home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.42

< prev

next >

Wrap

Text File  |  1995-01-03  |  25KB  |  541 lines

---

1. VIRUS-L Digest   Wednesday, 14 Feb 1990    Volume 3 : Issue 42
2.  
3. Today's Topics:
4.  
5. WDEF at Naval PG School (Mac)
6. "Expert System" virus scanner
7. Forwarded: Re: *UNCONFIRMED* PC virus
8. Re: The AIDS "Trojan" is a Copy Protection System
9. Retraction of previous statement (Mac)
10. Strange Beep... (Mac)
11. AIDS -program? AND Class Action Suit
12. Can DOS Extensions (indirectly) help fight viruses? (PC)
13. Re: Jerusalem-B (PC)
14. Re: Checksums
15. Re: Identification strings
16. How to notify campus community members about viruses
17. The AIDS Trojan as Copy Protection Scheme
18. The ethics of virus eradication
19.  
20. VIRUS-L is a moderated, digested mail forum for discussing computer
21. virus issues; comp.virus is a non-digested Usenet counterpart.
22. Discussions are not limited to any one hardware/software platform -
23. diversity is welcomed.  Contributions should be relevant, concise,
24. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
25. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
26. anti-virus, document, and back-issue archives is distributed
27. periodically on the list.  Administrative mail (comments, suggestions,
28. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
29.  - Ken van Wyk
30.  
31. ---------------------------------------------------------------------------
32.  
33. Date:    13 Feb 90 20:27:20 +0000
34. From:    kulp@cs.nps.navy.mil (Jeff Kulp x2174)
35. Subject: WDEF at Naval PG School (Mac)
36.  
37.         WDEF A was found on one Mac in a restricted use Mac Lab.  The
38. virus was removed using Disinfectant 1.5.
39.  
40. Jeff Kulp
41. kulp@cs.nps.navy.mil
42.  
43. [Ed. Due to the sheer volume of WDEF infection reports...  Someone
44. recently asked for all WDEF infection reports to be sent to the list;
45. could that person please identify him/herself to me, and I'll start
46. forwarding these reports directly to him/her?  Thanks.]
47.  
48. ------------------------------
49.  
50. Date:    13 Feb 90 22:26:20 +0000
51. From:    russ@Alliant.COM (Russell McFatter)
52. Subject: "Expert System" virus scanner
53.  
54. USERGSVE@LNCC.BITNET (GEORGE SVETLICHNY) writes:
55. >Now there just _*MAY*_ (note the triple enphasis) be a theorem of the
56. >following type:
57. >
58. >        I. Given such-and-such memory and microprocessor architecture,
59. >        then any program containing a virus (however that is defined)
60. >        will necessarily have a certain patern P in the object code.
61. >        II. Any program that does not contain a virus can be written in
62. >        a way that does not lead to pattern P in the object code.
63.  
64. I was going to suggest this type of approach myself; if "pattern" is very
65. loosely defined, as is "virus".  I put forward this simple hypothesis:
66.  
67.         An algorithm (A) exists which can positively determine that a
68.         given set of programs (Pg) do NOT exhibit harmful behavior.
69.  
70. "harmful behavior" can be defined however we want; self-reproduction,
71. direct access to hardware, modification of other executables, and so on.
72.  
73. Trivial proof: We can enumerate the set Pg and write an algorithm to
74. identify a program as "good" if it is included in the set.
75.  
76. This is not ENTIRELY impractical (a program which compares the
77. executables on a disk to the "original" would fall in this class).
78. This isn't very useful for most situations.  We need to be able to add
79. a statement like part II of George's theorem.
80.  
81.         Any program which is NOT harmful can be written in such a way as
82.         to satisfy algorithm A.
83.  
84. This would be very difficult to prove.  In reality, though:
85.  
86. 1:  We are not restricted to a single virus-checking algorithm; we can use a
87.     number of them (A1 ... An), each of which can "clear" a subset of the
88.     programs we wish to test.  We may need to know which virus "disprover"
89.     algorithm applies to each given test subject  ("You can check UltraGame
90.     PD 1.4 for virus-safety using 'class 5' checking methods").
91.  
