home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.253

< prev

next >

Wrap

Text File  |  1995-01-03  |  21KB  |  502 lines

---

1. VIRUS-L Digest   Tuesday,  5 Dec 1989    Volume 2 : Issue 253
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. New papers on IBMPC viruses
17. Viruses on Demos and diagnostics
18. Request for Submissions
19. Re: Linkable virus modules
20. The Norton "virus"
21. Re: Virus attack [AMIGA]
22. Re: Viruses and Anti-Semitism...
23. Yale virus (PC)
24. Jerusalem-B (PC)
25. Preventing the "Ping Pong" virus (PC)
26. Re: JUDE Virus (Mac)
27. Morris Trial Postponed
28.  
29. ---------------------------------------------------------------------------
30.  
31. Date:    Mon, 04 Dec 89 14:45:21 -0600
32. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
33. Subject: New papers on IBMPC viruses
34.  
35. Two papers have been added to the anti-viral archives.
36.  
37. solomon.lst     List & description of less common viruses
38. msdosvir.a89    Virus catalog, with extensive information
39.  
40. solomon.lst
41.         A description of some of the more recent and obscure viruses
42.         by Dr. Alan Solomon.  The viruses described include:
43.                 Ogre
44.                 Typo
45.                 Dark Avenger
46.                 Vacsina
47.                 Mix1
48.                 Fumble
49.                 Dbase
50.         For each virus covered, the following topics are discussed.
51.                 Recognition and detection
52.                 How the virus copies itself
53.                 What the virus does
54.                 How to get rid of it
55.                 Other information
56.                 Technical details
57.         This information is extracted from the documentation for
58.         an anti-viral package, and was sent by the author.
59.  
60. msdosvir.a89
61.         The autumn '89 issue of Dr. Klaus Brunnstein's virus catalog
62.         for MSDOS computers.  Viruses covered in this are:
63.                 Autumn Leaves = Herbst = "1704" = Cascade A Virus
64.                 "1701" = Cascade B Virus
65.                 Bouncing Ball = Italian = Ping Pong = Turin Virus
66.                 "Friday 13th" = South African Virus
67.                 GhostBalls Virus
68.                 Icelandic#1 = Disk Crunching = One-in-Ten Virus
69.                 Icelandic#2 Virus
70.                 Israeli = Jerusalem A Virus
71.                 MachoSoft Virus
72.                 Merritt = Alameda A = Yale Virus
73.                 Oropax = Music Virus
74.                 Saratoga Virus
75.                 SHOE-B v9.0 Virus
76.                 VACSINA Virus
77.                 Vienna = Austrian = "648" Virus
78.         A typical entry would have the following sections and
79.         subsections:
80.                 ==== Computer Virus Catalog 1.2: ====
81.                 Entry, Alias(es), Virus Strain, Virus detected when,
82.                 where, Classification, Length of Virus
83.                 ---- Preconditions ----
84.                 Operating System(s), Version/Release, Computer model(s)
85.                 ---- Attributes ----
86.                 Easy Identification, Type of infection, Infection Trigger,
87.                 Interrupts hooked, Damage, Damage Trigger, Particularities,
88.                 Countermeasures, Countermeasures successful, Standard means
89.                 ---- Acknowledgement ----
90.                 Location, Classification by, Documentation by, Date
91.                 ==== End of Virus ====
92.         An update scheduled for the beginning of the year should
93.         almost double the number of viruses cataloged.
94.  
95. Jim
96.  
97.  
98. ------------------------------
99.  
100. Date:    Fri, 01 Dec 89 14:45:00 -0500
101. From:    Peter W. Day <OSPWD@EMUVM1.BITNET>
102. Subject: Viruses on Demos and diagnostics
103.  
104. Communications Week 11/27/89 p.25 quotes John McAfee to the effect
105. that most virus infections in the corporate world are caused by
106. infected demonstration software and diagnostic software sent by
107. software developers, distributors and other vendors to their
108. customers.
109.  
110. ------------------------------
111.  
112. Date:    Sun, 03 Dec 00 19:89:13 +0000
113. From:    greenber@utoday.UU.NET (Ross M. Greenberg)
114. Subject: Request for Submissions
115.  
116. (In addition to contacting Ed Wilding, you may also contact me: I'm an
117. editorial board member.. Ross M. Greenberg, greenber@utoday.uu.net)
118.  
