home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.233 < prev    next >
Text File  |  1995-01-03  |  15KB  |  372 lines
  1. VIRUS-L Digest   Monday,  6 Nov 1989    Volume 2 : Issue 233
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Re: Virus source available in Toronto
  17. Re: Where are the Sophisticated Viruses?
  18. virus protection strategy questions
  19. New anti-virus programs uploaded to SIMTEL20 (PC)
  20. More CRC suggestions
  21. Re: Brain and Ashar virus (PC)
  22. Re: Brain Virus Query (PC)
  23. KillVirus (Mac)
  24. CRC Checking.
  25. Typo vs. Typo (PC)
  26. NP completeness
  27.  
  28. ---------------------------------------------------------------------------
  29.  
  30. Date:    06 Nov 89 11:48:16 +0000
  31. From:    frisk@rhi.hi.is (Fridrik Skulason)
  32. Subject: Re: Virus source available in Toronto
  33.  
  34. kelly@uts.amdahl.com (Kelly Goen) writes:
  35.  
  36. >the published sources working or non working are really not
  37. >that much of a threat...
  38.  
  39. Wrong !
  40.  
  41. One concrete example why: The "Ghost" virus recently found here in
  42. Iceland seems to have been based on the listing of the Vienna virus
  43. from the book "Computer Viruses: A High Tech Disease" This is clear
  44. becuse the virus contains the two patches added there to make the
  45. virus a little less harmful than the original Vienna virus.
  46.  
  47. Since any assembly language programmer should be able to create a new
  48. working virus in a day given a listing or a good (commented)
  49. disassembly, this gives us a good reason to limit the availability of
  50. virus listings as much as possible.
  51.  
  52. - -frisk
  53.  
  54.          Fridrik Skulason          University of Iceland
  55.          frisk@rhi.hi.is           Computing Sevices
  56.          Guvf yvar vagragvbanyyl yrsg oynax .................
  57.  
  58. ------------------------------
  59.  
  60. Date:    Sun, 05 Nov 89 23:04:41 -0700
  61. From:    ctycal!ingoldsb@cpsc.ucalgary.ca
  62. Subject: Re: Where are the Sophisticated Viruses?
  63.  
  64. There are probably two reasons why the viruses you suggest do not
  65. exist:
  66.   1) If the system code is bypassed, then it must be rewritten.
  67.      Most hackers are not at that level.  Those that are that
  68.      proficient are busy making money.
  69.   2) Code to do all the stuff needed would be quite large, and
  70.      therefore noticeable.  If you add 20 K to somebody's
  71.      programs they will likely notice.
  72.  
  73. Anyway, viruses experience exponential growth.  At the beginning
  74. the spread is very slow and only becomes rapid after a fair while
  75. (say 6 months).  This allows the wary to catch most viruses.
  76.  
  77.   Terry Ingoldsby                       ctycal!ingoldsb@calgary.UUCP
  78.   Land Information Systems                           or
  79.   The City of Calgary         ...{alberta,ubc-cs,utai}!calgary!ctycal!ingoldsb
  80.  
  81. ------------------------------
  82.  
  83. Date:    06 Nov 89 16:14:57 +0000
  84. From:    n8243274@unicorn.wwu.edu (steven l. odegard)
  85. Subject: virus protection strategy questions
  86.  
  87.      For personal computers, I can imagine Mom giving me advice to keep me
  88. from catching cold, [a biological virus]:
  89.  
  90.      1.  Wear your coat.  Keep yourself warm.  Don't expose yourself.
  91. The 3 1/2 inch disks have a little write-protect tab.  If the disk is
  92. set to safe (where you may see through the hole), no data may be
  93. written to it, including virus's data.  5 1/4 or 8 inchers have a side
  94. slot which must be covered with black vinal tape to write-protected
  95. them.  Is it reasonable to install write-protect toggle switches for
  96. hard disks on a personal computers?  I use the write-protect all the
  97. time on larger computers -- once a machine (software) crashed and
  98. destroyied the work of one-hundred people the previous week!
  99.  
  100.      2.  Stay out of garbage.  Use only reliable 'clean' software
  101. purchased from reputible software dealers.  How often is
  102. food-poisioning contracted from eating food from clean restaurants?
  103. There are a few cases software published with unknown viruses lurking
  104. in them, but such are usually detected quite rapidly.