92. 2:  The set of "harmless" programs is not as clearly defined as we'd like;
93.     some programs that we'd ordinarily call "harmful" will be, in fact,
94.     exceptions to the rules.
95.  
96. 3:  We'd settle for a set of virus-disproving algorithms that works on MOST
97.     software, if we have other means to insure the integrity of the
98.     "exceptions" we need to install.
99.  
100. 4:  The usefulness of the virus-disprover varies with the percentage of
101.     real-world programs that it can successfully clear.
102.  
103. 5:  Measures have to be taken to make sure that the virus-disprover's
104.     environment is "clean".
105.  
106. 6:  A set of "safe" system calls could be used to decrease the number of
107.     "exception" programs. A pair of calls that create/delete temporary
108.     files, for example, could be considered "safe" by a virus scanner, as could
109.     most routines which perform "dangerous" acts after prompting the user.
110.     (PromptDelete, for example, might pop up a dialog box with a message such
111.     as:  "Ok to delete <filename>?" before deleting the file.  This would be
112.     considered "safe" by the virus-disprover, unlike the call that deletes
113.     without prompting.)
114.  
115. We can submit, to the software authors of the world, a set of rules that
116. they must follow if we are to accept their products (hey, if the world
117. can stem the copy-protection wars simply by refusing to purchase
118. any software with copy protection, we can do the same for virus-testability).
119. These can include all the difficult-to-test issues that have been
120. mentioned here so far, such as:
121.  
122.         1:  No self-modifying code or execution of data.
123.         2:  No direct access to hardware-- use approved system calls only.
124.         3:  No modification of executable files.
125.         4:  No transformations of "data" files into executables or writing
126.             executable files (loaders/compilers would fail here).
127.         5:  Substantial restrictions on calculated (register) jumps
128.             (designed to accommodate most high-level constructs, but not
129.             much else).
130.  
131. To some extent, these rules overlap simple good programming practice.
132. Self- modifying code is hard to debug, direct hardware access is
133. nonportable, computed jumps are "risky"; the others are generally
134. "antisocial".
135.  
136. When you think about it, you'll realize that we sometimes DO go this
137. far to protect ourselves against viruses-- this is exactly what
138. happens when you review source code before compiling and executing it.
139. The fact that you're getting (high-level) source code means that the
140. author has obeyed some rules, making the program easy to understand
141. (so that you'll trust it), and not writing any "suspicious" or
142. "dangerous" code. If YOU can "virus-check" a program, it seems
143. reasonable that a computer could do some of the same, not only faster,
144. but more reliably.
145.  
146. - --- Russell McFatter  [russ@alliant.Alliant.COM]
147. std. disclaimer applies.
148.  
149. ------------------------------
150.  
151. Date:    Tue, 13 Feb 90 15:18:34 -0800
152. From:    rogers@marlin.nosc.mil (Rollo D. Rogers)
153. Subject: Forwarded: Re: *UNCONFIRMED* PC virus
154.  
155. hi, does anyone else have knowledge/experience with this alleged PC
156. virus?
157.  
158. [Ed. As with all such reports, I urge people to NOT BELIEVE this
159. without some reliable third party confirmation.  We've all seen that
160. rumors can be just as time consuming as The Real Thing...]
161.  
162. Forwarded mail follows:
163. Date: Tue, 13 Feb 90 14:52:02 -0800
164. From: Yong Kim <yjkim@milton.u.washington.edu>
165. Subject: Re: virus
166.  
167. I went to a local computer store and one of the salesmen complained
168. about the new kind of virus.  He said that unlike the conventional
169. ones (residing in the first track or other part of command.com, etc)
170. this one lives in the setup-memory (CMOS) that was backed up by the
171. computer battery.  All the infected disketts can be reformated and can
172. be purified, but this one lives there until human disconnects the
173. battery from the unit and restart the machine.  The story seems quite
174. plausible and that's why I decided to hear from experts' opinion on
175. the net.  Since today's AT usually uses CMOS memory, this looks a
176. serious problem.  The story went further: once the scan program is
177. loaded, the virus in there can recognize his eternal enemy (wel I
178. might be exaggerating, or making a fairly tale..) and destroy it.
