home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / virus / mys00492.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  296.5 KB  |  6,226 lines

  1. =========================================================================
  2. Date:         Mon, 2 May 88 08:05:15 EDT
  3. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5. Comments:     Resent-From: "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  6. Comments:     Originally-From: WHMurray@DOCKMASTER.ARPA
  7. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  8. Subject:      Viruses: another perspective
  9.  
  10.  
  11. Here's a VIRUS-L submission that was forwarded to me:
  12.  
  13. Ken
  14.  
  15.  
  16.  
  17. ------------------------------------------------------------------------
  18. = Kenneth R. van Wyk                   = If found wandering aimlessly, =
  19. = User Services Senior Consultant      =   please feed and return...   =
  20. = Lehigh University Computing Center   =-------------------------------=
  21. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =         This just in:         =
  22. = BITNET:   <LUKEN@LEHIIBM1>           =  Humptey Dumptey was pushed!  =
  23. ------------------------------------------------------------------------
  24. ----------------------------Original message----------------------------
  25.  
  26.  
  27.  
  28. One should not  be surprised  that the discussion of viruses
  29. by computer users should focus on how  to protect their  own
  30. systems.  However,  as I read RISKS I become concerned  that
  31. is how the problem is perceived.
  32.  
  33. A  virus  is a special  case.  It is  a social  disease.  It
  34. attacks  not  only  a  target system, but  a  population  of
  35. systems, and  social order all at the same time.  I  am sure
  36. that  if you have  imported  one into your  system and if it
  37. does something destructive, you will see primarily in  terms
  38. of the destruction that it  does.  However,  similar  damage
  39. could have been done by any Trojan Horse or even by your own
  40. error.
  41.  
  42. The problem with the virus is not in the damage that it does
  43. to  one  system, but with  the damage  that  it  does  to  a
  44. population and to the fabric of  trust that is essential  to
  45. the sharing of  programs and  other data  and to commerce in
  46. general.
  47.  
  48. Suppose that viruses become so pervasive that even those who
  49. have never seen  one  become afraid to use any program  that
  50. they did not write themselves.  Suppose that  because of the
  51. publicity received by viruses, the  public  at large were to
  52. loose  confidence in all computers, in  the information they
  53. generate, and in information in general.
  54.  
  55. If  you think  that that is far-fetched,  then I ask  you to
  56. think  back  to  the   panic   that   followed  the  Tylenol
  57. contamination.  In  a society in which 1500 hundred people a
  58. year die early because of the use of asbestos, another 15000
  59. from the use of fossil fuels,  40,000  from  the use  of the
  60. automobile and 200,000 from the use of tobacco, the level of
  61. concern was out of any realistic proportion to the number of
  62. deaths.  But  it was not out of proportion to the  effect of
  63. the loss of confidence in the medicine supply or even of the
  64. food supply.  I  suggest that it was the unconscious concern
  65. for the effects  of the potential  loss of  confidence  that
  66. caused the panic.
  67.  
  68. The  perpetrators of  the virus  know very well  how it will
  69. behave in the target  system, but they  have no idea how  it
  70. will behave in the population.  The XMASCARD program did not
  71. do any  damage in  the  user's machine,  but  it  brought  a
  72. multi-million dollar network  to its knees.  The  scope  and
  73. sensitivity  of  that  network  was   not  only  beyond  the
  74. perpetrator's    knowledge,   but    it   was   beyond   his
  75. comprehension.
  76.  
  77. The  perpetrators of  these  toys  are,  like  the sorcerors
  78. apprentice,  playing with powers far  beyond their knowledge
  79. or control.  The  potential for  damage  is far beyond their
  80. puny powers to predict, skills, motives,  or  their  intent.
  81. They  are  toying  with  the mechanisms of  cooperation  and
  82. coordination  that characterize humanity.   They  are  to be
  83. pitied  for  their  ignorance,   but  they  are  not  to  be
  84. tolerated, much  less admired  or emulated.  A  society that
  85. depends for its own proper  functioning  upon any mechanism,
  86. dare  not  tolerate  any   interference  with  the  intended
  87. operation of that mechanism.
  88.  
  89. Bill Murray
  90. WHMurray at DOCKMASTER
  91. =========================================================================
  92. Date:         Mon, 2 May 88 08:05:47 EDT
  93. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  94. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  95. Comments:     Resent-From: "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  96. Comments:     Originally-From: WHMurray@DOCKMASTER.ARPA
  97. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  98. Subject:      "Write-protection" for hard disks
  99.  
  100.  
  101. And another forwarded submission:
  102.  
  103. Ken
  104.  
  105.  
  106.  
  107. ------------------------------------------------------------------------
  108. = Kenneth R. van Wyk                   = If found wandering aimlessly, =
  109. = User Services Senior Consultant      =   please feed and return...   =
  110. = Lehigh University Computing Center   =-------------------------------=
  111. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =         This just in:         =
  112. = BITNET:   <LUKEN@LEHIIBM1>           =  Humptey Dumptey was pushed!  =
  113. ------------------------------------------------------------------------
  114. ----------------------------Original message----------------------------
  115.  
  116.  
  117. On  April  22,  1988 I  received two  back  issues of  a
  118. newsletter  entitled  "Computer  Virology" along
  119. with a product description for the Disk Defender (tm).
  120.  
  121. "Computer  Virology  is published in  Evanston, Illinois  by
  122. Director  Technologies, Inc.  Director Technologies  is  the
  123. manufacturer  of  DISK  DEFENDER,   a  product  which  write
  124. protects in hardware all or part of a personal computer hard
  125. disk.  It is our belief that hardware  write  protection  is
  126. the  only 100% reliable  virus  protection for the operating
  127. system and commonly used programs."
  128.  
  129. If you have any comments, questions, suggestions  or article
  130. submissions, please address them to:"
  131. Director Technologies, Inc.
  132. Technology Innovation Center
  133. 906 University Place
  134. Evanston, IL 60201
  135. 312-491-2334
  136.  
  137. [Quoted without permission from the masthead of the newsletter.  I am in no
  138. way associated with this firm.  This is not a recommendation or endorsement of
  139. their product.]
  140.  
  141. The product appears to be a  half-card that installs between
  142. the  drive and the hard disk drive  controller card.  It can
  143. make   a   portion   of   the   or   all   the   hard   disk
  144. "write-protected."  It  has  an outboard  component  with  a
  145. 3-position  switch  which  permits  you  to  select  between
  146. "full|zone|none."  The outboard switch  can  be  removed  in
  147. order  to  remove  the discretion from  the user.  In  other
  148. words,  it is a hardware  write-protect tab for a hard drive
  149. zone.  The size  of the zone appears to be chosen by setting
  150. dip-switches on the card itself.
  151.  
  152. To suggest that it  is 100% effective against a  virus is to
  153. overstate.  Studies in biology  suggest  that  a  virus  can
  154. thrive even in a population in which  a  large percentage of
  155. the members  are immune,  if a there  is sufficient commerce
  156. among  the  non-immune  members.  This  is  not an  argument
  157. against vaccines but  only a  caution  about  the  limits of
  158. their effectiveness.
  159.  
  160. Depending upon  design of  the virus,  the target system and
  161. population,   and  the  chosen  distribution   vector,   the
  162. effectiveness  of this mechanism  against  the spread of the
  163. virus might vary from high to none at all.
  164.  
  165. Good  hygiene is  the general  defense  against viruses, but
  166. there  are limits to  how effective it can be.  Nonetheless,
  167. the individual can and should  protect  himself within those
  168. limits.
  169.  
  170.  
  171.  
  172.  
  173.  
  174.  
  175.  
  176.  
  177.  
  178. Page     1
  179.  
  180. =========================================================================
  181. Date:         Mon, 2 May 88 09:32:17 EDT
  182. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  183. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  184. From:         Jim Eshleman <LUJCE@LEHIIBM1>
  185.  
  186.  
  187. >Date:       Tue, 26 Apr 88 09:39:51 CDT
  188. >From:       Frank Peters <PETERS@MSSTATE>
  189. >Subject:    MacIntosh Virus Information Request
  190. >To:         <VIRUS-L@LEHIIBM1>
  191.  
  192. Hello,
  193.  
  194.      We are interested in obtaining information about virus programs
  195. (both causes and cures) on the Apple MacIntosh.  There seems to be
  196. information available on IBM PC problems but very information about
  197. the Mac.  Is this because there are fewer virus programs for the Mac
  198. or because of smaller interest in the mac?
  199.  
  200. Thanks
  201. Frank Peters
  202. Mississippi State Computer Center
  203.  
  204. Jim Eshleman
  205. Lehigh University Computing Center
  206. =========================================================================
  207. Date:         Mon, 2 May 88 09:34:43 EDT
  208. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  209. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  210. From:         Jim Eshleman <LUJCE@LEHIIBM1>
  211.  
  212.  
  213. >From:         "John D. Abolins" <OJA@NCCIBM1>
  214. >To:           Virus Discussion List <VIRUS-L%LEHIIBM1.BITNET@CUNYVM.CUNY
  215. >Subject:      LaSalle talk of 288 April 88 concerning the "viruses"
  216.  
  217.  
  218. I did go to the lecture at LaSalle yesterday. I am still working on
  219. translating my quick notes into readable text. This should ready some
  220. time next week. Overall, the lecture was excellent and thourough without
  221. giving too much detail (to any unscruplous people in the audience.)
  222. After the talks by the panalists, MS-DOS anti-virus program disks were
  223. made available to the public. The disks contain public domsain and share
  224. ware software plus general virus text files.  Three of the panalists
  225. work with companies which produce virus detection software. More on this
  226. later.
  227.  
  228. Incidentally, if anyone on this forum is interested in any printed items
  229. from the forum or elsewhere, please leave me note. I can arrange for
  230. copies of much of these items.
  231.  
  232. J. D. Abolins
  233.  
  234. Jim Eshleman
  235. Lehigh University Computing Center
  236. =========================================================================
  237. Date:         Mon, 2 May 88 15:12:41 EDT
  238. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  239. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  240. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  241. Subject:      (old) Amiga virus information, for what it's worth...
  242.  
  243.  
  244.  
  245. I just found some information that I had sitting around concerning
  246. an Amiga virus.  It's kind of old, but it could be interesting to
  247. some people, so here it is:
  248. ---------
  249.  
  250.  
  251.  
  252. From: bill@cbmvax.UUCP (Bill Koester CATS)
  253. Newsgroups: comp.sys.amiga
  254. Subject: Amiga VIRUS
  255. Date: 13 Nov 87 19:32:05 GMT
  256. Organization: Commodore Technology, West Chester, PA
  257.  
  258.                    THE AMIGA VIRUS - Bill Koester (CATS)
  259.  
  260. When I first got a copy of the Amiga VIRUS I was interested to see
  261. how such a program worked. I dissassembled the code to a disk file and
  262. hand commented it. This article will try to pass on some of the things
  263. I have learned through my efforts.
  264.  
  265.        1) Definition.  2) Dangers.  3) Mechanics 4) Prevention
  266.  
  267. 1. - Definition.
  268.  
  269.    The Amiga VIRUS is simply a modification of the boot block of an existing
  270. DOS boot disk. Any disk that can be used to boot the Amiga (ie workbench)
  271. has a reserved area called the boot block. On an Amiga floppy the bootblock
  272. consists of the first two sectors on the disk. Each sector is 512 bytes long
  273. so the boot block contains 1024 bytes. When KickStart is bringing up the
  274. system the disk in drive 0 is checked to see if it is a valid DOS boot disk.
  275. If it is, the first two sectors on the disk are loaded into memory and
  276. executed. The boot block normally contains a small bit of code that loads
  277. and initializes the DOS. If not for this BOOT CODE you would never see the
  278. initial CLI. The normal BOOT CODE is very small and does nothing but call
  279. the DOS initialization. Therefore, on a normal DOS boot disk there is plenty
  280. of room left unused in the BOOT BLOCK.
  281.  
  282.    The VIRUS is a replacement for the normal DOS BOOT CODE. In addition to
  283. performing the normal DOS startup the VIRUS contains code for displaying
  284. the VIRUS message and infecting other disks. Once the machine is booted from
  285. an infected disk the VIRUS remains in memory even after a warm start.
  286. Once the VIRUS is memory resident the warm start routine is affected, instead
  287. of going through the normal startup the VIRUS checks the boot disk in drive
  288. 0 for itself. If the VIRUS in memory sees that the boot block is not
  289. infected it copies itself into the boot block overwriting any code that was
  290. there before. It is in this manner that the VIRUS propagates from one disk
  291. to another. After a certain number of disks have been infected the VIRUS
  292. will print a message telling you that Something wonderful has happened.
  293.  
  294. 2. - Dangers.
  295.  
  296.    When the VIRUS infects a disk the existing boot block is overwritten.
  297. Since some commercial software packages and especially games store special
  298. information in the boot block the VIRUS could damage these disks. When the
  299. boot block is written with the VIRUS, any special information is lost
  300. forever. If it was your only copy of the game then you are out of luck
  301. and probably quite angry!!
  302.  
  303. 3. - Mechanics.
  304.  
  305.    Here is a more detailed description of what the virus does. This is
  306. intended to be used for learning and understanding ONLY!! It is not the
  307. authors intention that this description be used to create any new strains of
  308. the VIRUS. What may have once been an innocent hack has turned into
  309. a destructive pain in the #$@ for many people. Lets not make it any worse!!
  310.  
  311.    a.)   Infiltration.
  312.  
  313.             This is the first stage of viral infection. The machine is
  314.          brought up normally by reading the boot block into memory. When
  315.          control is transferred to the boot block code, the virus code
  316.          immediately copies the entire boot block to $7EC00, it then JSR's
  317.          to the copied code to wedge into the CoolCapture vector. Once
  318.          wedged in, control returns to the loaded boot block which performs
  319.          the normal dos initialization. Control is then returned to the
  320.          system.
  321.  
  322.    b.)   Hiding Out.
  323.  
  324.             At this point the system CoolCapture vector has been replaced
  325.          and points to code within the virus. When control is routed through
  326.          the CoolCapture vector the virus first checks for the left mouse
  327.          button, if it is down the virus clears the CoolCapture wedge and
  328.          returns to the system. If the left mouse button is not pressed
  329.          the virus replaces the DoIO code with its own version of DoIO
  330.          and returns to the system.
  331.  
  332.    c.)   Spreading.
  333.  
  334.             The code so far has been concerned only with making sure that
  335.          at any given time the DoIO vector points to virus code. This is
  336.          where the real action takes place. On every call to DoIO the virus
  337.          checks the io_Length field of the IOB if this length is equal to
  338.          1024 bytes then it could possibly be a request to read the boot
  339.          block. If the io_Data field and A4 point to the same address
  340.          then we know we are in the strap code and this is a boot block
  341.          read request. If this is not a boot block read the normal
  342.          DoIO vector is executed as if the virus was not installed. If we
  343.          are reading the boot block we JSR to the old DoIO code to read
  344.          the boot block and then control returns to us. After reading,
  345.          the checksum for the virus boot block is compared to the checksum
  346.          for the block just read in. If they are equal this disk is already
  347.          infected so just return. If they are not equal a counter is
  348.          incremented and the copy of the virus at $7EC00 is written to
  349.          the boot block on the disk. If the counter ANDed with $F is equal
  350.          to 0 then a rastport and bitmap are constructed and the message
  351.          is displayed.
  352.  
  353.    d.)   Ha Ha.
  354.  
  355.             < Something wonderful has happened >
  356.             < Your AMIGA is alive!!! >
  357.             < and even better >
  358.             < Some of your disks are infected by a VIRUS >
  359.             < Another masterpiece of the Mega-Mighty SCA >
  360.  
  361. 4. - Prevention.
  362.  
  363.    How do you protect yourself from the virus?
  364.  
  365.       1) Never warm start the machine, always power down first.
  366.          (works but not to practical!)
  367.  
  368.       2) Always hold down the left mouse button when rebooting.
  369.          (Also works, but only because the VIRUS code checks for
  370.           this special case. Future VIRUS's may not!)
  371.  
  372.       3) Obtain a copy of VCheck1.1 and check all disks before use.
  373.          If any new virus's appear this program will be updated and released
  374.          into the public domain. VCheck1.1 was posted to usnet and will
  375.          also be posted to BIX.
  376.          ( Just like the real thing the best course of action is
  377.            education and prevention!)
  378.  
  379. Bill Koester -- CBM  >>Amiga Technical Support<<
  380.                      UUCP  ...{allegra|burdvax|rutgers|ihnp4}!cbmvax!bill
  381.              PHONE  (215) 431-9355
  382.  
  383. ------------------------------------------------------------------------
  384. = Kenneth R. van Wyk                   = If found wandering aimlessly, =
  385. = User Services Senior Consultant      =   please feed and return...   =
  386. = Lehigh University Computing Center   =-------------------------------=
  387. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =         This just in:         =
  388. = BITNET:   <LUKEN@LEHIIBM1>           =  Humptey Dumptey was pushed!  =
  389. ------------------------------------------------------------------------
  390. =========================================================================
  391. Date:         Mon, 2 May 88 16:19:14 EDT
  392. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  393. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  394. From:         Jim <15360JIM@MSU>
  395. Subject:      anti-virus program request procedures
  396.  
  397. I tried to get the lastest version of FLUSHOT, the anti-Virus/anti-Trojan progr
  398. an for MSDOS. If anyone knows the exact procedures to download that, please
  399. write to me at 15360jim@msu. Thank you!
  400. =========================================================================
  401. Date:         Mon, 2 May 88 17:23:14 +0300
  402. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  403. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  404. From:         "Y. Radai" <RADAI1@HBUNOS>
  405. Subject:      The Israeli viruses
  406.  
  407.    Loren Keim writes (25 Apr):
  408. >    Israeli Virus:  Not much is known.  It apparently attaches itself
  409. >    to all executable files, appending itself to the end of the file.
  410. >    Watch for growing files.
  411.  
  412.    I must admit I find Loren's first sentence rather surprising.  The one thing
  413. that spreads faster than a virus is news *about* the virus.  And since the
  414. rather detailed report which I wrote on the Israeli virus for the Info-IBMPC
  415. digest has apparently been reprinted in about a dozen other digests and news-
  416. letters, I thought that as much was known about our virus as about others.  But
  417. I guess I was wrong, so here are the details:
  418.  
  419.    It works in two stages:  When you execute an infected EXE or COM file the
  420. first time after booting, the virus captures interrupt 21h and inserts its own
  421. code.  After this has been done, every time any EXE file is executed, the virus
  422. code is written to the end of that file, increasing its size by 1808 bytes.  COM
  423. files are also affected, but the 1808 bytes are written to the beginning of the
  424. file, another 5 bytes (the string "MsDos") are written to the end, and this
  425. extension occurs only once.
  426.    Symptoms: (1) Because of this continual increase in the size of EXE files
  427. (apparently a bug), such programs eventually become too large to be loaded into
  428. memory or there is insufficient room on the disk (hard disk or diskette) for
  429. further extension.  (2) After a certain interval of time (apparently 30 minutes
  430. after infection of memory), delays are inserted so that execution of programs
  431. takes up to 5 times as long.  Also, some weird things happen on the screen.
  432. (3) If memory becomes infected when the date is set to a Friday the 13th (the
  433. next such date being May 13, 1988), any program file which is subsequently
  434. executed on that date (without rebooting first) gets deleted.  (Other files may
  435. also be affected.)
  436.    Note that this virus infects even read-only files, that it does not change
  437. the date and time of the files which it infects, and that while the virus cannot
  438. infect a write-protected diskette, you get no clue that an attempt has been made
  439. by a "Write protect error" message since the possibility of writing is checked
  440. before an actual attempt to write is made.
  441.  
  442.    Actually, this is only one of four viruses which have been discovered by us
  443. so far, although the others are apparently only annoying, not destructive.  One
  444. of them is but a slight variant of the above virus; it behaves the same with
  445. respect to (1), the 30 minutes in (2) is only 30 seconds, and the erasure in (3)
  446. does not succeed, due to a bug.  It is probably an earlier version of the above
  447. virus.
  448.  
  449.    There are several things you can do to detect, prevent, and/or eradicate this
  450. virus even without any special software.
  451.    Detection:  Choose one of your EXE files (preferably your most frequently
  452. executed one), note its length, and execute it twice.  If it does not grow, it
  453. is not infected by this virus.  If it does, the present file is infected, and
  454. so, probably, are some of your other files.  (Another way of detecting this
  455. virus is to look for the string "sUMsDos" starting in the 4th byte of COM files
  456. or about 1800 bytes before the end of EXE files; however, this method is less
  457. reliable since this string can be altered without attenuating the virus.  In the
  458. variant, the corresponding string is "sURIV 3.00".)
  459.    Prevention:  In addition to the usual general precautions, avoid running
  460. programs on any Friday the 13th.  Of course, you can fake the date.  But if your
  461. computer has been set to Friday the 13th by a clock-calendar card and one of the
  462. programs in your AUTOEXEC.BAT file is infected, it will be too late to change
  463. the date after completion of AUTOEXEC.
  464.    Cure for infected files:  Replace each infected file by a healthy copy (if
  465. you have one).  However, note that even if you succeed in replacing all infected
  466. files, the virus will recur if memory remains infected, so re-boot immediately
  467. after replacement.
  468.  
  469.    The two other viruses have April 1 as their target date.  One of them affects
  470. only COM files while the other affects only EXE files.  If the date has been set
  471. to April 1, they display the message "APRIL 1ST HA HA HA YOU HAVE A VIRUS".  In
  472. the EXE version this happens as soon as any infected EXE file is executed,
  473. whereas in the COM version it happens only after (1) an infected COM file is
  474. executed, thereby infecting memory, and (2) any other COM file is executed.  In
  475. either case they lock up, forcing you to cold boot.  Moreover in the EXE version
  476. there is also a lockup, without any message, one hour after infection of memory
  477. on any day on which you use the default date of 1-1-80.  However, to the best of
  478. our knowledge they do not destroy any information.  In both versions the file is
  479. extended only once.  The main identifying string (corresponding to "sUMsDos" in
  480. the Friday the 13th virus) is "sURIV 1.01" in the COM version and "sURIV 2.01"
  481. in the EXE version.
  482.  
  483.    As a curiosity, all three viruses which attack EXE files write the year
  484. "1984" into the 19th and 20th bytes of each EXE file which they infect (in the
  485. form 84h 19h), replacing the checksum which normally appears there.
  486.  
  487.    I hadn't heard of any occurrence of these four viruses outside of Israel
  488. until I read (in Joseph Beckman's message of 29 April) that Fred Cohen stated
  489. that the Hebrew U. virus (presumably meaning the original Friday the 13th
  490. virus) has spread to the U. S.
  491.  
  492.    Automatic detection, prevention and cure:  A pair of programs has been
  493. developed for these viruses by Yuval Rakavy, a student in our Computer Science
  494. Dept., and Omri Mann.  One of them, UNVIRUS, cures already infected files by
  495. removing the virus code; it is specific to these four viruses.  The other one,
  496. IMMUNE (a RAM-resident program), prevents future infection of memory and dis-
  497. plays a message when there is any attempt to infect it; it may also be useful
  498. against some other viruses.
  499.  
  500.    There are, of course, general-purpose programs which prevent file infection
  501. by preventing writing and formatting of disks when such protection is desired.
  502. I guess BOMBSQAD is sufficiently well known that I don't have to describe it.
  503. Another program, PROTECT, prevents writing onto specific drives (e.g. C:).  (I
  504. have a slightly improved version of the program which first appeared in the Jan.
  505. 13, 1987 issue of PC Magazine.)  The protection is easily toggled on and off
  506. (even when you're not on the DOS command level if you've got something like
  507. HOT-DOS available).
  508.    The weakness of programs such as these is that a virus or Trojan horse could
  509. issue a write or format command directly to the controller of a hard disk.  A
  510. more secure protection would be a hardware device placed between the controller
  511. and the drive.  I am familiar with one such device, called Disk Defender.  It
  512. involves dividing the hard disk into two logical drives in any desired size
  513. ratio, one of which is protected against *all* writes, while the other is
  514. unprotected.  (You can easily unprotect the protected drive temporarily in order
  515. to transfer files to it.)  The trouble with this system is its initial incon-
  516. venience: it requires a complete reorganization of your hard disk (moving all
  517. files and subdirectories into two separate directories according to whether they
  518. are to be protected or not), followed (and preferably also preceded) by a
  519. complete backup of the disk, followed by a re-format of the disk and restoration
  520. of its contents.
  521.  
  522.                                *   *   *   *   *
  523.  
  524.    The above-mentioned authors of the Israeli anti-viral software have now
  525. developed a program which can detect infection of a file by *any* virus.
  526. Probably most of you don't believe that such a thing is possible.  But this
  527. report is already getting too long, so I'll leave the description of that
  528. program to a subsequent report.
  529.  
  530.                                        Y. Radai
  531.                                        Computation Center
  532.                                        Hebrew Univ. of Jerusalem
  533.                                        RADAI1@HBUNOS.BITNET
  534. =========================================================================
  535. Date:         Mon, 2 May 88 16:48:11 EDT
  536. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  537. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  538. From:         "David M. Chess" <CHESS@YKTVMV>
  539. Subject:      The Israeli viruses
  540.  
  541. > (Other files may also be affected.)
  542.  
  543. Do you have anything in particular in mind when you say that?   I've
  544. heard from people who have done quite a bit of work disassembling
  545. the creature that only EXE and COM files are altered.   Have you
  546. heard of it changing any others?                              DC
  547. =========================================================================
  548. Date:         Mon, 2 May 88 15:34:39 EST
  549. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  550. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  551. From:         Joe Simpson <JS05STAF@MIAMIU>
  552. Subject:      Miami computer virus infection
  553.  
  554.  
  555. THIS IS A FIRST DRAFT OF A POSTING TO THE VIRUS-L LISTSERV GROUP.
  556. PLEASE RESPOND WITH EDITORIAL COMMENTS.
  557.  
  558. MIAMI UNIVERSITY WAS HIT BY AN OUTBREAK OF MS-DOS AND MACINTOSH
  559. VIRUS APPROXIMATELY 10 DAYS BEFORE THE END OF SEMESTER.  VIRUS
  560. APPEARED IN VIRTUALLY EVERY MICRO LAB ON CAMPUS WITHIN 2 DAYS OF
  561. FIRST NOTICE.  THE IBM VIRUS APPEARED TO BE A VARIANT OF BRAIN.
  562. THE MAC VIRUSES APPEARED TO BE IDIOT AND SCORES.
  563.  
  564. SCREENING PROCEDURES WERE INSTITUTED IN THE LABS TO DETECT AND
  565. QUASH VIRUS INFECTED DISKETTES.  DETECTION BECAME MORE ACCURATE
  566. OVER TIME.  THE PROCEDURE USED TO DISINFECT DISKETTES IS:
  567. 1)  COPY DATA FILES (WP, SPREADSHEET, DATABASE) TO "CLEAN MEDIA"
  568. 2)  FORMAT INFECTED DISKETTE ABANDONING ANY DOS AND OTHER EXECUTABLE
  569.     FILES.
  570. 3)  COPY DATA FILES BACK ONTO THE USER DISKETTE.
  571. THERE IS SOME REASON TO BELIEVE THAT THIS PROCEDURE IS OVERLY CAUTIOUS.
  572. IN THE MS-DOS WORLD:
  573. SCREENING PROCEDURES STARTED WITH LOOKING FOR THE WORD "BRAIN" IN THE
  574. DISKETTE LABEL.  NOW WE LOOK FOR THREE OR MORE CONTIGUOUS BAD SECTORS
  575. USING SOMETHING LIKE THE NORTON UTILITIES.
  576.  
  577. A STUDENT HAS WRITTEN A PROGRAM TO LOOK FOR VIRUS IN RAM.  THE SAME
  578. STUDENT IS ATTEMPTING TO REVERSE ENGINEER A SOLUTION.  FRED COHEN
  579. FROM UNIV. CINN.  HAS BEEN UP TO ASSIST US AND WOULD PROBABLY HAVE
  580. GOOD INFORMATION ON THE VIRUS IF HE HADN'T CONTRACTED ONE OF THE
  581. HUMAN VARIETY LAST NIGHT.  INFECTED DISKETTES HAVE BEEN POSTED TO
  582. BOWLING GREEN FOR STUDY (AND OF COURSE TO FRED).  AT THIS POINT WE
  583. ARE NOT SURE HOW LONG THE DORMANT PHASE OF THIS VIRUS WAS.  IT MAY
  584. HAVE BEEN SEVERAL MONTHS.
  585.  
  586. SUBJECT TO FRED'S AND THE STUDENT'S NEW INFORMATION HERE IS WHAT
  587. WE BELIEVE ABOUT THE MS-DOS VIRUS.
  588. IT IS A VERSION OF PAKISTANI BRAIN.
  589. IT PROBABLY CANNOT INFECT A HARD DISK. MORE ON THIS WHEN WE REALLY
  590.    KNOW.
  591. PROPERLY INSTALLED LAN'S APPEAR TO OFFER PROTECTION(BECASE OF THE
  592.    ABOVE?)
  593. IT LIVES IN THREE CONTIGUOUS CLUSTERS (FIVE SECTORS) MARKED BAD IN
  594.    THE FAT.
  595. THE VIRUS INSTALLS IN HIGH RAM AND CAN BE DETECTED
  596.    THERE USING STANDARD DOS CALLS.
  597. WE HAVE DISASSEMBLED APPROXIMATELY 1/3RD OF THE CODE.  IT MAY INFECT
  598.   THE FOLLOWING FILES:  COMMAND.COM, PRINT.COM, FORMAT.COM.  FRED HAS
  599.   A CHECKSUM PROGRAM THAT WE USED TO DIAGNOSE THIS BEHAVIOR.  WE
  600.   HAVEN'T FOUND THE CODE THAT DOES THIS.  IT DOES ALTER THE BOOT RECORD
  601.   ON BOTH SYSTEM DISKETTES AND DATA DISKETTES.  BOOTING, EVEN WITH A
  602.   DATA DISKETTE! LOADS BRAIN INTO RAM TO SPREAD INFECTION.
  603. DAVID KARIPEDES HAS DISASSEMBLED APPROXIMATELY ONE THIRD OF THE VIRUS
  604.   AND HAS COME TO THE FOLLOWING CONCLUSIONS:
  605. 1.  WHEN AN INFECTED BOOT SECTOR IS PROCESSED, BRAIN LOADS IN TO 7
  606.     K AT HIGH RAM.  3K OF PROGRAM, THE BRAIN BOOT BLOCK, AND THE
  607.     ORIGIONAL BOOT BLOCK ARE LOADED WITH 2 I/O BUFFERS.
  608. 2.  BRAIN POINTS THE $13 DISK INTERRUPT TO ITSELF AND MEDIATES ALL
  609.     DISK I/O VIA AN INTERRUPT IT INSTALLS AT $6D.  BRAIN ONLY
  610.     ACTS AGAINST DISK READS.  PROBABLY USING A COUNTDOWN TIMER IT
  611.     CHECKS THE BOOT RECORD OF THE DISKETTE WITH POSTED I/O FOR INFECTION
  612.     IF NOT INFECTED IT INFECTS FLOPPIES.
  613. 3.  BRAIN CHECKS THE DL REGISTER ON READS AND ONLY INTERVENES IF 0,1, OR
  614.     2.  THUS, IT PROBABLY CANNOT INFECT A HARD DISK.
  615. 4.  THE INFECTED BOOT RECORD LOADS BRAIN FROM THREE CONSECUTIVE SECTORS
  616.     THAT ARE MARKED BAD IN THE FAT.  FIVE SECTORS ARE ACTUALLY USED, 3
  617.     FOR THE EXECUTABLE CODE, ONE FOR BRAINS BOOT RECORD, AND ONE FOR THE
  618.     ORIGIONAL BOOT RECORD.
  619. 5.  IF RAM IS INFECTED, EVEN USING LOW LEVEL DISK UTILITIES BRAIN WILL
  620.     FEED YOU THE FALSE (ORIGONAL) BOOT RECORD!
  621. 6.  AT PRESENT YOU MUST COMMUNICATE WITH DAVID VIA MY BITNET ACCOUNT.
  622. 7.  A STAFF MEMBER IS WRITING A DISKETTE SANITIZING PROGRAM WHICH WE
  623.     WILL POST TO VIRUS-L.
  624. THE VIRUS WILL PLACE BRAIN IN THE DISKETTE VOLUME LABEL AND
  625. REMOVE IT PERIODICALLY.  THUS, ABSCENCE OF BRAIN IS NOT ASSURANCE OF A
  626. CLEAN DISKETTE.
  627.  
  628. SOME OF THE THINGS THAT THE PRUDENT COMPUTER USER SHOULD DO IN THE
  629. COMPUTER AGE (SAGE WISDOM SUBJECT TO FREQUENT REVISION):
  630. USE ATTRIB TO MAKE COMMAND.COM AND MANY OTHER FILES READ ONLY.
  631.   THIS LIST SHOULD PROBABLY INCLUDE PROGRAMS.
  632. BACKUP, BACKUP,  BACKUP,  BACKUP.  I KEEP A 3 WEEK ROLLING BACKUP
  633.   TO PROTECT MYSELF FROM DORMANT PHASE VIRUSES AS OBSERVED IN THE
  634.   MAC WORLD.
  635. WRITE PROTECT ALL ORIGIONAL DISKETTES WITHIN SECONDS OF OPENING THE
  636.   SHRINK WRAP.
  637. WHEN TRANSFERRING INFORMATION BETWEEN COMPUTERS USE DISKETTES THAT
  638.   CONTAIN NO EXECUTABLES (SYSTEM AND APPLICATIONS SOFTWARE).
  639. WHERE POSSIBLE BOOT FLOPPIES SHOULD BE WRITE PROTECTED.  IT IS NOT
  640.   KNOWN AT THIS TIME WHETHER WRITE PROTECTION IS HARDWARE OR SOFTWARE
  641.   MEDIATED.  WE ARE FOLLOWING UP WITH IBM.
  642.  
  643. IN THE MACINTOSH WORLD WE SUSPECT THAT WE WERE INFECTED BY SCORES AND
  644. IDIOT.  MAC USERS ARE MUCH MORE ATONOMOUS AND OUR INFORMATION IS NOT
  645. AS GOOD.  WE ARE STILL TRYING TO OBTAIN COPIES OF INFECTED MACINTOSH
  646. DISKETTES.  IN THE MEAN TIME WE ARE DISTRIBUTING KILLVIRUS, VACCINE,
  647. AND FERRET 1.1.
  648. DIAGNOSIS RELIES UPON FINDING CHARACTERISTIC SIGNATURE FILES.
  649. PRESENT RECOMMENDATIONS FOR PREVENTION INCLUDE ALL OF THE ABOVE
  650. RECOMMENDATIONS FOR THE MS-DOS WORLD PLUS RUNNING KILLVIRUS OR
  651. VACCINE.
  652.  
  653. SOME THINGS WE ARE CONSIDERING FOR NEXT YEAR.
  654.  
  655. ENCOURAGE STUDENTS TO EXCHANGE INFORMATION ON DATA DISKETTES THAT
  656.   DO NOT INCLUDE EXECUTABLES.
  657. MORE WRITE PROTECTION AT DOS ATTRIB LEVEL AND HARDWARE LEVEL.
  658. INVESTIGATE VIRUS PROTECTION SOFTWARE.  IN THE MAC WORLD WE ARE
  659.   USING VACCINE AND LOOKING AT VIRUSDETECTIVE AND KILLVIRUS.
  660. INVESTIGATE VIRUS PROTECTION IN THE MS-DOS WORLD?  USE LOCAL
  661.   HACKS TO PERIODICALLY LOOK FOR RAM RESIDENT SOFTWARE THAT SHOULDN'T
  662.   BE THERE?
  663. =========================================================================
  664. Date:         Mon, 2 May 88 16:54:24 EDT
  665. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  666. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  667. From:         "Peter G. Neumann" <NEUMANN@csl.sri.com>
  668. Subject:      Re:      (old) Amiga virus information, for what it's worth...
  669. In-Reply-To:  <8805022025.AA21543@csl.sri.com>
  670.  
  671. Gee, That was in RISKS-5.71, 7 December 1987!  But thanks anyway.
  672. And many thanks for VIRUS-L.  Should be lively for you to keep
  673. track of everything.  Should I mention it in RISKS, or would that
  674. FLOOD YOU with overhead?  Maintaining mailing lists is a bear, even
  675. with LISTSERVE!  P.
  676. -------
  677. =========================================================================
  678. Date:         Mon, 2 May 88 17:16:32 EDT
  679. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  680. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  681. From:         OJA@NCCIBM1
  682.  
  683. Subject: A request for virus info
  684.  
  685.   In a recent issue of RISKS, a Congressional aide asked for
  686. information concerning computer viruses and their possible
  687. impact on national security. If you have input concerning this
  688. subject, you can contact-
  689.  
  690. Herb Lin
  691. House Armed Services Committee
  692. 2120 Rayburn House Office Building
  693. Washington, DC 20515
  694.  
  695. (215) 951-1255
  696.  
  697. J.D. Abolins
  698. =========================================================================
  699. Date:         Mon, 2 May 88 17:18:35 EDT
  700. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  701. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  702. From:         "Peter G. Neumann" <NEUMANN@csl.sri.com>
  703. Subject:      Re:      (old) Amiga virus information, for what it's worth...
  704. In-Reply-To:  <8805022025.AA21543@csl.sri.com>
  705.  
