home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.61

< prev

next >

Wrap

Text File  |  1995-01-03  |  13KB  |  261 lines

---

1. VIRUS-L Digest             Thursday, 9 Mar 1989         Volume 2 : Issue 61
2.  
3. Today's Topics:
4. Cartoons and wily hackers
5. Re: Bouncing ball virus (PC)
6. Warning: Urgent: A CHRISTMAS EXEC is around (IBM REXX)
7. BUL EXEC - second issue (IBM REXX)
8. Notarization
9. re: notorizing
10.  
11. [Ed. Please be advised that April 1 (fool's day) is rapidly
12. approaching; it is not uncommon on the networks to find fake e-mail
13. every year around this time.  I will do my best to keep such mail from
14. making it into a digest...]
15.  
16. ---------------------------------------------------------------------------
17.  
18. Date: Wed, 8 Mar 89 09:52:59 est
19. From: ubu!luken@lehi3b15.csee.lehigh.edu
20. Subject: Cartoons and wily hackers
21.  
22. A couple of topics that have gotten a lot of attention recently on
23. RISKS, among other places, are the use of cartoons to talk about
24. viruses and the arrest of three West German "computer spies" (for lack
25. of a better name).  I thought I'd mention this here to find out what
26. peoples' thoughts are on the subjects.
27.  
28. Recent Dick Tracy (and reportedly other) comic strips have portrayed
29. viruses and virus authors (the Dick Tracy strip apparently has a
30. character who is using a virus for extortion).  RISKS readers seem to
31. think (by and large) that comic strips aren't too bad for talking
32. about these things *if* they are portrayed accurately.  Any thoughts?
33.  
34. Also, those of us who've read Cliff Stoll's "Stalking the Wily
35. Hacker" will be interested to hear that three people have now been
36. arrested in West Germany in regards to the case described by Dr.
37. Stoll.  While this isn't directly virus related, it is interesting to
38. note that the suspects used various computers and networks for
39. espionage purposes.  It will also be interesting to see the outcome of
40. the case in the courts.
41.  
42. Ken
43.  
44. ------------------------------
45.  
46. Date:        Tue,  07 Mar 89 16:31:28 +0200
47. From:        Y. Radai <RADAI1@HBUNOS.BITNET>
48. Subject:     Re: Bouncing ball virus (PC)
49.  
50.   In #58 Rob Nauta asked about the bouncing ball virus.  This was
51. described in #18 (18 Jan), where I referred to it as the Ping-Pong
52. virus.  As I described it then,
53.  
54. >                                                   It is a virus
55. >which first appeared in Israel [in October 1988], and which got
56. >its name because of a bouncing point which appears on the screen.
57. >Like the Brain virus, it resides in the boot sector of disks, in bad
58. >sectors, and in high RAM.  ....
59. >  Among the points in which it differs from the Brain virus: (1) It
60. >infects hard disks, not only 5 1/4-inch floppies.  (2) It marks only
61. >one cluster as bad.  (3) It grabs only 2K of high RAM.  (4) To the
62. >best of my knowledge, it does not cause any damage to files or to the
63. >FAT.  In particular, the bad sectors seem to always be chosen from
64. >unused clusters.
65.  
66.   The bouncing dot appears only under very special conditions: when
67. (1) the system clock shows a multiple of 30 minutes and (2) the disk
68. is being accessed.  The simplest way to force the dot to appear (if
69. RAM is infected) is to enter TIME 0 and then immediately type a cha-
70. racter and press Enter.  (Even after the dot appears, you can continue
71. working.  The dot will disappear only when you reboot or turn off the
72. computer.)
73.   Other symptoms: 2K missing from RAM (or a multiple of 2K if infec-
74. tion has taken place more than once); one bad cluster on disks.  Both
75. of these can be checked by performing CHKDSK, of course.  If you see
76. 1K in bad sectors on a diskette, that's a pretty sure sign of this
77. virus since FORMAT marks bad sectors in blocks of 5K.  (Anyone know
78. why?)  Note that when the virus marks the bad cluster, it does so on
79. only one copy of the FAT.
80.   Finally, the virus causes access to diskettes to be slower because
81. of the attempts to infect them.
82.   It seems to be more contagious than the Brain virus; presumably the
83. main reason is its infection of hard disks also.
84.   In response to Rob's other questions, I'm fairly sure that there's
85. no counter which will trigger further damage when it reaches some
86. specified value, and that there's no specific "seeder" program.
87. However, when Rob said that it spreads on bootable disks, he
