27. The Crest BBS @7
28. 617-498-8448  1200/2400/9600 [HST]
29.  
30. I have not yet had time to call the BBS, but plan to soon.  I do have
31. the most recent list however, and would be more than happy to post it
32. via LISTSERV, if ANYONE can please tell me how to do this.  I have
33. been entirely unsuccessful at getting UUENCODE or UUDECODE sent
34. to me via LISTSERV, or any other files for that matter.  Can anyone
35. give me a simple, thumbnail sketch on how to accomplish this???
36.  
37. The list is also available on my BBS (phone #'s below).
38.  
39. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
40. |   Steve Clancy                      |  WELLSPRING RBBS            |
41. |   Biomedical Library                |  714-856-7996  24 HRS       |
42. |   P.O. Box 19556                    |  300-9600 N,8,1             |
43. |   University of California, Irvine  |  714-856-5087  nites/wkends |
44. |   Irvine, CA  92713                 |  300-1200 N,8,1             |
45. |                                     |                             |
46. |   SLCLANCY@UCI                      |  "Are we having fun yet?"   |
47. |   SLCLANCY@ORION.CF.UCI.EDU         |                             |
48. |                                     |                             |
49. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
50.  
51. ------------------------------
52.  
53. Date:     MON JAN 23, 1989 18.48.23 EST
54. From:     "David A. Bader" <DAB3@LEHIGH>
55. Subject:  FLU_SHOT PLUS 1.5  (PC)
56.  
57. I just received a copy of Ross Greenberg's FLU_SHOT PLUS now in release
58. 1.5  (it was released on 1/15/89).  A lot of bugs and options have been
59. cleaned up.  Has anyone else out there had a chance to play with it
60. yet?
61.    -David Bader
62.     DAB3@LEHIGH
63.  
64. P.S. Please don't write to me specifically for a copy of the file.
65. I'll see what Ken has to say about putting on the LISTSERV at LEHIGH.
66.  
67. [Ed. David, bring a disk in, and we'll post it on the LISTSERV.
68. Thanks!]
69.  
70. ------------------------------
71.  
72. Date:         Mon, 23 Jan 89 23:34:18 ECT
73. From:         "Kenneth J. Hoover" <CONSP21@BINGVMA.BITNET>
74. Subject:      What do we have here? (Mac)
75.  
76.   Tonight, one of the print-room operators here came to me with a hard
77. drive that is exhibiting suspicious behavior.
78.  
79.   Here is what he gave me:
80.  
81.    1)  The system involved is a Macintosh with a hard disk.
82.    2)  All of the files on the drive (some 12-15 programs) which use the
83.        LaserWriter are incapable of printing.  this has been verified on
84.        LaserWriter plus and II/NTX models.
85.    3)  Error codes 28 and 02 are returned when they are returned at all.
86.    4)  The volume is supposedly locked (although he did not lock it) and this
87.        is hindering  the execution of Interferon 1.0 and Virus Detective.
88.  
89.   The user has had contact with bulletin boards, and also transfers
90. files to and from the macintosh computers here.
91.  
92.     And now, for my guess:
93.  
94.    This looks like something that is either interfering with the
95. Appletalk or printer ports; or a bug that looks for and messes up
96. PostScript printer commands/code in programs.
97.  
98.    Does anyone know what could be going on here?
99.  
100. Kenneth J. Hoover
101. UG Consultant, Public Terminal and Microcomputer Complex
102. SUNY-Binghamton
103. Binghamton, NY, USA
104.  
105. ------------------------------
106.  
107. Date:         Mon, 23 Jan 89 23:56:38 ECT
108. From:         "Kenneth J. Hoover   " <CONSP21@BINGVMA.BITNET>
109. Subject:      Mac virus, part II
110.  
111.     the user in the previous message just came to me and informed me that
112. after setting his system date back 20 days, the programs in question now
113. work, and the hard drive is now unlocked.
114.  
115.     Interferon v1.0 reports back clean when used.
116.  
117.    It appears the date of activation was 1/22/89.
118.  
119. Ken Hoover (CONSP21@BINGVMA.BITNET)
120.  
121. ------------------------------
122.  
123. Date:         Tue, 24 Jan 89 14:02:23 IST
124. From:         "Eldad Salzmann (+972)-3-494520" <ELDAD@TAUNIVM.BITNET>
125. Subject:      WordPerfect 4.2 and ping-pong virus (PC)
126.  
127. Reply to Dirk Bode <unrzc6@derrze0> re my query.
128.  
129. Dirk:
130.  
131. Thanks a lot. Your letter to this forum following my query about WP
132. and viruses really described precisely the problem I was facing and
133. substantiated my suspicion.
