home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.82

< prev

next >

Wrap

Text File  |  1995-01-03  |  7KB  |  175 lines

---

1. VIRUS-L Digest             Thursday, 6 Apr 1989         Volume 2 : Issue 82
2.  
3. Today's Topics:
4. A New Virus Perhaps (PC)
5. Bad, Bad, Bad Boot Blocks (Mac)
6. Mac Boot Sector Virus -scary thought
7. WARNING: ORGASM EXEC (VM/CMS)
8. ORGASM EXEC siting in Florida (VM/CMS)
9. Cornell RTM Worm Report
10.  
11. ---------------------------------------------------------------------------
12.  
13. Date:         Thu, 06 Apr 89 13:36:26 MEZ
14. From:         Ghost <UZR50F@DBNRHRZ1.BITNET>
15. Subject:      A New Virus Perhaps (PC)
16.  
17.      We have possibly found a new virus. It's characteristic is a
18. string named "Packed file is corrupt". It can be found in PCTOOLS and
19. other programs. New buyed program discs are infected, but till now he
20. didn't do anything. It is about 900 Byte long and ends with the upper
21. string. Does anyone heard of him or does anyone has it in his
22. software??
23.  
24. Thomas Friedrich, RHRZ Bonn, Germany
25.  
26. ------------------------------
27.  
28. Date:         Thu, 06 Apr 89 08:58:31 EDT
29. From:         Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
30. Subject:      Bad, Bad, Bad Boot Blocks (Mac)
31.  
32. Well, from looking in general at the history of Mac viruses so far,
33. they've followed Apple's implementation guidelines remarkably well :-).
34.  
35. The viruses all used standard Mac facilities in a slightly nonstandard
36. way to reproduce and spread; the ANTI virus (the most recent one) is
37. the first to do anything different, and that one *still* doesn't
38. really do anything exceptional.
39.  
40. The boot blocks are a different matter. As I recall, part of the
41. "bootstrap" code is in the ROM (the blinking-question-mark disk) and
42. part on the disk itself. I also don't believe that there are calls
43. like MessWithBootBlocks(); you'd have to get down there at the device
44. level and mess with it. Not that this couldn't be done, it's just much
45. harder that diddling another virus with ResEdit and releasing it.
46.  
47.  --- Joe M.
48.  
49. ------------------------------
50.  
51. Date: Thu,  6 Apr 89 13:03:20 CDT
52. From: "David Richardson, UT-Arlington" <B645ZAX@utarlg.arl.utexas.edu>
53. Subject: Mac Boot Sector Virus -scary thought
54.  
55. David M Gursky (dmg@mwunix.mitre.org) writes:
56.  
57. >My question is this: Why can't the bootstrap code on tracks 0 and 1 of
58. >a Mac disk be infected?  Would Vaccine prevent such an infection?
59.  
60. Good question, scary.  I am forwarding his original msg to
61. info-mac@sumex-aim-stanford.edu.
62.  
63. As configured, Vaccine would definately *NOT* stop it, and there is no
64. current detection for this type of infection (other than by hand with
65. FEdit or the like).
66.  
67. - -David Richardson,                    The University of Texas at Arlington
68. Bitnet: b645zax@utarlg            Internet:  b645zax@utarlg.arl.utexas.edu
69. UUCP:     ...!{ames,sun,texbell, <backbone>}!utarlg.arl.utexas.edu!b645zax
70. SPAN:     ...::UTSPAN::UTADNX::UTARLG::b645ZAX      US Mail: PO Box 192053
71. PhoNet: +1 817 273 3656 (FREE from Dallas, TX)    Arlington, TX 76019-2053
72.  
73. ------------------------------
74.  
75. Date:     Thu, 6 Apr 89 15:28 EDT
76. From:     <JEB107@PSUVM.BITNET>
77. Subject:  WARNING: ORGASM EXEC (VM/CMS)
78.  
79. *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***
80.  
81. An exec file known as ORGASM was released about two days ago on the
82. PSUVM system.  This file was obviously written up here, and was
83. detected by Computer center personnel soon after it was released.  It
84. sends null messages to all users linked to a particular disk and then
85. sends the file to all users listed in the names file it finds.
86.  
87. Up to this point I believed that we had a local outbreak....the file
