home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.259

< prev

next >

Wrap

Text File  |  1995-01-03  |  16KB  |  386 lines

---

1. VIRUS-L Digest   Wednesday, 13 Dec 1989    Volume 2 : Issue 259
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Preventative measure for DIR exec (VM/CMS)
17. AIDS Disk sent in UK
18. Wdef at UKCC (Mac)
19. re: Poland Viruses/Oropax (PC)
20. Re: Seeking Gatekeeper (Mac)
21. Never say die
22. Major Trojan Warning (PC)
23. Update on AIDS Trojan (PC)
24. Yet Another EAGLE Appears (PC)
25.  
26. ---------------------------------------------------------------------------
27.  
28. Date:    Tue, 12 Dec 89 09:58:06 -0500
29. From:    Lee Miller (Gonzo) <LPM102@PSUVM.PSU.EDU>
30. Subject: Preventative measure for DIR exec (VM/CMS)
31.  
32.   Just a suggestion but anyone who wants to take an extra
33. precautionary measure towards the dir exec or any virus erasing files
34. meeting certain time date criteria could use the touch exec and module
35. available from the listserver at BLEKUL11 to change the time date of
36. your files. Thus before running any exec that you don't know what it
37. it you change all time dates to before 1990 so the deletion that dir
38. does wont find anything to erase. If you have any inquiries to this
39. exec e-mail me.
40.                                      Lee Miller
41.                                      LPM102@PSUVM.psu.edu.Bitnet
42.  
43. ------------------------------
44.  
45. Date:    Tue, 12 Dec 89 14:53:34 +0000
46. From:    Alan Jay <alanj@ibmpcug.co.uk>
47. Subject: AIDS Disk sent in UK
48.  
49.                         AIDS DISK -- PC Cyborg Corporation
50.  
51. This disk was mailed to many people on a major magazine mailing list today
52. 12-DEC-1989.
53.  
54. If you recived a copy DO **NOT** RUN it -- We do NOT know what it does.
55.  
56. This disk implies that it may cause harm to your PC -- DO NOT RUN IT!!!!
57.  
58.  
59. If you have run it -- DO NOT PANIC!!!!
60.  
61. Currently we have NO proof that the disk is harmful.
62.  
63. DO NOT RUN THE PROGRAM AGAIN.
64.  
65. The program renames your "autoexec.bat" so you will have to reconstitute your
66. old one.  "Autoexec.bat" has been hidden by setting the 'hidden' attribute
67. you may need NORTON or similar to delete the new "Autoexec.bat".
68.  
69. There are also a number of other hidden subdirectories.
70.  
71. Currently we do not kenow the purpose of this disk and so can not say what
72. damage that it may do, if any, or what you should do about it.
73.  
74. Warn other users not to run the program.
75.  
76. Currently the only 100% safe course of action is to boot of the original
77. DOS system disk and perfrm a reformat of your disk -- We DO NOT recommend
78. you do this unless you have a recent backup that you are happy with --
79. We have no proof of any malicious nature in this disk.
80.  
81. We hope to update this bulletin later today or tomorrow as more information
82. becomes available.
83.  
84. [Ed. See more information below.]
85.  
86. Alan Jay @ The IBM PC User Group, PO Box 360, Harrow HA1 4LQ ENGLAND
87. Phone:  +44 -1- 863 1191                        Email:  alanj@ibmpcug.CO.UK
88. Path:   ...!ukc!slxsys!ibmpcug!alanj            Fax: +44 -1- 863 6095
89. Disclaimer: All statements made in good faith for information only.
90.  
91. ------------------------------
92.  
93. Date:    Mon, 11 Dec 89 17:28:00 -0500
94. From:    someone please stop the bunny <ACSAZ@SEMASSU.BITNET>
95. Subject: Wdef at UKCC (Mac)
96.  
97.     Guess what?!  I just talked to someone at UKCC (University of
98. Kentucky) with a finder slowdown problem.  He checked and it was WDEF.
99. So now we have another site for WDEF infection.  To date Southeastern
100. Mass U is clean (of WDEF that is).  This is not nice.  Anyone know
101. where this one came from?