134.  
135. I shall start from the end: I reformatted the hard disk and
136. re-installed WordPerfect from diskettes. Everything works now just
137. fine. As you probably remember, I couldn't load it from the HD -- it
138. kept looking for its main program on the diskette in drive A (well,
139. occasionally it looked also in drive B).
140.  
141. I *did* check the RAM with MEMMAP, and I *did* see some unidentified
142. chunk of 1700 bytes which no program claimed to own. I did that long
143. before you, Dirk, wrote I should check the memory, which really
144. confirmed what I suspected.
145.  
146. At the moment my friend's disk seems to work fine, but there is a new
147. problem: the hidden files turn out to be damaged somehow every couple
148. of days. I cannot think of any plausible explanation for that. Do
149. viruses damage the two hidden files of the disk, to the extent that
150. the affected disk is brought to a standstill after just running the
151. autoexec.bat file?  The remedy we found for this problem is just
152. performing SYS C: each time the case reappears.
153.  
154. Revenons a nos moutons (our "lamb" in this case is the ping pong virus
155. :) - Since we saw on screen a bouncing little ball, I attributed the
156. problems we had with WPerfect to the bouncing ping-pong virus. You,
157. Dirk, presented it under totally new light: you say there's a special
158. virus which only affects WP 4.2. Do you really think it's likely that
159. anyone would write such a program, and that this program *just*
160. happened to contaminate my friend's disk? That's what I would call
161. "odd". But then, there *are* oddities, lots of them...
162.  
163.  
164. Eldad Salzmann    <Eldad@TAUNIVM)
165.  
166. ------------------------------
167.  
168. Date: 23 Jan 89 11:54:29 GMT (Mon)
169. From: Alan Jay <alanj@ibmpcug.co.uk>
170. Subject: Known PC Viruses in the UK and their effects
171.  
172. The article below summarises the viruses which have been known to
173. affect IBM PCs and compatibles in the United Kingdom.  It is written
174. by Dr.  Alan Solomon (drsolly@ibmpcug.CO.UK), the chairman of the IBM
175. PC User Group in the UK and appears in the February 1989 issue of
176. Connectivity, the newsletter of the User Group.
177.  
178. This article is (C) Copyright 1989 The IBM PC User Group (UK).
179. Permission is hereby granted to reproduce this article for non-profit
180. purposes, provided this notice is retained.
181.  
182. The Information Centre - PC Security by Dr Alan Solomon
183. - -------------------------------------------------------
184.  
185. PCs are intrinsically very insecure.  For many PCs, this might not
186. matter; who cares if someone finds out that the menu for tomorrow is
187. scrambled eggs?  But increasingly, PCs are being used for critical
188. applications, and either there is extremely important data on them, or
189. else it is very important that they continue to run.  Scrambled eggs
190. are fine - scrambled FAT is not.
191.  
192. Many people take backup for granted.  Obviously, backups are done on a
193. regular basis, but how do you know that you have something that is
194. restorable?  I'll be coming back to this in a subsequent article.  For
195. now, I want to update members on the virus front, because quite a lot
196. has happened, and much of what you read in the press is distorted by the
197. Chinese Whispers treatment.
198.  
199. Virus facts and fiction
200. - -----------------------
201.  
202. First, I have to say that the problems are very real.  You have probably
203. read in Computing that IBM has been infected by 1704 virus.  Secondly, I
204. must emphasise that viruses are still very, very rare on PCs, and many
205. problems reported as viruses, are t he same old problems we always had.
206. But they are getting commoner, and I am getting busier and busier in
207. dealing with outbreaks.
208.  
209. First, let me define some terms.  A virus is a self-replicating program,
210. that copies itself without the user realising that this is happening.  A
211. virus does not necessarily intend malicious damage.
212.  
213. The main damage is always, always done by people's reactions, not by the
214. viruses themselves.  There is one virus around that has code in it for
215. deleting files, and other viruses have unfortunate side-effects.  But
216. the main damage is usually done by someone panicking, and doing
217. something extremely silly, because they don't know what is the correct
218. procedure.
219.  
220. Viruses - what's out there?
221. ===========================
222.  
223. Next - a list of the viruses that I know of so far, plus how to
224. recognise them, and the intentional and unintentional damage done.
225. Please remember, though, that most of these viruses have more than one
226. variant, and it would be possible to write a virus that mimicked the
227. action of an existing virus.  So you mustn't assume that just because
228. your symptoms match those given below, that you have the exact same
229. virus.  Also, the information given below is only a summary of all the
230. information available, so please don't treat it as a full manual.