88. was written with Penn State in mind...probably by a student.  However,
89. I just got done talking with another person down at University of
90. Central Florida, and she reports that a copy was found at her
91. location.  Therefore, I am now assuming that this program has spread
92. across BITNET.
93.  
94. I just felt that everyone on this list should be warned of the
95. possible problems in letting this program spread.
96.  
97. Jonathan Baker                      JEB107 at PSUVM.BITNET
98.                                     The Pennsylvania State University.
99.  
100. DISCLAMER : I am just a student...not an employee.  I am doing this only
101.             to keep the community infomed about possible problems.
102.  
103. [Ed. Jonathan later sent me the following message that was posted by
104. the Penn State computing center warning its users of the EXEC.  Thanks
105. to all for the prompt reports!]
106.  
107. Date: Tue, 04-Apr-89, 16:07:30 EDT
108. From: "Al Williams" <ALW@PSUVM.BITNET>
109. Subject: IMPROPER PROGRAMS BEING DISTRIBUTED ON PSUVM
110.  
111. A program called ORGASM EXEC is being distributed, and might be found
112. in your reader (RDRLIST) or on mindisks you link and access.  DO NOT
113. RUN THIS PROGRAM.  DISCARD it from your reader, or ERASE it from your
114. disk.
115.  
116. It may do some things without warning you, and does at least two
117. things programs should not do: it sends a null message via RSCS
118. (resulting in "...")  to all or most logged-on users, and it mails a
119. copy of itself to all users listed in your NAMES file.  The message is
120. annoying to recipients and should be embarrassing to you.  Mailing out
121. copies should also be embarrassing, but more importantly wastes
122. resources and has the potential of "clogging" our system and others we
123. are connected to.
124.  
125. Distributing or providing access to any program that acts in a
126. surreptitious manner is considered an invalid use of your computer
127. account and in violation of University policies.  While you may not
128. realize what a program does, you are responsible if you execute it.
129. If you are not sure a program behaves properly, DISCARD IT!
130.  
131. ALW
132.  
133. ------------------------------
134.  
135. Date:         Thu, 06 Apr 89 16:24:48 EST
136. From:         Lois Buwalda <LOIS@UCF1VM.BITNET>
137. Subject:      ORGASM EXEC siting in Florida (VM/CMS)
138.  
139. Hello,
140.  
141. I've run across another one of those lovely viruses which goes by the
142. name of ORGASM EXEC.  It is disguised as a message server type utility
143. (approximately 1400+ lines long), with the virus itself relatively
144. cleverly hidden (the size of the file itself makes it difficult to
145. detect).  The virus is effective in only 2 instances:  1)  If the user
146. has a disk defined as virtual addr 319.  It queries all users connected
147. to this disk and propogates itself to them.  2)  If the site uses RXNAMES,
148. a Penn State University tool.  The EXEC then sends itself to all people
149. in the user's NAMES file.  It appears to be "safe" if these two conditions
150. are not met.
151.  
152. The virus originated at PSUVM, although at the time of this posting the
153. writer has not yet been caught.
154.  
155. Lois Buwalda
156. Systems Support
157. University of Central Florida
158.  
159. ------------------------------
160.  
161. Date:     Thu,  6 Apr 89 13:45:04 PST
162. From:     PJS%naif.JPL.NASA.GOV@Hamlet.Bitnet
163. Subject:  Cornell RTM Worm Report
164.  
165. Just read in the April 3 _Unix Today_ that Cornell is releasing a report
166. today on the Internet Worm.  Does anyone know where I can get a copy?
167.  
168. Peter Scott (pjs@naif.jpl.nasa.gov)
169.  
170. ------------------------------
171.  
172. End of VIRUS-L Digest
173. *********************
174. Downloaded From P-80 International Information Systems 304-744-2253
175.