home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.36

< prev

next >

Wrap

Text File  |  1995-01-03  |  13KB  |  311 lines

---

1. VIRUS-L Digest              Monday, 6 Feb 1989          Volume 2 : Issue 36
2.  
3. Today's Topics:
4. re: Malicious program classification
5. Locking out floppy drive boot (PC)
6. RE: floppy boot (PC)
7. courses in viruses
8. re: Hardware lock (PC)
9. Re: Mac Gatekeeper problems
10. Virus Attack (PC)
11. INIT 29 Virus (Mac)
12. Sneak Virus (Mac)
13. (c) Brain Virus (PC)
14.  
15. ---------------------------------------------------------------------------
16.  
17. Date:        3 February 89, 12:15:38 +0100 (MEZ)
18. From:        Otto Stolz <RZOTTO@DKNKURZ1.BITNET>
19. Subject:     re: Malicious program classification
20.  
21. Hello fellow-huntsmen,
22.  
23. > A kind of "standard notation" [...] in a single sequence of characters.
24.  
25. We should definitely use consistent terminology, but let it not be too
26. terse.  You should be able to understand a program-description without
27. referring to some "code-book".
28.  
29. > three kinds of programs - Trojans, worms, and viruses [...]
30. > CHRISTMA.EXEC would be a fWOR (as far as I know) under this notation.
31.  
32. The term "worm" is widely used (as far as I'm aware) for a program
33. that spreads over a network without human intervention, using the RJE
34. services of the network.  (The Internet-worm exploited a bug in the
35. "fingerd" program, and a backdoor in the "sendmail" program, both
36. providing unauthorized, RJE-like services.)
37.  
38. CHRISTMA EXEC was definitely not a worm, but something which doesn't
39. fall within one of Ken H's categories: It was a Trojan horse whose
40. unexpected action involved sending copies of itself all around the
41. network; hence, it depended on human intervention, as any virus or
42. Trojan.  Supposedly, the term "rabbit" I read recently in a survey was
43. meant to apply to this sort of beast?  (Btw: I'm still waiting,
44. eagerly, for the results of that survey to be published in VIRUS-L
45. ...)
46.  
47. Hence, we should adopt a more complete terminology for our zoo!
48.  
49. > three methods of activity - hardware, error, and feature exploitation
50.  
51. As to my opinion, this distinction is not so important for
52. (short-range) virus/worm/&c defeating; it bears more on (long-term)
53. strategies for systems-architecture developping.  Moreover, most virus
54. strains do not fall neatly within one of these categories. (Somehow,
55. the hardware is exploited by every piece of code, isn't it? :-)
56.  
57. Hence, I'd drop this issue for virus catalogues, alerts and the like.
58.  
59. However, Ken H has not mentioned a much more important distinction in
60. the modes of operation.  If we adopt some formalism, we definitely
61. should include this one: Link-virus vs. System-Virus.
62.  
63. This distinction only applies to viruses, dividing them into two sub-
64. categories.
65. - -- A link virus incorporates itself into application-programs or system
66.    parts wich are invoked like application-programs (e.g COM, EXE, and
67.    OVL files in MS-DOS; MODULEs in CMS).  If some virus only incorporates
68.    itself into application-programs of some particular form, this behavi-
69.    our should be accounted for in the term (e.g. Blackjack is a COM-virus
70.    for MS-DOS).
71. - -- A system virus incorporates itself into a part of the operating system
72.    that is invoked in some particular way (e.g. a Boot-Sector Virus, a
73.    COMMAND.COM-Virus, or a KEYB.COM-Virus in MS-DOS).
74.  
75. Maybe, there are similar distinctions to be drawn in other areas, e.g.
76. for worms.  Opinions?
77.  
78. Btw, a German group around Prof. Klaus Brunnstein at Hamburg is
79. currently evaluating a sample of various virus strains for Amiga,
80. MacIntosh, Atari, and MS-DOS systems (about two dozen, altogether) and
81. of anti-virus soft- ware.  They have started compiling two catalogues
82. (virus/antivirus) and publishing them on a BB in Germany.  The
83. distinction between "link" and "system" virus stems from them.  They
84. also have started translating their catalogue to English.  I suppose,
85. they are currently checking with Ken [vW, this time], whether it can
86. be made available on LISTSERV at LEHIIBM.  We'll probably read more of
87. this endeveaour, shortly.
88.  
89. Good hunting|
90.               Otto
91.  
92. ------------------------------
93.  
94. Date:      Fri, 3 Feb 89 09:49:24 EST
95. From:      "Bret Ingerman 315-443-1865" <INGERMAN@SUVM.ACS.SYR.EDU>
96. Subject:   Locking out floppy drive boot (PC)
97.  
98.    James Ford asks about locking a hard disk to always boot from drive
99. C: but still have drive A: available.
