home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.98

< prev

next >

Wrap

Text File  |  1995-01-03  |  9KB  |  209 lines

---

1. VIRUS-L Digest              Monday, 24 Apr 1989         Volume 2 : Issue 98
2.  
3. Today's Topics:
4. Re: CheckSum Methods of Virus Detection (PC)
5. re: Information wanted on "Stoned" virus (PC)
6. Write protecting a hard disk (Mac)
7. Virus papers (finally) available on Lehigh LISTSERV
8.  
9. ---------------------------------------------------------------------------
10.  
11. Date:    Mon,  24 Apr 89 15:37:13 +0200
12. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
13. Subject: Re: CheckSum Methods of Virus Detection (PC)
14.  
15.   Peter Jaspers-Fayer (in Issue 93) mentioned that CHECKOUT does not
16. checksum the boot sector.  It's strange, but despite the abundance of
17. boot sector viruses, few checksum programs are any better in this
18. respect than CHECKOUT.  In fact, of the over 20 such programs I have
19. heard of for the PC, none of the freeware/shareware ones and not too
20. many of the commercial ones checksum the boot sector.
21.  
22.   And even of those who are aware of the need to checksum the boot
23. sector in addition to files, most seem to miss the fact that the
24. *partition record* also contains code which is executed when booting
25. from a hard disk.  And there's at least one virus (the "Stoned" or
26. "Marijuana" virus, which apparently originated in New Zealand) which
27. exploits this fact.  Note, by the way, that Len Levine's method (in
28. Issue 95) of copying the content of the boot block to a file won't
29. work in the case of the partition record since DEBUG can't access it.
30.  
31.   Concerning Len's solution for the boot block, he writes:
32. >Note that a virus that affects every read made from the disk,
33. >detects an attempt to read the boot block, and passes you a copy
34. >of the good boot block instead of the infected one, will defeat
35. >this.
36.  
37.   But that's only if the virus is already in memory.  You can avoid
38. this problem by running the checksum program immediately after cold
39. booting from a system which is known to be clean (as was mentioned
40. recently by David Chess).
41.  
42.                                           Y. Radai
43.                                           Hebrew Univ. of Jerusalem
44.  
45. ------------------------------
46.  
47. Date:    24 April 1989, 11:26:40 EDT
48. From:    David M. Chess   <CHESS@YKTVMV.BITNET>
49. Subject: re: Information wanted on "Stoned" virus (PC)
50.  
51. Tom Sheriff asked about this virus back on 4/17.  I've seen it, and
52. done a certain amount of analysis.  It seems to infect both floppies
53. and hard disks.  It captures INT13, and uses that to try to infect any
54. floppies read or written in drive A: (BIOS 00).  If an infected floppy
55. is used to boot a machine with a C: drive (BIOS 80), the c: drive will
56. become infected.  If an infected floppy is booted at just the right
57. time (it tests the system clock), the message (or at least the first
58. sentence) is displayed on the screen before the boot occurs.  The
59. message will not be displayed when booting from an infected hard disk.
60.  
61. The virus is rather lazy, and uses hard-wired locations to store the
62. original boot record.  So it will overlay possibly-in-use tracks when
63. it infects a new disk or diskette.  That's the only "destructive"
64. behavior that I saw.  It makes no attempt to hide, and an infected
65. boot record can be visually identified by the presence of the message.
66. Automatic programs that watch for changes to boot sectors should have
67. no trouble spotting it, either.
68.  
69. Usual disclaimers: the virus that I'm describing here may not be the
70. same one you're infected with!!  Get a guru to analyze yours
71. thoroughly before deciding that you're clean.  (If it *is* the same
72. one I've seen, it'll be pretty simple to analyze...)
73.  
74. Dave Chess
75. Watson Research
76.  
77. ------------------------------
78.  
79. Date:    Mon, 24 Apr 89 15:21:50 EDT
80. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM.BITNET>
81. Subject: Write protecting a hard disk (Mac)
82.  
83. Is it possible to lock a Macintosh hard disk so as to protect it from
84. an infection?
85.  
86. ------------------------------
87.  
88. Date:    Mon, 24 Apr 89 15:32:19 EDT
89. From:    luken@ubu.cc.lehigh.edu (Kenneth R. van Wyk)
90. Subject: Virus papers (finally) available on Lehigh LISTSERV
91.  
92. After much prodding, I've placed most of the virus papers that we've
93. accumulated on the LISTSERV@LEHIIBM1.BITNET.  BITNET users can now
94. obtain these files from LISTSERV (please don't send your requests to