  706. Terrrific.  I have your contribution about VIRUS-L and will post it.
  707.  
  708. By the way, is it not Humpty Dumpty?  P.
  709. -------
  710. =========================================================================
  711. Date:         Tue, 3 May 88 07:06:26 EDT
  712. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  713. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  714. From:         Vin McLellan <SIDNEY.G.VIN%OZ.AI.MIT.EDU@XX.LCS.MIT.EDU>
  715. Subject:      The Fate of PD Code
  716.  
  717.  
  718. PD need not die -- despite the virus plague; and despite the
  719. obituaries the virus threat has led so many vendor-supported
  720. publications to so (gleefully?) publish. "Public Domain" software
  721. may, however, tend to lean more into "shareware" and away from
  722. "freeware."
  723.  
  724. Freeware, of course, is inherently cheapest... but now we have the
  725. problem of never really being certain that the code is clean and
  726. free of hidden danger (not in itself a new problem.) Shareware --
  727. which circulates through the same public domain/freeware channels --
  728. is copyrighted and typically accompanied by a request from its
  729. author for a (usually minimal) payment for licensed user rights.
  730. And, more than in the past, a shareware license will likely be
  731. accompanied by a disk with a clean copy of the purchased program.
  732.  
  733. Nothing is likely to ever displace the PD circuit on the nets
  734. and bulletin boards as the cheapest and easiest way to both
  735. circulate new code and check out what's the newest. Even with
  736. infected code circulating, this can be done safely and intelligently
  737. on an isolated machine without a hard disk.
  738.  
  739. Obviously, no responsible institution or group (or even an
  740. individual) is going to mix freeware code with working disks
  741. or files. The best defense against infected code is to obtain
  742. a legitimate shareware license -- and a guarranteed clean
  743. copy of the code, directly from the author. For a corporation
  744. or institution, that *contractual* link becomes essential for
  745. its internal security and ease of mind.(This may be lead to
  746. some strange scenes. More than a few programmers who just
  747. tossed out a now-popular freeware program onto a BBS system
  748. years ago may be surprised to find firms or institutions
  749. insisting on the right to pay them -- to establish a contractual
  750. relationship -- but they'll probably survive the shock.) Site or
  751. corporate licenses, now scorned by the industry, may be widely used
  752. here.
  753.  
  754. In an institutional or user community, it will be up to
  755. local management to either buy enough guarranteed clean copies
  756. on disks... or arrange for trusted reproduction of an original
  757. received directly from the author. But the contract must and
  758. should be the foundation of safe software distribution. So
  759. freeware will inevitably be transformed into shareware; a
  760. craft cult into an profit-making industry sector; hackers
  761. into capitalists -- willy-nilly. (Some skateboard champs may
  762. have to open banks accounts, pay taxes, etc.)
  763.  
  764. With that, Freeware/Shareware is likely to continue for
  765. the benefit of us all...and to bedevil a software industry
  766. whose pricing policies are more akin to Merlin's mumbled
  767. incantations than to any objective economic factors.
  768.  
  769. Vin McLellan
  770. The Privacy Guild    (Sidney.g.vin%Oz.AI.MIT.EDU@XX.LCS.MIT.EDU)
  771. Boston, Ma. 02111    (617) 426 2487
  772. -------
  773. =========================================================================
  774. Date:         Tue, 3 May 88 08:17:00 EST
  775. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  776. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  777. From:         J_CERNY@UNHH
  778. Subject:      Question related to Macs.
  779.  
  780. At the risk of exposing my ignorance, I'll ask the following
  781. question.
  782.  
  783. In reading about methods to disinfect or vaccinate an infected
  784. (or suspected) system, people talk about either throwing away
  785. infected files or running code (macrophage?!) to gobble up the
  786. infected parts.
  787.  
  788. In thinking of the Macintosh, I'm wondering if there is yet
  789. another place where a virus could lurk -- the parameter RAM??
  790. I don't even know if it is possible to write into that RAM,
  791. except that I have the impression that is where date/time is
  792. stored and the fact that the CHOOSER can update/set date/time
  793. implies it can be written to.
  794.  
  795.   Jim Cerny, University Computing, University of N.H.
  796. =========================================================================
  797. Date:         Tue, 3 May 88 08:59:28 EDT
  798. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  799. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  800. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  801. Subject:      LISTSERV options
  802.  
  803.  
  804.  
  805. A couple people have asked me why they don't get a copy of their own
  806. submissions to the VIRUS-L list.  Well, that's the default way that
  807. LISTSERV is set up.  There's two ways around it; I can set up the entire
  808. list such that everyone receives their own messages, or each user can
  809. set their own LISTSERV options, at their discretion.  I prefer the latter.
  810.  
  811. To tell the LISTSERV program to send you your own submissions, send the
  812. following mail message to LISTSERV@LEHIIBM1:
  813.  
  814. SET VIRUS-L REPRO
  815.  
  816. Ok, it's a bit cryptic, but that's the way it works...  :-)
  817.  
  818. Note:  Please do not send the above message to the list itself!!!
  819.  
  820.  
  821. Ken
  822.  
  823. ------------------------------------------------------------------------
  824. = Kenneth R. van Wyk                   =                               =
  825. = User Services Senior Consultant      = I can't believe you fell for  =
  826. = Lehigh University Computing Center   = the oldest trick in the book  =
  827. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =           Lone Star!          =
  828. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  829. ------------------------------------------------------------------------
  830. =========================================================================
  831. Date:         Tue, 3 May 88 10:42:49 EDT
  832. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  833. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  834. From:         Jim <15360JIM@MSU>
  835. Subject:      download FSP UUEARC to Micros
  836.  
  837. I have the anti-virus file call FSP UUEARC at my IBM 3090 minidisk.
  838. I try to download it to micros. Please tell what additional UNARC file(s) I
  839. need, where to get it, and procedures to actually download it. I knew the way
  840. to download regular files through KERMIT. Thank You All!       /Jim
  841. =========================================================================
  842. Date:         Tue, 3 May 88 10:50:23 EDT
  843. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  844. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  845. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  846. Subject:      Re: download FSP UUEARC to Micros
  847. In-Reply-To:  Message of Tue, 3 May 88 10:42:49 EDT from <15360JIM@MSU>
  848.  
  849. >I have the anti-virus file call FSP UUEARC at my IBM 3090 minidisk.
  850. >I try to download it to micros. Please tell what additional UNARC file(s) I
  851. >need, where to get it, and procedures to actually download it. I knew the way
  852. >to download regular files through KERMIT. Thank You All!       /Jim
  853.  
  854. Just a guess, but it sounds as if the file is a uuencoded arc file.
  855. Uuencode/uudecode are two programs for converting a binary file into
  856. an ascii file and then back; thus making it easier to transfer binary
  857. files over networks.  Once the uuencoded file has been uudecoded, it
  858. should be a standard arc file extractable by PKXARC or ARC.  You can
  859. get a copy of uudecode from SIMTEL20.ARPA if you have Internet access,
  860. or I can send you a Turbo Pascal source code version.  Please reply by
  861. direct e-mail if you want the Turbo source.
  862.  
  863. I assume that FSP is Flu_Shot+?  I'd be happy to make copies of Flu_Shot+,
  864. uuencode & uudecode, etc. available via this LISTSERV if there's sufficient
  865. interest.  Comments anyone?  That's not an endorsement of public domain
  866. anti-virus programs; rather, it'd be providing a place where people on this
  867. list could download these programs with a reasonable degree of certainty
  868. as to the integrity of the program.
  869.  
  870. Ken
  871.  
  872. ------------------------------------------------------------------------
  873. = Kenneth R. van Wyk                   =                               =
  874. = User Services Senior Consultant      = I can't believe you fell for  =
  875. = Lehigh University Computing Center   = the oldest trick in the book  =
  876. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =           Lone Star!          =
  877. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  878. ------------------------------------------------------------------------
  879. =========================================================================
  880. Date:         Tue, 3 May 88 13:37:56 EST
  881. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  882. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  883. From:         Joe Simpson <JS05STAF@MIAMIU>
  884. Subject:      BRAIN virus
  885.  
  886. We have completely disassembled virus.  It behaves as previously
  887. discussed.  In the absence of programming bugs it only installs
  888. itself.  It definately lives in the boot block plus 3 bad sectors.
  889. It does not infect any "normal" dos files.
  890.  
  891. I specifically checks for and infects 5.25 inch floppies, no 3.5 ,
  892. no hard disk.
  893.  
  894. We have a simple brain remover program.  Source will be posted to the
  895. list (assembly language) when the author thinks it is pretty enough.
  896.  
  897. Disassembly and program work done by David Karipedes, a Miami student.
  898. To contact him use my bitnet mailbox.
  899. P.S.  Since we have some diskettes with evenly spaced bad clusters in
  900. them, the search is on for the existance of another virus at M.U.  We
  901. really don't have useful info one way or another at this time.
  902. =========================================================================
  903. Date:         Wed, 4 May 88 09:46:00 URZ
  904. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  905. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  906. From:         BG0@DHDURZ2
  907. Subject:      European viruses") from(forum)
  908.  
  909. =========================================================================
  910. Date:         Wed, 4 May 88 09:57:00 URZ
  911. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  912. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  913. From:         BG0@DHDURZ2
  914. Subject:      European viruses
  915.  
  916. Hi folks,
  917. I am working on computer viruses (and protection) for 2 years now,
  918. so I hope that I can contribute some interesting facts on viruses
  919. to this list. Although the description of known computer viruses
  920. should not be the only topic of this list, I like to start with
  921. a quick summary on the viruses I know that are not mentioned here
  922. before. We here in Europe have our own "virus" culture  :-)  so
  923. it may be of interest for you to have a look across the atlantic:
  924.  
  925. The first viruses I heard of two years ago are written to show
  926. the THREAT of computer viruses. The first one, VIRDEM.COM is
  927. a non-replacing (not overwriting), not memory-residend  MS-DOS
  928. virus. It infects all .COM files on drive A: only. The damage
  929. ias to ask a user for a number between 0 and n (n is the generation
  930. of the virus) if he starts an infected program. If he was wrong,
  931. the program terminates, if he was right, the program starts its
  932. work. This program was distributed to all interested computer
  933. users, especially computer and software manufactures.
  934.  
  935. The second one was written by myself. It only infects the file
  936. KEYBGR.COM (the device driver for a german keyboard of the MS-DOS
  937. version 2.11, loaded every time you boot your computer). After
  938. 15 min. it drives the internal speaker do emit noise every time
  939. a character is send to the screen (Therefore I called this virus
  940. RUSH HOUR  :-) ). It was easily to be detected and removed -
  941. because it was for demonstration only.
  942.  
  943. This two viruses were written in Summer 1986. Ralf Burger (the
  944. author of the first virus VIRDEM.COM) and I get contact in Aug.
  945. 1986 and we decided that it is time to inform the public (and not
  946. only professional computer users) of the *threatening* possibilities
  947. of computer viruses. In collaboration with the Hamburger CHAOS
  948. COMPUTER CLUB we organized a public forum on computer viruses
  949. on Dec. 27, 1986. That was the first time the topic of computer
  950. viruses was discussed in an open event here in Europe. We earned
  951. a lot of consolation from the press and all the people there.
  952.  
  953. Four month later we had a meeting with all the folks again to
  954. see how the things are going. In the meantime the topic of
  955. viruses was discussed in nearly all german computer magazines.
  956. One magazine published a computer virus and a protection program
  957. for a 680x0 machine (Atari) called MILZBRAND. I dont know if it
  958. is good to publish a virus source code but it was not my decision.
  959. Ralf Burger started to write a virus protection program (that is
  960. available now, further comments on it see below) which should not
  961. be able *find* virus programs but to hinder the propagation of
  962. viruses on MS-DOS machines. I think he has done good work.
  963. In spring 1987 I started to think about viruses on mainframes.
  964. The result was a replacing virus for IBM/370 mainframes called
  965. VP/370   (No, I dont send you a copy of this exept you can state
  966. a *REAL* interest in it, e.g. you are a OWNER of such a machine!
  967. I dont want to be the one who is responsible for a damage I cant
  968. figure out.) Since that time I am working (nearly) exclusivly on
  969. virus protection methods.
  970.  
  971. But now lets return to the viruses I know.
  972. The next virus was a virus written in high level language (TURBO
  973. PASCAL 3.xx) called NUMBER ONE. It only infects compiled Pascal
  974. programs because it needs the Pascal run time library. It is only
  975. 100 lines in size.
  976. In winter 1987 I heared of a new virus in Vienna(Austria) and has
  977. the possibility to analyse it. I wrote a flow chart generator for
  978. .COM files and was able to see how it works. Nothing special on it.
  979.  
  980. Thats all I can say definitly, although a lot of rumors are out here.
  981. But I dont want to talk about rumors.
  982.  
  983. Ralf edited a book about computer viruses ("Das grosse Computer-
  984. Viren Buch", will be available in English in the near future). He
  985. wrote a lot of demonstration viruses in different languages (MS-DOS
  986. Batch Language, Basic). The Internation Standard Book Number is
  987. ISBN 3-89011-200-5 for the first edition, but you better ask for
  988. the revised second edition.
  989.  
  990. My next point is on protection methods. I think it is a unsatisfying
  991. work to write programs that can *detect* ALL kind of viruses. So
  992. I think it will be the best to catch viruses (that means hindering
  993. their propagation) by looking at their principles. All viruses have
  994. to *change* program code (in a file or on the disk) if they want
  995. to work the way they are designed. A straight forward method is to
  996. detect changes on files. Take a good checksum algorithm that cant be
  997. forged in a simple way. Run this program on all your files (and/or
  998. entire disk) every time you boot your machine. Make sure that the
  999. checking program is on a write protected disk (TAB!) and you can
  1000. detect all changes in .COM and .EXE files. If a program has changed
  1001. try to find out why. This is the method Ralf uses for his software-
  1002. based protection program.
  1003. An other method is to keep ALL executable files encipherd on mass
  1004. storage devices, but make sure the ciphering algorithm is GOOD.
  1005. GOOD means that it should be an algorithm that allows a quick
  1006. decipher but a complicated encipher (trapdoor in the opposite
  1007. direction, come on mathematicians: Find a good one!). Write a
  1008. new program loader that deciphers loaded programs before execution.
  1009. So the executable file only exists in RAM but never on storage
  1010. devices. A virus program has to write its *executable* code to
  1011. files on disk but this code cant be executed because it is *destroyed*
  1012. by the program loader during deciphering. If the ciphering method
  1013. is good (see above) a virus cant encipher itself before writing
  1014. its own code to a file on disk. This method is just an idea of mine.
  1015. A test version for MS-DOS machines works quite well, but I think
  1016. my ciphering algorithm is not GOOD in the above sence. Of course
  1017. the perfomance of loading programs slows down, so this will be
  1018. satisfactory only on fast machines.
  1019. The last method I want to mention is a hardware protection. It is
  1020. based on optical disks (WORMs). Files on such a device cant be
  1021. "overwritten" in common sence, you have to mark the old program
  1022. "erased" or "unvalid" and have to store the new version somewhere
  1023. else on the disk. If you have a (ROM-)program that checks where
  1024. an executable file on the disk is located you are able to detect
  1025. infections (or *other* changes in the software -> software revision!)
  1026. because the forged program is located at the wrong place. This method
  1027. is implemented in Ralf's last project and the results are encouraging.
  1028.  
  1029. That's all for today. I hope all of you find it intersting to hear
  1030. about the facts here in good ol' germany. If you are intersted in
  1031. more you can have a look in a book on computer viruses (ed. by Ralf,
  1032. with lot of programs and further information and a lot of articals
  1033. from virus programmers, software and security managers and so on.)
  1034.  
  1035. Its great to have a forum where the topic of computer viruses can be
  1036. discussed in such an open way. Keep on the good work.
  1037.  
  1038. All the best for you,
  1039. Bernd Fix.
  1040. =========================================================================
  1041. Date:         Wed, 4 May 88 08:04:55 EDT
  1042. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1043. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1044. Comments:     Resent-From: "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  1045. Comments:     Originally-From: WHMurray@DOCKMASTER.ARPA
  1046. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  1047. Subject:      ERIC and VULT identified
  1048.  
  1049.  
  1050. Here's a forwarded submission:
  1051.  
  1052. Ken
  1053.  
  1054.  
  1055.  
  1056. ------------------------------------------------------------------------
  1057. = Kenneth R. van Wyk                   =                               =
  1058. = User Services Senior Consultant      = I can't believe you fell for  =
  1059. = Lehigh University Computing Center   = the oldest trick in the book  =
  1060. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =           Lone Star!          =
  1061. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  1062. ------------------------------------------------------------------------
  1063. ----------------------------Original message----------------------------
  1064. "ERIC" and "VULT" Identified
  1065.  
  1066. ERIC and VULT, the specific targets of the SCORES Apple MacIntosh virus,
  1067. were internal projects at EDS in Dallas according to EDS spokesman Bill
  1068. Wright.  These labels identify proprietary trade secret programs that were
  1069. once, but no longer used at EDS.
  1070.  
  1071. While SCORES was specifically designed to destroy these applications, it
  1072. would infect anything.
  1073.  
  1074. All the above was gleaned from "Macintosh Today," May 2, 1988 which also
  1075. contained a highly speculative article entitiled "Viruses:  Nothing to
  1076. sneeze at." If you believe this article, computers have seen their day.  In
  1077. the future, viruses will make them unuseable.
  1078.  
  1079. William Hugh Murray, Fellow, Information System Security, Ernst & Whinney
  1080. 2000 National City Center Cleveland, Ohio 44114
  1081. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
  1082. =========================================================================
  1083. Date:         Wed, 4 May 88 08:46:38 EDT
  1084. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1085. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1086. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  1087. Subject:      LaSalle talk
  1088.  
  1089.  
  1090.  
  1091. A few people have asked me about obtaining any written information on
  1092. last week's virus talk at LaSalle College.  I'm afraid that I don't
  1093. have any written summaries; does anyone out there have anything more
  1094. than what's already been sent to the list?  If so, please forward it
  1095. to the list - it'd be much appreciated!  Thanks!
  1096.  
  1097. Ken
  1098.  
  1099. ------------------------------------------------------------------------
  1100. = Kenneth R. van Wyk                   =                               =
  1101. = User Services Senior Consultant      = I can't believe you fell for  =
  1102. = Lehigh University Computing Center   = the oldest trick in the book  =
  1103. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =           Lone Star!          =
  1104. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  1105. ------------------------------------------------------------------------
  1106. =========================================================================
  1107. Date:         Wed, 4 May 88 09:33:44 EDT
  1108. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1109. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1110. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  1111. Subject:      files are now available
  1112.  
  1113.  
  1114. Well, after saying that I'd make uuencode/uudecode and Flu_Shot+
  1115. available, I got a whole lot of requests for them, so I've placed
  1116. them here on the LISTSERV for public copying.  The filenames are:
  1117.  
  1118. UUENCODE PAS     (note the space, *NOT* a period!  This is CMS!)
  1119. UUDECODE PAS
  1120. FSP UUE
  1121. PKX35A35 UUE
  1122.  
  1123. FSP UUE is a uuencoded ARC file.  PKX35A35 UUE is the PKARC package.
  1124. PKXARC is required to unARC the files in FSP.ARC.  The uuencode
  1125. and uudecode files are in Turbo Pascal v 3.x.
  1126. Both of these files are *shareware* and you are encouraged to send
  1127. the authors the money that they request for the use of their programs -
  1128. see the license agreements of each package for more information.
  1129.  
  1130. Ok, now you probably want to try to get these files...  Well, it's
  1131. similar to signing onto or off of a LISTSERV group; you send a
  1132. message to LISTSERV@LEHIIBM1.  The message should say:
  1133.  
  1134. GET filename filetype listname
  1135.  
  1136. For example:
  1137.  
  1138. GET PKX35A35 UUE VIRUS-L
  1139.  
  1140. This would send you the PKARC package.
  1141.  
  1142. Once you've gotten all the files that you want, you would do the
  1143. following to uudecode and extract FSP:
  1144.  
  1145. compile uudecode into a .COM file.
  1146. UUDECODE PKX35A35
  1147. PKX35A35                (this step unarcs the self-extracting PKARC package.)
  1148. UUDECODE FSP
  1149. PKXARC FSP
  1150.  
  1151. And after all that, you *should* have a working copy of Flu_Shot+ and
  1152. PKARC.  If you already have PKARC, this can be a whole lot simpler...
  1153. I hope I haven't overly confused everyone.  :-)
  1154.  
  1155. By the way, you can always get a current list of all files available
  1156. on VIRUS-L by sending an INDEX VIRUS-L command to LISTSERV@LEHIIBM1.
  1157.  
  1158. Finally, please don't send any of these commands to the list itself!
  1159.  
  1160.  
  1161. Enjoy,
  1162.  
  1163.  
  1164. Ken
  1165.  
  1166. ------------------------------------------------------------------------
  1167. = Kenneth R. van Wyk                   =                               =
  1168. = User Services Senior Consultant      = I can't believe you fell for  =
  1169. = Lehigh University Computing Center   = the oldest trick in the book  =
  1170. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =           Lone Star!          =
  1171. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  1172. ------------------------------------------------------------------------
  1173. =========================================================================
  1174. Date:         Wed, 4 May 88 10:46:53 EDT
  1175. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1176. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1177. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  1178. Subject:      PC security programs
  1179.  
  1180.  
  1181. Here's another forwarded submission to the list:
  1182.  
  1183.  
  1184.  
  1185. From: <GREEN@wharton.upenn.EDU>  "Scott D. Green, Classroom Services"
  1186. Return-path: GREEN@wharton.upenn.EDU
  1187. Date: Wed, 4 May 88 10:10 EST
  1188. From: "Scott D. Green, Classroom Services" <GREEN@wharton.upenn.EDU>
  1189.  
  1190. Does anyone have any experience with hard disk security software?  Two
  1191. that we have for evaluation are "DiskManager PC" and "PC/DACS."  Both claim
  1192. to be able to prevent a drive or just directories and files from being
  1193. tampered with.  Out goal is to try to minimize software maintenance on
  1194. public lab machines by limiting students' write privileges to the hard
  1195. dirve, protecting batch files, etx.  Both packages claim to superced
  1196. DOS attrib commands and foil Norton Utilities.  They also provide "boot
  1197. lock":  if you boot from a floppy, the hard drive does not exist for you.
  1198. Though they don't specifically mention virus protection, it seems a
  1199. reasonable side effect.
  1200.  
  1201.  
  1202.    [I've been evaluating PC/DACS, and it looks pretty nice, although
  1203.     it's not specifically targetted as being an anti-virus program.
  1204.     It gives a PC security much like on, for example, a VAX, whereby
  1205.     you can have separate users - each with different access to different
  1206.     drives/directories/files/resources.  It includes boot protection and
  1207.     full disk encryption.  If you don't install all the boot protection
  1208.     and encryption features, it's *VERY* easy to get around.
  1209.  
  1210.     This is not an endorsement of this product - merely a statement of
  1211.     its features.                          - Ken  ]
  1212.  
  1213. ------------------------------------------------------------------------
  1214. = Kenneth R. van Wyk                   =                               =
  1215. = User Services Senior Consultant      = I can't believe you fell for  =
  1216. = Lehigh University Computing Center   = the oldest trick in the book  =
  1217. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =           Lone Star!          =
  1218. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  1219. ------------------------------------------------------------------------
  1220. =========================================================================
  1221. Date:         Wed, 4 May 88 10:10:00 CDT
  1222. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1223. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1224. From:         GREENY <MISS026@ECNCDC>
  1225. Subject:      Viral Code
  1226.  
  1227. Hi all....
  1228.  
  1229. I have recently been given the task of making sure that all of the software
  1230. and/or data that we have in my department is clean and free of viruses.  Due
  1231. to the fact that I feel that I can't really trust anyone's outside applications
  1232. anymore without source code (that I'm able to comprehend as well..), I ahve
  1233. decided to write my own stuff.  But what I need is the means to test it out.
  1234. Copies of the SCORES and/or IDIOT viruses for the macintosh would be very
  1235. helpful as we have a number of Macs here, viruses for the IBM PC would also
  1236. be helpful as there are even more IBM's in the dept (much to my chagrin! :-> )
  1237.  
  1238. At any rate, I am willing to get copies of the virus(es) via EMAIL, US
  1239. Mail, tape, or whatever, and once written I will post copies of my disinfectioon
  1240. programs to the net -- along with the source code.
  1241.  
  1242. Any help would be greatly appreciated.
  1243.  
  1244. bye for now but not for long...
  1245. David S. "Greeny" Greenberg
  1246. Departmental Technician
  1247. Department of Learning Resources
  1248. Western Illinois University
  1249.  
  1250. Bitnet: MISS026@ECNCDC
  1251. Internet: MISS026%ECNCDC.BITNET@CUNYVM.CUNY.EDU
  1252. Disclaimer: My department takes no responsibility for what I say....it's
  1253.             all supposed to be my opinions....
  1254. =========================================================================
  1255. Date:         Wed, 4 May 88 12:12:00 EDT
  1256. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1257. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1258. From:         "Dr. Woody" <WWEAVER@DREW>
  1259. Subject:      COREWARS, the Scientific American game implemented on a macintosh
  1260.  
  1261. Greetings everyone,
  1262.  
  1263.   There was some inquiry into the Scientific American game "CoreWars".  I've
  1264. a version for the macintosh.  The help manual gives a pretty good feel for
  1265. what the game is about.  The program is shareware, and the manual includes
  1266. the authors name and address - I don't know if it is still current, but
  1267. the author says he will send you the source code (in C) for $15.  The file
  1268. is a trifle long, so I will send it to the list moderator - he can then
  1269. put in on the list or in the archives (or throw it away :-) ) as he sees fit.
  1270.  
  1271.                                                 woody
  1272.                                                 WWEAVER@DREW
  1273.  
  1274. * This is not an endorsement of the product - I've never played it, except to
  1275. verify that it ran (on a 512K mac with an old system).  But if we ever
  1276. succeed in getting viruses off of disk storage and force them to live in RAM,
  1277. COREWARS is an interesting metaphor. *
  1278. =========================================================================
  1279. Date:         Wed, 4 May 88 18:10:15 PDT
  1280. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1281. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1282. From:         Joseph Sieczkowski <joes@scarecrow.csee.lehigh.edu>
  1283. Subject:      Brain Virus info
  1284.  
  1285.  
  1286. I have some specific information on the brain virus.  I'd though that
  1287. I'd share it with you by forwarding it to the list.  Also, I'm sending
  1288. the source code to programs called "nobrain.c" and "checkmem.c" to the
  1289. owner of the list so he can make them publically avalible.  Nobrain
  1290. supposedly finds and kills the brain virus if present (memory and floppy).
  1291. And checkmem is just a utility to see if its resident.
  1292.  
  1293. Hope this is helpful,
  1294.  
  1295.  
  1296. ------------------------------------------------------------------------------
  1297.           Comments on the "(c) Brain" Virus
  1298.  
  1299. The virus is benign.  All it does is propogate itself.  The only way
  1300. it can spread is by booting an infected diskette.  Once booted, the
  1301. virus installs itself in memory and will proceed to infect an DSDD
  1302. floppies it can "find".
  1303.  
  1304. Diskettes
  1305.  
  1306. When infecting a diskette, the virus replaces the boot record (trk 0,
  1307. side 0, sect 1) with its own boot record.   This is the code that
  1308. actually installs the virus into memory.  It then locates 3 "free"
  1309. clusters from the FAT, loads the actual virus code into those clusters
  1310. along with a copy of the "real" boot record, and then marks those 3
  1311. clusters as "bad".   Finally, it installs a diskette volume label
  1312. of "(c) Brain" on the infected diskette.   However, the volume label
  1313. format isn't 100% correct so utilities such as Norton's will show it
  1314. as a "bogus" directory entry format but DOS will display it.
  1315. In the 3 custers (6 sectors), the "good" boot record is in the first
  1316. sector and the virus itself is in sectors 2-6 of the 3 clusters.
  1317. (Actually, the virus doesn't apprear to need all that space).
  1318.  
  1319. Operation
  1320.  
  1321.    - looks to see if infected (1234H will be in 0004 & 0005 of record)
  1322.    - it will load itself into the last 7K of ram and then set the
  1323.      DOS available ram value down by 7...  eg 640 will become 633,
  1324.      so that the virus in memory will be "safe".
  1325.    - changes the disk read/write vector (13 Hex) to point to his virus
  1326.    - stores the original 13H vector at a new vector (6D hex) which he
  1327.      invokes when a "real" read or write is needed.
  1328.    - the original boot record is moved to the 1st sector of the 3 bad
  1329.      clusters he as marked  (so he can still boot the PC after he has
  1330.      done his "dirty work")
  1331.    - his boot code is installed in original boot record location
  1332.      (Trk Hd Sct = 0 0 1).
  1333.    - 3 free clusters found, virus and boot rec place here, and marked
  1334.      as bad.
  1335.    - while checking FAT, he checks ID byte to insure that this is a
  1336.      DSDD diskette...  won't infect any other kind (which also precludes
  1337.      hard drives)
  1338.    - His "(c) Brain" label is written but he allows for the 2 hidden bios
  1339.      (he doesn't check if they are present).  The result is, if a completely
  1340.      empty diskette is infected, the label doesn't show up until at least
  1341.      2 files are on the diskette.
  1342.  
  1343.    At this point diskette is completely infected.  His infection of
  1344.    new diskettes is sort of random or "haphazard".
  1345.  
  1346.    - If a disk write occurs, he allows it to proceed as usual.
  1347.    - After 32 disk reads, he will infect a diskette and then every 4
  1348.      reads there after...  UNLESS, it is a read of trk 0 side 0 (ie
  1349.      directory area, FAT, etc.).  Then he immediately checks if infection
  1350.      is needed and does so if not already infected.  He resets the
  1351.      4-counter at this point.   This results in the virus spreading
  1352.      rather quickly while somewhat reducing the noticable degradation
  1353.      from the virus' overhead...  tho' it can be seen if you are looking
  1354.      for it)
  1355.  
  1356.  
  1357. That's about it.  If you are reading this, I hope it was of some use.
  1358.  
  1359. Carl Fussell
  1360. ------------------------------------------------------------------------------
  1361. =========================================================================
  1362. Date:         Thu, 5 May 88 08:25:29 EDT
  1363. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1364. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1365. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  1366. Subject:      new files available
  1367.  
  1368.  
  1369.  
  1370. I just posted three new files to VIRUS-L.  They are:
  1371.  
  1372. DIRTY DOZEN
  1373. NOBRAIN C
  1374. CHECKMEM C
  1375.  
  1376. Thanks to James Ford for sending in the Dirty Dozen list, and to
  1377. Joe Sieczkowski for sending in the anti-Brain programs.  The
  1378. Dirty Dozen is the "standard" listing of known trojan/virus programs.
  1379. The two C files are as Joe described - Brain killers.  I don't
  1380. have a Brain damaged :-) disk to test these with, so I'd appreciate
  1381. any comments (e-mail them to me please) from anyone who tries them
  1382. out.  Thanks again guys!
  1383.  
  1384.  
  1385. Ken
  1386.  
  1387. ------------------------------------------------------------------------
  1388. = Kenneth R. van Wyk                   =                    _   /|     =
  1389. = User Services Senior Consultant      =      Ack Thippfft! \'o.O`     =
  1390. = Lehigh University Computing Center   =                    =(___)=    =
  1391. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                       U       =
  1392. = BITNET:   <LUKEN@LEHIIBM1>           =      Bill 'n Opus in '88!     =
  1393. ------------------------------------------------------------------------
  1394.  
  1395.  
  1396.  
  1397.  
  1398.  
  1399.  
  1400.  
  1401.  
  1402.  
  1403.  
  1404. =========================================================================
  1405. Date:         Thu, 5 May 88 10:52:00 EST
  1406. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1407. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1408. From:         J_CERNY@UNHH
  1409. Subject:      The Shockwave Rider.
  1410.  
  1411. As a "literary" note on viruses, I thought some readers might be
  1412. interested in a few quoted fragments from John Brunner's science
  1413. fiction novel THE SHOCKWAVE RIDER.  TSR was published wayyyy-back in
  1414. 1975!  One of the interwoven, though somewhat obscure, themes is of
  1415. computer worms and viruses used to protect and attack computer data.
  1416.  
  1417. [p. 24] "Then the answer dawned on him, and he almost laughed.
  1418. Fluckner had resorted to one of the oldest tricks in the store and
  1419. turned loose in the continental net a self-perpetuating tapeworm ... .
  1420. It could take days to kill a worm like that, and sometimes weeks."
  1421.  
  1422. [p. 25] "Promptly he sent a retaliatory worm chasing Fluckner's. ...
  1423. According to recent report, there were so many worms and counterworms
  1424. loose in the data-net now, the machines had been instructed to give
  1425. them low priority unless they related to a medical emergency."
  1426.  
  1427. [p. 173] " ... I'd have written the worm as an explosive scrambler,
  1428. probably about half a million bits long, with a backup virus facility
  1429. and a last-ditch infinitely replicating tail."
  1430.  
  1431. [p. 174] "What you need is a worm with a completely different
  1432. structure. The type they call a replicating phage.  And the first
  1433. thing you must give it to eat is your original worm."
  1434.  
  1435.     Jim Cerny, University Computing, University of N.H.
  1436. =========================================================================
  1437. Date:         Thu, 5 May 88 10:45:00 CDT
  1438. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1439. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1440. From:         GREENY <MISS026@ECNCDC>
  1441. Subject:      A thought...
  1442.  
  1443. Internet: MISS026%ECNCDC.BITNET@CUNYVM.CUNY.EDU
  1444. Disclaimer: #include<std_legal_mumbo_jumbo.h>
  1445. What with all of the recent discussions on how giving out viral code and
  1446. copies of viruses being dangerous, it occured to me that this could be
  1447. true.  An unscrupulous person could very well pervert such code for his/
  1448. her/it's own purposes.  The solution that most of netland has seemed to
  1449. arrived at is to not distribute such code, but to distribute the techniques
  1450. for removing viruses from systems, as well as source code for such removal.
  1451.  
  1452. Now stop and think about this for a minute, if I am given the technique
  1453. for removing some infection, it also tells me HOW TO INFECT the system
  1454. in a similar manner by exposing weak points in the OS.  This is as good
  1455. as releasing the virus in question, and any unscrupulous persons out there
  1456. with a modicum of intelligence will be able to engineer a virus (which may
  1457. or may not be even more potent than the one being destroyed...) from the
  1458. provided information.  Therefore, it makes just as much sense not to release
  1459. any techniques on how to kill the viruses as well as programs that do the
  1460. actual removal (they could be disassembled and perverted as well).
  1461.  
  1462. Of course, this is all not possible, since we all must work together in the
  1463. eradication of these beasties, and as such viral code and viruses should
  1464. be released to the general public if we are to be able to work on a cure
  1465. to this problem.  You don't see the US government saying "well AIDS is
  1466. pretty nasty stuff, no one can touch it but us, and we'll get back to
  1467. ya with our results later..." --- EVERYONE IS WORKING TOGETHER on the
  1468. eradication of that deadly disease and it should also be such with computer
  1469. viruses....
  1470.  
  1471. * flame off *
  1472. Bye for now but not for long
  1473. Greeny
  1474. Bitnet: MISS026@ECNCDC
  1475. =========================================================================
  1476. Date:         Thu, 5 May 88 13:03:14 EDT
  1477. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1478. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1479. Comments:     In-Reply-To:  Message of Thu,
  1480.               05 May 88 12:04:28 EDT from <MISS026@ECNCDC>
  1481. From:         "David M. Chess 862-2245" <CHESS@YKTVMV>
  1482. Subject:      A thought...
  1483.  
  1484. That's probably a good philosophical point, but the practical point
  1485. behind it isn't quite true.   Since the only "weaknesses" that a
  1486. virus needs to exploit are things like "it's possible for a program
  1487. to alter another program" and "it's possible to start a process
  1488. that can intercept I/O calls to the OS", and since those are
  1489. things that most programmers already know, anti-virus programs
  1490. don't have to "give away" anything that would help a virus
  1491. writer.
  1492.   One typical kind of virus-detector just notices (by a checksum
  1493. or whatever) what executable files have changed since the last
  1494. time it was run.   All that reveals about viruses is that some
  1495. of them change executable files.  More specific anti-virus
  1496. programs look for certain (meaningless-in-isolation) data in
  1497. certain places in executable files, and tell you that the file
  1498. is infected with Virus X if it finds it.   All that reveals is
  1499. that, for instance, "some virus puts the bytes F1 02 97 BC 00 90
  1500. at offset 011E in infected COM files" (no, that's not a real
  1501. example).
  1502.   So it is possible to distribute a certain amount of anti-virus
  1503. information without spreading any how-to-write-a-virus information.
  1504. (Note that I have carefully avoided giving any opinion about whether
  1505. any of the latter sort of information ought to be spread!)
  1506.  
  1507. Dave Chess
  1508. Watson Research
  1509.  
  1510. * Nothing in this posting is an Official Statement of anybody,
  1511. * whether I work for them or not.
  1512. =========================================================================
  1513. Date:         Thu, 5 May 88 16:04:00 EDT
  1514. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1515. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1516. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  1517. Subject:      Another file available
  1518.  
  1519.  
  1520. I've posted another file here on VIRUS-L.  The filename is:
  1521.  
  1522. RISKS LOG
  1523.  
  1524. It contains a complete set of all of the computer virus discussions
  1525. that have taken place on the RISKS forum over the past year or so.