  105.  
  106.      3.  Quarantine:  I have no experience here, is it practical to switch
  107. infected systems off of local-area networks?  (unplug them)?
  108.  
  109.     What other common-sense strategies (as opposed to unreasonable
  110. panic strategies) are there to prevent these infections?  Should
  111. terminate and stay resident programs be purged and reloaded from time
  112. to time, for example?
  113.  
  114.     I am reminded of a similar phenomena occurring on larger computer
  115. systems, where the terminals they employ have a code for "transmit
  116. 25th line".  Then simply typing some file can cause you to lose all
  117. your files: the file contains the code to put "ERASE *.*" on the 25
  118. line, and transmit.  The computer sees the data stream "ERASE *.*" and
  119. proceeds to erase all files on the account.  The cycle can be broken
  120. by disallowing the 25line code from appearing in the output -- use
  121. special 'display' program, or disabling the transmit 25th line command
  122. - -- install a toggle switch on the terminal, or by being careful what
  123. you look at -- be aware of the problem.
  124.  
  125. - --SLO 8243274@wwu.edu uw-beaver!wwu.edu!8243274 n8243274@unicorn.wwu.edu
  126.  
  127. ------------------------------
  128.  
  129. Date:    Sun, 05 Nov 89 19:37:00 -0700
  130. From:    Keith Petersen <w8sdz@WSMR-SIMTEL20.ARMY.MIL>
  131. Subject: New anti-virus programs uploaded to SIMTEL20 (PC)
  132.  
  133. I have uploaded the following files to SIMTEL20:
  134.  
  135. pd:<msdos.arc-lbr>
  136. SHEZ49.ARC      Shell for archive manipulation, w/virus check
  137.  
  138. pd:<msdos.trojan-pro>
  139. CKOT094.ARC     Checks archived files for viruses (req. SCANV)
  140. NETSCAN.ARC     Network compatible - scan for 46 viruses, v46
  141. SCANRS47.ARC    Resident program to scan for many viruses
  142. SCANV47.ARC     VirusScan, scans disk files for 47 viruses
  143. VALIDAT3.ARC    Validate shareware programs for authenticity
  144.  
  145. CKOT094, NETSCAN, SCANRS47 and SCANV47 were obtained directly from the
  146. Homebase BBS.
  147.  
  148. - --Keith Petersen
  149. Maintainer of SIMTEL20's CP/M, MSDOS, & MISC archives [IP address 26.2.0.74]
  150. Internet: w8sdz@WSMR-SIMTEL20.Army.Mil, w8sdz@brl.arpa  BITNET: w8sdz@NDSUVM1
  151. Uucp: {ames,decwrl,harvard,rutgers,ucbvax,uunet}!wsmr-simtel20.army.mil!w8sdz
  152.  
  153. ------------------------------
  154.  
  155. Date:    Sat, 04 Nov 00 19:89:58 +0000
  156. From:    agora.hf.intel.com!greg%medusa.intel.com@RELAY.CS.NET
  157. Subject: More CRC suggestions
  158.  
  159. len@csd4.csd.uwm.edu (Leonard P Levine) writes:
  160.  
  161. > A satisfactory system is one in which each user can use a polynomial
  162. > of his/her choice and where the list of files and their crc's
  163. > (for example) is stored in some arbitrary location.  No virus writer
  164. > will be looking for YOU, rather just a collection of systems that
  165. > are alike enough to infect.
  166.  
  167. The CRC program should encrypt and authenticate its stored data file(s);
  168. otherwise, it'd be easy for a savvy virus to essentially 'grep' for strings
  169. matching the format of those used by common CRC programs, and then modify
  170. that file.
  171.  
  172. Even niftier would be 'roll-your-own' CRC programs, that encourage the user
  173. to modify and recompile them from available source; that way, virus authors
  174. couldn't compensate for just a few very popular CRC checkers, and would
  175. have to contend with thousands (probably millions) of different versions
  176. with different filenames and methods of storing the CRCs.
  177.  
  178. [However, the above immediately brings to mind hacked versions of the
  179. source, intended to trick nontechnical users into compiling and running
  180. evil programs.  I suppose we could get the source code from a few
  181. (authentic) sources, along with CRCs for that source code... :)  Sigh.]
  182.  
