home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.26

< prev

next >

Wrap

Text File  |  1995-01-03  |  18KB  |  413 lines

---

1. VIRUS-L Digest   Tuesday, 30 Jan 1990    Volume 3 : Issue 26
2.  
3. Today's Topics:
4.  
5. ATM Bankcard Security
6. New files to MIBSRV. (PC)
7. library virus (PC)
8. confirmation on library disk infection (PC)
9. Re: Innocent Until....
10. Public PC lab responsibility
11. Re: Virus request
12. Anti-virus suite
13. Re: Signature Programs
14.  
15. VIRUS-L is a moderated, digested mail forum for discussing computer
16. virus issues; comp.virus is a non-digested Usenet counterpart.
17. Discussions are not limited to any one hardware/software platform -
18. diversity is welcomed.  Contributions should be relevant, concise,
19. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
20. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
21. anti-virus, document, and back-issue archives is distributed
22. periodically on the list.  Administrative mail (comments, suggestions,
23. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
24.  - Ken van Wyk
25.  
26. ---------------------------------------------------------------------------
27.  
28. Date:    Mon, 29 Jan 90 21:38:20 -0500
29. From:    David_Conrad%Wayne-MTS@um.cc.umich.edu
30. Subject: ATM Bankcard Security
31.  
32.    Bernie Cosell <cosell@BBN.COM> writes:
33.  
34. >Similarly, with ATM cards, the primary 'line of defense' is some
35. >security-by-obscurity encoding on the card and a three-digit password
36. >[which, I think, is also encoded on the card].
37.  
38. As I understand it, the PIN (Personal Identification Number) is not
39. stored on the ATM card, but is retrieved by the ATM and compared with
40. the number entered on the ATM keypad.  The ATM machines are on a wide
41. area network, and I don't know if the PIN is actually transmitted, or
42. if the result of some algorithm applied to PIN is sent (the latter, I
43. hope!).  Also, the PIN is four digits (or at least mine is).
44.  
45. David Conrad (David_Conrad%Wayne-MTS@um.cc.umich.edu)
46. "If all else fails, immortality can always be assured by spectacular error."
47.                              -- John Kenneth Galbraith
48.  
49. ------------------------------
50.  
51. Date:    Tue, 30 Jan 90 08:36:04 -0600
52. From:    James Ford <JFORD1@UA1VM.BITNET>
53. Subject: New files to MIBSRV. (PC)
54.  
55. These files have been placed on MIBSRV.MIB.ENG.UA.EDU (130.160.20.80)
56. for anonymous FTP.  They are:
57.  
58. SCANV57.ZIP   -   ViruScan 2.7V57 (update)
59. SCANRS57.ZIP  -   TSR version of ViruScan (update)
60. NETSCN57.ZIP  -   Network Version of ViruScan (update)
61. CLEANP57.ZIP  -   Clean-Up Virus Remover (update)
62.  
63. NETFIX10.ZIP  -   Equivalent to NETSCAN & CLEAN-UP (*new*)
64.  
65. All files were downloaded directly from Homebase BBS on 1/29/90
66. - ----------
67.     James Ford - JFORD1@UA1VM.BITNET, JFORD@MIBSRV.MIB.ENG.UA.EDU
68.  
69. ------------------------------
70.  
71. Date:    Mon, 29 Jan 90 15:31:17 -0700
72. From:    caasi@sdsu.edu (Richard Caasi)
73. Subject: library virus (PC)
74.  
75. VIRUS ALERT!!  Here's a message from Steve Palincsar at the GAO about a
76. verified virus in a depository library shipment.  Please note and repost this
77. wherever it might be read earliest...
78.  
79. Depository libraries have received notification from Regional Depositories
80. and the U.S. Goovernment Printing Office that depository shipment #900057-p,
81. which contains a CD ROM disk of census statistics from the census bureau and
82. two floppy diskettes of software to access the CD disk contains a diskette
83. (labeled "2 of 2") which is contaminated with the Jerusalem Virus.  Recip-
84. ients are urged to destroy disk "2 of 2" immediately, and are warned that
85. the Jerusalem Virus can destroy data on their entire system.  We were notified
86. by Hugh O'Connor of the Univ. of MD REgional Library; I called him and con-
87. firmed the authenticity of the call we'd received, and then followed up by
88. calling Joe McLean [spelling unconfirmed], Chief of GPO's Inspection Team
89. (202-275-1119) who also confirmed the authenticity of the report.  Shipment
90. #900057-P was mailed 1/25/90.  There were no details about how replacement
91. software would be supplied for the contaminated diskettes.
92.  
93. Nancy Garman, Editor, ONLINE (606)331/6345
94.  
95. [Ed. See next message for more info.]
96.  
97. ------------------------------
98.  