  1526. The file is very large, so it was not a good idea to send it to the
  1527. entire list.  Because of the file size, please only retrieve this file
  1528. if you *really* want it, just to keep unnecessary network traffic to
  1529. a minimum.
  1530.  
  1531. For the benifit of newcomers to the list, you can retrieve a file on
  1532. the list by sending a message to LISTSERV@LEHIIBM1 containing:
  1533.  
  1534. GET filename filetype
  1535.  
  1536. For the above file, RISKS LOG, you would send:
  1537.  
  1538. GET RISKS LOG
  1539.  
  1540. To get a list of available files, send, also to LISTSERV@LEHIIBM1:
  1541.  
  1542. INDEX VIRUS-L
  1543.  
  1544. The available files include a per month log of all of the messages
  1545. sent to VIRUS-L.
  1546.  
  1547. Ken
  1548.  
  1549. ------------------------------------------------------------------------
  1550. = Kenneth R. van Wyk                   =                    _   /|     =
  1551. = User Services Senior Consultant      =      Ack Thippfft! \'o.O`     =
  1552. = Lehigh University Computing Center   =                    =(___)=    =
  1553. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                       U       =
  1554. = BITNET:   <LUKEN@LEHIIBM1>           =      Bill 'n Opus in '88!     =
  1555. ------------------------------------------------------------------------
  1556.  
  1557.  
  1558.  
  1559.  
  1560.  
  1561.  
  1562.  
  1563.  
  1564.  
  1565.  
  1566. =========================================================================
  1567. Date:         Thu, 5 May 88 16:07:00 EDT
  1568. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1569. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1570. From:         EAE114@URIMVS
  1571. Subject:      DISSEMINATING SOURCE CODE
  1572.  
  1573. Greeny <MISS026@ECNCDC> comments that it is possible to
  1574. analyze the code for a virus hunter, and thereby develope
  1575. another, more virulant virus.  By way of analogy, he comments
  1576. that the US government has not declared a monopoly on AIDS
  1577. research.
  1578. - - Initial Reaction:   Good point.
  1579. However, while  there is no monopoly on the virus, there IS
  1580. a definate effort to restric access to samples of the virus
  1581. itself, and rightly so.   In terms of distributing source-code
  1582. of viruses (Virae?)  If I have the source code to a virus-killer,
  1583. I can reverse engineer it, and get a virus; OR i can run it, as
  1584. is, to hunt viruses.  If I have the source code for a VIRUS,
  1585. I can reverse-engineer it, to make a virus-killer;  OR i can
  1586. run it as is, to infect other systems.
  1587. -
  1588. Since I can distribute code that makes it EASY to hunt viruses,
  1589. and HARD to create them,  why distribute code that does the reverse?
  1590. The only reason I can see for wanting a virus is to test your
  1591. virus killer, and it seems as if, if you're good enough to
  1592. write the killer, you ought to be able to write the virus from the
  1593. description.
  1594. (PRose: EAE114@URIMVS)
  1595. -------------------------------------------------------
  1596. Disclaimer:  My opinions are supported, dictated, and ghost-
  1597. written by the University, the state, the federal government,
  1598. The CIA, and the POPE.   If you don't like it, sue them.
  1599. =========================================================================
  1600. Date:         Thu, 5 May 88 16:44:00 EDT
  1601. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1602. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1603. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  1604. Subject:      Virus source code
  1605.  
  1606.  
  1607. I suppose we can argue until our fingers bleed as to why or why not
  1608. distribute source code to viruses; and there are probably valid
  1609. arguments for both sides.  But, as a matter of somewhat arbitrary
  1610. policy, I don't think that virus source code should be distributed
  1611. to the list.  Discussion of *how* a particular virus works is great,
  1612. but distributing the source code is, in my opinion, not a good idea.
  1613. Distributing source code to a program which "hunts and kills" viruses,
  1614. however, could be benificial because it is for the common good.
  1615.  
  1616. So, that's the official standpoint.  Comments/suggestions/flames are
  1617. invited *IF* you e-mail them to me directly and not to the list;
  1618. it *is* possible to change policy.  But, I feel that we've had enough
  1619. discussion on this matter on the list already.  Everyone made good
  1620. valid points...
  1621.  
  1622. Ken
  1623.  
  1624. ------------------------------------------------------------------------
  1625. = Kenneth R. van Wyk                   =                    _   /|     =
  1626. = User Services Senior Consultant      =      Ack Thippfft! \'o.O`     =
  1627. = Lehigh University Computing Center   =                    =(___)=    =
  1628. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                       U       =
  1629. = BITNET:   <LUKEN@LEHIIBM1>           =      Bill 'n Opus in '88!     =
  1630. ------------------------------------------------------------------------
  1631.  
  1632. =========================================================================
  1633. Date:         Thu, 5 May 88 09:35:00 URZ
  1634. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1635. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1636. From:         BG0@DHDURZ2
  1637. Subject:      Virus Construction Set
  1638.  
  1639.  
  1640.  
  1641. Hi folks,
  1642.  
  1643. bad news from Germany. I have forgotten to tell you something in my
  1644. last message: Not all people concerned with computer viruses (esp.
  1645. virus programmers) over here are aware of what they are doing. In April
  1646. this year a unbelievable program called "VIRUS CONSTRUCTION SET (VCS)"
  1647. was released at the Hannover computer faire CeBIT.
  1648.  
  1649. The VCS is a program written for the Atari ST series and allows *EVERY*
  1650. Atari user to create his "own" virus. The program is menue driven -
  1651. you can select different infection methods, damage initialisers, damages,
  1652. and target files. You dont have no know how a virus work to create one,
  1653. you just have to know how to turn on your Atari and how to start the VCS
  1654. program!!!
  1655.  
  1656. No further comments  --
  1657.  
  1658. All the best to you all,
  1659. Bernd.
  1660. =========================================================================
  1661. Date:         Thu, 5 May 88 12:32:36 EST
  1662. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1663. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1664. From:         Joe Simpson <JS05STAF@MIAMIU>
  1665. Subject:      Ethics and information
  1666.  
  1667. I'd like to respond to three thoughts posted to virus-l.
  1668.  
  1669. 1.  The virus that kills the virus.  At first thought seems anathema, but
  1670.     I see no problem with it if it follows the
  1671.     ethical restraint:  It must not write to a disk without the explicit
  1672.     permission of the disk operator.  This includes, of course, "virus
  1673.     removal."
  1674.  
  1675. 2.  There has been a lot of discussion about the need to hide information,
  1676.     and especially code, permitting easy development of viruses.  My personal
  1677.     opinion is that it requires little imagination and readily available
  1678.     information to write a virus.  Say $30 in manuals and some simple
  1679.     hacking around.  If this opinion is accurate, hiding information has
  1680.     little benefit.
  1681.  
  1682. 3.  There is an opinion that no one should download code from bulletin boards.
  1683.     Only source code should be distributed.  For most people a virus hidden
  1684.     in source code is just as undetectable  as a virus hidden in a machine
  1685.     image.  I hope that this opinion will not prevent virus-l from storing
  1686.     useful machine images.  If computing society becomes overly protective
  1687.     in response to this anti-social behavior, then we all loose.  The
  1688.     analogy with radical revolutionary doctrine is straigforward.
  1689. =========================================================================
  1690. Date:         Fri, 6 May 88 12:31:00 LCL
  1691. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1692. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1693. From:         Michael Wagner new! +49 228 8199645 <WAGNER@DBNGMD21>
  1694. Subject:      Re: A thought...
  1695.  
  1696.   A number of things were said in this posting that were addressed
  1697.   by others, so I won't repeat it, but one bears comment still:
  1698.  
  1699. > From:         GREENY <MISS026@ECNCDC>
  1700. >
  1701. > ...we all must work together in the eradication of ...(viruses)...
  1702. > You don't see the US government saying "well AIDS is pretty nasty
  1703. > stuff, no one can touch it but us, and we'll get back to ya with
  1704. > our results later..."
  1705.  
  1706.   Actually, that is exactly what I saw the US government doing for
  1707.   the longest time.  In fact, for several years, the government
  1708.   solution to AIDS was 'a hope and a prayer'.  Stop promiscuity and
  1709.   AIDS will go away by itself.  And besides, AIDS only strikes
  1710.   people who are non-white, or homosexual or drug abusers.  Nothing
  1711.   there for decent people to worry about.  Why should we research
  1712.   the thing?  Why should we provide care for the afflicted?  Nobody
  1713.   we care about is affected!
  1714.  
  1715. > --- EVERYONE IS WORKING TOGETHER on the eradication of that deadly
  1716. > disease and it should also be such with computer viruses....
  1717.  
  1718.   This is a relatively new phenomenon that real research is being
  1719.   done on AIDS, and recent studies have shown that the delay will be
  1720.   responsible for untold deaths.  The stakes are clearly different
  1721.   with computers, but the idea isn't much different.  Work done now
  1722.   to understand and limit virus spread will save much pain later.
  1723.  
  1724. Michael
  1725. =========================================================================
  1726. Date:         Fri, 6 May 88 08:42:58 EDT
  1727. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1728. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1729. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  1730. Subject:      A reader's description of LaSalle talk.
  1731.  
  1732.  
  1733. I just got this description of the LaSalle virus seminar from
  1734. J.D. Abolins - thanks J.D.!
  1735.  
  1736. Ken
  1737.  
  1738. -----------------
  1739.  
  1740.  
  1741. Computer Virus Seminar at La Salle University
  1742. reported by J.D. Abolins
  1743.  
  1744.                                    OVERVIEW
  1745.  
  1746. (Philadelphia,PA)  On Thursday, 28 April 1988, the Philadelphia Area Computer
  1747. Society (PACS) and La Salle University Academic Computing presented a seminar
  1748. on computer viruses. The panelists for the seminar were-
  1749.  
  1750. - John Hagman, a Personal Computer (PC) Support Analyst with the Phildelphia
  1751. Electric Company (PEC)
  1752. - Donald Montabana, a MacIntosh and PC support specialist at the University of
  1753. Pennsylvania
  1754. - Steve Weissman, vice-president of PACS and a systems operator (sysop) for
  1755. one of PACS bulletin borard system's (BBS) sections.
  1756. - Raymond Glath, president of RG Software Systems, Inc.
  1757. - Pam Kane and Andy Hopkins, both from Panda Systems.
  1758.  
  1759. Steve Longo, the president of PACS and the director of La Salle University
  1760. Academic Computing, moderated the seminar.
  1761.  
  1762.   The panelists took turns speaking, Instead of using a rigid, subject-based
  1763. outline for the presentations, the presentations focused on the speakers' own
  1764. experiences and viewpoints. At certain points, the audience was given a chance
  1765. to ask questions and to make comments. The audience participation was lively.
  1766. (15 minutes before the seminar began, there were only a few people in the
  1767. audience but by the time the seminar got under way, the room was filled.)
  1768. After the seminar, copies of virus literature was distributed. PACS had an
  1769. anti-virus/anti-Trojan programs disk available for purchase.
  1770.  
  1771.  
  1772.                               THE PRESENTATIONS
  1773.  
  1774. RAY GLATH:  Ray Glath, the first speaker, told how when he started working
  1775. with computers over 20 years ago, there were some cases of malicious programs.
  1776. But in those days, those programs did not go far. Today, several factors have
  1777. contributed to the ability of such programs to move rapidly. First is the
  1778. proliferation of the microcomputers; in short, there are far more computers
  1779. than in 1964. The other factor is the "pass around" attitude towards software
  1780. along with a casual attitude towards software piracy. Mr. Glath described
  1781. shareware and freeware as good marketing approaches but warned that there are
  1782. some nasty people who modify good programs, making harmful copies of them.
  1783.  
  1784.    A virus, as defined by Mr. Glath, is "a nasty" that replicates itself. But
  1785. whether the nasty program is a virus or a Trojan Horse, it all boils down to
  1786. computer sabotage. He outlined the types of nasty programs-
  1787.  
  1788. - MASSIVE DESTRUCTIVE which destroy the whole computer system.
  1789. - PARTIAL DESTRUCTIVE which may attack the File Allocation Table (FAT) or the
  1790. boot sector of a hard disk.
  1791. - SELECTIVE ATTACK which attacks specific files (eg.; COMMAND.COM or .EXE
  1792. files.)
  1793. - RANDOM ATTACK which are elusive. They have no easily discerned mode of
  1794. attack and, thus, escape detection for a long time.
  1795. - NON_DESTRUCTIVE which are annoyances. They usually produce messages or
  1796. modify disk labels.
  1797.  
  1798.    Mr. Glath closed his presentation by noting that the virus proliferation is
  1799. a real trend that is getting considerable attention, but one will be quite
  1800. safe if one takes precautions.
  1801.  
  1802. DONALD MONTABANA: Mr. Montabana reviewed his experiences with computer viruses
  1803. at the University of Pennsylvania. Since January 1988, the number of virus
  1804. incidents had not been severe. On average day, he would get five to seven
  1805. calls about possible virus attacks; most of them were false alarms. On the
  1806. University's campus, only 10% or less of the calls are actual virus attacks.
  1807.  
  1808.    Most of the recent cases involve ASHAR, BRAIN, or their variants. These
  1809. types have been prevalent on several other campus as well. These programs will
  1810. modify disk volume labels; some of them are quite destructive. They get their
  1811. names from the names they will put into the volume labels. Mr. Montabana noted
  1812. that  the BRAIN virus will infect only the 360K format disks.  Other  formats,
  1813. such  as the 720K and 1.44M,  are immune to the current version of  BRAIN.  He
  1814. noted that BRAIN,  unfortunately,  can eat away at the FAT and that it resides
  1815. on the boot sector of a hard disk.
  1816.  
  1817.   Mr. Montabana also described some of the precautions used at the University
  1818. for "safe computing". Certain of the Local Area Networks (LAN's) are isolated.
  1819. Their users are restricted in what diskettes they can use on these systems.
  1820. Even blank, formatted diskettes are off-limits. Only unformatted diskettes are
  1821. allowed to be brought in; they are formatted on these "clean" computers.
  1822.  
  1823.   The arrogance of some virus writers was noted by Mr.  Montabana when he told
  1824. about  the threats by virus writers aimed at Tom Brown,  the author of VACCINE
  1825. for the MacIntosh. The virus writers threaten to unleash nastier programs that
  1826. will  circumvent  VACCINE's defenses if Tom Brown continues  developing  anti-
  1827. virus programs.
  1828.  
  1829.   He noted that the National Computer Security division of the National
  1830. Security Agency (NSA) is tracking down the perpetrators, intending to
  1831. prosecute them. Mr. Montabana, along with the other panelists, hope that the
  1832. sucessful prosecution of virus writers will deter future virus makers. Also,
  1833. he forsees specific anti-virus legislation down the line.
  1834.  
  1835. JOHN HAGMAN: Mr. Hagman explained how he became interested in malicious
  1836. programs after several "hard cards" (hard disks mounted on a card) crashed
  1837. within weeks of installation at his office. The disks had their boot sectors
  1838. wiped out. Although the cause of these crashes is still unknown, the incidents
  1839. perked his curiousity. PEC asked Mr. Hagman to research available defenses
  1840. against  viruses and other malicious programs.  So he looked into the  various
  1841. commercial and non-commercial programs.  He commented,  "There is no piece  of
  1842. software  that  is going to be the answer." The most popular of these  program
  1843. protect  the operating system by checking it periodically against a backup  or
  1844. by using numeric checksum methods.  Others look for direct reads and writes to
  1845. disks.  Besides  anti-virus  software,  Mr.  Hagman  mentioned  several  other
  1846. safeguards.  Write-protect  one's original  DOS  diskette.  Periodically,  re-
  1847. install  the  systems  files on one's hard disk.  Computer  installations  may
  1848. consider  the  policy used by PEC- no unauthorized software on  the  company's
  1849. machines.
  1850.  
  1851. STEVE WEISSMAN:  He started his presentation by saying that he himself has not
  1852. seen a virus and that he is somewhat of a "doubting Thomas".  He proceeded  to
  1853. describe  his  experience  as  a computer systems administrator  for  a  large
  1854. company and as one of the sysops for the PACS BBS.  In both areas,  he has not
  1855. encountered a virus.  Mr. Weissman described several factors that has kept his
  1856. section of the PACS BBS virus-free.  The first safeguard is that PACS gets its
  1857. public domain/shareware software from large software distributors  which,  for
  1858. their own protection, check the software. Second, the PAC BBS is a closed BBS;
  1859. only PACS members can get access. Each uploaded file can be traced back to the
  1860. person who uploaded it.  During the seminar, Mr. Weissman emphasized, "Backup.
  1861. Backup.  Backup," ones data. Regarding the future of the viruses, he said that
  1862. he  does not know but he hopes that well-publicized prosecutions will stop the
  1863. trend.
  1864.  
  1865. PAM KANE: The two represenatives from Panda Systems covered separate aspects
  1866. of the virus problems. Ms. Kane dealt with them from the human resources
  1867. aspect while Mr. Hopkins covered the technical aspects. Ms. Kane expressed her
  1868. concern that "BBS's and shareware are getting the image of being the 'public
  1869. baths' of the computer world." She admonished computerists not to panic but,
  1870. rather, to take wise precautions. Comparing the viruses to the AIDS situation,
  1871. she advised that if one is "monogamous" with one's computer, one will be quite
  1872. safe.  She also noted that main mode of virus infection is through innocent
  1873. spreading by people who are unaware of the viruses. Two of the most prominant
  1874. categories of innocent carriers are 1) the people who take computer work home
  1875. with them, and 2) the people who do not have a computer at home and are using
  1876. their office computers for computer course homework. Both of these categories
  1877. represent some of the most valuable workers in a corporation. Ms. Kane
  1878. mentioned some of the precautions to prevent virus spread. One of these
  1879. methods is to boot from floppy when preparing to call a BBS to download files.
  1880. The files should be downloaded to a floppy, not to the hard disk. If one does
  1881. get a virus, remember to use low-level format when cleaning up the hard disk.
  1882. She emphasized the importance of keeping aware of the files on one's hard
  1883. disk- "Be in touch with your hard drive."
  1884.  
  1885. ANDY HOPKINS:  Mr. Hopkins told how the popular Trojan Horse and virus detctor
  1886. programs CHK4BOMB and BOMBSQAD were both unauthorized releases of software
  1887. developed by Panda Systems. Some versions of these programs, he warns, have
  1888. been modified and made into destructive programs. He explained how the Doctor
  1889. Panda Utilities ultilize the methods similar to the two programs, but with
  1890. additional features. The Utilities have a three-part approach-
  1891.  
  1892. - PHYSICAL which creates a "clean model" of the computer system and uses the
  1893. "model" to check for abnormal alterations of systems files and any other files
  1894. specified by the user.
  1895. - LABTEST which reads a specified file, checks for commands bypassing DOS, and
  1896. displays any embedded ASCII characters.
  1897. - MONITOR which loads into the memory and monitors for specified types of disk
  1898. activity, stopping the system if any are encountered.
  1899.  
  1900.                                   CONCLUSION
  1901.  
  1902.    From the presentations and the discussions, one could glean much
  1903. information about computer viruses. While the speakers agreed that nobody can
  1904. be sure about the future, they agreed that computerists are reasonably safe if
  1905. they take reasonable precautions. The seminar was well worth the time and
  1906. effort to get there.
  1907.  
  1908.    As I am writing the finish to this article, I am reminded of a concern
  1909. expressed by many of the panelists. They were alarmed by the irresponsible
  1910. computer journalists who have gone beyond informing the public about the
  1911. viruses by giving "how-to" guides for writing viruses. It is a phenomenon that
  1912. is especially prevalent in the MacIntosh field. (Perhaps because it appears to
  1913. be easier to write a MacIntosh virus than a MSDOS one.) This is valid one,
  1914. since it is important to inform computerists but there is no need to give
  1915. aspiring virus writers their start.
  1916.  
  1917. ------------------------------------------------------------------------
  1918. = Kenneth R. van Wyk                   =                    _   /|     =
  1919. = User Services Senior Consultant      =      Ack Thippfft! \'o.O`     =
  1920. = Lehigh University Computing Center   =                    =(___)=    =
  1921. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                       U       =
  1922. = BITNET:   <LUKEN@LEHIIBM1>           =      Bill 'n Opus in '88!     =
  1923. ------------------------------------------------------------------------
  1924.  
  1925. =========================================================================
  1926. Date:         Fri, 6 May 88 08:24:05 EDT
  1927. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1928. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1929. From:         Jim Frost <madd@bu-it.BU.EDU>
  1930. Subject:      Re: The Shockwave Rider.
  1931.  
  1932. |As a "literary" note on viruses [...]
  1933.  
  1934. Intrepid readers might like the book "P1" which is probably the first
  1935. book dealing withh the topic ofviruses/worms.  I've also read
  1936. "Valentina" but the former is much better.
  1937.  
  1938. Now back to your regularly scheduled virus reports....
  1939.  
  1940. jim frost
  1941. madd@bu-it.bu.edu
  1942. =========================================================================
  1943. Date:         Fri, 6 May 88 08:32:11 EDT
  1944. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1945. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1946. From:         Jim Frost <madd@bu-it.BU.EDU>
  1947. Subject:      Re: Virus Construction Set
  1948.  
  1949. |bad news from Germany. I have forgotten to tell you something in my
  1950. |last message: Not all people concerned with computer viruses (esp.
  1951. |virus programmers) over here are aware of what they are doing. In April
  1952. |this year a unbelievable program called "VIRUS CONSTRUCTION SET (VCS)"
  1953. |was released at the Hannover computer faire CeBIT.
  1954.  
  1955. I don't know about in Germany, but it's my bet that anyone releasing
  1956. such a beast in the United States would get a handful of lawsuits.
  1957. I'd be in on sueing the hell out of them!
  1958.  
  1959. What would prompt someone to write such a damaging "utility"?
  1960.  
  1961. jim frost
  1962. madd@bu-it.bu.edu
  1963. =========================================================================
  1964. Date:         Fri, 6 May 88 09:37:19 EDT
  1965. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1966. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1967. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  1968. Subject:      files
  1969.  
  1970.  
  1971. A couple people have made some great suggestions for improving
  1972. the uuencoding/uudecoding process here on VIRUS-L.  So, I've
  1973. included a BASIC version of uudecode (filename UUDECODE BAS) as
  1974. well as a new improved uuencode/uudecode package called uu213
  1975. (filename UU213 UUE).  The BASIC uudecoder will work with any
  1976. GW-BASIC compatible BASIC interpreter...slowly.  It is *not*
  1977. ...er...shall I say, fast.  But, for those of you who don't have
  1978. Turbo Pascal, you can get the BASIC uudecoder, and the UU213
  1979. package. UU213, by the way, is a uuencoded ARC file containing
  1980. a very fast uuencode and uudecode in executable form.  Both of
  1981. these files were obtained from the MS-DOS archives on SIMTEL20.ARPA.
  1982.  
  1983. Thanks to all who sent in these suggestions and files!  Hopefully,
  1984. this will be the uuencode/uudecode to end all uuencode/uudecode's.  :-)
  1985.  
  1986.  
  1987. Ken
  1988.  
  1989. ------------------------------------------------------------------------
  1990. = Kenneth R. van Wyk                   =                    _   /|     =
  1991. = User Services Senior Consultant      =      Ack Thippfft! \'o.O`     =
  1992. = Lehigh University Computing Center   =                    =(___)=    =
  1993. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                       U       =
  1994. = BITNET:   <LUKEN@LEHIIBM1>           =      Bill 'n Opus in '88!     =
  1995. ------------------------------------------------------------------------
  1996.  
  1997. =========================================================================
  1998. Date:         Fri, 6 May 88 14:12:40 EDT
  1999. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2000. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2001. From:         OJA@NCCIBM1
  2002.  
  2003. One of the things mentioned in the discussions during the
  2004. La Salle virus seminar was the existence of malicious program that
  2005. would rewrite or erase firmware but rapid reads and writes which
  2006. would heat up the EPROMs and erase them. I haven't heard of this
  2007. before so I am putting out for comments, etc.
  2008.  
  2009. The only form of hardward damage from a malicious program that I know of
  2010.  is an old Trojan Horse for the early Commodore PETs. It would burn out
  2011. their monitors if allowed to run for a while. Just a quirk of the
  2012. beastie.
  2013.  
  2014. J. D. Abolins
  2015. =========================================================================
  2016. Date:         Fri, 6 May 88 13:59:00 EST
  2017. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2018. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2019. From:         Mitchel Ludwig <KMFLUDW@VAX1.CC.LEHIGH.EDU>
  2020. Subject:      RE: Re: Virus Construction Set
  2021.  
  2022. >|bad news from Germany. I have forgotten to tell you something in my
  2023. >|last message: Not all people concerned with computer viruses (esp.
  2024. >|virus programmers) over here are aware of what they are doing. In April
  2025. >|this year a unbelievable program called "VIRUS CONSTRUCTION SET (VCS)"
  2026. >|was released at the Hannover computer faire CeBIT.
  2027. >
  2028. >I don't know about in Germany, but it's my bet that anyone releasing
  2029. >such a beast in the United States would get a handful of lawsuits.
  2030. >I'd be in on sueing the hell out of them!
  2031. >
  2032. >What would prompt someone to write such a damaging "utility"?
  2033.  
  2034.     Jim,
  2035.  
  2036.     Not that you (or anyone for that matter) will want to hear
  2037. this, but chances are good that anyone wishing to market such a
  2038. program in the U.S. will have no problem doing so.  It's probably
  2039. comparable to those selling the copy boards and such which would seem
  2040. to be in direct violation of the shrink wrap laws (are those the
  2041. correct laws?)
  2042.  
  2043.     Unfortunately, as I see it, the free speech laws (of the
  2044. press... etc) allow such programs to be sold...  We don't have to like
  2045. it...  But we do have to deal with it...
  2046.  
  2047.  
  2048.             Mitch
  2049.  
  2050.  
  2051.                             Tag... You're it
  2052. ____________   ____/--\____                              //-n-\\
  2053. \______  ___) (   _    ____)                     _____---=======---_____
  2054.      __\ \____/  / `--'                      ====____\   /.. ..\   /____====
  2055.      )           `|=(- - - - - - - - - - -*//         ---\__O__/---         \\
  2056.      \------------'                        \_\                             /_/
  2057.  
  2058.      BITnet : MFL1@lehigh.bitnet                Phonet : 215-758-1381
  2059.      INTnet : KMFLUDW@vax1.cc.lehigh.edu        Slonet : Box 72 Lehigh Univ.
  2060.                                                          Bethlehem, PA 18015
  2061. =========================================================================
  2062. Date:         Fri, 6 May 88 13:30:00 CDT
  2063. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2064. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2065. From:         GREENY <MISS026@ECNCDC>
  2066. Subject:      re: hardware damage
  2067.  
  2068. > The only form of hardward [sic] damage from a malicious program that I know of
  2069. > is an old Trojan Horse for the early Commodore PETs...
  2070.  
  2071. Hmmm....I seem to remember a program for the Commodore VIC 20's that would
  2072. fry out a ROM or two.  Also the old tale from the days of core memory, of
  2073. a nutty programmer that continually accessed a location in memory until the
  2074. core that represented this memory location heated up.  The core was directly
  2075. over an overheat sensor.  When the core got hot enuf, the sensor tripped, and
  2076. the machine shut down.  Good thing we don't use core memory anymore!
  2077.  
  2078. Bye for now but not for long...
  2079. Greeny
  2080.  
  2081. Bitnet: MISS026@ECNCDC
  2082. Internet: MISS026%ECNCDC.BITNET@CUNYVM.CUNY.EDU
  2083. Disclaimer: What?? Who? Me? Nope...not me! It's that guy over there!
  2084. =========================================================================
  2085. Date:         Fri, 6 May 88 14:28:03 EDT
  2086. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2087. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2088. From:         Jim Frost <madd@bu-it.BU.EDU>
  2089. Subject:      Re:
  2090.  
  2091. |The only form of hardward damage from a malicious program that I know of
  2092. | is an old Trojan Horse for the early Commodore PETs. It would burn out
  2093. |their monitors if allowed to run for a while.
  2094.  
  2095. Another such problem exists with the old monochrome boards for PC's.
  2096. I haven't heard of any trojan horses/viruses which take advantage of
  2097. it, but it exists.
  2098.  
  2099. jim
  2100. =========================================================================
  2101. Date:         Fri, 6 May 88 14:39:22 EDT
  2102. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2103. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2104. From:         Jim Frost <madd@bu-it.BU.EDU>
  2105. Subject:      RE: Re: Virus Construction Set
  2106.  
  2107. |>What would prompt someone to write such a damaging "utility"?
  2108. |    Not that you (or anyone for that matter) will want to hear
  2109. |this, but chances are good that anyone wishing to market such a
  2110. |program in the U.S. will have no problem doing so.  It's probably
  2111. |comparable to those selling the copy boards and such which would seem
  2112. |to be in direct violation of the shrink wrap laws (are those the
  2113. |correct laws?)
  2114.  
  2115. It's not the same thing.  You have a right to archive programs for
  2116. your own use, which is why the copy people haven't been knocked out of
  2117. business.  Copying something does no harm to another person, unless
  2118. it's illegal copying and there are laws against that.  A virus
  2119. can (is supposed to?) cause harm.  The question isn't whether or not
  2120. someone can be sued for it, but rather who gets sued.  Should it be
  2121. the person that sent out the virus, or should it be the company that
  2122. made the virus creation program?  In any case, the company has aided
  2123. in the crime and may be at fault (although it might be possible to use
  2124. a "people kill with guns but gun companies aren't held responsible"
  2125. argument to get around this).
  2126.  
  2127. I guess we'll never know until it happens.
  2128.  
  2129. jim
  2130. =========================================================================
  2131. Date:         Fri, 6 May 88 14:52:38 edt
  2132. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2133. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2134. From:         Travis Lee Winfrey <travis@madonna.columbia.edu>
  2135. In-Reply-To:  OJA%NCCIBM1.BITNET@cuvma.columbia.edu's message of Fri,
  2136.               6 May 88 14:12:40 EDT <8805061822.AA00632@columbia.edu>
  2137.  
  2138. Hi all; I'm new to this list.  A few questions which may have been answered
  2139. before:
  2140.  
  2141. Is there a list anywhere of known viruses, malicious or otherwise?  or of
  2142. hardware/software combinations for which virus programs exist?
  2143.  
  2144. Also, is there a list of antibody- and immunization-type programs, including
  2145. those like chk4bomb that have been tampered with and re-released?  it would be
  2146. useful to have checksums published with these programs, although I suppose a
  2147. virus writer wouldn't be too troubled to make a checksum balance out.  perhaps
  2148. multiple checksums could be used to foil simple padding.
  2149.  
  2150. based on what has been discovered so far, does anyone have any feel for the
  2151. percentages of malicious vs. nonmalicious/humorous/political viruses out
  2152. there?
  2153.  
  2154. can anyone recommend a beginning text on epidemiological analysis?  :-), but I
  2155. would really be interested in such a book.
  2156.  
  2157. t
  2158. =========================================================================
  2159. Date:         Fri, 6 May 88 14:56:50 EDT
  2160. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2161. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2162. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  2163. In-Reply-To:  Message of Fri,
  2164.               6 May 88 14:52:38 edt from <travis@madonna.columbia.edu>
  2165.  
  2166. >Is there a list anywhere of known viruses, malicious or otherwise?  or of
  2167. >hardware/software combinations for which virus programs exist?
  2168.  
  2169. Wouldn't be too bad to start with DIRTY DOZEN, available here on VIRUS-L.
  2170. It seems to be *reasonably* thorough.  If you don't know how to get files
  2171. from here, e-mail me directly and I'll let you know.
  2172.  
  2173. Ken
  2174.  
  2175. ------------------------------------------------------------------------
  2176. = Kenneth R. van Wyk                   =                    _   /|     =
  2177. = User Services Senior Consultant      =      Ack Thippfft! \'o.O`     =
  2178. = Lehigh University Computing Center   =                    =(___)=    =
  2179. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                       U       =
  2180. = BITNET:   <LUKEN@LEHIIBM1>           =      Bill 'n Opus in '88!     =
  2181. ------------------------------------------------------------------------
  2182.  
  2183. =========================================================================
  2184. Date:         Fri, 6 May 88 13:10:00 CST
  2185. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2186. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2187. From:         LOWEY@SASK
  2188. Subject:      How can we protect programs from viruses?
  2189.  
  2190. Hi,
  2191.  
  2192.   I have written a number of utilities and programs which I put into the
  2193. public domain.  Usually they are written in Turbo Pascal, and the
  2194. source code is distributed as well.
  2195.  
  2196.   One thought I had was include a CRC check in the program. Randomly
  2197. throughout the code, the program would do a CRC check on its .EXE or
  2198. .COM file (or optionally the executing image).  If it didn't pass the
  2199. test, then it would display a message that the program was tampered
  2200. with and exit.  I think Lotus 1-2-3 does this as part of its copy
  2201. protection scheme.
  2202.  
  2203.  If something like this was added to the MS-DOS utilities and public
  2204. domain programs, it could stop the spread of some viruses.  For
  2205. instance, if COMMAND.COM had such a check, it would be much harder for
  2206. a hacker to patch a virus into it.
  2207.  
  2208.   Does anyone know of any method that protects your programs even if
  2209. the hacker knows the method used to do the protection?  In otherwords,
  2210. a hacker can know how it was done, but not how to defeat it?
  2211.  
  2212. Thanks,
  2213. Kevin Lowey -- University of Saskatchewan Computing Services
  2214. =========================================================================
  2215. Date:         Fri, 6 May 88 19:38:00 MDT
  2216. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2217. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2218. Comments:     Warning -- original Sender: tag was KPETERSEN@SIMTEL20.ARPA
  2219. From:         Keith Petersen <W8SDZ@SIMTEL20.ARPA>
  2220. Subject:      Flushot-Plus version 1.2 now available from SIMTEL20
  2221.  
  2222. The latest version of FLUSHOT, the anti-Virus/anti-Trojan program for
  2223. MSDOS, is available via standard anonymous FTP from SIMTEL20 as...
  2224.  
  2225. Filename            Type     Bytes     CRC
  2226.  
  2227. Directory PD1:<MSDOS.TROJAN-PRO>
  2228. FSP_12.ARC.1            BINARY     45646  2AD5H
  2229.  
  2230. This is Flushot-Plus, version 1.2.  It was obtained directly from the
  2231. author, Ross Greenberg, to assure its validity.
  2232.  
  2233. --Keith Petersen
  2234. Maintainer of the MSDOS archives at SIMTEL20.ARPA
  2235. =========================================================================
  2236. Date:         Mon, 9 May 88 16:05:00 CET
  2237. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2238. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2239. From:         "Karl-L. Noell" <NOELL@DWIFH1>
  2240. Subject:      hunting up infected files
  2241.  
  2242. Now we have come to the point where it's even possible to infect files
  2243. without altering their size or their time date stamps.  So I'd like to
  2244. recall the well known, efficient and approved cyclic redundancy check
  2245. (CRC).  It should be good practice, to compute the CRC remainder every
  2246. week for all files on harddisk drives.
  2247.  
  2248. For this purpose I'm using the very helpful tool  FILECRC  written by
  2249. Ted H. Emigh.  It's in SIMTEL20 / RPICICGE  <MSDOS.FILUTL>FILECRC.ARC .
  2250. Running FILECRC computes the individual checksums and leads over to
  2251. compare them with the CRCs obtained from the previous run.  This will
  2252. uncover all files which have been altered since the last run, especially
  2253. those modified in a 'non-DOS-manner'.  And all *new* files are shown,
  2254. revealing unwanted descendants born by trojanic creatures or hatched
  2255. out of any cuckoo egg.
  2256.  
  2257. Karl Noell
  2258. fhw (Wiesbaden, W.Germany)
  2259. =========================================================================
  2260. Date:         Mon, 9 May 88 10:52:00 EST
  2261. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2262. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2263. From:         "Jerry Leichter (LEICHTER-JERRY@CS.YALE.EDU)" <LEICHTER@YALEVMS>
  2264. Subject:      CRC's for detecting viruses
  2265.  
  2266. Unfortunately, it is very easy to modify a file so that any given CRC remains
  2267. unaltered.  The protection you get by using a CRC is thus quite limited - it
  2268. stops those virus-writers who aren't clever enough to work around it.
  2269.  
  2270. Stepping back a bit and looking at the bigger picture:  Given a program P,
  2271. viewed as a bitstring (or a very large number or a polynomial over Z mod 2 or
  2272. whatever is convenient), we want to compute a signature S(P) which is (a) fairly
  2273. small; (b) chosen so that it is "highly likely" that, if Q != P, S(Q) != S(P).
  2274. An example of a simple signature function is "number of bits (bytes, blocks)
  2275. in P" - the size of the file.  This simple function also points out the weak-
  2276. ness that a given S may have:  "Highly likely" must refer to a given set of
  2277. ways of chosing Q != P.  Virus makers at first did not go out of their way to
  2278. chose Q's the same size as P, so this S worked fine.  Now they know better, and
  2279. this S is useless.
  2280.  
  2281. There are many other possible S functions:  Sum of the bytes of P, XOR of P
  2282. viewed as a vector of 16-bit words, various weighted sums (given by something
  2283. like S[0] = 0; S[i+1] = k*S[i] + P[i], where P[i] is the i'th byte/word of P
  2284. and S = S[size(P)]), and so on.  CRC is yet another possibility.  All these
  2285. choices of S have uses given particular ways of chosing Q.  CRC is good if Q
  2286. is what comes out after sending P over a noisy telephone line - the kinds of
  2287. changes that that process induces to form Q from P are "highly likely" (in a
  2288. very precise sense) to change the CRC.  However, when you are talking about a
  2289. change due to an intelligent opponent, the story is very different.
