home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.237 < prev    next >
Text File  |  1995-01-03  |  12KB  |  284 lines
  1. VIRUS-L Digest   Thursday,  9 Nov 1989    Volume 2 : Issue 237
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Re: Where are the Sophisticated Viruses?
  17. Chinese Viruses
  18. Re: Macwight Virus (?)
  19. Jerusalem virus (PC)
  20. virus problem undecidability
  21. KillVirus INIT (Mac)
  22. Re: Macwight Virus (?)
  23. MacWight? (Mac)
  24. Dukakis Virus (Mac)
  25. RE: future viruses on a PC Pull plug before cleaning
  26.  
  27. ---------------------------------------------------------------------------
  28.  
  29. Date:    Wed, 08 Nov 89 13:15:35 +0000
  30. From:    christer@cs.umu.se (Christer Ericson)
  31. Subject: Re: Where are the Sophisticated Viruses?
  32.  
  33. In article <0002.8911062045.AA11747@ge.sei.cmu.edu> ctycal!ingoldsb@cpsc.ucalga
  34. ry.ca writes:
  35. >There are probably two reasons why the viruses you suggest do not
  36. >exist:
  37. >  1) If the system code is bypassed, then it must be rewritten.
  38. >     Most hackers are not at that level.  Those that are that
  39. >     proficient are busy making money.
  40. >  2) Code to do all the stuff needed would be quite large, and
  41. >     therefore noticeable.  If you add 20 K to somebody's
  42. >     programs they will likely notice.
  43.  
  44. I don't agree with you on any of these points, Terry. Say, on the
  45. Macintosh all calls to ROM are done through trap vectors in RAM. These
  46. trap vectors are patched by the system file (to fix bugs), by some
  47. programs and by all anti-virus tools. However, it doesn't take a
  48. genius to figure out that one could restore the trap vector to it's
  49. original value and thereby bypassing the "safe" system.  (Alright, we
  50. don't have the bug fixes installed, but it's easy to mimic what is
  51. done by the system file. (For instance by simply calling the very same
  52. routine.)). A patch like this wouldn't occupy much space and is quite
  53. simple to write.
  54.  
  55. I'd guess I could write a virus using the above technique in a day or
  56. two, which would be undetectable by all existing anti-virus tools, and
  57. along with me so could lots of other people. However some of us are
  58. busy making money, as you said, and we who are just working (:-))
  59. probably have some sense of moral, stopping us from bringing total
  60. chaos to the computer society.
  61.  
  62. >  Terry Ingoldsby
  63.  
  64. /Christer
  65.  
  66. | Christer Ericson                           Internet: christer@cs.umu.se  |
  67. | Department of Computer Science, University of Umea, S-90187 UMEA, Sweden |
  68. |     >>>>>    "I bully sheep. I claim God doesn't exist..."    <<<<<      |
  69.  
  70. ------------------------------
  71.  
  72. Date:    Wed, 08 Nov 89 13:20:38 +0000
  73. From:    frisk@rhi.hi.is (Fridrik Skulason)
  74. Subject: Chinese Viruses
  75.  
  76. I just saw a note on comp.risks about viruses in China.
  77.  
  78. >     Ministry of Public Safety of People's Republic of China found this
  79. >summer that one tenth of the computers in China had been contaminated by
  80. >three types of computer virus:  "Small Ball", "Marijuana" and "Shell", China
  81. >Daily reported.
  82.  
  83. The "Small Ball" is probably just a variant of Ping-Pong, "Marijuana" is
  84. the same virus as "Stoned" or "New Zealand", but what is "Shell" ??
  85.  
  86. Anybody got an idea ?
  87.  
  88. - -frisk
  89.  
  90. ------------------------------
  91.  
  92. Date:    Wed, 08 Nov 89 12:08:20 -0500
  93. From:    dmg@lid.mitre.org (David Gursky)
  94. Subject: Re: Macwight Virus (?)
  95.  
  96. In Virus-L V2 #235, "Gregory E. Gilbert" <C0195@UNIVSCVM.BITNET> asks
  97. about the "Macwight" (sic) virus.
  98.  
  99. Recently, there was a report of a virus that attacked MacWrite from
  100. the University of Rochester.  Since the initial report however,
  101. nothing has been heard from them.
  102.  
  103. ------------------------------
  104.  