95. the list - it won't work).  Note that the series of reports on the
96. Internet worm are not included on the LISTSERV, primarily for reasons
97. of size (most of them exceed the BITNET limit of 300000 characters, as
98. stated in the BITNET Usage Guidelines).
99.  
100. These files, as with the ones on lll-winken.llnl.gov, are also
101. accessible via anonymous FTP to IBM1.CC.Lehigh.EDU.
102.  
103. Also, I was asked to include a description (or abstract) of each of
104. the documents.  Here is what I have (along with filenames in CAPS), in
105. no particular order:
106.  
107.  
108. "Coping with Computer Viruses and Related Problems"
109.                 by Steve R. White, David M. Chess, and Chengi Jimmy Kuo
110.                    of IBM
111.                 January 1989
112.                 LISTSERV Filename: IBM PAPER
113.  
114. ABSTRACT: We discuss computer viruses and related problems.  Our
115. intent is to help both executive and technical managers understand the
116. problems that viruses pose, and to suggest practical steps they can
117. take to help protect their computing systems.
118.  
119.  
120.  
121. "Developing Virus Identification Products"
122.                 by Tim Sankary
123.                 Copyright (c) 1989, all rights reserved.
124.                 (April) 1989
125.                 LISTSERV Filename: IDENTIFY TXT
126.  
127. DESCRIPTION: This paper presents techniques for virus identification.
128.  
129.  
130.  
131. "Net Hormones"
132.                 by David S. Stodolsky, PhD. of Copenhagen University
133.                 Copyright (c) 1989, all rights reserved.
134.                 March 1989
135.                 LISTSERV Filename: HORMONES NET
136.  
137. ABSTRACT: A new type of infection control mechanism based upon contact
138. tracing is introduced. Detection of an infectious agent triggers an
139. alerting response that propagates through an affected network. A
140. result of the alert is containment of the infectious agent as all
141. hosts at risk respond automatically to restrict further transmission
142. of the agent.  Individually specified diagnostic and treatment methods
143. are then activated to identify and destroy the infective agent. The
144. title "Net Hormones" was chosen to indicate the systemic nature of
145. this programmed response to infection.
146.  
147.  
148.  
149. "Computer Viruses: A Rational View"
150.                 by Raymond M. Glath of RG Software Systems, Inc.
151.                 April 1988.
152.                 LISTSERV Filename: VIRUS GLATH
153.  
154. DESCRIPTION: This paper presents an overview of viruses and associated
155. terminology.  It examines such topics as how one might become infected
156. by a virus, and what to do if one does become infected.  It also sets
157. guidelines for virus prevention and removal.
158.  
159.  
160.  
161. "The Infection of PC Compatible Computers"
162.                 by Stephen E. Kiel and Raymond K. Lee of Georgia Tech
163.                 Summer 1988.
164.                 LISTSERV Filename: VIRUS KIEL
165.  
166. DESCRIPTION: The recent publicity over computer viruses has produced
167. mixed reactions and much confusion inside, as well as outside, of the
168. computing industry.  The conflicting opinions are caused either by a
169. misunderstanding of what viruses are or a lack of understanding of
170. their potential problems.  This paper answers those questions and in
171. addition, gives a description of currently suggested methods for IBM
172. PC's and compatibles for detecting, preventing, and eliminating
173. viruses.  A highly technical discussion is not the objective, but
174. rather a broad overview is given along with sources of additional
175. information and assistance.
176.  
177.  
178.  
179. "Potential Virus Attack"
180.                 by L. P. Levine of University of Wisconsin-Milwaukee
181.                 September 1988
182.                 LISTSERV Filename: VIRUS LEVINE
183.  
184. DESCRIPTION: This paper examines the vulnerability to viruses of Dr.
185. Levine's computing environment and suggests methods for reducing its
186. risk.
187.  
188.  
189.  
190. "Virus 101" (Chapters 1-4)
191.                 by George Woodside
192.                 March 1989
193.                 LISTSERV Filenames: V101 1   V101 2   V101 3   V101 4
194.  
195. DESCRIPTION: This series of papers present an in-depth look at
196. viruses, in the form of a virus "course" of four chapters.  Note that
197. many of the author's statements are specific to his ATARI ST.
198.  
199.  
200. Enjoy,
201.  
202. Ken
203.  
204. ------------------------------
205.  
206. End of VIRUS-L Digest
207. *********************
208. Downloaded From P-80 International Information Systems 304-744-2253
209.