  2290.  
  2291. There exist "cryptographically strong" S functions, in the sense that, given
  2292. P and S(P), it is "very difficult" - as hard as breaking some code - to find
  2293. ANY Q != P with S(Q) = S(P).  DES, the Data Encryption Standard, provides a
  2294. mode of use, called CKS (checksum) mode, in which you chose a secret key K,
  2295. then compute S(P) = DES_CKS(P,K).  This is cryptographically strong - it is
  2296. as hard to break as DES itself.  Unfortunately, it requires that K be kept
  2297. secret - given K, it is no more secure than, say, XOR.  What this means is
  2298. that an individual can chose a secret K and use this technique to checksum
  2299. his own files - but there is no way to publish a list of (P,S(P)) values that
  2300. would do anyone any good in determining whether a program they received was
  2301. intact, since to test it they would need to know K - and then the bad guys would
  2302. know K, too.
  2303.  
  2304. DES requires fairly slow computation.  It turns out that CRC CAN be used this
  2305. way, if you chose a random, secret CRC polynomial.  There's a paper by Michael
  2306. Rabin called "Fingerprinting by Random Polynomials" - sorry, I don't have a
  2307. handy reference - that shows how to do this, and proves that the result is
  2308. cryptographically strong - as long as the polynomial is kept secret.
  2309.  
  2310. It is also possible to construct cryptographically strong signatures that do
  2311. NOT require that a secret be kept.  These are essentially one-way functions
  2312. that are thought, for good reason, to be hard to invert.  It isn't hard to
  2313. build one of these using DES, or any good encryption function.  Unfortunately,
  2314. they tend to require a LOT of slow computation - what happens is that pieces of
  2315. P get fed in to the encryption function, not as data, but as keys.  Encryption
  2316. algorithms are designed for reasonable implementation for a FIXED key and
  2317. VARIABLE data - changing the key all the time is hard, since fast implementa-
  2318. tions usually rely on munging on the key for a while to set things up just
  2319. right.  (BTW, the security of such schemes comes from the difficulty, in a
  2320. good encryption system, of learning the key, even given a lot of plaintext/
  2321. ciphertext pairs.)
  2322.  
  2323. I would suggest a compromise:  A mechanism that, while not completely secure,
  2324. makes things very hard on a virus-maker while not requiring huge amounts of
  2325. computation.  When a program is published, a large number of random polynomials
  2326. (say, 100 or 1000) are chosen, using the techniques of Rabin's paper.  The CRC
  2327. of the program with ALL the polynomials is published.  To check a program, you
  2328. chose any two of the polynomials - also published - compute the CRC's, and
  2329. compare.  (You must, of course, chose those two at random.)  The virus maker
  2330. must make his program have the same CRC with respect to ALL the 100 or 1000
  2331. polynomials - which is possible, but requires (I believe, this would need to be
  2332. studied) a LOT of computation.  (The length should probably be checked - it's
  2333. going to be a lot easier on the virus maker if he can add extra stuff to the
  2334. end of the program to make the CRC's come out right.)
  2335.                                                         -- Jerry
  2336. =========================================================================
  2337. Date:         Mon, 9 May 88 12:50:00 EDT
  2338. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2339. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2340. From:         Atul Butte <ST602397@BROWNVM>
  2341. Subject:      Preventing public domain software contamination
  2342.  
  2343. With all the problems with virus infected public domain and shareware
  2344. software, I propose the following solution (for the Macintosh):
  2345.  
  2346. There exists a shareware program called StuffIt 1.4 which was designed
  2347. to group multiple files into one file which can then be uploaded.
  2348. StuffIt 1.4 is for the Macintosh, and is turning into a sort of standard
  2349. for packing. StuffIt 1.4, in addition to grouping files can compress
  2350. them and can encrypt them.
  2351.  
  2352. The proposal:
  2353. How about adding a new feature to StuffIt that encrypts files, but in
  2354. such a way that they can only be decrypted and not encrypted again? This
  2355. can be done with the following method. StuffIt could prompt the
  2356. uploading user to enter an encrypting code which is used to encrypt the
  2357. files. Along with the files, another code is included. This code is the
  2358. decrypting code, which downloading users can use to decrypt the file.
  2359. The decrypting code could be hashed by some secret function into the
  2360. original encrypting code. This method is similar to the "trapdoor"
  2361. functions used for Public-Key Cryptosystems with one-way functions.
  2362.  
  2363. The advantage of this is that the original author of a program can
  2364. encrypt his or her software and place it in the public domain without
  2365. the fear of others downloading the file, contaminating it with a virus,
  2366. and then uploading the file as the original.
  2367.  
  2368. Atul Butte                  /----------\  /----------\
  2369. Brown University            !    OK    !  !  CANCEL  !
  2370. ST602397@BROWNVM.BITNET     \----------/  \----------/
  2371. =========================================================================
  2372. Date:         Mon, 9 May 88 13:31:33 EDT
  2373. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2374. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2375. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  2376. Subject:      file confusion
  2377.  
  2378.  
  2379. There appears to be quite some confusion as to how to get files
  2380. from the VIRUS-L archives - I've gotten a *lot* of requests to
  2381. better explain myself.
  2382.  
  2383. Everyone on this list subscribed to the list by sending a message
  2384. to LISTSERV@LEHIIBM1 stating SUB VIRUS-L your name.  Well, retrieving
  2385. files is very similar to this.  Specifically,  you will once again be
  2386. sending a message to LISTSERV@LEHIIBM1, but instead of SUBscribing,
  2387. you will be GETting a specific file.  So, to get a particular file,
  2388. like DIRTY DOZEN, send mail to LISTSERV@LEHIIBM1 containing:
  2389.  
  2390. GET DIRTY DOZEN VIRUS-L
  2391.  
  2392. That's all.  You'll get the file DIRTY DOZEN in your mail shortly
  2393. afterwards.  If you want to *see* what files are available, send
  2394.  
  2395. INDEX VIRUS-L
  2396.  
  2397. Also to LISTSERV@LEHIIBM1.
  2398.  
  2399. Care should be taken to *NOT* send the message to VIRUS-L@LEHIIBM1 since
  2400. it will go out to the entire list and not reflect favorably upon
  2401. yourself...  :-)
  2402.  
  2403. Hope this clears things up.  Sorry for the repetition to those who already
  2404. know all about this.
  2405.  
  2406. Ken
  2407.  
  2408. ------------------------------------------------------------------------
  2409. = Kenneth R. van Wyk                   =                    _   /|     =
  2410. = User Services Senior Consultant      =      Ack Thippfft! \'o.O`     =
  2411. = Lehigh University Computing Center   =                    =(___)=    =
  2412. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                       U       =
  2413. = BITNET:   <LUKEN@LEHIIBM1>           =      Bill 'n Opus in '88!     =
  2414. ------------------------------------------------------------------------
  2415.  
  2416. =========================================================================
  2417. Date:         Mon, 9 May 88 17:19:52 EDT
  2418. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2419. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2420. From:         Jim <15360JIM@MSU>
  2421. Subject:      Request FSP_12.ARC.1 (Newest Flushot-Plus Program)
  2422.  
  2423. I tried to get a lastest copy of fsp_12.arc.1    I read a message that
  2424. I can get a clear copy from simtel20.arpa. But I don't know how to access
  2425. to simtel20.arpa directly. By the way, I checked listserv at rpicicge and
  2426. couldn't find any fsp_12.arc.1 there. Please help me out!
  2427. =========================================================================
  2428. Date:         Mon, 9 May 88 17:30:34 EDT
  2429. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2430. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2431. From:         OJA@NCCIBM1
  2432.  
  2433. In-Reply-To: Travis Lee Winfrey's message of 6 May 88
  2434.  
  2435.    Regarding the inquiry of a list of known viruses, malicious,
  2436. or otherwise.... first check the dirty dozen listing available
  2437. as a file from VIRUS-L. In a few weeks or earlier, I can get a
  2438. quick amalgam of couple of articles listing many of the viruses.
  2439. In a month or so, I hope to make a "VIRLOG" patterned after the
  2440. "dirty dozen" listings. It will be helpful but I can't gaurantee it
  2441. will 100% comprehensive. But I will be seeking to compile whatever
  2442. info I get here, from RISKS, and elsewhere that can be published.
  2443. With that listing will be a list of anti-virus/bomb programs.
  2444.  
  2445. BOMBSQAD and CHK4BOMB have been mentioned. On the files areas,
  2446. there are several good programs. As for tampered programs, well...
  2447. it is hard to keep up with that. However, I can warn you about
  2448. FLUSHOT4. It is a tampered version; that is why Ross Greenberg
  2449. calls his program FLUSHOT+ or (FSP). But the DOS REName command
  2450. makes tracking these nasties impossible. Whatever the name of the
  2451. FLUSHOT type program, watch for ones with executable text files
  2452. (ie.; COM or EXE files to run so the documentation will be
  2453. displayed.) Ross Greenberg uses ASCII files for the documentation.
  2454. Other than that and the suspect NOTROJ program (another story in
  2455. itself), I don't know of other tampered "cures".
  2456.  
  2457. Regarding books, I have heard of a "Hacker's Manual" but I haven't
  2458. seen it. There is no major book yet that I know of which deals
  2459. specifically and in detail about malicious programs.
  2460.  
  2461. J.D. Abolins
  2462. =========================================================================
  2463. Date:         Mon, 9 May 88 18:25:27 edt
  2464. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2465. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2466. From:         Travis Lee Winfrey <travis@madonna.columbia.edu>
  2467. In-Reply-To:  OJA%NCCIBM1.BITNET@cuvma.columbia.edu's message of Mon,
  2468.               9 May 88 17:30:34 EDT <8805092142.AA17475@columbia.edu>
  2469.  
  2470.    Regarding books, I have heard of a "Hacker's Manual" but I haven't
  2471.    seen it. There is no major book yet that I know of which deals
  2472.    specifically and in detail about malicious programs.
  2473.  
  2474. yes, I've seen the hacker's manual at a bookstore nearby.  it pre-dates
  2475. viruses, and is more for breaking into computers over networks or dialup lines.
  2476. it was surprisingly accurate, listing for each os: the login procedure, how to
  2477. find out user ids, what the privileged ids are (root, system, operator).  I
  2478. didn't see any lists of security bugs, but I was just glancing through it.
  2479. there was also a lot of phone-phreaking information in it.  the techniques are
  2480. mostly for game-seeking kids playing around with modems, but they do good job
  2481. of stripping away any security-by-ignorance schemes.
  2482.  
  2483. t
  2484. =========================================================================
  2485. Date:         Mon, 9 May 88 15:40:00 EDT
  2486. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2487. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2488. From:         "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  2489. Subject:      Re: hunting up infected files
  2490. In-Reply-To:  Message of 9 May 88 11:05 EDT from "Karl-L. Noell"
  2491.  
  2492.  
  2493. As an employee of the National Computer Security Center, I must point
  2494. out that we do *NOT* attempt to track perpetrators for prosecution or
  2495. for *ANY* other reason!
  2496.  
  2497. We are not a law enforcement Agency, and are prohibited by law to take
  2498. any such action.
  2499.  
  2500. We are interested in tracking the viruses (or ordinary Trojan Horses) as
  2501. they infect different sites.
  2502.  
  2503. As a matter of professional interest, I would be curious as to the
  2504. motivations of perpetrators of malicious code, or whether they are
  2505. members of "Hacker Clubs;" but that is information that may be conveyed
  2506. without identifying the people/organizations involved.
  2507.  
  2508. Joseph
  2509. =========================================================================
  2510. Date:         Tue, 10 May 88 11:35:32 edt
  2511. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2512. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2513. From:         Travis Lee Winfrey <travis@madonna.columbia.edu>
  2514.  
  2515.  
  2516.    From: LOWEY%SASK.BITNET@cuvma.columbia.edu
  2517.    Subject: How can we protect programs from viruses?
  2518.  
  2519.     If something like this was added to the MS-DOS utilities and public
  2520.    domain programs, it could stop the spread of some viruses.  For
  2521.    instance, if COMMAND.COM had such a check, it would be much harder for
  2522.    a hacker to patch a virus into it.
  2523.  
  2524. yes, but as with all checks built in to programs, if the test(s) can be found
  2525. in the code, executable or source, it can be patched and circumvented.
  2526. however, such checks would be very useful in slowing the spread of a virus.
  2527.  
  2528. t
  2529. =========================================================================
  2530. Date:         Tue, 10 May 88 17:41:00 LCL
  2531. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2532. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2533. From:         Michael Wagner new! +49 228 8199645 <WAGNER@DBNGMD21>
  2534. Subject:      Re: Virus Construction Set
  2535.  
  2536. > I don't know about in Germany, but it's my bet that anyone
  2537. > releasing such a beast in the United States would get a handful of
  2538. > lawsuits.  I'd be in on sueing the hell out of them!
  2539.  
  2540.   You'd have a hard time even finding a ground.  The fact that a
  2541.   crowbar can be used for burglary doesn't make it illegal to make
  2542.   crowbars.  Similarly, selling copy protection defeaters isn't
  2543.   illegal nor key making machines.  So it isn't per se illegal
  2544.  
  2545.   In terms of suing, you'd have to show that the manufacturer made
  2546.   something so unsafe that the owner of the program could not handle
  2547.   it safely.  I don't know how you'd go about doing that.  So suing
  2548.   the manufacturer is likely to be unprofitable.
  2549.  
  2550.   There are certain tools, the mere possession of which is a crime.
  2551.   The law justifies this by saying that there is no legitimate use
  2552.   for the tool, only the illegal one.  However, I think these must
  2553.   be explicitely listed, and I bet virus makers aren't on the list
  2554.   Perhaps you could them added.
  2555.  
  2556. Michael
  2557. =========================================================================
  2558. Date:         Tue, 10 May 88 17:19:00 LCL
  2559. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2560. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2561. From:         Michael Wagner new! +49 228 8199645 <WAGNER@DBNGMD21>
  2562. Subject:      Re: Virus Construction Set
  2563.  
  2564. > bad news from Germany. ... In April this year a unbelievable
  2565. > program called "VIRUS CONSTRUCTION SET (VCS)" was released at the
  2566. > Hannover computer faire CeBIT.
  2567.  
  2568.   Actually, at least on a certain philosophical plane, I see this as
  2569.   a good thing.  I have grown sick and tired of hearing, for most of
  2570.   the past decade, that security exposures are 'no problem' because
  2571.   no one except a real expert will be able to find them, let alone
  2572.   exploit them.  "No one will discover that back door and so we are
  2573.   safe".  This innocent, cute approach to a real problem is really a
  2574.   disservice to the community.
  2575.  
  2576.   Babies are innocent and naive.  They start out their lives shoving
  2577.   anything that fits in their mouth into their mouth.  They have to
  2578.   be taught to only put food into their mouths, and to accept food
  2579.   only from trustable sources.  If not, they can get very sick, and
  2580.   perhaps die.
  2581.  
  2582.   Basically, for the last few years, we computer people been living
  2583.   in a dream world.  It seems that we, as adults, still have to
  2584.   learn that, just because something fits, you don't *have* to try
  2585.   sticking it in (we can skip the obvious sexual parallels) and
  2586.   doing so might just be dangerous.
  2587.  
  2588.   If VCS does nothing else, it will demonstrate:
  2589.  
  2590. > You dont have no know how a virus work to create one, you just
  2591. > have to know how to turn on your Atari and how to start the VCS
  2592. > program!!!
  2593.  
  2594.   Maybe, as a result, manufacturers (hardware and software) will no
  2595.   longer be able to rely on the principle that complexity and
  2596.   secrecy are adequate protection.  When the consumer population
  2597.   understands the implications of 'toys' like VCS, even little kids
  2598.   will laugh at manufacturers who are silly enough to continue to
  2599.   tell their consumers such nonsense.
  2600.  
  2601. Michael
  2602. =========================================================================
  2603. Date:         Tue, 10 May 88 12:47:26 EDT
  2604. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2605. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2606. From:         Jim Frost <madd@bu-it.BU.EDU>
  2607. Subject:      software self-checks
  2608.  
  2609. |    If something like [a self-integrity check] was added to the
  2610. |   MS-DOS utilities and public domain programs, it could stop the
  2611. |   spread of some viruses.  For instance, if COMMAND.COM had such a
  2612. |   check, it would be much harder for a hacker to patch a virus into
  2613. |   it.
  2614. |
  2615. |yes, but as with all checks built in to programs, if the test(s) can be found
  2616. |in the code, executable or source, it can be patched and circumvented.
  2617. |however, such checks would be very useful in slowing the spread of a virus.
  2618.  
  2619. A couple of comments to this.  Yes, it'd slow the spread of viruses,
  2620. but it would also make you less paranoid about them (and thus less
  2621. likely to catch them), make viruses more likely to be obnoxious (what
  2622. kind of person would spend the time to work around the protections?),
  2623. and slow the system down as well.
  2624.  
  2625. This is a classic argument about security.  The advent of a "secure"
  2626. system will make users forget about security.  When security is
  2627. breached, the breach may never be found because no one is looking for
  2628. it.
  2629.  
  2630. Also, a word about intermittent security.  Users of the PClone utility
  2631. FLUSHOT (or its relatives) should be aware that just because a program
  2632. doesn't do anything while you're running with protection doesn't mean
  2633. it won't while you're not.  It is trivial to add code to check to see
  2634. if the FLUSHOT program is resident in your machine and just sit there
  2635. if it is, but wreck things if it is not.  Just when you trust a
  2636. program enough to not use the protection, you'll get burned.
  2637.  
  2638. jim frost
  2639. madd@bu-it.bu.edu
  2640. =========================================================================
  2641. Date:         Tue, 10 May 88 13:32:08 EDT
  2642. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2643. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2644. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  2645. Subject:      Checkup available on VIRUS-L
  2646.  
  2647.  
  2648. The Checkup program is now available on VIRUS-L.  It is a shareware
  2649. checksum program to aid in determining whether or not a file (or
  2650. files) has been altered.  The filename is CHKUP14 UUE.  It's a
  2651. uuencoded ARC file.
  2652.  
  2653. A caveat on this program, as with all the programs on VIRUS-L -
  2654. they're public domain (or shareware), and you get what you pay for.
  2655. ...which isn't to say that they're without merit.  I have run all
  2656. of the programs that I've posted, and I have obtained them from
  2657. reliable sources (SIMTEL20.ARPA for the most part).
  2658.  
  2659. Regards,
  2660.  
  2661. Ken
  2662.  
  2663. ------------------------------------------------------------------------
  2664. = Kenneth R. van Wyk                   =                    _   /|     =
  2665. = User Services Senior Consultant      =      Ack Thippfft! \'o.O`     =
  2666. = Lehigh University Computing Center   =                    =(___)=    =
  2667. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                       U       =
  2668. = BITNET:   <LUKEN@LEHIIBM1>           =      Bill 'n Opus in '88!     =
  2669. ------------------------------------------------------------------------
  2670.  
  2671. =========================================================================
  2672. Date:         Wed, 11 May 88 09:48:55 EDT
  2673. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2674. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2675. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  2676. Subject:      christmas exec details
  2677.  
  2678.  
  2679. Here are some details about the IBM "Christmas Exec" virus that was
  2680. floating around the network world right around Christmas 1987.
  2681. These were forwarded to me by a reader:
  2682.  
  2683.  
  2684.  
  2685.  
  2686.  
  2687.  
  2688.  
  2689. Date:    10 May 1988, 13:09:54 +0200 (MESZ)
  2690. From:    Otto Stolz             +49 7531 88 2645     RZOTTO   at DKNKURZ1
  2691. Subject: DIRTY DOZEN (Issue #8: February 21, 1988)
  2692.  
  2693. > ????????.???  ??????  V   There is a virus that was circulating
  2694. >                           around Bitnet in December that advertises
  2695.  
  2696. I can give you some details on this network-virus:
  2697.  
  2698. It's name was CHRISTMA EXEC .  I forgot its file size, and have kept no
  2699. log of it.
  2700.  
  2701. It consisted of a single program in the REXX language, which has been
  2702. available in the VM/SP operating system (for IBM mainframes) since
  2703. Release 3.  (The REXX language is also available under MS-DOS for
  2704. IBM-PC, -XT, and -AT, and it is announced for the mainframe operating
  2705. system MVS/TSO-E;  but for reasons given below, I reckon the virus could
  2706. reproduce itself only under VM/SP.)
  2707.  
  2708. The source of CHRISTMA EXEC (with REXX, there isn't anything as an object
  2709. code file) started with a lore of say-instructions, that apparently would
  2710. display a sketch of a Christmas-tree together with some good wishes on
  2711. the screen.  This bunch of (in fact rather boring) statements filled one
  2712. and a half screens; it was followed by a half-screen-sized comment,
  2713. stating roughly "Reading source-code like this is boring, rather RECEIVE
  2714. this program, and just enter CHRISTMA" (the latter CMS command would
  2715. have started the program).
  2716.  
  2717. When you actually started the thing (I didn't do it, but people told me),
  2718. the program indeed displayed a Christmas-Tree and best wishes for the
  2719. year to come.  Then it read two files, CMS (part of VM/SP) maintains on
  2720. behalf of every user.
  2721.  
  2722. The first one is called <userid> NETLOG, and contains a log of network
  2723. traffic the user has been involved in.  Here is a sample entry of my
  2724. personal RZOTTO NETLOG file ("disc" meaning "discarded", and "from"
  2725. pointing to the sender's address):
  2726.    File CHRISTMA EXEC     A1 disc from RZBERAT1 at DKNKURZ1 on 12/16/87 14:34:44
  2727. sent as CHRISTMA EXEC A1
  2728. The NETLOG file contains similar entries for notes and files having been
  2729. sent by the respective user (me, in the example).
  2730.  
  2731. The second one is called <userid> NAMES and contains sort of private
  2732. directory of people you are in correspondence with.  Here are four
  2733. sample entries of my private RZOTTO NAMES file:
  2734.    :nick.VIRUS-L  :userid.VIRUS-L  :node.LEHIIBM1 :notebook.VIRUS-L
  2735.                   :name.Virus Discussion List
  2736.    :nick.VIRUS    :name. Owners of VIRUS-L  :notebook. VIRUS-L
  2737.                   :list. KenVWyk Eshleman
  2738.    :nick.KenVWyk  :userid.LUKEN :node.LEHIIBM1 :name.Ken Van Wyk
  2739.    :nick.Eshleman :userid.LUJCE :node.LEHIIBM1 :name.Jim Eshleman
  2740.  
  2741. CHRISMA EXEC extracted all network addresses from these two files, and
  2742. sent a copy of itself to every of these addresses except the address,
  2743. from where it came to the current user (thus avoiding the ping-pong
  2744. effect).  The poor victim's very next experience: he received replies
  2745. from thousands of BITNET nodes, telling him where the hundreds of
  2746. CHRISTMA copies went.
  2747.  
  2748. At last, CHRISTMA EXEC destroyed its own source on the user's disk.
  2749.  
  2750. As CHRISTMA EXEC relied on one of the two special CMS files, it probably
  2751. could reproduce itself only in VM/SP systems (I don't know, how net-
  2752. working is implemented under TSO or under MS-DOS).  Furthermore, it
  2753. depended on active help of the user being "infected" to reproduce itself:
  2754. he had to enter two commands, RECEIVE and CHRISTMA. This active help was
  2755. provoked by an appeal on peoples curiousity and playfulness.
  2756.  
  2757. In spite of these two handicaps, CHRISTMA EXEC spread within two days,
  2758. worldwide.  The effect was enhanced, as some copies went to BITNET
  2759. discussion lists, where they automatically were duplicated and distribu-
  2760. ted as any sensible contribution will be.  If I remember correctly (and
  2761. if I can trust rumours), it originated (as a student's joke) somewhere in
  2762. Germany, went through USA, and came back to our blessed country from the
  2763. far east.  It's severest effect was obstructing the whole network with
  2764. thousands of copies of itself.
  2765.  
  2766. The cure was very simple: every node had to run a quickly developped
  2767. program that purged every file of name CHRISTMA EXEC from the node's
  2768. spooling area, the only difficulty being the distribution of this
  2769. "macrophage" program through the helplessly overloaded network.  Even
  2770. without this cure, CHRISTMA would probably be extinct by now, as any user
  2771. seeing it for the second time would have discarded the file, remembering
  2772. the traumatic experience of the first time, when he started that thing.
  2773. Thus by now, BITNET is probably "immune" to this virus.
  2774.  
  2775. The moral of the story:
  2776. 1. read and understand programs you receive without having asked for,
  2777.    before you run them.
  2778. 2. Think about the possible results before starting a practical joke.
  2779.  
  2780. Best regards
  2781.              Otto.
  2782.  
  2783. ------------------------------------------------------------------------
  2784. = Kenneth R. van Wyk                   =                               =
  2785. = User Services Senior Consultant      =     Badgers!  We don't need   =
  2786. = Lehigh University Computing Center   =       no stinkin badgers!     =
  2787. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  2788. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  2789. ------------------------------------------------------------------------
  2790.  
  2791. =========================================================================
  2792. Date:         Wed, 11 May 88 10:25:27 EDT
  2793. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2794. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2795. From:         "David A. Bader" <DAB3@LEHIGH>
  2796.  
  2797. I have a question dealing with PKX35A35 and a virus/trojan associated
  2798. with it.
  2799.  
  2800. In the issue #8A of the Dirty Dozen by Eric Newhouse (available from
  2801. this list) dated 2-21-88, Eric writes "As of this writing, Phil Katz
  2802. (author of PKXARC) has verified that version 35A35 is the latest
  2803. version of his ARChive extractor.  This phony PKXARC scrambles FAT
  2804. tables."  (Refering to a suspected Trojan Horse: PKX35B35.EXE)
  2805.  
  2806. Anyway, through local BBS's, I attained a BugFix archive called PK35BUG,
  2807. complete with documentation supposedly written by Phil Katz,
  2808. that supposedly fixes a bug in PKX35A35.EXE for "large binary files."
  2809. The files in this archive are dated 9-22-87 through 9-27-87.
  2810.  
  2811. I have heard through the grapevine that this BugFix will spread a
  2812. virus, through archives, and also that it is legitimate, but still, no
  2813. one has given me a consistent answer.  I tried to contact Phil Katz
  2814. through US Mail, Bitnet, and BBS's, but never got a response.  Is this
  2815. BugFix his, or not?  (I have a copy of it, if anyone wishes to see it.
  2816. The fix is about 3K.)
  2817.  
  2818. Also, why would Phil Katz tell Eric Newhouse that 35A35 is the latest
  2819. version, if he had released a BugFix, and why would Phil Katz release a
  2820. BugFix, instead of releasing a whole new version to alleviate these
  2821. problems?
  2822.  
  2823.    Any comments are welcome!
  2824.  
  2825.  -David Bader
  2826. =========================================================================
  2827. Date:         Wed, 11 May 88 09:20:00 CST
  2828. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2829. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2830. From:         LOWEY@SASK
  2831. Subject:      PKARC bug, it is a valid patch
  2832.  
  2833. > I have a question dealing with PKX35A35 and a virus/trojan associated
  2834. > with it.
  2835.  
  2836. > Anyway, through local BBS's, I attained a BugFix archive called PK35BUG,
  2837. > complete with documentation supposedly written by Phil Katz,
  2838. > that supposedly fixes a bug in PKX35A35.EXE for "large binary files."
  2839. > The files in this archive are dated 9-22-87 through 9-27-87.
  2840.  
  2841.   There was an official bug fix for PKARC.  The problem was that when
  2842. files were SQUASHED, and started with a certain character (CHR(0) I
  2843. think) then it would not be unarchived.  I tested this and the bug
  2844. existed.  I applied the patch I got from uucp, and the bug
  2845. disappeared.  I have had no problems with trojan horses arising from
  2846. it.
  2847.  
  2848.   However, this official bug had nothing to do with "large binary
  2849. files".  It is possible someone else has released a different "bug
  2850. fix" which is in fact a trojan horse.
  2851.  
  2852. > Also, why would Phil Katz tell Eric Newhouse that 35A35 is the latest
  2853. > version, if he had released a BugFix, and why would Phil Katz release a
  2854. > BugFix, instead of releasing a whole new version to alleviate these
  2855. > problems?
  2856.  
  2857.   The bug it was fixing was very very minor.  Perhaps one in 1000
  2858. archives would have the problem.  I agree that he should have changed
  2859. the version number, but he didn't.
  2860.  
  2861.  
  2862. Kevin Lowey -- University of Saskatchewan Computing Services
  2863. =========================================================================
  2864. Date:         Wed, 11 May 88 17:39:00 LCL
  2865. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2866. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2867. From:         Michael Wagner  +49 228 8199645 <WAGNER@DBNGMD21>
  2868. Subject:      Re: software self-checks
  2869.  
  2870. > |however, such checks would be very useful in slowing the spread of a virus.
  2871. >
  2872. > A couple of comments to this.  Yes, it'd slow the spread of
  2873. > viruses, but it would also make you less paranoid about them (and
  2874. > thus less likely to catch them),
  2875.        ----
  2876.   I assume this should have been MORE likely to catch them?
  2877.  
  2878. > make viruses more likely to be obnoxious
  2879.  
  2880.   Some people advocate make-shift virus protection, i.e. protection
  2881.   that is only one step ahead of the virus itself, and works by
  2882.   exploiting very particular properties of the virus.  When virus
  2883.   protection only stops up one hole of many, it usually serves to
  2884.   produce a virus strain that circumvents the one plugged-up hole.
  2885.   This is what happened when people tried to patch MVT to make it
  2886.   'more secure'.  It was like the little dutch boy putting his
  2887.   finger in one hole in a sponge.  The water just went around his
  2888.   'secure hole'.
  2889.  
  2890.   Not all virus protection need be so make-shift.
  2891.  
  2892.   MVS was built with security as a basic design criteria, and the
  2893.   sponge is considerably less porous.  Our experience at the
  2894.   University of Toronto (where I used to work) was that most
  2895.   infiltrations were done as a pasttime, to show that it could be
  2896.   done, and to show off to friends.  If you make this too much
  2897.   work, you cut 99% or more of the perpetrators dead in their
  2898.   tracks.
  2899.  
  2900.   This is not to say that MVS is totally secure.  Similarly, my
  2901.   house isn't entirely burglarproof.  But you do have to have a
  2902.   strong motivation to work hard enough to break in.  I don't store
  2903.   enough (in either place) to justify anyone working that hard to
  2904.   break in (and I don't put on airs like I do, either).  Otherwise,
  2905.   I would worry.
  2906.  
  2907. > (what kind of person would spend the time to work around the
  2908. > protections?),
  2909.  
  2910.   Rather like the gun control arguments, the real criminals will
  2911.   always have guns, whether you attempt to control them or not.
  2912.   However, 99% of the viruses currently circulating are created by
  2913.   idle minds, and not by real criminals.
  2914.  
  2915. > and slow the system down as well.
  2916.  
  2917.   This is a relatively weak argument.  It runs faster with security
  2918.   controls enabled than it does when it isn't running at all.
  2919.   Besides, security that is 'architected in' rather than strapped on
  2920.   later shouldn't cost very much in computing resources.
  2921.  
  2922.   I like human analogies.  If you have to unlock the front door to
  2923.   your house before you walk in, it slows you down.  Have you tried
  2924.   to optimize your 'house access time' by leaving it unlocked?
  2925.  
  2926. > This is a classic argument about security.  The advent of a
  2927. > "secure" system will make users forget about security.
  2928.  
  2929.   There is no such thing as a 'secure' system.  There are only more
  2930.   and less secure systems.  Therefore, a 'more secure' system
  2931.   includes facilities to enable the 'security officer' to check if
  2932.   security has been breached (for most PCs, the owner is also system
  2933.   manager, purchasing agent and security officer.  Thats what he
  2934.   bought in to.  If he didn't want all that responsibility, he
  2935.   should have bought time on a mainframe where someone else does
  2936.   that work (and it costs more as a result)).
  2937.  
  2938. > When security is breached, the breach may never be found because
  2939. > no one is looking for it.
  2940.  
  2941.   If no one was looking, it was a not-at-all secure system.  The
  2942.   greatest security system in the world is useless if no one is
  2943.   watching it.
  2944.  
  2945. > jim frost madd@bu-it.bu.edu
  2946.  
  2947. Michael Wagner
  2948. =========================================================================
  2949. Date:         Wed, 11 May 88 12:51:41 EDT
  2950. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2951. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2952. From:         Adam Lewis <ALEWIS@UTCVM>
  2953. Subject:      Re: software self-checks
  2954. In-Reply-To:  Message of Wed, 11 May 88 17:39:00 LCL from <WAGNER@DBNGMD21>
  2955.  
  2956.         There is a very good point here about making security such that
  2957. it takes some effort on the part of the author of the virus to break it.
  2958. This gets rid of the people who do this to "impress" their friends and
  2959. neighbors.  The problem is that the people who do in fact spend the time
  2960. it takes to break security are going to do it in a fashion that is much
  2961. more difficult to figure out and are going to be a lot more
  2962. sophisticated (i.e. no FORMAT C: in your PC's AUTOEXEC.BAT).  It strikes
  2963. me as another application of Murphy's 90-10 law.
  2964. ------------------------------------------------------------------------
  2965. Adam Lewis                                    :It could be worse, it
  2966. Center of Excellence for Computer Applications:   could be Monday.
  2967. Univ. of TN, Chattanooga                      :
  2968. ------------------------------------------------------------------------
  2969. =========================================================================
  2970. Date:         Thu, 12 May 88 09:15:22 EDT
  2971. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2972. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2973. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  2974. Subject:      checksum signatures
  2975.  
  2976.  
  2977. In looking at the documentation for the Checkup program, I see that
  2978. they're using a form of a checksum to validate whether or not a file
  2979. has been altered.  Now, a smart virus author can easily circumvent
  2980. a checksum algorithm by adding dummy characters to the file so that
  2981. the checksum comes out to the same value.  The Checkup program, however,
  2982. maintains that its scheme is impossible to get around by using padding
  2983. characters since it calculates the checksum of the entire file as well
  2984. as that of randomly sized blocks within the file.  It then stores this
  2985. data in (I assume) an encrypted format.
  2986.  
  2987. This raises an interesting question - is it truly possible to write
  2988. a checksum/crc/whatever algorithm that will be able to figure out
  2989. whether or not a file has been changed 100% of the time?  Let's assume
  2990. that the signature data has *not* been tampered with in any way.  It
  2991. is no secret that both checksums and crcs can be circumvented rather
  2992. easily.  But, an algorithm which could validate a file with 100%
  2993. effectiveness could be very worthwhile looking into.  Once again, the
  2994. validity of the signature data itself would have to be insured via
  2995. encryption and/or read-only isolation.
  2996.  
  2997. Comments?  Can anyone prove or disprove the claims that the author of
  2998. Checkup makes?
  2999.  
  3000. Ken
  3001.  
  3002. ------------------------------------------------------------------------
  3003. = Kenneth R. van Wyk                   =                               =
  3004. = User Services Senior Consultant      =     Badgers!  We don't need   =
  3005. = Lehigh University Computing Center   =       no stinkin badgers!     =
  3006. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  3007. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  3008. ------------------------------------------------------------------------
  3009.  
  3010. =========================================================================
  3011. Date:         Thu, 12 May 88 09:36:19 EDT
  3012. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3013. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3014. From:         "David M. Chess" <CHESS@YKTVMV>
  3015. Subject:      checksum signatures
  3016.  
  3017. Well, there's a very simple argument that suggests that no short
  3018. (or even medium-sized) checksum or other signature can be 100%
  3019. effective in detecting changes to files.
  3020.  
  3021. Consider: files are large objects, thousands of bytes long.
  3022. Signatures are smaller than that; at most hundreds of bytes
  3023. long.  When you map a large set into a smaller set, there
  3024. must be cases in which two or more things in the larger set
  3025. are mapped onto the same thing in the smaller set (that is,
  3026. the mapping must be many-to-one); this is just the PigeonHole
  3027. principle.
  3028.  
  3029. For instance, if you're assigning all files 10,000 bytes or less
  3030. a 4-byte checksum, there are 256-to-the-9,996 as many different
  3031. files as there are different checksums.   So the "average"
  3032. checksum will correspond to a very large number of different
  3033. files.
  3034.  
  3035. Whenever two different files have the same signature, that
  3036. signature will not be 100% effective in detecting changes
  3037. (since it won't detect one of those two files changing into
  3038. the other).   But we've just seen that whenever the signature
  3039. is smaller than the maximum filesize, at least two different
  3040. files will have the same signature.
  3041.  
  3042. So (assuming this rather rough argument holds!) no small
  3043. signature can be 100% effective.   Fortunately, signatures
  3044. don't *have* to be 100% effective to be helpful against
  3045. viruses.   Viruses operate under certain constraints, and
  3046. as long as we can make it sufficiently *hard* to "spoof" the
  3047. signature, in a sufficiently large number of cases, a
  3048. signature-based scheme will detect a useful fraction of
  3049. nerfarious file-changes.
  3050.  
  3051. Something like that.
  3052.  
  3053. DC
  3054. Watson Research Center
  3055.  
  3056. * Disclaimer: I gave up the idea of majoring in Math sometime
  3057. *  around Complex Analysis.  None of the above is an
  3058. *  Official Statement of anybody around here.
