home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.139 < prev    next >
Text File  |  1995-01-03  |  14KB  |  369 lines
  1.  
  2. VIRUS-L Digest   Wednesday,  8 Aug 1990    Volume 3 : Issue 139
  3.  
  4. Today's Topics:
  5.  
  6. SAM Loophole (Mac)
  7. 4096 (PC)
  8. 453 Virus (PC)
  9. Re: other ways for viral injection ?
  10. Gatekeeper Aid 1.0.2 (Mac)
  11. Joshi Remover (PC)
  12. CVIA Alert (PC)
  13. Viruscan Site Licensing
  14.  
  15. VIRUS-L is a moderated, digested mail forum for discussing computer
  16. virus issues; comp.virus is a non-digested Usenet counterpart.
  17. Discussions are not limited to any one hardware/software platform -
  18. diversity is welcomed.  Contributions should be relevant, concise,
  19. polite, etc.  Please sign submissions with your real name.  Send
  20. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  21. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  22. anti-virus, documentation, and back-issue archives is distributed
  23. periodically on the list.  Administrative mail (comments, suggestions,
  24. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  25.  
  26.    Ken van Wyk
  27.  
  28. ---------------------------------------------------------------------------
  29.  
  30. Date:    Fri, 03 Aug 90 12:27:30 -0400
  31. From:    <KMREANE@ERENJ.BITNET>
  32. Subject: SAM Loophole (Mac)
  33.  
  34.   Another Loophole in SAM Intercept
  35.  
  36.   Folks:
  37.  
  38. We have discovered another loophole that can allow a person to bypass the
  39. floppy scan in SAM intercept.
  40.  
  41. If you are in an application and want to open a file on a floppy, SAM
  42. will scan the floppy you insert. If, however, while in the File Open
  43. dialog box, you click on EJECT and insert another floppy, this floppy
  44. (and any other subsequent floppies you insert) are not scanned by SAM.
  45.  
  46. This "loophole" in SAM would allow you to infect your unit if there is
  47. a virus on the second or later floppies. Since most viruses go on to
  48. infect the system files, SAM would pick up the infection the next time
  49. you reboot your machine (provided you have configured your copy to
  50. scan the system folder at startup)
  51.  
  52. We have notified Symantec of this loophole and would appreciate further
  53. confirmation.
  54.  
  55. ------------------------------
  56.  
  57. Date:    3 Aug. 1990
  58. From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  59. Subject: 4096 (PC)
  60.  
  61.           I have been surprised to the the excitement caused by this virus.
  62. Admittedly, it uses some "stealth" techniques to hide itself, but the
  63. "stealth" itself should be detectable in memory. Certainly a thorough virus
  64. checking routine will not rely on DOS to provide accurate information. Next,
  65. despite roumors of CMOS and Modem viruses, to be able to become resident in
  66. an XT class machine, some memory MUST be used somewhere and this is detectable.
  67.  
  68.           Thus there are (at the moment) three checkpoints: either available
  69. memory has been reduced, interrupts are being vectored into never-never land
  70. (virus hiding in unassigned memory - note: this may not be obvious from the
  71. interrupt table), or crashes will occur often as the virus is overwritten.
  72. While I have not yet seen the 4096 (a copy is coming but not yet arrived),
  73. I feel certain that it is detectable reasonably easily in memory - if not
  74. directly then by its process of hiding. As soon as I determine an easy way to
  75. detect it, the answer will be posted. In the meantime, booting from a write-
  76. protected floppy and running a clean SCAN of version 53 or later is known
  77. to be effective.
  78.  
  79.  
  80. ------------------------------
  81.  
  82. Date:    3 August, 1990
  83. From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  84. Subject: 453 Virus (PC)
  85.  
  86.           Otto Stolz was kind enough to forward to me a hex dump of
  87. the 453 virus and the following information is now available:
  88.  
  89. 1) Appender class, does not become resident.