100.  
101.    It depends on the type of computer.  We have a Zenith AT that can
102. easily be set up to do this.  By pressing "ALT-CTRL-INS" a
103. configuration menu pops up.  You can then specify what drive to boot
104. from.  You can specify always boot from drive A:, always from C:, or
105. to try A: first and then C:
106.  
107.    Hop this helps.
108.  
109. Bret Ingerman                                 INGERMAN@SUVM.bitnet
110. Syracuse University
111.  
112. ------------------------------
113.  
114. Date: Fri, 3 Feb 89 09:50 MST
115. From: GORDON_A%CUBLDR@VAXF.COLORADO.EDU
116. Subject: RE: floppy boot (PC)
117.  
118. re: computers booting from drive C instead of Drive A: I presume that
119. you have some sort of IBM PC compatible system.  The boot process is
120. controlled by the BIOS which is on a ROM chip on the motherboard.  In
121. older PC's and for example the old COMPAQ portables, the BIOS was not
122. written to recognize a hard drive.  Thus an upgrade is required.  That
123. is you need to purchase a new version of the BIOS.  In the old COMPAQ
124. portables, this costs about $50.  In addition, you may need to replace
125. the power supply as well
126.  
127. Allen Gordon
128.  
129. ------------------------------
130.  
131. Date:  Fri, 3 Feb 89 14:00 EST
132. From:  Les Gotch <Gotch@DOCKMASTER.ARPA>
133. Subject:  courses in viruses
134.  
135. In reply to Stan Horowitz's question about COMPUSEC courses at
136. universities on December 16, 1988:
137.  
138. The Information Security Education Office of the National Security
139. Agency has worked with members of the academic community and developed
140. several Computer Security Education Modules.  They were designed for
141. inclusion in college curricula and range from lower undergraduate
142. courses through graduate level.  The undergraduate modules can be
143. incorporated into an existing course structure of a computer science,
144. engineering, business, or an information science department curricula.
145.  
146. The following Computer Security undergraduate modules are intended to be
147. used in either a computer science or engineering curricula.  They are
148. entitled:  Introduction to Information Protection, Database System
149. Security, Network Security, Formal Specification and Verification,
150. Operating Systems Security, and Risk Analysis.  These modules are
151. available for any university or college upon request.
152.  
153. In addition, there are seven Information Security undergraduate modules
154. designed to stand alone as a course or comprise part of a business or
155. information science curriculum.  The modules include:  PC/Workstation
156. Security, Security Fundamentals, Introduction to Information Protection,
157. Information Security Legislation and Liability, System Security,
158. Communications Security, and Corporate Security Management.
159.  
160. The University of Maryland's Engineering Department is offering, during
161. the spring 1989 semester, four computer security graduate courses.
162. These courses are the first four of nine to be developed that permit a
163. student to plan a degree program with a concentration in the area of
164. computer security.  They are entitled:  ENEE 748A Architecture for
165. Secure Systems, ENEE 748B Networking and Network Security, ENEE 748F
166. Theoretical Foundations of Computer Security, and ENEE 748G Operating
167. System Security.
168.  
169. Janet Meeks, (301) 859-4477
170.  
171. ------------------------------
172.  
173. Date:        3 February 89, 20:11:49 +0100 (MEZ)
174. From:        Otto Stolz <RZOTTO@DKNKURZ1.BITNET>
175. Subject:     re: Hardware lock (PC)
176.  
177. > is there any way to (hardware) fix drive "A" so that the computer will
178. > ... boot from C always, read/write from A and C ?
179.  
180. We use the "SafeGuard Plus" card for this purpose.
181. It'll also fix drive B the same way.
182.  
183. We never have experienced any boot-virus :-)
184.  
185. Otto
186.  
187. ------------------------------
188.  
189. Date:     Fri,  3 Feb 89 21:37 GMT
190. From:     Danny Schwendener <SEKRETARIAT@CZHETH5A.BITNET>
191. Subject:  Re: Mac Gatekeeper problems
192.  
193. >Observed Problems:
194. >   1. Gatekeeper *DOES NOT* register inside the Control Panel
195.  
196. You need to reboot the system first. Apparently, the Gatekeeper
197. cdev appears only if the INIT has been executed. At least, I
198. had the same symptoms, which disappeared when I rebooted my
199. system.
200.  
201. >      - ID = 02
202. >      - ID = 03
203. >      - ID = 22
204. >      - ID = 15
205.  
206. Once you get it to work, Gatekeeper prevents any non-authorised program
207. from copying resources or/and changing file information. It just
