home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.245 < prev    next >
Text File  |  1995-01-03  |  10KB  |  252 lines
  1. VIRUS-L Digest   Tuesday, 21 Nov 1989    Volume 2 : Issue 245
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. re: Known PC Virus List (PC)
  17. RE: Internet Worm Statistics...
  18. Re: Ping Pong virus (PC) at UIUC
  19. Eagle Virus Detection Utility and Final Report (PC)
  20. No Virus Found (Mac)
  21. Most common virus (PC)
  22. More on VACSINA (PC)
  23.  
  24. ---------------------------------------------------------------------------
  25.  
  26. Date:    20 Nov 89 00:00:00 +0000
  27. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
  28. Subject: re: Known PC Virus List (PC)
  29.  
  30. Quite welcome for the format, and thanks for the acknowledgement!
  31. A few small notes/questions:
  32.  
  33.    - I notice the "Missouri" and "Nichols" viruses aren't
  34.      listed.   Did they turn out not to really exist, or
  35.      to be viruses that are known under some other name?
  36.  
  37.    - For completeness, you might want to include the 1704-C,
  38.      as well as the 1701, 1704, 1704-B and 1704-format?
  39.      (The 1704-C has the same in-clear section as the
  40.      1704-format, but doesn't have the disk-formatting
  41.      code.)   I know you have a sample!  *8)
  42.  
  43.    - Suspect you didn't mean to mark "Self-Encryption" for
  44.      the 1168 and 1280 viruses?  They don't do it in the same
  45.      sense that the DataCrime II, the Syslock, or the 17xx
  46.      series do; the only thing that's "encrypted" in the
  47.      1168/1280 is the logo string, and that's just stored
  48.      XORed with hex 55.  That's not the -interesting- kind of
  49.      self-garbling: the kind that makes the invariant part of
  50.      the virus smaller.
  51.  
  52. Nice list!
  53.  
  54. DC
  55.  
  56. ------------------------------
  57.  
  58. Date:    Mon, 20 Nov 89 11:54:35 -0500
  59. From:    dmg@lid.mitre.org (David Gursky)
  60. Subject: RE: Internet Worm Statistics...
  61.  
  62. As some of you may recall, Cliff Stoll (author of "Stalking the Wily
  63. Hacker" CACM May '88 and _The Cuckoo's Egg_ Doubleday 1989) asked
  64. people to submit tales, horror stories, and so on about the Morris
  65. Internet Worm.  Cliff then performed some statistical analysis on the
  66. resulting data, and published the results as part of his paper "An
  67. Epidemology of Viruses & Network Worms".  presented at the 12th
  68. National Computer Security Conference last month in Baltimore (see
  69. pages 371 -> 373 of the proceedings for the section of Cliff's article
  70. on the Morris Work).
  71.  
  72. ------------------------------
  73.  
  74. Date:    Mon, 20 Nov 89 16:40:30 -0500
  75. From:    Melinda Varian <MAINT@PUCC.BITNET>
  76. Subject: Re: Ping Pong virus (PC) at UIUC
  77.  
  78. Although I recognize that this is not the appropriate forum
  79. for discussion of the BITFTP server, since BITFTP has been being
  80. discussed here, I would like to correct some misapprehensions:
  81.  
  82.   BITFTP does handle binary files; indeed, it distributes hundreds
  83.   of them everyday.
  84.  
  85.   BITFTP is currently designed to be used only within the BITNET/
  86.   EARN/NetNorth network; it distributes all files (both binary and
  87.   text) in NETDATA format, which means it cannot send files through
  88.   mail-only gateways into other networks.
  89.  
  90. I have addressed the original complaint about BITFTP that was
  91. broadcast to this list, i.e., that it was not accepting FTP requests
  92. for the UXE.CSO node.  Requests to that node had regularly been
  93. resulting in hung FTP sessions, but I believe that I have now
  94. circumvented that problem, so I am again accepting requests to access
  95. it.
  96.  
  97. Anyone wanting further information on BITFTP should send mail or an
  98. interactive message to BITFTP@PUCC.
  99.  
  100. Melinda Varian
  101.  
  102. [Ed. Thanks for the clarification!]
  103.  
  104. ------------------------------
  105.  
  106. Date:    Mon, 20 Nov 89 19:13:00 -0500
  107. From:    IA96000 <IA96@PACE.BITNET>
  108. Subject: Eagle Virus Detection Utility and Final Report (PC)
  109.  
  110. Final report on virus contained in file EAGLE.EXE:
  111.  
  112. 1) It DOES contain a form of Jerusalem B. It WILL spread to other
  113.    files once EAGLE.EXE has been loaded into memory.
  114.  
  115. 2) If the system being run has a '286 or higher processor and if
  116.    COMMAND.COM is found in the root directory, the program will
  117.    DESTROY the boot and FAT tables on the disk. No question about
  118.    this folks! It overwrites the sectors with the ASCII 246
  119.    character.
  120.  
  121. 3) When EAGLE.EXE is loaded, ONLY the Jerusalem B virus is spread
  122.    to other files. The trojan part of the program is part of
  123.    EAGLE.EXE, not part of the virus itself.
  124.  
  125. 4) Viruscan (SCAN.EXE) WILL NOT detect any viruses in the EAGLE.EXE
  126.    file. This appears to be because EAGLE.EXE has been compressed
  127.    and a DOS loader has been added to the head of the file and is
  128.    not the fault of Viruscan.
  129.  
