home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.260

< prev

next >

Wrap

Text File  |  1995-01-03  |  18KB  |  446 lines

---

1. VIRUS-L Digest   Thursday, 14 Dec 1989    Volume 2 : Issue 260
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. New Virus Encyclopedia (Mac)
17. File authentication software (PC)
18. re: Preventative measure for DIR exec? (VM/CMS)
19. RE: AIDS Trojan (PC)
20. Becoming a Virus Expert (Mac)
21. Re: AIDS DISK UPDATE (I)
22. 1813 Virus Info Needed (PC)
23. Re: AIDS -- UPDATE II -- What can you do.
24. AIDS Trojan Update (PC)
25. WDEF found at SUNY-Binghamton (Mac)
26.  
27. ---------------------------------------------------------------------------
28.  
29. Date:    Wed, 13 Dec 89 04:01:26 +0000
30. From:    henry@chinet.chi.il.us (Henry C. Schmitt)
31. Subject: New Virus Encyclopedia (Mac)
32.  
33. This is to announce a new version of Virus Encyclopedia.  I have updated
34. the stack to include the WDEF Virus and all those variants of nVIR that
35. have appeared since its last release.  Which release you have can be
36. determined by the date modified listed on the Disclaimer card.  This
37. latest release is dated 12/12/89.
38.  
39. I have just finished uploading VE to CompuServe, GEnie, several Chicago
40. BBSs, and HomeBase BBS in California.  I have also made arrangements
41. with John Norstad to get a copy to the info-mac archives and
42. comp.binaries.mac.  If you are unable to get the stack in any other way
43. (and please try!), I will accept requests accompanied by a disk or
44. $2.50 at:
45.  
46.                 Henry C. Schmitt
47.                 6613 Scott Lane - Apt. 17
48.                 Hanover Park, IL 60103-3849
49.  
50. I'll send back a copy of the NorthWest of Us Virus Control disk which
51. includes VE, as well as the best of the virus control programs.
52.  
53.                         Henry C. Schmitt
54.                         Author of Virus Encyclopedia
55. - --
56.   H3nry C. Schmitt     | CompuServe: 72275,1456  (Rarely)
57.                        | GEnie: H.Schmitt  (Occasionally)
58.  Royal Inn of Yoruba   | UUCP: Henry@chinet.chi.il.us  (Best Bet)
59.  
60. ------------------------------
61.  
62. Date:    Tue, 12 Dec 89 17:40:00 -0500
63. From:    IA96000 <IA96@PACE.BITNET>
64. Subject: File authentication software (PC)
65.  
66. Recently I had the chance to discuss the inner workings of VALIDATE.EXE,
67. (no..not VALIDATE.COM), with the authors. This program has been around
68. for almost two years now, and has just under gone a dramatic change.
69.  
70. In the past, it has detected changes in a file by reading the entire
71. file, and using two proprietary formulas, calculated two CRC's for
72. each file tested. VALIDATE.EXE is fast and capable of processing
73. over 64,000 characters a second.
74.  
75. The new version takes an entirely different approach. While I cannot
76. go into intimate detail, basically it reads in large blocks of the
77. file, takes a "snapshot" and continues. The block size varies depending
78. on file size and available memory. If EMS or Extended memory is detected
79. the program will increase the size of the blocks being read, up to the
80. optimal size of a 1 megabyte block.
81.  
82. Each "snapshot" taken is then processed. The contents of "snaphots"
83. vary, depending on the type of file being processed (com, exe, ascii),
84. the size of the file, and several other factors, including the total
85. number of snapshots taken.
86.  
87. As processing continues, two authentication strings are built. These
88. are then encrypted, and converted to hex format for display.
89.  
90. There are two versions of this program. The DOS version is capable of
91. reading and processing over 113,000 characters a second.The OS/2
92. version of validate was designed to run under PM and takes full
93. advantage of the advanced OS/2 functions. It has the ability to run
94. several threads at the same time and does so whenever possible. The
95. raw processing speed of the OS/2 version is not as fast as the DOS
96. version, but the use of threads speeds the entire program up. Just
97. thought you might like to know about this program. It will be available
98. in both versions through SIMTEL in the near future.
99.  
100. I have been asked to pass the following message along verbatim:
101.  
102. Start of message =================
103.  
104. From: SWE
105.   To: VIRUS-L Subscribers
106.   Re: Free disk offer
107.  
108.      After processing and filling requests for over 570 EAGLSCAN (tm)
109. disks, we are now withdrawing our offer. Each and every request has
110. been filled, and all disks are on the back via US mail.
