home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.249

< prev

next >

Wrap

Text File  |  1995-01-03  |  30KB  |  696 lines

---

1. VIRUS-L Digest   Tuesday, 28 Nov 1989    Volume 2 : Issue 249
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Re: Sophisticated Viruses (Mac)
17. seeking Gatekeeper (Mac)
18. 'Tis the season
19. 2600 VAX Virus (VMS) ?
20. Re: 80386 and viruses (PC & UNIX)
21. Re: Potential Virus? (Mac)
22. More on Signature Progs
23. More on the DIR.EXEC problem
24. EAGLE.EXE Trojan (PC)
25. Possible DIR EXEC Remedy (VM/CMS)
26. Questioning Netscan (PC - Novell)
27. Re: DIR EXEC (VM/CMS)
28. DIR EXEC revisited... (VM/CMS)
29. Linkable virus modules
30. stoned virus in partition table
31. Traceback (PC)
32. Re: Where did they come from ? (PC)
33. Re: Non-executable viruses
34. Eddie ? (PC)
35.  
36. ---------------------------------------------------------------------------
37.  
38. Date:    Sun, 26 Nov 89 17:03:22 +0100
39. From:    christer@cs.umu.se
40. Subject: Re: Sophisticated Viruses (Mac)
41.  
42. chrisj@cs.utexas.edu (Chris Johnson) writes:
43.  
44. >There would be crashes because it's very common for software that
45. >patches traps to have interdependencies between its patches, i.e. one
46. >patch depends on data discovered and stored for later use by another
47. >patch.  Removing only a portion of such patches will be likely to kill
48. >the machine sooner or later.
49. > . . .
50. >Further, restoring traps to their original values is going to remove
51. >all of the patches put in place by the System itself - the patches
52. >that keep that machine running inspite of bugs in the ROMs, etc.
53. >Also, whole portions of the OS and Toolbox will be removed by
54. >restoring traps to their initial values (as taken from the ROM) - this
55. >will kill the machine for sure.
56. > . . .
57.  
58. So what if I remove system patches? You seem to think that I need to
59. call every little routine in ROM to do my dirty stuff. What I need is
60. say, ChangedResource, WriteResource and perhaps AddResource. What do
61. these traps have to do with OS traps? How many system patches are
62. there for these traps?  Do you *really* think that the ROM is truly
63. and utterly worthless without the system patches? Do you think they
64. wrote routines that didn't work at all and then patched them into
65. working? Why would I care if there is some small and obscure bug in
66. the ROM that could make my virus crash with prob. .000001%, after all
67. that is probably the whole idea with the virus after all!!
68.  
69. I don't claim that the ROM is bug free, but your indirect claim that
70. every trap is buggy is pretty heavy. (I got that from the "fact" that
71. everything will kill the machine "for sure", in case you wonder).
72.  
73. > . . .
74. >Writing well behaved patches is a black art on the best of days -
75. >writing the sort of un-patching patches discussed here would make that
76. >"black art" look like a carefree romp in the sunlit countryside.  I
77. >don't think such patches could be implemented safely, and I don't
78. >think anyone clever enough to do so would be wasting his time working
79. >on viruses in the first place.
80.  
81. This proves you've missed the point entirely. We're not talking about well
82. behaved viruses here. And just because you think no one would write one isn't
83. exactly proof that no one will...
84.  
85. >All in all, I don't think the techniques dealt with in this discussion
86. >are significant simply because there are too many reliability and
87. >compatibility problems intrinsically linked to them.
88.  
89. I do think they are significant though. The whole point with my post in the
90. first place was to make people realize that a virus could bypass the
91. protective fences of all anti-viral programs (including Gatekeeper) pretty
92. easily (theoretically anyway). What if a virus changed the resource map
93. directly without going through the ROM at all? We can't just rely on the
94. trivial and obvious protection that Gatekeeper et al. provies. What we need
95. is sophisticated protection schemes, and unless there's no discussion of
96. potential viruses we might never come up with these schemes in time.
