home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.27

< prev

next >

Wrap

Text File  |  1995-01-03  |  21KB  |  458 lines

---

1. VIRUS-L Digest   Wednesday, 31 Jan 1990    Volume 3 : Issue 27
2.  
3. Today's Topics:
4.  
5. re: Universal virus detectors
6. WDEF A at Connecticut College (Mac)
7. Re: Thermal Nuclear War ?
8. 4096 and 1260 Viruses (PC)
9. PC Magazine Free Utility: PCDATA (PC)
10. re: 1260 virus (PC)
11. Re: ADAPSO Virus Book
12. Disinfectant 1.6 (Mac)
13. Possible new virus?? Followup
14. Gatekeeper veto: Normal behavior or virus attack? (Mac)
15. WDEF A at Univ of Miami (PC)
16. virus propogation in non-executable files
17. The Checksum feature of FLU_SHOT+ (PC)
18.  
19. VIRUS-L is a moderated, digested mail forum for discussing computer
20. virus issues; comp.virus is a non-digested Usenet counterpart.
21. Discussions are not limited to any one hardware/software platform -
22. diversity is welcomed.  Contributions should be relevant, concise,
23. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
24. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
25. anti-virus, document, and back-issue archives is distributed
26. periodically on the list.  Administrative mail (comments, suggestions,
27. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
28.  - Ken van Wyk
29.  
30. ---------------------------------------------------------------------------
31.  
32. Date:    30 Jan 90 00:00:00 +0000
33. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
34. Subject: re: Universal virus detectors
35.  
36. I don't entirely understand the proposal from Jerry Leichter.  He
37. describes a system which (if I'm reading it right) basically allows
38. the user to get a known-correct "last written" timestamp for any
39. executable object.  It's not clear to me how this constitutes a
40. universal virus detector, though.  Don't we also need an algorithm
41. that looks at timestamps and timestamp-change histories, and detects
42. viruses on that basis?  That strikes me as a Hard Problem.  Does the
43. user review his timestamps once a day, and try to figure out which
44. changes are OK and which aren't?
45.  
46. Can the user really be counted on to get this right, given that virus
47. authors will shortly find out the detection methods that we're using,
48. and make viruses that act so as to be less likely to be noticed in
49. that environment (details left to the readers' own ingenuity...)?
50.  
51. Having a known-reliable "last changed" stamp for executables would be
52. very nice, and would help with the anti-virus effort.  I don't think
53. it quite makes it as a Universal Detector, though...
54.  
55. DC
56.  
57. ------------------------------
58.  
59. Date:    Tue, 30 Jan 90 15:29:00 -0500
60. From:    gateh@CONNCOLL.BITNET
61. Subject: WDEF A at Connecticut College (Mac)
62.  
63. WDEF A has reared its head in our public labs and one office
64. AppleShare network.  Boy, does this thing spread like wildfire.
65.  
66. Gregg TeHennepe                        | Minicomputer Specialist
67. gateh@conncoll.bitnet                  | Connecticut College, New London, CT
68.  
69. ------------------------------
70.  
71. Date:    30 Jan 90 15:41:00 -0800
72. From:    MGB@SLACVM.BITNET
73. Subject: Re: Thermal Nuclear War ?
74.  
75. A suggestion might be for your friend to boot from a floppy and take a
76. look in his autoexec.bat file to insure that a batch file was not
77. created to type the message to his terminal BEFORE he reformat his
78. hard disk.  It really sounds as if someone might have created a small
79. "Welcome Home" batch file rather than a virus.  If the batch file does
80. not exist, then he/she can consider a total reformat.  All strange
81. messages are not necessarily viruses.
82.  
83. ------------------------------
84.  
85. Date:    Tue, 30 Jan 90 15:32:57 -0800
86. From:    Alan_J_Roberts@cup.portal.com
87. Subject: 4096 and 1260 Viruses (PC)
88.  
89. This is a forward from John McAfee:
90.           A new breed of viruses has surfaced in the past two months.
91. These viruses are very complex and use sophisticated techniques to
92. avoid detection, identification and removal.  Since they are new
93. viruses, they are not yet widespread, but they are destined to become
94. major problems within the next year.  Among this new breed of viruses
95. is the 4096, Alabama, Virus-101 and the 1260.  Very little has been
96. written or discussed about these viruses, so I thought it was about
97. time to shed some light on a trend I'm sure we will see more of.