179. Sounds like a SIFI fiction, but it looks like possible.  I wish we had
180. some kind of ANSI anti-virus detection scheme:-)
181.  
182. ------------------------------
183.  
184. Date:    Tue, 13 Feb 90 18:35:00 -0500
185. From:    Donald.Lindsay@MATHOM.GANDALF.CS.CMU.EDU
186. Subject: Re: The AIDS "Trojan" is a Copy Protection System
187.  
188. munnari!mqccsunc.mqcc.mq.oz.au!ifarqhar@uunet.UU.NET (Ian Farquhar) writes:
189.  
190. >This is not a trojan: it is a COPY PROTECTION SYSTEM.  The
191. >consequences of using the program without paying are quite adequately
192. >laid out in the license, which apparently has not been read.
193.  
194. >If the author of this program is convicted, it will be the first
195. >conviction ever for the hidious crime of writing a copy protection
196. >system, and will be one of the biggest farces of justice ever
197. >witnessed.
198.  
199. Well, no.
200.  
201. 1. It is unacceptable and actionable that a copy protection system
202.    delete unrelated material.
203.  
204. 2. Why did the "copy protection system" count down from a random
205.    number before "protecting" things?
206.  
207. 3. Unsolicited material received in the mail is the property of the
208.    recipient, the presence or absence of a licence being immaterial.
209.    (Or, to be more precise, that is law in this country.)
210.  
211. 4. Why did the perpetrators attempt, beforehand, to hide their
212.    tracks? And why didn't they come forward immediately? A judge
213.    will interpret this as a clear demonstration of intent.
214.  
215. Don             D.C.Lindsay     Carnegie Mellon Computer Science
216.  
217. ------------------------------
218.  
219. Date:    Tue, 13 Feb 90 18:18:00 -0500
220. From:    Peter W. Day <OSPWD@EMUVM1.BITNET>
221. Subject: Retraction of previous statement (Mac)
222.  
223. Dave Platt is correct and I am wrong about the accessibility of the
224. desktop file on an AppleShare server, and I appreciate his clarifying
225. the situation.  When I tried it previously, I had neglected to login
226. to my server with adequate privileges.
227.  
228. ------------------------------
229.  
230. Date:    Tue, 13 Feb 90 18:12:08 +1100
231. From:    "Alejandro Kurczyn S." <499229@VMTECMEX.BITNET>
232. Subject: Strange Beep... (Mac)
233.  
234.   We have a strange problem here, working on a Macintosh II, sometimes
235. it beeps when a file is open or closed and sometimes during starup. I
236. read some time ago that a WDEF (or nVir) sounds the bell when present.
237. So, I tested the hard disk (20 M) with disinfectant 1.6 and it didn't
238. show anything. I also re-created the DeskTop file, but the same
239. problem persist. My questions are:
240.  
241.   Is this a virus?   how can I get rid of it?
242.   Is a know virus?
243.  
244. Please mail me directly, Thanks in advance.
245.  
246. - -Alejandro J. Kurczyn S.
247. ITESM CEM
248. Mexico
249.  
250. ------------------------------
251.  
252. Date:    Tue, 13 Feb 90 20:09:06 -0500
253. From:    woodb!scsmo1!don@cs.UMD.EDU
254. Subject: AIDS -program? AND Class Action Suit
255.  
256. First of all can someone answer this question with a yes or no for
257. me...  Did the AIDS disk come with an AIDS program??
258.  
259. AND
260.  
261. Is there anyway that a class action suit could be made for those who
262. suffered damages against a convicted virus writer.  Ie, could those
263. hit by the famous WORM now sue for damages??
264.  
265. - --
266.  DON INGLI-United States Department of Agriculture - Soil Conservation Service
267.  INTERNET: scsmo1!don@uunet.uu.net    PHONEnet: 314!875!5344
268.  UUCP(short): uunet!scsmo1!don        UUCP(long): uunet!mimsy!woodb!scsmo1!don
269.               These are my opinions. I represent myself.
270.    Who do you think you are, Bjorn Nitmo?  David Letterman '90 Catch Phrase
271.  
272. ------------------------------
273.  
