home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.262

< prev

next >

Wrap

Text File  |  1995-01-03  |  24KB  |  547 lines

---

1. VIRUS-L Digest   Monday, 18 Dec 1989    Volume 2 : Issue 262
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. AIDS Trojan Update (PC)
17. Re: Major Trojan Warning (PC)
18. Possible GateKeeper Aid bug? (Mac)
19. Virus Hearing on TV (CPSR, too)
20. AIDS Trojan Update #3 (PC)
21. Virus info (Atari ST)
22. AIDS TROJAN RESEARCH (PC)
23.  
24. ---------------------------------------------------------------------------
25.  
26. Date:    Thu, 14 Dec 89 15:17:28 -0800
27. From:    Alan_J_Roberts@cup.portal.com
28. Subject: AIDS Trojan Update (PC)
29.  
30. A forward from John McAfee:
31.  
32.         Our investigation has turned up surprise: PC Cyborg
33. Corporation has indeed been registered in the country of Panama.  The
34. registration date was 04-12-89, legal deed #16653.  The resident agent
35. for due process is listed as Lucia Bernal.  The directors are: Kitain
36. Mekonen, Asrat Wakjira and Fantu Mekesse.  Since the names of the
37. directors are all West African, it appears that the story told by
38. Ketema Corporation about representing a Nigerian software firm may be
39. close to the truth.  The story unfolds.
40.         We still have no verified reports of mailings to the U.S.
41. Let's hope we continue to have none.  Needless to say, if anyone does
42. receive the AIDS diskette, do not use it.
43.  
44. John McAfee
45.  
46. ------------------------------
47.  
48. Date:    15 Dec 89 11:04:05 +0000
49. From:    Chris Moss <cdsm@sappho.doc.ic.ac.uk>
50. Subject: Re: Major Trojan Warning (PC)
51.  
52. Alan_J_Roberts@cup.portal.com writes:
53. >This is an urgent forward from John McAfee:
54. >
55. >     A distribution diskette from a corporation calling itself
56. >PC Cyborg has been widely distributed to major corporations and
57. >PC user groups around the world and the diskette contains a
58. >highly destructive trojan.
59.  
60. Further information from the London "Independent" newspaper 15 Dec
61. bylined by Science Editor Tom Wilkie, titled 'Trojan' threatens 10,000
62. computers:
63.  
64. Fears are growing that more than one mailing list was used
65. todistribute the "Aids Information" computer diskette which is
66. damaging computers.
67.  
68. Police said yesterday that they had been "inundated" by thousands of
69. complaints about the disk, which they believe may have been
70. distributed to more than 10,000 addresses in Britain. There are also
71. unconfirmed reports tha delegates to an Aids conference in Sweden have
72. been sent copies of the diskette from London.
73.  
74. Experts estimate that the cost of the operation must run to between
75. 8,000 and 10,000 pounds.
76.  
77. ...
78.  
79. According to Dr Alan Solomon, a leading expert on computer security,
80. the program counts the times a user switches on the machine.
81.  
82. After about 90 startups, Dr Solomons said, the damage routine is
83. triggered. The program encrypts the names of all files held on the
84. hard disks and "hides" them. This means that the computer's normal
85. operating software is unable to find anything except one file,
86. "CYBORG.DOC" which contains a demand for payment.
87.  
88. According to Steve Robinson of the software company Insoft, the damage
89. routine may be triggered on some machines almost as soon as the
90. program is run.  ...
91.  
92. >In addition, the British magazine "PC Business World" has
93. >included a copy of the diskette with its most recent publication
94.  
95.  (I do not confirm the truth of this assertion, but the article continues)
96.  
97. PC Business World has produced an "Aidsout" program, written by virus
98. hunter Jim Bates, on a disk which the magazine will distribute free to
99. victims.  The program is also available on "Connect" the IBM PC User
100. Group bulletin board.
101.  
102. ... (various other symptoms)
103.  
