home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.35

< prev

next >

Wrap

Text File  |  1995-01-03  |  22KB  |  502 lines

---

1. VIRUS-L Digest   Friday,  9 Feb 1990    Volume 3 : Issue 35
2.  
3. Today's Topics:
4.  
5. There is no Ultimate Anti-Viral Solution!
6. More general questions about known viruses (PC)
7. Re: Identification strings
8. Towards a programmable virus scanner/cleaner
9. Re: GateKeeper Aid on AppleShare Server (Mac)
10. WDEF & rebuilding the desktop (MAC)
11. My Jerusalem B nightmare! (PC)
12. Gates of Hades ? (PC)
13. Virus insurance offered
14. Novell network virus ??? (PC)
15. Re: More about 847 (PC)
16. F-PROT Question (PC)
17. Disinfectant 1.6 (Mac)
18.  
19. VIRUS-L is a moderated, digested mail forum for discussing computer
20. virus issues; comp.virus is a non-digested Usenet counterpart.
21. Discussions are not limited to any one hardware/software platform -
22. diversity is welcomed.  Contributions should be relevant, concise,
23. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
24. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
25. anti-virus, document, and back-issue archives is distributed
26. periodically on the list.  Administrative mail (comments, suggestions,
27. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
28.  - Ken van Wyk
29.  
30. ---------------------------------------------------------------------------
31.  
32. Date:    06 Feb 90 01:40:05 +0000
33. From:    eachus@aries.mitre.org (Robert I. Eachus)
34. Subject: There is no Ultimate Anti-Viral Solution!
35.  
36.      I read this group to keep track of potential new virus that I may
37. have to deal with, but there has been a lot of wasted bandwidth on
38. whether or not some scheme or other will prevent viruses.  If you are
39. thoroughly convinced of this, press n now.
40.  
41.      For the rest of you: There are three classes of unsolved
42. problems: First, there are those which are theorically soluble, but
43. are, to the best of anyone's current knowledge, infeasable in
44. practice.  The second group is those problems which are provably
45. infeasible.  The third group is problems which have been proven
46. insoluble using any type of solution, imaginable or otherwise.  This
47. group includes problems like the Post Correspondence Problem, the
48. Halting problem, and universal virus detectors.
49.  
50.      Note that there are NO qualifications about the third group which
51. allow anyone to hope that ANY problem in the third group is amenable
52. to practical (as opposed to theoretical) workarounds.  Realize that
53. any assumptions about what a virus author will or won't do have to
54. assume that he or she is a "determined adversary" who will take every
55. opportunity to make things difficult for virus detectors.  It is easy to
56. show that "prior" detection of virus programs, or detection of all
57. virus programs is in the third group.  It is more complicated, but not
58. significantly more difficult to show that any universal viral detector
59. (UVD from here on...) must define its own counterexample, just like
60. the flask of universal solvent, and that virus authors will be able to
61. take advantage of this.
62.  
63.      (Since this is directed at some unspecified group of
64. unintelligent people, not at YOU, I feel compelled to explain that
65. last remark. :-) It is impossible to have a FLASK which can contain a
66. universal solvent, if a universal solvent exists.
67.  
68.      Similarly, if I had the magical UVD that some people think can
69. exist, I can create from it a virus that it cannot detect!  If you
70. don't understand this go read "Godel, Escher, Bach" by D. Hofstater,
71. or any other lucid explanation of what Godel's Proof means, then if
72. you still don't understand it, try the following...
73.  
74.      A month later already?  Oh, you skipped GEB.  No fair!  Go back
75. and read it, or give up your right to flame me because you don't
76. understand the terminology.
77.  
78.      Assume that I have a UVD that allows useful programs to execute,
79. including scripts and interpreted programs, etc. while blocking (or
80. detecting) all viruses.  A program which blocks all, not just useful
81. programs, from executing is easy to write and is usually called a
82. virus of a Trojan horse.  (No, I take that back--it is called a lot of
83. things, one of the printable things such a program is called is a
84. virus.)  The UVD on the other hand, would certainly fit the definition
85. of a useful program, so it must allow itself (and programs equivalent
86. to itself) to execute.  For any UVD there will be a class of programs
87. which for which it is undecideable whether they are equivalent to the
88. UVD by ANY means.  This class will include programs which accept a
89. slightly different set of programs...for example, which allow viruses
90. to execute while banning virus checkers (whoops!, smells like a virus
91. to me.)  This is based on the undecidable question of whether two
92. arbitrary progams accept the same language.
93.  