  90. 2) Signature: The virus looks for 9090h as the last
  91.    two bytes in a file, virus assumes infected if found & skips file.
  92. 3) Replication: Virus looks only for uninfected .COM files in current
  93.    default directory
  94. 4) Trigger: None
  95. 5) Bomb: None
  96. 6) Evasion: None
  97. 7) Comments: Very crude structure with much unnecessary PUSHing & POPing.
  98.    several places are noticed where more complex instructions could be
  99.    used more efficiently. All calls are functions of Interrupt 21h. No
  100.    trigger or bomb is present though numerous NOPs and extraneous JMPs
  101.    provide plenty of space for addition.
  102. 8) Note: The apparent string "TUQ.RPVS" is simply a sequence of PUSH
  103.    instructions rendered as ASCII.
  104.  
  105. ------------------------------
  106.  
  107. Date:    04 Aug 90 17:58:51 +0000
  108. From:    rick@pavlov.ssctr.bcm.tmc.edu (Richard H. Miller)
  109. Subject: Re: other ways for viral injection ?
  110.  
  111. lath@geocub.greco-prog.fr (Laurent Lathieyre) writes:
  112. >         Alike, did some Trojan horses be discovered in some
  113. >operating systems ? I wonder if operating systems shouldn't
  114. >preferably be delivered in source form rather than in
  115. >compiled form...
  116.  
  117. A nice thought, but very impratical for the following reasons:
  118.  
  119. 1) Many users of PC level products just want to load their systems and go. To
  120. require them to compile and build their O/S would effectively eleminate their
  121. ability to install the systems themselve. Thus a PC "expert" would come in and
  122. do it. This could also lead to even more problems since this person COULD
  123. insert whatever was desired and the user would probable not know the
  124. difference.
  125.  
  126. 2) The amount of time and effort to build an O/S cna be very long, especially
  127. when one moves into the mini and mainframe arena. It takes almost 24 hours of
  128. wall time to build OS-1100 for Unisys machines. I don't even want to think how
  129. long it would take to compile and build MVS from source.
  130.  
  131. 3) When you release source and the tools to build the O/S, local code WILL
  132. creep into the O/S. Maintenance and upgrades become a royal pain, especially
  133. when no one documents what they did. ["I know I will remember what I did two
  134. years from now and why when we have to upgrade"].
  135.  
  136. 4) O/S source is a trade secret for many vendors. (As one vendor found out
  137. going against IBM)
  138.  
  139. - --
  140. Richard H. Miller                 Email: rick@bcm.tmc.edu
  141. Asst. Dir. for Technical Support  Voice: (713)798-3532
  142. Baylor College of Medicine        US Mail: One Baylor Plaza, 302H
  143.                                            Houston, Texas 77030
  144.  
  145. ------------------------------
  146.  
  147. Date:    06 Aug 90 07:50:15 +0000
  148. From:    ut-emx!chrisj@emx.utexas.edu (Chris Johnson)
  149. Subject: Gatekeeper Aid 1.0.2 (Mac)
  150.  
  151. Gatekeeper Aid 1.0.2 has finally been released.  A short descrip-
  152. tion of it and details of where it can be found are included
  153. below.
  154.  
  155. Gatekeeper Aid is a Startup document (INIT) designed to auto-
  156. matically hunt and kill all known strains of the WDEF virus, as
  157. well as possible future strains and related viruses.  It should
  158. be used to augment the Gatekeeper anti-virus system and may
  159. also be used to augment other anti-virus tools.
  160.  
  161. Version 1.0.2 of Gatekeeper Aid is designed to correct a number
  162. of problems that surfaced in version 1.0.1.  A complete list of
  163. these problems is included in the documentation.  In addition,
  164. version 1.0.2 improves Gatekeeper Aid's protections and adds
  165. some new features including the ability to retroactively correct
  166. a bug in existing versions of Gatekeeper that is responsible for
  167. about 90% of all the Internal Errors reported.
