home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.261

< prev

next >

Wrap

Text File  |  1995-01-03  |  22KB  |  497 lines

---

1. VIRUS-L Digest   Monday, 18 Dec 1989    Volume 2 : Issue 261
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. re: 1813 Virus Info Needed (PC)
17. Aids disk information (PC)
18. Re AIDS disk (PC)
19. What does the WDEF virus do? (Mac)
20. Re: Update on AIDS Trojan (PC)
21. Disinfectant 1.5 (Mac)
22. WDEF found at University of Vermont (Mac)
23. AIDS TROJAN (PC)
24. Gatekeeper Aid 1.0 Released (Mac)
25.  
26. ---------------------------------------------------------------------------
27.  
28. Date:    14 Dec 89 00:00:00 +0000
29. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
30. Subject: re: 1813 Virus Info Needed (PC)
31.  
32. The 1813 virus is the same virus that is commonly called "the
33. Jerusalem virus".  It is the most widespread of a number that
34. activate on Friday the 13th, so it's sometimes called the
35. "Friday the 13th" virus.   That's not a very good name, though,
36. since there's more than one virus that it fits.   Stick with
37. "1813" or "Jerusalem"!   *8)              DC
38.  
39. ------------------------------
40.  
41. Date:    Thu, 14 Dec 89 11:14:39 +0000
42. From:    Alan Jay <alanj@IBMPCUG.CO.UK>
43. Subject: AIDS disk information (PC)
44.  
45. The following, written by Alan Solomon, gives details of the AIDS
46. Information Disk sent out by PC-CYBORG and gives a method for
47. restoring your disk to its former state.  Remember if you have not run
48. this disk DO NOT run it.
49.  
50. This information is believed to be correct BUT the program appears to be
51. very clever and therefore we suggest that you must be very careful in
52. carring out any of the followig instructions.
53.  
54. Alan Jay  -- IBM PC User Group -- 01-863 1191
55.  
56.  
57. PRELIMINARY INFORMATION ON THE "AIDS" DISKETTE FROM PC
58. CYBORG CORPORATION.
59.  
60. This is bulletin number AS/3
61.  
62.  
63. You will probably have read in the press about the AIDS diskette, a
64. diskette that was mailed out to a great subscribers to PC Business
65. World (through absolutely no fault of the magazine's).  This diskette
66. is a trojan - DO NOT RUN IT.
67.  
68. It is a diskette that was sent through the post, unsolicited, and
69. claiming to be a program that gave you useful information about the
70. AIDS disease.  The accompanying licence was abit suspicious, so many
71. people didn't run it (it threatened to do dire things to your computer
72. if you didn't pay for the software).
73.  
74. We've done a preliminary analysis on it, and it works like this.  If
75. you run the INSTALL program, it creates two subdirectories with
76. "impossible" names on the hard disk - one of these has a one-character
77. name, and that character is [Alt-255] (hexadecimal FF).  In that
78. subdirectory , it puts a program called REM[Alt-255] .EXE.  The
79. [Alt-255] character is invisible.  It copies your AUTOEXEC to a file
80. called AUTO.BAT, and puts an Echo off and a REM statement in front.
81. It creates a new AUTOEXEC.BAT file, and makes it hidden and readonly.
82. In that AUTOEXEC, it does a "CD \[Alt255]" and then "REM[Alt-255]"
83. followed by a plausible-looking remark.
84.  
85. After you run the AUTOEXEC, and therefore the REM [Alt-255] program, a
86. number of times (we triggered it with 90, but this is only a
87. preliminary result, and it may be triggerable with fewer or more), the
88. damage routine is triggered.  This would usually happen when the
89. machine has been booted that many times.  A series of messages are put
90. up on the screen, aimed at persuading you not to switch off, and the
91. trojan then encrypts your directory and makes all the files hidden
92. except one called CYBORG.DOC.
93.  
94. If you then boot from the hard disk, it tells you that a software
95. licence has expired, and tells you to renew it - another request for
96. money.  If you do a Ctrl-Alt-Del, it fakes a reboot, and pretends to
97. be running the Dos prompt - actually, a program is now running which
98. fakes Dos.  If you do a DIR, it shows you the unencrypted filenames,
99. followed by a warning not to use the computer.  it tells you that you
100. must renew the lease in the software.  Any other command, it also
101. fakes a response to, and shows you the same message.
