home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.32

< prev

next >

Wrap

Text File  |  1995-01-03  |  20KB  |  463 lines

---

1. VIRUS-L Digest   Wednesday,  7 Feb 1990    Volume 3 : Issue 32
2.  
3. Today's Topics:
4.  
5. Checksums
6. Are virus sources public domain software ?
7. More about the 1260 virus (PC)
8. re: Universal virus detectors: Once more with feeling
9. Yankee Doodle Virus (PC)
10. Re: The 4096 virus (PC)
11. The V2000 virus (PC)
12. EDV Virus (New) (PC)
13. RE: AIDS... (Mac)
14. Killer Virus
15. Re: Universal Virus Scanner
16. VACSINA - the name (PC)
17. Identification strings
18. New Trojans (Mac)
19.  
20. VIRUS-L is a moderated, digested mail forum for discussing computer
21. virus issues; comp.virus is a non-digested Usenet counterpart.
22. Discussions are not limited to any one hardware/software platform -
23. diversity is welcomed.  Contributions should be relevant, concise,
24. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
25. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
26. anti-virus, document, and back-issue archives is distributed
27. periodically on the list.  Administrative mail (comments, suggestions,
28. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
29.  - Ken van Wyk
30.  
31. ---------------------------------------------------------------------------
32.  
33. Date:    Sun, 04 Feb 90 13:56:00 -0500
34. From:    IA88000 <IA88@PACE.BITNET>
35. Subject: Checksums
36.  
37. This is an open question to anyone on the list who would care to
38. answer.
39.  
40. If you had your choice, which checksum routine would you consider most
41. secure, and why. If you do not want to reply on the list but would
42. rather reply by email, that's okay.
43.  
44. To make the question a little more specific, of the checksum routines
45. available today, which would you select.
46.  
47. ------------------------------
48.  
49. Date:    Mon, 05 Feb 90 10:31:39 +0000
50. From:    ZDEE699@ELM.CC.KCL.AC.UK
51. Subject: Are virus sources public domain software ?
52.  
53. In VIRUS-L, V3-I29, Todd Hooper (<CHOOPER@acad.cut.oz>) writes:
54.  
55. > What possible technique could you use
56. > to make it illegal 'illegal to own or transmit virus code '? "
57.  
58. Well, how about some reliable organisation (the CERT, for example)
59. registering the source code under copyright laws ? Is virus code
60. considered as public domain software ? I wouldn't think so ! If the
61. source was copyright, then anyone having an unauthorized copy of it
62. would be in illegality. In fact, one might even say that the virus
63. itself is illegal on the grounds that it copies itself without
64. authorization. Anybody who feel they *NEED* to keep the source in
65. their possession should then also register or ask for authorization
66. from the organisation holding the copyright.
67.  
68. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
69. |Olivier M.J. Crepin-Leblond, Comp. Sys. & Elec. Eng    | On this computer,   |
70. |Electrical & Electronic Eng, King's College London, UK | a flame-proof       |
71. |BITNET  : <zdee699%elm.cc.kcl.ac.uk@ukacrl>            |  shield, is an      |
72. |INTERNET: <zdee699%elm.cc.kcl.ac.uk@nsfnet-relay.ac.uk>| expensive gadget... |
73. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
74.  
75. ------------------------------
76.  
77. Date:    Mon, 05 Feb 90 12:19:47 +0000
78. From:    frisk@rhi.hi.is (Fridrik Skulason)
79. Subject: More about the 1260 virus (PC)
80.  
81. David Chess has just informed me of an interesting fact I missed in my
82. earlier note dealing with the 1260 virus.  If the encryption module is
83. removed, what is left is just a variant of the old and well-known
84. "Vienna" virus.
85.  
86. This variant is clearly derived from the version published in
87. "Computer Viruses: A high-tech disease".  The book is then responsible
88. for three viruses, because Lisbon and GhostBalls were also based on
89. that disassembly.
90.  
91. I have now disassembled the virus and a detailed description of it
92. will appear in the March issue of the Virus Bulletin.
93.  
