home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / compress / 4590 < prev    next >
Encoding:
Internet Message Format  |  1993-01-12  |  9.8 KB
  1. Path: sparky!uunet!mcsun!uknet!glasgow!unix.brighton.ac.uk!amn
  2. From: amn@unix.brighton.ac.uk (Anthony Naggs)
  3. Newsgroups: comp.compression
  4. Subject: Re: pkzip204c--virus activity?
  5. Keywords: virus, stealth virus
  6. Message-ID: <1993Jan12.044359.23650@unix.brighton.ac.uk>
  7. Date: 12 Jan 93 04:43:59 GMT
  8. References: <8476@news.duke.edu>
  9. Reply-To: amn@vms.bton.ac.uk
  10. Followup-To: amn@vms.bton.ac.uk
  11. Organization: University of Brighton, UK
  12. Lines: 230
  13.  
  14. I have tried to edit excess from the previous post, while keeping most
  15. of the context.  If anything is unclear check Mark's original post yesterday.
  16.  
  17. Sorry folks about the bandwidth/inappropriate newsgroup (?), I am posting
  18. this for the educational value!  (Also I have directed followups to me,
  19. to save filling comp.compression with virus related discussions).
  20.  
  21.  
  22. Beware, this is a worst case (IMO) interpretation of the evidence.
  23. Also I have tried to make comments helpful to other readers, if I seem
  24. a little rude it is due to my efforts to warn/educate and also that I
  25. am writing this at an ungodly hour of the day.
  26.  
  27.  
  28. Mark Achtemeier <machteme@acpub.duke.edu> reports:
  29. > AN ANOMALOUS INCIDENT INVOLVING PKZIP 2.04C
  30. >
  31. > The following is a report of an incident of virus-like activity which
  32. > appeared recently on my system, possibly in connection with the use
  33. > of the new version 2.04c of PKZIP.  ...
  34.  
  35. This is unlikely to be infected at this stage.
  36.  
  37.  
  38. > ... I am recording the
  39. > events as accurately and completely as I possibly can so that others
  40. > can be on the lookout for similar phenomena.
  41.  
  42. Thanks, it helps.
  43.  
  44.  
  45. > I FTP'd the file ... [details deleted]
  46. >
  47. > On the public terminal, I ran pkz204c.exe to extract the various
  48. > program and documentation files, ...
  49.  
  50. Because pkz204c.exe is a self extracting program, rather than a ZIP
  51. file :-), any TSR virus on the public PC could infect the file at 3 points:
  52. 1.  Running pkz204c.exe, most TSR viruses infect programs when they are
  53.     loaded by DOS to run.
  54. 2.  Access to the file to copy it.
  55. 3.  Access to the file by SCAN.
  56.  
  57. <No sermon in clean booting public PCs, but folks please remember, huh?>
  58.  
  59. > ... I ran the 'scan.exe' program in McAfee
  60. > Associates' SCAN 8.6V93 package on both the original and the extracted
  61. > archive files.  ...
  62.  
  63. I don't use SCAN, but I think the latest is V99.
  64.  
  65.  
  66. > On my own system, ...   ... I executed my standard batch file
  67. > (hereafter called the "standard scan") for running the McAfee scan
  68. > program--I had used the /AF option some months earlier to create a
  69. > file (called scanval.val, located on the c: drive) of validation codes
  70. > for my program, *.sys and *.ovl files.  My standard scan batch file
  71. > runs SCAN with the /CF option, checking these validation codes against
  72. > the appropriate files on the disk.  ...
  73.  
  74. WARNING: "stealth viruses" are TSR viruses that sit around in memory.
  75.     When it sees DOS functions to open a program file to read it (for copying
  76.     or running) it first removes the virus from the file, when the is closed
  77.     the virus re-infects it, also fiddling with directory listings so the
  78.     size is correct.
  79.  
  80.     ** This means that any new stealth virus that your a-v s/w does recognise
  81.     in memory can fool 'checksumming' a-v methods (eg SCAN /CF).  For
  82.     reliability always keep the s/w & checksum/validation information on
  83.     diskette & do a 'clean boot' before using it.
  84.  
  85.  
  86. > ...   I then executed a
  87. > standard batch file which calls PKZIP three times in order to back up
  88. > three different directory trees onto a floppy disk.
  89. >
  90. > The job ran successfully, and again, I was delighted with the speed of
  91. > the new version of PKZIP.
  92.  
  93. You backed up ALL the directories that showed up as having infected '.OVL'
  94. files, yes?
  95.  
  96. > Wanting to be on the safe side, I then decided to do a final run of
  97. > the standard scan.  This scan was done immediately after the PKZIP
  98. > batch job, with no other programs run in the interim. This time, to my
  99. > horror, the program produced alarms for my MSDOS.SYS file, along with
  100. > every file on my disk containing and extension of '.OVL'.  No other
  101. > files were affected.
  102.  
  103. Viruses do not spread on '.OVL' files, simply because they do not travel
  104. often!  But viruses can infect them.
  105.  
  106. You must have had a 'stealth virus' either already on your system, or
  107. brought in from the public pool.  When pkzip read the '.OVL' (also EXE & COM)
  108. files the stealth virus recognised them as being program files & infected
  109. them when they were closed.
  110.  
  111. "But why did only the '.OVL' files show as infected?"
  112.  
  113. Simple, the virus has a bug.  It uses different tests when infecting to
  114. when it removes itself from files, it managed to hide when SCAN checked
  115. the EXE & COM files but forgot to on the '.OVL' files!
  116.  
  117.  
  118. > ... [planning omitted] ...
  119.  
  120. > The next morning, I executed a boot from power-off of the write-
  121. > protected floppy disk.  ...
