home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.39 < prev    next >
Text File  |  1995-01-03  |  12KB  |  262 lines
  1. VIRUS-L Digest             Wednesday, 8 Feb 1989        Volume 2 : Issue 39
  2.  
  3. Today's Topics:
  4. On COMMAND.COM viruses... (PC)
  5. Re: Master Virus Listing info request
  6. Virus Manual/Computer Phreak's Cookbook/Bit Jammer's Bible
  7. (c) Brain (PC)
  8. Re: Anarchist Cookbook for Computers
  9. How To Book, 2
  10. New Macintosh Virus (from Newsgroups: comp.sys.mac)
  11. Latent Mac viruses??
  12.  
  13. ---------------------------------------------------------------------------
  14.  
  15. Date: Tue, 7 Feb 89 10:36:40 est
  16. From: ubu!luken@lehi3b15.csee.lehigh.edu
  17. Subject: On COMMAND.COM viruses... (PC)
  18.  
  19. This latest occurrence of the Lehigh Virus made me realize (again) how
  20. blatantly hole ridden the COMMAND.COM file is.  The last couple
  21. hundred bytes in every version of COMMAND.COM (that I've seen) contain
  22. all 00s (for stack space while the program is executing).  Also, the
  23. *very first* instruction in the file is a JMP.  What's worse, almost
  24. all PCs have a COMMAND.COM file in their root directory.  It doesn't
  25. take a rocket scientist to figure out how to exploit these
  26. similarities.
  27.  
  28. The best thing that a person can do (imho) to protect themselves from
  29. a "garden variety COMMAND.COM virus" is to remove their computer(s)
  30. from this homogeneous environment by placing a statement like:
  31.  
  32. SHELL=C:\BIN\DOS\COMMAND.COM /P
  33.  
  34. in each CONFIG.SYS file, thus booting from a COMMAND.COM in a
  35. different directory, would help.  Also, put a:
  36.  
  37. SET COMSPEC=C:\BIN\DOS\COMMAND.COM
  38.  
  39. in each AUTOEXEC.BAT file.  This will allow normal functioning in
  40. MS-DOS without leaving a COMMAND.COM file wide open to viruses.  Once
  41. exception to this (at least in the case of Zenith MS-DOS) is with the
  42. FORMAT command; it requires a COMMAND.COM file in the root directory
  43. to format a bootable disk.  That is, the authors of FORMAT (Microsoft?
  44. Zenith?) didn't adhere to the standard way of pointing to the
  45. COMMAND.COM (heavy sigh)...
  46.  
  47. I realize that this has all been discussed before on VIRUS-L, and that
  48. it certainly isn't going to stop all viruses (!).  It will, however,
  49. at least hide a major Achilles Tendon in MS-DOS.  Of course, if
  50. *everyone* did the above, then the environment would once again become
  51. homogeneous, so each person should find a different "hiding place" for
  52. their COMMAND.COM file.
  53.  
  54. Also, the best solution would be for Microsoft to change some of their
  55. programming practices.  Static memory allocation is asking for
  56. problems.  It's also surprising how many programs place a JMP
  57. statement as their very first instruction.
  58.  
  59. For what it's worth,
  60.  
  61. Ken
  62.  
  63. ------------------------------
  64.  
  65. Date:    7 Feb 89
  66. From:    J. D. Abolins <OJA@NCCIBM1.BITNET>
  67. Subject: Re: Master Virus Listing info request
  68.  
  69. For Paul Bienevue's question about a master virus listing, I don't
  70. of a comprehensive existing one yet. There are several of us who
  71. are attempting to get a list going.
  72.  
  73. The DIRTY DOZEN listing by Eric Newhouse has a virus section. It is
  74. the only widely available attempted virus listing I know of. But the
  75. listing is woefully out of date (although for other malicious programs
  76. it is excellent.) In communicating with Eric again on the Crest BBS,
  77. he told that he plans one more Dirty Dozen listing- version 9.0. After
  78. that, he might be "retiring" from makingmore such listings. In any
  79. case, we (the people working on a virus listing) aim to continue the
  80. virus listing past the Dirty Dozen if it should cease.
  81.  
  82. A general question: What are some of the taxonomical conventions for
  83. virus cases? Ie; naming schemes for the cases.Some have been discussed
  84. here lately. Of course, there is the approach of naming the case after
  85. it first major reported site (eg; Lehigh virus, Jerusalem virus, etc.)
