home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.76

< prev

next >

Wrap

Text File  |  1995-01-03  |  15KB  |  333 lines

---

1. VIRUS-L Digest   Monday, 16 Apr 1990    Volume 3 : Issue 76
2.  
3. Today's Topics:
4.  
5. Disinfectant 1.7 (Mac)
6. MACs for Programs
7. Re: Death of a Virus
8. Friday the 13th of April Computer Virus??? (PC)
9. Re: Virus in Text Files
10. First computer virus extinct?
11. WDEF A on Chessmaster 2100 and Cribgin (Mac)
12. Re: Loophole in VIREX 2.6? (Mac)
13. Jerusalem-B Virus (PC)
14.  
15. VIRUS-L is a moderated, digested mail forum for discussing computer
16. virus issues; comp.virus is a non-digested Usenet counterpart.
17. Discussions are not limited to any one hardware/software platform -
18. diversity is welcomed.  Contributions should be relevant, concise,
19. polite, etc.  Please sign submissions with your real name.  Send
20. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
21. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
22. anti-virus, documentation, and back-issue archives is distributed
23. periodically on the list.  Administrative mail (comments, suggestions,
24. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
25.  
26.    Ken van Wyk
27.  
28. ---------------------------------------------------------------------------
29.  
30. Date:    Fri, 13 Apr 90 15:02:44 -0500
31. From:    Norbert Bornfeld <TAK010@DE0HRZ1A.BITNET>
32. Subject: Disinfectant 1.7 (Mac)
33.  
34. I have major problems downloading the binhexed 1.7 version from the info-mac
35. archives as well as from the anti-virus sites as described in this list.
36. The file seems to be corrupted and decoding the file I get an
37. EOF-error message. Any solutions?
38. N. Bornfeld, University of Essen
39.  
40.  
41. ------------------------------
42.  
43. Date:    Fri, 13 Apr 90 11:44:00 -0400
44. From:    WHMurray@DOCKMASTER.NCSC.MIL
45. Subject: MACs for Programs
46.  
47. >The first system usable for this is
48. >the RSA public key encryption system. For a MAC, you encrypt the
49. >checksum with the privat key of the author and append it to the
50. >message. It can be decrypted by anyone using the public key which has
51. >to be obtained once, and then the checksum can be checked.
52. >Unfortunately, it is patent copyrithed (sic)in USA .....
53.  
54. It is true that RSA is protected by patent and copy right in the U.S.
55. However, I am not prepared to grant that that is "unfortunate," or somehow
56. removes it from consideration.
57.  
58. >and requires lengthy
59. >computations of prime numbers for the keys, ....
60.  
61. Again, true but irrelevant.  If you were going to perform a function often,
62. its speed would be important.  However, the key is only computed once, by
63. the originator; even if it takes minutes, who cares.
64.  
65. >and depends both on the
66. >problem of factorisation and the discrete logarithm.
67.  
68. And, once more, irrelevant, unless, of course your interest is only in
69. promoting an alternative.
70.  
71. >But there is an alternative scheme: the ElGamal-Scheme.
72.  
73. But of course.  Indeed, there are several.   Let us not forget the
74. Xerox Secure Hash Function (Snefru).
75.  
76. Incidentally, the sponsor of this algorithm admits that it might be a
77. little slower than RSA at checking time.   Right!  RSA is slow at key
78. generation, fast at calculating the signature, which is done more often,
79. and very fast at checking the data against the signature, which is done
80. most often.
81.  
82. Any number of existing and theroretical functions will enable us to
83. determine that the probability of change is vanishingly small, at
84. least as long as we have a trusted source for the MAC.  However, RSA
85. has the advantage of providing for attribution of both origin and, if
86. each person in the chain adds his signature, any change.
87.  
88. All that having been said, the important thing is to start using something.
89. Part of the reason that we have not done so is that we insist upon seeing
90. the value as the receiver not running something that he does not intend.
91. On the other hand, if such a function were available, most people would
92. not calculate it before running the code.
93.  
94. The real value is in an author not being held accountable for something
95. that he did not write.  Given the potential for someone adding a virus
96. to my code, I would not write code for publication where I did not
97. compute such a value and publish it at least as widely as the code.
98. Then, if as has happened to readers of this list, someone was damaged
99. by code that he thought to be mine, but which had been subsequently
100. maliciously modified, I would be able to demonstrate that the code
101. used was not the same as what I shipped.  I would be protected even if
102. the end user, who failed to compute my function, was not protected.
103.  
104. Authors, the use of a MAC serves you even if no one ever reconciles it.
105. It is cheap.  You have a choice of functions, security, and costs.  The
106. choice is yours.  Pick one, but do something.  Use several; they are
107. cheap.
108.  
109. William Hugh Murray, Executive Consultant, Information System Security
110. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