94.      Now finding a program which, in general, cannot be distinguished
95. from some other hypothetical program is a theoretical possiblity, but
96. in practice is impossible.  The problem of finding a program (a virus)
97. which cannot be excluded by a particular program (your UVD) from a
98. particular set of programs (all UVD's), is easily solvable. In fact,
99. it is the problem that Godel solved back before Turing machines were
100. invented, so the method is independent of things like whether
101. computers are used.
102.  
103.      Godel proved (constructively remember--he didn't just show it was
104. possible, he included the recipe) that a universal theorem prover could
105. not exist, because if it accepted all true theorems (read good
106. programs) then it was possible to create a false theorem (virus) which
107. it would also accept.  He also proved that trying to build theorem
108. provers with restrictions of the form "accepts most true theorems"
109. (allows most useful programs to run) were a waste of time.  He did
110. this by showing that any theorem prover that accepted all theorems
111. which could be proven using only the axioms of Peano arithmetic
112. would also accept false theorems.  The equivalent for virus checker
113. programs would be to show not that UVD's that permit spreadsheet
114. programs to run are flawed, but that a UVD which allows "Hello, World"
115. to run can be compromised.
116.  
117.      If this still seems esoteric to you, just notice that many
118. viruses try specifically to hide from virus checkers.  In fact, some
119. seem to have been created only after studying the code of the existing
120. virus checkers to figure out how to avoid them.  (It should go without
121. saying, but... I hope no one will seriously propose that distribution
122. of virus checker programs should be limited for this reason!)  What
123. happens then?  The author of the virus checker gets a copy of the
124. newest virus, and designs a new detector which finds this new virus,
125. and so on ad infinitum, or until virus authors give up.
126.  
127.      This is the reality.  As long as virus authors exist, even
128. inadvertent ones, (once upon a time, way back before Robert Morris,
129. Jr. the ARPAnet was brought to its knees by a bad message created by
130. line noise...) there will be viruses around.  If computer programs get
131. smart enough to write their own virus checkers, you will still have
132. the same problem, you won't be able to tell the good programming
133. computer programs from the bad ones, just like the current situation
134. with computer programmers.  Or to put it differently, if it is
135. possible to create a program which detects ALL viruses, we can use it
136. to find all potential virus authors.  What nonsense!
137.  
138.      We now return you to your regularly scheduled newsgroup.  Where
139. hopefully no further proposals of UVD's will appear.  :^)  (I'm not
140. that much of an optimist.  Some software vendors are STILL using copy
141. protection schemes, even though every copy protection scheme tells
142. anyone who studies it how to disable it.  No, I don't pirate
143. software.  Yes, I do try to boycott any vendor stupid enough to use
144. them.)
145.  
146.                                         Robert I. Eachus
147.  
148. with STANDARD_DISCLAIMER;
149. use  STANDARD_DISCLAIMER;
150. function MESSAGE (TEXT: in CLEVER_IDEAS) return BETTER_IDEAS is...
151.  
152. ------------------------------
153.  
154. Date:    08 Feb 90 14:54:00 +0700
155. From:    T762102@DM0LRZ01.BITNET
156. Subject: More general questions about known viruses (PC)
157.  
158. Hi!
159.  
160. I have another three general questions about the known viruses.
161.  
162. (1).  Is there a virus which can infect properly the two hidden DOS
163.       files (IBMBIO.COM & IBMDOS.COM or their MS-DOS equivalents)?
164.       Yes, I know that The Dark Avenger, for instance, will infect
165.       them --- just because they are .COM-files --- but after that the
166.       system will become non-bootable.  What I mean is --- is there a
167.       virus which targets these files --- like the Lehigh virus
168.       targets COMMAND.COM?
169.  
170. (2).  Is there a virus which can infect *properly* overlays?  Again, I
171.       know that some viruses will infect overlays but the later will
172.       be damaged.
173.  
174. (3).  Are there viruses which infect .OBJ, .LIB, or .BIN files?  Of
175.       course, such viruses can be designed, but is this already done?
176.  
177.                                 Vesselin
178.  
179. ------------------------------
180.  
181. Date:    08 Feb 90 14:56:00 +0700
182. From:    T762102@DM0LRZ01.BITNET
183. Subject: Re: Identification strings
184.  
185. Hi!
186.  
187. In issue #32 Fridrik Skulason writes:
188.  
189. >So - you anti-virus writers out there: Please store identification
190. >strings encrypted, reversed or somehow modified.
191.  
192. And what if virus-scanning programs are written in such way that they
193. search the identification string only in the place it has to be ---
194. not in the whole file?