  3059. =========================================================================
  3060. Date:         Wed, 11 May 88 12:30:00 EDT
  3061. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3062. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3063. From:         "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  3064. Subject:      Sueing
  3065.  
  3066.  
  3067. Cliff Stoll has suggested that people sue perpetrators who hack into
  3068. machines.  He believes that even if these people cannot be prosecuted
  3069. sucessfully (under criminal law, for whatever reason(s)), it is still a
  3070. good idea to sue for damages (in civil court).  He believes that this
  3071. would (at a minimum) show people that organizations are serious in going
  3072. after these people.  Anyone care to sue the Pakistani who loosed the
  3073. "Brain" virus?
  3074.  
  3075. Joseph
  3076. =========================================================================
  3077. Date:         Thu, 12 May 88 09:18:00 EDT
  3078. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3079. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3080. Comments:     Resent-From: "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  3081. Comments:     Originally-From: "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  3082. From:         "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  3083. Subject:      Re: hunting up infected files
  3084. In-Reply-To:  Message of 9 May 1988 11:05 edt from Karl-L. Noell
  3085.  
  3086. As an employee of the National Computer Security Center, I must point
  3087. out that we do *NOT* attempt to track perpetrators for prosecution or
  3088. for *ANY* other reason!
  3089.  
  3090. We are not a law enforcement Agency, and are prohibited by law to take
  3091. any such action.
  3092.  
  3093. We are interested in tracking the viruses (or ordinary Trojan Horses) as
  3094. they infect different sites.
  3095.  
  3096. As a matter of professional interest, I would be curious as to the
  3097. motivations of perpetrators of malicious code, or whether they are
  3098. members of "Hacker Clubs;" but that is information that may be conveyed
  3099. without identifying the people/organizations involved.
  3100.  
  3101. Joseph
  3102. =========================================================================
  3103. Date:         Thu, 12 May 88 12:02:24 EDT
  3104. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3105. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3106. From:         "David M. Chess" <CHESS@YKTVMV>
  3107.  
  3108. I was shooting off my mouth back in January on an internal conference,
  3109. about how it should be relatively easy to write a program that
  3110. would detect most simple viruses, and someone said "OK, let's
  3111. see it".   Being lazy, I responded with pseudo-code.  I attach
  3112. (a slightly updated version of) that pseudo-code for the benefit
  3113. of the community, for comments, etc.   The idea is that the system
  3114. keeps a big "database" file containing various facts about
  3115. executable objects (their time/date/length, and any other
  3116. signature-like things one wants to code), and periodically
  3117. checks the executables against the database, to see what's
  3118. changed.  Of course a change doesn't mean an infection (could
  3119. be a patch, an update, etc), but it can be a Clue...
  3120.  
  3121. The following assumes a PC-DOS base, but could be trivially
  3122. changed for CMS, etc.
  3123.  
  3124.    Build a list of files to be checked (all EXE files, COM files,
  3125.      BAT files, SYS files, or whatever, on whatever disks).
  3126.  
  3127.    Attempt to open "old database" file
  3128.      If open succeeds, read the records describing the files
  3129.         found last time into the OldRecords structure, and
  3130.         mark each item in that structure as "Not Seen Yet".
  3131.      If open fails, alert user that there is no old database, and
  3132.         ask for permission to continue.  Continue only if permission
  3133.         is given.  Set NoOldDatabase to True.
  3134.  
  3135.    Attempt to open "list of current files to be checked" file
  3136.      If open succeeds, continue.
  3137.      If open fails, abort with error message.
  3138.  
  3139.    For each file listed in "list of current files to be checked" file
  3140.      (begin
  3141.      Ask DOS about the file (int21H, subfn 4Eh).
  3142.      If the file is "special" (COMMAND.COM, IBMBIO.COM, IBMDOS.COM,
  3143.        whatever else seems reasonable), compute a CRC or other
  3144.        signature for the file (patient users with fast machines
  3145.        can treat every file as special, of course).
  3146.      Look the file up in OldRecords.
  3147.      If the file was not listed there, add it, marked as "Seen".  Tell
  3148.        the user that it is a new file (unless NoOldDatabase is true).
  3149.      if the file -was- listed there, and the information is not the
  3150.        same as the information we just got from DOS, or if the file
  3151.        is special and the CRC or signature has changed, tell the user
  3152.        that the file has changed (and how), mark the item as "Seen",
  3153.        update the item to reflect the current information (from DOS and
  3154.        the new CRC calculation) and continue.
  3155.      If the file was listed there, and the information there -is- the
  3156.        same as the information we just got, simply mark that item
  3157.        as "Seen", and continue to the next file.
  3158.      end)
  3159.  
  3160.    For each item in the OldRecords structure
  3161.      If the item is marked "Seen", write it out to the "new database" file.
  3162.      If the item is marked "Not Seen Yet", tell the user it is Gone,
  3163.        and do not write it to the "new database" file.
  3164.  
  3165. So at the end the user has a report of new files, old files that have
  3166. vanished, and files that the program could tell had been changed.
  3167. If there are unexpected new files, or unexpected changed files,
  3168. the user can try to figure out why, which may lead to discovering
  3169. a virus.
  3170.  
  3171. This is designed with a hard-disk system in mind (for floppies, you'd
  3172. have to store something like the diskette label as well, and prompt
  3173. the user to swap diskettes alot), and could obviously be improved
  3174. in various ways.   It can also be used in various ways; if you're
  3175. very worried, you can always boot the system from a write-protected
  3176. "trusted" disk before using it, and keep the checking program and
  3177. the "datbase" on a diskette that resides in a locked file cabinet
  3178. except when checking is going on.  There is also lots of room for
  3179. invention in the "CRC or signature" part of the description.  The
  3180. development of hard-to-spoof signatures is an active research area.
  3181.  
  3182. Now of course (more of courses) there are many possible viruses that
  3183. this sort of scheme won't catch.  But it will catch (in the sense
  3184. that you'll be told about file modifications that you probably didn't
  3185. expect) the spread of all the executable-file-based PC-DOS viruses
  3186. that I know of.
  3187.  
  3188. DC
  3189. Watson Research Center
  3190.  
  3191. =========================================================================
  3192. Date:         Thu, 12 May 88 09:47:07 PDT
  3193. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3194. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3195. From:         pozzo@CS.UCLA.EDU
  3196. Subject:      Signatures and Checksums
  3197.  
  3198.  
  3199. Yes it is true that you can not find a checksum that is 100% unique
  3200. as long as the size of the checksum is smaller than the executable.  It
  3201. is a many-to-one mapping.  The trick is to find one that has a small
  3202. possibility that two different executables will generate the same
  3203. checksum.  How "small" depends on you, your system, your needs, etc.
  3204. The idea of signing executables for protection from modification is not
  3205. a new one.  Most recently, I invite you to read "An Approach to
  3206. Containing Computer Viruses" published in a 1987 volume of the IFIPs
  3207. Computers and Security Journal.
  3208.  
  3209. -Maria
  3210. =========================================================================
  3211. Date:         Thu, 12 May 88 11:49:25 CDT
  3212. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3213. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3214. From:         Jeff Balvanz <GR.JLB@ISUMVS>
  3215. Subject:      Is there something funny in the posted CHECKUP?
  3216.  
  3217. Just got the CHKUP14 UUE from the VIRUS-L LISTSERV, but I have a
  3218. question:  when I run the program with
  3219.  
  3220.      CHECKUP CHECKUP.EXE
  3221.  
  3222. Flushot+ comes back with the message "Write access being attempted
  3223. on C:\VACCINES\CHECKUP.EXE."  Is CHECKUP supposed to try to write on
  3224. the executable file that you're reading checksums on?  Doesn't make
  3225. sense to me. . .but I'm not a good programmer.  Is there something
  3226. legitimate or illegitimate in CHECKUP, or has my computer been
  3227. sitting out in a cold draft too long (i.e., has caught something)?
  3228.  
  3229.  
  3230. =========================================================================
  3231. Date:         Thu, 12 May 88 13:48:02 EDT
  3232. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3233. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3234. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  3235. Subject:      Re: Is there something funny in the posted CHECKUP?
  3236. In-Reply-To:  Message of Thu, 12 May 88 11:49:25 CDT from <GR.JLB@ISUMVS>
  3237.  
  3238. >Just got the CHKUP14 UUE from the VIRUS-L LISTSERV, but I have a
  3239. >question:
  3240. >Flushot+ comes back with the message "Write access being attempted
  3241. >on C:\VACCINES\CHECKUP.EXE."  Is CHECKUP supposed to try to write on
  3242. >the executable file that you're reading checksums on?
  3243.  
  3244. When I try the same thing here, I don't get anything.  I also tried it
  3245. on a write-protected floppy and couldn't duplicate it.  It appeared to
  3246. work fine for me - anyone else have any problems with it?  If so, I'll
  3247. remove it from the archives until I can get a copy directly from the
  3248. author.
  3249.  
  3250. Ken
  3251.  
  3252. ------------------------------------------------------------------------
  3253. = Kenneth R. van Wyk                   =                               =
  3254. = User Services Senior Consultant      =     Badgers!  We don't need   =
  3255. = Lehigh University Computing Center   =       no stinkin badgers!     =
  3256. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  3257. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  3258. ------------------------------------------------------------------------
  3259.  
  3260. =========================================================================
  3261. Date:         Thu, 12 May 88 14:12:00 CDT
  3262. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3263. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3264. From:         GREENY <MISS026@ECNCDC>
  3265. Subject:      re: the "database" scheme....
  3266.  
  3267. this idea is good, providing of course that a virus writer doesn't find out
  3268. about your database and infect it as well....
  3269.  
  3270. I still believe that the best way to validate the length of the files as
  3271. being unaltered is to have a good hard copy on a piece of paper locked in a
  3272. safe that only you have the combination to.....(probably in a secret room
  3273. in your basement...:-)  ), then once a month (or however long it takes you
  3274. to feel paranoid....) you can check the current length against the lengths
  3275. on the hardcopy.  This may or may not be feasible on systems with a huge
  3276. amount of files (simtel20....), but it would seem to be such for a small-time
  3277. user....
  3278.  
  3279. bye for now but not for long...
  3280. Greeny
  3281.  
  3282. Bitnet: MISS026@ECNCDC
  3283. Internet: MISS026%ECNCDC.BITNET@CUNYVM.CUNY.EDU
  3284. =========================================================================
  3285. Date:         Thu, 12 May 88 14:20:00 CDT
  3286. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3287. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3288. From:         GREENY <MISS026@ECNCDC>
  3289. Subject:      re:re: is there something funny in ....
  3290.  
  3291. > ...did anyone else have any problems with it? If so, I'll get a copy of
  3292. > it directly from the author...
  3293.  
  3294. Seeing as how we have been discussing for some weeks now the topic of viruses
  3295. and how easy it is to infect programs (especially those that cross thru
  3296. net-land...) I would think that *NO* programs designed to detect viruses
  3297. and/or eradicate them should be allowed into the Virus-l archives unless they
  3298. /it have been obtained from the author of such a program directly...
  3299.  
  3300. Even if it is a "trusted" friend that you are getting the program from, do
  3301. you trust his/her/it's friends as well? Remember that trust is transitive and
  3302. that if you trust me, you inherently have to trust everyone that I trust.
  3303. Therefore, getting it directly from the author seems to be the best possible
  3304. route of action.  That way, if the program does go haywire, you know exactly
  3305. who to blame...
  3306.  
  3307. bye for now but not for long...
  3308. Greeny
  3309.  
  3310. Bitnet: MISS026@ECNCDC
  3311. Internet: MISS026%ECNCDC.BITNET@CUNYVM.CUNY.EDU
  3312. Disclaimer: I'm just visiting this planet, and everything I do on my planet
  3313.             is absolutely legal, so it must be so here!
  3314. =========================================================================
  3315. Date:         Thu, 12 May 88 15:25:18 EDT
  3316. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3317. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3318. From:         "David M. Chess 862-2245" <CHESS@YKTVMV>
  3319. Subject:      The "database" scheme
  3320.  
  3321. There are lots more "provided"s than that!   This is intended just
  3322. to catch viruses of the kind that I know are actually out there.
  3323. There are probably dozens of ways around it (some involving
  3324. altering the database and some not), and it doesn't even try to
  3325. catch boot-record-altering viruses like the "Brain" (although
  3326. that would be a small mod...).   I just thought it might give
  3327. some budding anti-virus-programmers a concrete jumping off point.
  3328.  
  3329. Maria commented that it wasn't a new idea: that's very true,
  3330. and I don't claim to have invented anything new in the least.
  3331. This kind of modification-detection scheme seems to be the
  3332. first thing that good programmers think of when they first
  3333. hear about viruses.   More references to previous work along
  3334. these lines (or any other lines!) would probably be valuable
  3335. additions to this list.
  3336.  
  3337. DC
  3338. =========================================================================
  3339. Date:         Fri, 13 May 88 01:55:53 EDT
  3340. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3341. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3342. From:         Joseph Sieczkowski <joes@scarecrow.csee.lehigh.edu>
  3343. Subject:      The neverending chain....
  3344.  
  3345.  
  3346.  
  3347. Ok guys...let's face some facts:
  3348.  
  3349. NO software implemented virus protection scheme can ever be 100%
  3350. effective against stopping viruses because there always can be a
  3351. counter virus that attackes the protection program.  (ie.  Virus "A"
  3352. attacks system, Vaccine "A" protects system, Virus "B" could attack
  3353. Vaccine "A", etc...)
  3354.  
  3355. It is also very important to consider the system on which we're
  3356. implementing a protection package.  A PC by definition is unsecure...
  3357. Why?  (1) You can address real memory, and (2) you can access the I/O
  3358. ports directly.  This compounds the problem.
  3359.  
  3360. This is not to say we should not write protection programs to try and
  3361. protect ourselves.  There is probably much merit in the idea that if a
  3362. protection scheme is "hard" to break, people might not bother trying.
  3363. (Let's face it, the "fun" does wear off after days of trying to break
  3364. protection schemes.)  However, we must realize that no scheme is
  3365. perfectly safe.  What we are creating is a "fishnet" to catch most of
  3366. the viruses around.  And, of course, we always have the option of
  3367. making the net a little finer.
  3368.  
  3369. Presently, it is of key importance to be aware of these little
  3370. beasties.  (As all of you are as evidenced by being on this list.)  In
  3371. the future, "hardware" protection is probably going to be a
  3372. neccessity.  Hopefully, it won't inhibit system "friendliness" and
  3373. utility too much.  (Remember, the most secure and protected system to
  3374. date is one which is totally isolated and restricted...and who wants
  3375. one of those? Yeeek)
  3376.  
  3377.  
  3378. Joes
  3379.  
  3380. =========================================================================
  3381. Date:         Thu, 12 May 88 09:50:00 CST
  3382. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3383. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3384. From:         LOWEY@SASK
  3385. Subject:      RE: checksum signatures
  3386.  
  3387.  
  3388. > This raises an interesting question - is it truly possible to write
  3389. > a checksum/crc/whatever algorithm that will be able to figure out
  3390. > whether or not a file has been changed 100% of the time?
  3391.  
  3392.  
  3393. Of course, one thing you can do is keep copies of sensitive files on
  3394. other disks, like a floppy disk.  You can then use the MS-DOS "comp"
  3395. or "fc" command (or the unix DIFF or whatever) to see if the files are
  3396. identical or not.  As long as the copy of the file is in a
  3397. "sterile" environment, where the virus can't get it, this approach
  3398. should work better than any CRC checks.
  3399.  
  3400. This doesn't help in my original problem of getting a program to check
  3401. its self for an infection.
  3402.  
  3403. Kevin Lowey -- University of Saskatchewan Computing Services
  3404. =========================================================================
  3405. Date:         Thu, 12 May 88 09:44:00 CST
  3406. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3407. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3408. From:         LOWEY@SASK
  3409. Subject:      RE: checksum signatures
  3410.  
  3411. > Consider: files are large objects, thousands of bytes long.
  3412. > Signatures are smaller than that; at most hundreds of bytes
  3413. > long.  When you map a large set into a smaller set, there
  3414. > must be cases in which two or more things in the larger set
  3415. > are mapped onto the same thing in the smaller set (that is,
  3416. > the mapping must be many-to-one); this is just the PigeonHole
  3417. > principle.
  3418.  
  3419.   Your argument is valid if you just want to corrupt the file.
  3420. However, as you pointed out, a virus has to work under certain
  3421. constraints. A virus has to modify a program so it does some damage
  3422. AND perpetuates its self.  Usually the program has to operate
  3423. correctly for a while to give it time to infect other programs.
  3424.  
  3425.   If we have a CRC checker that not only calculates a CRC, but also
  3426. saves the original file size, date, and time, then the virus maker
  3427. would have a tough time.
  3428.  
  3429.   The virus would have to put the damaging code in a specific place in
  3430. the file (like into the DIR command in COMMAND.COM), with the
  3431. instructions in a specific order.
  3432.  
  3433.   The virus would have to add code to save the date and time on the
  3434. file, then reset it back after infecting the file.
  3435.  
  3436.   The virus would have to add more code to make the CRC pass, after
  3437. determining what CRC was used.
  3438.  
  3439.   Some viruses would need code to see if it is on a hard disk or a
  3440. floppy disk.
  3441.  
  3442.   A count of how many "infections" would have to be kept to delay the
  3443. action of the virus.
  3444.  
  3445.   The program would still have to operate "correctly" so the user
  3446. doesn't know he is infected.
  3447.  
  3448.   All this would have to be done without changing the size or date of
  3449. the file.
  3450.  
  3451.    So with an appropriate virus checker, it isn't as simple as changing
  3452. a few bytes to make the CRC work out, assuming you know which CRC was
  3453. used in the first place.
  3454.  
  3455.  
  3456. Kevin Lowey -- University of Saskatchewan Computing Services
  3457. =========================================================================
  3458. Date:         Fri, 13 May 88 02:36:00 CST
  3459. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3460. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3461. Comments:     Warning -- RSCS tag indicates an origin of SMTPUSER@SASK
  3462. From:         Derek Andrew <ANDREW@SASK>
  3463. Subject:      RE: checksum signatures
  3464.  
  3465. It is true that simple checksums are easy to defeat.  I suggest considering
  3466. using the DES algorithm in the following manner.  First, consider the file as a
  3467. sequence of 8 byte blocks (64 bits).  Encrypt each block using a public and
  3468. known password, and add the result to a running total, 64 bits wide.  At the
  3469. end, you have a 64 bit checksum.  I doubt anyone reading this is cabable
  3470. of modifying the original file so as to calculate this checksum.
  3471.  
  3472. I missed the original posting.  I am assuming that the checksum does not
  3473. reside with the file, but is kept in a seperate location where the virus
  3474. could not get to it.
  3475.  
  3476. derek andrew, u of saskatchewan, andrew@sask.USask.ca
  3477. =========================================================================
  3478. Date:         Fri, 13 May 88 10:00:53 EDT
  3479. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3480. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3481. From:         Atul Butte <ST602397@BROWNVM>
  3482. Subject:      Preventing Public Domain Software contamination
  3483.  
  3484.  
  3485. With all the problems with virus infected public domain and shareware
  3486. software, I propose the following solution (for the Macintosh):
  3487.  
  3488. There exists a shareware program called StuffIt 1.4 which was designed
  3489. to group multiple files into one file which can then be uploaded.
  3490. StuffIt 1.4 is for the Macintosh, and is turning into a sort of standard
  3491. for packing. StuffIt 1.4, in addition to grouping files can compress
  3492. them and can encrypt them.
  3493.  
  3494. The proposal:
  3495. How about adding a new feature to StuffIt that encrypts files, but in
  3496. such a way that they can only be decrypted and not encrypted again? This
  3497. can be done with the following method. StuffIt could prompt the
  3498. uploading user to enter an encrypting code which is used to encrypt the
  3499. files. Along with the files, another code is included. This code is the
  3500. decrypting code, which downloading users can use to decrypt the file.
  3501. The decrypting code could be hashed by some secret function into the
  3502. original encrypting code. This method is similar to the "trapdoor"
  3503. functions used for Public-Key Cryptosystems with one-way functions.
  3504.  
  3505. The advantage of this is that the original author of a program can
  3506. encrypt his or her software and place it in the public domain without
  3507. the fear of others downloading the file, contaminating it with a virus,
  3508. and then uploading the file as the original.
  3509.  
  3510. Atul Butte                  /----------\  /----------\
  3511. Brown University            !    OK    !  !  CANCEL  !
  3512. ST602397@BROWNVM.BITNET     \----------/  \----------/
  3513. =========================================================================
  3514. Date:         Fri, 13 May 88 10:51:35 EDT
  3515. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3516. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3517. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  3518. Subject:      Re: Preventing Public Domain Software contamination
  3519. In-Reply-To:  Message of Fri, 13 May 88 10:00:53 EDT from <ST602397@BROWNVM>
  3520.  
  3521. >How about adding a new feature to StuffIt that encrypts files, but in
  3522. >such a way that they can only be decrypted and not encrypted again? This
  3523. >can be done with the following method. StuffIt could prompt the
  3524. >uploading user to enter an encrypting code which is used to encrypt the
  3525. >files. Along with the files, another code is included. This code is the
  3526. >decrypting code, which downloading users can use to decrypt the file.
  3527. >The decrypting code could be hashed by some secret function into the
  3528. >original encrypting code. This method is similar to the "trapdoor"
  3529. >functions used for Public-Key Cryptosystems with one-way functions.
  3530.  
  3531. Sounds like a fair idea, but what's to prevent a person from
  3532. un-stuffing all the files, and then re-stuffing them into a brand
  3533. new stuff file with his/her own encryption code?  Sure, only
  3534. the author could verify the authenticity of the encryption pw,
  3535. but in the meantime, this new version could be floating all
  3536. around on different bbs's.
  3537.  
  3538. Ken
  3539.  
  3540. ------------------------------------------------------------------------
  3541. = Kenneth R. van Wyk                   =                               =
  3542. = User Services Senior Consultant      =     Badgers!  We don't need   =
  3543. = Lehigh University Computing Center   =       no stinkin badgers!     =
  3544. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  3545. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  3546. ------------------------------------------------------------------------
  3547.  
  3548. =========================================================================
  3549. Date:         Fri, 13 May 88 11:39:00 EST
  3550. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3551. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3552. From:         GILL@QUCDNAST
  3553. Subject:      Something funny about CheckUp ?
  3554.  
  3555.  
  3556.      I had the same problem with CheckUp occurring that was mentioned
  3557. earlier.  However, I have had a lot of little bugs, system crashes, etc
  3558. occurring in the last two weeks.  My machine is getting a full physical
  3559. next week, but I think the problem is software oriented.  My impression
  3560. is that FLUSHOT+ is actually buggy.  I know for a fact that FLUSHOT+
  3561. will crash PCWRITE 2.71 (one can't run PR.EXE from within ED.EXE), and
  3562. I've had other similar difficulties.  I guess that comes from
  3563. intercepting so many different DOS interupts.  Right now, I'm in the
  3564. middle of a total system backup and reorganization, without FLUSHOT+ to
  3565. protect/mess me.  (However, I may be wrong :-) )
  3566.  
  3567.      Anyone else had similar, unexplained difficulties?
  3568.  
  3569. Arnold Gill
  3570. Queen's University at Kingston
  3571. gill @ qucdnast.bitnet
  3572. =========================================================================
  3573. Date:         Fri, 13 May 88 12:00:04 EDT
  3574. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3575. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3576. From:         "David A. Bader" <DAB3@LEHIGH>
  3577. Subject:      Flushot+'s bugs
  3578.  
  3579. I, too, had a problem with Flushot+ in that it changed the CMOS memory
  3580. containing my AT clone's setup information (such as floppy and hard
  3581. drives connected, time and date, video configuration, system memory,
  3582. etc.)
  3583.  
  3584. Also, I recently read that someone had a problem with PCWrite 2.71. To
  3585. interject a paragraph from Eric Newhouse's Dirty Dozen List Issue #8,
  3586. revision "A" dated February 21, 1988:
  3587.  
  3588. PCW271xx.ARC (Suspected Trojan)
  3589.  
  3590. A modified version of the popular PC-WRITE word processor (v. 2.71) has
  3591. now scrambled at least 10 FAT tables that I know of.  If you want to
  3592. download version 2.71 of PC-WRITE be very careful!  The bogus version
  3593. can be identified by its size; it uses 98,274 bytes wheras [sic] the
  3594. good version uses 98,644.  For reference, version 2.7 of PC-WRITE
  3595. occupies 98,242 bytes.
  3596.  
  3597.  
  3598. David A. Bader
  3599. Lehigh University
  3600. =========================================================================
  3601. Date:         Fri, 13 May 88 08:36:00 LCL
  3602. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3603. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3604. From:         Communication is the root of insecurity
  3605.               <herbison%ultra.DEC@decwrl.dec.com>
  3606. Subject:      RE: DES checksum signatures
  3607.  
  3608. >It is true that simple checksums are easy to defeat.  I suggest considering
  3609. >using the DES algorithm in the following manner.  First, consider the file as a
  3610. >sequence of 8 byte blocks (64 bits).  Encrypt each block using a public and
  3611. >known password, and add the result to a running total, 64 bits wide.  At the
  3612. >end, you have a 64 bit checksum.  I doubt anyone reading this is cabable
  3613. >of modifying the original file so as to calculate this checksum.
  3614.  
  3615.         Cryptography (and especially cryptographic checksums) is a
  3616.         complicated field, and is it difficult for a novice to determine
  3617.         how difficult a scheme is to defeat.  The checksum you mentioned
  3618.         is trivial to defeat.
  3619.  
  3620.         Here is the method to defeat that checksum:  Since the key is
  3621.         known, the intruder trying to modify the file can calculate the
  3622.         original checksum.  The intruder modifies the file, but saves
  3623.         one 8-byte block that is never referenced and can have an
  3624.         arbitrary value.  The checksum for the modified file is
  3625.         calculated (ignoring the spare block), and the difference
  3626.         between the original checksum and the new checksum is determined
  3627.         by subtraction.  This difference is decrypted with the known key
  3628.         and placed in the spare 8-byte block in the file.  This modified
  3629.         file now has the same checksum as the original file.
  3630.  
  3631.         Even if the key is not known, there is an additional attack
  3632.         against this checksum:  individual 8-byte blocks of the file can
  3633.         be transposed and the checksum remains the same.  This is not
  3634.         likely to be useful to someone who wants to create a virus, but
  3635.         is a concern if general file integrity is important.
  3636.  
  3637.         DES has a defined chaining mode (CBC--Cipher block chaining)
  3638.         where a series of blocks is encrypted with the result from each
  3639.         encryption step feeding into the next step.  CBC mode has nice
  3640.         properties for encryption, but, again, an integrity check using
  3641.         CBC mode with a known key can easily be circumvented.  [However,
  3642.         changing the order of blocks can be detected if the key is not
  3643.         publicly known.]
  3644.  
  3645.         A simple way to use DES and a known key to build a good
  3646.         (cryptographically secure) checksum scheme would be very useful,
  3647.         but I don't know of any that have been demonstrated to be
  3648.         secure.
  3649.  
  3650.         [One step further:  It would be nice if the developer of the
  3651.         software could generate the cryptographic checksum and
  3652.         distribute it with the software.  This results in another
  3653.         problem to solve:  How the correct checksum can be securely
  3654.         distributed.]
  3655.  
  3656.                         B.J.
  3657. =========================================================================
  3658. Date:         Fri, 13 May 88 12:50:00 EDT
  3659. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3660. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3661. From:         "Dr. Woody" <WWEAVER@DREW>
  3662. Subject:      verification of authorship of computer programs
  3663.  
  3664.   One problem we have been dealing with is verification of authorship of
  3665. computer works, whether executables or source code.  (People feel better if
  3666. they have the source - but I don't know about you guys, but if I'm presented
  3667. with a 100K source file, I might not be able to detect a trojan...)  This is
  3668. a standard problem in cryptography.
  3669.  
  3670.   Probably the simplest solution applicable to the BBS system is to do the
  3671. following: the author should choose his favorite two very very large primes,
  3672. and publish and use their product in all his works.  He can then encrypt his
  3673. executable (or source code) so that a public key system can decrypt it.
  3674. The author should, of course, put the public key with the cleartext
  3675. documentation.  The advantage is simply that a responsible BBS owner need only
  3676. verify the existence of the author once, and can do it in a relatively compact
  3677. fashion: he doesn't have to do a diff on files recieved, but only on the key.
  3678. Moreover, the trojans we see today are typically revisions of already existing
  3679. files (like the archive 1A => archive 1B) and so the BBS owner would know if a
  3680. malicious user contaminated the file and resubmitted it: the key would change
  3681. from the original author to one devised by the malicious user.
  3682.  
  3683.   One disadvantage of course is that decoding the file is made more computer
  3684. resource intensive.  What price security?  I would not mind running an extra
  3685. layer to verify that the author is who he says it is.  A submission of a program
  3686. not by the author would decrypt to gibberish.  (With some authors, even the
  3687. real program decrypts to gibberish... ;-) )
  3688.  
  3689.   Of course, what will probably happen is that unsophisticated users will
  3690. distribute already decrypted images.  However, at least the BBS owners have the
  3691. ability to store only author-encrypted files and preserve the BBS's integrity
  3692. for trojan-free files.
  3693.  
  3694.  
  3695.                                                       woody weaver
  3696.                                                       wweaver@drew
  3697. =========================================================================
  3698. Date:         Fri, 13 May 88 12:49:00 EDT
  3699. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3700. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3701. From:         "Dr. Woody" <WWEAVER@DREW>
  3702. Subject:      detecting data alterations via CRC
  3703.  
  3704.   One of the thoughts for detecting differences in files has been to write
  3705. down a checksum signature with the file.  The problem, of course, is that if
  3706. the virus author realizes that his creation is subject to, say, CRC detection,
  3707. then he will have the virus upon infection compute the CRC of the file, and
  3708. then alter sufficient bytes to preserve the CRC.
  3709.  
  3710.   It has been pointed out that typical programs are measured in the kilo-
  3711. byte, while signatures are measured in bytes;  since the map is from a
  3712. larger set to a smaller set, the map can not be 1-1.  One solution to this
  3713. was, as someone observed, is that there is more than one cyclic polynomial
  3714. that can be used: after all, fields have lots of primitive elements.  If the
  3715. CRC polynomial can be chosen from one of m (where m is in the thousands),
  3716. and there is only a probability of 1 in 2^n of the virus accidentally
  3717. preserving the CRC checksum then the probability of correctly preserving
  3718. all of the CRC polynomials is 1 in 2^mn.  Of course, that means that the
  3719. checking program would have to compute all m CRC polynomials.  More likely,
  3720. the program would sample 2 or 3 CRC values; most people can live with a
  3721. likelyhood of 1 in 2^3n of the virus accidentally preserving the checksum.
  3722.  
  3723.   One problem is that the virus need not accidentally preserve checksums.  The
  3724. virus could concievably satisfy *ALL* of the CRC polynomials, provided it
  3725. knew how large the signature n was.  (This assumes that the input set is larger
  3726. than 2^mn.)  The chief advantage is that in order to be able to have self
  3727. replicating code with an infection scheme this complex, the virus would have
  3728. to be large and the infection process would be slow, consuming a (hopefully)
  3729. visible fraction of computing resources.  Fat and slow viruses can be detected,
  3730. and after detection hopefully cured.
  3731.  
  3732.   An alternative, for the people who are especially concerned about security
  3733. and are willing to devote a larger fraction of their resources can use a
  3734. CRC scheme with site dependent signature size.  In this fashion, the virus
  3735. can not know in advance the detection scheme the site will use, and so the
  3736. infection passing the signature-preservation test will be back to random, and
  3737. a probability most people can live with.
  3738.  
  3739.                                                       woody weaver
  3740.                                                       wweaver@drew
  3741. =========================================================================
  3742. Date:         Fri, 13 May 88 08:28:10 CDT
  3743. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3744. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3745. From:         Craig Pepmiller <CCCRAIG@UMCVMB>
  3746. Subject:      Signature lengths
  3747.  
  3748. It is not strictly true that a signature must be as large as the file checked
  3749. to avoid many-to-one mapping.  An easy way to prove this is data compression.
  3750. It is easy to construct a file that uniquely identifies a larger file if the
  3751. source has repeating patterns or other features that are compressible.
  3752.  
  3753. Another thought for budding compu-epidemiologists;  There is a set of unique
  3754. machine instructions that a virus must use to work.  If you compress all the
  3755. bytes that are not part of that set then you can have a signature that is
  3756. much much smaller than the original and still identify the vital parts of the
  3757. file.  This would not work on programs that are meant to unpack and execute
  3758. other files (ie BASICA) or where a change in an argument can bring in
  3759. unchecked code.  Maybe you would have to check disks in their entirety.
  3760.  
  3761. Any comments?  What set of instructions would need to be part of the set?
  3762. Should this be a thesis project for somebody (maybe me)?
  3763.  
  3764. Think about it,
  3765.  
  3766. Craig Pepmiller
  3767. Comp. Prog./Anal. II
  3768. University of MO-Columbia
  3769. Bitnet: CCCRAIG@UMCVMB
  3770. =========================================================================
  3771. Date:         Fri, 13 May 88 13:59:24 EDT
  3772. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3773. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3774. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  3775. Subject:      Checkup
  3776.  
  3777.  
  3778. I just downloaded Checkup 1.4 from the author's own bbs (215-969-8379).
  3779. Rich Levin, the author, tells me that version 1.5 should be out within
  3780. a week or so.  I'll post it as soon as it's available.
  3781.  
  3782. I was unable to find any differences between the file that I downloaded
  3783. and the one which I had previously posted.  I think that Flu_Shot+
  3784. was displaying incorrect error messages - but I could be wrong...
  3785. I did have some other problems with Flu_Shot+ interfering with a couple
  3786. other programs, for what that's worth.  Anyway, you can all rest assured
  3787. that the Checkup file on VIRUS-L is as the author intended for it to be.
  3788. The filename is still CHKUP14 UUE on this LISTSERV.
  3789.  
  3790. Ken
  3791.  
  3792. ------------------------------------------------------------------------
  3793. = Kenneth R. van Wyk                   =                               =
  3794. = User Services Senior Consultant      =     Badgers!  We don't need   =
  3795. = Lehigh University Computing Center   =       no stinkin badgers!     =
  3796. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  3797. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  3798. ------------------------------------------------------------------------
  3799.  
  3800. =========================================================================
  3801. Date:         Fri, 13 May 88 14:45:08 EDT
  3802. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3803. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3804. From:         "David M. Chess" <CHESS@YKTVMV>
  3805. Subject:      Signature lengths
  3806.  
  3807. > From:         Craig Pepmiller <CCCRAIG@UMCVMB>
  3808.  
  3809. > It is not strictly true that a signature must be as large as the file checked
  3810. > to avoid many-to-one mapping.  An easy way to prove this is data compression.
  3811.  
  3812. That's a point; the true statement is more like that the signature of
  3813. a *random* file must be, on average, as large as the file to be checked
  3814. (if you run a data-compression program on a file of truly random
  3815. bits, the file usually gets larger...).  If I had any faith in my
  3816. understanding of the concept of information, I'd say that a one-to-one
  3817. mapping is only possible if the elements of both sets contain the
  3818. same amount of information...
  3819.  
  3820. > Another thought for budding compu-epidemiologists;  There is a set of unique
  3821. > machine instructions that a virus must use to work.
  3822.  
  3823. Could you elaborate on that?  The instructions that a virus needs to work
  3824. are generally the same instructions that any other program needs to do
  3825. anything else (adds, moves, operating-system calls).  You could probably
  3826. identify a set of bytes and say "any virus must contain at least one
  3827. of these", but it's not clear to me how that would aid in compression
  3828. and signature-making.   Sounds interesting, though; could you give more
  3829. details?   (Unless you think I'm the only one who doesn't understand,
  3830. in which case write me a note and scold me!)
  3831.  
  3832. DC
  3833. =========================================================================
  3834. Date:         Fri, 13 May 88 20:35:22 EDT
  3835. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3836. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3837. Comments:     In-Reply-To: 13 May 88 08:28:10 CDT from Craig Pepmiller
  3838. From:         Otto Stolz +49 7531 88 2645 <RZOTTO@DKNKURZ1>
  3839. Subject:      Signature lengths
  3840.  
  3841. > There is a set of unique machine instructions that a virus must use to
  3842. > work.
  3843. True.
  3844.  
  3845. > If you compress all the bytes that are not part of that set then you
  3846. > can ... still identify the vital parts of the file.
  3847. False!!  Using specific instructions doesn't imply having these very
  3848. instructions in the executable program file.
  3849.  
  3850. The virus could well compose those vital (and revealing) instructions on
  3851. the fly from totally unsuspicious material.  E.g. it could subtract some
  3852. register's contents from itself to fabricate zero, increment and shift it
  3853. several times to produce an arbitrary OP-code, store it to memory and
  3854. eventually jump to this very memory location.
  3855.  
  3856. Hence, all OP-codes belong somehow to the vital set.
  3857.  
  3858. Think about it.
  3859.  
  3860. Best regards
  3861.              Otto
  3862. =========================================================================
  3863. Date:         Fri, 13 May 88 12:26:00 EST
  3864. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3865. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3866. From:         GILL@QUCDNAST
  3867. Subject:      More FLUSHOT+ bugs
  3868.  
  3869.  
