home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.137

< prev

next >

Wrap

Text File  |  1995-01-03  |  14KB  |  327 lines

---

1.  
2. VIRUS-L Digest   Thursday,  2 Aug 1990    Volume 3 : Issue 137
3.  
4. Today's Topics:
5.  
6. Does 4096 attack boot sectors ? (Was: We have been hit !!!) (PC)
7. "Slow" virus (PC)
8. 4096 Running Rampant At Wharton! (PC)
9. Antivirus-viruses
10. Military Viruses - Update
11. PC Virus Frequency List FYI (PC)
12. Possible Problems with VSHIELD and NK.EXE?? (PC)
13. Virusafe
14. Re: LaserWriter virus?
15.  
16. VIRUS-L is a moderated, digested mail forum for discussing computer
17. virus issues; comp.virus is a non-digested Usenet counterpart.
18. Discussions are not limited to any one hardware/software platform -
19. diversity is welcomed.  Contributions should be relevant, concise,
20. polite, etc.  Please sign submissions with your real name.  Send
21. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
22. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
23. anti-virus, documentation, and back-issue archives is distributed
24. periodically on the list.  Administrative mail (comments, suggestions,
25. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
26.  
27.    Ken van Wyk
28.  
29. ---------------------------------------------------------------------------
30.  
31. Date:    Wed, 01 Aug 90 16:33:03 +0700
32. From:    David de Leeuw <DAVID@BGUVM.BITNET>
33. Subject: Does 4096 attack boot sectors ? (Was: We have been hit !!!) (PC)
34.  
35. I wrote that 4096 does attack the boot sector.
36.  
37. David M. Chess and Y. Radai doubt this.
38.  
39. I should state that my observation was based on circumstantial
40. evidence only: four computers here refused to boot after massive
41. attacks by 4096. Also Michael Greve's original letter states that his
42. computers would not boot anymore. After antiviral cleaning and SYS the
43. systems boot again. I will try to isolate the virus to have it
44. compared by Y. Radai with the "original" 4096.
45.  
46. Are mutations also known in computer viruses ?
47.  
48. David de Leeuw
49. Ben Gurion Univ of the Negev
50.  
51. ------------------------------
52.  
53. Date:    01 Aug 90 10:02:04 -0400
54. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
55. Subject: "Slow" virus (PC)
56.  
57. > First sighting of Slow (PC) virus reported in Australia.
58.  
59. Coincidentally, we just got a report from Australia as well.
60. Does anyone know offhand why the virus is called "slow"?
61. I don't see any code that slows the machine down all that
62. much.   I probably just missed it...
63.  
64. Some findings about "Slow"; based on code analysis, not
65. on any testing:
66.   - Self-garbling, like the 17xx family et all, but with a
67.     reasonably large invariant part.  Data areas are stored
68.     under a second level of XOR-garble, for some reason.
69.   - Much of the code is taken from the 1813 (Jerusalem) virus,
70.     but Slow is better at telling EXE-format from COM-format
71.     files, and doesn't have the EXE-reinfecting bug.
72.   - Like the 1813, it goes resident when the first infected
73.     program is run, and infects anything executed thereafter.
74.   - Only "damage" seems to be that, on some Fridays after 1990,
75.     something like every other file-close will cause the file's
76.     timestamp to be set to zero.   Sort of odd!
77.   - The virus has a five-byte self-id string that infected files
78.     will end with.   It will rarely -change- this self-id; it
79.     stores both the current one, and one previous one, to avoid
80.     too much re-infection.   This is no doubt to avoid
81.     "innoculators" (which were never very interesting to start with).
82.   - Like the 1813, it sets the CRC in the header of infected EXE
83.     files to 1984; but it never uses the fact.   Either the author
84.     wanted to make Slow-infected files immune to the 1813, or
85.     (more likely) he just didn't understand the 1813's code
86.     well enough to know that the setting-to-1984 wasn't needed.
87.  
88. Any information about the "Slow" that adds to, or contradicts,
89. the above would be appreciated!
90.  
91. DC
92.  
93. ------------------------------
94.  
95. Date:    Wed, 01 Aug 90 10:11:00 -0400
96. From:    Michael Greve <GREVE@wharton.upenn.edu>
97. Subject: 4096 Running Rampant At Wharton! (PC)
98.  
99.     We thought we had rid ourselves of the 4096 virus.  Since I last wrote
100.    to this list the 4096 virus has re-infected the orginal 5 machines in
101.    our lab plus 4 more.  We seem to be losing the battle of 4096.  What
102.    I feel is wrong is that we probably have some students with infected
103.    com and exe files on their floppies (programs, games etc.).  They are
104.    using their programs and re-infecting our machines (unknowingly).  We
105.    are currently using Diskmanager as our hard disk protection software.
106.    Diskmanager isn't protecting the machine against 4096.  Is there a
107.    program, either shareware or by purchase, that will work with Diskmanager
108.    and protect the machine from 4096?  At this point we don't have the
109.    virus under control.  We don't have the capabilities to check students
