home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.116

< prev

next >

Wrap

Text File  |  1995-01-03  |  22KB  |  503 lines

---

1.  
2. VIRUS-L Digest   Monday, 25 Jun 1990    Volume 3 : Issue 116
3.  
4. Today's Topics:
5.  
6. re: FORM-Virus (PC)
7. VSHIELD and WIN 3.0 (PC)
8. New files on MIBSRV (PC)
9. Re: Help requested with a purported Yankee Doodle infection (PC)
10. Warning - Flipper virus (Mac)
11. Re: UnVirus (PC); Public Domain
12. Re: Mainframe attacks (MVS)
13. Re: Mainframe attacks (MVS)
14. Re: Discussion: definitions of common computer beasts (ie. viruses..)
15. New files on MIBSRV (PC)
16. On Tippett's "Kinetics..."
17. Re: GateKeeper Aid 'ADBS' Query (Mac)
18. 1704-virus (PC)
19. Anti-viral philosophies
20. Re: FORM virus (PC)
21.  
22. VIRUS-L is a moderated, digested mail forum for discussing computer
23. virus issues; comp.virus is a non-digested Usenet counterpart.
24. Discussions are not limited to any one hardware/software platform -
25. diversity is welcomed.  Contributions should be relevant, concise,
26. polite, etc.  Please sign submissions with your real name.  Send
27. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
28. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
29. anti-virus, documentation, and back-issue archives is distributed
30. periodically on the list.  Administrative mail (comments, suggestions,
31. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
32.  
33.    Ken van Wyk
34.  
35. ---------------------------------------------------------------------------
36.  
37. Date:    18 Jun 90 15:00:50 -0400
38. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
39. Subject: re: FORM-Virus (PC)
40.  
41. Norbert Hanke <dosman%cs.id.ethz.ch@cernvax>:
42. > One of our users just encountered a new boot sector virus which calls
43. > itself FORM-Virus. It is not detected by SCANV63.
44.  
45. We recently got a sample of that from Switzerland as well.  It infects
46. both floppy diskettes and the bootable partition of hard disks.  The
47. only side-effect I've found is that it will cause the speaker to click
48. while typing under some circumstances.  Usual disclaimers, of course;
49. what you've seen may not be the same virus that I've seen!
50. DC
51.  
52. ------------------------------
53.  
54. Date:    Mon, 18 Jun 90 17:02:00 -0400
55. From:    LINDYK@Vax2.Concordia.CA
56. Subject: VSHIELD and WIN 3.0 (PC)
57.  
58. I have not encountered any difficulty in running the two together.
59. VSHIELD is loaded at the beginning of my autoexec.bat and subsequently
60. I load WIN 3.0 from a menu.  If anybody does have problems with this
61. or a different configuration, I'd also like to hear about it.
62.  
63.         Bogdan KARASEK
64.  
65.         lindyk@vax2.concordia.ca
66.  
67. ------------------------------
68.  
69. Date:    Mon, 18 Jun 90 11:51:04 -0500
70. From:    James Ford <JFORD@UA1VM.BITNET>
71. Subject: New files on MIBSRV (PC)
72.  
73. The following files have been placed on MIBSRV.MIB.ENG.UA.EDU (130.160.20.80)
74. for anonymous FTPing in the directory pub/ibm-antivirus:
75.  
76. chkup39.zip  -  CheckUp V3.9
77. netsc63b.zip -  McAfee's NetScan program V63B. (taken from Homebase)
78. vcopy63.zip  -  McAfee's VCOPY program V63.    (taken from Homebase)
79. secur109.zip -  SECURE V1.09, tsr that prevents all known and unknown viruses.
80.                 (*NOTE: Description taken from SECURE.DOC.  I have no knowledge
81.                        of the program myself....JF)
82. vtac42.zip   -  PC environment security program.
83.  
84. If you do not have FTP ability at your BITNET site, send a one line mail
85. message HELP to BITFTP@PUCC.
86. - ----------
87. He who never sticks out neck, never wins by nose.
88. - ----------
89. James Ford -  JFORD@UA1VM.BITNET, JFORD@MIBSRV.MIB.ENG.UA.EDU
90.               THE University of Alabama (in Tuscaloosa, Alabama  USA)
91.  
92.  
93. ------------------------------
94.  
95. Date:    19 Jun 90 08:58:54 +0000
96. From:    frisk@rhi.hi.is (Fridrik Skulason)
97. Subject: Re: Help requested with a purported Yankee Doodle infection (PC)
98.  