111. 203 966 4769, WHMurray at DOCKMASTER.NCSC.MIL
112.  
113. ------------------------------
114.  
115. Date:    12 Apr 90 00:00:00 -0500
116. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
117. Subject: Re: Death of a Virus
118.  
119. Dave Ihnat <ignatz@chinet.chi.il.us> writes various things, including:
120.  
121. > Systems which provide the underlying hardware CAN be made much more
122. > secure.
123.  
124. >               Attacks on such multi-user/multi-tasking systems that
125. > are successful invariably result from either errors in the protection
126. > mechanisms (usually, not the hardware itself, but rather the operating
127. > system which utilizes it) or errors in application of the provided
128. > protections, either by programmers (privileged programs that don't
129. > properly control access, etc.), or by administrators and users who
130. > don't use such capabilities as ACL's and file permission settings.
131.  
132. I agree completely with the first; systems with no concept of security
133. are in general much harder to write reliable anti-virus software for
134. than systems that provide a trusted kernel, or rings, or other ways
135. to protect some software from other software.
136.  
137. I disagree with the second, though; unless you label any setting of
138. access levels that allows some programs to write to others as
139. an "error", viruses can spread even in systems that have reliable
140. access controls which are being used properly and without error.
141. How many installations can you think of where no program *ever*
142. legitimately writes to another?
143.  
144. I think the reasons that we have seen microcomputer viruses, but no
145. large-system viruses are primarily "cultural" (writing viruses hasn't
146. become "the thing to do" in the mainframe underground, there simply
147. aren't as many mainframe programmers, large installations don't tend
148. to exchange software yet, and so on).
149.  
150. DC
151.  
152. ------------------------------
153.  
154. Date:    13 Apr 90 18:19:15 +0000
155. From:    mkb@ohsuhcx.ohsu.edu (Marilyn Bushway)
156. Subject: Friday the 13th of April Computer Virus??? (PC)
157.  
158. Hello we are experiencing what we believe to be a virus.  It just hit
159. today.  Symptoms: All executable files are destroyed and must be
160. reloaded.  It is only on P.C.'s (Dos machines) It just hit the campus
161. today which is Friday the 13th.  Is there a virus out there that we
162. didn't know about???  Does anyone know of a utility for ridding the
163. machine of it.
164.  
165. mkb@ohsuhcx.ohsu.edu
166.  
167. - --
168. Marilyn Bushway  3181 S.W. Sam Jackson Park Rd. Portland, OR  97201
169. (503) 279-8328   {ogicse,qiclab,uunet,tektronix,nosun,psueea} ohsuhcx!mkb
170.  
171. ------------------------------
172.  
173. Date:    Fri, 13 Apr 90 23:35:06 +0000
174. From:    rutgers!tiger.ecn.purdue.edu!ashar@uunet.UU.NET (Ashar Nisar)
175. Subject: Re: Virus in Text Files
176.  
177. cdss!culliton@uunet.UU.NET (Tom Culliton) writes:
178. >RKARRAS@PENNSAS.UPENN.EDU (Dr. Ruth Mazo Karras) writes:
179. >
180. >How many times has this question been answered?  If you can't execute
181. >the file or run it via an interpreter it can't carry a virus.  If its
182.  
183. That is a very general statement.... and flase too!
184.  
185. Technically yes you may be right... but you never know if somebody
186. can't exploit any bug in the systems software to get the control of
187. the machine... even when APPARENLY the system is just READING a text
188. file etc.
189.  
190. An example is the Internet worm that used a bug in mail system Now
191. mail system apparently only reads/sends text mail.... and there is no
192. reason why such a bug can not exist in current PC software, especially
193. with so many third party Network/LAN/mail/tcp etc implementations
194.  
195. Not likely, BUT there is NO guarantee
196.  
197. - -ashar
198.  
199. ashar@tiger.ecn.purdue.edu
200.  
201. ------------------------------
202.  
203. Date:    Sat, 14 Apr 90 00:53:22 -0700
204. From:    joe@hanauma.stanford.edu (Joe Dellinger)
205. Subject: First computer virus extinct?
206.  
207. In article <1095@front.se> per@front.se (Per Lindberg) writes:
208. >He he... Single-host viruses dies out when their host dies out.
209. >Will this be the first COMPUTER virus destined for extinction?
210. >Why isn't the WWF doing anything!!??
211.  
212. Well, there is an interesting point here: Macintoshes and IBM PC's seem to
213. be CRAWLING with many strains of viruses. One person on comp.virus reported
214. a single file infected with three viruses simultaneously! On the other hand,
215. it seems viruses on Apple ]['s were pretty rare. A few existed, including
216. mine, but none of them ever seems to have reached anywhere near epidemic
217. proportions. Most Apple ][ users I've heard back from report NEVER
218. encountering _any_ viruses.
219.  
220. What's the difference? An Apple ][ was an ideal machine to write a virus
221. for. There was massive copying of software. There's been plenty of
222. time for viruses to have become entrenched. Why didn't they? My guess is that
223. the proliferation of non-standard DOS's (I never realized there were so many
224. DOS variants in common use out there. Dozens of them. Wow!) and the LACK of