97.  
98. >- ----Chris (Johnson)
99.  
100. /Christer
101.  
102. | Christer Ericson                            Internet: christer@cs.umu.se |
103. | Department of Computer Science, University of Umea, S-90187 UMEA, Sweden |
104. | "Track 0 sector 0 must *always* load into page 8!" -Krakowicz' first law |
105.  
106. ------------------------------
107.  
108. Date:    Sun, 26 Nov 89 03:05:08 -0700
109. From:    Ben Goren <AUBXG@ASUACAD.BITNET>
110. Subject: seeking Gatekeeper (Mac)
111.  
112. What's the easiest way to get a copy of Gatekeeper?  I haven't seen
113. any copies floating around campus here at Arizona State University.
114.  
115. Ben Goren
116. Bitnet:  AUBXG@ASUACAD
117.  
118. ------------------------------
119.  
120. Date:    Mon, 27 Nov 89 08:36:29 -0500
121. From:    Kenneth R. van Wyk <krvw@SEI.CMU.EDU>
122. Subject: 'Tis the season (yes 'tis)
123.  
124. This just heard on a local Pittsburgh radio station:
125.  
126. A company is selling a product called 'Safe Disks' (or some such)
127. which is a floppy disk condom.  The company is marketing it as a gag
128. gift for the holiday season.
129.  
130. Heavy sigh...
131.  
132. Ken
133.  
134. ------------------------------
135.  
136. Date:    Mon, 27 Nov 89 14:56:52 +0000
137. From:    ZDEE699@ELM.CC.KCL.AC.UK
138. Subject: 2600 VAX Virus (VMS) ?
139.  
140. I have just read "The complete Computer Virus Handbook" (issue 1)
141. written by David Frost.
142.  
143. In it, is described a virus called 2600 VAX virus. Basically a
144. programm which replicates itself and sends job requests to the batch
145. queue, which is a list of jobs awaiting execution. The so-called
146. "virus" caused the queue to overflow...
147.  
148. This was reported in a 1986 edition of the magazine 2600, a hacker
149. journal.
150.  
151. Well, to me it looks just like a recursive batch program. A two-liner.
152. We've often had students at our site writing this simple piece of
153. code, and submitting it to the queue. It surely wastes a lot of paper
154. (when printing the log files of the program), especially if run at
155. night, with no operator finding-out that the whole stack of paper
156. feeding the printer will be printed with garbage !
157.  
158. But does this simple piece of code really need to be mentioned in a
159. "Virus handbook" ? Did the next issues of this manual still mention
160. this ?
161.  
162. Olivier Crepin-Leblond, Computer Systems & Electronics,
163. Electrical & Electronic Eng., King's College London, UK.
164.  
165. ------------------------------
166.  
167. Date:    27 Nov 89 19:55:29 +0000
168. From:    kelly@uts.amdahl.com (Kelly Goen)
169. Subject: Re: 80386 and viruses (PC & UNIX)
170.  
171. Actually DOS/MERGE or VPIX is a somewhat cheap way to explore and test
172. viruses compared with the cost of some other environments that are
173. supposedly virus proof ... and you get unix to run along with
174. it!!!what a deal!! actually however you do have to make sure you leave
175. the permissions pretty much as distributed as peter has pointed out...
176. if dos programs are allowed to read and write normally(i.e. DOS) then
177. com and exe infectors can still infect...  int 13 and other
178. skul-duggery will be disallowed by the dos under *nix environment (you
179. wont get much in the way of system damage but you can look at the damn
180. things somewhat safely...I have done some experiments as to the
181. various possibilities for propagation and they do seem to be minimal
182. in this environment for general viruses(that does not preclude viruses
183. written to attack through 386 protected mode anomalys or COFF/*nix
184. based viruses....(and no I dont want to start a flame war about
185. whether those are possible or not...I am not speaking theoretically
186. here...))
