home *** CD-ROM | disk | FTP | other *** search

---

/ The Unsorted BBS Collection / thegreatunsorted.tar / thegreatunsorted / bbs_file_lists / viraut13.txt

< prev

next >

Wrap

Text File  |  1997-07-27  |  18KB  |  358 lines

---

1. 40Hex Number 6 Volume 2 Issue 2                                       File 008
2.  
3. Take a look at this.  I picked it up on fidonet, originally from Virus-L
4. digest.  all the stuff in *< >*'s are my comments.
5.                 - Demogorgon
6.  
7. ------------------------------
8. VIRUS-L Digest   Wednesday, 26 Feb 1992    Volume 5 : Issue 44
9. ------------------------------
10.  
11. Date:    Tue, 25 Feb 92 10:10:14 -0500
12. >From:    mha@baka.ithaca.ny.us (Mark Anbinder)
13. Subject: MBDF Suspects Arrested (Mac)
14.  
15. The Cornell Daily Sun reported in this morning's issue that two
16. Cornell University sophomores, David Blumenthal and Mark Pilgrim, were
17. arrested Monday evening and arraigned in Ithaca City Court on one
18. count each of second degree computer tampering, in connection with the
19. release of the MBDF virus that infected Macs worldwide over the last
20. several days.  The two are being held in Tompkins County Jail.
21. *< huh?  How does one get arrested for spreading a virus, you ask? read on >*
22. Further charges are pending.
23.  
24. ---
25. ** many lines of mail routing crap have been deleted **
26.  
27. Date: Tue, 25 Feb 1992 11:47:32 PST
28. >From: lipa@camis.stanford.edu (Bill Lipa)
29. Subject: Alleged MBDF virus-creators arrested at Cornell
30.  
31. "Computer Virus Traced to Cornell Students"
32.  
33. by Jeff Carmona
34.  
35. [The Cornell Daily Sun, 25 February 1992]
36.  
37.   Two Cornell students were arrested yesterday for allegedly creating and
38. launching *< launching ? Bon voyage, we launched you !>* a computer virus that
39. crippled computers around the world, according to M. Stuart Lynn, the
40. University's vice president for information technologies.
41.   David Blumenthal '94 and Mark Pilgrim '94 were arrested by Department of
42. Public Safety officers and arraigned in Ithaca City Court on one count of
43. second-degree computer tampering, a misdemeanor, *< cool, its only a
44. misdemeanor, how bad could it be ? >* Lynn said.
45.   Both students were remanded to the Tompkins County Jail and remained in
46. custody early this morning. They are being held on $2,000 cash or $10,000
47. bail bond, officials said.
48.   Cornell received national attention in Nov. 1988 when Robert T. Morris
49. Jr., a former graduate student, was accused of unleashing a computer virus
50. into thousands of government and university computers.
51.   Morris, convicted under the 1986 Computer Fraud and Abuse Act, was fined
52. $10,000, given a three-year probation and ordered to do 400 hours of community
53. service by a federal judge in Syracuse, according to Linda Grace-Kobas,
54. *< Whats a Koba?? >* director of the Cornell News Service.
55.   Lynn would not compare the severity of the current case with Morris',
56. saying that "each case is different."
57.   Lynn said the virus, called "MBDFA" was put into three Macintosh games --
58. Obnoxious Tetris, Tetriscycle and Ten Tile Puzzle.
59.   On Feb. 14, the games were launched from Cornell to a public archive at
60. Stanford University in Palo Alto, Calif, Lynn said.
61. *< I guess these guys actually put it up on the archive under their own      >*
62. *< accounts! Don't they know they can trace that stuff? duhhh...             >*
63. From there, the virus spread to computers in Osaka, Japan and elsewhere around
64. the world *< the archive was a dumb idea if thats how they got caught, but it
65. spread like hell >* when users connected to computer networks via modems, he
66. added. It is not known how many computers the virus has affected worldwide, he
67. explained.
68.   When computer users downloaded the infected games, the virus caused "a
69. modification of system software," *< oooh...lets not get too technical >* Lynn
70. said. "This resulted in unusual behavior and system crashes," he added.
71.   Lynn said he was not aware of anyone at Cornell who reported finding the
72. virus on their computers.
73.   The virus was traced to Cornell last Friday, authorities were quickly
74. notified and an investigation began, Lynn said.
75.   "We absolutely deplore this kind of bahavior," Lynn said. "We will pursue
76. this matter to the fullest."
77.   Armed with search warrants, Public Safety investigators removed more than
78. a dozen crates full of evidence from the students' residences in Baker and
79. Founders halls on West Campus. *< sounds like a typical, over-kill bust to
80. me.  If you don't know what it is, take it. >*
81. Public Safety officials refused to disclose the contents of the crates or
82. issue any comment about the incident when contacted repeatedly by phone last
83. night.  *< thats because they don't know what the fuck the stuff is >*
84.   "We believe this was dealt with very quickly and professionally," Lynn