94. My F-PROT package has been modified, and now it can detect and
95. disinfect "1260" and other viruses that use encryption methods with
96. permutations of the decoding instructions.
97.  
98. This new version (1.08) will be uploaded to SIMTEL tomorrow.  The bugs
99. found in 1.07 have also been fixed: One program (F-OSCHK) contained a
100. message in Icelandic, and another (F-DLOCK) interfered with CHKDSK and
101. some other programs.
102.  
103. Those of you who have asked me for a copy of F-PROT and not yet
104. received a reply - I will send you a copy of version 1.08 - sorry
105. about the delay.
106.  
107. Version 1.08 will also contain code to identify and remove the "new"
108. Bulgarian viruses.
109.  
110. - ------------------------------------------------------------------------------
111. frisk - Fridrik Skulason   University of Iceland, Computing Services.
112.                            Technical Editor, Virus Bulletin.
113.  
114. ------------------------------
115.  
116. Date:    05 Feb 90 00:00:00 +0000
117. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
118. Subject: re: Universal virus detectors: Once more with feeling
119.  
120. > David Chess continues, in essense, to complain about the user
121. > interface.
122.  
123. Not at all!  I'm saying that, no matter *what* the user interface
124. looks like, a system that relies on a human to decide whether or not a
125. timestamp-change is legitimate is no more a "universal virus detector"
126. than a program that relies on the user to type in the answers is a
127. "universal problem solver".
128.  
129. Jerry's point that most machines are not used for program development
130. is well-taken.  But the machines which -are- used for program
131. development are the ones where a virus could do the most damage (if I
132. buy a program that was infected with a virus "at the factory", the
133. fact that it can't spread any more on my machine isn't all that much
134. comfort).  It's also important to remember that "program development"
135. has to include writing BAT and CMD files, tailoring HyperCard cards,
136. and anything else which can effect, in a general-purpose way, how the
137. machine acts; taking that into account, many machines are used for
138. program development, and the proportion that are is likely to grow
139. rapidly as "programming" becomes easier.  It also becomes less clear
140. that an "is executable" bit is useable.  Would a Basic program be
141. marked as executable?  Would a shell script?
142.  
143. DC
144.  
145. ------------------------------
146.  
147. Date:    Mon, 05 Feb 90 10:09:36 -0800
148. From:    Alan_J_Roberts@cup.portal.com
149. Subject: Yankee Doodle Virus (PC)
150.  
151. This is a forward from John McAfee:
152. =================================================================
153.  
154.         O. Fadel points out that Clean-Up overwrites files infected
155. with the Yankee Doodle virus and then deletes them rather than
156. removing the virus and repairing the program.  This is pointed out
157. clearly in the documentation.  Clean-Up V57 currently repairs
158. infections from 17 of the most common viruses (Yankee Doodle is by no
159. means a common virus - at least based on our reporting statistics) and
160. will identify and overwrite the remainder.  Each version of Clean-Up
161. will add more viruses to the list that we can repair - the remainder
162. we will still identify and overwrite.  Our priorities for inclusion in
163. the "repair" list are based on the frequency of virus reports.  We
164. hope to have all viruses included in the repair list by May 15.
165. Yankee Doodle is Scheduled for mid- April.
166.         Mr. Fadel asks why the Clean-Up delete function for less
167. common viruses is any better than the DOS delete function and why
168. anyone would bother to include it.  The answer is that the DOS delete
169. function, to the best of my memory, cannot search and identify an
170. infected file.  Neither does it do an overwrite.  (We overwrite with
171. C3H - the return function - so that a careless undelete will never
172. return the virus to your system).
173.         If Yankee Doodle is indeed a larger problem than we thought,
174. then we can re-arrange its priority and move it from the delete list
175. to the repair list for the next version.  I welcome suggestions.
176.  
177. John McAfee
178. 408 988 3832 (Voice)
179. 408 988 4004 (BBS)
180. 408 970 9727 (FAX)
181.  
182. ------------------------------
183.  