187.     As to the environment its GREAT!!
188.      cheers
189.      kelly
190.                                     Kelly Goen
191.                                     CSS Inc.
192.  
193. DISCLAIMER: I Dont represent Amdahl Corp or Onsite consulting. Any
194. statements ,opinions or additional data are solely my opinion and mine
195. alone...
196.  
197. ------------------------------
198.  
199. Date:    27 Nov 89 16:47:56 +0000
200. From:    oxtrap.oxtrap!time@uunet.UU.NET (Tim Endres)
201. Subject: Re: Potential Virus? (Mac)
202.  
203. joel_glickman@MTS.RPI.EDU writes:
204.  
205.    My question is: Should these programs modify themselves when I just
206.    run them.  All I do is run them and quit immediately and they are
207.    modified??? Do you think I have a virus problem???
208.  
209.    Joel Glickman
210.    Rensselaer Polytechnic Institute.
211.  
212. Many Macintosh programs modify their resource forks!
213. All of mine do. If the program saves any "state" for you it is most
214. likely storing the data in the RF. Rest easy. For now.
215.  
216. ------------------------------
217.  
218. Date:    27 Nov 89 16:48:40 -0500
219. From:    Bob Bosen <71435.1777@CompuServe.COM>
220. Subject: More on Signature Progs
221.  
222. My epistle of several days ago regarding ANSI and ISO Message
223. Authentication Code (digital signature) standards generated quite a
224. few follow-up responses and other questions. Several people asked me
225. about my internet address. Most of you guessed correctly. I can get to
226. internet either via NCSC's "dockmaster" or through CompuServe.
227. Although CompuServe is more expensive, it is a lot more convenient for
228. me because I've got a "user-friendly" application for my PC that
229. automates most of my interaction with CompuServe.
230.  
231. What this means to internet users is that you can send electronic mail
232. to and receive mail from CompuServe subscribers IF both of the
233. following conditions are true:
234.  
235. 1- You must know the CompuServe account (subscriber) number
236.  
237. 2- The CompuServe subscriber must actively access CompuServe and
238. send/receive mail.
239.  
240. CompuServe subscriber numbers generally look a lot like mine
241. (71435,1777) and consist of two numeric fields separated by a comma.
242. In order to convert a CompuServe subscriber number into an internet
243. address, replace the comma with a period, and append the suffix
244. "@COMPUSERVE.COM". Thus, when addressing me through CompuServe, my
245. internet address is:
246.  
247. 71435.1777@COMPUSERVE.COM
248.  
249. A lot of other people sent me mail requesting ways to get hold of the
250. ANSI and ISO standards I referenced.
251.  
252. Copies of ANSI standard X9.9 can be obtained by sending $2.00 to:
253.  
254. ANSI X9 Secretariat
255.  
256. I am less familiar with ISO than with ANSI. I got my copy of ISO
257. 8731-2 from ANSI because I am a member of the X9E9 working group. But
258. I believe you can get a copy of ISO standard 8731-2 by writing to:
259.  
260. Steve Wornick commented on the value of sophisticated,
261. cryptographically based signature programs as follows:
262.  
263. >  Bob Bosen brings up some interesting points, asking why programmers
264. >  writing authentification (sic) programs are utilizing CRC and
265. >  checksum algorithms rather than more sophisticated algorithms like
266. >  ANSI X9.9, ISO 8731-2, or DES. I think it depends on what you are
267. >  trying to do. If your plan is to encrypt your program and rely on
268. >  difficulties in decryption for protection against infection,
269. >  then it probably makes sense to use something very sophisticated,
270. >  because you want to make certain that no one but yourself can do
271. >  the decryption....  On the other hand, if you are not encrypting
272. >  your program but are simply trying to generate a number.... for
273. >  authentification (sic) purposes, I don't see that it is necessary
274. >  to use anything more sophisticated than a polynomial. If the virus
275. >  doesn't know your polynomial, then it's chances of guessing a
276. >  sequence of characters with which to "pad" your program file in
277. >  order to generate the same CRC value as the original unaltered
278. >  program is quite small. Of course, everyone ought to be using a
279. >  slightly different algorithm (i.e. different polynomials) and
280. >  ought to be hiding the authentication algorithm.