  130. 5) Once EAGLE.EXE has been run,SCAN will detect the Jerusalem B
  131.    virus in memory when SCAN's "M" command line switch is used.
  132.  
  133. 6) A write protect tab WILL stop the destruction of the Boot and FAT
  134.    on a floppy. Numerous methods have been tried to stop the destruction
  135.    of the Boot and FAT on a hard disk and none appear to be effective.
  136.  
  137. 7) After considerable study it has been determined that the EAGLE.EXE
  138.    program was written in (take a guess) a version of compiled Basic.
  139.  
  140. 8) We have no way to know that author intended for the program to
  141.    contain the Jerusalem virus. It is quite possible this IS the case
  142.    since the specific compression program used would not allow the
  143.    program to load, if the virus had infected the file AFTER it had
  144.    been compressed.
  145.  
  146. To recap:
  147.  
  148.    The program name is EAGLE.EXE and contains the Jerusalem virus.
  149.    It was uploaded to a BBS with a description line saying it would
  150.    produce a VGA animation of an EAGLE in flight. If COMMAND.COM
  151.    is present in the root directory of the default drive and if
  152.    the processor is a '286 or higher (including a '486) EAGLE.EXE
  153.    will write over the Boot and both FAT areas with the ASCII 246
  154.    character.
  155.  
  156. Detection:
  157.  
  158.    The good people at SWE have written a small program named
  159. EAGLSCAN.EXE which will probe any file with an extension of .EXE
  160. to determine if it is the EAGLE.EXE program renamed. I do not know
  161. the particulars of the program but I have tested it, and it is very
  162. fast! It will if you desire scan one .EXE file or all .EXE files
  163. on your disk. If a file is found be EAGLE.EXE renamed or has the
  164. exact same identification strings, it will be flagged and you will
  165. be notified.
  166.  
  167. If you would like a copy of EAGLSCAN.EXE please send a formatted
  168. 5.25 inch, 360k disk to the following address with return postage,
  169. (stamps are fine) and you will receive the program along with a
  170. commented dis-assembly of the EAGLE.EXE file. Please enclose a
  171. return address label for the disk mailer.
  172.  
  173.                                        SWE
  174.                                        132 Heathcote Road
  175.                                        Elmont, New York 11003
  176.  
  177. EAGLSCAN IS NOT Shareware, nor is it in the public domain. The
  178. authors have consented to supply anyone who reads Virus-L with
  179. a copy free of charge (except for postage which you must supply).
  180.  
  181. That is about it for now. As far as I am concerned we have found
  182. everything we need to know. EAGLE.EXE contains both a virus and
  183. a very nasty trojan horse if the conditions are right!
  184.  
  185. For whatever it is worth, my opinion is that you should send for
  186. a copy of EAGLSCAN. It does not cost you anything except for postage
  187. and it might come in handy!
  188.  
  189. ------------------------------
  190.  
  191. Date:    20 Nov 89 15:09:00 -0800
  192. From:    harvard!applelink.apple.com!D1660%GARP.MIT.EDU@vma.cc.cmu.edu
  193. Subject: No Virus Found (Mac)
  194.  
  195. To put everyone's mind at ease:
  196.  
  197. In Virus-L Digest #242 Tom Southall of American University asks help
  198. with an apparent virus problem. I was able to go down to American
  199. University today and take a look at the Macs there. I could find no
  200. evidence of any viral activity.  What I did find was some things put
  201. onto the systems by students and set to be invisible. These definitely
  202. accounted for the changing system file size, and perhaps for the other
  203. problems experienced there.
  204.  
  205. Paul Cozza
  206.  
  207. ------------------------------
  208.  
  209. Date:    21 Nov 89 14:16:38 -0400
  210. From:    <pangkm@ievmis.ie.ac.sg>
  211. Subject: Most common virus (PC)
  212.  
  213. Can we know which type of VIRUS is most common on the Personal Computer ?
  214.  
  215. Thank in advance
  216.  
  217. ------------------------------
  218.  
  219. Date:    Tue, 21 Nov 89 06:02:39 -0500
  220. From:    <ry15@dkauni11.bitnet>
  221. Subject: More on VACSINA (PC)
  222.  
  223. Hi,
  224.   we just completed our virus catalog entry for the VACSINA virus and
  225. checked with some friends. One of them: David M. Chess pointed out
  226. that we overlooked a fact. Well it is a very important fact: VACSINA
  227. contains an update facility.  The last 4 bytes of an infected file
  228. contain F4 7A 05 00. The F4 7A is the VACSINA id and 05 00 is the
  229. version number ( lo byte first ) so we have version 0005 of VACSINA.
  230. If the virus finds anything less than 0005 it will reconstruct the
  231. original file and then it will infect with the new version of VACSINA.
  232. Now we understand why the author left so much space in the head of the
  233. virus. Also the 3 byte used for the 'VACSINA-TSR is in memory' flag
  234. contain a 05 so future versions of VACSINA will know if an older
  235. version of VACSINA installed its TSR.
  236. If anybody has virus infected files that show F4 7A 06 00 or higher
  237. please post a note.
  238. Thanks to David again!
  239. Chris
  240. *****************************************************************
  241. * Torsten Boerstler and Christoph Fischer and Rainer Stober     *
  242. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
  243. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
  244. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
  245. *****************************************************************
  246.  
  247. ------------------------------
  248.  
  249. End of VIRUS-L Digest
  250. *********************
  251. Downloaded From P-80 International Information Systems 304-744-2253
  252.