home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.73

< prev

next >

Wrap

Text File  |  1995-01-03  |  12KB  |  284 lines

---

1. VIRUS-L Digest             Tuesday, 28 Mar 1989         Volume 2 : Issue 73
2.  
3. Today's Topics:
4. KillVirus Init (Mac)
5. Transposing Virus (PC)
6. Re: anti-virus recommendations
7. UK Computer threat research association
8.  
9. ---------------------------------------------------------------------------
10.  
11. Date: Sun, 26 Mar 89 00:38:49 +0100
12. From: David Stodolsky <stodol@diku.dk>
13. Subject: KillVirus Init (Mac)
14.  
15. KillVirus Init for Mac
16. "KillVirus", a startup document for the Mac, was found to be
17. infected with "nVIR" by Interferon 3.1. The infection was
18. confirmed by Virus Rx. The information box indicated its size
19. to be "979 bytes used, 1K on disk". The creations date was
20. "Tue, Sep 10, 1985, 10:08 AM", Modified "Tue, Mar 22, 1988,
21. 9:14 AM". Version indicated "not available". The icon was a
22. generic document.
23.  
24. The document was never used, just placed in my "Anti-virus"
25. folder. I have deleted the document from my hard disk and
26. taken no further action. I ran the checks after an attempt to
27. start a shareware program "Concentration", which I thought
28. was a game, caused a screen disruption, a buzz from speaker,
29. and a system restart (Mac SE, System 6.0.2, Multi-finder
30. 6.0.1. I had Vaccine version 1.0, without expert mode on.)
31. When I tried to copy "Concentration" to a folder on
32. the hard disk, I got an error, but my copy of the original (a
33. whole disk copy) to another floppy disk had worked. An
34. attempt to recopy the original back to the same floppy after
35. deleting the game (and emptying the trash) gave a error
36. indicating a failure on the target disk! Checking this disk
37. with "Disk First Aid" found it to be OK. This made me think
38. that a virus check of the disk was in order, but no virus was
39. found on it. Later I tried another whole disk copy to the same
40. target disk that failed with an "unknown error" message.
41. After reinitializing the target disk a whole disk copy worked,
42. and it was possible to move the Concentration application to
43. a folder on the hard disk. An attempt to execute it again led to
44. the system hanging, and I had to do a restart manually ( by
45. pressing the programmer's key). I had rebuilt the desktop after
46. the initial crash, so that might explain the different behavior.
47. Or maybe it was because the Concentration application was run
48. before any other application the last time I tried it.
49.  
50. Is this really an infection, or is "KillVirus" an init that
51. happens to trigger both of these anti-virus programs?
52.  
53. ****************** Interferon Report *****************
54.  
55. Interferon 3.1 - Version of 16 May 88 - 1988 Robert
56. Woodhead, Inc. - All Rights Reserved
57.  
58. - ------------ lines deleted----------------
59.  
60. (002) 04/07/88 "nVIR" Virus
61.  
62. - --------------lines deleted-------------------
63.  
64. Checking for viral infections on volume "HD0"
65.  
66. INFECTION: Type 002 virus detected in file:
67. HD0:
68. applications:
69. Anti-viral:
70. KillVirus
71.  
72. ALERT! Volume "HD0" may be infected!
73. Consult listing to determine the details.
74.  
75. Interferon run completed!
76. 2197 files were scanned, of which 207 had resource forks.
77.  
78. ******************** Virus Rx report **********************
79.  
80. Volume:    HD0
81. Thursday, March 23, 1989   8:30 PM
82. User:
83. Virus Rx - v1.4a1
84.  
85. These files are infected with a known virus
86. Remove these files from your disk
87.  
88. INIT ????  KillVirus  :applications:Anti-viral:
89.   Last modified Tuesday, March 22, 1988 9:14 AM
90.  
91.  
92. SUMMARY:
93. ***** FATAL infected files: 1
94.  
95. !!!!! You appear to have a virus !!!!
96. !!!!! Clean this volume          !!!!
97. !!!!! See Virus Rx README        !!!!
98.  
99. ******************************************************
100.  
101. David Stodolsky                          diku.dk!stodol@uunet.UU.NET
102. Department of Psychology                       Voice + 45 1 58 48 86
103. Copenhagen Univ., Njalsg. 88                    Fax. + 45 1 54 32 11
104. DK-2300 Copenhagen S, Denmark                         stodol@DIKU.DK
105.  
106. ------------------------------
107.  
108. Date:         Sun, 26 Mar 1989 00:52:18 EST
109. From:         Steve <XRAYSROK@SBCCVM.BITNET>