111.  
112.      SWE did not expect any where near the response we received and
113. it has been a major project to produce these disks for you. So be it,
114. we made the offer, and we learned our lesson.
115.  
116.      Any disks received after December 13, will not be processed until
117. we open again, after the holidays. We will fill any requests starting
118. January 4, when we return from holiday.
119.  
120.      Thank you for your requests and have a happy holiday.
121.  
122. End of message ===============
123.  
124. ------------------------------
125.  
126. Date:    13 Dec 89 00:00:00 +0000
127. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
128. Subject: re: Preventative measure for DIR exec? (VM/CMS)
129.  
130. Lee Miller (Gonzo) <LPM102@PSUVM.PSU.EDU> writes:
131. >                                ... could use the touch exec and module
132. > available from the listserver at BLEKUL11 to change the time date of
133. > your files...
134. > Thus before running any exec that you don't know what it
135. > it you change all time dates to before 1990 so the deletion that dir
136. > does wont find anything to erase.
137.  
138. I think this is based on a misunderstanding of the damage that
139. the DIR EXEC does.   It never looks at the dates on *files*;
140. it looks at the current date (via QUERY TIME), and if the last
141. two digits of the year are greater than 89, it will erase all
142. files with mode a0 or a1, regardless of the dates on the files.
143. Changing dates on files will have no effect on how DIR behaves.
144.  
145. DC
146.  
147. ------------------------------
148.  
149. Date:    Wed, 13 Dec 89 09:11:26 -0500
150. From:    dmg@retina.mitre.org (David Gursky)
151. Subject: RE: AIDS Trojan (PC)
152.  
153. The AIDS Trojan Horse discussed by Alan Jay and John McAfee raises some
154. interesting questions about accountability.
155.  
156. Ignoring the issue that it is unlikely that the U.S. Government is
157. unlikely to get cooperation from the Panamanian authorities in
158. apprehending the culprits and bringing them to trial in either
159. country, could the perpetrators be held liable under U.S. law for
160. damages, when the licensing notice clearly states the program is not
161. licensed to be used in the United States, and that damage will result
162. if you attempt to do so.
163.  
164. In the broader case, could the perpetrators be extradicted to one of
165. the European countries that have better relations with Panama, and be
166. held liable for damages even though the license says not to use the
167. application without first paying for it.
168.  
169. One consequence of this attack (although I find it unlikely legal
170. authorities will be able to take advantage of it because of the
171. situation in Panama) is that the perpetrators should be relatively
172. easy to track.  Someone rented the Post Office box in Panama.
173. Hopefully someone is picking up the mail from that box, and from there
174. it goes to the people behind it, somehow.
175.  
176. ------------------------------
177.  
178. Date:    Wed, 13 Dec 89 10:09:49 -0500
179. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM.BITNET>
180. Subject: Becoming a Virus Expert (Mac)
181.  
182. Earlier in the year (mid to late October) someone inquired on some
183. suggestions for becoming a "virus expert".  (I assume in hopes to
184. become an anti-virus expert.)  Joe MacMahon suggested a number of
185. things one of which included reading about ROM patches, INITs, and VBL
186. tasks in Inside Macintosh.  I made an attempt to locate these topics
187. in Inside Macintosh and came up with the table below.  (I was unable
188. to find any information in the index on ROM Patches.)  I have not read
189. the topics I have listed, but intend make reading them a priority.
190. Are what I have listed below relevant to the person who wants to
191. maximize the amount of information attained while minimizing material
192. to be studied?  Are there other references that would be better?
193. (Inside Macintosh references and "outside" references.)  Other
194. thoughts and comments are most welcome.  I hope this helps some and
195. hope that others will help this list get "fine-tuned".  If you find
196. anything grossly wrong with the list please do not bug flame Joe,
197. flame me.  Thanks.
198.  
199. Greg
200.  
201. Topic                      Volume    Pages
202. - -----                      ------    -----
203.  
204. Inits                         I      114-115
205. InitGraf                      I      162-164
206. Font Manager Routines         I      222-227
207. Window Manager                I      280-288
208. Dialog Manager                I      410-423
209. Memory Manager               II        3- 52
210. Vertical Retrace             II      349-354
211. Parameter RAM Operations     II      380-382
212. The Video Interface         III       18- 20
213. Resource Manager              V*      29- 38
214.  
215. - ---------------------------------------------
216. * - Sorry don't have access to Volume IV.
217.  