102.                                    - Zav
103.                             "ACS - Never a dull moment"
104.  
105. ------------------------------
106.  
107. Date:    12 Dec 89 00:00:00 +0000
108. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
109. Subject: re: Poland Viruses/Oropax (PC)
110.  
111. Alan_J_Roberts@cup.portal.com:
112.  
113. >         One of the five viruses submitted to McAfee by Andrzej Kadlof
114. > appears to be the long-lost Oropax virus, at least according to Dave
115. > Chess at IBM.
116.  
117. Just to be as timid as possible, I didn't say "this is the Oropax
118. virus"; I said "this seems to match the description of the 'Oropax'
119. given in the MSDOSVIR.A89 document from Hamburg".  For all I know,
120. this is a brand-new virus, written by some unimaginative virus author
121. who heard the Oropax rumors, and decided it was a good idea!  *8)
122.  
123. DC
124.  
125. ------------------------------
126.  
127. Date:    Mon, 11 Dec 89 19:41:41 -0700
128. From:    Ben Goren <AUBXG@ASUACAD.BITNET>
129. Subject: Re: Seeking Gatekeeper (Mac)
130.  
131. Thanks to all those who replied.  Here's a summary of what people reccomended:
132.  
133. Gatekeeper is avaible
134.  
135. 1) through the Info-Mac archives.  These can be accesed (as I did) through
136.    Macserve (tell Macserve at PUCC help for instructions) or FTP at
137.    sumex-aim.stanford.edu or Rice University (I no longer have their
138.    complete address).  There also is a relay in Ireland, and I believe others;
139.  
140. 2) through FTP at Simtel-20.
141.  
142. 3) through many individuals, including myself, if all else fails.  Just ask!
143.  
144. The Info-Mac archives have several other virus protection programs, as well as
145. a large collection of other free-, shareware, and public domain files.  I
146. imagine that Simtel-20 also has a similar collection, if it is not another
147. copy of Info-Mac.
148.  
149. Now, one more question:  is there a complete list of resources one shoul
150. configure VirusDetective with?
151.  
152. Thanks again,
153.  
154. ..............................................................
155. Ben Goren                              T T T        /
156. Trumpet Performance Major       )------+-+-+--====*0
157. Arizona State University           ( --|-| |---)
158. Bitnet:  AUBXG@ASUACAD               --+-+-+--
159. ..............................................................
160.  
161. ------------------------------
162.  
163. Date:    Thu, 07 Dec 89 21:42:23 -0800
164. From:    cpreston@cup.portal.com
165. Subject: Never say die
166.  
167. Virus Immortality
168.  
169.    There is a growing trend, not just in portable computers, to save
170. the state of the machine when the computer is "turned off".
171.  
172.    This is a consideration for fault-tolerant or semi-fault-tolerant
173. systems, where there has been great attention paid to saving all
174. files and system state no matter what, but probably these system
175. administrators will be knowledgeable enough to work through the
176. problems created by system design.
177.  
178.    There will, however, be users who don't understand what is
179. happening when they put a computer to sleep or turn it off, or even
180. remove the battery.  In some cases, even removal of the power supply
181. (battery) does not kill the contents of RAM due to a "keep-alive"
182. smaller battery backup.
183.  
184.    Leaving aside the other security implications of always
185. preserving RAM, (such as password retention or decrypted file
186. retention) virus detection and removal will certainly be more
187. confusing.
188.  
189.    In other words, the current practice of telling computer users to
190. be sure their machine has been turned off during virus removal will
191. no longer be sufficient.  Even the people who think they are being
192. extra careful by removing the battery for a minute or two will be
193. fooled.
194.  
195.    Cases in point:
196.  
197.    1. Macintosh Portable.  The normal "off" mode is really a sleep
198.       mode, with all RAM contents retained.  At the touch of a key,
199.       the user is able to continue with any operations in progress
200.       at the time the machine was left.  The running program (s) are
201.       still running, data files open, etc.  Removal of the main
202.       battery will not erase RAM due to a 9 volt backup, designed to
203.       ensure continuity during battery switches.