104. Experts agree the program is so big and cleverly written that it will
105. take months to tease out all the things it may do.  For that reason,
106. users should remove all trace from machines as soon as possible.
107.  
108. For free information send a SAE to: IBM PC User Group, PO Box 360,
109. Harrow HA1 4LQ; or Dr. Alan Solomon, S and S, Watermeadow, Chesham,
110. Bucks, HP5 1LP.
111.  
112. ------------------------------
113.  
114. Date:    15 Dec 89 20:27:36 +0000
115. From:    mead%hamal.usc.edu@usc.edu (Dick Mead)
116. Subject: Possible GateKeeper Aid bug? (Mac)
117.  
118.  
119. After seeing the posting of a download location for GateKeeper AID,
120. the WDEF & clone eradicator, I grabbed it and tried it out on various
121. Macs here. All seemed okay until this morning when a Mac froze when
122. using Excel 2.2 and attempting to use the Print Setup or Print
123. functions.  Removal of GateKeeper AID resolved the hang. This was on
124. both a Mac II, and an SE/30, running Multifinder. I tried renaming the
125. init to zGateKeeper AID to make it the last init, and the Mac
126. complained that it could not load the Finder. Removal of the init
127. again resolved that. I thought potential users, and the author should
128. be warned.  By the way, other than the freeze/crash above, it worked
129. as expected, and WDEF does seem to be everywhere. Sorta like
130. 'chicken-man'...
131.  
132. ------------------------------
133.  
134. Date:    Fri, 15 Dec 89 12:57:44 -0800
135. From:    cdp!mrotenberg@labrea.stanford.edu
136. Subject: Virus Hearing on TV (CPSR, too)
137.  
138. The November House Judiciary Committee hearing on computer virus legislation
139. will be shown on C-Span on December 23 (8:45 am) and December 24 (1:30 am).
140. This was an interesting and timely event with representatives from NIST,
141. ADAPSO, CBEMA, CPSR (!) and members of Congress discussing technical and legal
142. responses to the issues raised by computer viruses.
143.  
144. The prepared CPSR statement on computer virus legislation is available from the
145. CPSR Washington office.  Please send me a note if you would like a copy.
146.  
147. Marc Rotenberg.
148.  
149.  
150.  
151. ------------------------------
152.  
153. Date:    Sat, 16 Dec 89 10:24:58 -0800
154. From:    Alan_J_Roberts@cup.portal.com
155. Subject: AIDS Trojan Update #3 (PC)
156.  
157. This is a forward from the HomeBase BBS:
158.  
159. AIDS TROJAN UPDATE   Santa Clara, California.   December 16, 1989
160.  
161.      Our reports of the AIDS trojan over the past three days have
162. been sporadic, incomplete and conflicting.  Much of the
163. confusion, as we are now beginning to understand, stems from the
164. fact that the architecture of this trojan is orders of magnitude
165. more complex and interwoven than any PC based virus or trojan
166. yet encountered.  No one has yet successfully disassembled this
167. trojan, nor will they for some time to come.  The two EXE files
168. comprising the trojan diskette represent over 320K of compiled
169. Microsoft Basic code, much of it encrypted.  The trojan evolves
170. over time and uses multiple steps to create hidden and
171. interrelated directories, DOS shell routines and self modifying
172. utilities.   Numerous techniques have been employed by the
173. architects to avoid detection, analysis or tampering.  The
174. dissection is like peeling an onion with a paper clip.
175.      At this point, however, having used live trials of five
176. different samples of the mailing diskette, we have bounded the
177. beast and have at least uncovered the main elements of the
178. underlying structure.  We've learned enough to know that a
179. system can be recovered after the bomb goes off (albeit using
180. brute force), and we have a program that can disarm the trojan if
181. caught before activation.  A brief outline follows:
182.  
183. Activation:
184.      All of our samples consistently and repeatedly activated
185. after exactly 90 reboots of the system, from the time the install
186. program was executed.  This agrees with Dr. Solomon's
187. observations of two additional samples.  An anomaly that cannot
188. be explained is that more than a dozen verified cases reported
189. activation after the first reboot.  Did the designers include a
190. few copies that would activate prematurely as a warning?  Is
191. there a bug somewhere in the install or count routine?  This is a
192. question that needs answering.