218. Greg
219.  
220. Postal address: Gregory E. Gilbert
221.                 Computer Services Division
222.                 University of South Carolina
223.                 Columbia, South Carolina   USA   29208
224.                 (803) 777-6015
225. Acknowledge-To: <C0195@UNIVSCVM>
226.  
227.  
228. ------------------------------
229.  
230. Date:    Wed, 13 Dec 89 16:09:36 +0000
231. From:    Alan Jay <alanj@IBMPCUG.CO.UK>
232. Subject: Re: AIDS DISK UPDATE (I)
233.  
234.                         AIDS INFORMATION DISK
235.                         =====================
236.  
237.  
238. The latest on this is as follows:
239.  
240. If you have run this disk contact ROBERT WALCZY at PC Business World
241. on 01-831 9252 they have a FREE disk that combats the effects of the
242. disk and they will send a copy to users effected.
243.  
244. Either call Robert of FAX him on 01-405 2347 with your name and address.
245.  
246. The disk should be available in the next day or two.
247.  
248. The program will be available on CONNECT (01-863 6646) for download as
249. soon as it has been tested.
250.  
251.  
252. =======================================================================
253.  
254.  
255. The AIDS disk when installed creates a number of hidden files and
256. directories.  You can remove these files by running the program
257. mentioned above or by using the Norton Utilities, PC Tools or equivalent
258. program.
259.  
260. The files that are hidden include a new AUTOEXEC.BAT and a number of
261. other files and directories that contain characters that can not be
262. accessed by standard DOS commands.  You will need to rename the files/
263. directories before they can be deleted.
264.  
265.  
266. This information will be updated as we learn more about the disk.
267.  
268.  
269. Alan Jay -- The IBM PC User Group -- 01-863 1191.
270.  
271. ------------------------------
272.  
273. Date:    13 Dec 89 15:40:48 +0000
274. From:    gademsky@njitx.njit.edu
275. Subject: 1813 Virus Info Needed (PC)
276.  
277. I have encountered the virus 1813 here at my school.  Does anyone out
278. there know anything about this virus.  This was detected using the
279. Virscan program by IBM.  I think this virus may be related to the
280. "Friday the 13th" virus.  Any comment out there.  Please post in the
281. news group since some people may be interested.  Thanks
282.  
283. Doug
284.  
285. ------------------------------
286.  
287. Date:    Wed, 13 Dec 89 18:26:57 +0000
288. From:    Alan Jay <alanj@IBMPCUG.CO.UK>
289. Subject: Re: AIDS -- UPDATE II -- What can you do.
290.  
291.                                 AIDS INFORMATION DISK
292.                                 =====================
293.  
294. Update 2  13-Dec-1989 6pm
295.  
296. IF you have not run this disk DO NOT INSTALL it appears to be a very
297. cleverly written TROJAN program that can be activated by a number of
298. methods.  Currently the activation method that has been detected uses
299. a counter of the number of system reboots.  When the counter gets to
300. 90 the system goes into a second phase and encrypts files and
301. directories on your hard disk.
302.  
303. The program appears to have a number of embelisments that makes one
304. think that the front door we have been shown MAY not be the only
305. method that the system uses for deciding when to activate.  This
306. is a very nasty program and the only 100% safe thing to do is to
307. backup all DATA files and perform a full reformat of your hard disk.
308.  
309. Followed by a reinstallation of all DATA, from your backup, and
310. programs from original system disks (or backup prior to installing
311. this software).
312.  
313. This should only be attempeted once at least TWO copies of all
314. valuable data have been extracted from the system.  Please remember to
315. boot your system off an original DOS disk before starting this
316. procedure.
317.  
318. Full details of the suggested procedure will be posted tomorrow.
319.  
320. Alan Jay
321.  
322. Readers who do not wish to follow this route may be interested to
323. in the folowing information about the primary activation system.
324.  
325. 1)  A hidden 'ACTOEXEC.BAT' file contains
326.  
327. CD \<ALT255>
328. REM<ALT255>
329.  
330.         it then runs your AUTOEXEC.BAT which the program renamed AUTO.BAT
331.  
332. 2) A hidden subdirectory <ALT255> contains a file REM<ALT255>.EXE
333.  
334. Each time the system is booted the program is run and the counter
335. incremented/decremented.  After 90 activations the system enters phase
336. TWO.
337.  
338. Please note that the system uses the <ALT255> character 'hi space' in the
339. file names to stop standard DOS procedures acting on these files.
340.  
341.  
