home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.263

< prev

next >

Wrap

Text File  |  1995-01-03  |  17KB  |  387 lines

---

1. VIRUS-L Digest   Tuesday, 19 Dec 1989    Volume 2 : Issue 263
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Re: Use of Digital Signatures
17. SCAN Update for AIDS Trojan (PC)
18. Source for virus detction programs (PC)
19. WDef and Gatekeeper Aid.
20. New/Old(?) Possible Virus (PC)
21. AIDS TROJAN RESEARCH
22. Re: AIDS Trojan (PC)
23. Aids cures (PC)
24.  
25. ---------------------------------------------------------------------------
26.  
27. Date:    Mon, 18 Dec 89 14:20:55 +0200
28. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
29. Subject: Re: Use of Digital Signatures
30.  
31.   When I submitted my contribution on Signature Programs (Issue 256) I
32. wouldn't have been surprised to be criticized for something I wrote,
33. but I hardly expected to be criticized for something I *didn't* write!
34. According to William Murray (#257),
35. >                             The insistence of Mr. Radai et. al. that,
36. >since it is possible to detect and bypass any control, that all is
37. >futile does not stand up.  ....
38. >It is time to stop condemning the useful out of hand.  Those who insist
39. >upon doing so are contributing to the problem rather than the solution.
40.  
41.   Just where, Mr. Murray, did you find in anything which I wrote, that
42. I "insist" that "all is futile" or that I "condemn the useful"???  I
43. never said anything remotely resembling these things.  The point I was
44. making was: Security of the algorithm is not enough; what's important
45. is the security of the implementing program.  Where's the futility in
46. that?
47.   Well, maybe Mr. Murray thinks that these conclusions are somehow
48. implied by the position that it's possible to detect and bypass any
49. control.  (Actually, I never said even *that*, but for sake of argu-
50. ment, let's suppose that I did.)  Just how is that supposed to imply
51. that all is futile??  My actual opinion is quite the opposite: it's
52. that even if we can't create a perfect checksum or other anti-viral
53. program, we should make an effort to think of all possible holes in
54. the system, and the more we block, the better.  There is absolutely no
55. implication of futility or condemnation of the useful either here or
56. in my original posting.  In the future, Mr. Murray, please try to read
57. more carefully before attributing positions to others.
58.  
59.   There were also some peculiar claims in the paragraph following Mr.
60. Murray's opening line "I suspect that Y. Radai misses the point of Bob
61. Bosen's posting."  However, I'll leave it to Bob himself to decide
62. which of us missed the point of his posting, Mr. Murray or me ....
63.  
64.                                      Y. Radai
65.                                      Hebrew Univ. of Jerusalem, Israel
66.                                      RADAI1@HBUNOS.BITNET
67.  
68.   P.S.  I have not been receiving Virus-L regularly for the last cou-
69. ple of months.  If there have been more recent (and hopefully more re-
70. levant!) replies to my posting which call for an answer from me,
71. please be patient.
72.  
73. ------------------------------
74.  
75. Date:    Sun, 17 Dec 89 13:53:12 -0800
76. From:    Alan_J_Roberts@cup.portal.com
77. Subject: SCAN Update for AIDS Trojan (PC)
78.  
79. Forwarded for John McAfee:
80.  
81.         Even though the AIDS Trojan is not a true virus, the
82. widespread mailings of the diskette have created a high probability
83. that we will see continuing problems from this logic bomb.
84. Accordingly, I have updated SCAN (V52) to detect the installed hidden
85. logic bomb, and SCANRES (V52) will prevent the diskette's INSTALL
86. program from installing the time bomb to begin with.
87.  
88. John McAfee
89.  
90. ------------------------------
91.  
92. Date:    18 Dec 89 15:15:41 +0000
93. From:    attcan!ram@uunet.UU.NET (Richard Meesters)
94. Subject: Source for virus detction programs (PC)
95.  
96.  
97. Hi all,
98.  
99. I'm looking for a source for public-domain PC virus protection/detection
100. programs, preferrably in the Toronto area.
101.  
102. If anyone has a number I can call, please respond via e-mail
103.  
104. Regards,
105. Richard Meesters
106.  
107.  
108. ------------------------------
109.  