119. - -------- Call For Papers and Submissions for Virus Bulletin------
120.  
121.          Anyone wishing to write on any of these topics,  or  wishing
122.          to  receive the Virus Bulletin notes for contributors should
123.          contact Edward Wilding, Editor, Virus  Bulletin,  Haddenham,
124.          Aylesbury  HP17  8JD, UK.  Tel.  0844 290396., Tel Int.  +44
125.          844 290396., Fax 0844 291409,.  Fax Int.  +44 844 291409.
126.  
127.          For  circulation  to  Virus Bulletin Editorial Board and all
128.          interested parties.
129.  
130.                Virus Bulletin copy submission deadlines 89/90.
131.  
132.          Issue 1.6   December 1989   Friday 1st December 1989
133.          Issue 1.7   January 1990    Friday 22nd December 1989
134.          Issue 1.8   February 1990   Friday 19th January 1990
135.          Issue 1.9   March 1990      Friday 23rd February 1990
136.          Issue 1.9   April 1990      Friday 23rd March 1990
137.          Issue 1.10  May 1990        Friday 20th April 1990
138.  
139.          (Please note that the copy deadline for Issue  1.7  (January
140.          1990) is before the Christmas recess).
141.  
142.  
143.                              Forthcoming Subjects
144.  
145.          The  following is a list of possible articles in forthcoming
146.          editions.  These are only suggestions and  I  welcome  other
147.          ideas or more extended examination than listed.
148.  
149.          1.   Should  we  trust  public  domain  anti-virus software?
150.          There are many arguments both for and against public  domain
151.          anti-virus software - this article should attempt to outline
152.          its  pros  and  cons  and  provide   some   guidelines   for
153.          prospective users.
154.  
155.          2.   Practical  steps  for  non  experts  in  dealing with a
156.          network  computer  virus  attack.   What  should   be   done
157.          immediately by systems administration in the face of such an
158.          attack?
159.  
160.          3.  Procedural steps to preventing computer virus infection.
161.          A  checklist  of procedures and rules which if observed will
162.          minimise the risk of a virus attack.
163.  
164.          4.   Anti-virus   software   evaluation   in   a   corporate
165.          environment.    By   which   criteria   do  large  corporate
166.          microcomputer using organisations judge such  software.   Is
167.          there consensus on this point?
168.  
169.          5.   How  do  you  test  the  value of an anti-virus package
170.          without having access to computer viruses?
171.  
172.          6.  'Lab'  viruses  versus  'real  world'  viruses.   Is  it
173.          necessary  for  researchers to create viruses?  What are the
174.          benefits and does experimentation present any dangers?
175.  
176.          7.  Towards a common terminology  and  nomenclature.   1701,
177.          Fall, Cascade, Hailstorm, 1704 - how do we overcome the fact
178.          that there is no agreement  or  consensus  about  naming  or
179.          classifying  viruses?  Why is this?  Equally, can we develop
180.          an agreed glossary of terms about the  types  of  virus  and
181.          their methods of infection?
182.  
183.          8.   Does  commercial  interest  on  the  part of the 'virus
184.          industry' worldwide inhibit the anti-virus war?
185.  
186.          9.  Case studies.  I should very much like to  recieve  good
187.          case  studies  which  detail  an  actual  virus  attack, its
188.          impact, and the methods used to clear  the  infected  system
189.          and  restore  operations.   Specifics about the organisation
190.          need not be stated but a clear description of  the  affected
191.          computer environment is necessary.
192.  
193.          10.   Worm  programs.   Classifying  network vulnerabilities
194.          and/or analysis of recent worm programs such as Internet  or
195.          the  two  well  known  NASA  SPAN  attacks.   Are  there any
196.          universal procedures or  methods  to  prevent  such  attacks
197.          and/or control them?
198.  
199.          11.   Statistics  about  virus  attacks.   Will  it  ever be
200.          possible to collate accurate data about the  propagation  of
201.          computer viruses?  Refusal to report incidents means that at
202.          best we can only guess about the spread of specific viruses.
203.          Can we tell how fast a virus will spread by its design?
204.  
205.          12.   Mainframe  viruses/ replicative attack programs.  Fact
206.          or fantasy?  Specific  incidents  would  be  helpful.   What
207.          factors  have  served  to suppress mainframe virus writing /
208.          propagation  /  reports?   Patches  (to   increase   general
209.          security) for specific machines would be welcome.
