home *** CD-ROM | disk | FTP | other *** search
/ Libris Britannia 4 / science library(b).zip / science library(b) / SECURITY / VIRUS / 0888.ZIP / VIRUSINF.TXT < prev    next >
Text File  |  1988-02-10  |  12KB  |  229 lines

  1. v by ames-io.ARPA with INTERNET ;
  2.           Tue, 9 Feb 88 16:33:19 PST
  3. Received: Tue, 9 Feb 88 16:22:52 PST by ames.arc.nasa.gov (5.58/1.2)
  4. Date: Tue, 9 Feb 88 16:22:52 PST
  5. From: Valentin R. Perez <perez@ames.arc.nasa.gov>
  6. Message-Id: <8802100022.AA05128@ames.arc.nasa.gov>
  7. To: alzulman%sat.decnet@ames-io.arpa, douglas%sat.decnet@ames-io.arpa,
  8.         mhansen%sat.decnet@ames-io.arpa, wiedman%ear.decnet@ames-io.arpa,
  9.         wilkinson%sat.decnet@ames-io.arpa
  10. Subject: Virus Update From ARPANET Digest!
  11.  
  12. TO:   Consultants
  13.  
  14. FROM: Valentin R. Perez
  15.  
  16. RE:   Virus Update From ARPANET!
  17.  
  18. DATE: February 9, 1988
  19.  
  20.  
  21. Subject: Another PC Virus
  22.  
  23.    Issue 74 of the Info-IBMPC digest contained a description of a "virus"
  24. discovered at Lehigh University which destroys the contents of disks after
  25. propagating itself to other disks four times.  Some of us here in Israel,
  26. never far behind other countries in new achievements (good or bad), are
  27. suffering from what appears to be a local strain of the virus.  Since it
  28. may have spread to other countries (or, for all we know, may have been im-
  29. ported from abroad), I thought it would be a good idea to spread the word
  30. around.
  31.  
  32.    Our version, instead of inhabiting only COMMAND.COM, can infect any ex-
  33. ecutable file.  It works in two stages:  When you execute an infected EXE
  34. or COM file the first time after booting, the virus captures interrupt 21h
  35. and inserts its own code.  After this has been done, whenever any EXE file
  36. is executed, the virus code is written to the end of that file, increasing
  37. its size by 1808 bytes.  COM files are also affected, but the 1808 bytes
  38. are written to the beginning of the file, another 5 bytes (the string
  39. "MsDos") are written to the end, and this extension occurs only once.
  40.  
  41.    The disease manifests itself in at least three ways: (1) Because of this
  42. continual increase in the size of EXE files, such programs eventually be-
  43. come too large to be loaded into memory or there is insufficient room on
  44. the disk for further extension.  (2) After a certain interval of time
  45. (apparently 30 minutes after infection of memory), delays are inserted so
  46. that execution of programs slows down considerably.  (The speed seems to be
  47. reduced by a factor of 5 on ordinary PCs, but by a smaller factor on faster
  48. models.)  (3) After memory has been infected on a Friday the 13th (the next
  49. such date being May 13, 1988), any COM or EXE file which is executed on
  50. that date gets deleted.  Moreover, it may be that other files are also af-
  51. fected on that date; I'm still checking this out.
  52.  
  53. (If this is correct, then use of Norton's UnErase or some similar utility
  54. to restore files which are erased on that date will not be sufficient.)
  55.  
  56.    Note that this virus infects even read-only files, that it does not
  57. change the date and time of the files which it infects, and that while the
  58. virus cannot infect a write-protected diskette, you get no clue that an at-
  59. tempt has been made by a "Write protect error" message since the pos-
  60. sibility of writing is checked before an actual attempt to write is made.
  61.  
  62.    It is possible that the whole thing might not have been discovered in
  63. time were it not for the fact that when the virus code is present, an EXE
  64. file is increased in size *every* time it is executed.  This enlargement of
  65. EXE files on each execution is apparently a bug; probably the intention was
  66. that it should grow only once, as with COM files, and it is fortunate that
  67. the continual growth of the EXE files enabled us to discover the virus much
  68. sooner than otherwise.