195.  
196.                         Vesselin
197.  
198. ------------------------------
199.  
200. Date:    08 Feb 90 14:55:00 +0700
201. From:    T762102@DM0LRZ01.BITNET
202. Subject: Towards a programmable virus scanner/cleaner
203.  
204. Hi!
205.  
206. Just a few hours ago I got an idea. I think that it's a good one,
207. that's why I'm pretty sure that I'm not the first one who proposes
208. this. If it is so (or if the idea is not good enough) just tell me.
209.  
210. We almost already have a programmable virus scanner. If memory serves,
211. its name is VIRSCAN or something about that. It takes a text file
212. which contains several entries. Each entry consists of a virus name
213. (e.g., Jerusalem A), where to search for this virus (e.g., COM EXE)
214. and a hex string (in ASCII form), unique for this virus. This idea can
215. be developed further. We can design a high level language for
216. searching and *clearing* viruses. For example, we can write such
217. "procedures":
218.  
219.         SearchProc DarkAvenger; /* Search procedure */
220.                 Set VirName 'Dark Avenger';
221.                 OnFound Message '$VirName found in $Media';
222.                 Search For Hex '2E899C53002E8B9CFD062E899C51008C'
223.                        At Offset -(1800 - 48) From End
224.                        In (*.COM *.EXE);
225.         EndProc;
226.         ClearProc DarkAvenger;
227.                 Move Word From Offset -11 From End
228.                      To Offset ?? From Beginning;
229.                         .
230.                         .
231.                         .
232.                 Truncate By 1800;
233.         EndProc;
234.  
235. The operators of the language are obvious:
236.         ; - ends each operator
237.         /* comment */
238.         SearchProc - defines a search procedure.
239.         ClearProc - defines a clear procedure.
240.         EndProc - procedure end.
241.         Set <variable> <string> /* or <number> */ - assigns a string
242. ('Dark Avenger') or a number to a variable.
243.         Message <string> - outputs a message to the screen. If the
244. string contains $<variable>, the expected substitution occurs. If you
245. want to output the '$' character, use '$$'.
246.         OnFound <operator> - executes <operator> every time the Search
247. procedure finds a virus.
248.         Accept <variable> - reads a variable from the keyboard
249.         Search For <string> At <place-expression>
250.                In (<specifications>) - searches for the <string> in
251. the mentioned places. If found, assigns the respective
252. <specification> to the system variable Media.
253.         Move <chunk> From <place-expression> To <place-expression>
254.                 - does just what it says.
255.         Truncate By <number> - truncates file by a given number.
256.         Unmark <number> - marks DosSector <number> as free in FAT.
257.  
258. Here
259.         <string> ::= Hex '<hex digits in ASCII form>' :
260.                      Ascii '<character>*'
261.         <number> ::= <decimal number> : 0x<hex number>
262.         <chunk> ::= Byte : Word : <sector>
263.         <sector> ::= Boot : Partition : DosSector <number> :
264.                      Sector (<number> <number> <number>)
265.         <specifications> ::= <file specification>* : <sector>*
266.         <place-expression> ::= <sector> :
267.                                Offset <expression> From Beginning :
268.                                Offset <expression> From End
269.  
270. The interpreter of the language will read the file and execute each
271. search procedure.  If one of them finds a virus, the respective clear
272. procedure (if present) will be executed --- unless an option (e.g.,
273. - -n) is given.
274.  
275. The language described above is much less sofisticated than, say, C
276. or Pascal. The interpreter may be even a commercial product (hey,
277. Borland, how about a Turbo Virus Cleaner?) --- it needs not to be
278. updated with each new virus. Instead the "programs" will be updated
279. and they can be public domain or can be distributed via e-mail by the
280. antivirus researchers.
281.  
282. If you are concerned that the virus writers will see how you recognize
283. their virus (Hi John McAfee!) then you may use some form of
284. compilation or even encryption by a user-supplied key.
285.  
286. Maybe the above idea is not so good, can be improved, or features have
287. to be added to the language --- I'm waiting for your opinions.
288.  
289.                         Vesselin
290.  
291. ------------------------------
292.  
293. Date:    08 Feb 90 15:43:51 +0000
294. From:    blob@apple.com (Brian Bechtel)
295. Subject: Re: GateKeeper Aid on AppleShare Server (Mac)
296.  
297. PRUSSELL@OCVAXC.BITNET (Roberta Russell) writes:
298. > I installed Gatekeeper Aid on our AppleShare File and Print Server
299. > today.
300.  