99. DLV@CUNYVMS1.BITNET (Dimitri Vulis) writes:
100. >1. Can someone refer me to a document, or a previous discussion on this news-
101. >group, where this virus is discussed? What does it do?
102.  
103. There are actually two different virus groups called "Yankee Doodle".  Both are
104. from Bulgaria, but they are different in several ways.
105.  
106.     Group 1: "Old Yankee" infects only .EXE files. When an infected program is
107.     run, the virus does a full-depth recursive search on the current directory,
108.     until a non-infected file is found, which will then be infected. The
109.     virus then plays the Yankee Doodle tune and transfers control to the
110.     original program. It does not remain resident in memory.  Infected
111.     files are marked by placing the word "motherfucker" at the end.
112.     Two variants are known one 1961 byte and another, shorter one, only 1621
113.     bytes, which does not play the tune - it does nothing but replicate. More
114.     variants are expected in the future, as the author has distributed the
115.     source to the virus.
116.  
117.     Group 2: TP's "Yankee Doodle".  Versions 26-44+ of the TP series of
118.     viruses (which includes the "Vacsina" viruses as well) also play Yankee
119.     Doodle.  Versions 26-32 play it when Atrl-Alt-Del is pressed, 33-43 play
120.     it at 5pm, but versions 44- have only a 1-in8 chance of playing it at that
121.     time.  Those viruses are resident, and quite a bit longer than the other
122.     ones 2-3.5K
123.  
124. Compared to many other viruses, the "Yankee-Doodle" viruses are fairly
125. harmless, but nevertheless a problem.
126.  
127. >2. Can someone please recommend a PD or shareware program for *scanning*
128. >existing executable files for this speciaes of virus (and others, if possible)
129. .
130.  
131. Three program that can (I think) find all the known variants
132.  
133.     VIRSCAN  from IBM
134.     SCAN     from McAfee
135.     F-PROT   my own - which can remove them all as well :-)
136.  
137. - -frisk
138.  
139. - --
140. Fridrik Skulason      University of Iceland  |
141. Technical Editor of the Virus Bulletin (UK)  |  Reserved for future expansion
142. E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801  |
143.  
144. ------------------------------
145.  
146. Date:    19 Jun 90 10:51:23 +0000
147. From:    mumhongh@vax1.tcd.ie
148. Subject: Warning - Flipper virus (Mac)
149.  
150. A virus known as "FLIPPER" has 'woken up' on the Apple Mac in the Arts.  It was
151. removed by Disinfectant in early June, but it is possible it is still on some
152. user disks.  Please check yours using Disinfectant!
153.  
154. ------------------------------
155.  
156. Date:    Wed, 20 Jun 90 15:07:52 +0300
157. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
158. Subject: Re: UnVirus (PC); Public Domain
159.  
160.   David Chess asks:
161. >If you don't consider it proprietary, I'd be curious to know what
162. >the scanning algorithm is that it doesn't slow down as the number
163. >of viruses increases.
164.  
165. A word to the wise is sufficient, isn't it?  Well, the word in this
166. case is "hashing" ....
167.  
168.   BTW, the implementation of the new UnVirus has since been speeded up
169. so that it's now almost 4 times as fast as SCAN.
170.  
171.  
172.   I was also asked in a personal letter what I meant when I wrote in
173. the same posting:
174. >       *freeware* (often erroneously called "public domain" software).
175.  
176. Since "public domain" is a legal term, some of what I'm about to write
177. may not be entirely accurate, but I think my conclusion will still be
178. valid.  As I understand it, "public domain" means (at least approxi-
179. mately) *not copyrighted*.  Previous postings here on copyrighting
180. have indicated that a program written after 1 Mar 89 (the date the
181. U.S. became a signatory to the Berne Convention) is automatically
182. copyrighted at the moment of creation, without need for a copyright
183. notice.  It therefore seems to me that a program written after this
184. date (in the U.S.) can be PD only if its author explicitly states that
185. he releases it to the public domain or that he waives all his rights.
186. And such cases constitute only a very small portion of the programs
187. available on most so-called "PD" servers, even if we restrict our-
188. selves to freeware.
189.   True, a program written before 1 Mar 89 is not copyrighted unless it
190. bears a copyright notice of the form "Copyright year name", and many
191. authors thought they could write "(C)" instead of "Copyright", which
192. is incorrect.  So maybe such programs would be considered PD if such a
193. matter ever came to court.  In any case, the *concept* or *definition*
194. of "public domain" is very different from that of "freeware", and
195. that's all I was claiming.
196.  
197.   Disclaimer: I have no legal background; if anyone with such a back-
198. ground finds an error in what I've written, I shall repent.
