home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / MAGS.ZIP / 40HEX-06.ZIP / 40HEX-6.008 < prev    next >
Encoding:
Text File  |  1992-03-30  |  18.1 KB  |  358 lines
  1. 40Hex Number 6 Volume 2 Issue 2                                       File 008
  2.  
  3. Take a look at this.  I picked it up on fidonet, originally from Virus-L
  4. digest.  all the stuff in *< >*'s are my comments.
  5.                 - Demogorgon
  6.  
  7. ------------------------------
  8. VIRUS-L Digest   Wednesday, 26 Feb 1992    Volume 5 : Issue 44
  9. ------------------------------
  10.  
  11. Date:    Tue, 25 Feb 92 10:10:14 -0500
  12. >From:    mha@baka.ithaca.ny.us (Mark Anbinder)
  13. Subject: MBDF Suspects Arrested (Mac)
  14.  
  15. The Cornell Daily Sun reported in this morning's issue that two
  16. Cornell University sophomores, David Blumenthal and Mark Pilgrim, were
  17. arrested Monday evening and arraigned in Ithaca City Court on one
  18. count each of second degree computer tampering, in connection with the
  19. release of the MBDF virus that infected Macs worldwide over the last
  20. several days.  The two are being held in Tompkins County Jail.
  21. *< huh?  How does one get arrested for spreading a virus, you ask? read on >*
  22. Further charges are pending.
  23.  
  24. ---
  25. ** many lines of mail routing crap have been deleted **
  26.  
  27. Date: Tue, 25 Feb 1992 11:47:32 PST
  28. >From: lipa@camis.stanford.edu (Bill Lipa)
  29. Subject: Alleged MBDF virus-creators arrested at Cornell
  30.  
  31. "Computer Virus Traced to Cornell Students"
  32.  
  33. by Jeff Carmona
  34.  
  35. [The Cornell Daily Sun, 25 February 1992]
  36.  
  37.   Two Cornell students were arrested yesterday for allegedly creating and
  38. launching *< launching ? Bon voyage, we launched you !>* a computer virus that
  39. crippled computers around the world, according to M. Stuart Lynn, the
  40. University's vice president for information technologies.
  41.   David Blumenthal '94 and Mark Pilgrim '94 were arrested by Department of
  42. Public Safety officers and arraigned in Ithaca City Court on one count of
  43. second-degree computer tampering, a misdemeanor, *< cool, its only a
  44. misdemeanor, how bad could it be ? >* Lynn said.
  45.   Both students were remanded to the Tompkins County Jail and remained in
  46. custody early this morning. They are being held on $2,000 cash or $10,000
  47. bail bond, officials said.
  48.   Cornell received national attention in Nov. 1988 when Robert T. Morris
  49. Jr., a former graduate student, was accused of unleashing a computer virus
  50. into thousands of government and university computers.
  51.   Morris, convicted under the 1986 Computer Fraud and Abuse Act, was fined
  52. $10,000, given a three-year probation and ordered to do 400 hours of community
  53. service by a federal judge in Syracuse, according to Linda Grace-Kobas,
  54. *< Whats a Koba?? >* director of the Cornell News Service.
  55.   Lynn would not compare the severity of the current case with Morris',
  56. saying that "each case is different."
  57.   Lynn said the virus, called "MBDFA" was put into three Macintosh games --
  58. Obnoxious Tetris, Tetriscycle and Ten Tile Puzzle.
  59.   On Feb. 14, the games were launched from Cornell to a public archive at
  60. Stanford University in Palo Alto, Calif, Lynn said.
  61. *< I guess these guys actually put it up on the archive under their own      >*
  62. *< accounts! Don't they know they can trace that stuff? duhhh...             >*
  63. From there, the virus spread to computers in Osaka, Japan and elsewhere around
  64. the world *< the archive was a dumb idea if thats how they got caught, but it
  65. spread like hell >* when users connected to computer networks via modems, he
  66. added. It is not known how many computers the virus has affected worldwide, he
  67. explained.
  68.   When computer users downloaded the infected games, the virus caused "a
  69. modification of system software," *< oooh...lets not get too technical >* Lynn
  70. said. "This resulted in unusual behavior and system crashes," he added.
  71.   Lynn said he was not aware of anyone at Cornell who reported finding the
  72. virus on their computers.
  73.   The virus was traced to Cornell last Friday, authorities were quickly
  74. notified and an investigation began, Lynn said.
  75.   "We absolutely deplore this kind of bahavior," Lynn said. "We will pursue
  76. this matter to the fullest."