99. Date:    Tue, 30 Jan 90 14:29:04 -0500
100. From:    Kenneth R. van Wyk <krvw@SEI.CMU.EDU>
101. Subject: confirmation on library disk infection (PC)
102.  
103. I phoned the folks at the GPO and confirmed that the above report is
104. indeed true.  They faxed me a copy of a letter which they're sending
105. out to the people that they know have received the disks.  Below is a
106. (transcribed - sorry if there are typos) copy of that fax.
107.  
108. Ken
109.  
110. ===== Cut Here =====
111.  
112. Dear Depository Librarian:
113.  
114. GPO has just been notified by the Census Bureau that one of the floppy
115. disks just distributed by GPO with the _County and City Data Book_
116. CD-ROM is infected with a computer virus AND SHOULD NOT BE USED UNDER
117. ANY CIRCUMSTANCES.  The floppy disk was listed on shipping list
118. 90-0057-P as C 3.134/2:C 83/2/988/floppy-2.  The title on the floppy
119. disk reads as follows:
120.  
121. Bureau of the Census
122. Elec. County & City Data Bk., 1988
123. U.S. Stats., Inc., 1101 King St.,
124. Suite 601, Alexandria, VA 22314
125. (703) 979-9699
126.  
127. PLEASE DESTROY THE FLOPPY DISK AS SOON AS IT IS RECEIVED.  (Do NOT
128. reformat and reuse the floppy disk.)
129.  
130. The virus has been identified as the Jerusalum-B virus (also referred
131. to as the Israeli virus).  It infects any .COM or .EXE program on
132. MS-DOS personal computers and increases program size by approximately
133. 1,800 bytes.  Other programs are infected when they are executed in an
134. infected system.
135.  
136. The Jerusalum virus can cause significant damage on an infected
137. personal computer.  It generally slows down the system and some
138. versions destroy all data on the hard disk.  .EXE files continue to
139. grow in size until they are too large to execute.
140.  
141. If your computer has already been infected, we recommend that, if
142. possible, you seek assistance from a computer specialist at your
143. institution immediately.  There are special programs available for
144. detecting and eradicating computer viruses.  One may be available in
145. your institution or from someone you know.  DO NOT USE YOUR PC TO
146. ACCESS A NETWORK OR PRODUCE FLOPPY DISKS CONTAINING .EXE OR .COM
147. PROGRAMS FOR BY OTHER PCS.
148.  
149. The _County and City Data Book_ CD-ROM can be used safely with the
150. software on the other floppy disk disk distributed in that shipment
151. ((C 134/2:C 83/2/988/floppy).
152.  
153. If you have any questions, please call Jan Erickson at GPO (202
154. 275-1003) or the Census Bureau Customer Service at (301 763-4100).
155.  
156. The Census Bureau and GPO regret any problems that this may have
157. caused.  Appropriate measures will be taken to ensure that it does not
158. happen again.
159.  
160. ------------------------------
161.  
162. Date:    Tue, 30 Jan 90 09:47:00 -0500
163. From:    <COFER@UTKVX.BITNET>
164. Subject: Re: Innocent Until....
165.  
166. >>As of the time of your posting, what judicial process has
167. >>concluded with a finding of fact that he released the worm?
168.  
169. >I wondered whether or not anyone would challenge that
170. >assertion.
171. >
172. >As of the time of my posting, The New York Times had already reported
173. >Morris had so testified.
174. >
175. >As of the time of the original assertion to which I responded, there
176. >had been such a finding by formal proceedings at Cornell University.
177.  
178. ....various other bits of evidence deleted.
179.  
180. The issue here is whether it was appropriate to say that Mr. Morris
181. had released the worm prior to a finding of that fact in a court of
182. law.  IMHO it is not, and that we should say that this act is alleged,
183. until the court decides otherwise (which it recently did).
184.  
185. According to what you read in the papers, Mr. Morris's lawyers
186. conceded that he conducted the act of releasing the worm.  However,
187. this does not constitute a finding of fact, as you maintain.  I can
188. think of a half dozen instances where a confession to an act would be
189. rejected by a court of law after a weighting of ALL the evidence.  A
190. confession is merely evidence in a trial, and although it obviously
191. carries a great deal of weight, it does not, in and of itself,
192. constitute a finding of fact.
193.  
194. It was interesting to note how you structured your response to my
195. concern.  You listed the reasons why you felt that Mr. Morris's
196. releasing the worm was a "finding of fact", and not alleged.  In
197. effect, you conducted your own little mini-trial; using such evidence
198. as something you read in the New York Times.  Are you claiming that
199. you have heard ALL the evidence presented in this trial?  Are you
200. claiming to have been declared by both the prosecution and the defense
201. to be acceptable to sit in judgment in this case?  Do you have the
202. benefit of eleven other jurors to confer with and have agree with you
203. in your personal "finding of facts"?  No.  That is why we have courts
204. of law to find fact after weighting ALL the evidence as part of an
205. orderly process that protects all concerned (at least in theory).  I
206. do not want to assign this authority to the New York Times, nor the
207. Judicial Boards at Cornell, nor to your or my own personal evaluation
208. based on partial evidence.  Until the time that the court completed
209. its job and ruled on facts and guilt, I felt it was appropriate to
210. label the charges against Mr. Morris as alleged.
