home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.50

< prev

next >

Wrap

Text File  |  1995-01-03  |  14KB  |  337 lines

---

1. VIRUS-L Digest              Friday, 17 Feb 1989         Volume 2 : Issue 50
2.  
3. Today's Topics:
4. INIT29 in documents (was: AppleShare network security) (Mac)
5. virus book
6. Hardware-induced virus reported in Communications of the ACM
7. ANTI virus report (Mac)
8. Closed virus list proposal
9.  
10. ---------------------------------------------------------------------------
11.  
12. Date:     Thu, 16 Feb 89 16:12 GMT
13. From:     Danny Schwendener <SEKRETARIAT@CZHETH5A.BITNET>
14. Subject:  INIT29 in documents (was: AppleShare network security) (Mac)
15.  
16. > [...] Since there is now a
17. > virus (INIT 29) that attaches itself to documents, I am understandably
18. > nervous about unknown files lying around on the server.
19.  
20. A copy of the INIT29 virus in a 'plain' document (i.e. with a file type
21. different to 'INIT','CDEV' or 'RDEV') will not be executed. It just
22. uses up unwanted space. Still, that PageMaker could break the network
23. security of Appleshare is rather odd.
24.  
25. - -- Danny Schwendener
26.    ETH Macintosh Support
27.  
28. ------------------------------
29.  
30. Date:     Thu, 16 Feb 89 13:21 EST
31. From:     <PETERSON@LIUVAX.BITNET>
32. Subject:  virus book
33.  
34. I ordered the virus book "viruses/high tech risk.." from abacus
35. $18.95+ship.. 4 day delivery.  It looks interesting.  I will read it
36. over the weekend and send a description monday.
37.  
38. James Peterson, sys engineering LIU/South
39. Peterson@liuvax.bitnet
40. 516/283-4000 x351
41.  
42. ------------------------------
43.  
44. Date:     Thu, 16 Feb 89 16:50 EDT
45. From:     <MJBURGE@OWUCOMCN.BITNET>
46. Subject:  Hardware-induced virus reported in Communications of the ACM
47.  
48. >From Communication of the ACM, February 1989, Volume 32 Number 2, Page 274
49.  
50.         Nova University and ErrorNot Isolate Particular Computer Virus
51.  
52.         A hardware-induced computer virus could potentially affect 25
53. million microcomputers, according to a recent discovery by researchers
54. at Nova University and ErrorNot Corporation.
55.         The researchers say the virus is the result of faulty
56. programming in the microcode of a device used in computers.  Research
57. indicates this virus causes data corruption, and its random pattern of
58. attack with small data destruction makes it difficult to identify.
59. The virus's dormancy period varies from weeks or months to even years.
60.         Nova University's Computer Science Department has assembled
61. the results of its findings (TR-881101-1) and a risk-assessment
62. program that helps users determine their susceptibility to the virus.
63. Both are available on a disk for $5 from Dr. Edward R. Simco, Dean,
64. Computer Science Department, 3301 College Avenue, Fort Lauderdale, FL
65. 33314; (305) 475-7563.
66.         The researchers at ErrorNot Corporation have created a
67. slotless device they say is effective in eliminating the virus.  For
68. more information contact William R. Griffin, President, ErrorNot
69. Corporation, 3200 North Federal Highway, Suite 120, Boca Raton, FL
70. 33431; (407) 395-2306.
71.  
72.         Anyone heard about this from any other source?  Anyone at Nova
73. University or ErrorNot who would like to elaborate?  Cheers...
74.  
75.                                 Mark James Burge
76.                                 mjburge@owucomcn
77.  
78. ------------------------------
79.  
80. Date:         Fri, 17 Feb 89 02:42:00 +0100
81. Sender:       Virus Alert List <VALERT-L@IBM1.CC.Lehigh.Edu>
82. From:         Danny Schwendener IDA <macman%ifi.ethz.ch@CERNVAX.BITNET>
83. Subject:      ANTI virus report (Mac)
84.  
85. This is a report on the ANTI Virus. For any information, please contact
86. me directly at the following address:
87.  
88. Danny Schwendener
89. ETH Macintosh Support, ETH-Zentrum, m/s PL, CH-8092 Zuerich, Switzerland
90. UUCP:     macman@ethz.uucp     BITNET:    macman@czheth5a.bitnet
91. Internet: macman@ifi.ethz.ch   AppleLink: macman%czheth5a.BITNET@DASNET#
92.  
93.  
94. Note: This is an extract of the full report. Sensitive information has
95.       been removed. The full report has been sent to known authors of
96.       virus detectors and vaccines. Please distribute this version of
97.       the report as widely as possible. I don't have access to CompuServe,
98.       GEnie or CalvaCom.
99.  
100.  
101. A. HISTORY
102.  
103. The virus initially appeared in France. So far, it has been signaled
104. in Paris, Marseille and a few other places in France. Thierry
105. Lalettre, chief moderator of the Macintosh forum in CalvaCom, alerted
106. by user contributions in his forum, posted a warning to CompuServe and
107. mailed samples of the virus to a few authors of macintosh vaccines and
108. viral detectors, including myself.
109.  
110. Note: CalvaCom (formerly Calvados) is Europe's largest commercial
111.       electronic conferencing system, in the same spirit as CompuServe
112.       or GEnie, but mainly directed at owners of Apple products.
113.  
114.  
115.  
116. B. OVERVIEW
117.  