110. Date:    Mon, 18 Dec 89 12:16:09 -0500
111. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM.BITNET>
112. Subject: WDef and Gatekeeper Aid.
113.  
114. I booted some Macs with Gatekeeper Aid installed this AM.  I was
115. immediately presented with a rather sharp looking dialog announcing
116. that the "Implied Loader ABDS" virus(?) was found and removed.
117.  
118. Is this the Wdef virus?  If so, why not call it such AND what is an
119. "Implied Loader ABDS".  Of course, if this is Wdef you can add the
120. University of South Carolina to the list of where the virus has
121. spread.  If not I apologize to Chris Johnson and all subscriber's for
122. my ignorance (it has been peaking lately!).
123.  
124. Greg
125.  
126. Postal address: Gregory E. Gilbert
127.                 Computer Services Division
128.                 University of South Carolina
129.                 Columbia, South Carolina   USA   29208
130.                 (803) 777-6015
131. Acknowledge-To: <C0195@UNIVSCVM>
132.  
133. ------------------------------
134.  
135. Date:    Mon, 18 Dec 89 13:02:41 -0500
136. From:    Arthur Gutowski <AGUTOWS@WAYNEST1.BITNET>
137. Subject: New/Old(?) Possible Virus (PC)
138.  
139. Someone here at Wayne State just sent me a note about some strange
140. symptoms he's been having.  Can anyone out there verify if this is
141. indeed a virus, and if so which one?  Here's the info I have
142. (emphasis mine):
143.  
144. "Here's what I know. I *believe* that a disgruntled staff member *may*
145.  have put the virus into my computer directly since the same problem
146.  occurred six months ago to another administrator in the library. He
147.  had a student computer expert solve the problem, but this student is
148.  no longer with us.
149.  
150. "I have an IBM XT with 640 and a 20meg hard drive. I've had SCANRES
151.  (Ed.v39) on the system since October 11. The infection got in since
152.  then. SCANRES says that the system is clean. I examined the AUTOEXEC
153.  and CONFIG.SYS files. They look clean to me. Problems so far include:
154.  WordPerfect 4.2: The cursor keys add extra random characters such as a
155.  'z' or 'k'. I also got the message 'ARSOLE' and the system then locked
156.  up from another cursor key sequence.  DESKTOP in PCTOOLS. The
157.  calculator locked up. I had to do a cold reboot.
158.  
159. "I replaced my base files with the SYS command on Friday and haven't
160.  noticed any problems yet, but the problems that I described above are
161.  extremely intermittent."
162.  
163.  Please reply to me, and I'll post a follow-up later.
164.  
165.  Thanks,
166.    Art
167.  
168.  Arthur J. Gutowski                                                  /=====\
169.  Antiviral Group / Tech Support / WSU University Computing Center   :  o o  :
170.  5925 Woodward; Detroit MI  48202; PH#: (313) 577-0718              :       :
171.  Bitnet: AGUTOWS@WAYNEST1   Internet: AGUTOWS@WAYNEST1.BITNET       : ----- :
172.  -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-   \=====/
173.                                                                    Have a day.
174.  
175. ------------------------------
176.  
177. Date:    Sun, 17 Dec 89 17:54:00 -0500
178. From:    IA96000 <IA96@PACE.BITNET>
179. Subject: AIDS TROJAN RESEARCH
180.  
181. I have been asked to pass this message along to VIRUS-L and VALERT-L
182. by the fine people at SWE who have been hard at work researching the
183. AIDS problem. I pass this message along unmodified exactly as it was
184. received from SWE.
185.  
186.              AIDS "TROJAN" DISK UPDATE - DECEMBER 17, 1989
187.  
188. First, let us say for the record that everything reported so far by
189. Mr. McAfee is correct. Our tests bear out the results he has obtained.
190.  
191. Having followed the messages and updates so far, and after conducting
192. extensive tests, SWE has no doubt that there is more than one version
193. of the "trojan" disk in circulation. In certain aspects, the two AIDS
194. "trojan" disks we are testing act differently. One has a counter in it
195. and one activates on the first re-boot!
196.  
197. SWE has been working 24 hours a day since we received a copies of the
198. AIDS disks. Let me clarify that statement. We did not receive these in
199. the mail directly from the "trojan" authors. We received our copies
200. from two of our clients.