193.  
194. Installation:
195.      Installation requires an average of 90 seconds.  A point
196. that has not been mentioned before, is that a reference number is
197. prominently displayed during installation.  The instructions are
198. to include this reference number when registering the program.
199. After activation, the same reference number is again displayed,
200. with clear instructions to include the number on all
201. correspondence.  Could this be used in some way during the
202. encryption/decryption process?  An example 12 digit reference
203. number is: A9738-1655603-.
204.      The Trojan creates several hidden subdirectories -- made up
205. of space and ASCII 255's  -- in the root of drive C.  The install
206. program is copied into one of these and named REM.EXE.  The
207. user's original AUTOEXEC.BAT file is copied to a file called
208. AUTO.BAT.  The first line of this file reads -- "REM Use this
209. file in place of AUTOEXEC.BAT for convenience".  The installation
210. also creates a hidden AUTOEXEC.BAT file that contains the
211. commands:
212.  
213.           C:
214.           CD \
215.           REM  Use this file in place of AUTOEXEC.BAT
216.           AUTO
217.  
218.      The CD \ actually contains ASCII characters 255, which
219. causes the directory to change to one of the hidden directories
220. containing the REM.EXE file.  The REM file is then executed and
221. decrements a counter at each reboot.
222.  
223. Activation:
224.      After 90 reboots, a message appears in the center of the
225. screen:
226.  
227.           The software lease for this computer has expired.  If
228.           you wish to use this computer, you must renew the
229.           software lease.  For further information turn on the
230.           printer and press return.
231.  
232.      When the return key is pressed, the following document is
233. printed on the printer:
234.  
235.           "If you are reading this message, then your software
236. lease from PC Cyborg Corporation has expired. Renew the software
237. lease before using this computer again. Warning: do not
238. attempt to use this computer until you have renewed your
239. software lease. Use the information below for renewal.
240.  
241.  Dear Customer:
242.  
243.  It is time to pay for your software lease from PC Cyborg
244. Corporation.  Complete the INVOICE and attach payment for the
245. lease option of your choice. If you don't use the printed
246. INVOICE, then be sure to refer to the important reference numbers
247. below in all correspondence. In return you will receive:
248.  - a renewal software package with easy-to-follow, complete
249. instructions;  - an automatic, self-installing diskette that
250. anyone can apply in minutes.
251.  
252.  Important reference numbers: A9738-1655603-
253.  
254.  The price of 365 user applications is US$189. The price of a
255. lease for the lifetime of your hard disk is US$378.  You must
256. enclose a bankers draft, cashier's check or international money
257. order payable to PC CYBORG CORPORATION for the full amount of
258. $189 or $378 with your order. Include your name, company,
259. address, city, state, country, zip or postal code. Mail your
260. order to PC Cyborg Corporation, P.O. Box 87-17-44, Panama 7,
261. Panama.
262.  
263. After this document is printed, the following warning appears:
264.  
265.           Please wait thirty minutes during this operation.  Do
266.           not turn off the computer since this will damage your
267.           system.  You will be given instruction later.  A
268.           flashing hard disk access light means WAIT!!!!!
269.  
270. This message remains displayed for up to an hour and a half on
271. some machines while heavy disk activity continues.
272.  
273. The Results:
274.      At the end of the disk activity, a new file appears at the
275. root of drive C called CYBORG.DOC.  The contents of the file are
276. the above instructions for registering the program.  There appear
277. to be 0 bytes remaining on the disk if a directory listing is
278. attempted.  A shell routine has also been installed in the
279. system.  It is a program called CYBORG.EXE, with hidden read-only
280. attributes.  This shell routine displays the following message
281. after every DOS function call:
282.  
283.           WARNING:  You risk destroying all of the files on drive
284.           C.  The lease for a key software package has expired.
285.           Renew the lease before you attempt any further file
286.           manipulations  or other use of this computer.  Do not
287.           ignore this message.