  77.   Armed with search warrants, Public Safety investigators removed more than
  78. a dozen crates full of evidence from the students' residences in Baker and
  79. Founders halls on West Campus. *< sounds like a typical, over-kill bust to
  80. me.  If you don't know what it is, take it. >*
  81. Public Safety officials refused to disclose the contents of the crates or
  82. issue any comment about the incident when contacted repeatedly by phone last
  83. night.  *< thats because they don't know what the fuck the stuff is >*
  84.   "We believe this was dealt with very quickly and professionally," Lynn
  85. said.
  86.   The suspects are scheduled to appear in Ithaca City Court at 1 p.m. today
  87. and additional charges are pending, according to Grace-Kobas.
  88.   Because spreading a computer virus violates federal laws, "conceivably,
  89. the FBI could be involved," she added. Officials with the FBI could not be
  90. reached to confirm or deny this.
  91.   Blumenthal and Pilgrim, both 19-year-olds, were current student employees
  92. at Cornell Information Technologies (CIT), Lynn said. He would not say
  93. whether the students launched the virus from their residence hall rooms or
  94. From a CIT office.
  95.   Henrik N. Dullea '61, vice president for University relations, said he
  96. thinks "the act will immediately be associated with the University," not
  97. only with the individual students charged.
  98.   Because a major virus originated from a Cornell student in the past, this
  99. latest incident may again "bring a negative reaction to the entire
  100. institution," Dullea said. *< "blah, blah, blah" >*
  101.   "These are very selfish acts," Lynn said, referring to the intentional
  102. distribution of computer viruses, because innocent people are harmed.
  103.   Lynn said he was unaware of the students' motive for initiating the virus.
  104. Lynn said CIT put out a notice yesterday to inform computer users about the
  105. "very virulent" virus. A virus-protection program, such as the new version of
  106. Disinfectant, can usually cure computers, but it may be necessary to "rebuild
  107. the hard drive" *< egad! Not the dreaded "virus-that-makes-you-rebuild-your-
  108. hard-drive" !>* in some cases, he added.
  109.   A former roommate of Blumenthal said he was not surprised by news of the
  110. arrest. Computers were "more than a hobby" for Blumenthal, said Glen Fuller
  111. '95, his roommate from last semester. "He was in front of the computer all
  112. day," Fuller said.
  113.   Blumenthal, who had a modem, would "play around with viruses because they
  114. were a challenge to him," Fuller said. He said that, to his knowledge,
  115. Blumenthal had never released a virus before.
  116.  
  117. -->-<------ Cut Here --------------------------
  118.  
  119. ------------------------------
  120. VIRUS-L Digest   Friday, 28 Feb 1992    Volume 5 : Issue 46
  121. ------------------------------
  122.  
  123. Date:    Wed, 26 Feb 92 11:08:45 -0800
  124. >From:    karyn@cheetah.llnl.gov (Karyn Pichnarczyk)
  125. Subject: CIAC Bulletin C-17: MBDF A on Macintosh (Mac)
  126.  
  127.                            NO RESTRICTIONS
  128.         _____________________________________________________
  129.              The Computer Incident Advisory Capability
  130.                          ___  __ __    _     ___
  131.                         /       |     / \   /
  132.                         \___  __|__  /___\  \___
  133.         _____________________________________________________
  134.                            INFORMATION BULLETIN
  135.  
  136.                New Virus on Macintosh Computers: MBDF A
  137.  
  138. February 25, 1992, 1130 PST                                 Number C-17
  139.  
  140. ________________________________________________________________________
  141. NAME:     MBDF A virus
  142. PLATFORM: Macintosh computers-except MacPlus and SE (see below)
  143. DAMAGE:   May cause program crashes
  144. SYMPTOMS: Claris applications indicate they have been altered; some
  145.           shareware may not work, unexplained system crashes
  146. DETECTION &
  147. ERADICATION: Disinfectant 2.6,Gatekeeper 1.2.4, Virex 3.6,
  148.              VirusDetective 5.0.2, Rival 1.1.10, SAM 3.0
  149. ________________________________________________________________________
  150.                      Critical Facts about MBDF A
  151.  
  152. A new Macintosh virus, MBDF A, (named for the resource it exploits)
  153. has been discovered.  This virus does not appear to maliciously cause
  154. damage, but simply copies itself from one application to another.
  155. MBDF A was discovered at two archive sites in newly posted game
  156. applications, and has a high potential to be very widespread.
  157.  
  158. Infection Mechanism
  159.  
  160. This virus is an "implied loader" virus, and it works in a similar
  161. manner to other implied loader viruses such as CDEF and MDEF.  Once
  162. the virus is active, clean appliacation programs will become infected
  163. as soon as they are executed.  MBDF A infects only applications, and
  164. does not affect data files.  This virus replicates under both System 6
  165. and System 7.  While MBDF A may be present on ALL types of Macintosh
  166. systems, it will not spread if the infected system is a MacPlus or a
  167. Mac SE (although it does spread on an SE/30).
  168.  