  168.  
  169. Users of Gatekeeper Aid are strongly encouraged to upgrade to
  170. this latest version.  Users of anti-virus systems that don't
  171. automatically detect AND REMOVE the WDEF virus are strongly
  172. encouraged to use Gatekeeper Aid to augment their current systems.
  173.  
  174. Also included with Gatekeeper Aid 1.0.2 is a document which pro-
  175. vides a quick preview of Gatekeeper 2.0.
  176.  
  177. Gatekeeper Aid 1.0.2 has been posted to comp.binaries.mac and should
  178. appear there relatively soon.  It will also be sent to the info-mac
  179. archives at sumex.stanford.edu and to the simtel archives.  It is
  180. immediately available in the microlib/mac/virus directory on
  181. ix1.cc.utexas.edu and ix2.cc.utexas.edu (take your pick).
  182.  
  183. - ----Chris (Johnson)
  184. - ----chrisj@emx.utexas.edu
  185.  
  186. DISCLAIMER:  My employer is neither involved with, nor responsible
  187.              for, Gatekeeper and Gatekeeper Aid.
  188.  
  189. ------------------------------
  190.  
  191. Date:    Tue, 07 Aug 90 01:48:41 -0400
  192. From:    <MMCCUNE@sctnve.BITNET>
  193. Subject: Joshi Remover (PC)
  194.  
  195. Here is a program to remove the Joshi virus from hard disks. It can be
  196. assembled by using DEBUG (Like this).
  197.  
  198. DEBUG
  199. A
  200. MOV     DX,0080
  201. MOV     CX,0001
  202. MOV     BX,0200
  203. MOV     AX,0201
  204. INT     13
  205. CMP     AH,0
  206. JNE     13C
  207. MOV     CX,0008
  208. MOV     AX,0301
  209. INT     13
  210. CMP     AH,0
  211. JNE     150
  212. MOV     CX,0009
  213. MOV     AX,0201
  214. INT     13
  215. CMP     AH,0
  216. JNE     13C
  217. MOV     CX,0001
  218. MOV     AX,0301
  219. INT     13
  220. CMP     AH,0
  221. JNE     150
  222. INT     20
  223. MOV     AH,9
  224. MOV     CX,145
  225. INT     21
  226. INT     20
  227. DB      'Read Error$'
  228. MOV     AH,9
  229. MOV     DX,159
  230. INT     21
  231. INT     20
  232. DB      'Write Error$'
  233.  
  234. N RMJOSHI.COM
  235. RCX
  236. :80
  237. W
  238. Q
  239.  
  240. To restore the disk to its origonal condition (like using it on and uninfected
  241. hard disk), use this program.
  242.  
  243. DEBUG
  244. A
  245. MOV     DX,0080
  246. MOV     CX,0008
  247. MOV     BX,0200
  248. MOV     AX,0201
  249. INT     13
  250. CMP     AH,0
  251. JNE     122
  252. MOV     CX,0001
  253. MOV     AX,0301
  254. INT     13
  255. CMP     AH,0
  256. JNE     136
  257. INT     20
  258. MOV     AH,9
  259. MOV     DX,12B
  260. INT     21
  261. INT     20
  262. DB      'Read Error$'
  263. MOV     AH,9
  264. MOV     DX,13F
  265. INT     21
  266. INT     20
  267. DB      'Write Error$'
  268.  
  269. N RETURN.COM
  270. RCX
  271. :50
  272. W
  273. Q
  274.  
  275. This will return the hard disk to it's origonal state (before RMJOSHI was
  276. executed).
  277.  
  278. Be sure to boot off an unifected diskette before using these programs. Since
  279. Joshi Virus redirects attempts to read or write to the virus, these programs
  280. will not work if the virus is active in memory.
  281.  
  282. These programs may be used by anybody, as long as they are not modified or
  283. used in another program...<MM>.
  284.  
  285. ------------------------------
  286.  