102.  
103. It also has a routine that could be called the SHARE routine.  When
104. this runs, it tells you that you can have 30 more applications of the
105. program if you follow it's instructions.  It tells you to put a blank
106. formatted floppy in drive A, and it then copies files onto it.  Then
107. you are asked to put the diskette in another computer and type
108. A:SHARE.  We're still pursing this path.
109.  
110. It may also do other damage - we're still investigating, but what
111. we've found so far is enough to make me want to issue an urgent
112. warning.
113.  
114. If you've already installed it, remove it.  You can do this
115. temporarily by making the AUTOEXEC.BAT file (in the root directory)
116. read/write, and non-hidden, which you can do using one of a number of
117. utilities.  Then delete the AUTOEXEC.BAT.  This disables the trojan
118. lines that the install program put in.  This APPEARS to deal with the
119. trojan, but since there is a lot of deep stuff going on, we would not
120. assume that it actually does fully deal with it.
121.  
122. Our recommendation at this point in time, is based on the fact that
123. this thing is doing some pretty deep work on the disk, and since it
124. contains a lot of code, it will be a long time before it is completely
125. understood.  So as of now, our suggestion is:
126.  
127. First, switch off the computer, put a known CLEAN DOS diskette in
128. drive A, and switch on again.  This makes sure that the trojan has no
129. control.  Back up all your data files using a file-by-file backup.
130. Format the disk, reload all your executables from known clean
131. diskettes, and restore the data files.  You should take two backups,
132. in case the first one fails to restore.
133.  
134. If you haven't installed it, don't and tell everyone else not to.  The
135. police have been brought into this case; if you wish to make a formal
136. complaint to the Computer crime unit, please contact Detective
137. Sergeant Donovan on 01-725 2434.  Also, contact him if you have any
138. useful information.
139.  
140. If you want more information about this trojan, it will be covered in
141. full in Virus Fax International - please call if you want to know more
142. about this.
143.  
144. Please note that the information has been got out quickly as possible,
145. and is therefore subject to change in the details.
146.  
147. ALAN SOLOMON
148.  
149. ------------------------------
150.  
151. Date:    Thu, 14 Dec 89 13:31:49 +0000
152. From:    Martin Ward <martin@EASBY.DURHAM.AC.UK>
153. Subject: Re AIDS disk (PC)
154.  
155. I feel that I should point out that the effects of this disk are
156. entirely in accordance with the standard warrenty used by most
157. commercial software developers (the ones which disclaim that the
158. programs are fit for any purpose at all, that XXX will disclaims all
159. responsibility for any damage or loss caused etc.) Either these
160. warrenties are ILLEGAL or the perpetrators of this disk are entirely
161. within their legal rights to do what they have done. Does anyone (eg a
162. lawyer) know which is the case?
163.  
164.                         Martin.
165.  
166. My ARPANET address is:  martin%EASBY.DUR.AC.UK@CUNYVM.CUNY.EDU
167. OR: martin%uk.ac.dur.easby@nfsnet-relay.ac.uk  UUCP:...!mcvax!ukc!easby!martin
168. JANET: martin@uk.ac.dur.easby    BITNET: martin%dur.easby@ac.uk
169.  
170. ------------------------------
171.  
172. Date:    Thu, 14 Dec 89 10:05:36 -0500
173. From:    Jeff_Spitulnik@um.cc.umich.edu
174. Subject: What does the WDEF virus do? (Mac)
175.  
176. I just discovered that a scribes disk (one that is used by many different
177. typists at different times to compile class notes) that crashed was
178. infected with the WDEF virus.  The Mac SE FDHD that I am using now had
179. trouble reading the disk and MacTools confirmed that there were many
180. damaged blocks.  After using Symantec's utilities to recover the files on
181. the disk, including the desktop, I checked to see if the file had the WDEF
182. virus.  It did.
183. I reformatted the scribe disk with no problems and verified that it was ok
184. after the reformatting.  Did it crash because of WDEF?  What's the latest
185. on what WDEF does?
186. Thanks!
187.    --Jeff
188.  
189. ------------------------------
190.  
191. Date:    Thu, 14 Dec 89 18:02:03 +0000
192. From:    Matthew Moore <teexmmo@isis.educ.lon.ac.uk>
193. Subject: Re: Update on AIDS Trojan (PC)
194.  