88. presumably meant *only* bootable disks, which is incorrect: like
89. Brain, it also spreads on non-system diskettes.  (They too have boot
90. sectors.)
91.   At the time I posted my earlier article, I had not heard of this
92. virus outside of Israel, so I assumed that it was a local product.
93. Since then I've heard of it (or something very similar to it) in the
94. UK (in May 88) and in Italy (and now in the Netherlands).  In the UK
95. it is referred to as the Italian virus since it was traced (by Dr.
96. Alan Solomon) to Torino, Italy.  (Some of the information given above
97. was supplied by him.)
98.   In answer to Joseph Beckman's question, this virus is not just a
99. splice of the Brain virus with ball code.  On the one hand, it infects
100. hard disks too; on the other hand it's considerably smaller than Brain
101. and lacks some of Brain's features, such as feeding you the contents
102. of the original boot sector when you try to look at the infected boot
103. sector.
104.  
105.                                            Y. Radai
106.                                            Hebrew Univ. of Jerusalem
107.  
108. ------------------------------
109.  
110. Date:         Wed, 8 Mar 89 16:19:26 GMT
111. From:         nad Turgut Kalfaoglu <TURGUT@TREARN.BITNET>
112. Subject:      Warning: Urgent: A CHRISTMAS EXEC is around (IBM REXX)
113.  
114. From Linkfail list:
115.  
116. A user here wrote a file called BUL EXEC which can distribute itself
117. by using userid() NAMES.. it is almost identical to CHRISTMAS EXEC,
118. but different picture.. Checks :node tag as well, and can jump from
119. node to node..  The link will be down until we clean the problems
120. here. -turgut
121.  
122. ------------------------------
123.  
124. Date:         Wed, 8 Mar 89 20:40:46 GMT
125. From:         Turgut Kalfaoglu <TURGUT@TREARN.BITNET>
126. Subject:      BUL EXEC - second issue (IBM REXX)
127.  
128. A follow up on BUL EXEC.........
129.  
130. - ----------------------------Original message----------------------------
131.  
132. After several hours of automatic reader scanning, there are no more
133. copies of BUL EXEC on spool areas on TREARN. There are some that are
134. RECEIVED to disks, but I have sent several warnings, and will be
135. notifying everyone on this. I have a disconnected-running program to
136. scan the RSCS queue repeatedly, and will be purging them if it comes
137. accross a copy.  Fortunately, we discovered the program, 10 minutes
138. after it was released, by its author who warned us.
139.  
140. I hope, and don't think that the file has jumped to the FRMOP22 line,
141. but it may have jumped to the other Turkish nodes. (I have closed the
142. FRMOP line for several hours due to this).  Again, the filename is BUL
143. EXEC, and it is a christmas exec (it sends itself to everyone on NAMES
144. file) Regards, -turgut
145.  
146. ------------------------------
147.  
148. Date:     Wed, 8 Mar 89 16:13:47 EST
149. From:     Jefferson Ogata (me!) <OGATA@UMDD.BITNET>
150. Subject:  Notarization
151.  
152. >>.................... a simple virus like Brain will spread regard-
153. >>less of program encryption, because it attaches to code that could be
154. >>stored encrypted.
155.  
156. I think this is a misquote.  The original message said Brain will
157. spread because it attaches to code that canNOT be stored encrypted.
158. This was in reference to yet another suggestion that encryption (not
159. cryptography in general) be used to keep executable files in a
160. protected state, only to be unencrypted before execution.  I'd like
161. to remind readers that this scheme has important flaws: namely, the
162. encryption program itself can be attacked; and the operating system
163. can be attacked (by such as Brain).
164.  
165. Regarding the idea of notarization of programs, I must assume you
166. are referring to some method of distributing signatures of some
167. kind, to be compared with signatures computed by the user who wants
168. to know if a program is secure.  It has been pointed out several
169. times that if some channel exists whereby these signatures can be
170. distributed without corruption, there is no reason why the programs
171. themselves could not be distributed by the same channels.  One must
172. consider where the user needing authentication is going to acquire
173. signatures: probably the same place he got the program -- a bulletin
174. board.  Such signatures would be just as easily corrupted as the
