home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.33

< prev

next >

Wrap

Text File  |  1995-01-03  |  14KB  |  372 lines

---

1. VIRUS-L Digest   Wednesday,  7 Feb 1990    Volume 3 : Issue 33
2.  
3. Today's Topics:
4.  
5. WDEF in Toronto (MAC)
6. GateKeeper Aid on AppleShare Server (Mac)
7. Idea for WDEF Innoculation (Mac)
8. Disinfectant 1.6 (Mac)
9. Advice for cluster managers
10. The V-847 virus (PC)
11. WDEF A (Mac)
12. "Mosaic" and "FontFinder" Trojan (MAC)
13. Viruses 4096 and 1260 on BBS (PC)
14. RE: Trojan Alert (MAC)
15. More about WDEF
16. WDEF Virus (Mac)
17.  
18. VIRUS-L is a moderated, digested mail forum for discussing computer
19. virus issues; comp.virus is a non-digested Usenet counterpart.
20. Discussions are not limited to any one hardware/software platform -
21. diversity is welcomed.  Contributions should be relevant, concise,
22. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
23. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
24. anti-virus, document, and back-issue archives is distributed
25. periodically on the list.  Administrative mail (comments, suggestions,
26. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
27.  - Ken van Wyk
28.  
29. ---------------------------------------------------------------------------
30.  
31. Date:    Tue, 06 Feb 90 09:05:42 -0500
32. From:    "Kevin Adams" <ADAMS@HUMBER.BITNET>
33. Subject: WDEF in Toronto (MAC)
34.  
35. Humber College in Toronto has been hit by the WDEF virus.  We first
36. detected it when machines began crashing (mouse still moved cursor
37. around the screen, but no other response).   It had managed to infect
38. the desktop of our server by the time we caught up with it..
39. We had resident virus protection in place, but it was too old to
40. snag WDEF.
41.  
42. We brought it under control with Disinfect 1.5 and Eradicat'Em.  We
43. tried Gatekeeper Aid prior to Eradicate'Em,  but it seemed not to work
44. on our IIcx's and SE30's.
45.  
46. We've also survived NVIR A and NVIR B.
47.  
48. >From the reports I've read NVIR and WDEF both have no malicious
49. intent, and that any damage they cause are 'side effects'.  Is this
50. accurate?
51.  
52. It seems very strange to me that Virus writers would launch
53. their missiles with no payload...
54.  
55. Kevin Adams
56. User Services Group
57. Humber College of Applied Arts and Technology
58.  
59. ------------------------------
60.  
61. Date:    Tue, 06 Feb 90 11:23:00 -0500
62. From:    Roberta Russell <PRUSSELL@OCVAXC.BITNET>
63. Subject: GateKeeper Aid on AppleShare Server (Mac)
64.  
65. I installed Gatekeeper Aid on our AppleShare File and Print Server
66. today.  When I rebooted the server, I got the message "GateKeeper Aid
67. encountered FCB expansion."  Can someone tell me what this means?
68. Thanks,
69.  
70. Roberta Russell
71. Academic Computing, Oberlin College
72. prussell@oberlin.bitnet
73. prussell@ocvaxc.oberlin.edu
74.  
75. ------------------------------
76.  
77. Date:    Tue, 06 Feb 90 12:23:51 -0500
78. From:    Jason Ari Goldstein <jg3o+@andrew.cmu.edu>
79. Subject: Idea for WDEF Innoculation (Mac)
80.  
81. Just like everywhere else the WDEF is thriving here at Carnegie-Mellon
82. Univ.  I recently removed WDEF A & B off of 15 disks of a friend of
83. mine.  When I commented to somone here about the virus they said there
84. was nothing they could do to stop it, except remove it once a machine
85. got infected.
86.  
87. I don't know much about Macs (Being a PC person) but if I understand
88. correctly every time the disk is inserted the they Virus is sread to
89. the disk.  Well, why doesn't someone write an innoculation directly
90. based on the virus itself.  Everytime a disk is inserted in the drive
91. it would be checked for infection if so it would remove WDEF if not it
92. would then 'innoculate the disk' with itself.  Eventually, WDEF would
93. be wiped out the same way it was spread initially.