195. This afternoon I was one of a small team which successfully tracked
196. down the method of invocation of the Aids trojan, on a pc clone which
197. was infected, but not devastated.
198.  
199. Definition : <255> = the ascii character 255 , aka  hex FF
200.  
201. The program is called:                     rem<255>.exe
202. (ie 4 char filename which shows as 3)
203.  
204. It resides in a hidden directory called:   \<255>
205. (ie a 1 char filename)
206.  
207. It is invoked by two lines in the autoexec.bat file :-
208.  
209. cd \<255>                    (which if course usually looks like : cd \ )
210. rem<255> some statement      (which looks like : rem  some statement)
211.  
212. There two additional features worth noting:-
213.  
214. i)  there is another root level hidden directory, also using a nonprintable
215.     character (I dont know which), containing further hidden subdirectories
216.     to four levels down, and at the bottom are files which appear to contain
217.     data from elsewhere on the disk, and sundry other info.
218.  
219. ii) there is a red herring in the autoexec.bat file.
220.     Underneath the two statements listed above, the line 'auto.bat'
221.     followed by an EOF (^Z).
222.     The file \auto.bat contains the original autoexec.bat
223.  
224. Presumably, it would be stopped by removing or renaming \<255>\rem<255>.exe
225. and reverting to a clean auotexec.bat .
226.  
227. (Corrections to this presumption welcome!)
228.  
229. - --
230. mjm@cu.neur.lon.ac.uk                   | Post: Computing & Statistics Unit
231. JANET   :  mjm@uk.ac.lon.neur.cu        |       Institute of Neurology
232. INTERNET: try mjm%cu.neur.lon.ac.uk     |       Queen Square, London, WC1
233. Phone   : 01-837-5141                   |       London   WC1 3BG
234.  
235. ------------------------------
236.  
237. Date:    Thu, 14 Dec 89 16:20:56 -0500
238. From:    jln@acns.nwu.edu
239. Subject: Disinfectant 1.5 (Mac)
240.  
241. Disinfectant 1.5
242. ================
243.  
244. December 14, 1989
245.  
246. Disinfectant 1.5 is a new release of our free Macintosh virus
247. detection and repair utility.
248.  
249. Shortly after the release of version 1.4, a new strain of the WDEF
250. virus was discovered.  Version 1.5 has been configured to recognize
251. the new strain.  Version 1.5 also contains code to detect and repair
252. other strains of WDEF which may exist but have not yet been reported.
253.  
254. Disinfectant 1.5 is available now via anonymous FTP from site
255. acns.nwu.edu [129.105.49.1].  It will also be available soon on
256. sumex-aim, comp.binaries.mac, ComuServe, Genie, Delphi, BIX, MacNet,
257. America Online, Calvacom, and other popular sources for free and
258. shareware software.
259.  
260. The following text is extracted from the new section on WDEF in
261. Disinfectant's online document.  It describes what we know to date
262. about this new virus.  The description has been expanded to include
263. new information that has recently become available.
264.  
265. The WDEF virus was first discovered in December, 1989 in Belgium
266. and in one of our labs at Northwestern University. Since the
267. initial discovery, it has also been reported at many other
268. locations throughout the United States, so we fear that it is
269. widespread. We have reason to believe that the virus has been in
270. existence since at least mid-October of 1989. We know of two
271. strains, which we call "WDEF A" and "WDEF B."
272.  
273. WDEF only infects the invisible "Desktop" files used by the
274. Finder. With a few exceptions, every Macintosh disk (hard drives
275. and floppies) contains one of these files. WDEF does not infect
276. applications, document files, or other system files. Unlike the
277. other viruses, it is not spread through the sharing of
278. applications, but rather through the sharing and distribution of
279. disks, usually floppy disks.
280.  
281. WDEF may have been introduced initially via a Trojan Horse
282. application, in a fashion similar to the way the MacMag virus was
283. first introduced via a Trojan Horse HyperCard stack. We do not yet
284. know if this is indeed the case, and we may never know.
285.  
286. WDEF spreads from disk to disk very rapidly. It is not necessary
287. to run a program for the virus to spread.
288.  
289. The WDEF A and WDEF B strains are very similar.  The only
290. significant difference is that WDEF B beeps every time it infects
291. a new Desktop file, while WDEF A does not beep.
292.  
293. Although the virus does not intentionally try to do any damage,
294. WDEF contains bugs which can cause very serious problems. We have
295. received reports of the following problems:
296.  