118. The ANTI Virus is a program that attaches itself to the end of the
119. main code resource of an application. It patches the main code so that
120. it is invoked in the first place each time the application is started.
121. An infected application will try to infect the system heap, if it
122. wasn't already infected beforehand (the system heap means the part of
123. the system that has been loaded into memory at boot-time. ANTI does
124. *not* infect the file 'System').
125.  
126. The virus does nothing hazardous besides propagating itself. It is
127. less contagious than the INIT29 virus, but more than nVIR.
128.  
129. The hypothesis made by Thierry Lalettre, stating that Apple France
130. Developer Support Manager Alain Andrieux' program 'Stamp 1.0b5' has
131. been purposely recompiled by an unknown person to include special
132. infection code, is wrong. A disassembly of all resources in the
133. application only showed up that it was infected in a normal way by the
134. ANTI virus.
135.  
136. Thierry also stated that the virus only attacks applications with CODE
137. ID=1 named "Main". This is not correct. Actually, the virus propagates
138. to all applications whose main code entry starts with a JSR. Most
139. compilers create this type of applications, and some of them,
140. including MPW, name the CODE ID=1 resource "Main".  Under certain
141. circumstances, the virus also propagates to all other kind of
142. applications (i.e. the ones which don't start with a JSR).
143.  
144. The virus assumes that the main program entry of the application to
145. infect is contained in CODE ID=1. This is the case in all normal
146. applications. Applications whose main routine is contained in a CODE
147. resource different from ID=1 will either not be infected or crash.
148.  
149. Portions of the code suggest that the virus has been written as part
150. of a copy-protection scheme.
151.  
152.  
153.  
154. C. DETECTION
155.  
156. <some stuff removed>
157.  
158. The virus can be detected by several means:
159.  
160. - - it adds 1344 bytes to the CODE ID=1 resource of the file. An infected
161.   application will have grown by 1K. The modification date is changed to
162.   the date and time of the infection.
163.  
164. - - it contains seven occurrences of the hex sequence $16252553. The last
165.   occurrence of this sequence is located 43 bytes before the end of the
166.   CODE ID=1 resource. The virus uses this sequence to detect if a System
167.   or an application has already been infected.
168.  
169. - - the virus also contains a 9-char. pascal string 'ANTI ' (hence its name)
170.   followed by the hex sequence. The 9-byte string is followed by the
171.   pascal string '#000000'.
172.  
173. - - it patches _MountVol and _OpenResFile.
174.  
175. Trap watcher programs like GateKeeper, RWatcher or Vaccine will
176. successfully prevent infections. There is however a restriction with
177. Vaccine: As the virus temporarily uses the pointer to the global
178. variables (A5) for internal tasks, Vaccine will not be able to access
179. the screen to display a warning alert. If the option "Always compile
180. MPW INITs" is unchecked, it will beep and wait that the user presses
181. 'y' (allow resource copy) or 'n' (don't allow copy). If the option is
182. checked, Vaccine will allow the infection without warning the user. So
183. be careful if you use that option.
184.  
185. The next release of VirusDetective will be able to find this kind of
186. virus by looking for specific hex sequences.
187.  
188.  
189. D. REPAIR
190.  
191. Note: I personnally don't endorse this. Badly repaired applications
192.       may cause much more harm than the virus itself could ever do.
193.       An infected application should be deleted. I'm including this
194.       information for those who forgot to backup their disks.
195.  
196. The virus starts with the following hex sequence:
197.  
198.   000000: 6000 0028 0000 0000 1625 2553 0723 3030
199.   000010: 3030 3031 0941 4e54 4920 1625 2553 0723
200.   000020: 3030 3030 3030 xxxx xxxx
201.  
202. xxxx xxxx contains the saved values for the instruction words that
203. have been patched by the virus.
204.  
205. To repair an application:
206.  
207. 1- Be sure you're working in a clean environment (uninfected Finder
208.    and ResEdit).
209.  
210. 2- Open the CODE ID=0 resource. Write down the word at position 16
211.    (first word of the third line if opened with ResEdit). This value
212.    tells you at what position within the CODE ID=1 resource you have
213.    to look for the patch, and is usually $0000.
214.  
215. 3- Search in the CODE ID=1 resource for the hex sequence I described
216.    above. write down the value I noted as 'xxxx xxxx'.
217.  
218. 4- Still in CODE ID=1, find the location of the patch, with the value
219.    you found in step 2. The first word of the patch should be $4EBA.
220.  
221. 5- Replace the patch by the two words you found in step 3.
222.  
223. 6- Remove the whole virus code (everything from the virus start to
224.    the end of the resource). This step is not absolutely necessary.
225.  
226.  
227.  
228. D. INTERNAL WORKINGS
229.  
230. <lots of text deleted>
231.  
232. The _MountVol patch works as follows:
233.  