110.    disks.  We are closing the lab and re-formatting all the machines. Another
111.    lab will be closed tomorrow for a entire lab check.  If this virus is on
112.    student diskettes then any machine could be infected and it could spread
113.    throughout Penn.  I don't mean to sound so negative, but I am concerned.
114.  
115.                                         Thanks again for any assistance.
116.  
117.                                                   Michael Greve
118.                                                   greve@wharton,upenn.edu
119.                                                   The Wharton School
120.                                                   University of Pa.
121.  
122. ------------------------------
123.  
124. Date:    Wed, 01 Aug 90 15:41:48 +0100
125. From:    Anthony Appleyard <XPUM04@prime-a.central-services.umist.ac.uk>
126. Subject: Antivirus-viruses
127.  
128. There has been several bouts of discussion on Virus-L  on  the  subject  of
129. antivirals that spread like viruses. As far as I can tell from reading back
130. issues of Virus-L, a few antivirus viruses have been released, with varying
131. results:-
132.  
133. (1) Mac: The original nVIR deleted  a  system  file,  so  a  new  nVIR  was
134. released which killed the old one.
135.  
136. (2) PC: Den Zuk was  released  to  kill  Brain;  it  also  killed  obsolete
137. versions  of  itself. But Den Zuk had a bug, which made it delete data when
138. infecting small disks.
139.  
140. (3) Amiga: North Star (I & II), supposed to kill other viruses and  nothing
141. else.  It works like a normal bootblock virus, with two good exceptions. If
142. it finds a unknown bootblock (normally an auto-loading  game),  it  DOESN'T
143. replace that bootblock, so the game keeps working. If it finds a virus on a
144. write-protected disk, it asks you to remove the write-protection.
145.  
146. (4) Amiga: System Z (3.0 & 4.0 & 5.0): boot sector virus, asks  the  user's
147. permission before infecting anything.
148.  
149. The arguments put against them are:-
150.  
151. (1) Ethics: System Z handles this point by  asking  the  user's  permission
152. before infecting.
153.  
154. (2) Risk of them malfunctioning and becoming ordinary harmful viruses: E.g.
155. Den Zuk. This point should be handled by thorough  testing  and  debugging.
156.  
157. (3) Risk of them being  hacked  into  harmful  viruses:  There  are  enough
158. ordinary  harmful  viruses  about  for  virus-writers to hack at. Antivirus
159. viruses can be protected by  some  sort  of  internal  checksum  tested  by
160. well-encrypted code, to test for unauthorized alteration.
161.  
162. The  main  inaccessible  reservoir  of  virus   infection   is   the   many
163. microcomputers  in  private  ownership,  often  used mainly by children and
164. teenagers, who are often ignorant of viruses, imagining that  virus  damage
165. is  hardware  malfunction  or software bug or the way of the world, with no
166. hope of access to email or the usual channels of  getting  virus  news  and
167. antivirals. There are far too many of these micros for any sort of national
168. register  to  be  kept of where each is kept, for a tester to go round them
169. like in a firm or a university. The only way that I can see of getting some
170. sort of antiviral well distributed among this widely scattered  chronically
171. infested  population, would be for the antiviral to distribute itself, i.e.
172. to spread like a virus. It is a choice of evils. For example,  if  Den  Zuk
173. hadn't  got  the bug of malfunctioning on small disks, it would likely have
174. spread largely ignored, and flushed out the harmful Brain from most of  the
175. places  where  it breeds in children's bedrooms among unsupervised IBM PC's
176. and casually-exchanged game floppies, until a Brain-infected videogame gets
177. run on a university or official or school computer and endangers  important
178. programs and data.
179.  
180. {A.Appleyard} (email: APPLEYARD@UK.AC.UMIST), Wed, 01 Aug 90  14:50:32  BST
181.  
182. ------------------------------
183.  
184. Date:    Wed, 01 Aug 90 10:31:53 -0400
185. From:    Nick DiGiovanni <U953001@RUTVM1.BITNET>
186. Subject: Military Viruses - Update
187.  
188. Business Week, July 23, p.30 ('Killer' Computer Viruses: An Idea Whose
189. Time Shouldn't Come, Mark Lewyn) reports the DOD's Center for Signals
190. Warfare (CSW) has received 19 proposals from software companies and
191. developers to create computer viruses that infiltrate and destroy
192. enemy communications systems.  Seems things are moving along nicely
193. towards development of a software version of the Andromeda Strain.
194.  
195. Nick Di Giovanni
196. EDP Audit Manager
197. Rutgers University
198.  
199. ------------------------------
200.  
201. Date:    1 August, 1990
202. From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
203. Subject: PC Virus Frequency List FYI (PC)
204.  
205. Virus Frequency List - extracted from Patricia Hoffman's VSUM9007,
206. July 1990 These are the viruses flagged as COMMON & NEW only. Those
207. flagged as Extinct, Endangered, Rare, or Mythical have been omitted.
208. For those interested in the complete listing, it is available from
