home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.136

< prev

next >

Wrap

Text File  |  1995-01-03  |  12KB  |  322 lines

---

1.  
2. VIRUS-L Digest   Wednesday,  1 Aug 1990    Volume 3 : Issue 136
3.  
4. Today's Topics:
5.  
6. re: Multi-platform virus scanning
7. re: other ways for viral injection?
8. mac disk locking (Mac)
9. Stoned Remover (PC)
10. Back issues now available in indexed/digested format
11. Site licenses
12. Joshi-B Infection Alert (PC)
13. Periodic virus sighting report
14.  
15. VIRUS-L is a moderated, digested mail forum for discussing computer
16. virus issues; comp.virus is a non-digested Usenet counterpart.
17. Discussions are not limited to any one hardware/software platform -
18. diversity is welcomed.  Contributions should be relevant, concise,
19. polite, etc.  Please sign submissions with your real name.  Send
20. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
21. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
22. anti-virus, documentation, and back-issue archives is distributed
23. periodically on the list.  Administrative mail (comments, suggestions,
24. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
25.  
26.    Ken van Wyk
27.  
28. ---------------------------------------------------------------------------
29.  
30. Date:    Mon, 30 Jul 90 15:51:30 -0400
31. From:    attcan!vpk1!john@uunet.uu.net
32. Subject: re: Multi-platform virus scanning
33.  
34. Paul,
35.           Most virus scanning software does simple pattern matching
36. of an existing 'known-virus' database against any files that you 'scan'.
37. If you have a list of viruses for the machine in question, it shouldn't
38. matter what platform you do the actual scan on. I have successfully
39. used a product called CERTUS in the exact manner that you described in
40. your letter. I simply defined a database for each platform and then
41. did the comparisons with the appropriate database based on the software
42. extension.
43.  
44.  
45. ____________________________________________________________________________
46.         ===
47.       =--====  AT&T Canada Inc.             John Benfield
48.      =----==== 3650 Victoria Park Ave.      Network Support Analyst (MIS)
49.      =----==== Suite 800
50.      ==--===== Willowdale, Ontario          attmail   : ~jbenfield
51.       =======  M2H-3P7                                email     : uunet!attcan!john
52.         ===    (416) 756-5221               Compu$erve: 72137,722
53.  
54. ____"Sometimes it just happens...People explode...Natural causes."__________
55.  
56. ------------------------------
57.  
58. Date:    Mon, 30 Jul 90 16:14:35 -0400
59. From:    attcan!vpk1!john@uunet.uu.net
60. Subject: re: other ways for viral injection?
61.  
62. >        Does somebody known if there was some cases of
63. >viral infection that came through other than floppy exchange
64. >and data interchange over Internet ? I think to other networks,
65. >through atmospheric radio transmissions, magnetic induction, ...
66.  
67.           I think back to a wonderful little nasty from the CP/M
68. days. There was a version of MODEM7 floating around that had a patch
69. in it that caused it to do all sorts of neat things when certain
70. character sequences were received over the async channel. One of these
71. nasty things was to take a character string coming in over the modem
72. and patch it into the bios at a jump vector specified in the incoming
73. string. I'm sure this was probably intended to allow someone to do
74. something useful such as replace I/O drivers on the fly for things
75. like remote tty services or other form of redirection. But, if you had
76. a nasty streak and you knew about this 'backdoor', imagine the damage
77. you could have done. (btw: it did this patching with no notification
78. to the user of the 'patched' machine). This was actually one of the
79. slickest little routines I ever saw in the CP/M 'virus/trojan' category
80. and it has caused me to run all of my comm programs through a datagram
81. analyzer while I'm 'breaking them in'. Especially if they are 'special'
82. purpose comm programs or if they require passwords to be automatically
83. sent by the package rather than manually entered by the user. As for
84. other networks....I can't think of a network that HASN'T come under attack
85. in one way or another. Magnetic induction? Hmmmm...I don't think the
86. technology is advanced enough to permit a focused field of the precision