297. * The virus causes both the Mac IIci and the portable to crash.
298. * Under some circumstances the virus can cause severe performance
299. problems on AppleTalk networks with AppleShare servers.
300. * Many people have reported frequent crashes when trying to save
301. files in applications under MultiFinder.
302. * The virus causes problems with the proper display of font styles
303. (the outline style in particular).
304. * We have two reports that the virus can damage disks.
305. * We have a report that the virus causes Macs with 8 megabytes of
306. memory to crash.
307. * We have a report that the virus is incompatible with the
308. "Virtual" INIT from Connectix.
309.  
310. Even though AppleShare servers do not use the normal Finder
311. Desktop file, many servers have an unused copy of this file
312. anyway. If the AppleShare administrator has granted the "make
313. changes" privilege to the root directory on the server, then any
314. infected user of the server can infect the Desktop file on the
315. server. This is one of the situations which can lead to the severe
316. performance problems mentioned above. For this reason,
317. administrators should never grant the "make changes" privilege on
318. server root directories. We also recommend deleting the Desktop
319. file if it exists. It does not appear that the virus can spread
320. from an AppleShare server to other Macs on the network, however.
321.  
322. When using Disinfectant to repair WDEF infections, you must use
323. Finder instead of MultiFinder. Under MultiFinder the Desktop files
324. are always "busy," and Disinfectant is not able to repair them. If
325. you try to repair using MultiFinder, you will get an error
326. message.
327.  
328. Unfortunately, when the WDEF virus first appeared, none of the
329. current versions of the most popular virus prevention tools were
330. able to detect or prevent WDEF infections. This includes Vaccine
331. 1.0.1, GateKeeper 1.1.1, Symantec's SAM Intercept 1.10, and HJC's
332. Virex INIT 1.12.
333.  
334. Chris Johnson, the author of Gatekeeper, has released "GateKeeper
335. Aid," a free system startup document (INIT) that detects and
336. automatically removes WDEF infections and notifies the user of the
337. infection. GateKeeper Aid can be used together with GateKeeper or
338. together with Vaccine to provide protection against WDEF.
339.  
340. New versions of the commercial tools should also be released soon,
341. and we expect that at least one other free protection tool will
342. also be available soon.
343.  
344. It is very important that all Mac users obtain and install
345. GateKeeper Aid or some other WDEF protection tool. You can use
346. Disinfectant to remove an existing infection, but if you do not
347. install a protection tool you may very likely become infected
348. again.
349.  
350. In addition to the two known strains of the WDEF virus,
351. Disinfectant will also detect and repair other strains which may
352. exist but have not yet been reported. If an unknown strain is
353. detected, Disinfectant places the following message in the report:
354.  
355.    ### File infected by an unknown strain of WDEF
356.  
357. If you see this message, and if you have not already repaired the
358. file, we would appreciate it if you would send a copy to the
359. author. The author's addresses are at the end of this document.
360. You may need the assistance of an expert, since the Desktop files
361. that are infected by the WDEF virus are normally invisible. You
362. should use ResEdit or some other file editing tool to make the
363. file visible, then make a copy to send to us, then use the same
364. tool to make the original file invisible again, and use
365. Disinfectant to repair it. Send the copy to the author, then
366. delete the copy.
367.  
368. Please do not worry if you are not comfortable with these
369. instructions and you do not have access to an expert. Go ahead and
370. repair the infected file. It is more important that you rid your
371. system of the virus than it is for us to get a copy of the unknown
372. strain.
373.  
374. This version of Disinfectant is being released only one week after
375. the discovery of the WDEF virus. We do not yet understand it as
376. thoroughly as we do the other older viruses. We have disassembled
377. it completely, and we understand the basic replication mechanism.
378. We know that it can cause serious problems, and we know why it
379. causes some of the problems. Research into the behavior and
380. adverse effects of this virus will continue for some time.
381.  
382. You should keep in touch with your local Mac user group or
383. bulletin board for more information about this new virus as it
384. becomes available. Commercial online services like CompuServe and
385. Genie and the Macintosh trade press publications like MacWeek are
386. also good sources of information.
387.  