301. Gatekeeper Aid is designed to prevent infection and spread of the WDEF
302. virus.  This virus affects the "Desktop" file, which is used by the
303. Finder to store information about which icons go with which program,
304. which application to open when you open a document, etc.
305.  
306. AppleShare doesn't use the Desktop file.  Instead, it uses two
307. invisible files called "Desktop DB" and "Desktop DF" which are kept at
308. the root of your volume.  You can safely delete the "Desktop" file,
309. using FEdit, MacSnoop, ResEdit, or similar tools.  Once you do that,
310. WDEF has no home, and no way to propogate from such a server.
311. GateKeeper Aid then becomes superfluous on the server machine (only.)
312.  
313. The message "GateKeeper Aid encountered FCB expansion" probably means
314. that GateKeeper Aid noticed that AppleShare expands the number of File
315. Control Blocks so that more files may be open on an AppleShare server
316. than would be allowed on a user machine.
317.  
318. Disclaimer: I'm just another grunt.  I haven't been actively fighting
319. viruses, so don't take this message as Word From On High.
320.  
321. - --Brian Bechtel     blob@apple.com     "My opinion, not Apple's"
322.  
323. ------------------------------
324.  
325. Date:    Thu, 08 Feb 90 10:30:00 -0600
326. From:    Meesh <ACS1W@uhvax1.uh.edu>
327. Subject: WDEF & rebuilding the desktop (MAC)
328.  
329. This may sound like a dumb question, but if WDEF infects the desktop,
330. why don't you just hold down the option-command keys and rebuild your
331. desktop the next time you reboot?   Wouldn't that bump WDEF out of
332. your system?  Obviously, I wouldn't know, we haven't been infected by
333. it.
334.  
335. If you're running under Finder, you can rebuild your desktop while
336. you're quitting from an application.
337.  
338. michelle g.
339. computing information services
340.  
341. ------------------------------
342.  
343. Date:    Thu, 08 Feb 90 10:45:00 -0400
344. From:    Michael Greve <GREVE@wharton.upenn.edu>
345. Subject: My Jerusalem B nightmare! (PC)
346.  
347.   I want to thank all the people who sent me messages on using the
348. CLEAN program.  Unfortunately the program did not work.  It removed
349. the virus and shrank the .exe file from 260,000+ bytes to 84,000.
350. Needless to say this file didn't run.  Does anybody have any other
351. ways of getting rid of this virus.  Is the Jerusalem virus a
352. particularly difficult virus to get rid of???  Are PC viruses
353. generally nastier and more difficult to get rid of than PC viruses??
354. We have 3 PC labs here at Wharton and haven't had any viruses hit
355. them.  I we have one small MAC lab that has seen nearly every virus
356. imaginable.  Nearly every student's MAC disk has some kind of virus.
357. I guess what I'm asking is with all the PC viruses around why aren't
358. more machines infected.  ARe PC viruses harder to catch and harder to
359. get rid of?
360.  
361.   In the early days of viruses 1986-1987 we had a couple disks that
362. had what was called a C-BRAIN virus.  From what I remember all it did
363. was change the volume name of your PC disk to C-BRAIN.  I think there
364. was a similar one called ASHUR.  Were these really viruses??  Did they
365. do any real damage?  They seem tame compared to today's viruses.  I
366. remember everyone in my office panicking when a C-BRAIN showed up on a
367. students disk.  We had meetings, planned strategy, issued fliers to
368. the whole school.  Seems kind of silly if this virus did no damage.
369.  
370.    Thanks for any assistance.
371.  
372.                                         Michael Greve
373.                                         University of Pa.
374.                                         Wharton Computing
375.                                         greve@wharton.upenn.edu
376.  
377. ------------------------------
378.  
379. Date:    Thu, 08 Feb 90 15:57:30 +0000
380. From:    frisk@rhi.hi.is (Fridrik Skulason)
381. Subject: Gates of Hades ? (PC)
382.  
383. I just received a (unconfirmed) virus report - has anyone heard of
384. a virus called "Gates of Hades" ?
385.  
386. It is reported to be able to do physical damage to hard disks.
387.  
388. Fridrik Skulason   -   University of Iceland, Computing Services.
389. frisk@rhi.hi.is        Technical Editor, Virus Bulletin.
390.  
391. ------------------------------
392.  
393. Date:    Thu, 08 Feb 90 15:59:06 +0000
394. From:    frisk@rhi.hi.is (Fridrik Skulason)
395. Subject: Virus insurance offered
396.  
397. The Allstate Insurance Co. is now said to offer virus insurance. Its
398. home and business insurance policies are also said to have been
399. extended to cover virus damage to PCs.