94.  
95. The only problem with this is that it is a virus also, but with the
96. proper prompts (allowing the user the choice of being innoculated) I
97. don't think this would be a problem.  I know I would mind not ever
98. being infected by a virus that kills other viruses.
99.  
100. In the mean time, about 75% of the time I in a cluster I remove WDEF A
101. or B from either a hard disk or someone elses floppies.
102.  
103. Later...
104.  
105. me
106. - -------------------
107. Jason Goldstein
108. Internet:  jg3o+@andrew.cmu.edu
109. Disclaimer: I represent me and only me not CMU, not my folks, not anyone.
110.  
111. "Thank the lord my PC came in the mail yesterday" - me
112.  
113. Over, Finished, Gone, Done, Out.
114.  
115. ------------------------------
116.  
117. Date:    Tue, 06 Feb 90 12:58:46 -0600
118. From:    Fung P Lau <LAU@ricevm1.rice.edu>
119. Subject: Disinfectant 1.6 (Mac)
120.  
121.      I have recently read something about Disinfectant 1.6 from this
122. newsgroup.  Its author said that there was no Disinfectant 1.6 and it
123. maigt cause potential porblems on virus detection.  Someone in our lab
124. downloaded it and has been using it without any obvious trouble.  I
125. would appreciate any further comments on this application.  So, again,
126. is there any upgraded version of Disinfectant after version 1.5 ?  If
127. not, is there any more information about this "fake" Disinfectant ?
128.  
129. ------------------------------
130.  
131. Date:    Tue, 06 Feb 90 14:36:30 -0600
132. From:    Meesh <ACS1W@uhvax1.uh.edu>
133. Subject: Advice for cluster managers
134.  
135. I'm preparing a guide to microcomputer cluster security for the
136. microcluster managers here at the Univ. of Houston.  What kind of
137. information would you want to see in such a publication?  What kind of
138. advice would you offer to someone who's just setting up a cluster?
139.  
140. Send replies to me:     acs1w@elroy.uh.edu
141.                         acs1w@uhvax.bitnet
142.  
143. Michelle M. Gardner
144. Coordinator, Computing Information Services
145. Information Technology Division
146.  
147.  
148. ------------------------------
149.  
150. Date:    06 Feb 90 16:57:00 +0700
151. From:    T762102@DM0LRZ01.BITNET
152. Subject: The V-847 virus (PC)
153.  
154.                           The V-847 Viruses
155.                           -----------------
156.  
157.         This virus was imported in Bulgaria by foreigner student from
158. Greece.  He claimed that the virus code was created and published by
159. the PIXEL magazine.  The virus is supplied as a program in BASIC,
160. which when run creates a .COM-file which in fact contains the real
161. virus.
162.  
163.         The virus is extremely stupid. It infects only .COM-files in
164. the current directory of the current drive. However, it infects *all*
165. these files at once. The only way to spread the virus is to run an
166. infected file when one of the directories listed in the PATH variable
167. is current. Then each time a file from this directory is run, all
168. files in the current directory will get infected.
169.  
170.         The virus is not memory resident. It becomes active only when
171. an infected file is run.
172.  
173.         The virus *prepends* itself in front of the infected files.
174. Their size increases by 847 bytes, most of which contain garbage. Each
175. infected file contains the generation number of the virus. There are
176. no effects before the 5th generation. After the 5th generation
177. however, when you attempt to execute an infected file, you will
178. succeed with probability of only 1/2 (the lowest bit of the system
179. timer is used as a random number generator). If the chances are
180. against you, you will receive the message:
181.  
182. "Program sick error:Call doctor or buy PIXEL for cure description"
183.  
184. and the program will terminate.
185.  
186.         This virus was also hacked a bit.  There are two known
187. mutations in Bulgaria, however they are not widely spread.  In fact,
188. they are very rare.  The first is optimized and is 345 bytes long.
