home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.242

< prev

next >

Wrap

Text File  |  1995-01-03  |  14KB  |  296 lines

---

1. VIRUS-L Digest   Friday, 17 Nov 1989    Volume 2 : Issue 242
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. BITFTP confusion of yesterday
17. Virus or just hardware/software problem? (Mac)
18. Write protect tabs (was Re: CRC's)
19. Help needed on Mac virus attack (Mac)
20. possible bug in scanres46 (PC)
21. STONED Virus (PC)
22. Re: Signature Programs
23.  
24. ---------------------------------------------------------------------------
25.  
26. Date:    Fri, 17 Nov 89 07:27:08 -0500
27. From:    Kenneth R. van Wyk <krvw@SEI.CMU.EDU>
28. Subject: BITFTP confusion of yesterday
29.  
30. Hi folks,
31.  
32. Yes, I accidentally replied to a message yesterday, directly to the
33. entire list.  Again, I apologize for that.  I did learn that one of
34. the quickest ways to get help on something is to make a glaring
35. mistake like this.  :-)  Thanks to all those who sent in the HELP
36. information for BITFTP.  Allow me to explain...
37.  
38. FTP (File Transfer Protocol) is an Internet facility which, as the
39. name implies, allows users to transfer files between Internet hosts.
40. This facility is used frequently for making archives, programs, etc.,
41. available to the general public - the VIRUS-L/comp.virus archives are
42. available via anonymous FTP.  Traditionally, FTP was only available to
43. Internet subscribers since it relies directly on the TCP/IP network
44. protocol used on the Internet.
45.  
46. Enter BITFTP...  BITFTP is an email facility provided at PUCC
47. (Princeton University Computing Center) - perhaps other IBM VM/CMS
48. sites as well? - which allows users to invoke Internet FTP sessions
49. via email requests to BITFTP@PUCC.BITNET.  This gives BITNET and other
50. email networks (Usenet, etc.) access to much of the FTP facilities of
51. the Internet.  I say "much of" because the facility, in all its
52. usefulness, cannot currently transfer binary files, though real FTP
53. can.
54.  
55. Rather than include the lengthy HELP information for BITFTP here, I
56. refer readers who would like this information to obtain it on-line by
57. sending email to BITFTP@PUCC.BITNET - in the email message, just enter
58. a line containing "HELP".  You will then receive the actual HELP file
59. provided by the service.
60.  
61. I hope this clears up the confusion.  BITFTP can provide a very useful
62. service to non-Internet sites.  As a disclaimer - BITFTP is not
63. provided by VIRUS-L/comp.virus, CERT, or any group that I'm associated
64. with; I know little more about it than what I've presented here, and
65. I'm merely pointing its availability out to users who might find it
66. useful.
67.  
68. Regards,
69.  
70. Ken
71.  
72. ------------------------------
73.  
74. Date:    16 Nov 89 13:50:17 +0000
75. From:    mmccann@hubcap.clemson.edu (Mike McCann)
76. Subject: Virus or just hardware/software problem? (Mac)
77.  
78. I encountered a problem with a Mac Plus (Everex 20Mb HD, 6.0.3, 2.5Mb
79. RAM, QuickMail, Netway1000, SAM).  The system and finder were not
80. visible but the machine was still bootable (some software failed to
81. run or crashed).  When I used ResEdit from a locked disk I found two
82. DeskTops but no system or finder anywhere.  The person in charge of
83. Macintoshs for that area said he reinstalled all the software but the
84. problem reoccurs.  I immediately thought of a virus and scanned all
85. the disks and the Mac Plus with Disinfectant1.2 but found nothing (I
86. did find two file with damaged resource forks on the Mac Plus but
87. these were documents).
88.  
89. If anyone can offer any suggestions, I would greatly appreciate it.
90. (PS- I personally used Everex's HD formatter to erase the drive and
91. then installed new, known-clean system software on the Mac Plus with
92. his software (he didn't have known-clean copies of the software) and
93. I'm now waiting to see if strange things happen again).
94.  
95. Thanks
96. - --
97. Mike McCann       (803) 656-3714   Internet = mmccann@hubcap.clemson.edu
98. Poole Computer Center (Box P-21)       UUCP = gatech!hubcap!mmccann
99. Clemson University                   Bitnet = mmccann@clemson.bitnet
100. Clemson, S.C. 29634-2803         DISCLAIMER = I speak only for myself.
101.  
102. ------------------------------
103.  
104. Date:    15 Nov 89 01:14:28 +0000
105. From:    munnari!stcns3.stc.oz.AU!dave@uunet.UU.NET (Dave Horsfall)
106. Subject: Write protect tabs (was Re: CRC's)
107.  
108. In article <0007.8911071214.AA17820@ge.sei.cmu.edu>,
109.     kichler@harris.cis.ksu.edu (Charles Kichler) writes:
110.  