  287. Date:    Mon, 06 Aug 90 17:38:05 -0700
  288. From:    Alan_J_Roberts@cup.portal.com
  289. Subject: CVIA Alert (PC)
  290.  
  291. This is a forward from Aryeh Goretsky of the Computer Virus
  292. Industry Association:
  293. ================================================================
  294.  
  295. Note:  Contact information from the following CVIA Membership Alert
  296. has been removed from the posting, but has been submitted
  297. separately to the Virus-L moderator.
  298.  
  299. August 6, 1990
  300. CVIA Membership Alert
  301. Originating Members:  [Information Removed]
  302. Alert Type:  Initial Infection Spread
  303. Library Entries:  AirCop; 1253; Leprosy
  304. Entry Types:  Boot Sector; Multipartite; COM Infector
  305.  
  306.           The second U.S. occurence of the AirCop virus was reported
  307. from Fremont, California on August 3.  The virus had infected a retail
  308. software distributor on multiple machines.  The virus appears
  309. identical to the original AirCop reported by Microsoft.  The virus was
  310. traced back to a software duplicator in Taiwan.
  311.  
  312.           An unusual virus, called the 1253 virus, has been reported in
  313. Austria and submitted to the CVIA library.  The virus infects COM
  314. files, floppy diskette boot sectors, and hard disk partition tables.
  315. Either of the three forms of the virus are sufficient to transfer an
  316. infection to the other.  In its COM infector form, it increases the
  317. size of infected files by 1253 bytes.  The virus activates on December
  318. 24th and corrupts all data on the hard disk and on any inserted
  319. floppies.  An interim detector for the virus is available now to
  320. liaison persons.
  321.  
  322.           The Leprosy virus has been reported at 11 separate sites in
  323. Northern California within the past five days.  The outbreak appears
  324. to stem from a file uploaded to bulletin boards within the Bay Area
  325. called 486COMP.ZIP, which promises to compare the user's system to a
  326. 80486-based PC.  The Leprosy virus is a slow replicator and there is
  327. little chance of contracting this virus ouside of the BBS channels or
  328. from an intentional infection.  A detector is available, however, for
  329. liaison persons if requested.
  330.  
  331. John McAfee
  332.  
  333. ------------------------------
  334.  
  335. Date:    Wed, 08 Aug 90 09:28:26 -0700
  336. From:    Alan_J_Roberts@cup.portal.com
  337. Subject: Viruscan Site Licensing
  338.  
  339. This is a forward from John McAfee:
  340. ==================================================================
  341.  
  342.           Brian Aslakson posted a Virus-L message concerning the cost
  343. of service licenses for VIRUSCAN.  Just so there is no
  344. misunderstanding, I'd like to point out the differences between our
  345. service licenses and our site licenses.  Site licenses, for large
  346. volume organizations, bottom out at $1.90 per machine.  They allow
  347. the use on any machine in the licensed organization.  Service
  348. licenses, on the other hand, are used by organizations that want
  349. to license only a few copies, but want to carry those copies to
  350. other organizations, or sites, and scan any and all machines at the
  351. site.  A service organization may license, say, one copy, but use
  352. the copy on hundreds of machines a day.  As a result, each service
  353. copy of SCAN may generate multiple support calls to our office each
  354. week, as viruses are detected and removal or containment assitance
  355. is requested.  Support costs us time and money, but it is provided
  356. at no charge to our clients.  Accordingly, our service licenses
  357. cost more, per copy, than our site licenses.  Brian suggests that
  358. $5,800 for 100 service copies is unreasonable.  I can't say.  The
  359. folks on our support lines (and not a few of the users of SCAN),
  360. however, seem to feel otherwise.
  361.  
  362. John McAfee ... ...-....
  363.  
  364. ------------------------------
  365.  
  366. End of VIRUS-L Digest [Volume 3 Issue 139]
  367. ******************************************
  368. Downloaded From P-80 International Information Systems 304-744-2253
  369.