342. IT MAY be possible to delete these entries and thereby disable the
343. program this is NOT certain and it will take several months to discover
344. if this is a safe course of events to take.
345.  
346. I hope that this information helps.  I also understand that this is in the
347. hands of the Fraud Squad / Computer Crime Division of the Metropolitan
348. Police.  If you have any further information I am sure that they would
349. be interested to here from you.
350.  
351.  
352. Alan Jay -- IBM PC User Group -  01-863 1191
353.  
354. ------------------------------
355.  
356. Date:    Wed, 13 Dec 89 16:58:52 -0800
357. From:    Alan_J_Roberts@cup.portal.com
358. Subject: AIDS Trojan Update (PC)
359.  
360. This is a forward from John McAfee:
361.  
362.      A lot more has been discovered about the AIDS Information
363. Trojan in the past 24 hours.  First, the diskette does not
364. contain a virus.  The install program does initiate a counter,
365. and based on a seemingly random number of re-boots, the trojan
366. will activate and destroy all data on the hard disk.  The
367. diskette was mailed to at least 7,000 corporations, based on
368. information obtained from CW communications - one of the magazine
369. mailing label houses used by the perpetrators.  The perpetrator's
370. initial investment in disks, printing and mailing is well in
371. excess of $158,000 according to a Chase Manhattan Bank estimate
372. that was quoted in a PC Business World press release from
373. London.  The bogus company that sent the diskettes had rented
374. office space in Bond Street in London under the name of Ketema
375. and Associates.  The perpetrators told the magazine label
376. companies that they contacted that they were preparing an
377. advertising mailer for a commercial software package from
378. Nigeria.  All offices had been vacated at the time of the
379. mailing, and all addresses in the software and documentation are
380. bogus.
381.      The Trojan creates several hidden subdirectories -- made up
382. of space and ASCII 255's  -- in the root of drive C.  The install
383. program is copied into one of these and named REM.EXE.  The
384. user's original AUTOEXEC.BAT file is copied to a file called
385. AUTO.BAT.  The first line of this file reads -- "REM Use this
386. file in place of AUTOEXEC.BAT for convenience".  The installation
387. also creates a hidden AUTOEXEC.BAT file that contains the
388. commands:
389.  
390.           C:
391.           CD \
392.           REM  Use this file in place of AUTOEXEC.BAT
393.           AUTO
394.  
395.      The CD \ actually contains ASCII characters 255, which
396. causes the directory to change to one of the hidden directories
397. containing the REM.EXE file.  The REM file is then executed and
398. decrements a counter at each reboot.   After a random number of
399. reboots, the hard disk is wiped clean.  Definitely a new
400. approach.
401.      So far the mailings appear to be limited to western Europe.
402. No reports have been received from the U.S.  If anyone does have
403. the diskette, or has already run the install program, a
404. disinfector has been written by Jim Bates and is available on
405. HomeBase for free download.  408 988 4004.  The name of the
406. disinfector is AIDSOUT.COM.
407.  
408. John McAfee
409.  
410. ------------------------------
411.  
412. Date:    14 Dec 89 03:13:50 +0000
413. From:    consp21@bingvaxu.cc.binghamton.edu
414. Subject: WDEF found at SUNY-Binghamton (Mac)
415.  
416.         We have identified the WDEF virus here in our public complexes
417. here at SUNY-Binghmton.  Thanks to Disinfectant 1.4, we are already
418. asking all users to come to our consulting office and have their disks
419. checked.
420.  
421.         The earliest date of infection that we have noticed in our
422. work tonight is December 11, 1989; indicating that it spread extremely
423. rapidly here, possibly due to a pair of infected printing stations
424. that we found.
425.  
426.         Over the last eight hours, the number of infected disks found
427. has been dropping rapidly, indicating that we caught it before it got
428. too far.
429.  
430.         Many, many thanks to comp.virus for the alerts, and to John
431. Norstad for his quick work with Disinfectant!
432.  
433.                                                 - Ken
434.  
435. - -------------------------------------------------------------------------
436. Ken Hoover [ consp21@bingvaxu.cc.binghamton.edu | consp21@bingvaxa.BITNET ]
437.      Resident computer jock and Mac hacker, SUNY-Binghamton Bio dept.
438.      Senior undergraduate consultant, SUNY-Binghamton Computer Center
439. - -------------------------------------------------------------------------
440.  
441. ------------------------------
442.  
443. End of VIRUS-L Digest
444. *********************
445. Downloaded From P-80 International Information Systems 304-744-2253
446.