234. - - Call original _MountVol
235.  
236. - - Check if mounted volume is a floppy drive. If not, exit.
237.  
238. - - Check if floppy is old (400K) or new (800K) and if the disk is
239.   single-sided or a double-sided. According to the result, read in either
240.   logical block 192 or 384.
241.  
242. - - check for our hex sequence in position 8 of the block. If found, JSR
243.   to the code in position 0 of the sector, then exit.
244.  
245. Note: The virus does not contain any portion of code that writes something
246.       directly to a logical block. Also, the code that will be executed
247.       if the search is successful is not known at this point. This routine
248.       has a strong ressemblance to existing copy-protection schemes. It
249.       is very possible that the virus is part of a copy-protection. I
250.       won't comment on copy-protection per se, but I find using viruses as
251.       part of a product's protection scheme extremely unethical.
252.  
253. ------------------------------
254.  
255. From:       David.J.Ferbrache <davidf@CS.HW.AC.UK>
256. Date:       Fri, 17 Feb 89 10:32:13 GMT
257. Subject:    Closed virus list proposal
258.  
259.              A proposal for a closed virus technical list
260.              --------------------------------------------
261.  
262. Following my original message concerning authentication, I have a
263. proposal which I wish comments on, namely the formation of a new virus
264. list (in addition to VIRUS-L) with a closed membership.
265.  
266. As you may be aware the issue of viruses is, and is likely to remain,
267. exceptionally sensitive. Subscribers to VIRUS-L who are industrial or
268. commercial concerns are naturally extremely reticent to disclose any
269. details of infections on open lists, equally researchers in the field
270. are loath to circulate any technical details over and above those
271. concerning the symptoms of the virus, and the disinfection methods.
272.  
273. I my case I am researching the area of viruses, attempting to analyse
274. the techniques of concealment utilised by viruses with a view to
275. the analysis of future trends in the threat from viruses, and to
276. develop possible counters to virus infection. Such work requires a
277. degree of technical information which many people will not reveal
278. on an open list, nor will they mail such information to a correspondant
279. on the list without authentication.
280.  
281. Therefore (and I have discussed this informally with Ken) I would like
282. to propose:
283.  
284. 1. The establishment of a closed additional virus list
285.    with membership by invitation initially, followed by additions only
286.    on request with suitable authentication. (Checks with establishment,
287.    through known contacts etc)
288.  
289. 2. That the materials discussed on the closed list are monitored by a
290.    moderator who would be responsible for circulating any non-sensitive
291.    material to VIRUS-L and VALERT-L. Eg, initial contact reports to
292.    VALERT-L, symptoms and information on disinfection software to VIRUS-L.
293.  
294. 3. That VIRUS-L remain an open list for discussion on all aspects of viruses
295.    (hopefully people will realize that reports of new viruses must still be
296.    public and contain sufficient details to identify the virus, and take
297.    elementary precautions).
298.  
299. Finally regarding the security of the new list, I suspect that we can take
300. one of two approaches,
301.  
302. 1. Handle traffic in an unencrypted manner and assume the possibility
303.    of interception on route either by intermediate uucp sites or by
304.    ethernet taps.
305.  
306. 2. Encypt end-to-end with the obvious handling and key management
307.    difficulties.
308.  
309. I think everyone who subscribes to this list should realize that the
310. threat from computer viruses is likely to grow rapidly, as will the
311. difficulties of monitoring the spread of new strains and the
312. development of disinfection software. This is an area where a world
313. wide list such as that proposed can make a major contribution in
314. acting as a clearing house for virus information.
315.  
316. It is vital however that the members of such a list trust both the
317. integrity of the list and of the members (who would preferably be
318. either academic researchers in the field, or representatives of
319. companies or known consortia).
320.  
321. Comments please, either to the VIRUS-L discussion list or by email to me
322. personally. I will collate the comments and discuss the outcome with Ken,
323. and then mail the list concerning whether the formation of the new list
324. will go ahead.
325.  
326. Dave Ferbrache                            Personal mail to:
327. Dept of computer science                  Internet <davidf@cs.hw.ac.uk>
328. Heriot-Watt University                    Janet    <davidf@uk.ac.hw.cs>
329. 79 Grassmarket                            UUCP     ..!mcvax!hwcs!davidf
330. Edinburgh,UK. EH1 2HJ                     Tel      (UK) 031-225-6465 ext 553
331.  
332. ------------------------------
333.  
334. End of VIRUS-L Digest
335. *********************
336. Downloaded From P-80 International Information Systems 304-744-2253
337.