211.  
212. - ---------------------
213. John L. Cofer
214. COFER@UTKVX.BITNET
215. - ---------------------
216. All disclaimers apply
217.  
218. ------------------------------
219.  
220. Date:    Tue, 30 Jan 90 08:21:20 +0700
221. From:    Chuck Martin <MARTINCH@WSUVM1.BITNET>
222. Subject: Public PC lab responsibility
223.  
224. What is a public lab responsibility to end users in regard to viruses?
225. The answer is that you do the best you can.
226.  
227. Our office Mac is available to the public for (emergency) laser
228. printing, and we have adopted measures to prevent infection.  First,
229. the user's disk is scanned for viruses with Disinfectant.  There are
230. absolutely *NO* exceptions.  If a virus is found, we offer to remove
231. it.  If that is declined, the user may receive Disinfectant 1.5 (free,
232. of course), to clean up his/her system.  Either way, we will *NOT*
233. have anything to do with an infected disk.
234.  
235. Some secondary protection measures include:
236. (1) all commands are issued by our staff, not the end user.
237. (2) Our hard drive is periodically scanned for infection.
238. (3) Vaccine is the first init installed.
239.  
240. I cannot say what our legal liability is, but surely any court can see that
241. we are taking all reasonable precautions.  Comments?
242.  
243. -
244.  -------------------------------------------------------------------------------
245.                            Chuck Martin, Consultant
246.             Computer Information Center, Washington State University
247.        MARTINCH @ WSUVM1.BITNET                      (509) 335-0411
248. -
249.  -------------------------------------------------------------------------------
250.        May you live in interesting times. - ancient Chinese curse/benison
251. -
252.  -------------------------------------------------------------------------------
253.  
254. ------------------------------
255.  
256. Date:    30 Jan 90 18:39:47 +0000
257. From:    eachus@aries.mitre.org (Robert I. Eachus)
258. Subject: Re: Virus request
259.  
260. woodb!scsmo1!don@cs.UMD.EDU writes:
261.  
262. > Should it be illegal to own or transmit virus source (for
263. non-security > personnel)??
264.  
265.      No, No, No, a thousand times NO!  If nothing else the discussion
266. in this group about the theoretical impossibility of determining
267. whether or not certain code is a virus should convince you that it is
268. certainly immpossible in practice as well as in theory whether any
269. source code could be intended as part of a virus.
270.  
271.      Also note that the Internet Worm could an did transmit and
272. compile source code on the machine it was infecting.  Should anyone
273. whose machine was infected be locked up?
274.  
275.      As a (part-time) system administrator, I think it is my
276. responsibility to track activity in this area.  If new virus threatens
277. any system for which I am responsible, I want to know that either I,
278. or someone I trust who specializes in virus detection and elimination,
279. can get a copy of the virus from someone who has been hit and
280. disassemble it.  It would be silly to say that I can be infected
281. (tough luck, sorry about that) but if I try to disassemble the virus I
282. am breaking the law.  Note that there are several "non-boot block"
283. viruses which imbed themselves in other programs.  The easiest way to
284. find them (before a special tool is developed for the particular
285. virus) is to use a disassembler.
286.  
287. >  Also, should there be an international watchdog agency set up to
288. >  investigate such requests??  Should the CIA/FBI/FCC be involved in
289. >  cooperation with IBM/DEC/AT&T/etc.. to form a task force along with
290. >  our list's virus expert?
291.  
292.    I think that sending something to this list is probably sufficient
293. notice to all of the existing watchdog groups.  I'll let Gene Spafford
294. answer whether the group set up in response to the Internet Worm is
295. interested in tracking such requests.
296.  
297. >   Has anyone contacted this person's administration along with MAINE's
298. >   and BITNIC/BITNET administration?
299.  
300.    I don't know.  I'm seeing this second hand, did you report it?
301.  
302. >  Right now, its up to us to report these requests and its the
303. >  responsibility of MAINE to act on requests submitted via UMNEWS.
304.  
305.    Agreed.  The current state of computer networking is true anarchy.
306. That means that we are all resonsible for our own protection.  (I
307. don't consider that a bad thing, but note that in any case nodes and
308. subnets may have rules and organizations to enforce them.  It is just
309. at the highest level that anarchy exists.)
310.  
311. >   Can we make it illegal to have virus sources without stomping on our
312. >   constitutional rights??  What about other countries??