98.           The two most interesting of the new breed are the 4096 and the
99. 1260 viruses.  The 4096 has had few public reports as yet, but this is
100. not surprising since it is virtually invisible - even if memory
101. resident filters like Flu-Shot+ or Protec are in use.  It is by far
102. the most sophisticated virus we have seen.  It is also the largest, as
103. measured by the number of instructions.  Numerous disassemblers have
104. copies of this virus, including Dave Chess, Joe Hirst, Morgan Schweers
105. and others, but we don't yet have a fully documented listing.  We do
106. know quite a bit however:
107.           The virus is memory resident and infects COMMAND.COM, EXE
108. files and COM files.  The virus initially places the machine in
109. single-step mode and then issues an interrupt 21, sub-function 52 to
110. determine the real address of the interrupt 21 code within DOS.
111. Thereafter, it issues a long jump to that location to avoid any
112. interrupt trapping antivirals that may be resident.  Thus the
113. infection process, after the virus becomes resident, is transparent.
114.           The strangest part of the virus is that it is also able to
115. trap all other disk reads and writes, and whenever an infected file is
116. accessed by any program, the virus performs a disinfection of the
117. program on the fly.  Thus checksumming techniques, file length checks,
118. and other file modification detectors cannot perceive the infection on
119. the disk.  Even searching the disk for the specific virus code will
120. fail, since the code is removed from the file during the read request.
121. Doing a directory of the disk likewise shows no virus effects.  The
122. real increased length of infected files is subtracted during the
123. directory listing.
124.           This characteristic has a surprising side effect: Whenever an
125. infected file is copied to another file that does not have an
126. executable extension, the new file turns out to be the original,
127. uninfected program.  Whenever this uninfected program is copied to any
128. other file that does have an executable extension, the end result is
129. an infected program again.
130.           We don't yet know the exact mechanisms used by this virus, but
131. we do know it works.  No memory resident virus filter, or system virus
132. scanner that we are aware of is able to prevent infection from this
133. virus, or detect an infection after it has occurred - providing that
134. the virus is active.  The only way, currently, that we know how to
135. detect this virus is to look for its code in memory.
136.           The 1260 virus, unlike the 4096, does not do much while active
137. in memory.  It does, however, have the most sophisticated encryption
138. technique yet used by a virus.  Not only is the virus fully encrypted,
139. but the code extractor is also garbled for each occurrence of the
140. virus.  This makes simple string matching useless for identification.
141.           There are eight working commands in the Code Extractor; the
142. remainder are fluff to allow that portion of code to look somewhat
143. different between implementations.  They are:
144.   1.   B8 nnnn    MOV AX,immediate
145.   2.   B9 nnnn    MOV CX,immediate
146.   3.   BF nnnn    MOV DI,immediate address = END+0028
147.   4.   31 0D      XOR W[DI],CX
148.   5.   31 05      XOR W[DI],AX
149.   6.   47         INC DI
150.   7.   40         INC AX
151.   8.   E2 nn      LOOP immediate address
152.  
153. ------------------------------
154.  
155. Date:    Tue, 30 Jan 90 18:45:00 -0700
156. From:    Keith Petersen <w8sdz@WSMR-SIMTEL20.ARMY.MIL>
157. Subject: PC Magazine Free Utility: PCDATA (PC)
158.  
159. All the programs in the PC Magazine PCDATA package are available
160. via anonymous ftp from SIMTEL20:
161.  
162. pd2:<msdos2.pcmag>
163. VOL9N03.ARC      188K  01-16-90  PCMag FASTRUN,MIRDIR,NOVIRUS,SCANSYS,XALL
164.  
165. - --Keith Petersen
166. Maintainer of SIMTEL20's CP/M, MSDOS, & MISC archives [IP address 26.2.0.74]
167. Internet: w8sdz@WSMR-SIMTEL20.Army.Mil, w8sdz@brl.arpa  BITNET: w8sdz@NDSUVM1
168. Uucp: {ames,decwrl,harvard,rutgers,ucbvax,uunet}!wsmr-simtel20.army.mil!w8sdz
169.  
170. ------------------------------
171.  
172. Date:    30 Jan 90 21:17:00 +0100
173. From:    Morton Swimmer <swimmer%rz.informatik.uni-hamburg.dbp.de@RELAY.CS.NET>
174. Subject: re: 1260 virus (PC)
175.  