87. required to affect a machine (selectively altering bits that is) from
88. an external source. Of course a good magnetic 'bulk eraser' provides a
89. quick method of simplifying your file management :)
90.  
91. ____________________________________________________________________________
92.         ===
93.       =--====  AT&T Canada Inc.             John Benfield
94.      =----==== 3650 Victoria Park Ave.      Network Support Analyst (MIS)
95.      =----==== Suite 800
96.      ==--===== Willowdale, Ontario          attmail   : ~jbenfield
97.       =======  M2H-3P7                                email     : uunet!attcan!john
98.         ===    (416) 756-5221               Compu$erve: 72137,722
99.  
100. ____"Sometimes it just happens...People explode...Natural causes."__________
101.  
102. ------------------------------
103.  
104. Date:    Mon, 30 Jul 90 17:29:14 -0400
105. From:    flaps@dgp.toronto.edu (Alan J Rosenthal)
106. Subject: mac disk locking (Mac)
107.  
108.  
109. cos@lclark.BITNET writes:
110. [disk is damaged]
111. >The catcher is this: although the disk is physically unlocked, it is marked
112. >"locked" under the info box, and cannot be modified or unlocked.
113.  
114. You may not be aware that mac floppies have software and hardware
115. locking.  I don't know how to set or unset the software lock on
116. floppies, but Virus Blockade has an option to do this.
117.  
118. ajr
119.  
120. ------------------------------
121.  
122. Date:    Mon, 30 Jul 90 19:10:36 -0400
123. From:    <MMCCUNE@sctnve.BITNET>
124. Subject: Stoned Remover (PC)
125.  
126. The stoned is a troublesome virus because it infects the hard disk
127. partition table. If left on the hard disk, it will eventually corrupt
128. the FAT (this is due to compatability problems and was not intended by
129. the author of the virus). Here is a short assembler program to remove
130. it from the hard disk. It can be assem- bled through DEBUG
131.  
132. DEBUG
133. - -A
134. MOV DX,80    ; THE HARD DISK, HEAD 0
135. MOV DX,7     ; CLUSTER 0, SECTOR 7
136. MOV BX,200   ; MEMORY LOCATION 200
137. MOV AX,201   ; READ FROM HARD DISK TO MEMORY
138. INT 13       ; DISK ACCESS
139. MOV CX,1     ; CLUSTER 0, SECTOR 1 (THE PARTITION TABLE)
140. MOV AX,301   ; WRITE FROM MEMORY TO HARD DISK
141. INT 13       ; DISK ACCESS
142. MOV AH,0     ; RESET AH REGISTER
143. INT 21       ; TERMINATE
144.  
145. N STONEDHD.COM
146. RCX
147. :30
148. W
149. Q
150.  
151. Only use this on hard drives that are infected. It will destroy the
152. partition table on uninfected drives.
153.  
154. This program will remove it from drive A:
155.  
156. DEBUG
157. A
158. MOV DX,100  ; HEAD 1, DRIVE A:
159. MOV CX,3    ; CLUSTER 0 SECTOR 3
160. MOV BX,200  ; MEMORY LOCATION 200
161. MOV AX,201  ; READ FROM DISK TO MEMORY
162. INT 13      ; DISK ACCESS
163. MOV DX,0    ; HEAD 0 DRIVE A:
164. MOV CX,1    ; CLUSTER 0, SECTOR 1 ( THE BOOT RECORD)
165. MOV AX,301  ; WRITE FROM MEMORY TO DISK
166. MOV AH,0    ; RESET AH REGISTER
167. INT 21      ; END
168.  
169. N STONEDA.COM
170. RCX
171. :30
172. W
173. Q
174.  
175. This will remove it from drive A:
176. To do a lot of disks, try this
177. Put an uninfected disk in A:
178. DEBUG
179. L 0 0 0 1
180. Put an infected disk in A:
181. W 0 0 0 1
182. Put another infected disk in A:
183. W
184. Repeat as often as necessary
185.  
186. If you have any mor questions or need any more help, drop me a
187. line.............
188.  
189. Mike McCune...<MM>
190.  
191. ------------------------------
192.  
193. Date:    Tue, 31 Jul 90 11:49:03 -0400
194. From:    Kenneth R. van Wyk <krvw@cert.sei.cmu.edu>
195. Subject: Back issues now available in indexed/digested format
196.  
197.                           A long time ago,
198.                     from a computer far far away,
199.                  VIRUS-L was unmoderated and undigested.
200.  
201. Sorry...  Bad attempt at humor.  Anyway, as I was saying, V-L existed
202. in a very different form from the day that it was started (April 22,
203. 1988) until shortly after the Internet worm of November 1988.
204. Previously, all of the pre-digest traffic has been available on both
205. Lehigh's LISTSERV machine (LEHIIBM1 from BITNET or IBM1.CC.LEHIGH.EDU
206. from Internet) and the CERT ftp machine (cert.sei.cmu.edu) in the form
207. of weekly logs.  Anthony Appleyard,
208. XPUM04@prime-a.central-services.umist.ac.uk, has graciously (and
209. painstakingly) compiled these weekly logs into digests.  The digests
