home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.88 < prev    next >
Text File  |  1995-01-03  |  9KB  |  225 lines
  1.  
  2. VIRUS-L Digest             Thursday, 13 Apr 1989        Volume 2 : Issue 88
  3.  
  4. Today's Topics:
  5. General question....
  6. Re: hard disk write protection
  7. antiviral archives (Mac)
  8. Re: nVIR Removal (Mac)
  9. Mac software repository
  10. Availability of FLU_SHOT+ on Simtel20.Army.Mil (PC)
  11. Hard disk write protection
  12. More on the Alameda Virus (PC)
  13.  
  14. ---------------------------------------------------------------------------
  15.  
  16. Date:         Wed, 12 Apr 1989 19:57 EST
  17. From:         Bruce Ide <xd2w@PURCCVM.BITNET>
  18. Subject:      General question....
  19.  
  20. If the virus needs to access the disk to spread why not have the
  21. computer manufactorers modify their HARDWARE slightly so that any disk
  22. writes are questioned? It would get irritating to users, true, but if
  23. you don't specify save and a write occurs, I expect it would be
  24. questioned and perhaps the user would even have enough sense to deny
  25. access... This idea as I have it now is very rough... With some
  26. polishing, it might be ok, but you've probably had ones like it
  27. before, and I could probably read all about it if I felt like digging
  28. through several years worth of archives :)
  29.  
  30. ------------------------------
  31.  
  32. Date:    Wed, 12 Apr 89 23:06:56 EDT
  33. From:    vanembur@gauss.rutgers.edu (Bill Van Emburg)
  34. Subject: Re: hard disk write protection
  35.  
  36. > If you do figgure out how to do this, you could probably set up a
  37. > toggle switch or key thing to alllow you to write to your disk
  38. > when it's switched one way and keep write protection on when it's
  39. > switched the other. If you want to keep users out, set it up with the
  40. > key. If it's to keep viri out, set it up with the switch. It'll take
  41.  
  42. The problem with this idea is that many programs need to write
  43. temporary files to disk.  Often, the user is completely unaware that
  44. this is happening.  If you set a hardware write protect, you may find
  45. that your favorite utility doesn't work.  While this *could* serve a
  46. useful purpose in some settings, I don't feel that it could be a
  47. widespread solution.
  48.  
  49.                         -Bill Van Emburg
  50.                         (vanembur@aramis.rutgers.edu)
  51.                         {...}!rutgers!aramis.rutgers.edu!vanembur
  52.  
  53. ------------------------------
  54.  
  55. Date:    Wed, 12 Apr 89 23:13:28 CDT
  56. From:    "David Richardson, UT-Arlington" <B645ZAX@utarlg.arl.utexas.edu>
  57. Subject: antiviral archives (Mac)
  58.  
  59. In response to the question about antiviral archives,
  60. SUMEX-AIM.STANFORD.EDU has a HUGE Mac archive, which is anonymously
  61. ftp-able.  It has all the anti-viral software, including
  62. disinfectant.
  63.  
  64. - -David Richardson,                    The University of Texas at Arlington
  65. Bitnet: b645zax@utarlg            Internet:  b645zax@utarlg.arl.utexas.edu
  66. UUCP:     ...!{ames,sun,texbell, <backbone>}!utarlg.arl.utexas.edu!b645zax
  67. SPAN:     ...::UTSPAN::UTADNX::UTARLG::b645ZAX      US Mail: PO Box 192053
  68. PhoNet: +1 817 273 3656 (FREE from Dallas, TX)    Arlington, TX 76019-2053
  69.  
  70. ------------------------------
  71.  
  72. Date:    Thu, 13 Apr 89 02:10 EDT
  73. From:    "Mark H. Anbinder" <THCY@VAX5.CCS.CORNELL.EDU>
  74. Subject: Re: nVIR Removal (Mac)
  75.  
  76. The nVIR virus (all currently-known strains, including those with
  77. different names) can be removed with the Disinfectant program, written
  78. by John Norstad and assisted by a group of programmers who
  79. collaborated via the Internet.  Disinfectant 1.0 is available from
  80. various servers, or I could e-mail you a copy.  Disinfectant 1.1,
  81. which includes mostly bug fixes, is expected to be released on Monday
  82. 17 April.  If you wish to use it over a TOPS network, wait for 1.1.
  83.  
  84. Mark H. Anbinder
  85. Department of Media Services
  86. Cornell University
  87.  
  88. ------------------------------
  89.  
  90. Date:         Thu, 13 Apr 89 08:37:07 EST
  91. From:         Joe Simpson <JS05STAF@MIAMIU.BITNET>
  92. Subject:      Mac software repository
  93.  
  94. Joe McMahan maintains a superior repository of Mac software on
  95. LISTSERV at SCFVM
  96.  
  97. The repository includes
  98. A Hypercard documentation stack
  99. VACCINE  a very nice protection cDev
  100. GATEKEEPER  another very nice protection cDev for programmers
  101. VirusRX  Apple's disgnostic
  102. Interferon another very nice diagnostic.
  103.  
  104. ------------------------------
  105.  
  106. Date:    Thu, 13 Apr 89 07:53:08 MDT
  107. From:    Chris McDonald  ASQNC-TWS-R 678-4176 <cmcdonal@wsmr-emh10.army.mil>
  108. Subject: Availability of FLU_SHOT+ on Simtel20.Army.Mil (PC)
  109.  
  110. FLU_SHOT+, Version 1.5, has been available on simtel20.army.mil for
  111. over one month.  It can be found in the directory
  112. pd1:<msdos.trojan-pro>.  The copy posted was obtained directly from
  113. the author, Ross Greenberg.