199.  
200.                                      Y. Radai
201.                                      Hebrew Univ. of Jerusalem, Israel
202.                                      RADAI1@HBUNOS.BITNET
203.                                      RADAI@HUJIVMS.BITNET
204.  
205. ------------------------------
206.  
207. Date:    20 Jun 90 19:42:55 +0000
208. From:    CAH0@gte.com (Chuck Hoffman)
209. Subject: Re: Mainframe attacks (MVS)
210.  
211. TONY@MCGILL1.BITNET (Tony Harminc) writes:
212. > I think mainframe hacking was much more popular in those days simply
213. > because mainframes were all there were.
214.  
215.    That also was about two years before the time that the Security group
216. at SHARE formed, which developed the specifications for the product which
217. became ACF2 in 1978.  Simultaneously, IBM was secretly developing RACF.
218. By the early 80's, ACF2 was beginning to dominate the MVS system security
219. market, and it became much more difficult for hackers who were not in the
220. systems programming groups to make significant intrusions into MVS
221. systems.  RACF was slow to develop because, in many people's opinions, it
222. was conceptually a poor design.  These days, though, many MVS sites do use
223. it.
224.    It is true that some of the architectural features of the original MVS
225. still exist in MVS/XA, making it possible to obtain system privileges.
226. Those who have been involved with MVS systems programming over the years
227. know the features well.  But on systems which are routinely managed by
228. ACF2, TopSecret, or RACF, it is very difficult for a person outside the
229. systems programming group to exploit those features.  There also are
230. extensive auditing tools and methods for monitoring systems, and, unlike
231. micros, MVS systems generally do not update or upgrade themselves while
232. they are running.  It is still possible, but unlikely.  With 15 years on
233. MVS systems in many companies, 10 on ACF2 and RACF protected systems, I
234. personally have never heard of a case of an unauthorized system update
235. caused by someone outside the systems programming group.  I'm sure they're
236. there, but if they were common, I guess I would have heard about a few
237. through one of my employers, or through my consulting business, or through
238. the ACF2 conventions, through SHARE, or through the regional ACF2 user's
239. group I was heavily involved with.  I didn't.
240.    Things are about to become tighter, too.  Computer Associates is in the
241. process of raising the rating of ACF2 and Top Secret from C2 to B1.
242.    On Digital VAXs, the VMS system technically is C2, but in my opinion
243. the architecture is so cumbersome that systems managers have some
244. justification when they say that you need system privileges all the time
245. just to do a job.  Yes, it's C2, but so many people end up with privileges
246. that it hardly matters.
247. - -Chuck
248.  
249.  
250. - - Chuck Hoffman, GTE Laboratories, Inc.
251. cah0@bunny.gte.com
252. Telephone (U.S.A.) 617-466-2131
253. GTE VoiceNet: 679-2131
254. GTE Telemail: C.HOFFMAN
255.  
256. ------------------------------
257.  
258. Date:    21 Jun 90 03:49:45 +0000
259. From:    woody@chinacat.Unicom.COM (Woody Baker @ Eagle Signal)
260. Subject: Re: Mainframe attacks (MVS)
261.  
262. While we are talking mainframe attacks, way back in 1976 or so, some
263. of my crowd of hackers, discovered that if you ran a program that upped
264. your privlege level temporarily in order to run (there were several), then
265. hit CTRL and BREAK backand forth several times rapidly, the os would get
266. confused.  Then when you exited your session, your account table was dumped
267. back to disk with the result that when you logged on again, you had A0
268. (system administrator) privelege, and could do anything you jolly well
269. pleased.  The hole was plugged within a couple of days, but I understand
270. that certain other accounts were created in the mean time that allowed
271. unfettered access to the machine.
272. I once had a psychology prof, who imparted a real jewel to the class.
273. "Things take more time than they do"  A paraphrase of that:
274. "Operating systems are as secure as they are.
275.  
276. Cheers
277. Woody
278. The above attack was made on CP-V on a Xerox Sigma 6 or 7.
279.  
280. ------------------------------
281.  
282. Date:    Thu, 21 Jun 90 11:27:56 +0000
283. From:    jerry@matt.ksu.ksu.edu (Jerry Anderson)
284. Subject: Re: Discussion: definitions of common computer beasts (ie. viruses..)
285.  
286. Here are my definitions of virus, worm and Trojan horse:
287.  
288.     virus        - a dependent self-replicating program.
289.  
290.     worm         - an independent self-replicating program.
291.  
292.     Trojan horse - a program with a hidden agenda.
293.  