201.  
202. The suspicion that some form of encryption is being used is accurate.
203. The versions of the disks we tested checks the following criteria:
204.  
205. 1) The version of DOS in use. Both major and minor numbers are used.
206.    The major number would be 3 and the minor number would .30 in
207.    DOS version 3.30.
208.  
209. 2) The file length, date and time stamp of certain files are checked.
210.  
211. 3) The amount of total disk space and free disk space are checked.
212.  
213. These three items are then combined and processed into the "initial"
214. encryption key.
215.  
216. A form of public key encryption is then used to perform the actual
217. encryption. This was determined by the brute force decryption method.
218. SWE has several 80486's and access to a VAX and they were put to work
219. decrypting the files. It was made easier by the fact that the original
220. contents of the test disk were known. One nasty little trick the AIDS
221. "trojan" uses is that after each file is encrypted the encryption key
222. is modified slightly.
223.  
224. Fortunately, the authors did not use a long encryption key. Files
225. encrypted using the public key protocol become harder to decipher as
226. the length of the encryption key increases. Government studies
227. indicate that a file encrypted using this protocol, with a 200 digit
228. key could take as long as ten (10) years to decrypt, if you devoted a
229. CRAY exclusively to the problem!
230.  
231. SWE first suspected and tested for the public key encryption method
232. for several reasons. The major reason was the lack of access people
233. outside of the United States would have to the DES encryption formula.
234.  
235. For those not aware, the U.S. Government guards the DES formula, and
236. software which makes use of this formula may not be exported out of
237. the United States. Should it turn out that the DES formula was also
238. used, the authors of the AIDS "trojan", could possibly be prosecuted
239. under United States statutes pertaining to national security.
240.  
241. The second reason deals with the DES encryption method. Students of
242. cryptology are well aware that the DES formula has been considered
243. vulnerable for some time now. It is also a well know fact that DES
244. specific processors have been produced, which make "cracking" a DES
245. encrypted file much easier than the public key method. The DES method
246. also limits to a greater degree the length of the encryption key.
247.  
248. Combining these two reasons along with the extraordinary expense the
249. authors of the AIDS "trojan" went to, we guessed that they would also
250. use a "first class" encryption method.
251.  
252. It also makes sense from another point of view. Since the "trojan"
253. authors have gone to great care and expense, it seems prudent they
254. would not want to use an encryption method which could easily be
255. copied and distributed as a "master" cure all. Public key encryption
256. is perfect in this regard. Many different versions of DOS are now
257. in use, and depending upon the version of DOS in use and other factors
258. the "trojan" checks for, the decryption methods which must be used
259. will vary for different "trashed" disks.
260.  
261. This is not to say that other copies of the AIDS "trojan" will use
262. this same encryption method, or create the encryption keys in the same
263. manner. That is yet to be determined!
264.  
265. Once we were able to decipher one file, it was a relatively simple
266. matter to decipher the rest. We have been able to completely restore a
267. disk trashed by the version of AIDS "trojan".
268.  
269. SWE went about this research in a different manner than everyone else.
270. We have not reverse engineered the "trojans" to any great extent, nor
271. do we plan to do so. This is best left to Mr. McAfee and the other
272. experts.
273.  
274. It is our considered opinion that Quick Basic along with several
275. machine language modules were used to develop these "trojans". Reverse
276. engineering a Quick Basic program along with the libraries included at
277. link time produces huge amounts of code.
278.  
279. As far as releasing the "fixes", not enough is yet known by SWE to be
280. able to provide a substantial program. We need more information about
281. how many versions of the AIDS "trojan" are in circulation, as well as
282. samples of these for study. SWE has no intention of publicly releasing
283. a "fix" at this time or in the future.
284.  
285. It is our opinion that the best course SWE can take is to share our
286. knowledge with others who have the knowledge and experience to take
287. what we learned and investigate further.
288.  
289. To that end, SWE is willing to forget past differences with a specific
290. company and share our files as well as the "fixes" and our knowledge
291. on cryptology with them, for the good of the computing community. If
292. they are interested, leave a public message on your BBS in the virus
293. SIG. Some type of agreement can be reached if you are interested in
294. doing so!
295.  