388. When the WDEF virus was first discovered, the authors of most of
389. the popular virus-fighting programs and other experts immediately
390. began working together to analyze and test the virus. The
391. information presented here is a compilation of our joint
392. discoveries. The author would like to thank everybody who helped
393. in the investigation. Particular thanks to Chris Johnson
394. (GateKeeper), Jeff Shulman (VirusDetective), Paul Cozza (SAM),
395. Robert Woodhead (Virex), Dave Platt, Werner Uhrig, and the Apple
396. Virus Rx team. Thanks also to the many Mac users who sent reports
397. of WDEF sightings and problems caused by the virus.
398.  
399. John Norstad
400. Academic Computing and Network Services
401. Northwestern University
402. 2129 Sheridan Road
403. Evanston, IL 60208
404.  
405. Bitnet: jln@nuacc
406. Internet: jln@acns.nwu.edu
407. CompuServe: 76666,573
408. AppleLink: A0173
409.  
410. ------------------------------
411.  
412. Date:    Thu, 14 Dec 89 17:31:10 -0500
413. From:    Lynne Meeks <LZM@UVMVM.BITNET>
414. Subject: WDEF found at University of Vermont (Mac)
415.  
416. We discovered we have at least one Mac with the WDEF virus. The most
417. likely source is a disk brought here from Dartmouth by a student.
418. although there is another (unknown) potential source.  The virus was
419. discovered (and successfully removed) by Virus Detective 3.1 which we
420. were trying out. We did not have any indication we had a virus.  Guess
421. this one travels fast...
422.  
423. ------------------------------
424.  
425. Date:    Thu, 14 Dec 89 19:08:00 -0500
426. From:    IA96000 <IA96@PACE.BITNET>
427. Subject: AIDS TROJAN (PC)
428.  
429. The AIDS trojan does bring up some interesting questions. Political
430. issues aside for a second, what makes anyone think that the company or
431. individuals behind this are in Panama?
432.  
433. Just because the mail goes to Panama does not mean a thing. There
434. are also more lax regulations (I would assume) about renting post
435. office boxes outside of the United States.
436.  
437. Has anyone considered that this might be work of the people who
438. introduced BRAIN to the world? Other than the address, it might
439. well be the same culprits.
440.  
441. Rather than worry about who did it, perhaps it would be a better
442. idea to figure out what to do about? After all the potential for
443. damage is quite high, and little seems to be know about what is
444. happening, so far.
445.  
446. ------------------------------
447.  
448. Date:    14 Dec 89 23:32:14 +0000
449. From:    emx.utexas.edu!ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
450. Subject: Gatekeeper Aid 1.0 Released (Mac)
451.  
452. Gatekeeper Aid 1.0 of 13-Dec-89
453. by Chris Johnson (c) 1989
454.  
455. Gatekeeper Aid is a supplement to version 1.1.1 of the Gatekeeper
456. Anti-Virus System.  Gatekeeper Aid is a new component designed to
457. locate and remove the WDEF viruses that have recently appeared
458. and which are not hindered by Gatekeeper's existing security
459. system.  Gatekeeper Aid also checks for possible future variants
460. of WDEF.
461.  
462. Gatekeeper Aid automatically checks files as they are used for
463. the presence of specific viruses and, if viruses are found, it
464. removes them.  Like Gatekeeper, Gatekeeper Aid runs continuously
465. without the attention (and usually without the awareness) of the
466. user.
467.  
468. Unlike Gatekeeper, Gatekeeper Aid requires no configuration by
469. the user -- it's objectives are specific enough that there's
470. simply no need for configuration at this point.
471.  
472. Although Gatekeeper Aid is designed to supplement Gatekeeper,
473. it does not require that Gatekeeper be present in order to
474. operate.
475.  
476. Gatekeeper Aid has been posted to comp.binaries.mac, and is
477. immediately available for anonymous ftp from ix1.cc.texas.edu
478. and ix2.cc.utexas.edu.  You'll find it (and Disinfectant 1.5)
479. in the ~microlib/mac/virus directory.
480.  
481. The IP addresses of ix1 and ix2 are, respectively, 128.83.1.21
482. and 128.83.1.29.
483.  
484. Gatekeeper Aid will should be available from sumex and simtel
485. in the near future.
486.  
487. Cheers,
488. - ----Chris Johnson
489. - ----Author of Gatekeeper
490. - ----chrisj@emx.utexas.edu
491.  
492. ------------------------------
493.  
494. End of VIRUS-L Digest
495. *********************
496. Downloaded From P-80 International Information Systems 304-744-2253
497.