313.  
314.    No.  Obviously there are some countries where such laws would be
315. constitutional.  However, like gun control any such regulations would
316. be futile, even if such laws could be enforced in a transnational
317. environment like the net.  If Robert Morris, Jr. had developed his
318. code (from New York State) on an computer in Canada, and relased it
319. into a European network, I think that he still might have violated the
320. (US) federal computer abuse statues, but where would he have violated
321. your proposed law against owning virus sources?
322.  
323.                                         Robert I. Eachus
324.  
325. with STANDARD_DISCLAIMER;
326. use  STANDARD_DISCLAIMER;
327. function MESSAGE (TEXT: in CLEVER_IDEAS) return BETTER_IDEAS is...
328.  
329. ------------------------------
330.  
331. Date:    30 Jan 90 17:24:46 +0000
332. From:    ray@philmtl.philips.ca (Ray Dunn)
333. Subject: Anti-virus suite
334.  
335. Please excuse if this is regularly published information....
336.  
337. Which among the many commercial and PD anti-virus programs would you
338. recommend as part of a cost-almost-no-object suite of programs to
339. protect an MSDos and OS/2 software development department against a
340. virus appearing on the development machines, or, infinitely worse, on
341. the product disk?
342.  
343. Does anyone offer a continuing anti-viral update service?
344.  
345. If you had to *guarantee* that no such product disks contained a
346. virus, how would you go about it, other than taking measures to
347. maintain an anti-infection clean-machine environment?
348.  
349. Thanks.  I'll summarize email replies back to this group.
350. - --
351. Ray Dunn.                    | UUCP: ray@philmtl.philips.ca
352. Philips Electronics Ltd.     |       ..!{uunet|philapd|philabs}!philmtl!ray
353. 600 Dr Frederik Philips Blvd | TEL : (514) 744-8200  Ext : 2347 (Phonemail)
354. St Laurent. Quebec.  H4M 2S9 | FAX : (514) 744-6455  TLX : 05-824090
355.  
356. ------------------------------
357.  
358. Date:    30 Jan 90 19:06:43 +0000
359. From:    eachus@aries.mitre.org (Robert I. Eachus)
360. Subject: Re: Signature Programs
361.  
362. utoday!greenber@uunet.UU.NET (Ross M. Greenberg) writes:
363.  
364.     71435.1777@CompuServe.COM (Bob Bosen) writes:
365.  
366.    >1- The PERCENTAGE of the file that is subjected to the sophisticated
367.    >algorithm. This can sometimes be quite a small fraction of the whole
368.    >file.  (The remainder of the file can be processed by an industry-
369.    >standard CRC algorithm. There are various techniques deriving from
370.    >cryptology that can be used to cause the effects of the sophisticated
371.    >algorithms to "ripple through" all the way to the final signature.)
372.    >Properly implemented, these techniques can result in a reliable,
373.    >virtually unforgeable signature that is calculated almost as quickly as a
374.    >conventional CRC.
375.  
376.    True, only if you're looking for a known pattern.  Otherwise, you're
377.    guessing that your algorithm is smarter than the bad guys.  Not on my
378.    machine you don't!  You're gonna have to scan the whole file, every
379.    byte to tell me if there has been a change...[Lots more deleted.]
380.  
381.    What Bob Bosen is proposing is an algorithm which does scan the
382. whole file, and does notice if any byte has been changed.  His point
383. is that most of this checking can be done with simple CRC techniques
384. and only a small part of the file needs to be encrypted with a
385. sophisticated algorithm.  There exist such techniques, and if they are
386. correctly implemented the effort to change the program in a way hich
387. does not change the "final" CRC, or to calculate a new CRC result, is
388. at least as difficult as solving the sophisticated algorithm.
389.  
390.    Even in your "hypothetical" PC/XT case,the computer can perform
391. several instructions per each byte read from a hard disk.  It is
392. possible (and on my Amiga, I do exactly this) to use a packing
393. program, and a loader which automatically unpacks the executable code,
394. and have the packed code load quicker (from a fast hard disk even!)
395. than the actual program.  Saves on disk space too.  A packing program
396. which encoded source with my personal "signature" could produce pakced
397. programs which loaded faster (including the verification) than the
398. original program.  And if done "right" the encryption key needed to
399. create a loadable program could not be deduced from the loader.
400. (Unless P=NP :-)
401.  
402.                                         Robert I. Eachus
403.  
404. with STANDARD_DISCLAIMER;
405. use  STANDARD_DISCLAIMER;
406. function MESSAGE (TEXT: in CLEVER_IDEAS) return BETTER_IDEAS is...
407.  
408. ------------------------------
409.  
410. End of VIRUS-L Digest
411. *********************
412. Downloaded From P-80 International Information Systems 304-744-2253
413.