  114.  
  115. [Ed. Thanks for the speedy work!]
  116.  
  117. ------------------------------
  118.  
  119. Date:    Thu, 13 Apr 89 10:24:51 CDT
  120. From:    dennis@savant.BITNET
  121. Subject: Hard disk write protection
  122.  
  123. >Could some hardware hacker upload instructions on disabling the write
  124. >capability of an XT or AT style hard disk?
  125.  
  126. >[Ed. The problem with that is that the entire hard disk would be
  127. >read-only (which could be useful for some applications).
  128.  
  129. >It'll take a bit of soldering, and a few thirty nine cent swtiches
  130. >from radio shack.
  131.  
  132. Communications is obviously more difficult than just being able to send
  133. messages!  I have developed a hardware write-protect swithc as mention.
  134. I received a patent on it almost a year ago.
  135.  
  136. Let me make a few points.
  137.  
  138. 1. It is 100% effective against modification of protected files.
  139. 2. You DO NOT have to protect the entire hard disk.
  140. 3. It requires more than a $.39 switch, unless you don't mind cooking
  141. your disk electronics.
  142. 4. It has been available for over two years.
  143. 5. It CAN NOT be disabled by ANY software!
  144.  
  145. Dennis Director,  dennis@math.nwu.edu
  146.  
  147. ------------------------------
  148.  
  149. Date:    Thu, 13-Apr-89 11:01:35 PDT
  150. From:    portal!cup.portal.com!Gary_F_Tom@Sun.COM
  151. Subject: More on the Alameda Virus (PC)
  152.  
  153. In digest 2.74, Y. Radai brought up some inconsistencies he had found
  154. between descriptions of the Yale virus and John McAfee's description
  155. of the Alameda virus.  He asks:
  156.  
  157. >   So Gary, since you obviously are able to contact McAfee, would you
  158. > mind asking him (1) to clarify the inconsistency in the dates, (2) to
  159. > give us all available details on the Alameda-Merritt virus, and (3) to
  160. > provide all the evidence he has for concluding that Alameda = Yale.
  161.  
  162. Here is John's response:
  163.  
  164. > 04/04/89 00:25:26
  165. > From: JOHN MCAFEE
  166. >
  167. > Gary, thanks again for serving as courier for these messages.  In response
  168. > to the questions:  The Alameda was first discovered in Spring 1987 at
  169. > Merritt College.  It popped up again at Alameda College, where it received
  170. > large publicity, in February, 1988.  It is identical to a virus given to
  171. > me by Loren Keim in October of 1988, and Loren called the virus the Yale
  172. > virus - hence my certainty.  To remove any doubts, however, I am placing
  173. > my disassembly of the Alameda virus in the MS-DOS SIG for you to forward
  174. > along with my message.  If I have been incorrect in my analysis, then I
  175. > apologize to the august body of East coast researchers.  I think, however,
  176. > that the disassembly should match the Yale perfectly.  Thank you for your
  177. > time.  (The disassembly is called - ALAMEDA.ASM).
  178.  
  179. The complete virus disassembly has been sent to Y. Radai via e-mail.  Here
  180. is the comment block from the front of John's disassembly:
  181.  
  182. ; This virus is of the "FLOPPY ONLY" variety.
  183. ; It replicates to the boot sector of a floppy disk and when it gains control
  184. ; it will move itself to upper memory.  It redirects the keyboard
  185. ; interrupt (INT 09H) to look for ALT-CTRL-DEL sequences at which time
  186. ; it will attempt to infect any floppy it finds in drive A:.
  187. ; It keeps the real boot sector at track 39, sector 8, head 0
  188. ; It does not map this sector bad in the fat (unlike the Pakistani Brain)
  189. ; and should that area be used by a file, the virus
  190. ; will die.  It also contains no anti detection mechanisms as does the
  191. ; BRAIN virus.  It apparently uses head 0, sector 8 and not head 1
  192. ; sector 9 because this is common to all floppy formats both single
  193. ; sided and double sided.  It does not contain any malevolent TROJAN
  194. ; HORSE code.  It does appear to contain a count of how many times it
  195. ; has infected other diskettes although this is harmless and the count
  196. ; is never accessed.
  197. ;
  198. ; Things to note about this virus:
  199. ; It can not only live through an ALT-CTRL-DEL reboot command, but this
  200. ; is its primary (only for that matter) means of reproduction to other
  201. ; floppy diskettes.  The only way to remove it from an infected system
  202. ; is to turn the machine off and reboot an uninfected copy of DOS.
  203. ; It is even resident when no floppy is booted but BASIC is loaded
  204. ; instead.  Then when ALT-CTRL-DEL is pressed from inside of BASIC,
  205. ; it activates and infects the floppy from which the user is
  206. ; attempting to boot.
  207. ;
  208. ; Also note that because of the POP CS command to pass control to
  209. ; its self in upper memory, this virus does not work on 80286
  210. ; machines (because this is not a valid 80286 instruction).
  211. ;
  212. ; The Norton utilities can be used to identify infected diskettes by
  213. ; looking at the boot sector and the DOS SYS utility can be used to
  214. ; remove it (unlike the Brain).
  215.  
  216. Gary Tom
  217. Tandem Computers, Inc.
  218. Cupertino, CA
  219.  
  220. ------------------------------
  221.  
  222. End of VIRUS-L Digest
  223. *********************
  224. Downloaded From P-80 International Information Systems 304-744-2253
  225.