288.  
289.      If an attempt is made to run a program or perform any file
290. manipulation, an illegal command or filename message appears.  If
291. the system is powered down and booted from a floppy, the only
292. file that appears on the disk is the CYBORG.DOC file.  There are
293. 0 bytes free.  In reality all files that existed before have been
294. encrypted and given hidden attributes.  The following directory
295. listing is a sample from one of the activated 20 megabyte disks
296. where the file attributes have been cleared:
297.  
298.  Volume in drive C has no label
299.  Directory of  C:\
300.  
301. #UCU#R    AK    10071  13-07-85   1:43p
302. #UC@R&    AK    27760   3-07-85   1:43p
303. COMMAND  COM    23717  13-07-85   1:43p
304. #1!8_68@  AU      587   3-19-89   9:11a
305. 6#1N      AK       32   2-27-89  12:33p
306. KF{0U     AK      853  13-12-89   4:07p
307. }G6R      AG       98   1-04-80  12:01a
308. AUTOEXEC BAT      108   1-04-80  12:01a
309. AUTOEXEC BAK       17   1-04-80  12:01a
310. }#@&      AU   172562   8-07-89  10:40a
311. &_}1      AU    46912  12-07-89  11:58a
312. !}        AU     7294   3-01-87   4:00p
313. 1G        AU   102383   3-01-87   4:00p
314. H8C       AU   146188   1-04-80  12:11a
315. CYBORG   DOC     1326   1-04-80  12:05a
316. CYBORG   EXE      642   1-04-80  12:05a
317. AUTO     BAT      117   1-04-80  12:06a
318.        17 File(s)         0 bytes free
319.  
320.      In addition to the above, a number of hidden
321. subdirectories exist containing what appears to be an indexed
322. sequential data base with fields initialised to 20H.  This data
323. base occupies the entire free space of the disk.  The AUTOEXEC
324. file calls the CYBORG.EXE program, which is the above mentioned
325. DOS shell routine.  After the system is powered down, the hard
326. disk will no longer boot.  However, if the file AUTOEXEC is
327. executed at least once, the a <ctrl><alt><del> sequence will
328. appear to perform a re-boot and the system will on the surface
329. appear to be normal as described above, with the exception of the
330. warning message after a DIR or other DOS command.  If the file
331. CYBORG.EXE is examined using Norton or other similar utility the
332. following text is found at offset 560:
333.  
334.      <false end-file-marker>  <The Norton Utilities cannot read
335.      this file because the FAT has been locked> BORG  EXE
336.  
337.      No code can be found in the file.  However, a sector search
338. of the disk finds the CYBORG.EXE code at various offsets.  Inside
339. the code is the text listing of the hard disk directory structure
340. prior to the encryption.  The text corresponding to the above
341. encrypted root directory is:
342.  
343.  Volume in drive C has no label
344.  Directory of  C:\
345.  
346. IBMBIO   COM    10071  13-07-85   1:43p
347. IBMDOS   COM    27760   3-07-85   1:43p
348. COMMAND  COM    23717  13-07-85   1:43p
349. INFECTED EXE      587   3-19-89   9:11a
350. TINY     COM       32   2-27-89  12:33p
351. W13_B    COM      853  13-12-89   4:07p
352. AUTO     BAT       98   1-04-80  12:01a
353. AUTOEXEC BAT      108   1-04-80  12:01a
354. AUTOEXEC BAK       17   1-04-80  12:01a
355. AIDS     EXE   172562   8-07-89  10:40a
356. SCAN     EXE    46912  12-07-89  11:58a
357. FA       EXE     7294   3-01-87   4:00p
358. NU       EXE   102383   3-01-87   4:00p
359. REM      EXE   146188   1-04-80  12:11a
360.        14 File(s)  15872000 bytes free
361.  
362.      A comparison of the encrypted and unencrypted entries
363. indicates that some form of linear character mapping was used
364. (i.e.   # = I, } = A, 8 = E, @ = D, etc.)
