home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_047.txt

< prev

next >

Wrap

Internet Message Format  |  1996-09-04  |  21KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V4 #47
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Monday, 25 Mar 1991    Volume 4 : Issue 47
9.  
10. Today's Topics:
11.  
12. Re: Standardized virus signatures (PC)
13. Hardware failures & viruses (PC)
14. Update VCS virus warning
15. IBM VIRSCAN version (PC)
16. Virus naming
17. Mutation of Stoned (PC)
18. Mac Viruses vs. PC Viruses: Coding Comparison
19. STONED Problems (PC)
20. Re: Alternatives to floppy-booting
21. Bloody (PC)
22. FPROT vs SCAN (PC)
23. PKLITE and hidden virus (PC)
24. Source for F-DISINF (Stoned) (PC)
25. Re: PKLITE and hidden virus (PC)
26. Info on virus products wanted - PD and commercial
27. Has anyone heard of Central Point Anti-Virus? (PC)
28.  
29. VIRUS-L is a moderated, digested mail forum for discussing computer
30. virus issues; comp.virus is a non-digested Usenet counterpart.
31. Discussions are not limited to any one hardware/software platform -
32. diversity is welcomed.  Contributions should be relevant, concise,
33. polite, etc.  Please sign submissions with your real name.  Send
34. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
35. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
36. anti-virus, documentation, and back-issue archives is distributed
37. periodically on the list.  Administrative mail (comments, suggestions,
38. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
39.  
40.    Ken van Wyk
41.  
42. ---------------------------------------------------------------------------
43.  
44. Date:    Thu, 21 Mar 91 16:12:02 +0300
45. From:    eldar@lomi.spb.su (Eldar A. Musaev)
46. Subject: Re: Standardized virus signatures (PC)
47.  
48. The scanners have an unpleasant feature. If someone changes the
49. signature of the virus, it (virus) becames unfamiliar to scanner. So
50. the publication of signatures leads to the new versions with new
51. signatures etc.  Though it is a good question what is better, this
52. emergency or the self-restrictions in communications ...
53.  
54. Eldar A. Musaev            lomi.spb.su!eldar@fuug.fi
55. researcher, Ph.D., Mathem.Inst., Acad. of Sci., Leningrad
56.  
57. ------------------------------
58.  
59. Date:    Thu, 21 Mar 91 16:12:30 +0300
60. From:    eldar@lomi.spb.su (Eldar A. Musaev)
61. Subject: Hardware failures & viruses (PC)
62.  
63. Approx. a week ago I was invited to a computer to find a virus.
64. Accidental symbols were appearing on the screen every minute or two
65. ones. The original reason was NOT connected with any virus and lay in
66. the incompatability between time characteristics of video RAM and
67. processor plus(?) magnetic anomalies in the athmosphere.  I am very
68. often disturbed by users who takes hardware failures for a virus. And
69. some time a hardware problems managed someone to note the presense of
70. a virus. I think the similar situation was in the case noted by Adam
71. M. Gaffin last month.  What could we do to help users to distinct
72. viruses and failures ?  Except scanners, of course.
73.  
74. Eldar A. Musaev            lomi.spb.su!eldar@fuug.fi
75. researcher, Ph.D., Mathem.Inst., Acad. of Sci., Leningrad
76.  
77. ------------------------------
78.  
79. Date:    21 Mar 91 12:24:00 +0100
80. From:    Klaus Brunnstein <brunnstein@rz.informatik.uni-hamburg.dbp.de>
81. Subject: Update VCS virus warning
82.  
83. Original-From: jaenichen@rz.informatik.uni-hamburg.dbp.de (Matthias Jaenichen)
84.                "Virus-Test-Center University of Hamburg"
85.  
86. !!!!!!!!!!!!!!!!!!!!!! Update Update Update Update !!!!!!!!!!!!!!!!!!!!!!!!!