274. Date:    Tue, 13 Feb 90 23:10:52 -0600
275. From:    ST6074@SIUCVMB.BITNET (Tim Williams)
276. Subject: Can DOS Extensions (indirectly) help fight viruses? (PC)
277.  
278. I was wondering if running a DOS extension, like 4DOS, which totally
279. replaces COMMAND.COM, would provide any measure of protection against
280. a virus attack.  I know that it would not provide any help directly
281. (as a feature, I mean), but might subtle changes in the OS throw off
282. some viruses?
283.  
284. ------------------------------
285.  
286. Date:    Wed, 14 Feb 90 14:05:07 +0200
287. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
288. Subject: Re: Jerusalem-B (PC)
289.  
290.   Michael Greve writes:
291. >  I want to thank all the people who sent me messages on using the
292. >CLEAN program.  Unfortunately the program did not work.  It removed
293. >the virus and shrank the .exe file from 260,000+ bytes to 84,000.
294. >Needless to say this file didn't run.  Does anybody have any other
295. >ways of getting rid of this virus.  Is the Jerusalem virus a
296. >particularly difficult virus to get rid of???
297.  
298.   Ordinarily, the Jerusalem virus is easy to get rid of using any of
299. the common anti-virus programs (CLEANUP, UNVIRUS, F-FCHK, VB, etc.).
300.   However, a few EXE files contain a file-length in their header which
301. is less than their actual length.  If such a file is infected by the
302. Jerusalem virus, it overwrites part of the file instead of extending
303. it.  In that case, it's obvious that no program can restore the file.
304.  
305.   There's seems to be some misunderstanding on this subject.  For
306. example, Brad Fisher writes:
307. >                                              The only problem is that
308. >this paticular flavor of virus can not always be removed without some
309. >damage to the original file ... but a least it can be removed!
310.  
311. This is misleading; it sounds as if the disinfecting program does the
312. damage.  If the virus hasn't overwritten the file, I don't think any
313. of the above programs ever damage the file.  And if it has overwritten
314. it, then the truncation performed by the program doesn't matter.
315.  
316.                                      Y. Radai
317.                                      Hebrew Univ. of Jerusalem, Israel
318.                                      RADAI1@HBUNOS.BITNET
319.  
320. ------------------------------
321.  
322. Date:    Wed, 14 Feb 90 13:51:12 +0200
323. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
324. Subject: Re: Checksums
325.  
326.   IA88000 asks:
327. >If you had your choice, which checksum routine would you consider most
328. >secure, and why. ....
329. >To make the question a little more specific, of the checksum routines
330. >available today, which would you select.
331.  
332.   It's strange that Mr. IA88000 makes no reference to the discussion
333. which has been taking place so far on this forum.  We've been talking
334. of checksum *algorithms* and checksum *programs*, and I'm not sure
335. which he's referring to when he writes "routine".  And if he means a
336. *program*, then for what computer.  Since I have already answered the
337. question in the case of algorithms, I'm going to assume here that he's
338. asking which *PC* checksum *program* available today do we consider
339. best or most secure.
340.  
341.   Among those that I've seen, the one which is certainly the most se-
342. cure, and probably best all around, is V-Analyst (name changed from
343. VirAlarm to avoid conflict with another product of the same name).  I
344. know the authors, Omri Mann and Yuval Rakavy, but that in no way in-
345. fluences my evaluation.
346.   It's a commercial product, costing $79.  It implements Prof. Rabin's
347. CRC algorithm in which the generator is chosen at random from among
348. all 31st-degree irreducible polynomials when each user initially sets
349. up his checksum base.  It is activated either on demand or by virtue
350. of the command being placed in AUTOEXEC.BAT (which does not necessari-
351. ly mean that it must be activated on *every* boot), and does not re-
352. main resident.  The user is given complete control over selection of
353. the files which are to be checksummed (e.g. one can choose to checksum
354. a small set of files on every boot and all files on the disk every two
355. weeks) and both the initial selection and subsequent updating can be
356. performed very conveniently, by wildcard notation and/or by "pointing-
357. and-shooting".
358.  