365.  
366.      All of the data in the system appears to be intact and not
367. encrypted.  The partition table and boot sector have not been
368. modified in any way.  The system can be recovered by removing the
369. hidden directories and their contents, and by replacing the
370. encrypted entries in the FAT with the entries found in the
371. CYBORG.EXE file.  Currently this has to done by hand.  We are
372. working on a program to perform this task.
373.      If you catch this trojan before it activates, then Jim
374. Bate's AIDSOUT.COM program available on HomeBase will extract the
375. trojan and return the system to its original condition.
376.  
377.  
378. Remaining questions:
379.      Dr. Solomon reports that his sample created one additional
380. file called SHARE.EXE that had instructions to install the SHARE
381. program on a second computer and then return it to the affected
382. system.  The instructions stated that running the SHARE program
383. again on the affected system would provide 30 free re-boots of
384. the system with all data restored.  Our samples did not create
385. this SHARE program and no instructions pertaining to it were
386. given.  Whether this was a difference in diskettes or perhaps
387. attributable to our non-standard test machines we do not know.
388.  
389. John McAfee
390.  
391. ------------------------------
392.  
393. Date:    Sat, 16 Dec 89 05:36:21 -0900
394. From:    "Big MAC..." <AXMAC@ALASKA.BITNET>
395. Subject: Virus info (Atari ST)
396.  
397. I have a question for all. What is known about Viruses for the ATARI
398. ST?  I have seen alot of viruses discussed about the PC and MAC , and
399. a friend of mine has an ST that is behaving wierdly after warm boot.
400. Any Information? Thankx...
401.  
402.                         AXMAC@ALASKA.BITNET
403.  
404. ------------------------------
405.  
406. Date:    Sun, 17 Dec 89 17:54:00 -0500
407. From:    IA96000 <IA96@PACE.BITNET>
408. Subject: AIDS TROJAN RESEARCH (PC)
409.  
410. I have been asked to pass this message along to VIRUS-L and VALERT-L
411. by the fine people at SWE who have been hard at work researching the
412. AIDS problem. I pass this message along unmodified exactly as it was
413. received from SWE.
414.  
415.              AIDS "TROJAN" DISK UPDATE - DECEMBER 17, 1989
416.  
417. First, let us say for the record that everything reported so far by
418. Mr. McAfee is correct. Our tests bear out the results he has obtained.
419.  
420. Having followed the messages and updates so far, and after conducting
421. extensive tests, SWE has no doubt that there is more than one version
422. of the "trojan" disk in circulation. In certain aspects, the two AIDS
423. "trojan" disks we are testing act differently. One has a counter in it
424. and one activates on the first re-boot!
425.  
426. SWE has been working 24 hours a day since we received a copies of the
427. AIDS disks. Let me clarify that statement. We did not receive these in
428. the mail directly from the "trojan" authors. We received our copies
429. from two of our clients.
430.  
431. The suspicion that some form of encryption is being used is accurate.
432. The versions of the disks we tested checks the following criteria:
433.  
434. 1) The version of DOS in use. Both major and minor numbers are used.
435.    The major number would be 3 and the minor number would .30 in
436.    DOS version 3.30.
437.  
438. 2) The file length, date and time stamp of certain files are checked.
439.  
440. 3) The amount of total disk space and free disk space are checked.
441.  
442. These three items are then combined and processed into the "initial"
443. encryption key.
444.  
445. A form of public key encryption is then used to perform the actual
446. encryption. This was determined by the brute force decryption method.
447. SWE has several 80486's and access to a VAX and they were put to work
448. decrypting the files. It was made easier by the fact that the original
449. contents of the test disk were known. One nasty little trick the AIDS
450. "trojan" uses is that after each file is encrypted the encryption key
451. is modified slightly.
452.  