176. As a comment to what frisk mentioned about the 1260 virus, I would
177. like to add that, you likewise cannot tell the difference between the
178. Syslock, Macho and Advent viruses (viri?) using classical scan
179. methods. They all have identical startup code which will proceed to
180. decrypt the actual virus body. On top of that, Macho and Syslock have
181. identical lengths (and similar damage). Advent is however much
182. shorter.
183.  
184. I'm not a big fan of virus scanning anyway, but using checksums, as
185. I do, can be cumbersome.
186.  
187. Cheers, Morton
188.  
189. ------------------------------
190.  
191. Date:    31 Jan 90 04:37:42 +0000
192. From:    spaf@cs.purdue.edu (Gene Spafford)
193. Subject: Re: ADAPSO Virus Book
194.  
195. spaf@cs.purdue.edu (Gene Spafford) writes:
196. >"Computer Viruses: Dealing with Electronic Vandalism and Programmed
197. >Threats" by Eugene Spafford, Kathleen Heaphy, and David Ferbrache.
198. >1989, 109 pages.  Published by ADAPSO.
199. [...]
200. >state and Federal laws against computer crime, and detailed
201. >descriptions of all IBM and Apple Macintosh viruses known as of 1
202. >October 1990.
203.          ^^^^
204.  
205. Geez, I'm still writing 1989 on my checks, and now I'm writing 1990
206. where I should be putting 1989!   Make that "known as of 1 October
207. 1989" and realize you'll be old and forgetful someday too!
208. - --
209. Gene Spafford
210. NSF/Purdue/U of Florida  Software Engineering Research Center,
211. Dept. of Computer Sciences, Purdue University, W. Lafayette IN 47907-2004
212. Internet:  spaf@cs.purdue.edu uucp:     ...!{decwrl,gatech,ucbvax}!purdue!spaf
213.  
214. ------------------------------
215.  
216. Date:    Wed, 31 Jan 90 00:03:21 -0500
217. From:    jln@acns.nwu.edu
218. Subject: Disinfectant 1.6 (Mac)
219.  
220. Disinfectant 1.6
221. ================
222.  
223. January 30, 1990
224.  
225. Disinfectant 1.6 is a new release of our free Macintosh virus
226. detection and repair utility.
227.  
228. Version 1.6 automatically detects and repairs files infected by new
229. clones of the nVIR A and nVIR B viruses.  Several clones of nVIR B
230. have appeared, and in the past we had to configure and release a new
231. version of Disinfectant to properly recognize each new clone. This
232. should not be necessary in the future. The new generic nVIR clone
233. detection and repair algorithm is based on the one used by Steve
234. Brecher in his Repair program. Thanks to Steve for sharing his
235. code with us.
236.  
237. The new nVIR clone detection and repair feature was intended for
238. release as part of Disinfectant version 2.0, which is still being
239. developed.  Yet another clone of nVIR B was recently discovered at
240. Stanford University, so we decided to release just this part of
241. version 2.0 now.
242.  
243. Disinfectant 1.6 is available now via anonymous FTP from site
244. acns.nwu.edu [129.105.49.1].  It will also be available soon on
245. sumex-aim, rascal, comp.binaries.mac, CompuServe, Genie, Delphi, BIX,
246. MacNet, America Online, Calvacom, AppleLink, and other popular sources
247. for free and shareware software.
248.  
249. John Norstad
250. Academic Computing and Network Services
251. Northwestern University
252. 2129 Sheridan Road
253. Evanston, IL 60208
254.  
255. Bitnet: jln@nuacc
256. Internet: jln@acns.nwu.edu
257. CompuServe: 76666,573
258. AppleLink: A0173
259.  
260. ------------------------------
261.  
262. Date:    31 Jan 90 04:54:50 +0000
263. From:    munnari!dbrmelb.oz.au!steveo@dbrmelb.dbrhi.OZ (Stephen Oakes)
264. Subject: Possible new virus?? Followup
265.  
266. Sincere apologies for the previous article I sent yesterday about a
267. possible new virus.  It turned out that it was a message installed as
268. a hoax by another party who altered the autoexec.bat file, and was not
269. in fact a virus.
270.  
271. PLease ignore my previous posting.
272.  
273. Thank you,
274.           Stephen Oakes,   steveo@dbrmelb.dbrhi.oz
275.  
276. ------------------------------
277.  