  3870.      Now that someone mentioned it, I had the CMOS problem as well, but
  3871. on an IBM-PC clone (no XT or AT!) - my machine is a Zenith 151.  From
  3872. the FLUSHOT+ documentation, I didn't even realize that my CMOS could
  3873. even be changed - it implies this is a purely AT possibility.
  3874.  
  3875. Arnold Gill
  3876. Queen's University at Kingston
  3877. gill @ qucdnast.bitnet
  3878. =========================================================================
  3879. Date:         Fri, 13 May 88 17:01:23 EDT
  3880. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3881. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3882. From:         Russell Nelson <nelson@clutx.clarkson.edu>
  3883. Subject:      All Things Considered
  3884.  
  3885. There will be a report on the Israel University virus tonight on NPR.  Catch
  3886. it on your local public radio station.  This report might be repeated on
  3887. next morning's Morning Edition.
  3888. -russ
  3889. =========================================================================
  3890. Date:         Fri, 13 May 88 12:20:00 EST
  3891. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3892. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3893. From:         GILL@QUCDNAST
  3894. Subject:      Question about CRC protection
  3895.  
  3896.  
  3897.      As I understand CRCs, the CRC is a particular polynomial function
  3898. of the bytes within a file.  If that is the case, would it not be
  3899. possible to devise two (or three) orthonormal CRC polynomials, such that
  3900. any illegal change in the programs constant would necessitate a change
  3901. in one or more of the CRCs?  A virus could make one of the CRCs come
  3902. out all right, but several orthonormal ones?
  3903.  
  3904.      If such an idea is possible, then virus protection becomes simply a
  3905. matter of saving and safely protecting ones CRC list.
  3906.  
  3907.      Of course, I may be wrong.  Being in physics means I'm not overly
  3908. concerned with uniqueness proofs. :-)
  3909.  
  3910. Arnold Gill
  3911. Queen's University at Kingston
  3912. gill @ qucdnast.bitnet
  3913. =========================================================================
  3914. Date:         Fri, 13 May 88 12:33:29 EDT
  3915. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3916. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3917. From:         Neil Duffee <NJD2F@UOTTAWA>
  3918. Subject:      XMAS EXEC add'l comments
  3919.  
  3920. some additional comments on the CHRISTMA EXEC:
  3921.  
  3922. The above virus (which arrived here with the name XMAS EXEC) more likely
  3923. relied on our trust because it was, after all, sent to us from a friend at
  3924. another node, was it not?  Since we trust our friends, why not just run it?
  3925. (besides, at that time, virii were limited to micros and not mainframes)
  3926.  
  3927. Locally, the operators (and prob. the system manager) did a periodic check
  3928. of the spool files and purged about 200+ files manually.  (we are a rather
  3929. peripheral node)
  3930.  
  3931. Neil Duffee
  3932. Computer Operator
  3933. University of Ottawa
  3934. Ottawa, Ontario, Canada
  3935. NJD2F@UOTTAWA.BITNET     (soon to become NJD2D@UOTTAWA.BITNET)
  3936. =========================================================================
  3937. Date:         Sun, 15 May 88 19:11:29 EDT
  3938. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3939. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3940. From:         Jim Frost <madd@bu-it.BU.EDU>
  3941. Subject:      Re: software self-checks
  3942.  
  3943.  
  3944. |> |however, such checks would be very useful in slowing the spread of a virus.
  3945. |>
  3946. |> A couple of comments to this.  Yes, it'd slow the spread of
  3947. |> viruses, but it would also make you less paranoid about them (and
  3948. |> thus less likely to catch them),
  3949. |       ----
  3950. |  I assume this should have been MORE likely to catch them?
  3951.  
  3952. No, I meant less.  If a virus was built that circumvented the checks,
  3953. you'd probably never find it because you're not looking for it under
  3954. the assumption that if it were there, you'd be told.
  3955.  
  3956. jim frost
  3957. madd@bu-it.bu.edu
  3958. =========================================================================
  3959. Date:         Mon, 16 May 88 04:42:20 EDT
  3960. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3961. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3962. From:         Amanda B Rosen <abr1@cunixc.columbia.edu>
  3963. Subject:      Various protection schemes against executable-infecting viruses
  3964.  
  3965. Hi... first posting for me...
  3966.  
  3967. About the one-to-one mapping, I believe that it has already been mentioned
  3968. that data compressors generate unique "signatures". In fact, for any desired
  3969. amount of certainty, there will be a spectrum of algorithms you can use,
  3970. ranging from storage-intensive, computationally undemanding ones to ones
  3971. which make great demands on the CPU but generate much smaller signatures.
  3972. For example, given a desire for 100% certainty, you could copy the file (for
  3973. a disk-intensive scheme) or Huffman-encode it (CPU-bound). Likewise, for
  3974. less certainty you could keep a large checksum or a small CRC.
  3975.  
  3976. Without giving the matter much thought (yet), I wonder if Huffman encoding
  3977. might not be a useful tool in the Virus wars. Of course, it makes large
  3978. demands on the processor, but you don't need to huf the whole file. I am
  3979. guessing now, but I bet that a 'database' type analysis which huf'ed a
  3980. file and kept just the table could defeat every file-modifying virus out
  3981. there today. Unfortunately this takes a lot of time. The $64K question is,
  3982. are there any Huffman-type schemes which take less time, but have the same
  3983. basic character?
  3984.  
  3985. The reason I am intruiged by Huffman is that it analyzes the character of
  3986. the data in the file. An example of another, very simple analysis scheme is
  3987. one that counts the number of occurences of each byte value in the file. This
  3988. would be difficult to defeat, because the virus would probably have to alter
  3989. such a large part of the infected program to conform to the validation check
  3990. that the program wouldn't be able to execute at all.
  3991.  
  3992. Why does everyone assume that a 'database' validation scheme must use only one
  3993. type of check? Having a variety of simple checks available and randomly
  3994. choosing two for each file to be validated (you store the types of the checks
  3995. along with their results) should be enough to stop any virus.
  3996.  
  3997. So... am I missing something?
  3998. /a
  3999. =========================================================================
  4000. Date:         Mon, 16 May 88 14:03:00 LCL
  4001. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4002. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4003. From:         Michael Wagner new! +49 228 8199645 <WAGNER@DBNGMD21>
  4004. Subject:      Re: software self-checks
  4005.  
  4006. > From jim frost <madd@bu-it.bu.edu>
  4007. > |> A couple of comments to this.  Yes, it'd slow the spread of
  4008. > |> viruses, but it would also make you less paranoid about them (and
  4009. > |> thus less likely to catch them),
  4010. > |       ----
  4011. > |  I assume this should have been MORE likely to catch them?
  4012. >
  4013. > No, I meant less.  If a virus was built that circumvented the checks,
  4014. > you'd probably never find it because you're not looking for it under
  4015. > the assumption that if it were there, you'd be told.
  4016.  
  4017.   When I catch a virus, that is to me like catching a cold, i.e.
  4018.   contracting, getting sick, etc.  That is how I read your comment.
  4019.  
  4020.   I think you meant catching as in detecting, trapping, immobilizing,
  4021.   etc.
  4022.  
  4023.   It seems I understood the opposite meaning from what you intended.
  4024.   Ah, the dangers of mixing vocabularies willy nilly from different
  4025.   fields.
  4026.  
  4027. Michael
  4028. =========================================================================
  4029. Date:         Mon, 16 May 88 12:18:00 PDT
  4030. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4031. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4032. From:         WETTERN@OREGON
  4033. Subject:      RE: XMAS EXEC add'l comments
  4034.  
  4035. I just wanted to let you know that there are at least two legitimate programs
  4036. called XMAS EXEC out there.  One of them, for example, is a cute little
  4037. animated thing coming from Japan.
  4038. So, when next xmas comes around and somebody sends you a XMAS EXEC, check it
  4039. out before you run or discard it. It might be a virus or something legitimate.
  4040. =========================================================================
  4041. Date:         Mon, 16 May 88 14:07:00 EDT
  4042. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4043. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4044. From:         Woody <WWEAVER@DREW>
  4045. Subject:      detecting damaged data
  4046.  
  4047. I think we've become a bit distracted on the problem of virus detection.
  4048. There seem to be two essential problems: first, making sure that the program
  4049. you recieve is free of viruses (and destructive code -- i.e. the authorship
  4050. problem) and ensuring that your data does not become contaminated over time.
  4051.  
  4052. The current discussion seems to be revolving about the latter half of the
  4053. problem: we would like to ensure that the executable image we are about to
  4054. launch (or data base we are about to access) has not been altered by a
  4055. malefic agent.  Someone (sorry, threw away that message) proposed storing
  4056. a CRC signature for each file.  Jerry Leichter (LEICHTER@YALEVMS) responded
  4057.  
  4058. >Unfortunately, it is very easy to modify a file so that any given CRC remains
  4059. >unaltered.  The protection you get by using a CRC is thus quite limited - it
  4060. >stops those virus-writers who aren't clever enough to work around it.
  4061.  
  4062. This is an inherent problem: if we use a simple protection scheme, then the
  4063. virus can include code to defeat it.  Varying what is meant as "simple",
  4064. while looking at the code to CHECKUP, Kenneth R. van Wyk (LUKEN@LEHIIBM1)
  4065. remarked
  4066.  
  4067. >This raises an interesting question - is it truly possible to write
  4068. >a checksum/crc/whatever algorithm that will be able to figure out
  4069. >whether or not a file has been changed 100% of the time?  Let's assume
  4070. >that the signature data has *not* been tampered with in any way.  It
  4071. >is no secret that both checksums and crcs can be circumvented rather
  4072. >easily.  But, an algorithm which could validate a file with 100%
  4073. >effectiveness could be very worthwhile looking into.  Once again, the
  4074. >validity of the signature data itself would have to be insured via
  4075. >encryption and/or read-only isolation.
  4076.  
  4077. David M. Chess (CHESS@YKTVMV) gave an argument to answer van Wyk's question
  4078. in the negative: essentially, it is that the number of possible messages
  4079. is larger than the number of possible (small) signatures.  No one - to - one
  4080. function maps a larger set into a smaller set.  However, Leichter's
  4081. original post goes on to point out the following:
  4082.  
  4083. >I would suggest a compromise:  A mechanism that, while not completely secure,
  4084. >makes things very hard on a virus-maker while not requiring huge amounts of
  4085. >computation.  When a program is published, a large number of random polynomials
  4086. >(say, 100 or 1000) are chosen, using the techniques of Rabin's paper.  The CRC
  4087. >of the program with ALL the polynomials is published.  To check a program, you
  4088. >chose any two of the polynomials - also published - compute the CRC's, and
  4089. >compare.  (You must, of course, chose those two at random.)  The virus maker
  4090. >must make his program have the same CRC with respect to ALL the 100 or 1000
  4091. >polynomials - which is possible, but requires (I believe, this would need to be
  4092. >studied) a LOT of computation.  (The length should probably be checked - it's
  4093. >going to be a lot easier on the virus maker if he can add extra stuff to the
  4094. >end of the program to make the CRC's come out right.)
  4095.  
  4096. Professor Leichter is trying to simultaneously solve the authorship problem and
  4097. the preservation of data problem by publishing this list with the program.
  4098. One of the problems with this is that we still have to find some way to
  4099. publicly distribute this list, and then have to store this list (no small
  4100. overhead!).  However, if we just consider trying to stabilize the data, this is
  4101. quite a useful system.  When the file is recieved (or legally modified) a
  4102. collection of 100 or 1000 (or 10, site dependent CRC polynomial signatures) are
  4103. chosen and stored separate from the file.
  4104.  
  4105. Now, at appropriate intervals, one or two of the CRC polynomials from the
  4106. stored list are selected, are computed for the file, and compared against the
  4107. stored signatures.  If a difference is detected, we know the file is
  4108. contaminated and appropriate measures can be taken.
  4109.  
  4110. In some sense, this is appealing to Arnold Gill's intuitive feel for the
  4111. effect of CRC error detection:
  4112.  
  4113. >     As I understand CRCs, the CRC is a particular polynomial function
  4114. >of the bytes within a file.  If that is the case, would it not be
  4115. >possible to devise two (or three) orthonormal CRC polynomials, such that
  4116. >any illegal change in the programs constant would necessitate a change
  4117. >in one or more of the CRCs?  A virus could make one of the CRCs come
  4118. >out all right, but several orthonormal ones?
  4119.  
  4120. If the virus knows which (small number of) CRC's are going to be checked, it
  4121. (theoretically) can alter the data to preserve all signatures.  If it doesn't
  4122. know which CRC's are going to be checked, it can only preserve them randomly.
  4123. If we can treat the virus as a random rather than intelligent agent, then
  4124. we achieve detection approaching that of noisy telephone lines, for which
  4125. CRC's are excellent.
  4126.  
  4127. The chief advantage of this scheme is that we are drawing upon the essence of
  4128. zero knowledge proof to verify the identity of the data.  While a virus
  4129. could contaminate a specific site (because for a specific site the inquiry is
  4130. predetermined: the virus need only defeat a small number of detection
  4131. functions) general transmission of the virus is not possible; once such a
  4132. virus is detected at one site, avenues of communication (such as this list)
  4133. will alert other sites where it may have escaped detection and it can be
  4134. killed net-wide.
  4135.  
  4136. An important feature of this scheme is that it requires a small amount of
  4137. overhead (only a few signatures stored at any one site, instead of all of the
  4138. signatures stored at every site) and can be done quickly (little more than
  4139. reading the entire file).  It seems clear to me at least that detection
  4140. schemes that require extensive storage or processing will not be enacted --
  4141. I mean, given sufficient storage, one would simply keep a spare copy of the
  4142. data on a WORM -- so this at least has a possibility of being followed in
  4143. the interests of good computer hygiene.
  4144.  
  4145.  
  4146. =========================================================================
  4147. Date:         Mon, 16 May 88 14:37:41 EDT
  4148. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4149. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4150. From:         riacs!ames!hc!csed-1!csed-47!roskos@rutgers.edu
  4151. Subject:      Re:  Signature lengths
  4152.  
  4153. >> It is not strictly true that a signature must be as large as the file checked
  4154. >> to avoid many-to-one mapping.  An easy way to prove this is data compression.
  4155. >
  4156. >That's a point; the true statement is more like that the signature of
  4157. >a *random* file must be, on average, as large as the file to be checked ...
  4158.  
  4159. No, that's not quite right.  All the "counterexample" shows is that there
  4160. may be a bijective mapping from the set of all signatures of n bits to some
  4161. *subset* (of size 2^n) of the set of all files of m bits, m > n.  As I
  4162. mentioned in my previous message to VIRUS-L(1), it is the *number of distinct
  4163. values the program file can take on* that determines the size of the signature
  4164. required, not the number of bits in the program file per se.  If you
  4165. allow the n-bit signature to include a program with more than n bits, there
  4166. will be a program of less than or equal to n bits for which there is no
  4167. n-bit signature.
  4168.  
  4169. A compression algorithm just tries to take the most "frequently occurring"
  4170. values of an m-bit file and give them representations in n bits.  Consider
  4171. that it is not possible to compress all files, as Mr. Chess points out;
  4172. that is because in n bits you can't represent all m bit files, just as
  4173. you can't represent all m bit files in an n-bit signature.
  4174.  
  4175. In other words, compression would be analogous to finding a function that
  4176. assigns a unique n-bit number to each *existing* program you have (where there
  4177. are less than 2^n programs in existence).  This may well be possible
  4178. (although in the worst case the function might have to have a copy of each
  4179. program to compare with the one being tested).  Really, though, the function
  4180. would have to do slightly more than that; it would also have to return
  4181. some special value for all programs that didn't match, so you can tell
  4182. when you have a modified one.
  4183.  
  4184. >> Another thought for budding compu-epidemiologists;  There is a set of unique
  4185. >> machine instructions that a virus must use to work.
  4186. >
  4187. >Could you elaborate on that?  The instructions that a virus needs to work
  4188. >are generally the same instructions that any other program needs to do
  4189. >anything else (adds, moves, operating-system calls).
  4190.  
  4191. That's true.   It's not really the set of unique machine instructions,
  4192. but rather the instruction *sequences*.  Correctly-working programs use
  4193. these same instructions (maybe through a mediator, the operating system),
  4194. they just don't use them to infect other programs.
  4195.  
  4196. However, machines that provide "hardware protection" features do use
  4197. exactly the principle stated in the part with the ">>" above; these are
  4198. the "privileged instructions" (which may take the form of privileged
  4199. system calls).  If you restrict this set of instructions to be used only
  4200. by code which is proven to protect against virus-operation (this
  4201. includes protecting the protection code itself, and other things generally
  4202. associated with a secure system), then you have a system which is
  4203. "secure," which is the source of much work these days.
  4204.  
  4205. But, notice that it gets increasingly hard to fully protect a system
  4206. in this way; for example, you would have to have the restriction that
  4207. only compilers can modify object files, for instance; i.e., the system
  4208. would have to distinguish writes to a user's file that result from the
  4209. user recompiling the program, from writes to the same file that occur
  4210. due to some other program trying to modify it to insert a virus.
  4211.  
  4212. Now that I think about it, that is not as hard as it first seems, it's
  4213. just not something that is usually provided nowadays.  It would require
  4214. one to be very rigorous in the design, but it does seem as though
  4215. it could be done...
  4216.  
  4217. ------
  4218. (1) I haven't seen my previous message appear on the list, though, so it
  4219.     may have been lost on the way to LEHIIBM1.
  4220.  
  4221. Eric Roskos, IDA (csed-1!roskos@DAITC.ARPA or Roskos@DOCKMASTER.ARPA)
  4222. =========================================================================
  4223. Date:         Mon, 16 May 88 15:01:23 EDT
  4224. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4225. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4226. From:         riacs!ames!hc!csed-1!csed-47!roskos@rutgers.edu
  4227. Subject:      need RISKS LOG
  4228.  
  4229. Is there anyone out there who would be willing to send me the RISKS LOG
  4230. on a floppy disk?  I will send you the postage required.  I am preparing
  4231. a report on viruses and need the log fairly soon (at least by the first
  4232. of next week).  I have been trying for several weeks to get a copy via
  4233. GET RISKS LOG but, although I get the report back from the list server
  4234. saying the job has run, the log never arrives.  Apparently someone's mailer
  4235. is discarding it along the way.
  4236.  
  4237. If you are willing to do this, email me about it so we can work out how
  4238. to send it.  Thanks... -- Eric Roskos
  4239. =========================================================================
  4240. Date:         Mon, 16 May 88 14:47:08 EDT
  4241. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4242. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4243. From:         riacs!ames!hc!csed-1!csed-47!roskos@rutgers.edu
  4244. Subject:      Re:  The neverending chain....
  4245.  
  4246.         In the future, "hardware" protection is probably going to be a
  4247.         neccessity.  Hopefully, it won't inhibit system "friendliness" and
  4248.         utility too much.  (Remember, the most secure and protected system to
  4249.         date is one which is totally isolated and restricted...and who wants
  4250.         one of those? Yeeek)
  4251.  
  4252. Actually, the goal of a secure system should be to prevent "illegal" accesses
  4253. while providing a minimum of interference to "legal" accesses.  This is what
  4254. makes it more challenging.  Note, though, that *some* overhead is necessary,
  4255. simply because it requires more work to check that an access is "legal" than
  4256. just to allow all accesses.  But it doesn't follow that the overhead has
  4257. to be intolerably high...
  4258.  
  4259. =========================================================================
  4260. Date:         Tue, 17 May 88 04:19:54 EDT
  4261. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4262. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4263. From:         Amanda B Rosen <abr1@cunixc.columbia.edu>
  4264. Subject:      Detecting damaged data
  4265.  
  4266. Shortly after I posted some thoughts concerning the usefulness of keeping
  4267. several (random) signatures for every file, Woody(WWEAVER%DREW.BITNET) posted
  4268. a long, well-written article declaring that this is exactly the right thing
  4269. to do. He still mentions only CRC's, though. Why are they considered the best
  4270. signatures? Is there a particularly easy way to defeat byte-counters (or
  4271. nibble counters, if you can't store a 256 word signature)?
  4272.  
  4273. It seems to me that in order to check files sufficiently often, the CPU
  4274. overhead must be *very* light. Disk storage, however, is at much less of a
  4275. premium. Even a 256 word signature would be a tiny percent of the actual
  4276. file's size, and the byte-counting algorithm is very cheap.
  4277.  
  4278. /a
  4279. =========================================================================
  4280. Date:         Tue, 17 May 88 12:52:00 CET
  4281. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4282. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4283. From:         "Karl-L. Noell" <NOELL@DWIFH1>
  4284. Subject:      CRC Signatures not reliable at all ?
  4285.  
  4286. Several discussion remarks have objected, that CRC signatures wouldn't
  4287. be able to protect against intentional file tamperings.
  4288. This holds true only under the following assumptions:
  4289.  
  4290.      1.  A CRC based protection scheme is utilized.
  4291.      2.  The certain G(x)=... is the current (and public known)
  4292.          denominator polynomial to calculate the signature, and
  4293.      3.  the original (untampered) file yields to the very remainder
  4294.          R(x)=... considered as the signature of the clean file.
  4295.  
  4296. To succeed in his impious attempts, an evil-doer must exactly know
  4297. really *everything* stated above (1.,2.,3.).  Then it's indeed possible
  4298. to 'adjust' the CRC signature to get the expected value even after
  4299. files have been altered.  For this reason, CRC signatures can't provide
  4300. sufficient security if one intends to protect the public *distribution*
  4301. of files showing, that they are coming from trustworthy sources.
  4302.  
  4303. Nevertheless CRC signatures can be fairly reliable to protect files
  4304. from getting tampered *subsequently* during running for applications.
  4305. If you chose an arbitrary G(x) and *not* the polynomials standardized
  4306. by CCITT, and if you alter *your* G(x) from time to time, how should
  4307. another person be able to know about this scheme ?  Keeping and com-
  4308. paring weekly logs reporting file sizes, time date stamps *and* CRCs
  4309. (computed with home made and sometimes changed polynomials) will give
  4310. a fair chance to detect suspicious events.  I believe such imperfect
  4311. methode is still better than taking no care at all whilst waiting
  4312. for the 'great and entirely secure' solution.
  4313.  
  4314. Karl Noell
  4315. =========================================================================
  4316. Date:         Tue, 17 May 88 07:22:00 EDT
  4317. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4318. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4319. From:         Woody <WWEAVER@DREW>
  4320. Subject:      re: Detecting damaged data
  4321.  
  4322. Amanda B Rosen <abr1@cunixc.columbia.edu> asks
  4323.  
  4324. >Why are they [CRC checks] considered the best
  4325. >signatures? Is there a particularly easy way to defeat byte-counters (or
  4326. >nibble counters, if you can't store a 256 word signature)?
  4327.  
  4328. Actually, I don't think there is a "best" scheme.  To defeat a particular CRC
  4329. check, you have to make sure that your virus maps the binary polynomial of the
  4330. corrupted file (mod the CRC polynomial) to the binary polynomial representing
  4331. the true file (mod the CRC polynomial).  To defeat a byte counter, you have to
  4332. make sure the corrupted file has the same bytes as the true file (though
  4333. presumably in a new order).  The thing is, though, if you devote that 256
  4334. word signature to a CRC check, we have 2^256*(wordsize) different possible
  4335. states that can arise as residues.  Moreover, there are good mathematical
  4336. reasons to believe that these different states occur with equal frequency.  If
  4337. you devote that 256 word signature to a byte counter then not all
  4338. 2^256*(wordsize) bit patterns arise: moreover, I would suspect that the counts
  4339. for most executable files have about the same percentages of each operation.
  4340. The lack of randomness makes the test less effective.  However, most people
  4341. want to check the size of the file as part of the corruption check -- the idea
  4342. of a byte counter is simply a generalizaton of that examination.
  4343.  
  4344. She continues
  4345.  
  4346. >It seems to me that in order to check files sufficiently often, the CPU
  4347. >overhead must be *very* light. Disk storage, however, is at much less of a
  4348. >premium. Even a 256 word signature would be a tiny percent of the actual
  4349. >file's size, and the byte-counting algorithm is very cheap.
  4350.  
  4351. Absolutely.  If we want to add this check to a segment loader as part of the
  4352. operating system, it needs be fast indeed.  As I recall, the CRC check is done
  4353. by fairly simple shifting and mod 2 addition: in both the byte counting
  4354. algorithm and the CRC check algorithm, the actual check is a small fraction of
  4355. the time required to retrieve the file from storage.
  4356.  
  4357. Is a CRC check before launch being done anywhere?  Even a simple parity check
  4358. (i.e. CRC with polynomial x + 1)?  Why not?
  4359. =========================================================================
  4360. Date:         Tue, 17 May 88 08:37:26 EDT
  4361. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4362. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4363. From:         Otto Stolz +49 7531 88 2645 <RZOTTO@DKNKURZ1>
  4364. Subject:      Special Warning on 3 infected MacIntosh programs
  4365.  
  4366. Hello,
  4367.  
  4368. A couple of minutes ago, I run into a letter dated 21th March 1988, that
  4369. was circulated by a Software Distributing House in southern Germany to
  4370. their customers.  I will not post their name or address to this list; if
  4371. somebody really needs it, please drop my a note, privately.
  4372.  
  4373. As I don't have access to a MacIntosh, I can't assess the importance the
  4374. message might bear to MacIntosh users; so I deemed it best posting it in
  4375. this list for anybody who might be concerned.  As none of the programs
  4376. below is mentioned in the DIRTY DOZEN, somebody (Ken Van Wyk?) should
  4377. forward this note to Eric Newhouse whose BITNET address is unknown to me.
  4378.  
  4379. Following is the main part  of this letter (translated into English):
  4380.  
  4381. > Subject: MacIntosh Virus!!!
  4382. >
  4383. > Regrettably, also MacIntosh has been befallen by some virus, meanwhile.
  4384. > Please do *not* use any of the following programs:
  4385. >      Pre-Release PageMaker 3.0
  4386. >      Pre-Release HyperCard German
  4387. >      Pre-Release Multifinder German
  4388. >
  4389. > *Beware:* Virus spreads through networks (e.g. AppleTalk)!!!
  4390. >
  4391. > Symptoms: Difficulties when using the Hard Disk, even to the amount
  4392. >           of completely loosing the Hard Disk.
  4393.  
  4394. Best regards
  4395.               Otto Stolz
  4396. =========================================================================
  4397. Date:         Tue, 17 May 88 10:08:20 EDT
  4398. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4399. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4400. Comments:     Resent-Date: 17 May 1988, 15:49:32 +0200 (MESZ)
  4401. Comments:     Resent-From: Otto Stolz         +49 7531 88 2645     RZOTTO   at
  4402.               DKNKURZ1
  4403. From:         Otto Stolz +49 7531 88 2645 <RZOTTO@DKNKURZ1>
  4404. Subject:      Special Warning on 3 infected MacIntosh programs
  4405.  
  4406. The following contribution came back to me from somewhere down the line
  4407. for a reason I couldn't figure out from the accompanying message.
  4408. As I'm not sure wether it has already reached the relvant LISTSERV,
  4409. I'm going to post it again.
  4410.  
  4411. Hello,
  4412.  
  4413. A couple of minutes ago, I run into a letter dated 21th March 1988, that
  4414. was circulated by a Software Distributing House in southern Germany to
  4415. their customers.  I will not post their name or address to this list; if
  4416. somebody really needs it, please drop my a note, privately.
  4417.  
  4418. As I don't have access to a MacIntosh, I can't assess the importance the
  4419. message might bear to MacIntosh users; so I deemed it best posting it in
  4420. this list for anybody who might be concerned.  As none of the programs
  4421. below is mentioned in the DIRTY DOZEN, somebody (Ken Van Wyk?) should
  4422. forward this note to Eric Newhouse whose BITNET address is unknown to me.
  4423.  
  4424. Following is the main part  of this letter (translated into English):
  4425.  
  4426. > Subject: MacIntosh Virus!!!
  4427. >
  4428. > Regrettably, also MacIntosh has been befallen by some virus, meanwhile.
  4429. > Please do *not* use any of the following programs:
  4430. >      Pre-Release PageMaker 3.0
  4431. >      Pre-Release HyperCard German
  4432. >      Pre-Release Multifinder German
  4433. >
  4434. > *Beware:* Virus spreads through networks (e.g. AppleTalk)!!!
  4435. >
  4436. > Symptoms: Difficulties when using the Hard Disk, even to the amount
  4437. >           of completely loosing the Hard Disk.
  4438.  
  4439. Best regards
  4440.               Otto Stolz
  4441. =========================================================================
  4442. Date:         Tue, 17 May 88 08:40:00 EDT
  4443. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4444. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4445. From:         "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  4446. Subject:      Re: checksum signatures
  4447. In-Reply-To:  Message of 12 May 88 09:15 EDT from "Kenneth R. van Wyk"
  4448.  
  4449.  
  4450. 1.  It is patently false that a checksum algorithm can (with an accuracy
  4451. of 100%) detect changes to a file.  I am assuming that "checksum" here
  4452. means some "encoding" of the file that *is less lengthy* of the file
  4453. itself.  Consider this:  let's let xx represent files, y represent the
  4454. checksum.  If we only use digits for this example, there are 100
  4455. different files that can exist, 10 different checksums.  Clearly, one
  4456. checksum "covers" 10 files.
  4457.  
  4458. Although you can do certain other things (in addition to "pure"
  4459. checksums), you would (?)  have to *be able to recreate the original
  4460. file* from the "checksum" (and whatever else you looked at) in order to
  4461. claim 100% detection.  Anything less says that there is a possibility of
  4462. "collision."
  4463.  
  4464. If you make a backup of a file & then do a compare, that would give you
  4465. 100% (with certain assumptions); or even if you could compress the file
  4466. & back that up.  It may be that you can achieve 100% detection with less
  4467. if you make certain assumptions about what the file will or will not
  4468. contain; but if you are talking about arbitrary strings, such an
  4469. assumption is not valid.
  4470.  
  4471. Joseph
  4472. =========================================================================
  4473. Date:         Tue, 17 May 88 17:18:00 LCL
  4474. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4475. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4476. From:         Michael Wagner new! +49 228 8199645 <WAGNER@DBNGMD21>
  4477. Subject:      Re: Detecting damaged data
  4478.  
  4479. > From:         Woody <WWEAVER@DREW>
  4480. >
  4481. > Is a CRC check before launch being done anywhere?  Even a simple
  4482. > parity check (i.e. CRC with polynomial x + 1)?  Why not?
  4483.  
  4484.   I believe OS-9 has always done this.  Even on slow 1MHz 6809s, the
  4485.   delay was never objectionable.  The point was not to detect
  4486.   viruses, but rather to provide some minimal protection against
  4487.   calling programs that had suffered damage on disk and had passed
  4488.   the rather simplistic old disk data validation checks.  This was
  4489.   especially important on a cpu that had no memory protect and no
  4490.   supervisory/user mode capabilities.  I don't recall the details of
  4491.   the algorithm any more, but I can find out if anyone is interested
  4492.   (private mail, please - don't tell the whole list).
  4493.  
  4494.   It was so simple at thing to do, and offered considerable
  4495.   protection.  I never understood why no other micro-os manufacturer
  4496.   did it.
  4497.  
  4498. Michael
  4499. =========================================================================
  4500. Date:         Tue, 17 May 88 12:59:00 EDT
  4501. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4502. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4503. From:         Woody <WWEAVER@DREW>
  4504. Subject:      re: CRC signatures not reliable at all ?
  4505.  
  4506. Karl Noell <NOELL@DWIFH1> (Germany!  Isn't BITNET a great communication
  4507. network?) writes
  4508.  
  4509. >Several discussion remarks have objected, that CRC signatures wouldn't
  4510. >be able to protect against intentional file tamperings.
  4511. >This holds true only under the following assumptions:
  4512.  
  4513. >     1.  A CRC based protection scheme is utilized.
  4514. >     2.  The certain G(x)=... is the current (and public known)
  4515. >        denominator polynomial to calculate the signature, and
  4516. >     3.  the original (untampered) file yields to the very remainder
  4517. >         R(x)=... considered as the signature of the clean file.
  4518.  
  4519. >To succeed in his impious attempts, an evil-doer must exactly know
  4520. >really *everything* stated above (1.,2.,3.).  Then it's indeed possible
  4521. >to 'adjust' the CRC signature to get the expected value even after
  4522. >files have been altered. [...]
  4523.  
  4524. I'd like to point out he needn't really *know* all that.
  4525.  
  4526. Let us suppose that the virus writer knows that 1 is true.  Also, suppose
  4527. that the virus writer does not *know* the G(x) of 2, but suspects it is
  4528. one of g1(x), g2(x), ... gk(x).  Write G(x) = g1(x) * g2(x) * ... * gk(x),
  4529. and set ti(x) = G(x) / gi(x) (for i = 1 .. k ).  For a fixed remainder gi(x)
  4530. he precomputes mi(x) so that
  4531.  
  4532.                    mi(x) * ti(x) = 1 mod gi(x).
  4533.  
  4534. (Such exist from the chinese remainder theorem, because the CRC polynomials
  4535. are relatively prime.)  Set p(x) to be the clean file, interpreted
  4536. as a binary polynomial.  Compute r1(x), r2(x), ... , rk(x) the remainders
  4537. mod g1(x), g2(x), ... , gk(x) respectively.  Form
  4538.  
  4539.      r(x) = sum { ri(x) * mi(x) * ti(x) } mod G(x).
  4540.  
  4541. The virus need only do the following: (1) analyze the executable image, and
  4542. find a routine that is rarely executed.  Carefully jump
  4543. around that routine, and use the space for his viral code.  Alter p to form
  4544. an infected, virally communicating file p'(x).  Save a bit more space that we
  4545. will use as free variables.  (2)  Alter p'(x) to p*(x) by manipulating that free
  4546. space so that p*(x) = r(x) mod G(x).
  4547.  
  4548. Now, no matter which CRC check g1(x) to gk(x) is run, p*(x) has the same
  4549. residue as the 'clean' file p(x).
  4550.  
  4551. There is no way to defend against that, provided the invading virus does
  4552. know that you are using a CRC check and has a (short) list of CRC polynomials
  4553. to protect itself against.  There is considerable hope, however.  The
  4554. computation involved in obtaining r(x) is nontrivial.  Moreover, the 'save
  4555. a bit more space' may also be nontrivial: to match the residue mod G(x)
  4556. it could be necessary to use up to degree(G(x)) bits and this is the degree
  4557. of the CRC check times the number of potential checking polynomials: with
  4558. a sufficiently large CRC check signature and sufficiently many candidates
  4559. for check polynomials, our virus writer can't write an undetectible virus.
  4560.  
  4561. Anyway, Karl Noell goes on to observe
  4562.  
  4563. >If you chose an arbitrary G(x) and *not* the polynomials standardized
  4564. >by CCITT, and if you alter *your* G(x) from time to time, how should
  4565. >another person be able to know about this scheme ?  Keeping and com-
  4566. >paring weekly logs reporting file sizes, time date stamps *and* CRCs
  4567. >(computed with home made and sometimes changed polynomials) will give
  4568. >a fair chance to detect suspicious events.  I believe such imperfect
  4569. >methode is still better than taking no care at all whilst waiting
  4570. >for the 'great and entirely secure' solution.
  4571.  
  4572. A person could know your CRC check polynomial because you aren't clever enough
  4573. in concealing it.  Suppose you have a file called MY_CRC_CHECK_POLYNOMIAL.DAT...
  4574. I could have my virus look for such a file and use it.  But seriously, this
  4575. is the whole point.  If we are able to assume that the virus does not know
  4576. which of the CRC polynomials you are using (nor its size) then he can not
  4577. protect completely against it.  As long as we are dilligent and random, this
  4578. is not an "imperfect methode" but safe protection against a random virus.
  4579.  
  4580. A more serious problem however would be a program designed to specifically
  4581. live inside a specific site or system.  For a specific site, the randomness
  4582. of the CRC is no protection.  But then, this is virus-L, not ICE-L...
  4583.  
  4584.                                                         woody
  4585.  
  4586. =========================================================================
  4587. Date:         Tue, 17 May 88 08:42:00 EDT
  4588. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4589. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4590. Comments:     Resent-From: "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  4591. Comments:     Originally-From: "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  4592. From:         "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  4593. Subject:      Re: hunting up infected files
  4594. In-Reply-To:  Message of 9 May 1988 11:05 edt from Karl-L. Noell
  4595.  
  4596. As an employee of the National Computer Security Center, I must point
  4597. out that we do *NOT* attempt to track perpetrators for prosecution or
  4598. for *ANY* other reason!
  4599.  
  4600. We are not a law enforcement Agency, and are prohibited by law to take
  4601. any such action.
  4602.  
  4603. We are interested in tracking the viruses (or ordinary Trojan Horses) as
  4604. they infect different sites.
  4605.  
  4606. As a matter of professional interest, I would be curious as to the
  4607. motivations of perpetrators of malicious code, or whether they are
  4608. members of "Hacker Clubs;" but that is information that may be conveyed
  4609. without identifying the people/organizations involved.
  4610.  
  4611. Joseph
  4612. =========================================================================
  4613. Date:         Wed, 18 May 88 08:35:47 EDT
  4614. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4615. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4616. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  4617. Subject:      Beware the turkey!  :-)
  4618.  
  4619.  
  4620.  
  4621. Here's a forwarded message that I got.  The program described here looks
  4622. almost like a new CHRISTMA EXEC - if anyone has any more information on
  4623. this, please send it to the list.
  4624.  
  4625.  