  169. Potential Damage
  170.  
  171. The MBDF A virus has no malicious damaging characteristics, however,
  172. it may cause programs to inexplicably crash when an item is selected
  173. from the menu bar.  Some programs, such as the shareware
  174. "BeHierarchic" program, have been reported to not operate correctly
  175. when infected.  Applications written with self-checking code, such as
  176. those written by the Claris corporation, will inform the user that
  177. they have been altered.
  178.  
  179. When MBDF A infects the system file, it must re-write the entire
  180. system file back to disk; this process may take two or three minutes.
  181. If the user assumes the system has hung, and reboots the Macintosh
  182. while this is occuring, the entire system file will be corrupted and
  183. an entire reload of system software must then be performed.
  184.  
  185. This virus can be safely eradicated from most infected programs,
  186. although CIAC recommends that you restore all infected files from an
  187. uninfected backup.
  188.  
  189. Detection and Eradication
  190.  
  191. Because MBDF A has been recently discovered, only anti-viral packages
  192. updated since February 20, 1992 will locate and eradicate this virus.
  193. All the major Macintosh anti-viral product vendors are aware of this
  194. virus and have scheduled updates for their products.  These updates
  195. have all been available since February 24, 1992.  The updated versions
  196. of some products are Disinfectant 2.6, Gatekeeper 1.2.4, Virex 3.6,
  197. SAM 3.0, VirusDetective 5.0.2, and Rival 1.1.10.  Some Macintosh
  198. applications (such as the Claris software mentioned above) may contain
  199. self-verification procedures to ensure the program is valid before
  200. each execution; these programs will note unexpected alterations to
  201. their code and will inform the user.
  202.  
  203. MBDF A has been positively identified as present in two shareware
  204. games distributed by reliable archive sites: "Obnoxious Tetris" and
  205. "Ten Tile Puzzle".  The program "Tetricycle" (sometimes named
  206. "Tetris-rotating") is a Trojan Horse program which installs the virus.
  207. If you have downloaded these or any other software since February 14,
  208. 1992 (the day these programs were loaded to the archive sites), CIAC
  209. recommends that you acquire an updated version of an anti-viral
  210. product and scan your system for the existence of MBDF A.
  211.  
  212. For additional information or assistance, please contact CIAC:
  213.  
  214.         Karyn Pichnarczyk
  215.         (510) 422-1779 or (FTS) 532-1779
  216.         karyn@cheetah.llnl.gov
  217.  
  218. Call CIAC at (510)422-8193/(FTS)532-8193.
  219. Send e-mail to ciac@llnl.gov
  220.  
  221. PLEASE NOTE: Many users outside of the DOE and ESnet computing
  222. communities receive CIAC bulletins.  If you are not part of these
  223. communities, please contact your agency's response team to report
  224. incidents.  Some of the other teams include the NASA NSI response
  225. team, DARPA's CERT/CC, NAVCIRT, and the Air Force response team.  Your
  226. agency's team will coordinate with CIAC.
  227.  
  228. CIAC would like to thank Gene Spafford and John Norstad, who provided
  229. some of the information used in this bulletin.  This document was
  230. prepared as an account of work sponsored by an agency of the United
  231. States Government.  Neither the United States Government nor the
  232. University of California nor any of their employees, makes any
  233. warranty, express or implied, or assumes any legal liability or
  234. responsibility for the accuracy, completeness, or usefulness of any
  235. information, apparatus, product, or process disclosed, or represents
  236. that its use would not infringe privately owned rights.  Reference
  237. herein to any specific commercial products, process, or service by
  238. trade name, trademark, manufacturer, or otherwise, does not
  239. necessarily constitute or imply its endorsement, recommendation or
  240. favoring by the United States Government or the University of
  241. California.  The views and opinions of authors expressed herein do not
  242. necessarily state or reflect those of the United States Government or
  243. the University of California, and shall not be used for advertising or
  244. product endorsement purposes.
  245.  
  246. -->-<----- Cut Here -------------------------
  247.  
  248. ---
  249.  
  250. ------------------------------
  251. VIRUS-L Digest   Friday, 28 Feb 1992    Volume 5 : Issue 46
  252. ------------------------------
  253.  
  254. Date:    Wed, 26 Feb 92 15:32:02 -0500
  255. >From:    mha@baka.ithaca.ny.us (Mark Anbinder)
  256. Subject: Cornell MBDF Press Release (Mac)
  257.  
  258. _____________________________________________________
  259. PRESS RELEASE ISSUED BY CORNELL NEWS SERVICE 2/25/91
  260.  
  261. Students charged
  262. with releasing
  263. computer virus
  264.  
  265. By Linda Grace-Kobas
  266.  