278. Date:    31 Jan 90 10:56:41 +0000
279. From:    swenson@pythagoras.Stanford.EDU (Norman Swenson)
280. Subject: Gatekeeper veto: Normal behavior or virus attack? (Mac)
281.  
282. I have noticed something suspiciously virus-like on my Mac II.  I was
283. getting a "Serious disk error" message from Microsoft Word and garbage
284. in my files when using the editor in TeXtures.  Fearing an imminent
285. disk crash, I backed up my hard disk to another.  While the files were
286. copying over. I got a veto message from Gatekeeper (ver 1.1.1, w
287. Gatekeeper Aid).  I decided to check my disk using Disinfectant 1.5
288. and found that Drawover (part of Adobe Illustrator) was infected with
289. nVir B.  I disinfected that file, and all my disks then scanned clean.
290. However, whenever I try to open the Illustrator folder on the backup
291. disk, I get the following veto message: 'Gatekeeper has vetoed an
292. attempt by Finder to violate "Res(other)" privileges against Desktop.
293. [AddResource(ADBS,0)]'.  I have isolated the behavior to the Adobe
294. Separator 2.0 program.  When I remove it from that folder, I do not
295. get the message.  When I put it back, I don't get the message the
296. first time I open the folder, but I do every time after that.  I made
297. a copy of the folder on another disk, and at first I got the same
298. behavior, but after I rebooted it went away on the second disk.  I
299. looked at both desktop files using resedit; one had the ADBS resource
300. in it, the other did not.  Is this normal behavior, or could it be due
301. to a virus that Disinfectant 1.5 is not catching?  Why would opening a
302. folder require adding a resource to the desktop file?  And why did
303. Gatekeeper veto it on one disk, but not the other?
304.  
305. Any information is greatly appreciated.
306.  
307. Norm
308. swenson@isl.stanford.edu
309.  
310. ------------------------------
311.  
312. Date:    Tue, 30 Jan 90 23:12:51 -0500
313. From:    GROSS@umiami.Miami.EDU
314. Subject: WDEF A at Univ of Miami (PC)
315.  
316. For tracking purposes, let me say that WDEF A has managed to reach the
317. Deep South...and has struck our public labs here on campus.
318.  
319. Yippee.
320.  
321. - --
322. Jason Gross     Comp Sci Ugrad     University of Miami     Class of '91 (?)
323. ===========================================================================
324. Hey, wanna save the world? | Got sumtin' to say?        gross@umiami.bitnet
325. Nuke a Godless, Communist, | Pick and choose!        gross@umiami.miami.edu
326. gay whale for Christ.      |                      gross@miavax.ir.miami.edu
327.               - Anonymous  |
328. ===========================================================================
329.           Lie: The University of Miami is a non-profit institution.
330.  
331. ------------------------------
332.  
333. Date:    31 Jan 90 09:42:00 -0500
334. From:    "WARTHMAN" <warthman@softvax.radc.af.mil>
335. Subject: virus propogation in non-executable files
336.  
337. In VIRUS-L Digest V3 #23,     DGStewart@DOCKMASTER.ARPA writes:
338.  
339. > On another matter, there is a simple procedure which can be used to
340. > check for most viruses and other forms of corrupt code.  It is this:
341. > All viruses have to be in some executable file in order to act.
342. > ...
343. > Text files cannot
344. > propagate a virus and should not be deleted unless they have already
345. > been trashed by the corrupt code.
346.  
347. Although this may be the case in the MS-DOS and UNIX worlds, it is not
348. strictly the case in for the Macintosh. Certainly a virus must be
349. executed in order to spread, but that doesn't always mean that it must
350. attach to an "executable" file. In particular, the WDEF virus inserts
351. an executable resource into the "desktop" file. This file would never
352. ordinarily contain any executable code, just data which describes the
353. visual appearance of the disk volume on the Mac screen. Due to a
354. "feature" of the Mac operating system, however, an executable resource
355. can be contained in ordinary" data files and, under certain
356. circumstances, be executed. Thus, we have a situation in which data
357. files are used to contain and to propogate a virus. This is an
358. especially sneaky method, since the *program* that is running when
359. WDEF does its thing (Finder) is not, itsself, infected.
360.  
361. - -- Jim Warthman
362.  
363. ------------------------------
364.  
365. Date:    Wed, 31 Jan 90 16:37:20 +0200
366. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
367. Subject: The Checksum feature of FLU_SHOT+ (PC)
368.  