  4626.   To: ICS@ruby-falls.ICS.UCI.EDU
  4627.   Subject: Warning!
  4628.   Date: Thu, 12 May 88 13:07:21 -0700
  4629.   From: Tim Morgan <morgan@ruby-falls.ICS.UCI.EDU>
  4630.  
  4631.   Everyone should be aware of the program described in the following
  4632.   message.  We don't want to have to restore any files for anyone...
  4633.  
  4634.     Date: Tue, 10 May 88 12:48:16 PDT
  4635.     From: Doug Fouts <fouts%krypton@hub.ucsb.edu>
  4636.     To: jwills@venera.isi.edu
  4637.     Subject: EMAIL WARNING
  4638.  
  4639.     I have just been informed by a friend of mine here at U.C.S.B.
  4640.     that there is a program being passed around via ARPAnet (and
  4641.     also some other computer networks) that is called "turkey".  The
  4642.     instructions that are sent with the program say that when
  4643.     compiled and run the program will draw a nice picture of a
  4644.     turkey.  I have been informed that the program is a (not very
  4645.     funny) joke.  It does not draw a turkey, but it does erase all
  4646.     of the unprotected files in your directory.  You might want to
  4647.     pass this information along to people you know who use the
  4648.     network, as I am doing.
  4649.                                                               Doug Fouts
  4650.  
  4651. ------------------------------------------------------------------------
  4652. = Kenneth R. van Wyk                   =                               =
  4653. = User Services Senior Consultant      =     Badgers!  We don't need   =
  4654. = Lehigh University Computing Center   =       no stinkin badgers!     =
  4655. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  4656. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  4657. ------------------------------------------------------------------------
  4658.  
  4659. =========================================================================
  4660. Date:         Wed, 18 May 88 14:49:00 LCL
  4661. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4662. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4663. From:         Michael Wagner +49 228 8199645 <WAGNER@DBNGMD21>
  4664. Subject:      Re: CRC signatures not reliable at all ?
  4665.  
  4666. > From:         Woody <WWEAVER@DREW>
  4667. >
  4668. > There is considerable hope, however.  The computation involved in
  4669. > obtaining r(x) is nontrivial. ...with a sufficiently large CRC
  4670. > check signature and sufficiently many candidates for check
  4671. > polynomials, our virus writer can't write an undetectible virus.
  4672.  
  4673.   There is a very important point here, which I think needs to be
  4674.   stressed more than Woody is stressing it.  A virus sophisticated
  4675.   enough to defeat the nontrivial schemes being proposed should be
  4676.   detectable either by the space it consumes or the time it takes
  4677.   up.  This really the best we can hope for in these CRC schemes; to
  4678.   force such a virus into the domain of the visible.  But we still
  4679.   have to have the tools to 'see' with.  Therefore, computer users
  4680.   need to have precise tools to account for:
  4681.  
  4682.   1. All consumed and free disk space
  4683.   2. All consumed and free main storage in the running system
  4684.   3. All consumed cpu time over some period of time.
  4685.  
  4686.   These tools are anyways useful to micro owners who want to better
  4687.   understand the workings of their micros, but they become absolutely
  4688.   necessary to manage the problems that occur when virii start
  4689.   sprouting up.  If a certain, theoretically-unchanged operation
  4690.   starts taking significantly longer, it may have been subverted.
  4691.  
  4692.   To an extent, provision for these tools needs to be built in.  For
  4693.   example, there should be no unaccounted-for storage on disk; the
  4694.   map should show it all, including boot blocks, fats, (skinnies,)
  4695.   whatever.
  4696.  
  4697.  
  4698. Michael
  4699. =========================================================================
  4700. Date:         Wed, 18 May 88 08:56:04 EDT
  4701. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4702. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4703. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  4704. Subject:      Re: CRC signatures not reliable at all ?
  4705. In-Reply-To:  Message of Wed, 18 May 88 14:49:00 LCL from <WAGNER@DBNGMD21>
  4706.  
  4707. >  This really the best we can hope for in these CRC schemes; to
  4708. >  force such a virus into the domain of the visible.
  4709. > ...
  4710. >  If a certain, theoretically-unchanged operation
  4711. >  starts taking significantly longer, it may have been subverted.
  4712.  
  4713. There certainly is a lot of truth in that; a virus that is sufficiently
  4714. smart enough to get around the defense mechanisms proposed here would
  4715. probably use enough CPU time such as to become noticable.  Even the
  4716. simple viruses seen so far can be noticed by someone who is truly used
  4717. to the speed that his/her micro operates.  However, you run into problems
  4718. with this "method" of virus detection when (if?) you start to use multi-tasking
  4719. operating systems like OS/2 and/or Un*x.  Since several programs could be
  4720. running at the same time in such a system, any one program could take a
  4721. different amount of time to execute every time you run it.
  4722.  
  4723. Ken
  4724.  
  4725. P.S. I'm *not* trying to start a conversation on the merits of OS/2 vs.
  4726.      MS-DOS!   Really, I'm not!
  4727.  
  4728. ------------------------------------------------------------------------
  4729. = Kenneth R. van Wyk                   =                               =
  4730. = User Services Senior Consultant      =     Badgers!  We don't need   =
  4731. = Lehigh University Computing Center   =       no stinkin badgers!     =
  4732. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  4733. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  4734. ------------------------------------------------------------------------
  4735.  
  4736. =========================================================================
  4737. Date:         Wed, 18 May 88 15:52:00 LCL
  4738. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4739. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4740. From:         Michael Wagner new! +49 228 8199645 <WAGNER@DBNGMD21>
  4741. Subject:      Re: CRC signatures not reliable at all ?
  4742.  
  4743. > Even the simple viruses seen so far can be noticed by someone who
  4744. > is truly used to the speed that his/her micro operates.  However,
  4745. > you run into problems with this "method" of virus detection when
  4746. > (if?) you start to use multi-tasking operating systems like OS/2
  4747. > and/or Un*x.  Since several programs could be running at the same
  4748. > time in such a system, any one program could take a different
  4749. > amount of time to execute every time you run it.
  4750.  
  4751.   This was exactly my point (I guess I didn't express it very well).
  4752.   On simple systems, real time is (perhaps) an adequate measure.  On
  4753.   multi-tasking machines (for me it's not when or if, it's how long
  4754.   ago.  OS/9 and AmigaDOS were my last two micro operating systems;
  4755.   between them it's been five years since I used anything simpler),
  4756.   you MUST have ways to measure CPU consumed BY TASK/PROCESS.  This
  4757.   implies that OS designers must build dispatchers that attribute
  4758.   all CPU consumption to the various consuming tasks.
  4759.  
  4760. > Ken
  4761.  
  4762. Michael
  4763. =========================================================================
  4764. Date:         Wed, 18 May 88 14:53:44 EDT
  4765. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4766. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4767. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  4768. Subject:      forwarded submission
  4769.  
  4770.  
  4771. Here's a forwarded message from J.D. Abolins:
  4772.  
  4773.  
  4774.  
  4775. Re: Eric Rostov's request for copy of risks log on diskette...
  4776. Eric or anyone else seeking for this and other files on diskette
  4777. (5.25" >Diskette, msdos format), can snd me a stanped, self-
  4778. addressed mailer to me at
  4779.  
  4780. j. d. abolins
  4781. 301 N. Harrison Street #197
  4782. princeton, NJ  08540usa
  4783. (this is a mailing address only.)
  4784. Daytime phone: (609) 292-7023
  4785.  
  4786. Besides the risks log, I have a number of other text files and
  4787. articles concering the viruses.  Photocopies of print articles
  4788. can be made by arrangement.
  4789.  
  4790. Re: the request to pass a message on virus-l to Eric Newhouse...
  4791. I am going to send him a print copy of the message.  Eric
  4792. Newhouse, the developer of the dirty dozen listing, is not on
  4793. bitnet.  He is the sysop of the crest rbbs in california.
  4794. the bbs number is (213) 471-2518. His mailing address is
  4795.  
  4796. Eric Newhouse
  4797. 1834 Old Orchard Road
  4798. Los Angeles, CA  90049  usa
  4799.  
  4800. Soon, I hope to send up the most recent version of the dirty dozen
  4801. listing.
  4802.  
  4803. j.d.abolins
  4804.  
  4805.  
  4806.  
  4807. [Thanks for the generous offer J.D.!.  -Ken]
  4808.  
  4809. ------------------------------------------------------------------------
  4810. = Kenneth R. van Wyk                   =                               =
  4811. = User Services Senior Consultant      =   Shocked!  Shocked I am at   =
  4812. = Lehigh University Computing Center   =      this despicable act!     =
  4813. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  4814. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  4815. ------------------------------------------------------------------------
  4816.  
  4817. =========================================================================
  4818. Date:         Fri, 20 May 88 08:12:00 EDT
  4819. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4820. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4821. From:         "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  4822. Subject:      Re: Signature lengths
  4823. In-Reply-To:  Message of 16 May 88 14:37 EDT from
  4824.               "riacs!ames!hc!csed-1!csed-47!roskos%rutgers.edu at
  4825.               CUNYVM.CUNY.EDU"
  4826.  
  4827.  
  4828. The capability to limit what programs can write to executables, etc., is
  4829. a capability we are building into the LOCK (LOgical Coprocessing
  4830. Kernel).
  4831.  
  4832. This is done by assigning a "domain" to every subject (program) and a
  4833. "type" to every "object" (file).  There is an access matrix to determine
  4834. which domains have (a particular) access to types.  So if you have a
  4835. type called "executable", only a subject in domain "trusted compiler"
  4836. would have write access to it.
  4837.  
  4838. This is a very powerful integrity tool, which will allow us to make some
  4839. very strong assertions about how (if any) viruses could exist in such a
  4840. "LOCKed" system.
  4841.  
  4842. Joseph
  4843. =========================================================================
  4844. Date:         Fri, 20 May 88 08:46:35 EDT
  4845. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4846. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4847. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  4848. Subject:      Re: Signature lengths
  4849. In-Reply-To:  Message of Fri,
  4850.               20 May 88 08:12:00 EDT from <Beckman@DOCKMASTER.ARPA>
  4851.  
  4852. >a capability we are building into the LOCK (LOgical Coprocessing
  4853. >Kernel).
  4854.  
  4855. Any chance of giving us VIRUS-L readers some more information on
  4856. LOCK?  I'm sure we'd all appreciate it.
  4857.  
  4858.  
  4859. Ken
  4860.  
  4861. ------------------------------------------------------------------------
  4862. = Kenneth R. van Wyk                   =                               =
  4863. = User Services Senior Consultant      =   Shocked!  Shocked I am at   =
  4864. = Lehigh University Computing Center   =      this despicable act!     =
  4865. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  4866. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  4867. ------------------------------------------------------------------------
  4868.  
  4869. =========================================================================
  4870. Date:         Fri, 20 May 88 09:07:02 EDT
  4871. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4872. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4873. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  4874. Subject:      forwarded submission
  4875.  
  4876.  
  4877. Here's a forwarded submission from J.D. Abolins:
  4878.  
  4879.  
  4880.  
  4881. Ooops, my apologies. I had gotten the name wrong for the fellow
  4882. who is looking for the copy of the RISKS LOG. I still don't have
  4883. a copy of the original message from here at this site, but I
  4884. think the name is more like Eric Roskos. But in any case, you
  4885. know who you are and the offer for the doskette applies to anyone
  4886. on the VIRUS-L list. (I prefer a stamped self-addressed disk mailer
  4887. with a diskette or money to cover the disk and mailing.)
  4888.  
  4889. Also I have sent up the DIRTY DOZEN listing, version 8 b. This
  4890. came out in April 1988.
  4891.  
  4892. J.D. Abolins
  4893.  
  4894. ------------------------------------------------------------------------
  4895. = Kenneth R. van Wyk                   =                               =
  4896. = User Services Senior Consultant      =   Shocked!  Shocked I am at   =
  4897. = Lehigh University Computing Center   =      this despicable act!     =
  4898. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  4899. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  4900. ------------------------------------------------------------------------
  4901.  
  4902. =========================================================================
  4903. Date:         Sat, 21 May 88 23:21:00 EDT
  4904. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4905. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4906. From:         "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  4907. Subject:      Additional LOCK Info
  4908. In-Reply-To:  Message of 20 May 88 08:46 EDT from "Kenneth R. van Wyk"
  4909.  
  4910.  
  4911. Re:  LOCK
  4912.  
  4913. One of the problems with building security into Operating Systems, has
  4914. been the serial nature of a computer.  When the user's program is
  4915. operating, the security software is not.  The user is then only
  4916. constrained by what the TCB (trusted computing base) has done *before*.
  4917. If there is a failure, and the user is jumped into mastermode, he can do
  4918. whatever he wants.  There is also an obvious performance penalty; the
  4919. more security processing is necessary, the less time there is for user
  4920. programs.
  4921.  
  4922. LOCK is (essentially) adding a separate computer onto the computer to be
  4923. secured (called the Host).  This allows us to monitor without the
  4924. performance penalty.  It also allows us to keep the tcb code physically
  4925. separate from user applications -- there is *no way* for the user to
  4926. generate an address that reaches into the tcb code -- it is on a
  4927. separate machine (albeit attached to the Host's bus).
  4928.  
  4929. Most "secure" systems being built are designed to stop the compromise of
  4930. information, pretty useless against an integrity attack (such as a
  4931. virus).  That's one of the reasons we are building the Type Enforcement
  4932. mechanism; to stop viruses and ordinary Trojan Horses.
  4933.  
  4934. Although this mechanism cannot "detect" or "screen" viruses, it can at
  4935. least reduce them to ordinary Trojan Horse status (disallowing them
  4936. anyway of propagating).  Of course, if you audit, you should be able to
  4937. pick up a virus attempting to propagate (due to rejected actions).
  4938.  
  4939. Joseph
  4940. =========================================================================
  4941. Date:         Mon, 23 May 88 09:35:48 EDT
  4942. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4943. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4944. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  4945. Subject:      implementing protection mechanisms
  4946.  
  4947.  
  4948. I'd be interested in seeing some discussion about what virus protection
  4949. mechanisms other people have actually implemented, particularly in
  4950. microcomputer labs at universities.  I don't just mean commercially
  4951. available products; rather, any steps that are currently being taken
  4952. at your site to try to prevent viruses from spreading there.  Are you
  4953. just using write protect tabs, etc., or are you also using some program(s)
  4954. to try to detect them?
  4955.  
  4956. Here at Lehigh University, we're currently implementing more and more
  4957. Novell Local Area Networks - the network file server providing read-only
  4958. access to all executable files on the LAN.  We're also using notchless
  4959. boot floppy disks for the workstations.  Granted, there are ways of
  4960. getting around the notchless floppies (via modifying hardware...), but
  4961. they seem to be doing a pretty reasonable job (knock on wood :-).
  4962. We're also currently evaluating a number of commercial products.
  4963.  
  4964. So, what's everyone else doing?  Opinions?
  4965.  
  4966.  
  4967. Ken
  4968.  
  4969. ------------------------------------------------------------------------
  4970. = Kenneth R. van Wyk                   =                               =
  4971. = User Services Senior Consultant      =   Shocked!  Shocked I am at   =
  4972. = Lehigh University Computing Center   =      this despicable act!     =
  4973. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  4974. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  4975. ------------------------------------------------------------------------
  4976.  
  4977. =========================================================================
  4978. Date:         Tue, 24 May 88 13:13:00 PDT
  4979. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4980. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4981. From:         DBUERGER@SCU
  4982. Subject:      Comments on FLUSHOT PLUS
  4983.  
  4984. I am forwarding these notes on FLUSHOT PLUS from
  4985. Usenet.comp.sys.ibm.pc.general.  I forgot to include
  4986. the headers, but authors' net addresses are included.
  4987.  
  4988. -------------------------------------
  4989.  
  4990.  
  4991. I was testing FLUSHOT Plus to see if it was worth the
  4992. $10.00 fee the Author, Ross Greenberg is charging.
  4993. I knew that a large number of hours had been put into the program.
  4994. The documentation made it lk prettgood, even though it was a bit
  4995. rambly.
  4996. I created a FLUSHOT.DAT file, and put in 37 lines
  4997.     of the form
  4998.     C=filename
  4999.  
  5000.     When I loaded Flushot, I got a message saying that
  5001.     there was no room for a table, and the machine hung.
  5002.  
  5003.     I had not read the documentation closely enough. It turns
  5004.     out that you have to put a 'dummy' checksum in each line
  5005.     like this:
  5006.       C=filename[12345]
  5007.     Where 12345 is the dummy number. When flushot is started,
  5008.     it checksums the file, and reports the new number, which
  5009.     you have to write down and type in FOR EACH FILE!
  5010.     I then rewrote the FLUSHOT.DAT file with only two programs,
  5011.     command.com and a.bat checksummed. Flushot checked them on
  5012.     startup, but did not perform as advertised when I ran A.BAT,
  5013.     changed it, and ran it again.
  5014.     Flushot claims that it checksums files  whenever they are
  5015.     loaded by MSDOS. I guess this does not apply to BATCH files.
  5016.     I was going to test checksumming of .EXE files, but FLUSHOT
  5017.     trashed my CMOS ram.
  5018.  
  5019. FLUSHOT PROTECTS CMOS RAM ?
  5020.  
  5021.     Finally, I added two more lines to FLUSHOT.DAT with dummy
  5022.     checksums. I restarted FLUSHOT and got the following
  5023.     message:
  5024.  
  5025.       CMOS RAM HAS BEEN CHANGED. Y TO CONTINUE, ANY OTHER
  5026.       KEY TO PROCEED
  5027.  
  5028.     Followed by a long garbled bunch of characters!.
  5029.         Naturally, when I rebooted I could not boot from the
  5030.     Hard Disk, until I restored the setup information.
  5031.  
  5032.     My CMOS ram was trashed by FLUSHOT! I hoped that no damage
  5033.     had been performed to my FAT!.
  5034.     I then restored my ram with a CMOS-SAV progam which I wrote
  5035.     for such a purpose, and reloaded flushot.
  5036.  
  5037.     I then ran a program which zeroed out my CMOS ram using
  5038.     MS C outp() function, without a whimper from FLUSHOT.
  5039.  
  5040.     Note that I had no TSR'S present when this happened. I
  5041.     have a Leading Edge AT clone (Made by Mitsubishi, same
  5042.     as SPERRY IT). I am running DOS 3.1.
  5043.  
  5044.  
  5045.     I considered the possibility of Ross Greenberg enforcing
  5046.     his $10.00 fee by putting counters into flushot (since I
  5047.     had to restart it each time I changed anything in the
  5048.     FLUSHOT.DAT file and did this a number of times)
  5049.     and put the idea aside. (That was a pretty virulent dissertation
  5050.     in the manual about *worms*, maybe he thinks that people
  5051.     who don't buy his software are *worms*?!? :-)
  5052.     What I think Ross will accomplish by these threats, rewards,
  5053.     challenges is ENCOURAGE scores of copycats to write viruses
  5054.     to beat flushot (which is buggy).
  5055.  
  5056.  
  5057.     My conclusion is that FLUSHOT Plus does not perform as
  5058.     advertised (in my case, anyway) and I would not use it
  5059.     or even trust it with my data.
  5060.     The checksum protection is quite limited in number of
  5061.     files, and the
  5062.     method of entering the checksum is quite painful.
  5063.  
  5064.     The bugs in the program might be excusable if
  5065.     the program was public domain or shareware in the
  5066.     sense that you pay for it only if you think it is
  5067.     valuable (not if you use it, since technically, I
  5068.     owe Ross Greenberg $10 since I used it) .
  5069.     I think that it tries to do too much, and ends up doing
  5070.     too little, even the wrong thing altogether. This shows
  5071.     poor design and testing practice.
  5072.  
  5073.     When I support a shareware program, I am not paying the
  5074.     author for his time, I am paying for a finished product.
  5075.     And a finished product, FLUSHOT PLUS is not !
  5076.  
  5077.  
  5078.     The above is my opinion, and no-one is liable for it but
  5079.     myself. I reserve the right to deny everything.
  5080.  
  5081.            Matt Cohen (matt@psuhcx)
  5082.  
  5083.  
  5084.  
  5085. -------------------------------------------------
  5086.  
  5087.  
  5088.  
  5089.  
  5090. As promised, I forwarded matt@psuhcx (Matt Cohen)'s letter to Ross.
  5091. Here's his reply:
  5092.  
  5093. "Well, Matt, I'm sorry that you found the program to be less than you
  5094. expected.  You certainly got your money's worth, though, didn't you?
  5095.  
  5096. Look, the program does try to do a lot.  One area I'v had consistant
  5097. trouble with has been CMOS.  It'll get pulled in the next release.  Not
  5098. because some people didn;t find it useful. Just because the bitching from
  5099. the people who had problems with it isn't worth the lousy $10 that the other
  5100. people pay.  If you don't like it, don't use it.  I'm certain that I won;t
  5101. lose any sleep over it.
  5102.  
  5103. You might want to consider using one of the commercial products.  I
  5104. understand that at least one of them costs about $200.  But, since you have
  5105. to pay them in advance, I would assume that you'd not even consider such a
  5106. thing.  I ask people to contact me if they have a problem.  I guess that
  5107. part of the manual (the one with my phone number) must have escaped your
  5108. astute observations as well as the "How to Use Flu_Shot" section must have.
  5109. I know!!  Your printer was out of paper! Well, just for you Matt, I'll print
  5110. out a copy here and send it to you --- if you pay the postage.
  5111.  
  5112. But, I guess with people like you around, I should just stop enhancing
  5113. FLU_SHOT, or trying to protect *you* from the bad guys.  Hell, I can't even
  5114. protect you from yourself.
  5115.  
  5116. Have a nice day, Matt."
  5117.  
  5118. Erik Bailey     | CompuServe | 7 Oak Knoll         | (ARPA/USENET courtesy of
  5119. ihnp4!think!ejb |  PCMagNet  | Arlington, MA 02174 | Thinking Machines Corp.,
  5120. ejb@think.com   | 72261,3275 | (617) 643-0732      | First St, Cambridge, MA)
  5121. do headache -> take 1 aspirin od "This terminates one way or another" -Dijkstra
  5122.  
  5123. %%% End of forwarded messages
  5124.  
  5125. David Buerger
  5126. dbuerger@scu.bitnet
  5127.  
  5128. =========================================================================
  5129. Date:         Tue, 24 May 88 16:55:36 EDT
  5130. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5131. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5132. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  5133. Subject:      More Flu_Shot woes
  5134.  
  5135.  
  5136. I just saw another interesting Flu_Shot related bug report on the
  5137. Usenet and I thought that I'd forward it here.  The report goes into
  5138. quite some detail as to specific bugs in various versions of Flu_Shot,
  5139. including Flu_Shot+ 1.2.  I hope that these bugs get fixed in a future
  5140. release!
  5141.  
  5142. Here's the forwarded message:
  5143.  
  5144. >From: Glenn Larsen <glarsen@note.nsf.gov>
  5145.  
  5146. >I had only one problem with Flu Shot 3 which was downloaded from SIMTEL
  5147. >in Nevada. The problem was when using the option to protect the CMOS were
  5148. >configuration information is stored with battery backup.
  5149.  
  5150. Here in Albuquerque a local BBS SYSOP complained that FLUSHOT3 was actually
  5151. a Trojan Horse program itself and was responsible for trashing his hard disk.
  5152. Since it seemed like a legit program to me, based on the well documented
  5153. sources of the program uploaded to SIMTEL20, I decided to take a little time
  5154. and dis-assemble FLUSHOT3 and see if I could see any trouble.  What I found
  5155. was a program that, in my opinion, was loaded with bugs.  One of the bugs I
  5156. found was in the CMOS restore section: FLUSHOT3 screws up and replaces the ES
  5157. register with the DS value when it returns from this routine.
  5158.  
  5159. Summary of BUGS and/or omissions in FLUSHOT3 detected as of May 1, 1988:
  5160.  
  5161. Bugs which can cause significant damage:
  5162.  1. Stack corrupted in Int 26h handler: should return via RETF,
  5163.     which should leave flags on stack, but instead returns via
  5164.     RETF 2, thereby discarding flags.
  5165.  2. Restoring CMOS memory after checking improperly restores
  5166.     the es segment register : es is replaced by ds
  5167.  3. Program assumes direction flag is cleared (forward).
  5168.  
  5169. Less damaging bugs:
  5170.  4. Incorrect memory size (2 times amount req'd) in install
  5171.  5. Interrupts are enabled for no reason in FCB test
  5172.  
  5173. Condom holes: Bugs or ommissions that make program ineffective
  5174.  6. Incorrect jmp instruction disables ASCIIZ rename checking
  5175.  7. No check of AT bios int 13h "Write long" call (0bh)
  5176.     No checks for XT int 13h format calls 6 and 7
  5177.  8. No accommodation for extended FCB format
  5178.  9. No checks for direct IO via IOCTL call 44h
  5179. 10. Program fails to detect FCB file delete and renaming
  5180.     functions that can affect critical files if wild
  5181.     cards are used.
  5182.  
  5183. Loose ends:
  5184. 11. Invalid error codes returned by int13h and int26h
  5185. 12. Error code returned by failed FCB calls is unknown
  5186. 13. Failures are not handled consistently - FCB calls return
  5187.     to program while others force a program terminate.
  5188. 14. No checks for existence of CMOS RAM before reading and/or
  5189.     attempting to restore it.  What happens on non AT's?  [Since
  5190.     the user has to specifically request this check, one could
  5191.     argue it would be his/her own fault to invoke it on a machine
  5192.     that doesn't have the CMOS memory.]
  5193.  
  5194.  
  5195. FluShot Plus, version 1.2 is significantly better, but it still has
  5196. some problems:  What I've found as of May 14, 1988:
  5197.  
  5198. Bugs which can cause significant damage:
  5199.  1. Stack corrupted in Int 26h handler (fails to leave old
  5200.     flags on stack as it should)
  5201.  
  5202. Condom holes: Bugs or omissions that make program ineffective
  5203.  2. No check of XT bios int 13h format functions 6 and 7
  5204.  3. No accommodation for extended FCB format
  5205.  4. No checks for direct IO via IOCTL call 44h
  5206.  
  5207. Loose ends:
  5208.  5. Invalid error codes returned by int 13h and int 26h failures
  5209.  6. No checks for existence of CMOS RAM before reading and/or
  5210.     attempting to restore it.  What happens on non AT's?  [Since
  5211.     the user has to specifically request this check, one could
  5212.     argue it would be his/her own fault to invoke it on a machine
  5213.     that doesn't have the CMOS memory.]
  5214.  7. Overall the program coding is bit sloppy. Since it doesn't make
  5215. any attempt to optimize usage of the segment registers, it is a bit
  5216. longer and slower than it needs to be.
  5217.  
  5218. Final comments:
  5219. What else can I say?  I'm not going to claim to be the world's finest
  5220. programmer and that I could do a better job.  I may well be dead wrong
  5221. in identifying some of the code as bugs.  However I would suggest that
  5222. if you are planning on using FLUSHOT xxxx, back up your hard disk first.
  5223.  
  5224. PS:
  5225. I downloaded the latest FSP_12.ARC from SIMTEL20 tonight to make sure
  5226. that it was the same as what we had gotten off local boards here in
  5227. Albuquerque.  Unfortunately, the FSP.COM file was different!  A quick
  5228. check, however, reveals that the only difference was the addition of a
  5229. CMP AL,"?" and JE xyz pair of instructions in the filename compare
  5230. subroutine.  The Int 26h stack bug was still there.
  5231.   Albq. version of FSP.COM: 10309 bytes   CRC = BDCE  27 April 88
  5232.   SIMTEL20 version        : 10313 bytes   CRC = 9723  27 April 88
  5233.  
  5234. Peter Esherick
  5235. Sandia National Labs, Albuquerque
  5236. <esheric@sandia-2.arpa>
  5237.  
  5238. ------------------------------------------------------------------------
  5239. = Kenneth R. van Wyk                   =                               =
  5240. = User Services Senior Consultant      =   Shocked!  Shocked I am at   =
  5241. = Lehigh University Computing Center   =      this despicable act!     =
  5242. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  5243. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  5244. ------------------------------------------------------------------------
  5245.  
  5246. =========================================================================
  5247. Date:         Wed, 25 May 88 08:37:49 EDT
  5248. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5249. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5250. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  5251. Subject:      well...
  5252.  
  5253.  
  5254. Well, this isn't a virus per se, but I thought I'd mention it here because
  5255. it spread over so much of the Usenet that it's become a major annoyance...
  5256.  
  5257. Yesterday, a student on the Usenet sent out a request for money to further
  5258. his education.  He's requesting that each person reading his message sends
  5259. him $1.00 - kind of like a chain letter...   He sent this out to *MANY*
  5260. major Usenet discussion lists.  While reading Usenet news this morning,
  5261. I probably saw his posting on about 20 different news groups.
  5262.  
  5263. Granted, this poor starving student probably (!) deserves money to
  5264. continue to go to college.  But, I'd hate to see this sort of thing set
  5265. a precedent on e-mail forums such as VIRUS-L and those on the Usenet.
  5266. It'd become as bad as the CHRISTMA EXEC - everyone would be sending out
  5267. this sort of junk mail over the networks which would undoubtedly cause
  5268. lots of congestion, to say the least.  Sort of a human nature virus...?
  5269.  
  5270.  
  5271. Ken
  5272.  
  5273. P.S. For obvious reasons, I didn't want to re-post the student's message
  5274.      here.
  5275.  
  5276. ------------------------------------------------------------------------
  5277. = Kenneth R. van Wyk                   =                               =
  5278. = User Services Senior Consultant      =   Shocked!  Shocked I am at   =
  5279. = Lehigh University Computing Center   =      this despicable act!     =
  5280. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  5281. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  5282. ------------------------------------------------------------------------
  5283.  
  5284. =========================================================================
  5285. Date:         Wed, 25 May 88 19:34:52 GMT
  5286. Reply-To:     Malcolm Ray <malcolm@JVAX.CLP.AC.UK>
  5287. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5288. Comments:     Warning -- original Sender: tag was malcolm@JVAX.CLP.AC.UK
  5289. From:         MALCOLM@JVAX.CLP.AC.UK
  5290. Subject:      Slight irreverence
  5291.  
  5292. It certainly seems that viruses have taken a strong hold in the States.
  5293. As yet the UK has got off *relatively* lightly (howls of rage expected
  5294. from unfortunate UK victims :-).  We'd like to warn our students and staff
  5295. of the dangers, and teach them some basic hygiene, but it's difficult to
  5296. do so without contributing to the panic and hype.  Gentle reader, how does
  5297. one pitch the documentation?
  5298.  
  5299. Speaking of hype, I think the best parody of an OTT virus story came from
  5300. a friend of mine (who shall for the moment remain nameless, since I don't
  5301. have his permission for reposting).  Please don't think I'm taking the subject
  5302. lightly; just staying sane:
  5303.  
  5304. > I actually had to replace the transformer in the power supply of
  5305. > my PC after a really nasty virus had hacked its way onto it. My
  5306. > supplier said I would have to replace major sections of the
  5307. > plastic moulding around the monitor, but it looks like I got away
  5308. > with it. I'm pretty alert when it comes to viruses: I actually
  5309. > nearly caught the blighter before it got to the transformer, but
  5310. > the bloody thing slipped up the secondary winding before I could
  5311. > zap it.
  5312.  
  5313. Think of that next time you hear of some punter having to replace ROMs because
  5314. some nasty program had run riot!
  5315.  
  5316.  
  5317. ------------------------------------------------------------------------
  5318. Malcolm Ray            JANET:    malcolm@uk.ac.clp.jvax
  5319. Senior Systems Officer        BitNet:    malcolm@jvax.clp.ac.uk
  5320. City of London Polytechnic    No other routes please!
  5321.  
  5322. Isn't it strange how few UK correspondents bother with disclaimers?
  5323. =========================================================================
  5324. Date:         Wed, 25 May 88 20:24:52 CST
  5325. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5326. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5327. From:         James Ford <JFORD1@UA1VM>
  5328. Subject:      Re: Question about CRC protection
  5329. In-Reply-To:  Message of Fri, 13 May 88 12:20:00 EST from <GILL@QUCDNAST>
  5330.  
  5331. =========================================================================
  5332. Date:         Thu, 26 May 88 08:03:16 EDT
  5333. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5334. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5335. From:         Joe McMahon <XRJDM@SCFVM>
  5336. Subject:      Mac Virus Clearinghouse
  5337.  
  5338. Hello all.
  5339.  
  5340. We've set up a sort of clearinghouse for Macintosh anti-viral software on
  5341. our LISTSERV. The files we are collecting are essentially descriptions of
  5342. known viruses, detection programs, eradication programs, and prevention
  5343. programs.
  5344.  
  5345. To access this, TELL LISTSERV AT SCFVM INDEX PUBLIC. That will give you
  5346. a list of the files available. We intend to stay on top of this -- we're
  5347. being cautious, but not panicing. We have only have 4 systems out of (my
  5348. guess) a couple hundred invaded, but it always pays to have the software
  5349. available.
  5350.  
  5351. --- Joe M.
  5352. =========================================================================
  5353. Date:         Fri, 27 May 88 15:35:25 GMT
  5354. Reply-To:     Malcolm Ray <malcolm@JVAX.CLP.AC.UK>
  5355. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5356. Comments:     Warning -- original Sender: tag was malcolm@JVAX.CLP.AC.UK
  5357. From:         MALCOLM@JVAX.CLP.AC.UK
  5358. Subject:      RE: Slight irreverence
  5359.  
  5360. A slip of the fingers caused Ken to send the following to me personally
  5361. instead of to the list.  At his request I'm forwarding it.
  5362.  
  5363. ==== Bite here ====
  5364.  
  5365. From:    "Kenneth R. van Wyk" <LUKEN@EARN.LEHIIBM1> 27-MAY-1988 14:24
  5366. To:    MALCOLM
  5367. Subj:    Re: Slight irreverence
  5368.  
  5369.  
  5370. Received:
  5371.           from UKACRL by UK.AC.RL.IB (Mailer X1.25) with BSMTP id 3655; Fri, 27
  5372.              May 88 14:25:01 BS
  5373. Received:    from LEHIIBM1.BITNET by UKACRL.BITNET (Mailer X1.25) with BSMTP id
  5374.              3654; Fri, 27 May 88 14:25:00 B
  5375. Received:    by LEHIIBM1 (Mailer X1.24) id 0769; Fri, 27 May 88 09:11:39 EDT
  5376. Date:        Fri, 27 May 88 09:01:31 EDT
  5377. From:        "Kenneth R. van Wyk" <LUKEN@EARN.LEHIIBM1>
  5378. Subject:     Re: Slight irreverence
  5379. To:          Malcolm Ray <malcolm@UK.AC.CLP.JVAX>
  5380. In-Reply-To: Message of Wed, 25 May 88 19:34:52 GMT from <MALCOLM@JVAX.CLP.AC.U
  5381.  
  5382. >We'd like to warn our students and staff
  5383. >of the dangers, and teach them some basic hygiene, but it's difficult to
  5384. >do so without contributing to the panic and hype.  Gentle reader, how does
  5385. >one pitch the documentation?
  5386.  
  5387. I think that your example of hype (the reported virus "frying" the
  5388. transformer and all...) is about the best example of how *NOT* to
  5389. educate your students and staff about viruses!  Perhaps truth would be
  5390. a much better approach; present the facts, along with common sense
  5391. precautions that people can take to reduce their risk of being stung
  5392. by a virus.  Give them examples of what existing viruses have done,
  5393. and how far they've spread (the Brain virus seems as good an example
  5394. as any), and tell them how a virus spreads (by executing an infected
  5395. program - including the operating system/boot tracks, NOT by things
  5396. such as two disks coming in physical contact with one another).  In
  5397. short, take the myths out of viruses for your users.  Explain to them
  5398. that, by sharing programs with other users (either via disk swapping or
  5399. downloading from bulletin boards, etc.), they're taking the risk that
  5400. they may execute a program which is infected.
  5401.  
  5402. Above all, tell them to make backups of all of their data *FREQUENTLY*,
  5403. and to keep all shrink wrap original disks in a safe place with their
  5404. write protect tabs on.
  5405.  
  5406. Anyone have anything to add to this?
  5407.  
  5408.  
  5409. Regards,
  5410.  
  5411. Ken
  5412.  
  5413. ------------------------------------------------------------------------
  5414. = Kenneth R. van Wyk                   =                               =
  5415. = User Services Senior Consultant      =    This page intentionally    =
  5416. = Lehigh University Computing Center   =          left blank.          =
  5417. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  5418. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  5419. ------------------------------------------------------------------------
  5420.  
  5421. =========================================================================
  5422. Date:         Fri, 27 May 88 16:05:49 GMT
  5423. Reply-To:     Malcolm Ray <malcolm@JVAX.CLP.AC.UK>
  5424. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5425. Comments:     Warning -- original Sender: tag was malcolm@JVAX.CLP.AC.UK
  5426. From:         MALCOLM@JVAX.CLP.AC.UK
  5427. Subject:      RE: Slight irreverence
  5428.  
  5429. Ken, I had no intention of letting that spoof anywhere near our users!  It
  5430. was intended for the sophisticates who can spot hype when they see it.  My
  5431. point was exactly what you said: naive users (I don't use the term pejoratively)
  5432. are *not* getting the truth, because some people who should know better
  5433. (mostly in the computer press) are hyping it up.  I had an example of this
  5434. today: a friend who's involved in a research project about distributed
  5435. operating systems tells me that his team leader is giving a talk on his work.