111. | The advantage is hardware is difficult to modify via software.  As of yet,
112. | I haven't seen a program that can beat a write protect tab.
113.  
114. I have heard a story, perhaps apocryphal, of a disk controller whose
115. "write protect" mechanism merely set a bit in a register, which the
116. software was supposed to check.
117.  
118. Do you _know_ your write-protect tab really works?
119.  
120. [Ed. This question was discussed a few times on VIRUS-L/comp.virus;
121. the consensus was (after reviewing schematic diagrams) that the write
122. protect mechanism on PCs (and clones thereof) and Macs is implemented
123. in hardware and is thus not circumventable without hardware
124. modifications.  Unless someone can produce a definitive, reproducable
125. piece of code that can prove otherwise, lets all please consider this
126. to be the case.]
127.  
128. Dave Horsfall (VK2KFU),  Alcatel STC Australia,  dave@stcns3.stc.oz.AU
129. dave%stcns3.stc.oz.AU@uunet.UU.NET,  ...munnari!stcns3.stc.oz.AU!dave
130.  
131. ------------------------------
132.  
133. Date:    Thu, 16 Nov 89 09:19:27 -0500
134. From:    Tom Southall <SOUTHALL@AUVM.BITNET>
135. Subject: Help needed on Mac virus attack (Mac)
136.  
137. Hello,
138.  
139. We are being hit by a Mac virus that is not recognized by our vaccine
140. programs (Disinfectant, etc.).  The symptoms we see, in order of
141. severity (age?) of the virus are:
142.  
143. 1. System file date changes to current date
144. 2. All printing services are degraded
145. 3. File can not be opened - but is visible
146. 4. Open files can not be saved
147. 5. Machine freezes in the middle of doing work
148. 6. Names of infected files are changed to *'s
149.  
150. The virus appears to be passed through data files and/or through our
151. Appletalk network.  We have reformatted all disks and fixed the
152. server, but the virus re-appears very quickly.
153.  
154. Any ideas as to what this might be, and how to get rid of it would be
155. greatly appreciated.  Thank you,
156.  
157. Tom Southall
158. Manager, User Services
159. The American University
160. Washington, DC  20016
161. (202) 885-2277
162.  
163. ------------------------------
164.  
165. Date:    Thu, 16 Nov 89 15:55:20 -0600
166. From:    mitch cottrell <C2852@UMRVMB.UMR.EDU>
167. Subject: possible bug in scanres46 (PC)
168.  
169. To whom it may concern...
170.  
171. I do not wish to spread rumors....but??
172.  
173. Concerning the McAffee scanres and SCAN program, I am experiencing
174. unusual hardware problems at undetermined time lengths after
175. execution of these two programs (version 38 and 46) This problem
176. affects floppy disk drives only on base PC and XT systems.  The
177. faults appear to affect the disk drive motor and do not allow it to
178. run.  This problem does not appear in systems unless the programs a re
179. executed.  This problem is also cleared by a reboot or power cycle.
180.  
181. If anyone else has experienced similar problems please let me know...
182.  
183. PS.  I would hate to discover a new virus......
184.  
185. [Ed. Has anyone else had similar problems.  I'd suggest being *real*
186. hesitant to draw a conclusion on this without more similar
187. occurances.]
188.  
189. Reply C2852@UMRVMB.UMR.EDU
190. Acknowledge-To: <C2852@UMRVMB>
191.  
192. ------------------------------
193.  
194. Date:    Thu, 16 Nov 89 17:31:32 -0500
195. From:    Mark Powers <MP14STAF@MIAMIU.BITNET>
196. Subject: STONED Virus (PC)
197.  
198. Two of our PC labs have been infected with the STONED virus.  Is there
199. anything out there that will fix these machines or are we looking at
200. rebuilding the infected disks?
201.  
202.                           Thanks for any assistance
203.  
204.                           Mark Powers
205.                           Academic Computer Service
206.                           Miami University
207.                           513-529-2020
208.  
209. ------------------------------
210.  
211. Date:    Fri, 17 Nov 89 00:17:27 -0500
212. From:    Steve Woronick <XRAYSROK@SBCCVM.BITNET>
213. Subject: Re: Signature Programs
214.  
215.    Bob Bosen <71435.1777@CompuServe.COM> brings up some interesting
216. points, asking why programmers writing authentification programs are
217. utilizing CRC and checksum algorithms rather than more sophisticated
218. algorithms like ANSI X9.9, ISO 8731-2, or DES.  I think it depends on
219. what you are trying to do.  If your plan is to encrypt your program and
220. rely on difficulties in decryption for protection against infection, then
221. it probably makes sense to use something very sophisticated, because you
222. want to make certain that no one but yourself can do the decryption.