231.  
232. Stoned.  Every 32nd boot-up, you see ``Your computer is now stoned.''
233. The boot sectors of infected diskettes are obviously abnormal, and
234. include that message.  No intentional damage.  Unintentional damage -
235. trashes 1.2 Mb floppies if they have more than 32 files, trashes about
236. 5% of hard disks.
237.  
238. Brain.  You see (c) Brain as a volume label on diskettes, and diskettes
239. have 3k of bad sectors (the normal numbers are none at all, or 5k, or
240. sometimes more).  No known intentional damage.  Unintentional damage -
241. it slows down diskette accesses and causes time-outs, which can make
242. some diskette drives unusable.
243.  
244. Italian.  Once every half hour, if you are accessing the disk, the
245. bouncing dot is triggered.  The dot bounces off the edges of the screen,
246. and passes through any text, with replacement after it.  Sometime, this
247. doesn't work properly, and screen displays are messed up.  Infected
248. diskettes have 1k in bad sectors, infected hard disks have 2k (and other
249. numbers of bad sectors are possible).  No known intentional damage.
250. Unintentional damage - the two copies of the FAT are left different; DOS
251. might not like this.  Attempts to infect diskettes slows them down, and
252. some computers won't read floppies, due to time-outs.
253.  
254. 1813 virus.  Files grow by 1813 bytes (sometimes 1808), without changing
255. their date and time or read/write/ hidden attributes.  COMMAND.COM does
256. not grow, to help it avoid detection.  Many anti-virus products do
257. little more than watch COMMAND.COM.  Intentional damage - there is code
258. in the virus for deleting each program that you run on every Friday
259. 13th.  Half an hour after the virus installs into memory, the computers
260. slows down - a 4.77Mhz PC runs at about 1/5 normal speed.  A small black
261. window opens temporarily in the bottom left hand corner.  Unintentional
262. damage - .COM files grow once, taking up slightly more space.
263. Also, .EXE files grow each time they are infected, and eventually will
264. not load.
265.  
266. 648 virus.  .COM files grow by 648 bytes, without changing date/time or
267. attributes.  Intentional damage - one infected file in eight (at random)
268. is changed in such a way that the program will not run.  No known
269. unintentional damage.
270.  
271. 1701 virus.  Files grow by 1701 bytes.  This is a third generation virus
272. - - the code is encrypted, to fool programs that search for viruses
273. automatically, looking for code that is characteristic of viruses.  This
274. also meant that disassembling it took a bit longer than usual, but I've
275. now finished the disassembly.  Occasionally, 1701 triggers a
276. ``hailstorm''.  The characters on the screen behave as if the were
277. pinned to the screen, and someone is removing the pins one at a time -
278. it looks a bit like a hailstorm, and has suitable sound effects.  In
279. fact, it is a purely audio-visual effect - nothing is happening to your
280. data.  But most people seeing it, would be so alarmed that they would
281. reach for the off switch, and switching a computer off in the middle of
282. processing a database can cause big problems.  IBM got infected recently
283. by 1704 virus, which I believe is a slightly different version of 1701.
284. They sent a letter to all customers that could conceivably have been
285. infected - a very responsible thing to do.
286.  
287. As you can see, there are an increasing number of viruses, and an
288. increasing number of people affected.
289.  
290. If you see any of these symptoms, you should do three things.
291.  
292. 1. DON'T PANIC.  That does more damage than anything else.  Don't just
293. start deleting and formatting - at least keep a specimen so that I can
294. disassemble it.  The flame thrower approach tends to destroy the
295. evidence of how it got in (which could help the unfortunate person that
296. inadvertently gave it to you) and without even fixing the problem.
297. Don't let anyone else panic, either.
298.  
299. 2. Make sure that everyone who knows about it, is told to keep their
300. mouths shut.  The press are desperately keen to find a big company that
301. has been struck, and will have a field day.  An immense amount of damage
302. could be done to the company's name . If the company decides to tell the
303. world, that's fine and noble, but the decision must be made at the
304. highest possible level.
305.  
306. 3. Seek expert advice.  Do not attempt to deal with it yourself -
307. unless you have already dealt with several cases before, a virus is
308. outside your experience.  In particular, the virus MUST be disassembled
309. - - otherwise it could have many surprises.
310.  
311. One of the biggest problems is in dealing with the diskettes.  Every PC
312. is accompanied by a vast cloud of diskettes, and at least some of these
313. must be infected.  Usually, less than 1% are infected (although in the
314. case of a boot sector virus such as Brain, Italian or Stoned, anything
315. up to 5% of diskettes could be infected before the virus is spotted),
316. but the problem is to find them.  If you leave even one infected
317. diskette - well, it was almost certainly just one diskette that brought
318. the problem in.  My approach is to use a hopper-fed machine that can
319. check 700 floppy diskettes per hour; the main alternative is to train
320. sufficient operators to do it manually.