294. By dependent, I mean that a virus "lives" within another program.
295.  
296. I do not believe that the definition of a worm has anything to do with
297. networks.  I think that association has risen due to the infamy of the
298. Internet worm.
299.  
300. I took the definition for a Trojan horse directly from Maarten Van Swaay.
301. I also think that a Trojan horse is the program that carries the
302. "payload," not the payload itself.  (Remember, the Trojan horse of
303. literature *contained* the suprise.)
304.  
305. When describing virii, worms, etc, many people end up by saying something
306. like "... and does something bad, like erase your files."  Granted, the
307. people who create these things and set them loose quite often put in
308. something nasty, but that isn't really part of what they are.  It is simply
309. how they are used.  If someone writes a program with a beneficial hidden
310. agenda, the program is still a Trojan horse.
311. - --
312. I like girls - German girls.                      Jerry J. Anderson
313.                                                   Computing Activities
314. BITNET:   jerry@ksuvm                             Kansas State University
315. Internet: jerry@ksuvm.ksu.edu                     Manhattan, KS  66506
316.  
317. ------------------------------
318.  
319. Date:    Thu, 21 Jun 90 08:26:31 -0500
320. From:    James Ford <JFORD@UA1VM.BITNET>
321. Subject: New files on MIBSRV (PC)
322.  
323. The following files have been placed on MIBSRV.MIB.ENG.UA.EDU (130.160.20.80)
324. in the directory pub/ibm-antivirus for anonymous FTPing.
325.  
326. fprot110.zip  -  FProtect
327. vsum9006.zip  -  Virus Summary Listing (current as of June 1990)
328.  
329. (Thanks to Jim Wright for sending FPROT110 to me......)
330. - ----------
331.     James Ford - JFORD1@UA1VM.BITNET, JFORD@MIBSRV.MIB.ENG.UA.EDU
332.  
333. ------------------------------
334.  
335. Date:    21 Jun 90 15:42:17 -0400
336. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
337. Subject: On Tippett's "Kinetics..."
338.  
339. Various people have mentioned Dr. Peter Tippett's paper "The Kinetics
340. of Computer Virus Replication" here recently.  We wrote a brief reply
341. to the paper awhile back, and I thought it might be reasonable to post
342. it.  This isn't an Official IBM Statement or anything like that, just
343. the reaction of the researchers here at the High Integrity Computing
344. lab.  (I don't know how people in general can get a copy of the paper
345. itself, I'm afraid.  I don't know whether it's been formally published
346. anywhere; the copy we have was apparently handed out at a press
347. conference.)
348.  
349.      The conclusions in Dr. Tippett's paper are based on a very
350. simple model of uncontrolled, exponential growth.  We are not
351. convinced that the assumptions or conclusions of the paper are
352. correct, and they do not seem to be supported by the actual data
353. available to us.  The model neglects several effects that we think
354. are crucial to understanding virus spread.  We think substantially
355. more work in modelling virus spread will be required before it's
356. possible to make valid quantitative predictions.
357.  
358.      Tippett's analogy with runaway biological growth neglects the
359. paths along which programs are shared (the "sharing topology"), and
360. incorrectly models the effects of widespread scanning on virus
361. growth.  Our own preliminary studies of very crude models which
362. incorporate program sharing and scanning indicate that, under
363. certain conditions, the fraction of infected machines can stabilize
364. at a much lower value than Tippett suggests ( < 1% in some cases).
365. Furthermore, if the scanning rate for a known virus were sufficiently
366. high, the exponential growth of the virus population predicted by
367. Tippett would reverse, and the virus would eventually become
368. extinct.  This is in contradiction to Tippett's conclusion that
369. scanning is ineffectual.  (To anyone interested in looking into some
370. good work on modelling the spread of biological viruses, we'd
371. suggest consulting recent issues of the journal "Mathematical
372. Biosciences".)
373.  
374.      Our own data on virus incidents do not show any trend towards
375. explosive growth, neither for viruses in general nor for the 1813
376. and Brain viruses which Tippett discusses.  We would be very
377. interested in seeing other reliable data on virus populations as a
378. function of time.
379.  
380.      We are rather confused at Tippett's assertion that "systems
381. management software" can contribute to real improvement in the
382. problem, whereas other methods cannot.  No evidence is presented for
383. this in the paper, and it would appear that the same analysis that
384. is used to claim that scanning is ineffective could be applied to
385. virtually any other method of reducing the virus population,
386. including the use of systems management software.
387.  