400.  
401. Can anybody provide more details on what the fine print looks like ? :-)
402.  
403. "...virus damage to PCs" sounds like insurance against viruses that make
404. a computer go ***BOOOOOOMMMMM*** or turn into molten metal. :-)  Do they
405. also cover damage to data and lost work ?
406.  
407. Fridrik Skulason   -   University of Iceland, Computing Services.
408. frisk@rhi.hi.is        Technical Editor, Virus Bulletin.
409.  
410. ------------------------------
411.  
412. Date:    Thu, 08 Feb 90 16:00:31 +0000
413. From:    frisk@rhi.hi.is (Fridrik Skulason)
414. Subject: Novell network virus ??? (PC)
415.  
416. Can anyone confirm a report that a virus designed to attack Novell
417. networks exists ?
418.  
419. This "virus" is said to scrabmle FAT information on the server, making
420. all files there useless.
421.  
422. It is quite possible that this "virus" does not exist, or that the
423. original report was incorrect - maybe they just got attacked by a
424. trojan (or a disk failure).
425.  
426. Fridrik Skulason   -   University of Iceland, Computing Services.
427. frisk@rhi.hi.is        Technical Editor, Virus Bulletin.
428.  
429. ------------------------------
430.  
431. Date:    Thu, 08 Feb 90 13:09:57 +0600
432. From:    G7AHN <g7ahn@CC.IMPERIAL.AC.UK>
433. Subject: Re: More about 847 (PC)
434.  
435.  This virus has been around for years. It was published in the April
436. 1987 edition of PIXEL magazine, as an example of virus program and 3
437. months later the 'antibiotic' was published in the same magazine. They
438. said that they delayed the release of the disinfector so that readers
439. could set up a few practical jokes. I have the assembler source code
440. with the original comments and the BASIC program.  I got them from a
441. friend of the author of the virus. The author is a well known computer
442. wizard in Greece, known as Nick the Greek...
443.  
444. Costas Krallis
445. Imperial College
446. London, UK
447.  
448. E-Mail: g7ahn@cc.ic.ac.uk
449.         ukc!iccc!g7ahn
450.  
451. ------------------------------
452.  
453. Date:    Thu, 08 Feb 90 10:12:00 -0400
454. From:    "SCOTT D. GREGORY" <8805763@SCIvax.McMaster.CA>
455. Subject: F-PROT Question (PC)
456.  
457. An open question to frisk and the VIRUS list -
458.  
459. I have been using F-PROT as an installable device to check viruses since I
460. downloaded it off SIMTEL (A while ago).  My question concerns its
461. actions/methods.  I understand basically how SCANRES works as a TSR by
462. trapping interrups, does F-PROT work in a similar way?  It seems such a
463. small program when installed (1.5k), I assume it does what it is supposed
464. to; though I hope it never needs to tell me that I'm loading a virus.
465.  
466.                                                 Scott G.
467.                                                 8805763@SCIVax.McMaster.CA
468.  
469. P.S.  The docs say that it is supposed to notify of its installation - mine
470. doesn't, but shows up on a device driver list (TSR 2.9 Utilities), is it
471. working?
472.  
473. - - Opinions Bought and Sold - Really Cheap - Polititians Welcome
474.  
475. ------------------------------
476.  
477. Date:    08 Feb 90 17:56:41 +0000
478. From:    wahl-e@cis.ohio-state.edu (Edward A Wahl)
479. Subject: Disinfectant 1.6 (Mac)
480.  
481.      YES! There is a disinfectant 1.6.  It is a quick release before version 2
482. is released to the public.  It has a new algorithim that scans for a general
483. virus of the nVira and nVirb strains.  This does NOT protect against the NEW
484. trojan designed to go off on 2/10/90!  But it is a powerful tool.  If anyone
485. gets a copy and finds the new nVIR strains, please let me know.
486.  
487. - ------------------------------------------------------------------------------
488. only a mediocre man is always at his best    -W Somerset Maugham
489.  
490. It's better to be silent and thought a fool than speak and remove all doubt.
491.                                                       -Abraham Lincoln
492. Wahl-e@cis.ohio-state.edu    wahl-e@osu-20.ircc.ohio-state.edu
493.      Ed Wahl   CIS/ENG  "What opinion, I'm brainwashed?!"
494.  
495. - ------------------------------------------------------------------------------
496.  
497. ------------------------------
498.  
499. End of VIRUS-L Digest
500. *********************
501. Downloaded From P-80 International Information Systems 304-744-2253
502.