225. standard methods of interfacing with the OS (such as it was) are responsible.
226. Most viruses are _extremely_ host-specific, where "host" means both the
227. hardware AND the OS.
228.  
229. Can we infer the general rule that a heterogeneous software population is the
230. best deterrent to runaway infection? (After all, people have a large number
231. of different HLa types. Why? Smallpox is much deadlier for people with blood
232. type "A" than "O". Why are there any people with bloodtype "A" still around?)
233. Our computer's non-standard "fingd" did not fall prey to Morris' internet
234. worm, even though it works fine as a "fingd". My point is that worms and
235. viruses usually depend on a lot of things being exactly a certain way.
236. Good network programs, on the other hand, can only assume the bare minimum
237. protocols defined in the RFCs. There may be some escape hatch like Berkeley
238. sendmail's "debug" option, but only ONE "genotype" of sendmail program fell
239. prey to that attack.
240.  
241.  
242. ------------------------------
243.  
244. Date:    Sat, 14 Apr 90 05:11:28 -0700
245. From:    jim@rand.org
246. Subject: WDEF A on Chessmaster 2100 and Cribgin (Mac)
247.  
248. VIRUS-L V3 #72 (9 Apr) contained an unconfirmed report that Chessmaster
249. 2100 (Macintosh version) from the Software Toolworks was infected with
250. WDEF A.  The Toolworks was looking into it.
251.  
252. I contacted them Tuesday, and they have confirmed that WDEF A was on
253. their master disks for both Chessmaster 2100 and another game program
254. called Cribgin, both for the Mac.  They have started a recall on both
255. products, and expect to be able to ship replacements starting this Friday.
256.  
257.           Jim Gillogly
258.           jim@rand.org
259.  
260. ------------------------------
261.  
262. Date:    15 Apr 90 15:32:57 +0000
263. From:    trebor@biar.UUCP (Robert J Woodhead)
264. Subject: Re: Loophole in VIREX 2.6? (Mac)
265.  
266. David_Conrad%Wayne-MTS@um.cc.umich.edu writes:
267.  
268. >   I wonder if this is a problem with VIREX or an anomaly in QuickBasic?
269. >It could be the case that, in the future, any trojan which emulates the
270. >structure of a QB object will be passed over by VIREX, creating a loophole
271. >similar to the one created by checking the "Always Compile MPW INITs" box
272. >in Vaccine.
273.  
274. No.  The problem was that, not having another example of a QuickBasic
275. program handy, the signature used in 2.51 unfortunately matched every
276. QB program.  This was an easy fix.
277.  
278. Thanks for the concern though.
279.  
280. - --
281. Robert J Woodhead, Biar Games, Inc.   !uunet!biar!trebor | trebor@biar.UUCP
282. Announcing TEMPORAL EXPRESS.  For only $999,999.95 (per page), your message
283. will be carefully stored, then sent back in time as soon as technologically
284. possible.  TEMEX - when it absolutely, postively has to be there yesterday!
285.  
286. ------------------------------
287.  
288. Date:    16 Apr 90 08:41:55 +0000
289. From:    inesc!ajr@relay.EU.net (Julio Raposo)
290. Subject: Jerusalem-B Virus (PC)
291.  
292.           I have made last year a program to clean the Jerusalem-B virus from
293.   the infected files without damaging them. I've done this because at the
294.   time the only other method I had was just deleting the files and restoring
295.   them from the backups. A few days after I got my hands on John McAfee's
296.   programs (Oh dear, I haven't got his name anywhere near by, please forgive
297.   me if I misspelled it) and decided I would go on working on my own
298.   program, VKILL. The version 1.0 is available from SIMTEL among other
299.   places, both C-source and compiled program with the Turbo-C init and
300.   project files.
301.  
302.           The reasons why I say that for me my program is better than SCAN and
303.   CLEAN are:
304.  
305.           Here the infections are mainly by Jerusalem-B virus (I don't know
306.                     why). After using VKILL, most of the disks are reported
307.                     clean by SCAN.
308.  
309.           VKILL is very fast because it looks for the only place in the file
310.                     the virus usually is. It only fails if other trash has been
311.                     appended to the file after it has been infected.
312.  
313.  
314.           Now I am working on the new version of VKILL. This new version is
315.   able not only of cleaning the virus but can also make all the files immune
316.   to new attacks. The next release will be 1.2, 1.1 being the Beta test
317.   version. When this new version is ready I'll send it to Keith Petersen
318.   (SIMTEL) and to Bill Davidsen (comp.binaries.ibm.pc postings).
319.  
320.           Meanwhile if someone wants more information about Jerusalem-B or the
321.   VKILL program, or has found any bug or inconvenience in the use of VKILL,
322.   please e-mail to me.
323.  
324. - -------
325.                                         Antonio Julio Raposo
326.                               (ajr@cybill.inesc.pt - LISBOA - PORTUGAL)
327.  
328. ------------------------------
329.  
330. End of VIRUS-L Digest
331. *********************
332. Downloaded From P-80 International Information Systems 304-744-2253
333.