281.  
282. Industry-standard authentication algorithms such as X9.9 (DES based)
283. and ISO 8731-2 are NOT intended to encrypt files. They produce a short
284. "digest" or signature of information (in this case a program file).
285. Steve's suggestion that CRC algorithms can be sophisticated enough to
286. make guessing virtually impossible (if the algorithm itself is hidden)
287. MAY or MAY NOT be true. The risk that this assumption MAY NOT be true
288. is fairly high, especially if programmers rely on their own resources
289. on how to write a bunch of different yet "good" CRC algorithms. This
290. is even more true if the test is "on-line", because on-line
291. authentication implies on-line presence of the authentication
292. algorithm, where a sophisticated virus could determine the CRC
293. algorithm and/or associated initialization vectors (keys).
294.  
295. Today, in late 1989, Steve can make and defend the position that CRC
296. algorithms are good enough, especially if programmers are
297. knowledgeable about the security considerations, and if the signature
298. is calculated and verified "off-line" in environments where no virally
299. contaminated programs have a chance of grabbing executional control.
300. But in my opinion, this position is short-sighted. Who can say whether
301. the more sophisticated viruses of the future will attempt to analyze
302. CRC signatures or target specific products that rely on CRC methods?
303. Why not base today's protection on the best available and best
304. documented facts?  The newly emerging science of authentication
305. technology has clearly revealed that it is easier to compromise even
306. sophisticated authentication algorithms than previously thought.
307.  
308. David Paul Hoyt says:
309.  
310. >  Mr. Bosen points to very good documents that will point the serious
311. >  anti-viral minded software developers to an excellent method of
312. >  defending their software.... However, I would like to add a comment.
313. >  Any of these auth-check schemes rely on a small number (1 to n) of
314. >  of programmed checks to see if the software has been corrupted.
315. >  While this will defend against a general-purpose or unsophisticated
316. >  virus, it has little value against a malicious attack against
317. >  your product.
318.  
319. What kind of "malicious attack against your product" are you talking
320. about? Whatever it is, I'm sure the other members of the ANSI
321. standards (X9E9) working group and I would be very interested in
322. learning about it, because if this assertion is true, it could
323. possibly compromise the entire banking wire-funds transfer mechanism
324. that transfers billions of dollars every day. Are you saying you could
325. write or describe a virus that could infect a program but avoid
326. detection by an off-line ANSI X9.9-based message authentication code?
327. I'll acknowledge that this is possible with an on-line ANSI X9.9 MAC,
328. but it would take a lot of blind luck and something on the order of a
329. billion guesses. The consensus among standards organizations has been
330. that this is an acceptable risk in the case of the authentication
331. algorithms that have been studied and standardized.  As I said in my
332. earlier message, in my experience both on-line and off-line checks
333. have advantages and disadvantages, and a sophisticated defense must
334. allow users to pick and choose from all of these techniques according
335. to his needs. A heirarchy of interlocking defenses must be put
336. together, with on-line tests acting as the first line of defense, and
337. with periodic off-line checks. The on-line checks can detect the
338. viruses known today, and the off-line checks verify the integrity of
339. the on-line defenses and also protect against sophisticated future
340. viruses.
341.  
342. Bob Bosen
343. Vice President
344. Enigma Logic Inc.
345.  
346. ------------------------------
347.  
348. Date:    Mon, 27 Nov 89 16:47:00 -0500
349. From:    <GATEH@CONNCOLL.BITNET>
350. Subject: More on the DIR.EXEC problem
351.  
352. Apologies if this info on DIR.EXEC has already been posted (I hadn't seen
353. it before, though).
354.  