  86. But such conventions can create problems, including giving the im-
  87. pression that the case is localized and by causing adverse publicity
  88. for the site named.I would like to have the choices of conventions
  89. so that a "neutral" scheme could be used for virus listing. The
  90. other names could given as "aliases, AKA's)
  91.  
  92. Thank you.
  93. J.D. Abolins / 301 N. Harrison Str. #197 / Princeton, NJ 08540 USA
  94. (609) 292-7023
  95.  
  96. ------------------------------
  97.  
  98. Date:         Tue, 07 Feb 89 11:37:08 EDT
  99. From:         34AEJ7D@CMUVM.BITNET
  100. Subject:      Virus Manual/Computer Phreak's Cookbook/Bit Jammer's Bible
  101.  
  102. We would like very much to capture a copy of this publication.
  103. (Please, no flaming diatribes about the evils of reading such
  104. material.) We now have fairly good evidence that it is already in
  105. circulation at at least one institution with which we have close ties
  106. and with whom we share a certain common body of studetns. The
  107. potential result of that is not hard to assess. Additionally, this
  108. list itself has already offered an awareness of such a publication to
  109. the student community.
  110.  
  111. We need to be aware of what we could be up against.
  112.  
  113. Please reply to me privately, for obvious reasons.
  114.  
  115. ............................................................................
  116. |W. K. "Bill" Gorman                 "Do             Foust Hall # 5        |
  117. |PROFS System Administrator        SOMETHING,        Computer Services     |
  118. |Central Michigan University      even if it's       Mt. Pleasant, MI 48858|
  119. |34AEJ7D@CMUVM.BITNET                wrong!"         (517) 774-3183        |
  120. |Disclaimer: These opinions are guaranteed against defects in materials and|
  121. |workmanship for a period not to exceed transmission time.                 |
  122. |..........................................................................|
  123.  
  124. ------------------------------
  125.  
  126. Date:         Tue, 7 Feb 1989 09:41 PAC
  127. From:         Marty Zimmerman <MARTYZ@IDUI1.BITNET>
  128. Subject:      (c) Brain (PC)
  129.  
  130. I'm looking for any information or advice on the "(c) Brain" virus.
  131. Has anyone documented the means by which this thing breeds?  Thanks in
  132. advance for your help.
  133.  
  134. P.S. - please reply directly to me, unless you think your comments
  135. would be of interest to everyone.
  136.  
  137. Marty Zimmerman
  138. University of Idaho
  139. Computer Services
  140. <MARTYZ@IDUI1.BITNET>
  141.  
  142. [Ed. Take a look at J.D. Abolins's message in this digest.]
  143.  
  144. ------------------------------
  145.  
  146. Date:         Tue, 7 Feb 1989 12:38 EST
  147. From:         Bruce Ide <xd2w@PURCCVM.BITNET>
  148. Subject:      Re: Anarchist Cookbook for Computers
  149.  
  150.      If they tell you how to write 'em, the are also telling you what
  151. to look out for and how to destroy them. I'd buy the book.
  152.                                       -Grey Fox
  153.  
  154. ------------------------------
  155.  
  156. Date:         Tue, 07 Feb 89 19:12:53 MEZ
  157. From:         Konrad Neuwirth <A4422DAE@AWIUNI11.BITNET>
  158. Subject:      How To Book, 2
  159.  
  160. I just wanted my $0.02 to the discussion about a HOW TO book. I don't
  161. think it is a bad idea to publish a virus. If someone types in the
  162. virus from the book I cited earlier, almost nothing happens. and if he
  163. just changes the routines which do something to the system (the writer
  164. uses a "SHELL") it should be easier to write a antidote.  I know it is
  165. not easy to find about how the code was originally written, but it
  166. should be easier to scan a program or anything infectable for a
  167. certain bit of code, which can come from the book.
  168.  
  169. - -konrad
  170.  
  171. p.s.: the book doesn't give a listing of an antidote. maybe that would
  172. be an idea worth thinking about...
  173.  
  174. ------------------------------
  175.  
  176. Date: 7 Feb 89 15:29:46 GMT
  177. From: hammen@csd4.milw.wisc.edu (Robert J. Hammen)
  178. Subject: New Macintosh Virus (from Newsgroups: comp.sys.mac)
  179.  
  180. This is some info on a new Mac virus. This article was originally
  181. posted on CompuServe, and reposted on Delphi by Robert Wiggins:
  182.  