359.   Most important, great care has been taken to prevent virus writers
360. from circumventing the checksumming.  This is the only program I've
361. seen which blocks every loophole in DOS that I know of, provided check-
362. summing is performed only when memory is uninfected (i.e. immediately
363. after booting from a clean diskette).
364.   In May 88 this program was the subject of a $6000 bet on Israeli
365. television.  A software house threw 10 specially-written test viruses
366. at it, and none succeeded in going undetected.  (Although the attack-
367. ers lost the bet, so did the defenders.  Apparently, the judges deci-
368. ded that in order to win, the latter would have to prove that their
369. program could detect *all possible* viruses!)
370.  
371.   Checksumming a given file takes about 3 times as long as performing
372. a COPY of that file to NUL.  (This is on an XT; the factor is probably
373. smaller than 3 on a faster machine.)  The checksum feature of FSP is
374. somewhat faster than this (it uses a simpler algorithm than CRC), and
375. Sentry is much faster (since it checksums only the beginnings of
376. files) and therefore will be preferred by some users.  But both Sentry
377. and FSP are potentially insecure.  Also (as I mentioned previously),
378. checksumming in FSP is extremely tedious (apparently the commercial
379. version FSPP is less so), and Sentry suffers from a lack of flexibi-
380. lity, particularly when it becomes necessary to update the checksum
381. base.
382.  
383.                                      Y. Radai
384.                                      Hebrew Univ. of Jerusalem, Israel
385.                                      RADAI1@HBUNOS.BITNET
386.  
387. ------------------------------
388.  
389. Date:    Wed, 14 Feb 90 14:18:37 +0200
390. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
391. Subject: Re: Identification strings
392.  
393. Fridrik Skulason:
394. >         Identification string: A sequence of bytes, used by anti-virus
395. >         programs to check if a program is infected.
396. >         Signature string: A sequence of bytes, used by the virus to check
397. >         if a program is infected.
398.  
399. David Chess:
400. >Well, by an unhappy coincidence, we tend to use the terms more or less
401. >the other way around, around here.  We call the thing that a virus
402. >checks for the "self-identification", and we call the things that our
403. >scanner scans for "signatures".
404.  
405.   Since the term "signature" already has too many meanings (checksum,
406. for example), I suggest as a compromise that we drop it entirely and
407. use the terms "scan-id" and "self-id" instead, i.e.:
408.  
409. Scan-id = a string (or set of strings) used by an anti-virus identifi-
410.           cation program to check if a program is infected by a known
411.           virus;
412. Self-id = a string or pattern used by a virus to detect if a program
413.           is already infected by it (or perhaps by some related virus).
414.  
415.                                      Y. Radai
416.                                      Hebrew Univ. of Jerusalem, Israel
417.                                      RADAI1@HBUNOS.BITNET
418.  
419. ------------------------------
420.  
421. Date:    Wed, 14 Feb 90 08:43:45 -0500
422. From:    ELOISE@MAINE.BITNET (Eloise Kleban)
423. Subject: How to notify campus community members about viruses
424.  
425. Getting the word out to faculty, students and staff is a major problem
426. that computer center consultants face.  If you don't publicize the
427. problem, you may be liable in some sense for damage that occurs.  On
428. the other hand, you must avoid accusing individuals or groups.  For
429. example, most of the virus infections I see are on faculty machines,
430. and one major reason is the sharing of computer software that goes on
431. among them.  (There are other people on campus who deal more with
432. students - I'm not implying that the students don't spread viruses
433. also!)  This is an issue that must be handled diplomatically.
434.  
435. I publish articles in our newsletter, I make sure that the other
436. consultants in the University system have the same info I have and the
437. software tools, and every time I talk to a user about micro software,
438. I mention the problem of viruses.  However, we are very careful not to
439. point any fingers.
440.  
441. Eloise Kleban                     BITNET:   ELOISE@MAINE
442. Computing Center                  INTERNET: ELOISE@MAINE.MAINE.EDU
443. University of Maine
444.  
445. ------------------------------
446.  
447. Date:    Wed, 14 Feb 90 09:28:00 -0500
448. From:    Jim Shanesy <JSHANESY@NAS.BITNET>
449. Subject: The AIDS Trojan as Copy Protection Scheme
450.  