369.   As happens every once in a while, I've fallen several weeks behind
370. in reading VIRUS-L (due to e-mail problems among other things), so
371. forgive me if I only now get around to replying to Ross Greenberg's
372. posting in Issue 5.
373.  
374.   Concerning his FSP (FLU_SHOT+) program Ross writes:
375. >                       However, to date, it seems to be good enough:
376. >no virus infection on a checksummed program has gotten through (to my
377. >users knowledge, naturally) without detection. I can only assume that
378. >lack of reporting can be equated to lack of infection
379.  
380. I'm willing to accept the assumption that no program checksummed by
381. FSP has ever been infected by an actual virus without FSP's detecting
382. it.  What I don't accept is that this shows that FSP is "good enough".
383. The assumption could equally well be true because users of FSP simply
384. don't bother using its checksum feature!!  In my opinion, the latter
385. explanation is far closer to the truth.
386.   Of the three people I know who use FSP, two checksum only the 3
387. files in the sample FLUSHOT.DAT file: COMMAND.COM and the 2 hidden
388. system files, and the other user doesn't use the checksumming feature
389. at all.  Why?  Because it's so extremely tedious to use.  The user is
390. forced to individually enter into his FLUSHOT.DAT file the name of
391. each file which he wishes to be checksummed along with a dummy check-
392. sum, to run the program, to copy down each checksum displayed by the
393. program, and then to manually replace each dummy checksum in
394. FLUSHOT.DAT by the correct value.  Since it's difficult for me to ima-
395. gine anyone going through all that bother on more than a few files, I
396. think my 3-user sample is representative.
397.   I might understand if the probability of these three files getting
398. infected were much greater than that of other files.  But precisely
399. the opposite is true.  There are only a few viruses which can infect
400. COMMAND.COM, and all of these (except possibly one) are relatively
401. rare.  And I haven't heard of a single virus which can infect either
402. of the other two files.  So the fact that no program checksummed by
403. FSP has been infected by a virus without being detected doesn't prove
404. very much about how good FSP's checker is.
405.  
406. >>How many of its users have the slightest idea how its security com-
407. >>pares with that of other programs?
408. >
409. >The users have to trust the program author of any security product.  As
410. >such, they have to trust that, if a virus were to infect files with a
411. >"zero differential" on the checksumming method I use, that I'd change
412. >the checksuming method.  Yes, there has to be a trust in your vendor.
413.  
414. My question had nothing to do with trust.  One may be very trustworthy
415. but still unknowingly distribute an inferior product.
416.  
417. >>     for any given file all users will get the same checksum, and
418. >>that's a potential security hole ....   But since this hole can
419. >>be plugged very simply and at no cost in speed, why not do so, Ross?
420. >
421. >             If they ask me: "Is my COMMAND.COM file infected?", I need
422. >simply ask them what the checksum is.  From that I know the answer.  If
423. >I used some method to generate unique checksums for each user, I'd still
424. >have to have some means to get back to the "real" checksum.
425.  
426. Sorry, but I don't understand why you have to get back to the "real"
427. checksum.  Suppose we improve the security by making the checksums
428. different for each user.  From the fact that some user's checksum has
429. changed relative to *whatever* it was when that user set up his
430. checksum base, we'd know precisely the same thing that you know by
431. comparing with the "real" checksum, namely that his file had been
432. altered (which *may* indicate infection).  So what do you gain by use
433. of the "real" checksum?
434.   But let's suppose you can show me that there's some purpose for
435. using real checksums.  Do I understand you correctly that you keep a
436. list of the real checksums of the COMMAND.COM file of all versions of
437. PC-DOS and MS-DOS which ever existed?  Then what about all the tens of
438. thousands of other files which might get infected and which your users
439. might ask you about?
440.  
441. >Please understand that I certainly can appreciate the limitations of using
442. >a less sophisticated algorithm within my code as versus something wonderfully
443. >complex.  But, as with any security product, I had to weigh off security
444. >versus convienience considerations.
445.  
446. Adding a random key to a simple algorithm wouldn't make it "wonderful-
447. ly complex" or less convenient in the slightest.
448.  
449.                                      Y. Radai
450.                                      Hebrew Univ. of Jerusalem, Israel
451.                                      RADAI1@HBUNOS.BITNET
452.  
453. ------------------------------
454.  
455. End of VIRUS-L Digest
456. *********************
457. Downloaded From P-80 International Information Systems 304-744-2253
458.