87. Virus: "VCS-1.0" (Virus Construction Set Virus 1.0)
88.  
89. As we resently found out, the virus uses a self encryption-method.
90. The string at 50h and the two filenames are encrypted.
91.  
92. The ***updated search pattern*** is:
93.     "E8 14 00 8a a4 2f 05 8d bc"
94.  
95. Plain text can not be found.
96.  
97. BtW: meanwhile, we received a copy from abroad where it was uploaded
98. from tbe BBS; moreover, several people have informed us, at Hannover
99. fair, about this incidebnt. We therefore assume that the virus may
100. spread further. More information (esp. Virus Catalog entry) will be
101. available after completion of reverse engineering; information will be
102. passed to Virus-L. Klaus Brunnstein
103.  
104. !!!!!!!!!!!!!!!!!!!!!!!! Update Update Update !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
105. - ----------------------------------------------------------------------------
106. Best wishes form Hamburg                             \\    // /==#==\  /==\
107. Matthias Jaenichen                                    \\  //     #    /
108. VTC-Hamburg                                            \\//      #    #
109. e-mail: jaenichen@rz.informatik.uni-hamburg.dbp.de      \/      _#_    \==/
110. - ----------------------------------------------------------------------------
111.  
112. ------------------------------
113.  
114. Date:    21 Mar 91 14:17:05 -0500
115. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
116. Subject: IBM VIRSCAN version (PC)
117.  
118. p1@arkham.wimsey.bc.ca (Rob Slade) writes:
119.  
120. >MICKLE@CSMCMVAX.BITNET (David K. Mickle) writes:
121. >
122. >> I got my copy through our PC vendor, Microage of Beverly Hills.  They
123. >> obtained it at my request from their IBM rep who downloaded it from an
124. >> IBM internal service.  The version number 1.51 is correct.
125. >
126. >My understanding is that, until March 8th, the correct "public" version
127. >of IBM's VIRSCAN product was 1.3, 1.51 being a corresponding "internal"
128. >product.  However, I believe version 2.00.01 is now available for both
129. >internal and public use.
130.  
131. Quite right.  David's vendor's IBM rep apparently downloaded the
132. internal version (at that time numbered 1.51) instead of the product
133. version (at that time numbered, on a different track, 1.3).  The
134. now-converged numbering should have (finally!)  fixed this sort of
135. thing!  So we should soon be able to stop taking up space on VIRUS-L
136. with it...  *8)
137.  
138. DC
139.  
140. ------------------------------
141.  
142. Date:    21 Mar 91 14:21:38 -0500
143. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
144. Subject: Virus naming
145.  
146. The trouble with hash codes, or dates, or anything else semi-automatic
147. is that, when there get to be enough of them, the names start to
148. become useless.  At IBM, we tried to use number-names whenever
149. possible early on, but the disadvantages became apparent after not too
150. long.  If there's a 453 and a 435 virus, for instance, it's Real Hard
151. to remember which is which!  The same would apply to a #AR657XXL and
152. #AR567LXL, or a PC Smith 910004 and PC Smith 910014.
153.  
154. Our current rather tentative approach is to use a
155. generally-non-numeric stem for each virus family, and then tack on a
156. number or similar object to pin down exactly which object we're
157. discussing.  So we talk about the "Flip-2343" and the "Flip-2153" (if
158. I've remembered the numbers right).  The first part helps the human
159. remember which virus in general this is, and the second part pins it
160. down.  If it is desirable to have a distinct number of some kind for
161. each virus (and it might well be at some point), I'd suggest having a
162. technically- redundant-but-in-fact-very-very-helpful-to-us-
163. finite-humans human name for each one (or at least each strain) as
164. well.
165.  
166. DC
167.  
168. ------------------------------
169.  
170. Date:    21 Mar 91 15:01:52 -0500
171. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
172. Subject: Mutation of Stoned (PC)
173.  