  183. Reposted message at the request of the author, Thierry DeLettre: Until
  184. now, all known Macintosh viruses could be easily detected by the
  185. additional resources they created. Now, it's over... There is at least
  186. one virus that creates no additionnal resource. This virus is called
  187. ANTI, and infects only applications (and other files, ID=1 resource.
  188. It inserts a JSR at the beginning of the resource and all the virus
  189. code at the end. It seems to be very recent, but we have already found
  190. infected Macintoshes in Paris and Marseilles, and it is probably
  191. making its way fast across all Europe. This virus is _not_ detected by
  192. VirusDetective or other utilities. It installs itself even when
  193. Vaccine is on. Vaccine beeps only if the 'Always compile MPW Inits' is
  194. _not_ checked. Virus Rx does not detect ANTI's presence in other
  195. files, but, when infected itself, changes its name to 'Throw me in the
  196. trash'. It doesn't seem to infect all applications, but only some (the
  197. ones with a CODE 1 resource called 'Main'). We haven't found how it
  198. works yet.  It doesn't seem to change the System file, which doesn't
  199. contain a CODE resource. The contagion seems to be spread by the
  200. Finder. To see if an application is infected, you have to open its
  201. CODE ID=1 resource with ResEdit and search for the ASCII string
  202. 'ANTI'. You can also use the advanced features (resource fork search)
  203. of GOfer. We haven't yet found the way to remove it, but only a way to
  204. deactivate it by changing the first words of the virus code to a RTS.
  205. There is a strange story about this virus. Two years ago, Apple
  206. France's developper's support manager, Alain Andrieux, wrote a utility
  207. for his own use called 'Stamp', with which he marked the programs he
  208. gave to developpers. If a confidential program was given out, he could
  209. easily know where it came from. His program added a CODE resource to
  210. the marked files, but did _not_ change anything in the CODE 1
  211. resource. In January 89, a 'new' version of this program (Stamp 1.0b5)
  212. began to spread in the French Mac community. When run, this program
  213. installs the 'ANTI' virus into the marked or checked applications
  214. and/or into the Finder. These infected applications and Finders then
  215. become contagious themselves. It seems the virus author stole the
  216. source code of this program, changed it into a virus installer, then
  217. gave it away. Obviously, inserting a virus installer in an Apple
  218. program was done to damage Apple France's reputation...
  219. Thierry D,
  220. Chief Mac Sysop,
  221. Calvacom .
  222.  
  223. P.S. A copy of the virus has been sent to Jeffrey Shulman and Robert
  224. Woodhead, so that they can update their anti-viruses consequently. .
  225.  
  226. P.P.S. I don't have access to other major American on-line services,
  227. so please upload the above information where you can. Thierry can be
  228. reached via CompuServe at 76670,2260.
  229.  
  230. ///////////////////////////////////////////////////////////////////////////
  231. / Robert Hammen  | hammen@csd4.milw.wisc.edu | uwmcsd1!uwmcsd4!hammen     /
  232. / Delphi: HAMMEN | GEnie: R.Hammen | CI$: 70701,2104 | MacNet: HAMMEN     /
  233. / Bulfin Printers | 1887 N. Water | Milwaukee WI 53202 | (414) 271-1887   /
  234. / 3839 N. Humboldt #204 | Milwaukee WI 53212 | (414) 961-0715 (h)         /
  235. ///////////////////////////////////////////////////////////////////////////
  236.  
  237. ------------------------------
  238.  
  239. Date: Tue,  7 Feb 89 17:04:31 -0500 (EST)
  240. From: Mark Thormann <mt19+@andrew.cmu.edu>
  241. Subject: Latent Mac viruses??
  242.  
  243. Hi.  I was wondering if anyone had heard of any latent versions of
  244. nVir, Scores, etc. which waited until a certain number of copies had
  245. been made or a certain date passed before appearing.  Would one of the
  246. current virus detectors spot one of these things before it activated?
  247. Any specific experiences anyone has had like this?  If you reply to
  248. this mailing list, please carbon copy to me.
  249.  
  250. Thanks,
  251.  
  252.  Mark Thormann
  253.  Carnegie Mellon U.
  254.  
  255. ARPANET: mt19@andrew.cmu.edu
  256.  
  257. ------------------------------
  258.  
  259. End of VIRUS-L Digest
  260. *********************
  261. Downloaded From P-80 International Information Systems 304-744-2253
  262.