204.          According to an Apple representative, use of the reset
205.       switch (not the interrupt) will force an immediate power-off
206.       to RAM, and a start-up with clean RAM.
207.  
208.    2. Zenith MinisPort.  Part of RAM can be configured as a non-
209.       volatile RAM disk.  A number of other machines have this
210.       feature also. This shouldn't cause as much problem, since
211.       people are used to permanent storage on disks and know that
212.       it needs to be checked and purged.  Extra RAM can also be
213.       configured as EMS memory, probably also non-volatile.
214.  
215.    3  Poqet pocket MS-DOS PC.  Memory is powered all the time.  Even
216.       when the batteries are changed, a capacitor will keep the
217.       system going for 10 to 15 minutes.  The keyboard I/O "on/off"
218.       switch merely puts the machine to sleep.  There is a recessed
219.       reset button which will purge RAM.
220.  
221.    4  Toshiba portables.  New portables, such as the T1000SE, have
222.       an "auto-resume" feature to allow the computer to be turned
223.       "off", including changing the battery, while RAM contents are
224.       preserved.
225.  
226.    5  Emerson Accucard.  This is an IBM PC hardware card with its
227.       own battery.  It is designed to detect a power failure, and
228.       save the state of the machine to disk before shutting down.
229.       When I called both the company and their national distributor,
230.       nobody could tell me whether there was any way to defeat this
231.       system, such as cold booting from a floppy disk, without
232.       physically removing the card.  They promised to call back with
233.       more information.
234.  
235. ------------------------------
236.  
237. Date:    Tue, 12 Dec 89 11:26:29 -0800
238. From:    Alan_J_Roberts@cup.portal.com
239. Subject: Major Trojan Warning (PC)
240.  
241. This is an urgent forward from John McAfee:
242.  
243.      A distribution diskette from a corporation calling itself
244. PC Cyborg has been widely distributed to major corporations and
245. PC user groups around the world and the diskette contains a
246. highly destructive trojan.  The Chase Manhattan Bank and ICL
247. Computers were the first to report problems with the software.
248. All systems that ran the enclosed programs had all data on the
249. hard disks destroyed.  Hundreds of systems were affected.
250. Other reports have come in from user groups, small businesses and
251. individuals with similar problems.  The professionally prepared
252. documentation that comes with the diskette  purports that the
253. software provides a data base of AIDS information.  The flyer
254. heading reads - "AIDS Information - An Introductory Diskette".
255. The license agreement on the back of the same flyer reads:
256.  
257. "In case of breach of license, PC Cyborg Corporation reserves the
258. right to use program mechanisms to ensure termination of the use
259. of these programs.  These program mechanisms will adversely
260. affect other program applications on microcomputers.  You are
261. hereby advised of the most serious consequences of your failure
262. to abide by the terms of this license agreement."
263.  
264. Further in the license is the sentence: "Warning:  Do not use
265. these programs unless you are prepared to pay for them".
266.  
267. If the software is installed using the included INSTALL program,
268. the first thing that the program does is print out an invoice
269. for the software.  Then, whenever the system is re-booted, or
270. powered down and then re-booted from the hard disk, the system
271. self destructs.
272.  
273. Whoever has perpetrated this monstrosity has gone to a great deal
274. of time, and more expense, and they have clearly perpetrated the
275. largest single targeting of destructive code yet reported.  The
276. mailings are professionally done, and the style of the mailing
277. labels indicate the lists were purchased from professional
278. mailing organizations.  The estimated costs for printing,
279. diskette, label and mailing is over $3.00 per package.  The
280. volume of reports imply that many thousands may have been mailed.
281. In addition, the British magazine "PC Business World" has
282. included a copy of the diskette with its most recent publication
283. - - another expensive avenue of distribution.  The only indication
284. of who the perpetrator(s) may be is the address on the invoice to
285. which they ask that $378.00 be mailed:
286.  
287.           PC Cyborg Corporation
288.           P.O. Box 871744
289.           Panama 7, Panama
290.  
291. Needless to say, a check for a registered PC Cyborg Corporation
292. in Panama turned up negative.
293.  