184. Date:    05 Feb 90 20:32:00 +0700
185. From:    T762102@DM0LRZ01.BITNET
186. Subject: Re: The 4096 virus (PC)
187.  
188. In issue #27 John McAfee (Alan_J_Roberts@cup.portal.com) writes:
189.  
190. >        The virus is memory resident and infects COMMAND.COM, EXE
191. >files and COM files.  The virus initially places the machine in
192. >single-step mode and then issues an interrupt 21, sub-function 52 to
193. >determine the real address of the interrupt 21 code within DOS.
194. >Thereafter, it issues a long jump to that location to avoid any
195. >interrupt trapping antivirals that may be resident.  Thus the
196. >infection process, after the virus becomes resident, is transparent.
197. >        The strangest part of the virus is that it is also able to
198. >trap all other disk reads and writes, and whenever an infected file is
199. >accessed by any program, the virus performs a disinfection of the
200. >program on the fly.  Thus checksumming techniques, file length checks,
201. >and other file modification detectors cannot perceive the infection on
202. >the disk.  Even searching the disk for the specific virus code will
203. >fail, since the code is removed from the file during the read request.
204.  
205. I was sure that somewhen someone of the virus writers out there would
206. have the same idea! The latest versions of the Bulgarian TP viruses
207. perform exactly in the same way! (The 4096 virus however is not known
208. in Bulgaria.) I purposely didn't discuss in deep these techniques but
209. I see now that this was useless --- someone had already reinvented
210. them. Too sad...
211.  
212. By the way, I have some general questions about viruses:
213.  
214.         (1). Which of the known viruses will run under OS/2? I mean
215.              exactly OS/2, not its DOS 3.3 compatibility box.
216.         (2). Does anybody know something about a VAX/VMS virus which,
217.              when activated, slows down the data exchange with the
218.              terminals (something about 3 bps)? There were some rumors
219.              about such virus in Bulgaria, but I've never seen a
220.              working copy.
221.  
222. ------------------------------
223.  
224. Date:    02 Feb 90 10:49:00 +0700
225. From:    T762102@DM0LRZ01.BITNET
226. Subject: The V2000 virus (PC)
227.  
228.                            The V2000 Virus
229.                            ---------------
230.  
231.         This virus is also "made in Bulgaria" and again I am
232. indirectly the cause of its creation.  I am a well known
233. "virus-buster" in Bulgaria and my antivirus programs are very widely
234. used.  Of course, virus designers didn't like it.  So their next
235. creation...  causes trouble to my antivirus programs.
236.  
237.         This virus is exactly 2000 bytes long and I think that it was
238. created by the author of the Eddie (Dark Avenger) virus.  The
239. programming style is the same and there are even pieces of code which
240. are the same.
241.  
242.         The virus acts much like the Eddie one --- it installs
243. resident in memory by manipulating the memory control blocks; infects
244. COMMAND.COM at the first run; infects both .COM- and .EXE-files;
245. infects files when one executes them as well as when one copies them.
246.  
247.         However, there are some extras added.  First, the virus is
248. able to fetch the original INT 13h vector just like the V512 one (by
249. using the same undocumented function --- tricks spread fast between
250. virus programmers).
251.  
252.         Second, it intercepts the find-first (FCB) and find-next (FCB)
253. functions --- just like V651 (and contains the same bugs), so you
254. won't see the increased file lengths in the listing displayed by the
255. DIR command.
256.  
257.         Third, it contains the string "Copyright (C) 1989 by Vesselin
258. Bontchev", so people may think that I am the author of this virus.  In
259. fact, the virus searches every program being executed for this string
260. (the case of the letters does not matter) and if found, hangs the
261. system.  It is not necessary to tell you that all my antivirus
262. programs contain this string.  Of course, now I will have to use some
263. kind of encryption, just to prevent such tricks.
264.  
265.  
266.                         Sincerely,
267.                                          Vesselin
268.  
269. ------------------------------
270.  
271. Date:    Mon, 05 Feb 90 15:19:09 -0800
272. From:    Alan_J_Roberts@cup.portal.com
273. Subject: EDV Virus (New) (PC)
274.  