  267. Following a university investigation that tracked a computer virus and
  268. its originators, two Cornell students were arrested and charged with
  269. computer tampering for allegedly launching a computer virus embedded in
  270. three games into national computer archives.  Arraigned Feb. 24 in
  271. Ithaca City Court were David S. Blumenthal, 19, a sophomore in the
  272. College of Engineering, and Mark Andrew Pilgrim, 19, a sophomore in the
  273. College of Arts and Sciences.  They were charged with computer tampering
  274. in the second degree, a Class A misdemeanor.  The pair is being held in
  275. Tompkins County Jail with bail set at $2,000 cash bond or $10,000
  276. property bond.  At a hearing Tuesday afternoon, Judge Sherman returned
  277. the two to jail with the same bond and recommended that they remain in
  278. jail until at least Friday pending the federal investigation.  A
  279. preliminary hearing is set for April 10.
  280.  
  281. Both students were employed by Cornell Information Technologies, which
  282. runs the university's computer facilities.  Pilgrim worked as a student
  283. operator in an Apple Macintosh facility from which the virus is believed
  284. to have been launched.  The university's Department of Public Safety is
  285. working with the Tompkins County district attorney's office, and
  286. additional charges are expected to be filed.  The Federal Bureau of
  287. Investigation has contacted the university to look at possible violations
  288. of federal laws, officials said.  The Ithaca Police Department is also
  289. assisting in the investigation.
  290.  
  291. "We absolutely abhor this type of behavior, which appears to violate the
  292. university's computer abuse policy as well as applicable state and
  293. federal law," commented M. Stuart Lynn, vice president for information
  294. technologies, who headed the investigation to track the originators of
  295. the virus.  "Cornell will pursue all applicable remedies under our own
  296. policies and will cooperate with law enforcement authorities."
  297.  
  298. Lynn said Cornell was alerted Feb. 21 that a Macintosh computer virus
  299. embedded in versions of three computer games, Obnoxious Tetris,
  300. Tetricycle and Ten Tile Puzzle, had possibly been launched through a
  301. Cornell computer.  A virus is normally embedded in a program and only
  302. propagates to other programs on the host system, he explained.
  303. Typically, when an infected application is run, the virus will attack the
  304. system software and then other applications will become infected as they
  305. are run.
  306.  
  307. The virus, MBDF-A, had been deposited on Feb. 14 directly and indirectly
  308. into several computer archives in the U.S. and abroad, including
  309. SUMEX-AIM at Stanford University and archives at the University of Texas,
  310. the University of Michigan and another in Osaka, Japan.  These archives
  311. store thousands of computer programs available to users of Internet, the
  312. worldwide computer network.
  313.  
  314. Macintosh users who downloaded the games to their computers were subject
  315. to a variety of problems, notably the modification of system software and
  316. application programs, resulting in unusual behavior and possible system
  317. crashes.  Apparently, there was no intent to destroy data, Lynn said, but
  318. data could be destroyed in system crashes.
  319.  
  320. Reports of the virus have been received from across the United States and
  321. around the world, including Wales, Britain, Lynn said, adding that he has
  322. no estimate for the number of individuals who might have obtained the
  323. games.
  324.  
  325. As soon as the virus was identified, individuals and groups across the
  326. country involved with tracking viruses sent messages across computer
  327. networks to alert users who might have been affected by the virus, Lynn
  328. added.  The virus has since been removed from all archives and
  329. "disinfectant" software available to the Internet community has been
  330. modified so that individual Macintosh users can purge their computers of
  331. it.
  332.  
  333. "Our sense is that the virus was controlled very rapidly," he said.  In
  334. 1988, Cornell received national attention when graduate student Robert T.
  335. Morris Jr. launched a computer virus into important government and
  336. university research networks.  That virus, actually considered a "worm"
  337. since it was self-perpetuating, caused major damage in high-level
  338. systems.  Morris was convicted under the 1986 Computer Fraud and Abuse
  339. Act and fined $10,000, given three years probation and ordered to do 400
  340. hours of community service by a federal judge in Syracuse, N.Y.
  341.  
  342. The new virus differs greatly from the Morris worm, Lynn said.  "This
  343. virus is not to be compared with the Morris worm, which independently
  344. moved from machine to machine across the network," he explained.  All
  345. Macintosh users should take appropriate measures to be certain their
  346. systems are not infected with the virus.
  347.  
  348. News Service science writer William Holder also contributed to
  349. this report.
  350.  
  351. ---
  352. Mark H. Anbinder                      607-257-2070 - FAX 607-257-2657
  353. BAKA Computers, Inc.                  QuickMail QM-QM 607-257-2614
  354. 200 Pleasant Grove Road               mha@baka.ithaca.ny.us
  355. Ithaca, NY 14850
  356.  
  357. -->-<----- Cut Here -------------------------
  358.