home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.243

< prev

next >

Wrap

Text File  |  1995-01-03  |  9KB  |  221 lines

---

1. VIRUS-L Digest   Friday, 17 Nov 1989    Volume 2 : Issue 243
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. eagle update (PC)
17. Help...Virus Attack (Mac)
18. Re: New Virus (PC) / Reported Possible Virus
19. Re: Virus or just hardware/software problem? (Mac)
20. Write protect tabs (was Re: CRC's)
21. RE: on CRCs
22.  
23. ---------------------------------------------------------------------------
24.  
25. Date:    Thu, 16 Nov 89 19:06:00 -0500
26. From:    IA96000 <IA96@PACE.BITNET>
27. Subject: eagle update (PC)
28.  
29. Update on the virus contained in the file EAGLE.EXE.
30.  
31. 1) It IS NOT new! It is Jerusalem B.
32. 2) It IS infectious and will spread.
33. 3) Scan WILL NOT detect the virus UNTIL EAGLE.EXE is run, at
34.    which time the /M command line switch for Scan picks up
35.    the virus during the memory check.
36. 4) IF COMMAND.COM IS FOUND in the root directory of the drive
37.    EAGLE.EXE is executed from, the BOOT and FAT sectors are
38.    completely destroyed with the Hex 246 character! Several other
39.    sectors get destroyed at the same time. Jerusalem B is loaded
40.    into memory and waits silently.
41.  
42. 5) If COMMAND.COM is notfound in the root directory, Jerusalem
43.    B loads into memory. No damage is done to the disk.
44.  
45. 6) KISS AN EAGLE TODAY! is then printed to the screen.
46.  
47.    Not only is   the program EAGLE.EXE contain a live virus, it
48. is also a trojan in disguise, waiting to wipe the BOOT & FAT areas
49. clean.
50.  
51.    We are now checking to see if the trojan part of the program
52. is passed along when Jerusalem B is loaded into memory. In any
53. event, the file is DANGEROUS and care should be taken.
54.  
55. ------------------------------
56.  
57. Date:    Fri, 17 Nov 89 10:37:00 -0500
58. From:    <FELDMAN_@CTSTATEU.BITNET>
59. Subject: Help...Virus Attack (Mac)
60.  
61. Please help!!
62.  
63. I work in an Apple computer lab at Central Connecticut State
64. University, and lately we've been having an outbreak of viruses (nVir
65. A).  I figured it out by using Disinfectant Ver. 1.1.
66.  
67. What should I do??  It is a public lab, so people are in and out all
68. the time some with their own disks.  We have all Mac SE's with 20 meg
69. HD hooked up through appletalk.  I tried using gatekeeper, but
70. programs such as Excel would not work.  I tried initializing all the
71. hard drives, and replacing them with the original software, but the
72. viruses keep coming back.  Also some of the people come in with their
73. own software that could be infected.
74.  
75. Any information on how I can control this problem would be greatly
76. appreciated.  You can contact me at: FELDMAN_GAL@CTSTATEU
77.  
78. Thanks,
79.  
80. Garry Feldman
81. Supervisor, CCSU Apple Computer Lab
82.  
83. ------------------------------
84.  
85. Date:    16 Nov 89 10:13:00 -0500
86. From:    TomZ@DDN1.DCA.MIL
87. Subject: Re: New Virus (PC) / Reported Possible Virus
88.  
89. Comment: About that "virus" reported to John McAfee [Virus-L Digest V2
90. #239] by Fred Hankel of Fargo, North Dakota, that
91.  
92. >> ... promply melted his power supply and mother board ... [and]
93. >> ... blasted a perfectly circular
94. >> hole in the front panel of his AT clone and left a three foot oval scorch
95. >> mark on the back wall of his den.
96.  
97. Er, doesn't anyone recognize a *L*I*G*H*T*N*I*N*G* strike?  The effects
98. Mr. Hankel reported are classic, only the assumption of a computer
99. virus is paranoia.
100.  
101. Maybe McAfee should submit this to the RISKS forum.
102. /s/:
103. Tom Zmudzinski             |      "The above does not constitute a policy
104. DCS Data Systems           |       statement from DCS Data Systems or its
105. McLean, Virginia           |       parent organization" - Zmudzinski
106. - ---------------------------+---------------------------------------------
107. (703) 285-5459             |      "But it does from Me!" - GOD
108.  
109.  
110. ------------------------------
111.  
112. Date:    Fri, 17 Nov 89 13:05:43 -0500
113. From:    dmg@lid.mitre.org (David Gursky)
114. Subject: Re: Virus or just hardware/software problem? (Mac)
115.  
116. I've seen this problem before, and it is not a symptom of any of the
117. known Mac viruses.  While I never found what the specific problem was,
118. my speculation was that it was some defect in the media.  I suggest
119. you backup the data files on your disk, reformat it, and reinstall the
120. software.
121.  
122. ------------------------------
123.  