451. When the AIDS trojan alerts first appeared I faxed them to a dear
452. friend of mine, Mr. Paul R. Paletti, Jr., Esq. of Siler and Handmaker
453. in Louisville, Ky.  Paul is a licensed, practicing attorney at law.
454. He gave me his informal opinion over the phone as to the significant
455. facts in the case, to wit:
456.  
457. 1) The disk was unsolicited and was sent through the mail.  The
458. recipient therefore owns the disk outright and the sender is
459. automatically waiving any rights to ownership.  The whole concept of
460. "copy protection" goes right into the dumpster at this point.  Paul
461. was very emphatic in pointing out that there is no defense on this
462. point. He said this is the most significant legal fact in the case.
463.  
464. 2) The software on the disk sabotages another's personal property,
465. with an accompanying demand for money.  This is blatant extortion.  No
466. matter how profuse and explanatory any printed disclaimers may be, the
467. intent is clear.  The author is attempting to profit by placing
468. another individual under duress.
469.  
470. That boy's in a heap o' trouble.
471.  
472. Jim Shanesy <JSHANESY@NAS.BITNET>
473. Office of Computer and Information Technology
474. National Research Council
475. 2101 Constitution Ave., NW
476. Washington, DC  20418
477.  
478. [Ed. Is this the case under British law as well as U.S. law?  If he
479. did this in Britain, did he break any U.S. laws?  Will Dr.  Popp be
480. tried here or in Britain?  Just a few thoughts...]
481.  
482. ------------------------------
483.  
484. Date:    Wed, 14 Feb 90 10:22:39 -0500
485. From:    Kevin_Haney@NIHDCRT
486. Subject: The ethics of virus eradication
487.  
488. With regard to Alan Federman's questions concerning the ethics of
489. virus eradication, it has unfortunately become the prevailing tendency
490. in many quarters, especially the business world, to deny and try to
491. cover up incidences of viral infection.  However, the situation boils
492. down to this: A computer professional does not (usually) take any sort
493. of oath of confidentiality.  His primary responsibility is to the user
494. community as a whole, not to any single individual.  That does not
495. mean, however, that reports of viral attacks should be distributed
496. indiscriminately.  As a professional, you have a responsibility to
497. balance the feelings of the 'infectee' and the dangers of unnecessary
498. hype against the danger of the possible spread of the virus and the
499. potential damage it may cause to other people in the community.
500.  
501. I don't know the particular circumstances of Federman's situation, but
502. it sounds like he did exactly what should have been done.  If there is
503. a good probability that telling people about a particular virus might
504. prevent them from getting it, then that should outweigh the potential
505. embarrassment that a single person might suffer (especially since
506. Federman did not reveal the particular name of the person involved).
507. If someone were to contract the virus later and learned that you had
508. known about it but did not warn anyone, the professional and political
509. repercussions would most likely be greater than the scoldings of one
510. irate faculty member (many of whom have a tendency to become irate
511. with little provocation).
512.  
513. To again revert to the medical analogy (which is admittedly
514. imperfect), what if a physician who treats a very contagious disease
515. refused to report it to the National Center for Disease Control and,
516. as a result, the disease spread further.  That would amount to an
517. abdication of responsibility on the part of the physician tantamount
518. to malpractice.  The only situation where withholding the information
519. would be permissible would be when, for some reason or other, there
520. was little chance that the disease (or virus) would spread any
521. further.  Since there were a number of people on Federnam's campus
522. studying fractals, there was a good possibility that someone else
523. might have purchased or come across the infected program and thereby
524. spread the virus further.  So, while we all have to deal with
525. unreasonable people occasionally, I do not think Federman's actions
526. lacked any professional or ethical justification.
527.  
528.     _______________________________________________________
529.    |                                                       |
530.    |   Kevin Haney, Computer Specialist                    |
531.    |   Division of Computer Research and Technology        |
532.    |   National Institutes of Health                       |
533.    |   BITNET - Kevin Haney:dcrt:nih                       |
534.    |_______________________________________________________|
535.  
536. ------------------------------
537.  
538. End of VIRUS-L Digest
539. *********************
540. Downloaded From P-80 International Information Systems 304-744-2253
541.