110. Subject:      Transposing Virus (PC)
111.  
112. Ross M. Greenberg wrote about a virus that randomly tranposed
113. characters but kept track of all the transpositions in a hidden file
114. called BUG.DAT:
115.  
116. >                                .
117. >                                .
118. >                                .
119. >The virus, after spreading to all .COM and .EXE files in the current
120. >directory, would look for an open operation on a .DBF file.  All
121. >writes to the file would have two bytes transposed at random. These
122. >bytes' offsets were stored in a file called "BUG.DAT" (a hidden file)
123. >in the .DBF's directory.  Subsequent reads of this data would cause
124. >the transposition of the same data, and everything would look nifty.
125. >After this code had run for 90 days (after the BUG.DAT file was 90
126. >days old), it would trash the disk (eat the FAT and root directory).
127. >
128. >Getting rid of the virus wasn't difficult: just copy in new
129. >executables from your backup.  However! If you did this, your data is
130. >history - nothing to transpose it back into "real" form.
131.  
132. Just some comments:
133.  
134.    So the virus must keep all the .DBF file names and all their
135. transposed characters in the file called BUG.DAT?  It seems to me that
136. if you made the mistake of getting rid of the infected *.EXE file it
137. wouldn't be a disaster because you'd probably still have the hidden
138. file BUG.DAT somewhere and could always recreate the infected file
139. (provided you had or could import another file infected with the
140. virus).
141.  
142.    All this brings up a good point: If one day I found that my
143. computer was infected with a virus, *before doing anything*, I'd first
144. make a backup of all the files on my disk (hidden files too!).  Then
145. I'd try to verify that all my data files (anything that wasn't an .exe
146. or .com file) on the backup were identical to the originals on the
147. main disk and hopefully intact.  Then I'd go to work trying to
148. eliminate the infection.  If something went wrong, then I'd still have
149. my backup.  This is reasonably safe unless one encounters a virus like
150. the one Ross describes, only which hides the transposed-character
151. information in a file in a sector marked bad (even though it isn't
152. bad), and then (for example) you reformat the original disk (a
153. disaster because you'd lose BUG.DAT).  So, though it's more trouble,
154. it's always safer to "uninfect" a copy of your infected disk if
155. possible.
156.  
157.    Finally, if you're really unlucky and the virus contains a bomb, it
158. could blow still blow up before you get all your files "un-transposed"
159.  
160.  
161.  
162. Steven C. Woronick     | Disclaimer:  Always check it out for yourself...
163. Physics Dept.          |
164. SUNY at                |
165. Stony Brook, NY  11794 |
166. Acknowledge-To: <XRAYSROK@SBCCVM>
167.  
168. ------------------------------
169.  
170. Date:         Mon, 27 Mar 89 14:17:59 EST
171. From:         Neil Goldman <NG44SPEL@MIAMIU.BITNET>
172. Subject:      Re: anti-virus recommendations
173.  
174. Roman Olynyk provides us with the anti-virus recommendations from
175. Computer World.  There is one with which I disagree (to an extent).
176.  
177. In regard to shareware and PD software, I do believe that users should
178. be cautioned that they are the primary (though not exclusive) source
179. of viruses do to their widespread availability.  As you are all aware,
180. users will obtain a copy from a friend, business associate, or even a
181. bulletin board.  Since in the first two, and periodically in the
182. third, no controls exist to prevent the corruption of the product from
183. its original form (which for the sake of argument I assume did not
184. have any malicious intent).
185.  
186. However, I do not believe that an end to PD and shareware is called
187. for.  In the vast majority of cases, they are excellent products,
188. often rivaling their industry-marketed counterparts.
189.  
190. As an alternative to the Computer World suggestion, I recommend that
191. IF users want to take advantage of this software, they should contact
192. the ORIGINAL AUTHOR for a copy.  Presumably, his product is
193. *uncorrupted*.  Then, if a virus does then become introduced into your
194. system and you have documented the source of all data and programs