85. said.
86.   The suspects are scheduled to appear in Ithaca City Court at 1 p.m. today
87. and additional charges are pending, according to Grace-Kobas.
88.   Because spreading a computer virus violates federal laws, "conceivably,
89. the FBI could be involved," she added. Officials with the FBI could not be
90. reached to confirm or deny this.
91.   Blumenthal and Pilgrim, both 19-year-olds, were current student employees
92. at Cornell Information Technologies (CIT), Lynn said. He would not say
93. whether the students launched the virus from their residence hall rooms or
94. From a CIT office.
95.   Henrik N. Dullea '61, vice president for University relations, said he
96. thinks "the act will immediately be associated with the University," not
97. only with the individual students charged.
98.   Because a major virus originated from a Cornell student in the past, this
99. latest incident may again "bring a negative reaction to the entire
100. institution," Dullea said. *< "blah, blah, blah" >*
101.   "These are very selfish acts," Lynn said, referring to the intentional
102. distribution of computer viruses, because innocent people are harmed.
103.   Lynn said he was unaware of the students' motive for initiating the virus.
104. Lynn said CIT put out a notice yesterday to inform computer users about the
105. "very virulent" virus. A virus-protection program, such as the new version of
106. Disinfectant, can usually cure computers, but it may be necessary to "rebuild
107. the hard drive" *< egad! Not the dreaded "virus-that-makes-you-rebuild-your-
108. hard-drive" !>* in some cases, he added.
109.   A former roommate of Blumenthal said he was not surprised by news of the
110. arrest. Computers were "more than a hobby" for Blumenthal, said Glen Fuller
111. '95, his roommate from last semester. "He was in front of the computer all
112. day," Fuller said.
113.   Blumenthal, who had a modem, would "play around with viruses because they
114. were a challenge to him," Fuller said. He said that, to his knowledge,
115. Blumenthal had never released a virus before.
116.  
117. -->-<------ Cut Here --------------------------
118.  
119. ------------------------------
120. VIRUS-L Digest   Friday, 28 Feb 1992    Volume 5 : Issue 46
121. ------------------------------
122.  
123. Date:    Wed, 26 Feb 92 11:08:45 -0800
124. >From:    karyn@cheetah.llnl.gov (Karyn Pichnarczyk)
125. Subject: CIAC Bulletin C-17: MBDF A on Macintosh (Mac)
126.  
127.                            NO RESTRICTIONS
128.         _____________________________________________________
129.              The Computer Incident Advisory Capability
130.                          ___  __ __    _     ___
131.                         /       |     / \   /
132.                         \___  __|__  /___\  \___
133.         _____________________________________________________
134.                            INFORMATION BULLETIN
135.  
136.                New Virus on Macintosh Computers: MBDF A
137.  
138. February 25, 1992, 1130 PST                                 Number C-17
139.  
140. ________________________________________________________________________
141. NAME:     MBDF A virus
142. PLATFORM: Macintosh computers-except MacPlus and SE (see below)
143. DAMAGE:   May cause program crashes
144. SYMPTOMS: Claris applications indicate they have been altered; some
145.           shareware may not work, unexplained system crashes
146. DETECTION &
147. ERADICATION: Disinfectant 2.6,Gatekeeper 1.2.4, Virex 3.6,
148.              VirusDetective 5.0.2, Rival 1.1.10, SAM 3.0
149. ________________________________________________________________________
150.                      Critical Facts about MBDF A
151.  
152. A new Macintosh virus, MBDF A, (named for the resource it exploits)
153. has been discovered.  This virus does not appear to maliciously cause
154. damage, but simply copies itself from one application to another.
155. MBDF A was discovered at two archive sites in newly posted game
156. applications, and has a high potential to be very widespread.
157.  
158. Infection Mechanism
159.  
160. This virus is an "implied loader" virus, and it works in a similar
161. manner to other implied loader viruses such as CDEF and MDEF.  Once
162. the virus is active, clean appliacation programs will become infected
163. as soon as they are executed.  MBDF A infects only applications, and
164. does not affect data files.  This virus replicates under both System 6
165. and System 7.  While MBDF A may be present on ALL types of Macintosh
166. systems, it will not spread if the infected system is a MacPlus or a
167. Mac SE (although it does spread on an SE/30).
168.  
169. Potential Damage
170.  
171. The MBDF A virus has no malicious damaging characteristics, however,
172. it may cause programs to inexplicably crash when an item is selected
173. from the menu bar.  Some programs, such as the shareware
174. "BeHierarchic" program, have been reported to not operate correctly