174. Pat Ralston <IPBR400@INDYCMS.BITNET> writes:
175.  
176. >We have found a mutation of the Stoned or Stoned II virus.  McAfee's
177. >VIRUSCAN version 74B reports Stoned, but ONLY on FLOPPY disks.
178. >Version 74B cannot find Stoned on the hard disk.  However, when using
179. >Norton Disk Editor we find the following message in the Partition
180. >Table" "Your PC is now Stoned!  LEGALISE".  Please note that Legalise
181. >is NOT spelled with a Z as in other versions and is in all uppercase
182. >letters.
183.  
184. Now I'm taking an unusual (for me) risk here, as I'm at home with the
185. tail end of a nasty cold, and can't verify it, but I'm Pretty Sure
186. that the standard normal everyday Stoned virus spells the word with an
187. "S" ("LEGALISE").  There are also many cases in which the word
188. "MARIJUANA" has been overwritten (probably, I am told, by hard disk
189. controllers that keep some data in an "unused" part of the master boot
190. record, and overwrite that word in the process).  So my guess would be
191. that you have the normal vanilla Stoned virus, and 74B just isn't
192. seeing it on the hard disk for some reason (have you tried 75 yet?).
193. DC
194.  
195. ------------------------------
196.  
197. Date:    21 Mar 91 15:08:10 -0500
198. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
199. Subject: Mac Viruses vs. PC Viruses: Coding Comparison
200.  
201. A few nits on Jonathan E. Oberg (ph461a04@vax1.umkc.edu)'s basically
202. sound posting:
203.  
204. > PC viruses primarily attack the partition tables and boot sectors of a
205. > disk.
206.  
207. I'm not sure what this "primarily" means.  There are in fact more
208. file-infectors than there are boot-infectors for PC-DOS.
209.  
210. >PC viruses trap interupts, perform their task and then (hopefully)
211. >call the original interrupt.  Thus pc viruses can only activiate on
212. >BIOS calls.
213.  
214. No.  The typical file-infecting virus traps INT 21 calls, which are
215. DOS, not BIOS, calls.  Boot-infectors do typically trap BIOS calls.
216. But of course a virus doesn't *have* to trap any calls at all; the
217. Vienna-648 virus, which was reasonably widespread at one time, was a
218. non-resident virus that didn't trap anything.
219.  
220. >4. A PC virus is typically only a few dozen bytes long.
221.  
222. The typical file infector is 1000 or so bytes long; a typical short
223. one is a few hundred bytes, a typical long one is a few thousand.
224. Boot infector lengths are similar.  I know of only one virus that's
225. really "a few dozen bytes" (45, I think it is), but it's very unusual.
226.  
227. DC
228.  
229. ------------------------------
230.  
231. Date:    Thu, 21 Mar 91 16:44:18 -0500
232. From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
233. Subject: STONED Problems (PC)
234.  
235.    Recently a number of people have mentioned STONED infections
236. trashing hard disks & think that the following is why.
237.  
238.   Today, nearly every partitioning software aligns the partitions on
239. even track boundarys for simplicity. Since the Partition Table resides
240. on track (cyl) 0 head 0 sector 1, the balance of this track is usually
241. left alone and the first partion starts on the next track. However,
242. this is just convension and not a requirement. In fact FDISK 1.00
243. which came with DOS 2.x began the first partition on track 0 head 0
244. sector 2 and has no "hidden" sectors.
245.  
246.    Since DOS version 3.0 came out in 1984, the later convension has
247. been followed and Norton's DI usually reports 17 "hidden" sectors (all
248. of track 0 head 0).
249.  
250.    STONED does not bother to check and just copies the original
251. partition table code to track 0 head 0 sector 7. No problem if this is
252. a "hidden" sector but disastrous (to DOS) if not. THIS IS REPAIRABLE.
253.  