275. This is a forward from John McAfee:
276.  
277. =================================================================
278.  
279.         Dave Chess sent us another new virus that uses "creative"
280. techniques to avoid detection from scanning type programs.  Dave calls
281. it the EDV virus.  The virus infects boot sectors of floppy diskettes
282. and the partition table (master boot record) of hard disks -- similar
283. to the stoned virus.  It saves the original boot sector and if any
284. program attempts to read the boot sector, the virus intercepts the
285. read and retrieves the original boot sector instead.  Thus the system
286. will appear normal even if infected.  This technique is not new.  The
287. Pakistani Brain was the first virus to use this avoidance technique.
288.         What is new about this virus is that it also avoids detection
289. from a memory scan.  The virus accomplishes this feat by intercepting
290. the clock tic and at each tic the virus interrogates ES and DS to
291. determine if anyone is looking at the virus code.  If someone is
292. looking, the virus hangs the system.
293.         All these new detection avoidance techniques can of course be
294. circumvented.  They do require development time, however, and are
295. becoming a nuisance.  We have opted in SCAN not to block the timer
296. interrupt (the obvious bypass to circumvent this virus) due to
297. potential problems with time dependent background code.  Instead,
298. we've chosen to outrun the virus using our own "creative" memory scan.
299. Seems to work so far and will be included in V58 of SCAN - - due out
300. Feb 15th -- if beta testing goes well.
301.  
302. John McAfee  ...................
303.  
304. ------------------------------
305.  
306. Date:    Mon, 05 Feb 90 20:50:21 -0500
307. From:    woodb!scsmo1!don@cs.UMD.EDU
308. Subject: RE: AIDS... (Mac)
309.  
310. I don't think that I have seen this question but...
311.  
312. Did the AIDS virus really contain ANY information on AIDS or any REAL
313. non-virus program?
314.  
315. - --
316.  DON INGLI-United States Department of Agriculture - Soil Conservation Service
317.  INTERNET: scsmo1!don@uunet.uu.net    PHONEnet: 314!875!5344
318.  UUCP(short): uunet!scsmo1!don        UUCP(long): uunet!mimsy!woodb!scsmo1!don
319.               These are my opinions. I represent myself.
320.    Who do you think you are, Bjorn Nitmo?  David Letterman '90 Catch Phrase
321.  
322. ------------------------------
323.  
324. Date:    05 Feb 90 21:07:52 +0000
325. From:    sdjr@amdcad.AMD.COM (James Reeves)
326. Subject: Killer Virus
327.  
328. I have just finished disassembling a virus that was found in our
329. company that is called KILLER DISK by Computer OGRE. If anyone has been
330. infected by this virus drop me a line. I have written a program that
331. will detect and remove the virus from any floppy or hard disk. In
332. addition I have extracted the algorithm neccessary to undo the damage
333. if the virus attacks the hard disk. The virus takes about 48 hours
334. of computer use before attacking. In the mean time it transfers itself
335. to ANY floppy that is read or written from the infected machine.
336.  
337. If anyone has any comments or questions please let me know.
338.  
339.  
340. Thanks
341. James Reeves
342.  
343. ------------------------------
344.  
345. Date:    06 Feb 90 09:31:28 +0000
346. From:    d88-cwe@nada.kth.se (Christian Wettergren)
347. Subject: Re: Universal Virus Scanner
348.  
349. I think that the discussion about an Universal Virus Scanner is very
350. intresting but is it even possible to conclude that a program doesn't
351. modify itself?
352.  
353. What I mean is that I don't think that you could create a program that
354. could say YES, this program modifies itself, or NO, this program
355. doesn't modify itself.
356.  
357. That depends of course of what microprocessor you use. On an ordinary
358. 8086 you couldn't, I think. Imagine this;
359.  