  69.  
  70.    From the above it follows that you can fairly easily detect whether your
  71. files have become infected.  Simply choose one of your EXE files
  72. (preferably your most frequently executed one), note its length, and ex-
  73. ecute it twice.  If it does not grow, it is not infected by this virus.
  74. If it does, the present file is infected, and so, probably, are some of
  75. your other files.  (Another way of detecting this virus is to look for the
  76. string "sUMsDos" in bytes 4-10 of COM files or about 1800 bytes before the
  77. end of EXE files; however, this method is less reliable since the string
  78. can be altered without attenuating the virus.)
  79.  
  80.    If any of you have heard of this virus in your area, please let me know;
  81. perhaps it is an import after all.  (Please specify dates; ours was noticed
  82. on Dec. 24 but presumably first infected our disks much earlier.)
  83.  
  84.    Fortunately, both an "antidote" and a "vaccine" have been developed for
  85. this virus.  The first program cures already infected files by removing the
  86. virus code, while the second (a RAM-resident program) prevents future in-
  87. fection of memory and displays a message when there is any attempt to in-
  88. fect it.  One such pair of programs was written primarily by Yuval Rakavy,
  89. a student in our Computer Science Dept.
  90.  
  91.    In their present form these two programs are specific to this particular
  92. virus; they will not help with any other, and of course, the author of the
  93. present virus may develop a mutant against which these two programs will be
  94. ineffective.  On the other hand, it is to the credit of our people that
  95. they were able to come up with the above two programs within a relatively
  96. short time.
  97.  
  98.    My original intention was to put this software on some server so that it
  99. could be available to all free of charge.  However, the powers that be have
  100. decreed that it may not be distributed outside our university except under
  101. special circumstances, for example that an epidemic of this virus actually
  102. exists at the requesting site and that a formal request is sent to our head
  103. of computer security by the management of the institution.
  104.  
  105.    Incidentally, long before the appearance of this virus, I had been using
  106. a software equivalent of a write-protect tab, i.e. a program to prevent
  107. writing onto a hard disk, especially when testing new software.  It is
  108. called PROTECT, was written by Tom Kihlken, and appeared in the Jan. 13,
  109. 1987 issue of PC Magazine; a slightly amended version was submitted to the
  110. Info-IBMPC library.  Though I originally had my doubts, it turned out that
  111. it is effective against this virus, although it wouldn't be too hard to
  112. develop a virus or Trojan horse for which this would not be true.  (By the
  113. way, I notice in Issue 3 of the digest, which I received only this morning,
  114. that the version of PROTECT.ASM in the Info-IBMPC library has been replaced
  115. by another version submitted by R. Kleinrensing.  However, in one respect
  116. the new version seems to be inferior: one should *not* write-protect all
  117. drives above C: because that might prevent you from writing to a RAMdisk or
  118. an auxiliary diskette drive.)
  119.  
  120.    Of course, this is only the beginning.  We can expect to see many new
  121. viruses both here and abroad.  In fact, two others have already been dis-
  122. covered here.  In both cases the target date is April 1.  One affects only
  123. COM files, while the other affects only EXE files.  What they do on that
  124. date is to display a "Ha ha" message and lock up, forcing you to cold boot.
  125. Moreover (at least in the EXE version), there is also a lockup one hour
  126. after infection of memory on any day on which you use the default date of
  127. 1-1-80.  (These viruses may actually be older than the above-described
  128. virus, but simply weren't noticed earlier since they extend files only
  129. once.)
  130.  
  131.    The author of the above-mentioned anti-viral software has now extended
  132. his programs to combat these two viruses as well.  At present, he is con-
  133. centrating his efforts on developing broad-spectrum programs, i.e. programs
  134. capable of detecting a wide variety of viruses.
  135.  
  136.    Just now (this will give you an idea of the speed at which developments
  137. are proceeding here) I received notice of the existence of an anti-viral
  138. program written by someone else, which "checks executable files and reports
  139. whether they include code which performs absolute writes to disk, disk for-
  140. matting, writes to disk without updating the FAT, etc."  (I haven't yet
  141. received the program itself.)