388.      We believe that, in order to make reasonable predictions about
389. the population dynamics of computer viruses, we need to formulate
390. more realistic models which incorporate some aspects of the virtual
391. and physical connectedness of the world's computers and at least a
392. minimal understanding of human habits.  The analysis and interpretation
393. of such a model will not be easy, but the success that mathematical
394. epidemiologists have achieved in understanding the spread of some
395. infectious diseases encourages us to think that we will be able to
396. do it.
397.  
398. DC
399.  
400. ------------------------------
401.  
402. Date:    Thu, 21 Jun 90 17:47:00 +0700
403. From:    h+@diab.se (Jon W{tte - SoftWare konsult)
404. Subject: Re: GateKeeper Aid 'ADBS' Query (Mac)
405.  
406. Maybe the ADBS weren't where it belonged, or was patched to load
407. another resuorce. (an ADBS is a driver routine for the Apple Desktop
408. Bus, if memory serves me right)
409.  
410. Just a guess...
411.  
412. ------------------------------
413.  
414. Date:    Fri, 22 Jun 90 10:05:12 -0400
415. From:    9991@db0tuz01
416. Subject: 1704-virus (PC)
417.  
418. We got a virus problem at our site (FU-Berlin, Neurobiology): several
419. of our AT's got a virus infection. It's very likely that we have the
420. old 1704 virus or one of its children with the same head.  Does
421. anybody know of a way how to get rid of this virus (without erasing
422. all infected *.COM files)? It seems the virus knows of the old start
423. address of the program but where the hell does he hide it?  Any
424. advises or recommondations are welcome.
425.  
426. Thanks in advance
427.  
428. E.Lieke.
429.  
430. ------------------------------
431.  
432. Date:    22 Jun 90 13:32:33 -0400
433. From:    Bob Bosen <71435.1777@CompuServe.COM>
434. Subject: Anti-viral philosophies
435.  
436. >>   Like to get some opinions on this one. If you could only get
437. >>one program for your pc/pc-xt/pc-at or clone, what would it be?
438.  
439. > This is a question that keeps coming up and while I agree that
440. >McAfee's products are the best for someone who knows what they
441. >are doing, they are not products that are suitable for environments
442. >with vast numbers of PCs and semi-educated users...
443. >
444. > 1- Can you imagine trying to install monthly updates on 5000 PCs...
445. >....
446. > What I perfer is a package that resides in the background of the
447. > user's PC and reports any change to the environment with no
448. > appreciable hit to performance
449.  
450. My thanks to Padgett for so clearly expressing what I have been unable
451. to say on this forum. As a vendor, it's hard for me to come here and
452. initiate discussions about my own products. Be warned: I am speaking
453. about my own commercial product here.
454.  
455. Our "SafeWord VIRUS-Safe" performs exactly as Padgett describes above.
456. It was designed with EXACTLY this kind of situation in mind. It also
457. maintaines a detailed log of changes to files so a virus researcher
458. can figure out what kind of virus may have been polluting things. The
459. log reveals the date and time of detected changes, before-and-after
460. signatures using any industry-standard signature algorithms, length
461. changes, etc. If That's what you are looking for, please give me a
462. message.
463.  
464. Bob Bosen
465. Enigma Logic
466. USA tel: (415) 827-5707
467. Bob Bosen
468.  
469. ------------------------------
470.  
471. Date:    Sat, 23 Jun 90 20:01:14 +0200
472. From:    swimmer@fbihh.informatik.uni-hamburg.de (Morton Swimmer)
473. Subject: Re: FORM virus (PC)
474.  
475. I'm sorry I didn't post this before, but the way things are at
476. the moment, I rarely get to eat.
477.  
478. The Form virus is a Swiss product. It has apparently infected
479. most of the schools in canton Zug so I'm not surprised that
480. you have got it at ETH Zuerich.
481.  
482. To make it short: it is indeed a boot sector virus. It will
483. infect floppies as well as hard disks. It has a damage: on
484. every 24th of any month it will make the keys click, but
485. it doesn't seem to work on my machine. Otherwise it is not
486. destructive. It is well programmed, and doesn't seem to have
487. been derived directly from any other virus. Normally it
488. should not bother you.
489.  
490. I had promised an antivirus for it, but time didn't allow it.
491. Like most boot sector viruses, it can be removed (or at least
492. deactivated) by booting from a _clean_ disk and using the SYS
493. command to overwrite the virus boot sector.
494.  
495. Cheers, Morton
496. Virus Test Center
497.  
498. ------------------------------
499.  
500. End of VIRUS-L Digest [Volume 3 Issue 116]
501. ******************************************
502. Downloaded From P-80 International Information Systems 304-744-2253
503.