321.  
322. How you treat infected disks and diskettes depends on the virus, and its
323. modus operandi.  I haven't yet seen a situation where it was necessary
324. for anyone to lose any data, although the flame- thrower approach
325. certainly can do damage.
326.  
327. As if this wasn't bad enough, there are now a few more problems that I'm
328. trying to fight.  The first is too late - one magazine has published
329. about 55% of the Italian virus, together with a useful plethora of
330. technical information about how it works.  I won't tell you which
331. magazine, as I don't want things to get any worse, but many members will
332. have seen the article, and I would suggest that you write to the editor
333. to express your own opinions on the subject.
334.  
335. The next problem is that a magazine has quoted someone as saying that he
336. could write a virus that ``could put a software house out of business
337. overnight''.  I don't think that the magazine should have used that
338. quote, and I hope that it doesn't give people ideas.
339.  
340. But the third problem is the worst.  I have a firm rule about never
341. giving copies of a virus ``for experimental and research purposes'' to
342. anyone (except, of course, if a company already has the virus then it
343. doesn't matter).  One could argue that this is tantamount to
344. suppression of useful information (and this has been suggested to me).
345. But obviously one should only give a virus to a responsible, technically
346. capable person, and I'm frankly not very good at assessing this over the
347. phone - I get many calls asking for viruses.  So, since I can't be sure
348. that the person asking is a suitable candidate, I have so far always
349. refused.  If a bona fide government department were to approach me, I
350. would probably feel different, but that hasn't happened.
351.  
352. One of the people who felt differently on this point, has obtained
353. copies of Brain and Italian.  He has said that he will give copies to
354. anyone responsible person who asks him, for research purposes.  I don't
355. know how he will decide, but I hope and pray that he is better at
356. judging character that I believe possible, and able to detect a
357. plausible liar.  He says that he is acting from the highest, noblest
358. motive - freedom of information.  I used to believe in freedom of
359. information myself, so I can almost understand him.  But I profoundly
360. disagree with what he's doing, as the easiest way to write a virus, is
361. to disassemble someone else's, and change it to do what you want.
362.  
363. How to learn more
364. - -----------------
365.  
366. The best way to keep up to date with virus developments is on Connect
367. (01-863 6646 - 1200, N, 8, 1).  There are a number of conferences
368. devoted to viruses.  This article was posted to Connect in conference
369. connect.virus on January 10th and I will be posting further updates to
370. this list of known viruses with their symptoms and effects as soon as I
371. have details.
372.  
373. One thing I have done is write a program for testing anti-virus
374. products.  This uses a few different methods for writing to the boot
375. sector of floppy diskettes - TESTVACC is quite harmless, of course, but
376. it is doing something that many viruses do.  Many anti-virus products
377. claim to be able to detect and/or prevent this sort of thing, so you
378. install your anti-virus program, and then run TESTVACC.  TESTVACC tries
379. to write a simple message to the boot sector of the floppy disk, using
380. four different methods, any of which could be used by a virus.
381.  
382. I've tried several well-known anti-virus products, and although it
383. detected the first two methods of writing to the boot sector, it didn't
384. notice the third or fourth method.  You can inspect the boot sector
385. afterwards, using whatever disk sector editor you like, and draw your
386. own conclusions.  I'm making TESTVACC shareware, so it is available from
387. the User Group Library.
388.  
389. Also we hope to run a special series of workshops on viruses in the near
390. future.  If you would like to take part then please write to me at the
391. User Group.  This workshop will look at ways of reducing the risk of
392. infection, what to do if you think you are infected and in the event of
393. infection how to disinfect your systems.
394.  
395. Submitted by: Alan Jay (alanj@ibmpcug.CO.UK), Editor, Connectivity,
396.               the newsletter of The IBM PC User Group, UK.
397. - --
398. Alan Jay @ The IBM PC User Group, PO Box 360, Harrow HA1 4LQ ENGLAND
399. Phone:  +44 -1- 863 1191                        Email:  alanj@ibmpcug.CO.UK
400. Path:   ...!ukc!pyrltd!slxsys!ibmpcug!alanj     Fax: +44 -1- 863 6095
401. Disclaimer: All statements made in good faith for information only.
402.  
403. ------------------------------
404.  
405. End of VIRUS-L Digest
406. *********************
407. Downloaded From P-80 International Information Systems 304-744-2253
408.