294. An additional note of interest in the license section reads:
295. "PC Cyborg Corporation does not authorize you to distribute or
296. use these programs in the United States of America.  If you have
297. any doubt about your willingness or ability to meet the terms of
298. this license agreement or if you are not prepared to pay all
299. amounts due to PC Cyborg Corporation, then do not use these
300. programs".
301.  
302.  
303. John McAfee
304.  
305. ------------------------------
306.  
307. Date:    Tue, 12 Dec 89 18:17:04 -0800
308. From:    Alan_J_Roberts@cup.portal.com
309. Subject: Update on AIDS Trojan (PC)
310.  
311. The following is a posting from John McAfee:
312.  
313.         Early reports from people who have disassembled the AIDS
314. trojan that has been mailed to numerous European corporations indicate
315. that the trojan may be encrypting information on the disk rather than
316. destroying it outright.  The results are the same without a decrypting
317. routine but the possibility is] now raised that the perpetrators do
318. have and may offer such a decryptor.  The report from Chase Manhattan
319. Bank that the name and address in the Trojan are bogus may not be
320. correct.  John Markoff of the New York Times has since stated that his
321. sources found a real corporation corresponding to the name and address
322. in the file.  This raises some interesting questions which, I believe,
323. only time will answer.  Whatever is happening, this much is known: The
324. trojan will make all data on the hard disk unusable; the change
325. happens suddenly; and no recovery is yet known.  If you find or have a
326. copy of this diskette don't use it.
327.  
328. John McAfee
329.  
330. ------------------------------
331.  
332. Date:    Tue, 12 Dec 89 18:09:00 -0500
333. From:    IA96000 <IA96@PACE.BITNET>
334. Subject: Yet Another EAGLE Appears (PC)
335.  
336. At 03:00 yesterday another version of EAGLE.EXE was discovered and
337. forwarded to SWE for analysis. Here are the results.
338.  
339. See back issues of VIRUS-L and/or VALERT-L for original symptoms.
340.  
341. This new version has changed slightly:
342.  
343. 1) Contains Jerusalem-D virus. Active and spreads!
344.  
345. 2) Seeks out and overwrites the following files and locations:
346.  
347.    a) COMMAND.COM (ascii 246 used to overwrite)
348.    b) BOTH FAT's  (ascii 246 used to overwrite)
349.    c) BOOT SECTOR (ascii 246 used to overwrite)
350.    d) EAGLSCAN.EXE (string "F**K YOU" used to overwrite)
351.    e) SCAN.EXE     (string "F**K YOU" used to overwrite)
352.    f) VIRUSCAN.EXE ( same as last two above used to overwrite)
353.  
354. 3) There seems to be a built in timer. Once the file has been loaded
355.    it remains dormant for twenty minutes. During this time the VIRUS
356.    can be detected by SCAN.EXE if you use the /M switch. Once the timer
357.    has run down, the trojan takes over and does its dirty deed.
358.  
359. 4) Unlike previous versions, it DOES NOT matter if the disk is a
360.    DOS system disk or not. If a file is not found, it just continues
361.    on down the list. Previously COMMAND.COM had to be in the root to
362.    trigger the trojan.
363.  
364. 5) SWE reports that they feel this WAS NOT written by the same author(s)
365.    as the first two versions. First, this new version appears to be
366.    written in Pascal. Second, SCAN.EXE will identify the file. It has
367.    not been encrypted or compressed like the previous versions.
368.  
369. Since SCAN.EXE will detect the virus, and since SWE is closing for their
370. vacation period, they feel there is NO rush to update EAGLSCAN at this
371. time. They said it will be done when they get back.
372.  
373. One important point needs to be repeated! SCAN.EXE will identify the
374. virus, in memory when you use the /M switch. It will also detect the
375. virus in a file. It has no way of knowing if the file also contains a
376. trojan (understandable, it wasn't designed to) so be wary if you
377. decide to experiment with this new version of EAGLE.EXE!!!!
378.  
379. Thanks to Harriman, New York for sending it for evaluation.
380.  
381. ------------------------------
382.  
383. End of VIRUS-L Digest
384. *********************
385. Downloaded From P-80 International Information Systems 304-744-2253
386.