296. The opinions and statements expressed herein are those of SWE. These
297. are based on research done on two copies of the AIDS "trojan" disk we
298. have tested. Findings produced by other people working on this problem
299. may agree, vary, or contradict our findings. So be it! SWE is not
300. competing with anyone else working on this problem. We present this
301. information solely to acquaint the computing community on the details
302. we have discovered so far.
303.  
304. The information contained in the message above was supplied by the
305. people at SWE, who have postponed their vacation closing to conduct
306. research into the AIDS problem.
307.  
308. It is my opinion that everyone should band together on this one! The
309. AIDS disk seems to be very complicated and it will probably take the
310. combined knowledge of everyone working on this disaster to come up
311. with a solution.
312.  
313. ------------------------------
314.  
315. Date:    18 Dec 89 19:07:43 +0000
316. From:    Ralph Mitchell <Ralph.Mitchell@brunel.ac.uk>
317. Subject: Re: AIDS Trojan (PC)
318.  
319. dmg@retina.mitre.org (David Gursky) writes:
320. >The AIDS Trojan Horse discussed by Alan Jay and John McAfee raises some
321. >interesting questions about accountability.
322. >[...]
323. >In the broader case, could the perpetrators be extradicted to one of
324. >the European countries that have better relations with Panama, and be
325. >held liable for damages even though the license says not to use the
326. >application without first paying for it.
327.  
328. There is no actual address on the documentation that comes with the disk.
329. The only way to find out where to send the money is by running the install
330. program, thought it doesn't even say that in the notes...  Of course, by
331. that time, it is firmly ensconced on your hard disk...
332.  
333. Ralph Mitchell
334. - --
335. JANET: ralph@uk.ac.brunel.cc  ARPA:  ralph%cc.brunel.ac.uk@cwi.nl
336. UUCP:  ...ukc!cc.brunel!ralph PHONE: +44 895 74000 x2561
337. "There's so many different worlds, so many different Suns" - Dire Straits
338. "Never underestimate the power of human stupidity" - Salvor Hardin, Foundation
339.  
340. ------------------------------
341.  
342. Date:    Sun, 17 Dec 89 21:14:50 -0500
343. From:    Christoph Fischer <RY15@DKAUNI11.BITNET>
344. Subject: Aids cures (PC)
345.  
346. A I D S  -  D I S C E T T E
347. ===========================
348. Dr. Solomon and I just had a phone conversation on possible cures for
349. the affects of the AIDS disc.
350. In STAGE ONE
351.     (the disc has been installed but the filenames are not encrypted)
352. Several hidden directories, a file REM.EXE, and an altered AUTOEXEC.BAT
353. have been installed. Some sources suggest removing these directories,
354. the added files, and restoring the original AUTOEXEC.BAT will cure all
355. effects of STAGE ONE.
356. Because of the uncertainty what else the program does, people who want
357. maximum security are advised to copy the files to diskettes after the
358. above procedure. Low-level format the discs and restore all programs
359. and data.
360. Dr. Solomon and I are not sure that all discs behave the same way.
361. Our samples don't touch harddiscs higher than C: (D:, E:, ...) but there
362. are reports of discs that do! (maybe just rumors?)
363. STAGE TWO is entered after 90 executions of the AUTOEXEC.BAT with our
364. samples but there are victims that claim that their version of the
365. software skips STAGE ONE.
366.  
367. In STAGE TWO the program encrypts the filenames and alters other things.
368. A mockup is started after reboot from the harddisc that gives you a
369. correct directory listing plus an added comment that the lease of the
370. CYBORG software has expired.
371. In this stage the disc contense appears to be useless.
372. Dr. Solomon was the first to discover a principle behind the encryption
373. and is working on a program to recover the original filenames.
374. We both think that this mechanism should only be used to backup all
375. data of an infected disc. A LOW-LEVEL format of the harddisc and
376. reinstallation of programs and data are the safest means to remove
377. all affects.
378.  
379. Sincerely Chris Fischer (University of Karlsruhe, West-Germany)
380. and Dr. Alan Solomon (S&S Enterprises, Chesham, Bucks, Great-Britain)
381.  
382. ------------------------------
383.  
384. End of VIRUS-L Digest
385. *********************
386. Downloaded From P-80 International Information Systems 304-744-2253
387.