189. The second is even more optimized.  Its length is only 299 bytes.
190.  
191.  
192. ------------------------------
193.  
194. Date:    Tue, 06 Feb 90 16:46:51 -0600
195. From:    "James N. Bradley" <ACSH@UHUPVM1.BITNET>
196. Subject: WDEF A (Mac)
197.  
198. Today, while I was disinfecting a Macintosh IIx with Disinfectant 1.6
199. I got a report saying that the desktop was infected at 3:36 p.m. on
200. 2/6.
201.  
202. Now, it just happened that it WAS 3:36 p.m. while I was doing the
203. disinfecting.
204.  
205. I was using a locked disk which checked clean both with Disinfectant
206. 1.6 and Gatekeeper Aid.
207.  
208. Since the locked disk was clean, it couldn't have infected the HD,
209. right?  The person involved swears that no other disks had been in his
210. drives today.
211.  
212. Any ideas?
213. Jim Bradley
214. Acknowledge-To: <ACSH@UHUPVM1>
215.  
216. ------------------------------
217.  
218. Date:    Tue, 06 Feb 90 15:01:22 -0700
219. From:    Peter Johnston <USERGOLD@UALTAMTS.BITNET>
220. Subject: "Mosaic" and "FontFinder" Trojan (MAC)
221.  
222. Since my first posting of the two trojans we have detected here at the
223. University of Alberta, a few things have occurred.  This update is an
224. attempt to share what we have learned so far:
225.  
226. On a suggestion from Paul Cozza, we determined that both the trojans
227. we detected are stopped by SAM (Symantec Anti-viral for the Macintosh)
228. Intercept.  The version tested was quite an old one, but Paul suggests
229. that all commercially released versions should also stop the trojan
230. from doing its nastiness.  When we tested SAM, the Mac was invariably
231. left hung when we "Denied" the permission SAM was requesting, but upon
232. re-booting, the disks were found to be undamaged.
233.  
234. Several of the anti-viral software developers have contacted us for
235. further information on this trojan, and we have assisted them wherever
236. possible.  I would expect versions of many of their packages able to
237. detect this trojan to start appearing in the near future.
238.  
239. I have received as of this date no reports of infection from any other
240. sites.  Remember, though the trigger date of 10 Feb 90.  I'll feel a
241. little more relaxed after that date.
242.  
243. University Computing Systems has prepared a client hand-out that
244. describes in relatively non-technical terms what both of these trojans
245. do and what users can do to combat them.  Unfortunately, a lot of the
246. information is specific to the University of Alberta, but if anyone is
247. interested, we would be pleased to provide copies of both for your
248. use, or upload them to VIRUS-L, depending on the demand.  Please
249. contact me if this would be of assistance to you.
250.  
251. We are continuing our investigations, and will report additional
252. information as we uncover it.  You will also likely start receiving
253. informational reports from some of the anti-viral software developers
254. as to the internal characteristics and structure of these trojans.
255.  
256. The one gratifying aspect of this whole episode is the speed with
257. which the warning was spread, and the prompt and professional response
258. we here in the far north received from the anti-virus community as a
259. whole.  This trojan is dangerous, no question about it.  But not
260. nearly as dangerous as a full fledged viral version having the same
261. type of destructive tendancies.  Having a mechanism in place to react
262. to these attacks is a pretty powerful deterrant force.
263.  
264. In the meantime, please continue to recommend that your Mac users make
265. regular backups and to practice "safe computing".  I still feel that
266. user education is one of the most powerful weapons we have to combat
267. malicious code attacks...
268.  
269. Peter Johnston, P. Eng.
270. Senior Analyst, University Computing Systems,
271. 352 - GenSvcBldg, The University of Alberta
272. Edmonton, Alberta CANADA    T6G 2H1
273. Phone: 403/492-2462
274. FAX: 403/492-7219
275. EMAIL: usergold@ualtamts.bitnet
276.  