210.  
211.          13.   Forensic  evidence.   Most countries have no effective
212.          legislation to combat computer  misuse.   Even  if  laws  to
213.          criminalise  virus  creation  are  introduced  (such as that
214.          recommended by the Law Commission, UK, or implemented by the
215.          state  of  California, USA) the courts will face a difficult
216.          task in prosecuting.  Are  methods  available  to  trace  or
217.          identify  computer  virus  writers?   Would this evidence be
218.          sufficient to convict in a court of law?
219.  
220.  
221. - ---
222.          Virus dissections  (the  analysis  of  a  specific  computer
223.          virus)  are  always  welcome.   These should not exceed 2200
224.          words.   Also  details  for  programmers   providing   virus
225.          hexadecimal  patterns,  infective  length,  entry  point and
226.          offset.
227.  
228. ------------------------------
229.  
230. Date:    04 Dec 89 04:17:15 +0000
231. From:    munnari!cavs.syd.dwt.oz.au!johng@uunet.UU.NET (John Gardner)
232. Subject: Re: Linkable virus modules
233.  
234. IA96@PACE.BITNET (IA96000) writes:
235. >1) A new or existing virus is developed and produced as a linkable
236. >   object file.
237. >
238. >2) Said object file is then either directly linked into an executable
239. >   file at link time, or placed in a run-time library.
240.  
241. There is a virus on the amiga that looks for an executable that is in the
242. startup batch file and moves the executable`s code into a data segment and
243. inserts itself into the code segment.  If it can't find the startup file
244. it then inserts itself into the dir command.  It is easy to spot as one
245. of your commands changes size, and you just have to delete that command to
246. kill it.
247.  
248. - --
249. PHONE          : (02) 436 3438
250. ACSnet         : johng@cavs.dwt.oz
251.  
252. "But that wasn't the question !" - Do Androids Dream Of Electric Sheep
253.  
254. ------------------------------
255.  
256. Date:    Sat, 02 Dec 89 23:44:00 -0500
257. From:    <ACSCS@SEMASSU.BITNET>
258. Subject: The Norton "virus"
259.  
260. Has anyone that has seen this NORTSHOT.ZIP know if the
261. McCafee SCANRES or EXERUN will detect it if you run the
262. obnoxious file.  I have heard that the file doesn't bother
263. anything unless you explicitly execute it and that SCANV
264. doesn't detect it.  Maybe these will find it if it is
265. executed? [Kids, don't try this at home!!]
266.  
267. Chris
268. ACSCS@SEMASSU
269. Business Info. Systems Major
270. Southeastern Massachusetts University
271. N.Dartmouth, MA 02747
272.  
273. ------------------------------
274.  
275. Date:    Tue, 05 Dec 89 13:59:28 +0000
276. From:    rwallace@vax1.tcd.ie
277. Subject: Re: Virus attack [AMIGA]
278.  
279. armhold@topaz.rutgers.edu (George Armhold) writes:
280. > My question is, could this virus (Byte Bandit) have been responsible
281. > for the problems we had printing?  We had the right printer driver,
282. > and the preferences settings all seemed OK but it just would not print
283. > properly.  It changed type style randomly, stopped printing half way
284. > through a job, and wouldn't abide to margin settings.  I've never had
285. > this type of problem before with Scribble!, which leads me to believe
286. > that the virus might have had something to do with it. I know that
287. > virii on the Mac tend to affect printing.  Has anyone else experienced
288. > this situation?
289.  
290. I've never heard of Byte Bandit affecting printing, but you generally
291. can't predict what a virus will do on someone else's system. There are
292. too many variables and virus code is generally too badly written. The
293. only answer is, if the problems show up with the virus in memory and
294. not without it then the virus caused them.
295.  
296. "To summarize the summary of the summary: people are a problem"
297. Russell Wallace, Trinity College, Dublin
298. VMS:  rwallace@vax1.tcd.ie
299. UNIX: rwallace@unix1.tcd.ie
300.  
301. ------------------------------
302.  
303. Date:    05 Dec 89 07:51:49 +0000
304. From:    boulder!boulder!johnsonr@ncar.UCAR.EDU (JOHNSON RICHARD J)
305. Subject: Re: Viruses and Anti-Semitism...
306.  