  105. Date:    Wed, 08 Nov 89 11:54:42 -0600
  106. From:    ST7751%SIUCVMB.BITNET@VMA.CC.CMU.EDU (Chris Beckenbach)
  107. Subject: Jerusalem virus (PC)
  108.  
  109. The Jerusalem virus has turned up here at Southern Illinois
  110. University, also.  From dissecting a copy of the virus, and an article
  111. in the February 15, 1989 edition of Datamation ("The Virus Cure", by
  112. John McAffe, Pp. 29-40), the Jerusalem virus (called the Israeli virus
  113. in the Datamation article) does the following:
  114.  
  115. When an infected .EXE or .COM file is loaded and run, the Jerusalem
  116. virus checks to see if it is already resident in the computer.  If
  117. not, it sets itself up to intercept DOS INT 21h, then proceeds to run
  118. the infected program normally.  Whenever a call is made to INT 21h to
  119. execute a program (function 4Bh), the virus will append itself to the
  120. program file on the disk and set itself up as the entry point for that
  121. program.  This adds 1808 bytes of length to the file, but does not
  122. change the time/date stamp.  If the disk is write-protected, no error
  123. will be given, and the file will not be infected.  The copy of the
  124. virus that I have been looking at infects .EXE files multiple times
  125. (the Datamation article says that this is a bug that has been "fixed"
  126. by hackers in other versions), so usually the major problem with this
  127. virus will be that it will waste memory and disk space.  John McAfee's
  128. article also says that this multiple infection does not occur with
  129. .COM files, but I have not verified this.  The most serious aspect of
  130. this virus is that when the system date is Friday the 13th (except
  131. when the year is 1987--this virus was first discovered in 1987, so
  132. this was probably written in to give it time to spread) any call to
  133. execute a .COM or .EXE file will result in the file's being deleted
  134. from the disk.
  135.  
  136. I have been informed that Flushot will take the virus out of infected
  137. programs, so if you have the virus and Flushot, you might want to try
  138. this.
  139.  
  140. Hope this has been of help.
  141.  
  142. Chris Beckenbach              ST7751@SIUCVMB
  143. Computer Science major        Southern Illinois University
  144. Carbondale, Illinois
  145.  
  146.         "I think, therefore I think I am--I think."
  147.  
  148. ------------------------------
  149.  
  150. Date:    Wed, 08 Nov 89 16:32:00 -0500
  151. From:    Peter W. Day <OSPWD%EMUVM1.BITNET@VMA.CC.CMU.EDU>
  152. Subject: virus problem undecidability
  153.  
  154. A note to the virus-l digest of 6-Nov-89 said that "the virus problem (at
  155. least detection anyway) is undecidable."  Does anyone know if there are
  156. any papers where this result is proved? Or where the problem is
  157. shown to not be NP complete? Or even where the problem is stated
  158. precisely?
  159.  
  160. Thanks,
  161. Peter Day
  162. Emory University
  163.  
  164. ------------------------------
  165.  
  166. Date:    Wed, 08 Nov 89 17:04:50 -0500
  167. From:    Joe McMahon <XRJDM%SCFVM.BITNET@VMA.CC.CMU.EDU>
  168. Subject: KillVirus INIT (Mac)
  169.  
  170. Yes, the KillVirus INIT contains a "dummy" nVIR resource which it will
  171. attempt to install into the System file. This resource will trigger
  172. most less-sophisticated virus detectors. In addition, KillVirus is
  173. supposed to be able to automatically uninfect files infected with the
  174. A strain of nVIR. I haven't tested this, but I wouldn't want to bet
  175. the farm on it.
  176.  
  177.  --- Joe M.
  178.  
  179. ------------------------------
  180.  
  181. Date:    08 Nov 89 22:41:56 +0000
  182. From:    jap2_ss@uhura.cc.rochester.edu (The Mad Mathematician)
  183. Subject: Re: Macwight Virus (?)
  184.  
  185.  
  186. In article <0004.8911081210.AA26585@ge.sei.cmu.edu> C0195%UNIVSCVM.BITNET@VMA.C
  187. C.CMU.EDU (Gregory E. Gilbert) writes:
  188. >Is there such a beast?
  189.  
  190. Macwight is a name someone here at the U of R gave to an error we
  191. found in a few copies of Macwrite.  Something or someone changed the
  192. icon of Macwrite to show the word Macwite instead of the lines, and
  193. the name of the the application to Macwite or Macwight.  After the
  194. first few reports, I got a copy to play with for a while, but it was
  195. taken and given to someone else.  Since then I haven't seen another,
  196. nor have any of the student consultants.  I don't know if this was a
  197. true virus, but it a copy of Macwrite changed before the consultant's
  198. boss' eyes, ie the name changed from Macwrite to Macwite, and upon
  199. inspection via Resedit the icon was found to have changed.