208. returns an error status code. It's up to the application to perform
209. a correct error handling.
210.  
211. Unfortunately, many application programmers don't care a bit about
212. error handling. They don't check if the things have been done as
213. expected. In some cases, this will cause the application to crash.
214.  
215. Gatekeeper prevents efficiently abuses of the resource manager calls
216. by any programs (including viruses). Programmers will find it
217. extremely useful, because you can configure it to give full access of
218. the resource manager to *some* programs, like compilers. HOWEVER it
219. takes much more time to have it tuned correctly.
220.  
221. I recommend Gatekeeper to those it was written for, Programmers. Other
222. people should stick to the Vaccine CDEV.
223.  
224. - -- Danny Schwendener
225. - -- ETH Macintosh Support, ETH-Zentrum m/s PL, CH-8092 Zuerich
226. - -- Bitnet :   macman@czheth5a      UUCP   :   {cernvax,mcvax}ethz!macman
227. - -- Ean    :   macman@ifi.ethz.ch   Voice  :   yodel three times
228.  
229. ------------------------------
230.  
231. Date:     Fri 03 Feb 1989 17:12 CDT
232. From:     GREENY <MISS026@ECNCDC.BITNET>
233. Subject:   Virus Attack (PC)
234.  
235. A virus which is purported to be of the BRAIN type has supposedly just
236. hit EIU (Eastern Illinois University).  Has anyone got any info on how
237. to eradicate the bugger?  I usually specialize in Mac stuff, but my
238. school (WIU) and EIU are on the same network so they asked for help
239. via a local Bulletin Board.
240.  
241. Any info will be appreciated.  Also, I already told them to snag a
242. copy of NOBRAIN.C from the server...
243.  
244. Bye for now but not for long
245. Greeny
246. BITNET: miss026@ecncdc
247. Internet: miss026%ecncdc.bitnet@cunyvm.cuny.edu
248. Disclaimer: I only repeat what I hear that ain't classified!
249.  
250. ------------------------------
251.  
252. Date:         03 FEB 89 21:12:33 CST
253. From:     RBCSCG05 <COSTERHD@SFAUSTIN.BITNET>
254. Subject:  INIT 29 Virus (Mac)
255.  
256.     This "new" virus (to me at least) seems to be the most dangerous
257. so far -- attacking even data files !  Gone are the days of restoring
258. applications only.
259.     Nevertheless, nothing may be available now to immunize against it
260. or remove it, but I think it can be "easierly" detected then through
261. RESEDIT and the like (especially since that is a dangerous application
262. to pry through your disk and programs, even knowing what you are
263. doing).  Yes, I may be overly cautious, but you can never be when it
264. comes to viruses.
265.     A program called VCHECK creates checksums of your applications and
266. creates a corresponding report with can be easily printed.  After the
267. first checksums are done, subsequent ones will use the previous one to
268. see if anything has changed -- this includes if the applications may
269. have been moved, renamed or duplicated.  You will be shown those that
270. may have changed.
271.    VCHECK by Albert Lunde at Northwestern University.  The version I
272. have is 1.3 (7/5/1988).  I believe it is available at the VIRUS-L
273. archive on the network BITNET.  I do not remember where I got my
274. from, but I know it was off the BITNET network.  After a SCORES
275. virus hit me, I searched for any and all anti-viral software.
276.    If you use a checksum method, keep the checksum document on a
277. separate disk so it will not be possibly corrupted (viruses or
278. otherwise).
279.  
280.  
281. Chris Osterheld  <COSTERHD@SFAUSTIN.BITNET>
282.  
283. ------------------------------
284.  
285. Date:         Fri, 03 Feb 89 19:27:29 PST
286. From:         Sam Cropsey <SAM@POMONA.BITNET>
287. Subject:      Sneak Virus (Mac)
288.  
289. Has anyone dealt with the sneak virus?  Well we have it and I sure do
290. not want it.  If anyone has some info...please send it to me at:
291.  
292. SAM@POMONA      or     SCROPSEY@PCMATH.  Thanks...
293.  
294. ------------------------------
295.  
296. Date:    Fri, 03 Feb 89 19:34:31 PST
297. From:    "Sam Cropsey (Micro Coord. Pomona College)" <SAM@POMONA.BITNET>
298. Subject: (c) Brain Virus (PC)
299.  
300. I know much has been written concerning the Brain virus on PC's.
301. However, I do not get the chance to read all that is published on this
302. service.  If anyone has some useful info on combatting the Brain, I
303. would greatly appreciate the help.  My address is
304. SAM@POMONA OR SCROPSEY@PCMATH.  Thanks for your help...
305.  
306. ------------------------------
307.  
308. End of VIRUS-L Digest
309. *********************
310. Downloaded From P-80 International Information Systems 304-744-2253
311.