  183. Another thought:  for people with access to EPROM burners, howzabout
  184. burning the (encrypted) CRCs into EPROMs?  (I'm thinking primarily of PC
  185. clones, with their relatively easily accessible ROM sockets)  Whenever new
  186. software is installed, the old EPROM could be wiped and reprogrammed.
  187.  
  188. - --
  189. ".. organized crime is the price we pay for organization." - Raymond Chandler
  190.  
  191. Greg Broiles          | CI$:      74017,3623   |      greg@agora.hf.intel.com
  192. 3105 Pine St.         | WWIVnet:  1@5312       |
  193. Riverside, CA  92501  | Peacenet: gbroiles     |   tektronix!tessi!agora!greg
  194.  
  195. ------------------------------
  196.  
  197. Date:    Sun, 05 Nov 89 15:34:17 -0500
  198. From:    KHV%NIHCU.BITNET@VMA.CC.CMU.EDU
  199. Subject: Re: Brain and Ashar virus (PC)
  200.  
  201. I had the same experience as you did Tom, when using SCANV42 to scan a
  202. diskette I knew was infected by the Brain virus.  I contacted John
  203. McAfee, the author of the program, and was told that that was a bug in
  204. that particular version of the program.  Evidently, he choose
  205. overlapping hex strings as his virus signatures, so even though only
  206. the Brain virus was actually present, a false positive reading was
  207. obtained for the Ashar virus.  I haven't tested it yet, but I'm sure
  208. that this bug has been corrected in the latest versions of the program
  209. (what are we up to now, version 48 or so?).  Hope this clears things
  210. up.
  211.  
  212. ------------------------------
  213.  
  214. Date:    Mon, 06 Nov 89 09:31:23 -0500
  215. From:    Kevin_Haney%NIHDCRT.BITNET@VMA.CC.CMU.EDU
  216. Subject: Re: Brain Virus Query (PC)
  217.  
  218. In response to your query about the Brain virus, I have included
  219. some information below that was put out by the Computer Virus
  220. Industry Assoc.  The only things I would add to that description
  221. are that the virus does not infect hard disks, only floppies.  The
  222. virus is non-destructive in that it is not specifically designed
  223. to damage any files (except the boot sector)--the damage comes in
  224. when it writes over the seven sectors, in a random location in the
  225. data area of the diskette, which may be part of a program or data
  226. file.  The program may then not run or the data may be corrupted,
  227. but this is just a side-effect, so to speak.  The virus is
  228. prevalent at locations which have public-access floppy-based
  229. systems such as universities.
  230.  
  231. An infected disk (but not the files) can be recovered by
  232. formatting.  The sectors flagged as bad can even be recovered if
  233. you have a utility such as Norton's that can directly modify the
  234. File Allocation Table, and you use it before you reformat the disk.
  235. If you perform the DOS SYS command, it will render the virus
  236. inactive by rewriting the boot sector and your files will still be
  237. there, although the bad sectors will also still be present and
  238. whatever damage was done will not be repaired.
  239.  
  240. Hope this information helps!
  241.  
  242. - -----------------------------------------------------------------
  243.  
  244. Name:  Pakistani Brain
  245.  
  246. Origin:  Lahore, Pakistan, January 1986; developed
  247.            by two brothers as an experiment
  248. Host:  IBM PCs and compatibles
  249. Class:  Boot sector infector
  250.  
  251. Description:
  252. - - Replaces original boot sector with itself
  253. - - Moves original boot sector to another location
  254. - - Adds seven sectors that contain remainder of virus
  255. - - Flags all modified sectors as unusable to protect itself
  256. - - Replicates onto all inserted bootable floppies
  257.  
  258. How spread:
  259. - - Booting from unknown or shared disks
  260. - - Infects through any access to an inserted disk
  261.     Listing directories, executing programs and so on
  262.     Through software reboot sequence
  263.  
  264. Symptoms:
  265. - - Copyright @BRAIN label displayed in directory of infected disk
  266. - - Reboot sequence slowed down
  267. - - Excessive floppy activity for simple tasks
  268. - - Program crashes for some versions of DOS
  269. - - Interrupt vectors modified
  270.  
  271. Potential damage:
  272. - - System crash can cause loss of data
  273. - - Spreads quickly to all bootable disks
  274.  