  142.  
  143.                                        Y. Radai
  144.                                        Computation Center
  145.                                        Hebrew University of Jerusalem
  146.                                        RADAI1@HBUNOS.BITNET
  147.  
  148. ------------------------------
  149.  
  150. Subject: Virus (Trojan) protection program now available from SIMTEL20
  151.  
  152. Now available via standard anonymous FTP from SIMTEL20...
  153.  
  154. Filename            Type  Bytes     CRC
  155.  
  156. Directory PD1:<MSDOS.DSKUTL>
  157. FLUSHOT2.ARC.1           BINARY      5539  AFA8H
  158.  
  159. Here are some comments from the author, Ross Greenberg:
  160.  
  161. There exists a low-level form of dirt who gets joy out of destroying
  162. your work.  They release a program, typically called a 'Trojan Horse',
  163. which is designed to erase or otherwise damage your disks.
  164.  
  165. The programs are released into the public domain and typically are
  166. downloaded or distributed exactly as you may have received this file.
  167. Once run, they would print some sort of self-congratulatory message
  168. and proceed to erase your data.  Obviously, these type of programs are
  169. Not A Good Thing, and should be avoided.  However, usually you'll only
  170. know you've been bit by a trojan after the fact.
  171.  
  172. Recently, a new breed has been developed.  Called a 'virus', it
  173. infects all disks that it sees with a copy of itself, and then each of
  174. these copies are capable of infecting all disks that *they* see.
  175.  
  176. Eventually, at some predetermined instance (a date, a time, a certain
  177. number of copy operations), the virus attacks and destroys whatever
  178. disks it can.  By this time, though, the virus has spread, and a
  179. friends' machine may also be infected, infecting the disks of their
  180. friends and so forth.
  181.  
  182. It was to counter just such a program that the enclosed program,
  183. called FLU_SHOT, was developed.  The current virus making the rounds
  184. infects the command processing program called "COMMAND.COM".  Every
  185. bootable DOS disk must have a copy of this file.  FLU_SHOT examines
  186. each write and will not allow a write operation to the COMMAND.COM
  187. file to take place without your permission.  Normally, there should
  188. never be a write operation to this file, so it should be effective in
  189. that regard.
  190.  
  191. To run FLU_SHOT, place a copy of it in your root directory on the disk
  192. you boot your system from.  Additionally, a line to invoke FLU_SHOT
  193. should be placed in your AUTOEXEC.BAT file.
  194.  
  195. If you find the virus attacking your disk, please try to preserve a
  196. copy of it and to forward it to me at my BBS at (212)-889-6438.  Once
  197. I have a copy of the virus, I should be able to develop another
  198. program which would serve as a vaccine.
  199.  
  200. Please be aware that there is a possibility that, if FLU_SHOT
  201. determines a write operation taking place to your COMMAND.COM, it
  202. *may* be a legitimate one ---- check the currently running program.
  203. FLU_SHOT may indicate that a TSR program you're running seems to be
  204. causing a problem.  If this happens to you, and you're sure the TSR
  205. you're running is a valid one, then merely place the FLU_SHOT
  206. invokation line in your AUTOEXEC *after* the TSR invokation line.
  207.  
  208. Additionally, FLU_SHOT can not determine whether your current
  209. COMMAND.COM is infected, only if a COMMAND.COM is about to be
  210. infected.
  211.  
  212. The odds of you being hit with this virus are slim, but running
  213. FLU_SHOT should keep this particular incarnation of the virus from
  214. infecting your disks.
  215.  
  216. Ross M. Greenberg
  217. (212)-889-6438 24hr BBS, 2400/1200,N,8,1
  218.  
  219. -----
  220. Note from Keith:  This program is legitimate.  Ross is a personal
  221. friend whose programming skills I highly respect.
  222.  
  223. --Keith Petersen
  224. Arpa: W8SDZ@SIMTEL20.ARPA
  225. Uucp: {decwrl,harvard,lll-crg,ucbvax,uunet,uw-beaver}!simtel20.arpa!w8sdz
  226. GEnie: W8SDZ
  227.  
  228. ------------------------------
  229.