209. HOMEBASE (415)988-4004 or EXCALIBUR! (415)244-0813 & I believe it is
210. now on SIMTEL20. From what I am seeing, the 4096 and JOSHI are going
211. to be much more difficult to detect and deal with than the other
212. rather crude strains we are used to.
213.  
214.   4096                  Common
215.   Ashar                 Common
216.   Brain                 Common
217.   Cascade               Common
218.   Cascade-B             Common
219.   Dark Avenger          Common
220.   Den Zuk               Common
221.   Disk Killer           Common
222.   Jerusalem             Common
223.   Jerusalem B           Common
224.   Joshi                 Common
225.   Korea                 Common - Korea
226.   Microbes              Common - India
227.   Murphy                Common - Bulgaria
228.   Ohio                  Common
229.   Ping Pong-B           Common
230.   Stoned                Common
231.   Sunday                Common
232.   Yankee Doodle         Common - Europe
233.  
234.   1008                  New
235.   1381 Virus            New
236.   Flash                 New
237.  
238. [Ed. The VSUM document is also available on cert.sei.cmu.edu, in the
239. pub/virus-l/docs directory, for anonymous FTP.]
240.  
241. ------------------------------
242.  
243. Date:    27 Jul 90 21:04:00 -0500
244. From:    "6SWSCX" <6swscx@sacemnet.af.mil>
245. Subject: Possible Problems with VSHIELD and NK.EXE?? (PC)
246.  
247. I have a Zenithe Z-184 Laptop system with the NUMERIKEYS external
248. keypad installed. SCANRES ver 61 did not have any problems with
249. the NK.EXE file that is the software driver for the keypad. When
250. I loaded VSHIELD ver 64, it indicates that NK.EXE is infected with t
251. with the [1381] Virus. I double checked the master disks, which
252. had previously ben used only to make backup copies, and the
253. NK.EXE is shown to be infected on them. I have had no probelms with
254. the computer or any of the files today,so I'm wondering if
255. this is really an infected file or just a misidentification by
256. VSHIELD?
257.  
258. Has anyone else seen this type of problem?
259.  
260. Regards,
261.           Tom Creek
262.  
263. ------------------------------
264.  
265. Date:    Wed, 01 Aug 90 16:04:20 -0500
266. From:    martha rapp <IMER400@INDYCMS.BITNET>
267. Subject: Virusafe
268.  
269. Has anyone ever head of Virusafe?  I have never seen any reference to it in
270. Virus-l.  Thanks.
271.                                     Martha Rapp
272.                                     Computing Services
273.                                     IUPUI
274.  
275. ------------------------------
276.  
277. Date:    02 Aug 90 03:54:42 +0000
278. From:    woody@chinacat.Unicom.COM (Woody Baker @ Eagle Signal)
279. Subject: Re: LaserWriter virus?
280.  
281. I'd like to thank Ken for posting the code, and to aplogize to him for
282. the rather abrasive note that I sent him.  I have since recieved a
283. series of questions from an individual about the contents of the code.
284. I have examined the hex code.  It is encrypted via a standard
285. encryption routine used by Adobe, and documented in the new Black Book
286. (the Type 1 Font Spec) book.  The core routine, the 68000 machine
287. language rotine is identical to the routine that I use for reading the
288. eeprom, right down to the checksum.  Since machine language routines
289. have to be installed by the cexec operator, and since that operator
290. will not function unless it is invoked from within a procedure that
291. has been called via eexec (known as executing from within an eexec
292. context), Nigel simply did the following:
293.  
294. <
295. ......680000 code
296. > userdict begin cexec currentfile closefile
297.  
298. and eexeced it.  Then when eexec executes, the machine language will
299. be executed by cexec, and the operator installed.  I have taken
300. a slightly diffrent tack, to achieve the same result.  The dangerous
301. routine,  writeeeprom is a separate bit of 68000 code.  I have decided
302. to remove that from my code, so at this point my code is essentialy
303. the same as Nigels code, except that I don't chage the password.  I just
304. report it.
305.  
306. As was pointed out, this is a double edged sword.  If you know the
307. password you can reset the password.  This routine shows you the
308. password.  If you choose, you can then reset it to some other value.
309. This means that this routine could be used as the primary attack to
310. change the password, and mess things up.  It also means that if that
311. happens, you can know about it and fix it.  The universe is perverse.
312. It is, however, better to be able to undo the damage when it is done
313. than not to be able to undo the damage.
314.  
315. Cheers
316. Woody
317.  
318. p.s.  The code posted is a simple text file that can be sent to any
319. Adobe 68000 postscript printer by any means whatsoever from any host
320. whatsoever.  It cannot hurt the host in anyway.
321.  
322. ------------------------------
323.  
324. End of VIRUS-L Digest [Volume 3 Issue 137]
325. ******************************************
326. Downloaded From P-80 International Information Systems 304-744-2253
327.