  275. Precautions:
  276. - - Do not boot from unknown floppies
  277. - - Boot only from the hard disk if one exists
  278. - - Write-protect all boot disks
  279.  
  280. Recovery:
  281. - - Shut down infected systems
  282. - - Reboot from a clean, write-protected original boot disk
  283. - - List directory of all disks - look for @BRAIN label
  284. - - When found, destroy the disk, or:
  285.     Perform DOS SYS command to rewrite boot sector
  286.     Recreate volume serial label using any available utility
  287.     (This procedure will still leave 7 bad sectors with dead virus)
  288.  
  289. Notes:  Will live through software reboot.
  290.  
  291. ------------------------------
  292.  
  293. Date:    Mon, 06 Nov 89 12:27:20 -0500
  294. From:    "Gregory E. Gilbert" <C0195%UNIVSCVM.BITNET@VMA.CC.CMU.EDU>
  295. Subject: KillVirus (Mac)
  296.  
  297. Does KillVirus have an nVir "resource".  ("nVir" visible when examined
  298. with ResEdit.)  Or do I have problems with my copy of KillVirus.
  299. Thanks much.
  300.  
  301. Gregory E. Gilbert
  302. Computer Services Division
  303. University of South Carolina
  304. Columbia, South Carolina   USA   29208
  305. (803) 777-6015
  306. Acknowledge-To: <C0195@UNIVSCVM>
  307.  
  308. ------------------------------
  309.  
  310. Date:    Mon, 06 Nov 89 10:34:26 +0000
  311. From:    Martin Ward <martin%EASBY.DURHAM.AC.UK@IBM1.CC.Lehigh.Edu>
  312. Subject: CRC Checking.
  313.  
  314. How about this for a system:
  315.  
  316. Keep the CRC checker program and file of checksums on a separate
  317. bootable floppy, which has a suitable AUTOEXEC.BAT file. At the end of
  318. the day, power down, insert this floppy and power up. The machine
  319. boots off this floppy and is therefore guaranteed free from active
  320. viruses, it then automatically checks all executables on the hard disk
  321. for any changes. The same disk could go on to do a backup
  322. automatically once the machine has been declared free of infections.
  323.  
  324.         Martin.
  325.  
  326. My ARPANET address is:  martin%EASBY.DUR.AC.UK@CUNYVM.CUNY.EDU
  327. OR: martin%uk.ac.dur.easby@nfsnet-relay.ac.uk  UUCP:...!mcvax!ukc!easby!martin
  328. JANET: martin@uk.ac.dur.easby    BITNET: martin%dur.easby@ac.uk
  329.  
  330. ------------------------------
  331.  
  332. Date:    Mon, 06 Nov 89 19:12:45 +0000
  333. From:    frisk@rhi.hi.is (Fridrik Skulason)
  334. Subject: Typo vs. Typo (PC)
  335.  
  336. There have been two viruses reported in the PC world, with the name "Typo".
  337.  
  338.     One is a boot sector virus - a modification of the Ping-Pong
  339.     virus. This virus was written in Israel.
  340.  
  341.     The other virus is a resident .COM infector, 867 bytes long.
  342.     This one is of U.S. origin.
  343.  
  344. Since having two viruses with the same name will only lead to confusion,
  345. something needs to be done. Any suggestions ?
  346.  
  347. - -frisk
  348.  
  349. ------------------------------
  350.  
  351. Date:    06 Nov 89 20:27:02 +0000
  352. From:    kerchen@iris.ucdavis.edu (Paul Kerchen)
  353. Subject: NP completeness
  354.  
  355. Recently, I posted an article in which I stated that the virus problem
  356. was NP complete.  Well, a number of people pointed out my error and so
  357. I'd like to apologize.  What I meant to say was that the virus problem
  358. (at least detection, anyway) is undecideable.  However, despite this
  359. problem, I still contend that no virus solution will be a 100%
  360. solution.  I'd like to thank the people who politely pointed out my
  361. mistake and the folks who were less than gracious can...well, you know
  362. what you can do.  I'll have to watch my NP's and Q's more closely
  363. (sorry, I couldn't resist).
  364.  
  365. Paul Kerchen                            | kerchen@iris.ucdavis.edu
  366.  
  367. ------------------------------
  368.  
  369. End of VIRUS-L Digest
  370. *********************
  371. Downloaded From P-80 International Information Systems 304-744-2253
  372.