355. - --- Forwarded mail from Joachim Lohoff-Werner <C0030006@DBSTU1>
356.  
357. >From GAMES-L@BROWNVM.BITNET Mon Nov 27 16:08:24 1989
358. Sender: Computer Games List <GAMES-L@BROWNVM>
359. From: Joachim Lohoff-Werner <C0030006@DBSTU1.BITNET>
360.  
361. Hello *.*,
362.  
363. I have also received DIR EXEC and looked into it. After reading the
364. NAMES and NETLOG files and shipping multiple copies to the people listed
365. in these files it does something very bad:
366.  
367. The DIR EXEC asks for the system date (QUERY TIME) and erases all files
368. if the system date is greater then 89, i.e. next year.
369.  
370. Please discard all copies of DIR EXEC in your system RDR queue.
371.  
372. Kind regards, amicales salutations, cordiali saluti, shalom u'bracha,
373. freundliche Gruesse          Joachim Lohoff-Werner
374.  
375.  
376. - --- End of forwarded message from Joachim Lohoff-Werner <C0030006@DBSTU1>
377.  
378. ------------------------------
379.  
380. Date:    Mon, 27 Nov 89 12:00:11 -0800
381. From:    <Tim_G_Curry@cup.portal.com>
382. Subject: EAGLE.EXE Trojan (PC)
383.  
384.     The Jerusalem and AIDS viruses reported inside AXE'd files are
385. similar to dozens of other AXE'd viruses reported on Bulletin Boards
386. in the past 5 months.  Viruses discovered compressed in such files
387. have included 1701, 1704, AIDS, Jerusalem (over 20 samples), Vienna,
388. 3066, Alabama, Dark Avenger, Yankee Doodle, Vacsina, Fu Manchu and
389. Datacrime I.  I'm not sure that developing identifiers for these AXE'd
390. files is the appropriate thing to do, since there are a virtually
391. unlimited number of hosts that may be included insidecompressed files.
392. Also, each version of AXE will produce different strings for the same
393. executable target.  So far, files like EAGLE.EXE have been treated as
394. trojans (even though they may contain replicating code) since the
395. compressed file itself cannot replicate.  Any string that identifies
396. the virus in the compressed form will not identify it in the free
397. form, and each virus has an uncountable number of potential compressed
398. identification strings, since each compressed infected host will be
399. different.  A thorny problem if we try to tackle it.  I don't believe
400. we should treat EAGLE any differently than GUNSHIP, BADGIRL or the
401. dozens of other compressed files that contain previously well known
402. viruses.
403. Tim Grant Curry
404. ICVI BBS Co-ordinator
405.  
406. ------------------------------
407.  
408. Date:    Mon, 27 Nov 89 16:18:33 -0500
409. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM.BITNET>
410. Subject: Possible DIR EXEC Remedy (VM/CMS)
411.  
412. I adapted the following EXEC to help, possibly, in slowing the DIR
413. EXEC if it is still a problem.  Please note that I am unaware of any
414. problems with the EXEC, but it has not been what I would call
415. "extensively tested" (about 30 minutes in the making) so please do not
416. be upset at me if it does anything really nasty to some files.  It did
417. not do anything to my files.  (Above should be read "disclaimer".)
418.  
419.  ------------------------Chop Here if you wish--------------------------
420. /*  This EXEC was written by Karen Maloney and modified by Greg     */
421. /*  Gilbert to change any files with the filename of DIR and the    */
422. /*  filetype of EXEC to a new filename and filetype of TROJAN HORSE */
423. /*                                                                  */
424. /*  One can place "EXEC ANTIDIR" (quotes included) in one's         */
425. /*  PROFILE EXEC and have this EXEC executed upon loggin on.        */
426. /*                                                                  */
427. /* ------------------------------------------------------------------
428.   Note: Though we are unaware of any problems with this macro, we don't
429.   guarantee it in any way whatsoever and we assume
430.   no responsibility for any damage you may do with it.  ALWAYS HAVE
431.   BACKUP COPIES OF IMPORTANT FILES!!!!!
432.                                            - Greg Gilbert -
433. - -------------------------------------------------------------------- */
434. /*                                                                   */
435. "EXECIO * CP (STRING Q RDR ALL"
436.  if queued() = 1 then exit
437.  do i = 1 to queued()
438.  pull . spid . . . . . . . fname type .