223. If you are leaving the encrypted form on your disk (where it might be
224. compared with the unencrypted form which is surely to appear either on
225. your disk or in memory at some future date if you use it), you don't
226. want to be using something so simple that it might give your algorithm
227. away.
228.  
229.    On the other hand, if you are not encrypting your program but are
230. simply trying to generate a number (or maybe several numbers) for
231. authentification purposes, I don't see that it is necessary to use
232. anything more sophisticated than a polynomial.  If the virus doesn't
233. know your polynomial, then it's chances of guessing a sequence of
234. characters with which to "pad" your program file in order to generate
235. the same CRC value as the original unaltered program is quite
236. small.  Of course, everyone ought to be using a slightly different
237. algorithm (i.e. different polynomials) and ought to be hiding the
238. authentification algorithm.  Correct me if I'm wrong:  If the algorithm is
239. sophisticated enough that it is very hard for anyone to guess CRC values,
240. then there probably is no need to hide the values it calculates for each
241. of your program files; in principle, one might be able to deduce the
242. algorithm by comparing program files with the CRC values generated by the
243. algorithm, but this will work only if there is enough information
244. available for analysis (which will not be the case for sufficiently
245. high order polynomials).  The information in a CRC is small compared to
246. the information in an encrypted file, so CRC programs need not be
247. terribly sophisticated to foil discovery.
248.  
249.    It has been pointed out that doing a cold boot from a clean floppy
250. assures you that your system is running clean (i.e. there are no viruses
251. in memory --- there may be some on your hard disk, but these are dormant
252. until you run an infected program).  If you then run your
253. authentification program from the clean floppy disk on your clean system
254. to check your hard disk (or other), you can rest fully assured that no
255. virus etc. has had the opportunity to intercept your checking program
256. and fool you into thinking that an infected program is uninfected (unless
257. you were dumb and previously exposed the clean disk, though write-
258. protected, to the inquiring eyes of a virus).  And since there are no
259. viruses in memory, none can steal your checking algorithm or any of the
260. CRC values (which you probably are keeping on the clean disk; for that
261. matter you can keep your own personal polynomial coefficients on the
262. disk also).  You probably will wisely want to keep your clean disk
263. write-locked to prevent accidents, but infection is not the only threat
264. (so write protection does not fully protect one from accidents).  If one
265. runs the authentification program (or even accesses the disk it's on),
266. without first doing the cold clean boot, then one risks having the
267. authentification algorithm stolen by a virus.  And as has been stated
268. before, one cannot be certain of the authentification results if the
269. cold boot from the clean disk was not done.  Finally, you obviously have
270. to write to the clean disk once in a while to update the CRC-values list
271. for new programs/ whatever, but this is no problem because you're not
272. going access it without first doing the cold clean boot.  One of course
273. also assumes that your clean disk was really clean to start with.
274.  
275.    Any comments?  Here's a question:  What's a good reference for
276. finding out about ANSI X9.9 and ISO 8731-2?  I can give you one for DES
277. (Data Encryption Standard):  Numerical Recipes, The Art of Scientific
278. Computing, by W.H. Press, B.P. Flannery, S.A. Teukolsky, and W.T.
279. Vetterling, published by Cambridge University Press, (c)1986,
280. p. 214-220.  Two and one half pages of highly-inefficiently coded FORTRAN
281. is given which implements the DES algorithm (except that the standard
282. itself explicitly states that any implementation in software is not
283. secure and therefore not DES).
284. - -----------------------------------------------------------------------
285. Steven C. Woronick     | Disclaimer:  These are my own opinions.
286. Physics Dept.          |     Always check it out for yourself...
287. SUNY at Stony Brook    |
288. Stony Brook, NY  11794 |
289. Acknowledge-To: <XRAYSROK@SBCCVM>
290.  
291. ------------------------------
292.  
293. End of VIRUS-L Digest
294. *********************
295. Downloaded From P-80 International Information Systems 304-744-2253
296.