277. ------------------------------
278.  
279. Date:    Tue, 06 Feb 90 22:57:40 -0400
280. From:    GEORGE SVETLICHNY <USERGSVE@LNCC.BITNET>
281. Subject: Viruses 4096 and 1260 on BBS (PC)
282.  
283.  In Virus-L v3 issue31, ddb@ns.network.com (David Dyer-Bennet) writes
284.  concerning the 4096 and 1260 viruses:
285.  
286. >John McAfee writes:
287. >:      The strangest part of the virus is that it is also able to
288. >:trap all other disk reads and writes, and whenever an infected file is
289. >:accessed by any program, the virus performs a disinfection of the
290. >:program on the fly.
291. >  infected file?
292. >
293. >As a BBS sysop, I find this a particularly amusing feature: it assures
294. >my users that anything downloaded from my BBS is not infected with
295. >this class of virus!  The concept of BBS's as *the safest* source of
296. >software (at least in this one regard) is rather amusing.
297.  
298. What David forgets to mention is that the BBS is the safest source of
299. virus-free files *as long as the BBS is infected* with these viruses.
300. Will Sysops now start deliberately infecting their boards with these
301. viruses so as to assure the users clean files? Is your BBS infected,
302. Dave? ;-)
303.  
304.  ----------------------------------------------------------------------
305.  George Svetlichny                 |
306.  Department of Mathematics         |
307.  Pontificia Universidade Catolica  |  So it goes.....
308.  Rio de Janeiro, Brasil            |    Kurt Vonnegut Jr.
309.                                    |
310.  usergsve@lncc.bitnet Fido 4:4/998 |
311.  ----------------------------------------------------------------------
312.  
313. ------------------------------
314.  
315. Date:    Tue, 06 Feb 90 22:21:23 +0000
316. From:    <2wsa067@GC.BITNET>
317. Subject: RE: Trojan Alert (MAC)
318.  
319. One real quick question about this new Mac virus. Do any other
320. programs detect it (i.e.Virus Rx, Interferon, etc.)? And what versions
321. if any are you using to detect it?
322.  
323. Thanks,
324.  
325. Ed Vasko
326.  
327. ------------------------------
328.  
329. Date:    07 Feb 90 06:03:18 +0000
330. From:    wcpl_ltd@uhura.cc.rochester.edu (Wing Leung)
331. Subject: More about WDEF
332.  
333.         Can someone tell me is WDEF an illegal string in the resource code?
334. How about the program called WDEF uploaded in comp.binaries.mac?
335.         In fact, I've found some WDEF resource code in system version 6.0.3.
336.         Please tell me more about this resource code.
337.  
338. Peter
339.  
340. - --
341.   _    _  ____  ____   _        * Internet:     wcpl_ltd@uhura.cc.rochester.edu
342.  (/   /  //  / //   ) (/        * BITNET  :     WCPL_LTD@UORDBV
343.  / / /  //    //___/ _/         * DecNet  :     UORHEP::PETER
344. /_/_/  //__/ //     _/\___/     * UUCP    :     ...rochester!uhura!wcpl_ltd
345.  
346. ------------------------------
347.  
348. Date:    Wed, 07 Feb 90 08:59:00 -0500
349. From:    MOSES@urvax.urich.edu
350. Subject: WDEF Virus (Mac)
351.  
352. I have been away from my office and my macintosh network for three
353. months and when I come back and read my bitnet messages I see there is
354. a new virus call WDEF.  Can I get some info on this.  What virus
355. detectors can I use to check out my network?  How can it be
356. eradicated?  What are its characteristics?  Please send your response
357. directly to me.
358.  
359. Thanks a bunch.
360.  
361. Salonge Crenshaw
362. University of Richmond
363. Richmond, VA  23173
364. Bitnet: Moses@URvax
365. Phone : 804-289-8861
366.  
367. ------------------------------
368.  
369. End of VIRUS-L Digest
370. *********************
371. Downloaded From P-80 International Information Systems 304-744-2253
372.