439.  if fname = "DIR" & type  = "EXEC" then
440.  "CP CHANGE RDR" spid "NAME TROJAN  HORSE"
441. else nop
442. end
443. exit
444.  
445.  ------------------------------And Here---------------------------------
446.  
447. Gregory E. Gilbert
448. Computer Services Division
449. University of South Carolina
450. Columbia, South Carolina   USA   29208
451. (803) 777-6015
452. Acknowledge-To: <C0195@UNIVSCVM>
453.  
454. ------------------------------
455.  
456. Date:    Mon, 27 Nov 89 15:40:00 -0600
457. From:    "David D. Grisham" <DAVE@UNMB.BITNET>
458. Subject: Questioning Netscan (PC - Novell)
459.  
460.         Has anyone bought and implemented the Novell scanning
461. program "netscan"?  We (UNM) are purchasing VIRUSCAN for a
462. few machines, at $15 per this is reasonable.  However, $1000
463. for a site license of NETSCAN is a bit steep.  We won't buy it
464. unless it is working at other institutions with great results.
465. Can you who do, please write me or post?
466.         I'd also like to hear if anyone can suggest a better
467. product.  Thanks in advance.
468. dave
469.  
470.   Dave Grisham, Security Administrator, CIRT      Phone (505) 277-8148
471.   University of New Mexico                        USENET DAVE@hydra.UNM.EDU
472.   Albuquerque, New Mexico  87131                  BITNET DAVE@UNMB
473.  
474. my comment for the day-
475.      It is to bad that the DOS world can't put out a product like
476.      Disinfectant (Damn good and free).  Do all the nice guys
477.      wear Macs?
478.  
479. ------------------------------
480.  
481. Date:    Mon, 27 Nov 89 15:56:31 -0500
482. From:    Arthur Gutowski <AGUTOWS@WAYNEST1.BITNET>
483. Subject: Re: DIR EXEC (VM/CMS)
484.  
485. In Virus-L, v2i248, the following warning was posted:
486.  
487. >>Date:         Sat, 25 Nov 89 19:15:31 EDT
488. >>Sender:       Revised LISTSERV forum <LSTSRV-L@RUTVM1>
489. >>From:         "Juan M. Courcoul" <POSTMAST@TECMTYVM.BITNET>
490. >>Subject:      IMPORTANT WARNING: CHRISTMA workalike on the loose on the links
491. ...
492. >>A dangerous REXX exec named DIR EXEC has been detected on our node, thanks
493. >>to a watchful recipient. This exec purports to be able produce a directory
494. >>listing of the user's disks in a MS/DOS (PC) format.
495. >>
496. >>However, when the exec is run, it will produce the promised listing BUT it
497. >>will also send a copy of itself to all net addresses found in the user's
498. >>NAMES and NETLOG files.
499.  
500. From the cross-posting I got from IBM-MAIN@AKRONVM (IBM Mainframe
501. List), this EXEC also contains a timebomb: if the EXEC is run in 1990,
502. it will erase all A0 and A1 files from your account's A-disk.
503.  
504. I don't know if this thing has spread as fast as the warnings have,
505. but it may be worth the added info.
506.  
507.  Arthur J. Gutowski
508.  Antiviral Group / Tech Support / WSU University Computing Center
509.  5925 Woodward; Detroit MI  48202; PH#: (313) 577-0718
510.  Bitnet: AGUTOWS@WAYNEST1   Internet: AGUTOWS@WAYNEST1.BITNET
511. =====================================================================
512.  Disclaimer:  If VM is Virtual Machine, then I'm not really logged on,
513.               hence, I cannot have sent this message.