  5436. The other contributor is a computer journalist noted for his virus stories,
  5437. and... well, on second thoughts, I don't want to be libellous.  The point is
  5438. that people *like* virus stories - they're becoming part of modern folklore
  5439. (albeit with a slightly limited audience), like alligators in the sewers and
  5440. [fill in your favourite tall story here].  Hands up who's read "Shockwave Rider"
  5441. by John Brunner.  Enjoyable book, right?  Think about why.  Let's face it,
  5442. although I'm sure we're all agreed that virus-writing is very irresponsible
  5443. and should be countered, we all enjoy a good story about the chaos caused
  5444. (as long as it's someone else's chaos, or we've put it behind us).  But their
  5445. are people who *believe* there are alligators down there...
  5446.  
  5447. Again, this is not to diminish anyone's problems.  If your site has been
  5448. brought to its knees, commiserations :-(. I just don't want to see the
  5449. proliferation of what a colleague called "the virus scare virus".  Let's
  5450. keep this list part of the cure, not part of the disease.
  5451.  
  5452.  
  5453.  
  5454. ------------------------------------------------------------------------
  5455. Malcolm Ray            JANET:    malcolm@uk.ac.clp.jvax
  5456. Senior Systems Officer        BitNet:    malcolm@jvax.clp.ac.uk
  5457. City of London Polytechnic    No other routes please!
  5458.  
  5459. All seems infected that the infected spy,
  5460. As all looks yellow to the jaundiced eye -- Alexander Pope
  5461.  
  5462. =========================================================================
  5463. Date:         Fri, 27 May 88 12:17:39 EDT
  5464. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5465. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5466. From:         Alan J Rosenthal <flaps@gpu.utcs.utoronto>
  5467. Subject:      write-protect tabs
  5468.  
  5469. Recently, Kenneth R. van Wyk advised VIRUS-L readers to advise users,
  5470. among other things,
  5471. > to keep all shrink wrap original disks in a safe place with their
  5472. > write protect tabs on.
  5473.  
  5474. I would like to point out that many computer users are not aware that
  5475. write protection for floppy disks is often implemented in software and
  5476. therefore can be ignored by a malicious program.  Any discussion of
  5477. write-protecting disks should mention this.  [The program also has to
  5478. re-implement the disk io libraries, so this does greatly increase its
  5479. complexity, but many virus programs are quite sophisticated!]
  5480.  
  5481. In particular, the write protection on Macintosh computers is
  5482. definitely implemented in software, and I seem to vaguely remember that
  5483. it is on the IBM-PC as well.  So there is hardware to read whether the
  5484. disk is write-protected or not, and a responsible program checks this
  5485. before writing.
  5486.  
  5487. Needless to say, I think this is a big mistake and can't see why
  5488. someone would build a disk drive like that.
  5489.  
  5490.  
  5491. Alan J Rosenthal, flaps at utorgpu
  5492. =========================================================================
  5493. Date:         Tue, 24 May 88 11:09:00 EDT
  5494. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5495. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5496. Comments:     Resent-From: "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  5497. Comments:     Originally-From: "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  5498. From:         "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  5499. Subject:      Re: hunting up infected files
  5500. In-Reply-To:  Message of 9 May 1988 11:05 edt from Karl-L. Noell
  5501.  
  5502. As an employee of the National Computer Security Center, I must point
  5503. out that we do *NOT* attempt to track perpetrators for prosecution or
  5504. for *ANY* other reason!
  5505.  
  5506. We are not a law enforcement Agency, and are prohibited by law to take
  5507. any such action.
  5508.  
  5509. We are interested in tracking the viruses (or ordinary Trojan Horses) as
  5510. they infect different sites.
  5511.  
  5512. As a matter of professional interest, I would be curious as to the
  5513. motivations of perpetrators of malicious code, or whether they are
  5514. members of "Hacker Clubs;" but that is information that may be conveyed
  5515. without identifying the people/organizations involved.
  5516.  
  5517. Joseph
  5518. =========================================================================
  5519. Date:         Fri, 27 May 88 17:50:47 GMT
  5520. Reply-To:     Malcolm Ray <malcolm@JVAX.CLP.AC.UK>
  5521. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5522. Comments:     Warning -- original Sender: tag was malcolm@JVAX.CLP.AC.UK
  5523. From:         MALCOLM@JVAX.CLP.AC.UK
  5524. Subject:      RE: write-protect tabs
  5525.  
  5526. IBM-PC floppy write-protect logic is hardware.  If a disk is write-protected,
  5527. it's *safe*.
  5528.  
  5529. ------------------------------------------------------------------------
  5530. Malcolm Ray            JANET:    malcolm@uk.ac.clp.jvax
  5531. Senior Systems Officer        BitNet:    malcolm@jvax.clp.ac.uk
  5532. City of London Polytechnic    No other routes please!
  5533.  
  5534. Most people won't realise that writing is a craft.  You have to take your
  5535. apprenticeship in it like anything else. -- Katherine Anne Porter
  5536. =========================================================================
  5537. Date:         Fri, 27 May 88 13:23:07 EDT
  5538. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5539. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5540. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  5541. Subject:      Monthly (starting now) greeting.
  5542.  
  5543.  
  5544.  
  5545. [ Last (and first) modified 27-May-88 - Ken van Wyk ]
  5546.  
  5547. Welcome!  This is the monthly introduction posting for VIRUS-L,
  5548. primarily for the benefit of any newcomers.  Apologies to all
  5549. subscribers who've already read this in the past (you'll only have to
  5550. see it once a month, and you can, if you're quick, press the purge
  5551. key...:-).
  5552.  
  5553.  
  5554. What is VIRUS-L?
  5555.  
  5556. It is an electronic mail discussion forum for sharing information
  5557. about computer viruses.  Discussions should include (but not
  5558. necessarily be limited to): current events (virus sightings), virus
  5559. prevention (practical and theoretical), and virus questions/answers.
  5560.  
  5561.  
  5562. What isn't VIRUS-L?
  5563.  
  5564. A place to spread hype about computer viruses; we already have the
  5565. Press for that.  :-)  A place to sell things, to panhandle, or to
  5566. flame other subscribers.  If anyone *REALLY* feels the need to flame
  5567. someone else for something that they may have said, then the flame
  5568. should be sent directly to that person and/or to the list moderator
  5569. (that'd be me, <LUKEN@LEHIIBM1.BITNET>).
  5570.  
  5571.  
  5572. How do I get on the mailing list?
  5573.  
  5574. Well, if you're reading this, chances are *real good* that you're
  5575. already on the list.  However, perhaps this document was given to you
  5576. by a friend or colleague...  So, to get onto the VIRUS-L mailing list,
  5577. send a mail message to <LISTSERV@LEHIIBM1.BITNET>.  In the body of the
  5578. message, say nothing more than SUB VIRUS-L your name.  LISTSERV is a
  5579. program which automates mailing lists such as VIRUS-L.  As long as
  5580. you're either on BITNET, or any network accessible to BITNET via
  5581. gateway, this should work.  Within a short time, you will be placed on
  5582. the mailing list, and you will get confirmation via e-mail.
  5583.  
  5584.  
  5585. How do I get OFF of the list?
  5586.  
  5587. If, in the unlikely event, you should happen to want to be removed from
  5588. the VIRUS-L discussion list, just send mail to
  5589. <LISTSERV@LEHIIBM1.BITNET> saying SIGNOFF VIRUS-L.  People, such as
  5590. students, whose accounts are going to be close (like over the
  5591. summer...) - PLEASE signoff of the list before you leave.  Also, be
  5592. sure to send your signoff request to the LISTSERV and not to the list
  5593. itself.
  5594.  
  5595.  
  5596. How do I send a message to the list?
  5597.  
  5598. Just send electronic mail to <VIRUS-L@LEHIIBM1.BITNET> and it will
  5599. automatically be redistributed to everyone on the mailing list.  By
  5600. default, you will not receive a copy of your own letters.  If you wish
  5601. to do so, send mail to <LISTSERV@LEHIIBM1.BITNET> saying SET VIRUS-L
  5602. REPRO.
  5603.  
  5604.  
  5605. What does VIRUS-L have to offer?
  5606.  
  5607. All submissions to VIRUS-L are stored in monthly log files which can be
  5608. downloaded by any user on (or off) the mailing list.  There is also a
  5609. small archive of some of the public anti-virus programs which are
  5610. currently available.  This archive, too, can be accessed by any user.
  5611. All of this is handled automatically by the LISTSERV here at Lehigh
  5612. University (<LISTSERV@LEHIIBM1.BITNET>).
  5613.  
  5614.  
  5615. How do I get files from the LISTSERV?
  5616.  
  5617. Well, you'll first want to know what files are available on the
  5618. LISTSERV.  To do this, send mail to <LISTSERV@LEHIIBM1.BITNET> saying
  5619. INDEX VIRUS-L.  Note that filenames/extensions are separated by a
  5620. space, and not by a period.  Once you've decided which file(s) you
  5621. want, send mail to <LISTSERV@LEHIIBM1.BITNET> saying GET filename
  5622. filetype.  For example, GET VIRUS-L LOG8804 would get the file called
  5623. VIRUS-L LOG8804 (which happens to be the monthly log of all messages
  5624. sent to VIRUS-L during April, 1988).
  5625.  
  5626.  
  5627. What is uuencode/uudecode, and why do I need them?
  5628.  
  5629. Uuencode and uudecode are two programs which convert binary files into
  5630. text (ASCII) files and back again.  This is so binary files can be
  5631. easily transferred via electronic mail.  Many of the files on this
  5632. LISTSERV are binary files which are stored in uuencoded format (the
  5633. file types will be UUE).  Both uuencode and uudecode are available from
  5634. the LISTSERV.  Uudecode is available in BASIC and in Turbo Pascal here.
  5635. Uuencode is available in Turbo Pascal.  Also, there is a very good
  5636. binary-only uuencode/uudecode package on the LISTSERV which is stored
  5637. in uuencoded format.
  5638.  
  5639.  
  5640. Why have posting guidelines?
  5641.  
  5642. To keep the discussions on-track with what the list is intended to be;
  5643. a vehicle for virus discussions.  This will keep the network traffic
  5644. to a minimum and, hopefully, the quality of the content of the mail to
  5645. a maximum.  No one wants to read personal flames ad nausium, or
  5646. discussions about the pros and cons of digest-format mailing lists,
  5647. etc.
  5648.  
  5649.  
  5650.  
  5651. What are the guidelines?
  5652.  
  5653.      As already stated, there will be no flames on the list.  Anyone
  5654.      sending flames to the entire list must do so knowing that he/she
  5655.      will be removed from the list immediately.
  5656.  
  5657.      Same goes for any commercial plugs or panhandling.
  5658.  
  5659.      Submissions should be directly or indirectly related to the
  5660.      subject of computer viruses.
  5661.  
  5662. Thank-you for your time and for your adherance to these guidelines.
  5663. Comments and suggestions, as alway, are invited.  Please address them
  5664. to me, <LUKEN@LEHIIBM1.BITNET> or <LUKEN@VAX1.CC.LEHIGH.EDU>.
  5665.  
  5666.  
  5667.  
  5668. Ken van Wyk
  5669.  
  5670. ------------------------------------------------------------------------
  5671. = Kenneth R. van Wyk                   =                               =
  5672. = User Services Senior Consultant      =    This page intentionally    =
  5673. = Lehigh University Computing Center   =          left blank.          =
  5674. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  5675. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  5676. ------------------------------------------------------------------------
  5677.  
  5678. =========================================================================
  5679. Date:         Fri, 27 May 88 19:31:00 LCL
  5680. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5681. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5682. From:         Michael Wagner +49 228 8199645 <WAGNER@DBNGMD21>
  5683. Subject:      Re: write-protect tabs
  5684.  
  5685. > IBM-PC floppy write-protect logic is hardware.  If a disk is
  5686. > write-protected, it's *safe*.
  5687.  
  5688.   I believe the above statement to be correct; however, many people
  5689.   would disagree.  I have been told that the confusion comes from
  5690.   the fact that there are two levels of protection on some floppy
  5691.   schemes.  The write protect line is sensed and available for the
  5692.   software, so the software can produce a nice message.  The line is
  5693.   also used, inside the drive itself, to shut down the write-current
  5694.   supply, so that, even if the controller *thinks* it is writing, it
  5695.   isn't.  I believe this is the scheme used on the PC.
  5696.  
  5697.   Disclaimer:  I don't have a PC, nor access to the documents to
  5698.   prove or disprove this 'fact'.
  5699.  
  5700. Michael
  5701. =========================================================================
  5702. Date:         Fri, 27 May 88 13:15:51 CDT
  5703. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5704. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5705. From:         CB Lih <CL06076@UAFSYSB>
  5706. Subject:      Write protect
  5707.  
  5708. So what's the deal?  Can software override the Mac protect tab?  Are y'all
  5709. sure about IBM?  What about other computers?
  5710.  
  5711. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  5712. Sincerly, and I mean that,
  5713.  
  5714.       =---> CB Lih <---=
  5715. User Services -> Computing Services -> University of Arkansas -> Fayetteville
  5716. CL06076@UAFSYSB  Disclaimer: There's a hole in my ozone layer.
  5717. =========================================================================
  5718. Date:         Fri, 27 May 88 15:57:38 EDT
  5719. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5720. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5721. From:         Terry Sanderson <SANDERS@UTORONTO>
  5722. Subject:      Re: write-protect tabs
  5723. In-Reply-To:  Message of Fri, 27 May 88 19:31:00 LCL from <WAGNER@DBNGMD21>
  5724.  
  5725.  
  5726. Having stated this on the list once before, the topic has again arisen.
  5727.  
  5728. IBM PC Floppy disks CANNOT be written to when there is a WRITE-PROTECT
  5729. tab on the disk.
  5730.  
  5731. I DO have access to technical docs, schematics, etc., and there is NO WAY
  5732. the software can change this fact.  The hardware provides a signal to the
  5733. operating system that there is in fact a write-protect tab on the disk,
  5734. but it cannot chance or override the protection.
  5735.  
  5736. I hope this clears up any questions.
  5737.  
  5738.  
  5739. Terry P. Sanderson   P.Eng.
  5740.  
  5741. sanders@utoronto.bitnet
  5742. sanders@gpu.utcs.toronto.edu
  5743. =========================================================================
  5744. Date:         Fri, 27 May 88 16:30:00 EST
  5745. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5746. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5747. From:         PHREADDE <PDAVIS@BINGVAXA>
  5748. Subject:      bad tabs
  5749.  
  5750. I disagree, on the IBM you can write on disks protected with CERTAIN write
  5751. protect tabs.  A while back, certain manufacturers produced red see-thru
  5752. tabs that provided no protection.  Those manufacturers have switched back
  5753. to silver-backed black tabs.  I have used the old ones and definitly written
  5754. to files.  This, however, should not be a problem currently.  No one that
  5755. I know of produces these thin red tabs now.  If you have the old ones,
  5756. discard them; they are ineffectual.
  5757.  
  5758. And to all readers and contributors on this list, I would like to thank
  5759. you for your work and questions.  A virus did hit our school, and was
  5760. completely vanquished within a few days.  The methods that we used now
  5761. help us protect our classroom software against accidental mistakes as well
  5762. as future viruses.  Public software is always vunerable to tapering, but
  5763. we feel much more protected these days.  Thanks again.
  5764.  
  5765. Phreadde Davis
  5766. State University of NY - Binghamton
  5767. =========================================================================
  5768. Date:         Fri, 27 May 88 14:44:00 PDT
  5769. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5770. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5771. From:         WATKINS@UCRVMS
  5772. Subject:      Write Protect
  5773.  
  5774.   No, as far as I know (which is reasonably far), a Macintosh cannot
  5775. override a write protect tab (or whatever the term is for 3.5" disks);
  5776. I mean, unless it's been concealed all this time it can't be done..
  5777.   And a couple cents worth (I hope) of stuff on defending against
  5778. Mac viruses...maybe this was covered earlier, but remember that there are
  5779. some resources in the system file that are duplicated in rom (for instance,
  5780. chicago 12, geneva 12 (I think), some wdefs, etc.  Now if I was to write
  5781. a virus, I'd think that these places would be pretty keen for hiding my
  5782. code.  (hmm, maybe I should clarify a bit, what happens is the mac
  5783. first checks to see if a resource is in rom and uses it if it can, so if
  5784. you garbaged up the fonts with your virus code, nobody would notice.  It's
  5785. pretty easy to bypass the rom resources though so you could load this stuff
  5786. and jump to it pretty easily...)
  5787.  
  5788. I hope that made some sense...
  5789.  
  5790.     Kevin Lund        watkins@ucrvms.bitnet
  5791.                       kevin@hope.uucp
  5792. =========================================================================
  5793. Date:         Tue, 24 May 88 08:01:00 MDT
  5794. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5795. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5796. Comments:     Warning -- original Sender: tag was KPETERSEN@SIMTEL20.ARPA
  5797. From:         Keith Petersen <W8SDZ@SIMTEL20.ARPA>
  5798. Subject:      FLUSHOT-Plus withdrawn from SIMTEL20 archives
  5799.  
  5800. I have decided to remove FluShot-Plus from our SIMTEL20 archives
  5801. because of the continuing problem of programming bugs.  It is *not* a
  5802. Trojan or Virus.  The author just needs to get his bugs fixed.
  5803.  
  5804. I recommend to all recipients of this message that they discontinue
  5805. use of *any* version of Flushot or Flushot-Plus.
  5806.  
  5807. --Keith Petersen
  5808. Maintainer of the MSDOS archives at SIMTEL20.ARPA
  5809.  
  5810. ---forwarded message---
  5811. Date: Tuesday, 24 May 1988  08:20-MDT
  5812. From: <esheric at sandia-2.arpa>
  5813. Reply-To: <esheric at sandia-2.arpa>
  5814. To:   w8sdz <w8sdz>
  5815. cc:   esheric at sandia-2.arpa
  5816. Re:   Flushot plus bugs
  5817.  
  5818. >From: Glenn Larsen <glarsen@note.nsf.gov>
  5819.  
  5820. >I had only one problem with Flu Shot 3 which was downloaded from SIMTEL
  5821. >in Nevada. The problem was when using the option to protect the CMOS were
  5822. >configuration information is stored with battery backup.
  5823.  
  5824. Here in Albuquerque a local BBS SYSOP complained that FLUSHOT3 was actually
  5825. a Trojan Horse program itself and was responsible for trashing his hard disk.
  5826. Since it seemed like a legit program to me, based on the well documented
  5827. sources of the program uploaded to SIMTEL20, I decided to take a little time
  5828. and dis-assemble FLUSHOT3 and see if I could see any trouble.  What I found
  5829. was a program that, in my opinion, was loaded with bugs.  One of the bugs I
  5830. found was in the CMOS restore section: FLUSHOT3 screws up and replaces the ES
  5831. register with the DS value when it returns from this routine.
  5832.  
  5833. Summary of BUGS and/or omissions in FLUSHOT3 detected as of May 1, 1988:
  5834.  
  5835. Bugs which can cause significant damage:
  5836.  1. Stack corrupted in Int 26h handler: should return via RETF,
  5837.     which should leave flags on stack, but instead returns via
  5838.     RETF 2, thereby discarding flags.
  5839.  2. Restoring CMOS memory after checking improperly restores
  5840.     the es segment register : es is replaced by ds
  5841.  3. Program assumes direction flag is cleared (forward).
  5842.  
  5843. Less damaging bugs:
  5844.  4. Incorrect memory size (2 times amount req'd) in install
  5845.  5. Interrupts are enabled for no reason in FCB test
  5846.  
  5847. Condom holes: Bugs or ommissions that make program ineffective
  5848.  6. Incorrect jmp instruction disables ASCIIZ rename checking
  5849.  7. No check of AT bios int 13h "Write long" call (0bh)
  5850.     No checks for XT int 13h format calls 6 and 7
  5851.  8. No accommodation for extended FCB format
  5852.  9. No checks for direct IO via IOCTL call 44h
  5853. 10. Program fails to detect FCB file delete and renaming
  5854.     functions that can affect critical files if wild
  5855.     cards are used.
  5856.  
  5857. Loose ends:
  5858. 11. Invalid error codes returned by int13h and int26h
  5859. 12. Error code returned by failed FCB calls is unknown
  5860. 13. Failures are not handled consistently - FCB calls return
  5861.     to program while others force a program terminate.
  5862. 14. No checks for existence of CMOS RAM before reading and/or
  5863.     attempting to restore it.  What happens on non AT's?  [Since
  5864.     the user has to specifically request this check, one could
  5865.     argue it would be his/her own fault to invoke it on a machine
  5866.     that doesn't have the CMOS memory.]
  5867.  
  5868.  
  5869. FluShot Plus, version 1.2 is significantly better, but it still has
  5870. some problems:  What I've found as of May 14, 1988:
  5871.  
  5872. Bugs which can cause significant damage:
  5873.  1. Stack corrupted in Int 26h handler (fails to leave old
  5874.     flags on stack as it should)
  5875.  
  5876. Condom holes: Bugs or omissions that make program ineffective
  5877.  2. No check of XT bios int 13h format functions 6 and 7
  5878.  3. No accommodation for extended FCB format
  5879.  4. No checks for direct IO via IOCTL call 44h
  5880.  
  5881. Loose ends:
  5882.  5. Invalid error codes returned by int 13h and int 26h failures
  5883.  6. No checks for existence of CMOS RAM before reading and/or
  5884.     attempting to restore it.  What happens on non AT's?  [Since
  5885.     the user has to specifically request this check, one could
  5886.     argue it would be his/her own fault to invoke it on a machine
  5887.     that doesn't have the CMOS memory.]
  5888.  7. Overall the program coding is bit sloppy. Since it doesn't make
  5889. any attempt to optimize usage of the segment registers, it is a bit
  5890. longer and slower than it needs to be.
  5891.  
  5892. Final comments:
  5893. What else can I say?  I'm not going to claim to be the world's finest
  5894. programmer and that I could do a better job.  I may well be dead wrong
  5895. in identifying some of the code as bugs.  However I would suggest that
  5896. if you are planning on using FLUSHOT xxxx, back up your hard disk first.
  5897.  
  5898. PS:
  5899. I downloaded the latest FSP_12.ARC from SIMTEL20 tonight to make sure
  5900. that it was the same as what we had gotten off local boards here in
  5901. Albuquerque.  Unfortunately, the FSP.COM file was different!  A quick
  5902. check, however, reveals that the only difference was the addition of a
  5903. CMP AL,"?" and JE xyz pair of instructions in the filename compare
  5904. subroutine.  The Int 26h stack bug was still there.
  5905.   Albq. version of FSP.COM: 10309 bytes   CRC = BDCE  27 April 88
  5906.   SIMTEL20 version        : 10313 bytes   CRC = 9723  27 April 88
  5907.  
  5908. Peter Esherick
  5909. Sandia National Labs, Albuquerque
  5910. <esheric@sandia-2.arpa>
  5911. =========================================================================
  5912. Date:         Sat, 28 May 88 13:29:00 EDT
  5913. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5914. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5915. From:         Stan Horwitz <V4039@TEMPLEVM>
  5916. Subject:      Re: bad tabs
  5917. In-Reply-To:  Message of Fri, 27 May 88 16:30:00 EST from <PDAVIS@BINGVAXA>
  5918.  
  5919.   Write protect tabs to prevent tamporing of disks is plain silly.  All
  5920. any prankster need do is to remove the write protect tab from the disk to
  5921. sabatage a disk.  When done, it's a simple matter to stick a new write
  5922. protect tab back on the damage disk.  A better solution is to use notchless
  5923. disks and write to them on a machine altered so it won't complain about the
  5924. disk.  If memory serves, I believe I have heard that write protect tabs can
  5925. also fail when they are sqeezed or bent in a certain way due to age but I am
  5926. not sure of this.
  5927.  
  5928. Stan Horwitz
  5929. Mainframe Consultant
  5930.  
  5931. Disclaimer -- Who me?  I didn't say that?
  5932.  
  5933. V4039%TEMPLEVM.BITNET at cunyvm.cuny.edu
  5934. Temple Univeristy
  5935. Philadelphia, Pennsylvania USA
  5936. =========================================================================
  5937. Date:         Sat, 28 May 88 17:20:00 EDT
  5938. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5939. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5940. Comments:     Resent-From: KPETERSEN@SIMTEL20.ARPA
  5941. Comments:     Originally-From: ihnp4!ho95e!wcs@ATT.ARPA (Bill.Stewart.<ho95c>)
  5942. From:         KPETERSEN@SIMTEL20.ARPA
  5943. Subject:      Warning: Flushot4 is a virus!
  5944.  
  5945. A program called Flushot4 was recently seen on a BBS out west.
  5946. Ross Greenberg's Flushot versions don't go up that high, and this one
  5947. was apparently a virus advertising itself as vaccine.  So if you see
  5948. it, don't use it, don't trust anything from the machine it's on,
  5949. call the operator of the machine you see it on, etc.
  5950. --
  5951. #                Thanks;
  5952. # Bill Stewart, AT&T Bell Labs 2G218, Holmdel NJ 1-201-949-0705 ihnp4!ho95c!wcs
  5953. # Computers - Nasty, disturbing, uncomfortable things!
  5954. #   Make you late for dinner. or breakfast.
  5955. =========================================================================
  5956. Date:         Sat, 28 May 88 19:06:50 EDT
  5957. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5958. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5959. From:         David.Slonosky@QueensU.CA
  5960. Subject:      Naive virus questions
  5961.  
  5962. 1) Is it possible to demount and mount the hard disk so that you
  5963. can effectively work with the floppy drives and not have to worry
  5964. about code being transferred to the hard disk?
  5965.  
  5966. 2) Is it possible to design a virus that screws up the ROM?
  5967.  
  5968. Hey, these may seem naive, but then I'm not a computer scientist
  5969. by trade.
  5970. =========================================================================
  5971. Date:         Mon, 30 May 88 17:55:00 LCL
  5972. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5973. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5974. From:         Michael Wagner +49 228 8199645 <WAGNER@DBNGMD21>
  5975. Subject:      Re: write-protect tabs
  5976.  
  5977.   Terry Sanderson <SANDERS@UTORONTO> writes:
  5978. > IBM PC Floppy disks CANNOT be written to when there is a
  5979. > WRITE-PROTECT tab on the disk.
  5980. >
  5981. > I DO have access to technical docs, schematics, etc.  The hardware
  5982. > provides a signal to the operating system that there is ... a
  5983. > write-protect tab on the disk, but it cannot ... override the
  5984. > protection.
  5985.  
  5986.   Terry:  Perhaps an overview description of the form of protection,
  5987.   where it is provided (in the drive itself, or in the interface
  5988.   hardware) and whether this protection can also be expected to be
  5989.   in clones would help clarify the situation.
  5990.  
  5991. Michael
  5992. =========================================================================
  5993. Date:         Mon, 30 May 88 12:01:00 EST
  5994. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  5995. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5996. From:         GILL@QUCDNAST
  5997. Subject:      RE:  Hard disk disable
  5998.  
  5999. David Slonosky asked about a disable for a hard disk
  6000.  
  6001.  
  6002.      In answer to your submission to VIRUS-L (at least part 1), there is a
  6003. program on the MSDOS disk called BOOTF.  If I understand it correctly (i.e.
  6004. read the manual), it will software disable the harddisk so that any program
  6005. running from floppies doesn't see the harddisk.  This was written because some
  6006. old commercial programs used a copy-protection scheme that crashed their
  6007. program when run on a machine with a harddisk.  Really dumb, eh!!
  6008.  
  6009.      However, since this is a software disable, I suppose it can be
  6010. circumvented by a virus checking for this kind of thing.  Those more
  6011. knowledgable could perhaps comment on that.
  6012.  
  6013.                                            ____________________________________
  6014. Arnold Gill                               | If you don't complain to those who |
  6015. Queen's University at Kingston            | implemented the problem, you have  |
  6016. gill @ qucdnast.bitnet                    | no right to complain at all !      |
  6017.                                            ------------------------------------
  6018. =========================================================================
  6019. Date:         Tue, 31 May 88 07:39:31 EDT
  6020. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  6021. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  6022. From:         Kenneth Ng <ken@orion.cccc.njit.edu>
  6023. Subject:      write protect tab on floppies
  6024.  
  6025.  
  6026. >From:         MALCOLM@JVAX.CLP.AC.UK
  6027. >
  6028. >IBM-PC floppy write-protect logic is hardware.  If a disk is write-prot
  6029. >ected
  6030. >it's *safe*.
  6031. >
  6032. Well, not always.  I recall talk/flames several months back about a certain
  6033. type of floppy disk drive (which one escapes me).  Evidently
  6034. the write protect hardware worked by sensing the reflection from
  6035. the write protect tab to determine that the floppy was write
  6036. protected.  Evidently the designer never heard of black write
  6037. protect tabs or of floppy disks that are manufactured without
  6038. write protect slots.  Remember to always check *EVERYTHING*
  6039. the manufacturer claims before you need to.
  6040. =========================================================================
  6041. Date:         Tue, 31 May 88 10:52:07 EDT
  6042. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  6043. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  6044. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  6045. Subject:      First of two forwarded submissions
  6046.  
  6047.  
  6048. The following is taken from a newspaper people's magazine, and
  6049. describes some effects found in viruses that are different that I
  6050. had seen up till this time.
  6051.  
  6052. Quoted without permission from Editor and Publisher, May 21, 1988
  6053.  
  6054.            _Computer_Virus_Hits_First_U._S._Newspaper_
  6055.                        by Mark Fitzgerald
  6056.  
  6057.      A computer virus has finally infected a newspaper computer
  6058. system.  The Providence Journal-Bulletin discovered the virus
  6059. late on Friday May 13 when reporter Froma Joselow's personal
  6060. computer disc was destroyed, the newspaper's systems engineer,
  6061. Peter Scheidler, stated.
  6062.  
  6063.      "Her file allocation table was overwritten in a rather
  6064. unusual way - it was all zeros," Scheidler said in a telephone
  6065. interview.  "Then this message appeared."
  6066.  
  6067.      The message included the name of a Lahore, Pakistan company,
  6068. "Brain Computer Services," a 1986 copyright, the name of the two
  6069. brothers who own the store - Basit and Amjad - plus the address
  6070. of the store and its telephone.
  6071.  
  6072.      In the middle was this chilling message: "Welcome to the
  6073. Dungeon ... Beware of this VIRUS.  Contact us for a vaccination."
  6074.  
  6075. [The article goes on to say that about 100 disks were infected,
  6076. that the virus was contained totally in the boot block and that
  6077. overwriting of the boot block cleared the disks.  Other
  6078. information in the story is no news to us.
  6079.  
  6080.      The only new thing to me is that my understanding of this
  6081. "Brain" virus is that it was harmless, apparently not so with
  6082. this implementation.
  6083.  
  6084. Len Levine
  6085. len@evax.milw.wisc.edu     ]
  6086.  
  6087. ------------------------------------------------------------------------
  6088. = Kenneth R. van Wyk                   =                               =
  6089. = User Services Senior Consultant      =    This page intentionally    =
  6090. = Lehigh University Computing Center   =          left blank.          =
  6091. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  6092. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  6093. ------------------------------------------------------------------------
  6094.  
  6095. =========================================================================
  6096. Date:         Tue, 31 May 88 10:53:45 EDT
  6097. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  6098. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  6099. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  6100. Subject:      Second forwarded submission
  6101.  
  6102.  
  6103.  
  6104. >IBM-PC floppy write-protect logic is hardware.  If a disk is write-protected,
  6105. >it's *safe*.
  6106.  
  6107. Well, yes and no.  If you mean that a virus cannot write to a hardware
  6108. protected diskette, you are quite right (although one should never say
  6109. never :-)).  However, it should be pointed out that hardware write
  6110. protection can fail to work.  Most floppy drives detect the presence
  6111. of a write-protect notch with a mechanical or optical device.  These
  6112. devices are subject to failure.
  6113.  
  6114. As a case in point, we purchased some 5.25 inch red floppy diskettes that
  6115. did not have write-protect notches.  We wanted to distribute site-licensed
  6116. software, while making sure the software was returned to use in the same
  6117. condition as when checked out.  In order for us to put the site-licensed
  6118. software on the diskettes, we altered a floppy drive by temporarily removing
  6119. the mechanical switch that determined whether the floppy was write-protected.
  6120. In the process, we found that one of our *UNaltered* drives read this
  6121. write-protected diskette!  It turned out that this drive used an optical
  6122. means of sensing the status of the write-protect notch, and the light
  6123. traveled through the red jacket of the floppy diskette.  Although the
  6124. diskette was write-protected, the hardware failed to detect this.  I
  6125. understand that some translucent write-protect tabs cause the same problem.
  6126.  
  6127. The point is that a write-protected diskette is not completely immune
  6128. from infection.
  6129.  
  6130. ---------------------
  6131. John L. Cofer
  6132. COFER@UTKVX1.BITNET
  6133.  
  6134. ------------------------------------------------------------------------
  6135. = Kenneth R. van Wyk                   =                               =
  6136. = User Services Senior Consultant      =    This page intentionally    =
  6137. = Lehigh University Computing Center   =          left blank.          =
  6138. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  6139. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  6140. ------------------------------------------------------------------------
  6141.  
  6142. =========================================================================
  6143. Date:         Tue, 31 May 88 10:55:14 EDT
  6144. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  6145. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  6146. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  6147. Subject:      Did I say two?  I meant three forwarded submissions...  :-)
  6148.  
  6149.  
  6150.  
  6151.  
  6152. RE: FLUSHOT4 IS VIRUS.... It is not. It is a hacked version of the
  6153. program by Ross Greenberg; it is Trojan Horse since it does not
  6154. replicate itself. Some chutzpahnik took a hacked version of TXT2COM
  6155. utility for making executable text files. The hacked program does things
  6156. that the original utility does not- like wipe out all files on the
  6157. same drive from which it is run.
  6158. The hacked TXT2COM was used on the FLUSHOT docs (which are ASCII)
  6159. to make the FLUSHOT into the Trojan Horse.
  6160.  
  6161. RE: Nomenclature.... A reminder that in discussing malicious programs
  6162. on a serious level, it helps to keep our terms straight. Remember, the
  6163. trait that makes a program a virus is its ability to replicate its
  6164. code, usually INTO other, valid, programs. (A case of the un-common
  6165. code. %-)) There are also automated Trojan Horses, such as the trouble-
  6166. some version of CHRISMAS EXEC which are often called viruses. Some
  6167. computer scientists have taken to calling these automated Trojans
  6168. "bacteria". Also, it is good to remember that not all programs that
  6169. wreck files, etc. are Trojans or viruses. There are a lot of buggy
  6170. programs out there. For example, there is a debate about NOTROJ; some
  6171. people have gotten burned by it, others have no problems. It may be that
  6172. it was not designed to be harmful, but has bugs that make it harmful on
  6173. many systems.
  6174.  
  6175. RE: NAIVE QUESTIONS.... There no dumb questions that are asked (in the
  6176. right place and time). The dumb question is the one that should have
  6177. been asked but never was.
  6178.   As for the question about disconnecting the hard drive nad running
  6179. floppies only is fesible and recommended for maxiumum protection while
  6180. testing new programs. It is not a method suitable for everybody (sort
  6181. of like GRAPE NUTS<Tm> cereal). But even malicious programs that can
  6182. overide software hard disk write protects can not override an open
  6183. circuit. The trouble is the setting up and the cases where the software
  6184. needs the capacity of a hard disk. My dream scenario would be cheap
  6185. disposible hard disks for testing purposes. Electronic Petri Dishes.
  6186.  
  6187. Thank you, J.D. Abolins
  6188.  
  6189. ------------------------------------------------------------------------
  6190. = Kenneth R. van Wyk                   =                               =
  6191. = User Services Senior Consultant      =    This page intentionally    =
  6192. = Lehigh University Computing Center   =          left blank.          =
  6193. = Internet: <LUKEN@VAX1.CC.LEHIGH.EDU> =                               =
  6194. = BITNET:   <LUKEN@LEHIIBM1>           =                               =
  6195. ------------------------------------------------------------------------
  6196.  
  6197. =========================================================================
  6198. Date:         Tue, 31 May 88 16:31:07 CDT
  6199. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  6200. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  6201. From:         Werner Uhrig <werner@rascal.ics.utexas.edu>
  6202. Subject:      Playboy virus - BEWARE! (thomas@uvabick (Thomas Fruin))
  6203.               [comp.sys.mac]
  6204.  
  6205. From: thomas@uvabick.UUCP (Thomas Fruin)
  6206. Newsgroups: comp.sys.mac
  6207. Subject: Playboy virus - BEWARE!
  6208. Message-ID: <258@uvabick.UUCP>
  6209. Date: 30 May 88 23:19:47 GMT
  6210.  
  6211. Through a dealer I heard that a new Macintosh virus had been sighted
  6212. here in the Netherlands, in Utrecht to be precise.  It was called
  6213. Playboy or something similar, and after double clicking rapidly
  6214. started showing you pictures of benevolent nude girls, while it was
  6215. malevolently busy erasing your hard disk ...
  6216.  
  6217. This is all I know.  Just be sure to fight your desire to launch
  6218. this nasty.
  6219.  
  6220. -- Thomas Fruin
  6221.  
  6222.    fruin@hlerul5.BITNET                  University of Leiden
  6223.    thomas@uvabick.UUCP                   University of Amsterdam
  6224.    dibs@well.UUCP
  6225.    hol0066.AppleLink
  6226.    2:512/114.FidoNet                     The Netherlands