307. dmg@lid.mitre.org (David Gursky) writes:
308. >I could not help but notice that the lastest version of nVIR adds new
309. >resources called "JUDE".  ...  Jude is
310. >German for "Jew".  Call me paranoid, but could there be some
311. >connection?
312. >My personal suspicion is that this clone was created by some
313. >anti-semitic group in Germany...
314.  
315. Well, my personal opinion is that someone used a random name generator
316. to pick a four character resource type.  Then again, it could be a
317. virus from the depths of the USSR's intelligence community, released
318. to sow dissension among groups in W. Europe and distract them from the
319. momentous events in E. Europe.  What use is speculation, though?
320.  
321. When someone catches the "author" of this latest nVIR clone, I think
322. the first question he or she will be asked by the tabloid reporters
323. is, "Was the virus a feeble attempt at an anti-semitic statement?"
324. Until then, I'll stick to the random name "theory."
325.  
326. | Richard Johnson                           johnsonr@spot.colorado.edu |
327. |    CSC doesn't necessarily share my opinions, but is welcome to.     |
328. |  Power Tower...Dual Keel...Phase One...Allison/bertha/Colleen...?... |
329. |   Space Station Freedom is Dead.  Long Live Space Station Freedom!   |
330.  
331. ------------------------------
332.  
333. Date:    Fri, 01 Dec 89 16:17:37 -0500
334. From:    Naama Zahavi-Ely <ELINZE@YALEVM.BITNET>
335. Subject: Yale virus (PC)
336.  
337. Hello!
338.  
339. The Yale/Alameda virus is essentially harmless.  The message you
340. report was not present in the version of the virus that I am familiar
341. with; are you sure it comes from the virus and not from some line in
342. the autoexec.bat file?  If it does come from the virus, then you are
343. dealing with a different version than the one I know and you should
344. take my information with a grain of salt.
345.  
346. The Yale virus that I know is a boot sector virus.  It is easy to get
347. rid of -- boot the computer from a clean, write-protected floppy and
348. give the command SYS x:, with x: being the drive holding the infected
349. disk.  The Yale virus that I know does not infect hard disks.
350.  
351. I hope this helps!  Best wishes,
352. - -Naama
353.  
354. ------------------------------
355.  
356. Date:    Mon, 04 Dec 89 10:37:00 -0500
357. From:    TTHOMAS@ccmail.sunysb.edu
358. Subject: Jerusalem-B (PC)
359.  
360.   At S.U.N.Y, Stony Brook, two of our computer labs (about 30 PS/2 50
361. and PC/XT machines) have been hit by the Jerusalem-B virus.  We have
362. used B.R.M's UNVIRUS, and IMMUNE programs to successfully combat it so
363. far.
364.  
365.   Could someone please send me a detailed description of what exactly
366. this critter does.  Thanks in advance.
367.  
368. =================================================================
369. THOMAS B. THOMAS
370. Micro Systems/Analyst
371. Instructional Computing            BITNET: TTHOMAS@SBCCMAIL
372. Computing Center            INTERNET: TTHOMAS@CCMAIL.SUNYSB.EDU
373. State Univ. of New York            VOICE: (516) 632-8031
374. Stony Brook, NY 11794-2400
375.  
376. ------------------------------
377.  
378. Date:    Mon, 04 Dec 89 10:42:00 -0600
379. From:    "Roger Safian, VAX Systems Group" <ROGER@nuacc.acns.nwu.edu>
380. Subject: Preventing the "Ping Pong" virus (PC)
381.  
382. Greetings,
383.  
384.     We seem to have an outbreak of the "Ping Pong" virus here at
385. Northwestern University.  I am wondering if there is some sort of
386. anti-ping-pong utility out there.  Is there such a thing that would
387. allow writes to a disk, but only if it is not to the boot blocks?
388. What is the best way to combat this beast.  I think we have version B
389. here, as it infects floppies as well as hard disks.
390.  
391.     On a related subject, what is the latest version of viruscan?
392.  
393.                                         Thanks in advance
394.                                            Roger Safian
395.  
396. ------------------------------
397.  
398. Date:    04 Dec 89 21:09:00 +0100
399. From:    muellerm@inf.ethz.ch
400. Subject: Re: JUDE Virus (Mac)
401.  
402. Yes the "Jude" virus is for real. However, so far it only has shown up
403. at the University of Zurich and Swiss Federal Institute of Technology
404. (ETH) Zurich, Switzerland. It is an exact clone of nVIR type B; the
405. only difference being the name of the viral resource which has changed
406. form "nVIR" to "Jude".