124. Date:    Fri, 17 Nov 89 09:51:38 -0600
125. From:    "Craig Finseth" <fin%uf.msc.umn.edu@vma.cc.cmu.edu>
126. Subject: Write protect tabs (was Re: CRC's)
127.  
128.    kichler@harris.cis.ksu.edu (Charles Kichler) writes:
129.  
130.    ...
131.  
132.    Do you _know_ your write-protect tab really works?
133.  
134.    [Ed. This question was discussed a few times on VIRUS-L/comp.virus;
135.    the consensus was (after reviewing schematic diagrams) that the write
136.    protect mechanism on PCs (and clones thereof) and Macs is implemented
137.    in hardware and is thus not circumventable without hardware
138.    modifications.  Unless someone can produce a definitive, reproducable
139.    piece of code that can prove otherwise, lets all please consider this
140.    to be the case.]
141.  
142. I would like to confirm the "Ed." tack-on for IBM PCs, clones, and
143. Macs.  However, early Apple ][s *did* implement this feature in
144. software.
145.  
146. I don't know for sure, but believe that later (=current) Apple ][s,
147. Ataris, and Amigas perform this function in hardware.
148.  
149. Craig A. Finseth            fin@msc.umn.edu [CAF13]
150. Minnesota Supercomputer Center, Inc.    (612) 624-3375
151.  
152. ------------------------------
153.  
154. Date:    Fri, 17 Nov 89 10:40:00 -0600
155. From:    david paul hoyt <YZE6041@vx.acss.umn.edu>
156. Subject: RE: on CRCs
157.  
158.   This is really in response to the CRC auto-diagnosis letters
159. recently, but it was prompted by Bob Bosen's November 16th article.
160.  
161.  Mr. Bosen points to very good documents that will point the serious
162. anti-viral minded software developers to an excellent method of
163. defending their software (and customers) from viruses.  I would
164. suggest that software developers should at least review these
165. documents.
166.  
167.   However, I would like to add a comment.  Any of these auto-check
168. schemes rely on a small number (1 to n) of programmed checks to see if
169. the software has been corrupted.  While this will defend against a
170. general purpose or unsophisticated virus, it has little value against
171. a malicious attack against your product.
172.  
173.   About ten years ago, there was a game called dungeon, that ran under
174. VMS and perhaps other machines as well.  Dungeon had something called
175. 'game master mode.' You could rearrange things (cheat) to your heart's
176. content.  Figuring out how to use 'game master mode', figuring out its
177. data structures, parsers and whatnot was much more interesting and
178. educational than the game it self.  But I digress.
179.  
180.   You entered it by saying something (incant?) and it would issue you
181. a challenge. It gave you a word, and you had to decrypt it.  Knowing
182. nothing about cryptanalysis, I might of been out of luck.  But rather
183. than figuring out the cipher, I merely found the routine that checked
184. to see if your response was correct and patched it to always return
185. true.
186.  
187.   If I could figure this out as a complete novice (that was the first
188. year I had seen a computer) think what a disgruntled employee might be
189. able to do.
190.  
191.   The solution is, of course, to put part of the check someplace other
192. than in the computer.  The user can, even without his knowledge, be an
193. integral part of the check.  In the Mac world, and probably other
194. worlds as well, when you first open an application, it asks you your
195. name and your company. It then stores that data someplace, and each
196. subsequent time you open the program it proclaims "This program is
197. licensed to My Favorite Person."  Or what ever else you happened to
198. answer.
199.  
200.   The long and the short of it, is this: that name can be used as the
201. key, along with the checksum, signature or whatever else you use, to
202. encrypt itself. The CRC, exclusive or'ed with the odd bytes of the
203. name can be used to create a key to to decode the even bytes of the
204. name.  Or any other like method.  The individual's name will then be
205. part of the correct 'signature' for the program.  And the best part of
206. it is that it will be the user, not the program, that performs the
207. final authentication.  If the user see's
208.  
209.    "This program is licensed to M# Fpv9r`ta.eas*n"
210.  
211. Then she will know something's afoot.  And there is nothing the
212. vandals can do about it.  The virus will be detected.
213.  
214. david hoyt | dhoyt@vx.acs.umn.edu | dhoyt@umnacvx.bitnet
215.  
216. ------------------------------
217.  
218. End of VIRUS-L Digest
219. *********************
220. Downloaded From P-80 International Information Systems 304-744-2253
221.