175. when infected.  Applications written with self-checking code, such as
176. those written by the Claris corporation, will inform the user that
177. they have been altered.
178.  
179. When MBDF A infects the system file, it must re-write the entire
180. system file back to disk; this process may take two or three minutes.
181. If the user assumes the system has hung, and reboots the Macintosh
182. while this is occuring, the entire system file will be corrupted and
183. an entire reload of system software must then be performed.
184.  
185. This virus can be safely eradicated from most infected programs,
186. although CIAC recommends that you restore all infected files from an
187. uninfected backup.
188.  
189. Detection and Eradication
190.  
191. Because MBDF A has been recently discovered, only anti-viral packages
192. updated since February 20, 1992 will locate and eradicate this virus.
193. All the major Macintosh anti-viral product vendors are aware of this
194. virus and have scheduled updates for their products.  These updates
195. have all been available since February 24, 1992.  The updated versions
196. of some products are Disinfectant 2.6, Gatekeeper 1.2.4, Virex 3.6,
197. SAM 3.0, VirusDetective 5.0.2, and Rival 1.1.10.  Some Macintosh
198. applications (such as the Claris software mentioned above) may contain
199. self-verification procedures to ensure the program is valid before
200. each execution; these programs will note unexpected alterations to
201. their code and will inform the user.
202.  
203. MBDF A has been positively identified as present in two shareware
204. games distributed by reliable archive sites: "Obnoxious Tetris" and
205. "Ten Tile Puzzle".  The program "Tetricycle" (sometimes named
206. "Tetris-rotating") is a Trojan Horse program which installs the virus.
207. If you have downloaded these or any other software since February 14,
208. 1992 (the day these programs were loaded to the archive sites), CIAC
209. recommends that you acquire an updated version of an anti-viral
210. product and scan your system for the existence of MBDF A.
211.  
212. For additional information or assistance, please contact CIAC:
213.  
214.         Karyn Pichnarczyk
215.         (510) 422-1779 or (FTS) 532-1779
216.         karyn@cheetah.llnl.gov
217.  
218. Call CIAC at (510)422-8193/(FTS)532-8193.
219. Send e-mail to ciac@llnl.gov
220.  
221. PLEASE NOTE: Many users outside of the DOE and ESnet computing
222. communities receive CIAC bulletins.  If you are not part of these
223. communities, please contact your agency's response team to report
224. incidents.  Some of the other teams include the NASA NSI response
225. team, DARPA's CERT/CC, NAVCIRT, and the Air Force response team.  Your
226. agency's team will coordinate with CIAC.
227.  
228. CIAC would like to thank Gene Spafford and John Norstad, who provided
229. some of the information used in this bulletin.  This document was
230. prepared as an account of work sponsored by an agency of the United
231. States Government.  Neither the United States Government nor the
232. University of California nor any of their employees, makes any
233. warranty, express or implied, or assumes any legal liability or
234. responsibility for the accuracy, completeness, or usefulness of any
235. information, apparatus, product, or process disclosed, or represents
236. that its use would not infringe privately owned rights.  Reference
237. herein to any specific commercial products, process, or service by
238. trade name, trademark, manufacturer, or otherwise, does not
239. necessarily constitute or imply its endorsement, recommendation or
240. favoring by the United States Government or the University of
241. California.  The views and opinions of authors expressed herein do not
242. necessarily state or reflect those of the United States Government or
243. the University of California, and shall not be used for advertising or
244. product endorsement purposes.
245.  
246. -->-<----- Cut Here -------------------------
247.  
248. ---
249.  
250. ------------------------------
251. VIRUS-L Digest   Friday, 28 Feb 1992    Volume 5 : Issue 46
252. ------------------------------
253.  
254. Date:    Wed, 26 Feb 92 15:32:02 -0500
255. >From:    mha@baka.ithaca.ny.us (Mark Anbinder)
256. Subject: Cornell MBDF Press Release (Mac)
257.  
258. _____________________________________________________
259. PRESS RELEASE ISSUED BY CORNELL NEWS SERVICE 2/25/91
260.  
261. Students charged
262. with releasing
263. computer virus
264.  
265. By Linda Grace-Kobas
266.  
267. Following a university investigation that tracked a computer virus and
268. its originators, two Cornell students were arrested and charged with
269. computer tampering for allegedly launching a computer virus embedded in
270. three games into national computer archives.  Arraigned Feb. 24 in
271. Ithaca City Court were David S. Blumenthal, 19, a sophomore in the
272. College of Engineering, and Mark Andrew Pilgrim, 19, a sophomore in the