195. existing on your system, the source of the virus is determinable.  Or
196. rather, no virus *should* infect the system to begin with.
197.  
198. ***************************************************************
199. *Neil A. Goldman                        NG44SPEL@MIAMIU.BITNET*
200. *                                                             *
201. *   Replies, Concerns, Disagreements, and Flames expected     *
202. *    Mastercard, Visa, and American Express not accepted      *
203. ***************************************************************
204. Acknowledge-To: <NG44SPEL@MIAMIU>
205.  
206. ------------------------------
207.  
208. Date:       Tue, 28 Mar 89 10:33:16 BST
209. From:       David.J.Ferbrache <davidf@CS.HW.AC.UK>
210. Subject:    UK Computer threat research association
211.  
212. For those of you interested an umbrella organisation has been
213. established in the UK to co-ordinate information on, and research into
214. all aspects of computer security. In the first instance one of the
215. organisations primary concerns will be combatting the threat posed by
216. computer viruses by acting as a clearing house for virus information
217. and control software.
218.  
219. Below is a copy of an initial letter mailed to prospective members:
220.  
221.             The Computer Threat Research Association
222.  
223. The computer threat research association, CoTra is a non-profit making
224. organisation that exists to research, analyse, publicise and find
225. solutions for threats to the integrity and reliability of computer
226. systems.
227.  
228. The issue that caused the formation of CoTra was the rise of the
229. computer virus. This problem has since become surrounded by fear,
230. uncertainty and doubt. To the average user the computer virus and its
231. implications are a worry of an unknown scale. To a few unfortunates
232. whose systems have become a critical issue.
233.  
234. The key advantage of CoTra membership will be access to advice and
235. information.  Advice will be provided through publications, an
236. electronic conference (a closed conference for CoTra's members has
237. been created on the Compulink CIX system) as well as other channels
238. such as general postings direct to members when a new virus is
239. discovered.
240.  
241. CoTra membership will be available on a student, full or corporate
242. member basis. All software that is held by CoTra that enhances system
243. reliability, such as virus detection and removal software, will be
244. available to all members. It is intended to establish discounts with
245. suppliers of reliability tools and services. A library of virus
246. sources and executables and other dangerous research material will be
247. made available to members who have a demonstrable need.
248.  
249. A register of consultants who have specific skills in the systems
250. reliability field will be published by CoTra and reviews of
251. reliability enhancing software will be produced.
252.  
253. Your support of CoTra will ensure that you have the earliest and most
254. accurate information about potential threats to your computer systems.
255.  
256. CoTra, The computer threat research association,
257. c/o 144 Sheerstock, Haddenham, Bucks. HP17 8EX
258.  
259. - ----------------------------------------------------------------------------
260.  
261. Part of the organisations aims is to establish reciprocal links with
262. other similar organisations worldwide to facilitate the sharing of
263. experience and rapid flow of information on new threats.
264.  
265. To this end if you are involved in, or have contacts with, a similar
266. organisation in your country, please write to CoTra (or by email to
267. me, and I will forward your correspondence) outlining your
268. organisation and its aims.
269.  
270. Yours sincerely
271.  
272. - -------------------------------------------------------------------------
273. Dave Ferbrache                         Personal mail to:
274. Dept of computer science               Internet <davidf@cs.hw.ac.uk>
275. Heriot-Watt University                 Janet    <davidf@uk.ac.hw.cs>
276. 79 Grassmarket                         UUCP     ..!mcvax!hwcs!davidf
277. Edinburgh,UK. EH1 2HJ                  Tel      (UK) 031-225-6465 ext 553
278.  
279. ------------------------------
280.  
281. End of VIRUS-L Digest
282. *********************
283. Downloaded From P-80 International Information Systems 304-744-2253
284.