407.  
408. VirusDetective 3.1 positively identifies the new virus as nVIR strain.
409. Both Vaccine and GateKeeper successfully prevent an infection.
410. GateKeeper will, however, let through some of the "Jude" resources,
411. but no contagious infection results.
412.  
413. New versions of Disinfectant (version 1.3) and other anti-viral tools
414. should be out real soon.
415.  
416.    Markus Mueller
417.    Institut fuer technische Informatik und Kommunikationsnetze
418.    Eidgenoessische Technische Hochschule
419.    CH-8092 Zurich
420.    Switzerland
421.  
422.    Switch : muellerm@inf.ethz.ch
423.    ARPA   : muellerm%inf.ethz.ch@relay.cs.net
424.    UUCP   : muellerm%inf.ethz.ch@cernvax.uucp
425.    X.400  : G=markus;S=mueller;OU=inf;O=ethz;P=ethz;A=arcom;C=ch
426.  
427. ------------------------------
428.  
429. Date:    Tue, 05 Dec 89 11:23:25 -0500
430. From:    Kenneth R. van Wyk <krvw@SEI.CMU.EDU>
431. Subject: Morris Trial Postponed
432.  
433. [Ed. Thanks for typing this article in, Tom!]
434.  
435. Quoted from COMPUTERWORLD - December 4, 1989 - page 17
436.  
437.      `Morris seeks classified data' by Michael Alexander, CW Staff
438.  
439. SYRACUSE, N.Y. -- The trial of Robert T. Morris Jr., the young hacker
440. alleged to have launched a worm into the Internet last year, was
441. postponed last week after his lawyer notified the court that he needs
442. access to classified information he claimed is critical to the case.
443.  
444.     Additionally, Morris' lawyer, Thomas Guidoboni, charged that the
445. government had not responded quickly enough to requests for a list of
446. computer sites allegedly struck by the worm.
447.  
448.     "The trial was postponed at my request over government opposition
449. because we needed more time to prepare," Guidoboni said.
450.  
451.     In a motion filed Nov. 21 for a continuance, Guidoboni said that
452. the defense had filed for a motion under the Classified Information
453. Procedures Act (CIPA) requesting classified information important to
454. the case.  In the same motion, Guidoboni said the government had
455. failed to provide him with a complete list of the institutions that
456. the government intended to prove had been affected by the worm and a
457. list of witnesses it intended to call.
458.  
459.     "I have been told that some of the information that is useful to
460. my case is classified," Guidoboni said.  "It may or may not be.  I
461. don't want to overplay it or belittle it, but we needed some time to
462. get that worked out.
463.  
464.     "Less than two weeks before the trial [on Nov. 20], the government
465. added new names to the list that were not mentioned in the indictment
466. as well as filed a motion to withdraw one of the original names
467. mentioned," Guidoboni said.  "I wanted time to look into that."
468.  
469.     In opposition to the motion for a continuance, government lawyers
470. said that the national security issues raised in the CIPA motion were
471. being resolved and would have no effect on the defense's ability to
472. proceed or on the timing of the trial.
473.  
474.     Responding to the issue of not having responded in a timely manner
475. to the defense's requests for a list of victims or witnesses it
476. intended to call, "the government has complied with all court orders
477. to provide discovery," said Mark Rasch, trial attorney for the Justice
478. Department.  In addition, the defense has had ample opportunity to
479. request and receive additional information related to the case, he
480. said.
481.  
482.     The government is seeking in a motion to remove the U.S. Air Force
483. Logistics Command at Wright Patterson Air Force Base in Dayton Ohio,
484. from a list of four sites mentioned in the jury indictment as having
485. been allegedly hit by the worm.
486.  
487.     Rasch declined to comment on why the government wishes to remove
488. this particular site from its list of victims, while adding that it
489. intended to offer evidence on 16 sites in all.
490.  
491.     Guidoboni filed an objection to that motion last week, and a
492. decision is pending.
493.  
494.     Last week, U.S. District Judge Howard Munson agreed to continue
495. the case to the week of Jan. 8.  A new trial date has not been set.
496.  
497. ------------------------------
498.  
499. End of VIRUS-L Digest
500. *********************
501. Downloaded From P-80 International Information Systems 304-744-2253
502.