  122. > ...  I then .. delete[d] the MSDOS.SYS and IO.SYS
  123. > files (which I replace using the DOS 'sys' command) and also to
  124. > overwrite all of the .OVL files with the clean versions.
  125. >
  126. > Having finished this procedure, I powered off the system and did a
  127. > reboot from the c: drive.  I immediately ran the standard scan, and
  128. > was puzzled to find that while the number of alarms had decreased, a
  129. > number were still reported.  ...
  130.  
  131. Either you accidentally ran an infected utility from the hard drive
  132. (very easy to do, especially as you thought only the '.OVL' files were
  133. infected) or your 'clean boot disk' wasn't.
  134.  
  135. It really is incredibly easy to run a utility from the hard drive when
  136. you wanted too use the one on the floppy, I have done it myself when
  137. cleaning up viruses - we all have to learn the pitfalls.
  138.  
  139.  
  140. [Don't shout!]  "What about the decrease?"
  141.  
  142. You accidentally infected the system, and when SCAN ran the virus infected
  143. files, using a 'lucky number' system to choose files to infect.
  144.  
  145.  
  146. > {On two occasions during all this--I am fuzzy on just when they were--
  147. > I also noted that an attempt to run a program contained on my utility
  148. > floppy produced an error message of "Write protect error: unable to
  149. > write to floppy disk" or something to that effect.  This struck me as
  150. > highly unusual, since nothing in the command or program involved
  151. > should have called for a write to the diskette.}
  152.  
  153. This should cause virus aware people to be very worried!
  154. (I know, most people just say "that's strange" and forget about it
  155.  
  156. Note: most viruses detect such problems and the DOS message is not given,
  157.     so this is not a reliable detection method.  But if it does happen,
  158.     try to:
  159.     1.  prepare a floppy on another machine, with similar utilies or
  160.         some from DOS;
  161.     2.  write protect it;
  162.     3.  use it on the suspect PC;
  163.     4.  when you get a "write protect error" message, then remove the
  164.         write protect, select 'Retry', now you have a 99% chance of
  165.         capturing a sample of the virus, write protect the disk again.
  166.     5.  either send the captured virus to you preferred a-v researcher,
  167.         or find an a-v package that will identify the virus.
  168.  
  169.  
  170. > Thinking that perhaps the files from my home system were infected, I
  171. > .. run a comparison between the .. uninfected files on the floppy disk
  172. > and the which were still producing alarms on the c: drive.  The
  173. > comparison, to my bewilderment, showed that the MSDOS.SYS and overlay
  174. > files in question were, in fact, different from their source files on
  175. > the floppy which I had copied onto the c: drive a few moments earlier.
  176.  
  177. You rebooted before this, yes?  Okay, this -strongly- indicates a stealth
  178. virus, and that you ran an infected file previously.
  179.  
  180.  
  181. > In desperation I did a final run of the standard scan.  This time it
  182. > produced *more* alarms ...
  183.  
  184. Supports the active virus/'lucky number' theory of infecting.
  185.  
  186.  
  187. > At this point I panicked and decided that drastic action was called
  188. > for. ...  [details of complete re-install omitted]
  189. > ...  I did scans (with new validation files) throughout the
  190. > process and have not encountered any virus alarms since.
  191.  
  192. You had a -new- 'stealth' virus, it may not show up with SCAN /CF, until
  193. it accidentally infects an '.OVL' file again.
  194.  
  195. Be cautious, get the latest version of SCAN (as this is your favourite) and
  196. also another good a-v tool (I suggest FPROT [2.06a is the latest], available
  197. from SIMTEL20:  pd1:<msdos.trojan-pro>).
  198.  
  199. Hopefully the virus came from the public pool and you are now clear,
  200. although an existing 'stealth' virus infection would not have been
  201. obvious - so there is a small possibility of your backups being infected.
  202.  
  203.  
  204. > A puzzling final note:  I have since had the opportunity to examine
  205. > the copies of the infected files which I had copied to floppy disk.
  206. > Compares run against uninfected versions of the same files on my home
  207. > system reveals no difference between the files ...
  208.  
  209. I can't explain this, perhaps you were confused and copied the repaired files?
  210.  
  211. Send me a 'Diskcopy' of the disk and I'll check it further for you, (if the
  212. newer a-v s/w doesn't find anything).
  213.  
  214.  
  215. > ... [questions about the above strange symptoms] ...
  216.  
  217. I hope I have explained most of the strange symptoms, if you want
  218. clarification just ask.
  219.  
  220.  
  221. > I have available for the asking:  copies of the now mysteriously
  222. > intact files which were copied from the infected c: drive onto floppy.
  223. > Copies of the original pkz204c.exe file which started this whole
  224. > incident (maybe!) to begin with.
  225.  
  226. Send me a 'Diskcopy' of the disk and I'll check it further for you, (if the
  227. newer a-v s/w doesn't find anything).
  228.  
  229.  
  230. Other people to consider sending disk/files to:
  231. 1.  The vendor of your preferred a-v product - McAfee
  232. 2.  Vesselin Bontchev, email: bontchev@fbihh.informatik.uni-hamburg.de
  233. 3.  Frisk (author of FPROT): frisk@is.complex
  234. Or ask advice from Ken van Wyk the moderator of comp.virus/virus-l:
  235.     krvw@CERT.ORG
  236.  
  237.  
  238. Hope this helps,
  239. Anthony Naggs
  240. Software/Electronics Engineer                   P O Box 1080, Peacehaven
  241. (and virus researcher)                          East Sussex  BN10 8PZ
  242. Phone: +44 273 589701                           Great Britain
  243. Email: (c/o Univ of Brighton) amn@vms.brighton.ac.uk  or  xa329@city.ac.uk
  244.