514.  
515. ------------------------------
516.  
517. Date:    Mon, 27 Nov 89 18:04:00 -0800
518. From:    Pseudo Dragon <USERQU0M@SFU.BITNET>
519. Subject: DIR EXEC revisited... (VM/CMS)
520.  
521. Apparently, the DIR EXEC everyone has been receiving is rather nasty.
522. Not only does it send itself to everyone in the files NAMES and NETLOG,
523. but also:
524. >The DIR EXEC asks for the system date (QUERY TIME) and erases all files
525. >if the system date is greater then 89, i.e. next year.
526.  
527. The advice given was:
528. >Please discard all copies of DIR EXEC in your system RDR queue.
529. (Quotes from: Joachim Lohoff-Werner)
530.  
531. I'd recommend editing this EXEC so that the spreading and damage part
532. is removed *completely*, make it read-only, and use it.  After all, it
533. *does* perform a useful function!  The only problem lies in getting a
534. bad copy again.  You'd be deleting your own files and starting another
535. outbreak!
536.  
537. So, once you've gotten it, *then* delete any more incoming (*bad*)
538. copies.  Just make @#$% sure your copy isn't going to erase your files
539. in 1990, or spread.
540.  
541. ************ From the desktop computer of Charles Howes, USERQU0M@SFU.BITNET
542. ***** Mind you, I'm not using VMS myself.  These *are* only opinions.
543. ***** Simon Fraser University, Vancouver, BC
544. ***** "Unix is like sex; those who haven't tried it don't know what all the
545. *****  fuss is about; those who have, can't live without it."
546.  
547. ------------------------------
548.  
549. Date:    Mon, 27 Nov 89 20:19:00 -0500
550. From:    IA96000 <IA96@PACE.BITNET>
551. Subject: Linkable virus modules
552.  
553. I have heard of, nor have I ever found any modules which were
554. specifically linked into a program, but I would like some of the
555. experts to comment on the following possibility:
556.  
557. 1) A new or existing virus is developed and produced as a linkable
558.    object file.
559.  
560. 2) Said object file is then either directly linked into an executable
561.    file at link time, or placed in a run-time library.
562.  
563. Is this even a remote possibility? If so, does anyone have any examples
564. or know of any examples where this has been done?
565.  
566. I would really like to gather opinions and comments on this possibility.
567.  
568. ------------------------------
569.  
570. Date:    Tue, 28 Nov 89 06:25:28 +0000
571. From:    Tony Locke <munnari!extro.ucc.su.oz.au!awl@uunet.UU.NET>
572. Subject: stoned virus in partition table
573.  
574. We have the stoned virus in the partition table of one of our hard disks
575. on an IBM-XT clone.
576.  
577. I don't know much about partition tables, but I've tried using
578. Nortons "WIPEDISK C:" and "SF C:" (low-level format program) both to no
579. effect. I've even deleted the DOS partition and re-created it.
580.  
581. Can I "wipe" this partition table and start again or do I need a program
582. to kill it ?
583.  
584. My floppy disk with dos 3.3 is uninfected and write-protected.
585.  
586. Sorry if this is yesterday's news but I'm not a regular reader of this
587. group.
588.  
589. Thanks in advance (email any help direct to me)
590.  
591. Tony Locke
592. Sydney University Computing Centre
593.  
594. ------------------------------
595.  
596. Date:    Mon, 27 Nov 89 20:46:00 -0500
597. From:    IA96000 <IA96@PACE.BITNET>
598. Subject: Traceback (PC)
599.  
600. We recently ran into a problem. A user reported that a hard disk
601. drive in daily use, had only one file on it. The file was named
602. tracebck.com or another spelling of the virus name.
603.  
604. The disk label was @traceback and as mentioned all files were
605. deleted except the one file mentioned. SCAN.EXE identified the
606. Traceback virus as being present in the file.
607.  