453. Fortunately, the authors did not use a long encryption key. Files
454. encrypted using the public key protocol become harder to decipher as
455. the length of the encryption key increases. Government studies
456. indicate that a file encrypted using this protocol, with a 200 digit
457. key could take as long as ten (10) years to decrypt, if you devoted a
458. CRAY exclusively to the problem!
459.  
460. SWE first suspected and tested for the public key encryption method
461. for several reasons. The major reason was the lack of access people
462. outside of the United States would have to the DES encryption formula.
463.  
464. For those not aware, the U.S. Government guards the DES formula, and
465. software which makes use of this formula may not be exported out of
466. the United States. Should it turn out that the DES formula was also
467. used, the authors of the AIDS "trojan", could possibly be prosecuted
468. under United States statutes pertaining to national security.
469.  
470. The second reason deals with the DES encryption method. Students of
471. cryptology are well aware that the DES formula has been considered
472. vulnerable for some time now. It is also a well know fact that DES
473. specific processors have been produced, which make "cracking" a DES
474. encrypted file much easier than the public key method. The DES method
475. also limits to a greater degree the length of the encryption key.
476.  
477. Combining these two reasons along with the extraordinary expense the
478. authors of the AIDS "trojan" went to, we guessed that they would also
479. use a "first class" encryption method.
480.  
481. It also makes sense from another point of view. Since the "trojan"
482. authors have gone to great care and expense, it seems prudent they
483. would not want to use an encryption method which could easily be
484. copied and distributed as a "master" cure all. Public key encryption
485. is perfect in this regard. Many different versions of DOS are now
486. in use, and depending upon the version of DOS in use and other factors
487. the "trojan" checks for, the decryption methods which must be used
488. will vary for different "trashed" disks.
489.  
490. This is not to say that other copies of the AIDS "trojan" will use
491. this same encryption method, or create the encryption keys in the same
492. manner. That is yet to be determined!
493.  
494. Once we were able to decipher one file, it was a relatively simple
495. matter to decipher the rest. We have been able to completely restore a
496. disk trashed by the version of AIDS "trojan".
497.  
498. SWE went about this research in a different manner than everyone else.
499. We have not reverse engineered the "trojans" to any great extent, nor
500. do we plan to do so. This is best left to Mr. McAfee and the other
501. experts.
502.  
503. It is our considered opinion that Quick Basic along with several
504. machine language modules were used to develop these "trojans". Reverse
505. engineering a Quick Basic program along with the libraries included at
506. link time produces huge amounts of code.
507.  
508. As far as releasing the "fixes", not enough is yet known by SWE to be
509. able to provide a substantial program. We need more information about
510. how many versions of the AIDS "trojan" are in circulation, as well as
511. samples of these for study. SWE has no intention of publicly releasing
512. a "fix" at this time or in the future.
513.  
514. It is our opinion that the best course SWE can take is to share our
515. knowledge with others who have the knowledge and experience to take
516. what we learned and investigate further.
517.  
518. To that end, SWE is willing to forget past differences with a specific
519. company and share our files as well as the "fixes" and our knowledge
520. on cryptology with them, for the good of the computing community. If
521. they are interested, leave a public message on your BBS in the virus
522. SIG. Some type of agreement can be reached if you are interested in
523. doing so!
524.  
525. The opinions and statements expressed herein are those of SWE. These
526. are based on research done on two copies of the AIDS "trojan" disk we
527. have tested. Findings produced by other people working on this problem
528. may agree, vary, or contradict our findings. So be it! SWE is not
529. competing with anyone else working on this problem. We present this
530. information solely to acquaint the computing community on the details
531. we have discovered so far.
532.  
533. The information contained in the message above was supplied by the
534. people at SWE, who have postponed their vacation closing to conduct
535. research into the AIDS problem.
536.  
537. It is my opinion that everyone should band together on this one! The
538. AIDS disk seems to be very complicated and it will probably take the
539. combined knowledge of everyone working on this disaster to come up
540. with a solution.
541.  
542. ------------------------------
543.  
544. End of VIRUS-L Digest
545. *********************
546. Downloaded From P-80 International Information Systems 304-744-2253
547.