175. programs in question.
176.  
177. In order for a signature verification method to be viable, someone
178. must come up with a method for verifying the signatures.  Perhaps
179. when this has been accomplished, we might discuss standards for
180. signature generation.  The operating system and signature-computing
181. program are still healthy targets for attack.
182.  
183. If you have some way of verifying signatures, or if you are talking
184. about an entirely different mode of protection, I'd be very inter-
185. ested to hear about it.
186.  
187. - - Jeff Ogata
188.  
189. ------------------------------
190.  
191. Date: Thu, 9 Mar 89 00:36:53 EST
192. From: Don Alvarez <boomer@space.mit.edu>
193. Subject: re: notorizing
194.  
195. Paul Lambert suggests that cryptographic notorizing is the solution to
196. viruses, and then goes on to state:
197.  
198. " To support the development of real cryptographic devices, standards
199. must be available to ensure interoperability.  The issues of a virus
200. working their way around an implementation are not relevant to the
201. development of the standards.  Only the local implementation of a
202. verification mechanism must be conserned with these issues."
203.  
204. NOT TRUE!!!
205. A standard is ONLY of value if you can PROVE that it can be
206. implemented without theoretical weaknesses.  Any cryptographic
207. solution includes some black-box which does the magic to check the
208. notorizing value, encrypt the password, or whatever.
209.  
210. Unless that black-box is designed into the physical architecture of
211. the computer you get NO PROTECTION from it.  Why? because you can't
212. trust the black-box.  There is and will continue to be an enormous
213. installed base of PC's, Vaxen, Suns, etc.  These existing machines do
214. not have any special notorizing hardware attached.  That means either
215. you force every IBM-PC user to install some $500 board in his machine
216. that probably won't be compatible with his existing software, OR you
217. modify his MS-DOS do to the cryptographic checks in software.  The
218. hardware solution is prohibitively expensive, and the software
219. solution is worthless.  The software solution is PARTICULARLY
220. worthless if it's standardized (as many others have pointed out)
221. because if it's standardized, then somebody has a standard they can
222. set their virus to attack.  DOS on your hard disk is just like any
223. other file.  It can be attacked and altered by viruses.  It is true
224. that there are excellent secure communication models for sharing data
225. over an untrusted medium between mutually untrusting hosts (see
226. Needham and Schroeder, for example, or any of the alphanumeric strings
227. that Mr. Lambert quotes to prove this is all a solved problem) but all
228. such models assume that the local magic box can be trusted.  As long
229. as the magic box is reprogrammable it is fundamentally untrustworthy.
230.  
231. You can't use software to protect yourself against viruses, because
232. software can be reprogrammed by the very computer you are trying to
233. protect.  You can't use hardware to protect existing computers against
234. viruses, because it's not economically feasible.  The only machines
235. you can have any hope of absolutely protecting against viruses are
236. next-generation machines which have watch-dog hardware built in (and
237. I'm not even convinced that's possible).
238.  
239. Standards are all well and good, but you HAVE to think about how they
240. are going to be implemented, because if it can't be implemented
241. securely, your standard isn't any good.
242.  
243. I will be accused of being negative and pessimistic.  That is true.
244. If you are designing a security system you HAVE to assume the worst
245. case, and the worst case in this case is that somebody writes a virus
246. to attack the cryptographic software which your machine depends on.
247.  
248.                         - Don
249.  
250.      + ----------------------------------------------------------- +
251.      |   Don Alvarez               MIT Center For Space Research   |
252.      |   boomer@SPACE.MIT.EDU      77 Massachusetts Ave   37-618   |
253.      |   (617) 253-7457            Cambridge, MA 02139             |
254.      + ----------------------------------------------------------- +
255.  
256. ------------------------------
257.  
258. End of VIRUS-L Digest
259. *********************
260. Downloaded From P-80 International Information Systems 304-744-2253
261.