360. The program has an instruction that contains a reference to it's own code-
361. adress. ( MOV CS:0199h, XXXX )
362. OK, then don't tolerate that.
363. But what if it calculates it from a formula? ( MOV CS:[BX], XXXX )
364. Then don't tolerate a reference that uses a CS-prefix.
365. But the same adress is reachable from perhaps some Data Segment.
366. ( MOV DS:1238h, XXXX )
367. OK, then don't tolerate direct references to the code through a Data
368. Segment But what if it is calculated through a formula? ........
369. ( MOV DS:[BX], XXXX )
370. Then don't tolerate writes at all.... 8-)
371.  
372. Of course some micros could prohibit this behavior by some sort of
373. MMU-scheme, but I think that at least 8086 and 68000 (not so sure
374. there, though) couldn't contain an algorithm that could determine if
375. the program was self-modifying or not. (Of course it could contain it,
376. but it would have to be simulating the micro itself, and hence has the
377. same problem there, etc)
378.  
379. Christian Wettergren d88-cwe@nada.kth.se
380. Royal Institute of Technology, Stockholm, Sweden
381.  
382. ------------------------------
383.  
384. Date:    Tue, 06 Feb 90 10:20:11 +0000
385. From:    frisk@rhi.hi.is (Fridrik Skulason)
386. Subject: VACSINA - the name (PC)
387.  
388. Some time ago there was a bit of discussion here on Virus-L, regarding the
389. virus name VACSINA.
390.  
391. According to Vesselin Bontchev - the Bulgarian virus researcher, there
392. is a logical explanation for the name - which is the Bulgarian word
393. for "vaccine".
394.  
395. VACSINA is the logical name of a device-driver virus-protection program,
396. written by the same person as wrote the virus. Since the virus communicates
397. with this program, the string VACSINA appears in the virus.
398.  
399. The full decription of the "VACSINA" virus (as well as the other 30-50
400. Bulgarian virus variants) will probably be posted by Vassilian soon.
401.  
402. - ------------------------------------------------------------------------------
403. frisk - Fridrik Skulason - University of Iceland, Computing Services
404.                            Technical Editor, Virus Bulletin
405.  
406.  
407. ------------------------------
408.  
409. Date:    Tue, 06 Feb 90 10:47:37 +0000
410. From:    frisk@rhi.hi.is (Fridrik Skulason)
411. Subject: Identification strings
412.  
413. I have been comparing a few little-known virus-detection programs
414. recently.  There is a problem with some of the less well known
415. programs, namely that they may appear as infected to some of the other
416. anti-virus programs.
417.  
418. The reason is that they sometimes store a virus identification string
419. in unmodified form, and in the case of the shorter viruses, two
420. programs may have picked the same identification string, which may
421. cause them to appear as infected to one another.
422.  
423. So - you anti-virus writers out there: Please store identification
424. strings encrypted, reversed or somehow modified.
425.  
426. Another subject - there is some confusion regarding the terms
427. "identification string" vs. "signature strings". How about:
428.  
429.         Identification string: A sequence of bytes, used by anti-virus
430.         programs to check if a program is infected.
431.  
432.         Signature string: A sequence of bytes, used by the virus to check
433.         if a program is infected.
434.  
435. Comments ?
436.  
437. Fridrik Skulason   -   University of Iceland, Computing Services.
438. frisk@rhi.hi.is        Technical Editor, Virus Bulletin.
439.  
440. ------------------------------
441.  
442. Date:    06 Feb 90 08:56:00 -0500
443. From:    "WARTHMAN" <warthman@softvax.radc.af.mil>
444. Subject: New Trojans (Mac)
445.  
446. Peter Johnston posted information about two strains of a new trojan
447. which can damage the Macintosh file system. One strain exists in a
448. program called "Mosaic" and the other in a program called
449. "FontFinder". I'd like to know if anyone else has had experience with
450. these two trojans, and which of the existing commercial and public
451. domain anti-virus tools can detect/prevent them from doing their
452. damage. Since the "FontFinder" trojan has a trigger date of 10 Feb,
453. it's important that we quickly publicize this trojan's effects and
454. countermeasures.  Thanks in advance.
455.  
456.  --- Jim Warthman
457.  
458. ------------------------------
459.  
460. End of VIRUS-L Digest
461. *********************
462. Downloaded From P-80 International Information Systems 304-744-2253
463.