254.    DOS keep two copies of the FAT (which STONED just overwrote) and
255. several utilities exist (Norton Disk Doctor is one) that will copy #2
256. onto #1 if some utility (like CHKDSK/F) hasn't corrupted the second
257. copy. It can also be fixed manually by someone with a bit of
258. experience.
259.  
260.    Consequently, I suspect that those experiencing FAT-type problems
261. had the misfortune to have a drive that was partitioned using "old"
262. software and then became infected with STONED.
263.  
264.                             Padgett
265.  
266. ------------------------------
267.  
268. Date:    Fri, 22 Mar 91 16:28:00 +0700
269. From:    "Jeroen W. Pluimers" <FTHSMULD%rulgl.LeidenUniv.nl@CUNYVM.CUNY.EDU>
270. Subject: Re: Alternatives to floppy-booting
271.  
272. In VIRUS-L volume 4, issue 46, Rob Mason says:
273.  
274. > Our MINIX-OS class is presently using floppies to boot the system
275. > (v1.2) on AT-clones. We would like to eliminate all booting from
276. > floppies by recabling the drives. This is needed to prevent the spread
277. > of the stoned virus on the C: partition (Minix is on the D:
278. > partition).
279. >
280. > I see at least two solution strategies: either start up MINIX as a
281. > process under DOS (as NYU Ultra does), or have MINIX booting directly
282. > off the D: partition. The second method requires us to put MINIX boot
283. > sectors on the D: partition and provide some "user transparent"
284. > switch-active-partition software that is accessible from either
285. > partition. Perhaps a .logoff file on the MINIX side could access the
286. > switch program directly, since we run DOS most of the time.
287.  
288. You could get the <MSDOS.SYSUTIL>ANYBOOT.ZIP file from SIMTEL20.  It
289. modyfies the master-boot record on your PC so that it can boot from
290. multiple paritions. I did not yet try the program, but from the
291. sources and the documentation, it seems it would work OK.
292.  
293. On boot, it allows you to choose (by means of functions keys) to
294. choose which parition will boot.
295.  
296. Another way would be to remove the cabling from the floppies or tell
297. the CMOS RAM (if you have an AT or higher, but I suppose thats
298. required for minix) that no floppie drives exist.
299.  
300. <MSDOS.DSKUTL>FDFRM16A.ZIP contains a program that allows un-bootable
301. diskettes to boot directly from the hard-disk. Maybe that also works
302. for you.
303.  
304. Hope this helps,
305.  
306. Jeroen W. Pluimers - Gorlaeus Laboratories, Leiden University
307.  
308. ------------------------------
309.  
310. Date:    Fri, 22 Mar 91 17:20:18 +0700
311. From:    swimmer@rzsun3.informatik.uni-hamburg.de (Morton Swimmer)
312. Subject: Bloody (PC)
313.  
314. The "Bloody" virus has just hit Germany. (The virus was described
315. before.)  It was reported to us at our information stand at the CeBit
316. 1991 by a firm from Darmstadt.
317.     It is fairly stupid, or so it seems, as it doesn't even
318. maintain a minimal boot record. It therefore creates all sorts of
319. wierd mistakes and causes floppy disks to become unusable.
320.  
321. Cheers, Morton
322.  
323. ------------------------------
324.  
325. Date:    Fri, 22 Mar 91 11:46:24 -0600
326. From:    Mark Parr <JPARR1@UA1VM.ua.edu>
327. Subject: FPROT vs SCAN (PC)
328.  
329. >I am looking for some info regarding FPROT114 vs. SCANV75.  What are
330. >the advantages disadvantages of each. I would also like some info on
331. >FPROT114 vs. NETSCAN75. Please respond directly to me. Thanks in
332. >advance.
333.  
334. >Jeff
335. >usgjej@gsuvm1
336. >usgjej@gsuvm1.gsu.edu
337.  
338. I've just started using FPROT in order to determine what I want to
339. use as virus-protection:  Scan/McAfee products or FPROT.