210. make up volume 0 and are now available for anonymous FTP on
211. cert.sei.cmu.edu in the pub/virus-l/archives/predig.digested
212. directory.  The information in volume 0 is somewhat dated, of course,
213. but can provide some interesting insight into current virus events
214. (and perhaps a laugh or two - things have changed a bit...).
215.  
216. Also included in all of this is an index to volume 0.  That, too, is
217. on the CERT anonymous FTP machine, in the pub/virus-l/archives
218. directory.
219.  
220. A wholehearted thanks to Anthony for his effort on putting together
221. all of this traffic!
222.  
223. Cheers,
224.  
225. Ken van Wyk
226.  
227. ------------------------------
228.  
229. Date:    Tue, 31 Jul 90 14:49:00 -0400
230. From:    Don Kazem <DKAZEM@NAS.BITNET>
231. Subject: Site licenses
232.  
233. We have been thinking about standardizing on a virus
234. scanner/disinfector for our organization. We have about 1500 users.
235.  
236. Our vision is to have a scanner/disinfector package available
237. to the PC support analysts and have them use it on suspicious
238. machines or perform random audits.
239.  
240. I have been thinking about purchasing a Service Industry
241. License from McAfee Associates. The total package would cost
242. about $6800.00 for (20 copies). This license would allow us
243. to perform checks on various machines, however, the software
244. must not remain with the clients.
245.  
246. Has anyone one else in the corporate arena implemented such a
247. policy/structure?
248.  
249. Don Kazem
250. National Academy of Sciences
251. DKAZEM@NAS.BITNET
252.  
253. ------------------------------
254.  
255. Date:    Tue, 31 Jul 90 17:41:58 -0700
256. From:    Alan_J_Roberts@cup.portal.com
257. Subject: Joshi-B Infection Alert (PC)
258.  
259. This is a forward from Aryeh Goretsky of the Computer Virus
260. Industry Association:
261. ================================================================
262.  
263. Note:  Contact information from the following CVIA Membership Alert
264. has been removed from the posting, but has been submitted
265. separately to the Virus-L moderator.
266.  
267. July 31, 1990
268. CVIA Membership Alert
269. Originating Member: [Information Removed]
270. Alert Type: Initial Infection Spread
271. Library Entry: Joshi-B
272. Entry Type: Boot Sector & Partition Table / "Stealth" Virus
273.  
274.           The Joshi virus has been reported and verified on July 30 on
275. a number of workstations in a local area network in North Carolina,
276. marking the first incident of the virus reported to the CVIA in the
277. South-Central U.S.  A variant of Joshi was also reported and
278. verified on July 31 in Riyadh, Saudi Arabia.  It has been named the
279. Joshi-B.  This variant causes destruction of the Partition Record
280. and boot sector of hard disks, as well as the virus' normal
281. interference with floppy diskette use.
282.           The virus is a "stealth" Boot sector and Partition Table virus
283. and thus is very difficult to identify on an already infected
284. system.  It is becoming widely dispersed in the U.S. and is likely
285. to become one of the more common viruses, based on its past
286. performance and speed of replication.
287.           A remover for the virus is available through your CVIA contact
288. person.
289.  
290. John McAfee
291.  
292. ------------------------------
293.  
294. Date:    Wed, 01 Aug 90 09:19:13 -0400
295. From:    "Kenneth R. van Wyk" <krvw@cert.sei.cmu.edu>
296. Subject: Periodic virus sighting report
297.  
298. The following new virus infections were reported recently:
299.  
300. - - First sighting of Slow (PC) virus reported in Australia.  Major
301.   infection path so far seems to be Taiwan -> Hong Kong -> Phillipines
302.   -> Malaysia -> New Zealand -> Australia.
303.  
304. - - Joshi (PC) virus reported in Lakeland Florida area.
305.  
306. - - 4096 (PC) virus reported in Spokane/Seattle Washington area.
307.   Several sites hit.
308.  
309. These sightings were reported to me; they are in addition to the other
310. reports that have appeared on VALERT-L and/or VIRUS-L.  When possible,
311. I have phoned at least one contact in the area to verify the
312. sightings.
313.  
314. Ken van Wyk
315. August 1, 1990
316.  
317. ------------------------------
318.  
319. End of VIRUS-L Digest [Volume 3 Issue 136]
320. ******************************************
321. Downloaded From P-80 International Information Systems 304-744-2253
322.