home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.96 < prev    next >
Text File  |  1995-01-03  |  5KB  |  111 lines
  1. VIRUS-L Digest              Friday, 21 Apr 1989         Volume 2 : Issue 96
  2.  
  3. Today's Topics:
  4. re: Hiding Viruses by Intercepting Output
  5. McAfee's SENTRY a-v software (PC)
  6. re: Virus disassemblies (PC)
  7.  
  8. [Ed. I apologize for sending out such a short digest; we're testing a
  9. mail<-->news gateway and need something to feed it.]
  10.  
  11. ---------------------------------------------------------------------------
  12.  
  13. Date:    21 April 1989, 08:51:33 EDT
  14. From:    David M. Chess  <CHESS@YKTVMV.BITNET>
  15. Subject: re: Hiding Viruses by Intercepting Output
  16.  
  17. > Could anyone tell me how this method of hiding a virus
  18. > would fail?
  19.  
  20. The "Brain" virus (I think it is) does something very much like
  21. this.   It fails when a user who is checking out an infected
  22. diskette does the checkout on a *clean* system, in which the
  23. virus hasn't gotten control.   Another illustration of how
  24. important it can be to get your system into a known clean
  25. state before doing virus-scanning.                  DC
  26.  
  27. ------------------------------
  28.  
  29. Date:    FRI APR 21, 1989 11.47.23 EST
  30. From:    "David A. Bader" <DAB3@LEHIGH.BITNET>
  31. Subject: McAfee's SENTRY a-v software (PC)
  32.  
  33. I just had the chance to try out John McAfee's Sentry Anti-viral
  34. software for the PC, and frankly - it is worthless.  I followed the
  35. instructions on installation, and it automatically places itself in
  36. autoexec.bat and reboots (maybe John, you could have told me that you
  37. were going to modify my file, or that you would do a cold boot - for
  38. me, it matters.)  Anyway, After Sentry did a check of filesize and a
  39. random checksum at the beginning, middle, and end of every file on my
  40. harddisk, it told me nothing.  Ok, so I run Sentry a second time just
  41. to see what happens and I get told my interrupt vectors have changed
  42. and I should contact someone because that could mean a virus.  Have you
  43. ever heard about FASTOPEN, or FluShot Plus, or one million other
  44. programs that I give permission to to take over my interrupt vectors?
  45. You could at least scan the memory tables and tell me who the owner of
  46. the interrupt vectors is.  And then, after taking a minute to scan all
  47. my files, I would appreciate "XXXXX file changed since last use" - NOT
  48. "3 files were modified".. Useless, John, absolutely useless.
  49.  
  50.             -I'm sticking with FluShot Plus!
  51.               -David Bader
  52.                DAB3@LEHIGH
  53.  
  54. ------------------------------
  55.  
  56. Date:    21 April 1989, 14:06:08 EDT
  57. From:    David M. Chess   <CHESS@YKTVMV.BITNET>
  58. Subject: re: Virus disassemblies (PC)
  59.  
  60. Some comments on Jim Goodwin's comments.
  61.  
  62. >                       It is also the first virus I've come across
  63. > that will NOT infect a true IBM PC.  It will only infect clones.  The
  64. > code to test for the true blue IBM machine was quite simple, and
  65. > follows:
  66.  
  67. If you'll look carefully at that code, you'll notice a bug; the last
  68. compare should be a BYTE compare, not a word compare.  As it is, it's
  69. testing for "IBM" followed by a byte of 00.  Even True Blue IBM BIOSs
  70. don't have that, so in fact it will work identically on IBMs and
  71. clones.  (Either the virus writer didn't have a real IBM to test on,
  72. or he's intentionally trying to confuse us!)  So it *will* infect a
  73. true IBM PC (I've tested it).
  74.  
  75. The two levels of encryption are just a couple of XORs; one simple way
  76. to crack most of it is to let it run (on a machine with no hard disks,
  77. of course!) up to the point where it has finished descrambling itself,
  78. and then dumping the descrambled code to disk and killing the
  79. execution.
  80.  
  81. COM and EXE files: The only virus that I know of that will infect both
  82. is the Jerusalem.  The only other virus that I know that will infect
  83. EXE files is the EXE flavor of the April 1st Israeli virus.  All the
  84. others I know of are either COM or boot infectors.  Do you know of
  85. other EXE infectors?  I'm sure the list would be interested.
  86.  
  87. All the COM and EXE infectors that I know of use INT21 to do their
  88. infecting.  Do you know of some that don't?  It's possible in theory
  89. of course, but I've never seen one.  Again, I'm sure the list would be
  90. interested.
  91.  
  92. > we have it in over 6,000 systems now and it has
  93. > caught us a total of 31 new viruses.
  94.  
  95. Wow!  Only about 14 or 15 (counting liberally) PC-DOS viruses have
  96. been reported on this list.  Do you have capsule summaries of the
  97. viruses you've found?  (Or does that 31 perhaps include viruses for
  98. other operating systems, or perhaps some non-virus Trojan horses?)
  99.  
  100. Sounds like you've got a gold mine of information, there!  I'll
  101. attempt to check out the BBS myself.
  102.  
  103. Dave Chess
  104. Watson Research
  105.  
  106. ------------------------------
  107.  
  108. End of VIRUS-L Digest
  109. *********************
  110. Downloaded From P-80 International Information Systems 304-744-2253
  111.