340.  
341. I've not used FPROT enough to give you an "experienced" comparison,
342. but there is one major plus in FPROT's favor: F-DRIVER.SYS
343.  
344. I like the "security" that both VSHIELD and F-DRIVER provide against
345. know viruses.  However, VSHIELD slows the system down (at least mine --
346. an XT clone) a considerable amount.  I'm tempted to CTRL-BREAK out of
347. it before gets loaded.  Since F-DRIVER is loaded in CONFIG.SYS, I can't
348. do that now. :)   Furthermore, programs seem to load faster using
349. F-DRIVER.  (The problem with VSHIELD's speed probably was related to
350. me using the /SWAP switch.)
351.  
352. Still, both are quality products.....
353.  
354. - ----------
355. "Women:  Can't live with 'em.  Can't shoot 'em."
356.                                Steven Wright
357. - ----------
358.  
359.                |-- JPARR1@UA1VM.BITNET  --  JPARR@MIBSRV.MIB.ENG.UA.EDU
360.    Mark Parr --|-- University of Alabama in Tuscaloosa
361.                |-- (Understanding computers begins with Time-Life books.)
362.  
363. ------------------------------
364.  
365. Date:    Fri, 22 Mar 91 17:22:06 -0800
366. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
367. Subject: PKLITE and hidden virus (PC)
368.  
369. JPINSON@uga.cc.uga.edu (Jim Pinson) writes:
370.  
371. > Lately I have been using PKLITE to compress executables, and wonder if
372. > any Virus scanners are capable of looking within the compressed files.
373.  
374. None of the products I have received so far will "scan" into files 
375. compressed with other than LZEXE.  I have seen some "front end" utilities 
376. which will "use" SCAN and PKUNZIP (if you have them in your "path") to 
377. scan .ZIP files.
378.  
379.  
380. =============
381. Vancouver          p1@arkham.wimsey.bc.ca   | You realize, of
382. Institute for      Robert_Slade@mtsg.sfu.ca | course, that these
383. Research into      (SUZY) INtegrity         | new facts do not 
384. User               Canada V7K 2G6           | coincide with my
385. Security                                    | preconceived ideas
386.  
387. ------------------------------
388.  
389. Date:    Fri, 22 Mar 91 18:04:29 -0800
390. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
391. Subject: Source for F-DISINF (Stoned) (PC)
392.  
393. ESIEWICK@pbs.org writes:
394.  
395. > Does anyone know of a source for "F-DISINF" or other antiviral program
396. > for use against the STONED virus?  The virus has apparently gotten
397. > into my Partition Table.
398.  
399. F-DISINF is part of the FPROT package.  The author, Fridrik Skulason, is 
400. available at "frisk@rhi.hi.is".  The file FPROT114.ZIP is available on 
401. SIMTEL, cert and other servers, and should be getting better distribution 
402. now on local BBSes.
403.  
404.  
405. =============
406. Vancouver          p1@arkham.wimsey.bc.ca   | You realize, of
407. Institute for      Robert_Slade@mtsg.sfu.ca | course, that these
408. Research into      (SUZY) INtegrity         | new facts do not 
409. User               Canada V7K 2G6           | coincide with my
410. Security                                    | preconceived ideas
411.  
412. ------------------------------
413.  
414. Date:    Fri, 22 Mar 91 17:56:35 -0800
415. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
416. Subject: Re: PKLITE and hidden virus (PC)
417.  
418. mrs@netcom.COM (Morgan Schweers) writes:
419.  
420. >     As a general policy, do you think that it would be better to warn
421. > users that a file is PKLITE'ed and unscanable or to simply ignore it?
422. > Another problem is that PKWare is planning on coming out with a
423. > 'professional' version of the program which includes an encryption
424. > portion that can not be -X'ed.
425.  