608. Anyone recognize this? Unfortunately the user INSISTED that a
609. low level format be done on the disk, and could not wait for
610. someone with some knowledge to get there. The technician did a
611. screen dump of the SCAN.EXE report and then formatted the disk.
612.  
613. Does this sound familiar to anyone? If so, does the low level format
614. get rid of the virus? The files were restored from master disks and
615. as far as we know, the master are not infected.
616.  
617. ------------------------------
618.  
619. Date:    27 Nov 89 21:19:53 +0000
620. From:    paul@csnz.co.nz
621. Subject: Re: Where did they come from ? (PC)
622.  
623. In article <0002.8911212031.AA18181@ge.sei.cmu.edu> frisk@rhi.hi.is (Fridrik Sk
624. ulason) writes:
625. >I am trying to compile a list showing where the various viruses seem
626. >to have originated. Here is what I have got so far, but I am sure the
627. >        Stoned                    New-Zealand/Australia
628.  
629. This virus was written two years ago in Wellington, New Zealand.
630. The author, who has been identified, was a high-school student,
631. who is now at university.  It seems that another individual
632. however was responsible for the spreading of the virus.
633.  
634. Geographical Note: New Zealand is *not* part of Australia.
635.  
636. Paul Gillingwater, Computer Sciences of New Zealand Limited
637. Domain: paul@csnz.co.nz  Bang: uunet!vuwcomp!dsiramd!csnz!paul
638. Call Magic Tower BBS V21/23/22/22bis 24 hrs NZ+64 4 767 326
639. SpringBoard BBS for Greenies! V22/22bis/HST NZ+64 4 896 016
640.  
641. ------------------------------
642.  
643. Date:    28 Nov 89 06:40:01 +0000
644. From:    carroll1!dtroup@uunet.UU.NET (David C. Troup)
645. Subject: Re: Non-executable viruses
646.  
647.  
648. stanton!john@uunet.UU.NET (John Goodman) writes:
649.     [talk about a non-executable virus]
650. >Has anyone here seen such a virus?
651.  
652. Ive been working on several virus (or worms) for the Apple since I
653. read about them back in 86. Since all I had was an Apple IIe, I really
654. had to come up with some weird ideas for implementation for my
655. experiments.
656.  
657. What I came up with (in church one night!) was to use a text file that
658. could be EXEC'd from BASIC (or from the HELLO [startup] program on the
659. boot disk) that would execute the commands in that text file. This
660. text file would write a program to memory, that would go and patch
661. other startup programs with the text file, or a smaller version of it.
662. No assembly used (I was ignarant back then), and all of it was done in
663. BASIC with the EXEC'able text files. The programs were REALY difficult
664. to follow; commands that were writing commands to do DOS functions.
665. But it worked, and I infected an entire BASIC.101 class in 2 days. By
666. having the worms cross checking the copy counter (max==21), they
667. "knew" when they got everyone, and promtly killed themselves without
668. anyone knowing.
669.  
670. We got computers, we're tapping phone lines, I know that that ain't allowed_
671.     _______  _______________    |David C. Troup / Surf Rat_2600 hz__________
672.     _______)(______   |         |dtroup@carroll1.cc.edu : mail______________
673.  _______________________________|414-524-6809(dorm)/7343(work)______________
674.  
675. ------------------------------
676.  
677. Date:    Tue, 28 Nov 89 10:18:56 +0000
678. From:    frisk@rhi.hi.is (Fridrik Skulason)
679. Subject: Eddie ? (PC)
680.  
681. I was wondering about a text string that appears inside the Dark Avenger
682. virus:
683.                 Eddie lives...somewhere in time
684.  
685. Wasn't there a character named Eddie in a horror movie ? If so, did this
686. sentence appear there ?
687.  
688. - -frisk
689.  
690.  
691. ------------------------------
692.  
693. End of VIRUS-L Digest
694. *********************
695. Downloaded From P-80 International Information Systems 304-744-2253
696.