273. College of Arts and Sciences.  They were charged with computer tampering
274. in the second degree, a Class A misdemeanor.  The pair is being held in
275. Tompkins County Jail with bail set at $2,000 cash bond or $10,000
276. property bond.  At a hearing Tuesday afternoon, Judge Sherman returned
277. the two to jail with the same bond and recommended that they remain in
278. jail until at least Friday pending the federal investigation.  A
279. preliminary hearing is set for April 10.
280.  
281. Both students were employed by Cornell Information Technologies, which
282. runs the university's computer facilities.  Pilgrim worked as a student
283. operator in an Apple Macintosh facility from which the virus is believed
284. to have been launched.  The university's Department of Public Safety is
285. working with the Tompkins County district attorney's office, and
286. additional charges are expected to be filed.  The Federal Bureau of
287. Investigation has contacted the university to look at possible violations
288. of federal laws, officials said.  The Ithaca Police Department is also
289. assisting in the investigation.
290.  
291. "We absolutely abhor this type of behavior, which appears to violate the
292. university's computer abuse policy as well as applicable state and
293. federal law," commented M. Stuart Lynn, vice president for information
294. technologies, who headed the investigation to track the originators of
295. the virus.  "Cornell will pursue all applicable remedies under our own
296. policies and will cooperate with law enforcement authorities."
297.  
298. Lynn said Cornell was alerted Feb. 21 that a Macintosh computer virus
299. embedded in versions of three computer games, Obnoxious Tetris,
300. Tetricycle and Ten Tile Puzzle, had possibly been launched through a
301. Cornell computer.  A virus is normally embedded in a program and only
302. propagates to other programs on the host system, he explained.
303. Typically, when an infected application is run, the virus will attack the
304. system software and then other applications will become infected as they
305. are run.
306.  
307. The virus, MBDF-A, had been deposited on Feb. 14 directly and indirectly
308. into several computer archives in the U.S. and abroad, including
309. SUMEX-AIM at Stanford University and archives at the University of Texas,
310. the University of Michigan and another in Osaka, Japan.  These archives
311. store thousands of computer programs available to users of Internet, the
312. worldwide computer network.
313.  
314. Macintosh users who downloaded the games to their computers were subject
315. to a variety of problems, notably the modification of system software and
316. application programs, resulting in unusual behavior and possible system
317. crashes.  Apparently, there was no intent to destroy data, Lynn said, but
318. data could be destroyed in system crashes.
319.  
320. Reports of the virus have been received from across the United States and
321. around the world, including Wales, Britain, Lynn said, adding that he has
322. no estimate for the number of individuals who might have obtained the
323. games.
324.  
325. As soon as the virus was identified, individuals and groups across the
326. country involved with tracking viruses sent messages across computer
327. networks to alert users who might have been affected by the virus, Lynn
328. added.  The virus has since been removed from all archives and
329. "disinfectant" software available to the Internet community has been
330. modified so that individual Macintosh users can purge their computers of
331. it.
332.  
333. "Our sense is that the virus was controlled very rapidly," he said.  In
334. 1988, Cornell received national attention when graduate student Robert T.
335. Morris Jr. launched a computer virus into important government and
336. university research networks.  That virus, actually considered a "worm"
337. since it was self-perpetuating, caused major damage in high-level
338. systems.  Morris was convicted under the 1986 Computer Fraud and Abuse
339. Act and fined $10,000, given three years probation and ordered to do 400
340. hours of community service by a federal judge in Syracuse, N.Y.
341.  
342. The new virus differs greatly from the Morris worm, Lynn said.  "This
343. virus is not to be compared with the Morris worm, which independently
344. moved from machine to machine across the network," he explained.  All
345. Macintosh users should take appropriate measures to be certain their
346. systems are not infected with the virus.
347.  
348. News Service science writer William Holder also contributed to
349. this report.
350.  
351. ---
352. Mark H. Anbinder                      607-257-2070 - FAX 607-257-2657
353. BAKA Computers, Inc.                  QuickMail QM-QM 607-257-2614
354. 200 Pleasant Grove Road               mha@baka.ithaca.ny.us
355. Ithaca, NY 14850
356.  
357. -->-<----- Cut Here -------------------------
358.