  200.  
  201. >Gregory E. Gilbert
  202.  
  203. The Mad Mathematician
  204. jap2_ss@uhura.cc.rochester.edu
  205. Mad, adj.  Affected with a high degree of intellectual independence.
  206.     Ambrose Bierce, _The_Devil's_Dictionary_
  207.  
  208. ------------------------------
  209.  
  210. Date:    Wed, 08 Nov 89 18:17:21 -0500
  211. From:    Joe McMahon <XRJDM%SCFVM.BITNET@VMA.CC.CMU.EDU>
  212. Subject: MacWight? (Mac)
  213.  
  214. You may (or may not :-) remember the discussions we had here on the
  215. list about this. As far as I remember, there was never a specific
  216. demonstration that there was a virus involved. That doesn't mean that
  217. there wasn't; it just means that there were never quite enough facts
  218. presented to make a case either way. I'd leave it off for now, or
  219. mention it as a "rumored sighting" or whetever. Safest not to mention
  220. it, especially since it was never pinned down and analyzed.
  221.  
  222.  --- Joe M.
  223.  
  224. ------------------------------
  225.  
  226. Date:    Wed, 08 Nov 89 18:20:42 -0500
  227. From:    Joe McMahon <XRJDM%SCFVM.BITNET@VMA.CC.CMU.EDU>
  228. Subject: Dukakis Virus (Mac)
  229.  
  230. The "Dukakis Virus" was a self-perpetuating HyperCard script. When the
  231. stack containing it was opened, it would first try to install itself
  232. into the Home stack. The version in the Home stack would then spread
  233. to other stacks.  Editing it out of the Home stack and installing an
  234. "ON SET" script was sufficient to block it.
  235.  
  236. It was released on CompuServe and apparently was not set up to have a
  237. long enough incubation time before it first went off. I believe it was
  238. stamped out pretty quickly, but it did exist.
  239.  
  240. Worst, the actual script was published in the InfoMac digest...
  241.  
  242.  --- Joe M.
  243.  
  244. ------------------------------
  245.  
  246. Date:    Wed, 08 Nov 89 22:40:00 -0600
  247. From:    "David Richardson, UTA" <B645ZAX%UTARLG.BITNET@VMA.CC.CMU.EDU>
  248. Subject: RE: future viruses on a PC Pull plug before cleaning
  249.  
  250. frisk@rhi.hi.is writes
  251. >jim frost writes:
  252. >>Limiting Propagation Rates.
  253. [edited out list of viruses that limit propogation rates]
  254. [frost goes on to point out how some of todays viruses meet some criteria
  255.  of the "ultimate virus", and mentions the threat of AIDS and other
  256.  anti-disinfecting viruses]
  257.  
  258. >>By now you should get the idea that almost every virus we've seen is
  259. >>primitive, although several showed some of the survival traits which I
  260. >>outline above.  Given the limited resources of PC environments, it's
  261. >>unlikely that you'll get a very sophisticated virus.
  262. >
  263. >I must disagree. In the PC environment it is not a question of limited
  264. >resources, but rather the fact that any user process has full access to
  265. >ALL resources and can even directly manipulate the hardware if required.
  266. >So, my opinion is that it is even easier to write a sophisticated virus on
  267. >the PC than in most other environments.
  268.  
  269. The PC user has one weapon that is impactical on a mainframe:
  270. THE PC USER CAN TURN OFF HIS MACHINE AT ANY TIME AND DISINFECT HIS SYSTEM
  271. VERY EASILY.  NO VIRUS (THAT I KNOW OF) CAN LIVE THROUGH A COLD BOOT.
  272.  
  273. As long as PCs retain an OFF switch, then we have the ultimate power over
  274. our compters, viruses or not.
  275.  
  276. - -David Richardson   b645zax@utarlg.bitnet, @utarlg.arl.utexas.edu
  277. UTSPAN::UTADNX::UTARLG::B645ZAX             phone +1 817 273 2231
  278.  
  279. ------------------------------
  280.  
  281. End of VIRUS-L Digest
  282. *********************
  283. Downloaded From P-80 International Information Systems 304-744-2253
  284.