426. In INtegrity, I have been asked many times to make all files 
427. "self-extracting".  I have consistently refused on the grounds that 
428. self-extracting files are an undesirable and unnecessary security risk.
429.  
430.  
431. =============
432. Vancouver          p1@arkham.wimsey.bc.ca   | You realize, of
433. Institute for      Robert_Slade@mtsg.sfu.ca | course, that these
434. Research into      (SUZY) INtegrity         | new facts do not 
435. User               Canada V7K 2G6           | coincide with my
436. Security                                    | preconceived ideas
437.  
438. ------------------------------
439.  
440. Date:    Fri, 22 Mar 91 17:33:08 -0800
441. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
442. Subject: Info on virus products wanted - PD and commercial
443.  
444. wcs@erebus.att.com (William Clare Stewart) writes:
445.  
446. > ( The commercial products I've seen require licensing, which I doubt
447. > the school would spring for, and I'd rather not see them ripping off
448. > code which is presumably what got them in this trouble.  Do any of the
449. > commercial products allow schools to use them free?)
450.  
451. I have received one "freeware" (copyright, but no charge for use) package 
452. from Holland, Thunderbyte Scan.  It has three components, a scanner 
453. (TBSCAN), a TSR scanner (TBSCANX) and a disk boot recovery utility 
454. (TBRESC).  Thus, although it does not have a "disinfect" function, it 
455. will indentify files infected with viri so that they can be replaced with 
456. originals, and it will allow floppy boot sectors to be replaced.
457.  
458. I have also seen a program distributed as VC3-2.ZIP, which contains 
459. version 3.2 of a program called "Victor Charlie", of which version 4.0 
460. will apparently be commercial.  This appears to be "change detection" 
461. software.
462.  
463. Aside from that, I recommend FPROT as the cheapest and best "value for 
464. cost" of all the antiviral products yet reviewed.  frisks "licenses" for 
465. educational use are $1 per computer per year as of version 1.14.
466.  
467.  
468. =============
469. Vancouver          p1@arkham.wimsey.bc.ca   | You realize, of
470. Institute for      Robert_Slade@mtsg.sfu.ca | course, that these
471. Research into      (SUZY) INtegrity         | new facts do not 
472. User               Canada V7K 2G6           | coincide with my
473. Security                                    | preconceived ideas
474.  
475. ------------------------------
476.  
477. Date:    Fri, 22 Mar 91 17:17:18 -0800
478. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
479. Subject: Has anyone heard of Central Point Anti-Virus? (PC)
480.  
481. KARYN@NSSDCA.GSFC.NASA.GOV writes:
482.  
483. > Has anyone ever heard of a PC product called ANTI-VIRUS put out by
484. > Central Point Software of Beaverton, Oregon?  I just got a glossy ad
485. > 
486. > I checked thru some past Virus-L digests, and found two reviews of
487. > products called Antivirus: one in digest V4-23 for a product by
488. > Techmar Computer Products and one in digest V4-42 for a product by
489.  
490. "Antivirus" is an understandably common name for antiviral products.  
491. (Another is "Vaccine".)  Neither of the reviews that you have mentioned 
492. is of the Central Point product, nor is the review of Norton Antivirus 
493. which is somewhere in the pipeline.
494.  
495. The Central Point program is very new, and I have not yet received a 
496. copy, although I have written to the company.
497.  
498. Ken should have eight reviews (of mine, anyway) on file at cert by now.
499.  
500.  
501. =============
502. Vancouver          p1@arkham.wimsey.bc.ca   | You realize, of
503. Institute for      Robert_Slade@mtsg.sfu.ca | course, that these
504. Research into      (SUZY) INtegrity         | new facts do not 
505. User               Canada V7K 2G6           | coincide with my
506. Security                                    | preconceived ideas
507.  
508. ------------------------------
509.  
510. End of VIRUS-L Digest [Volume 4 Issue 47]
511. *****************************************
512.