home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / compress / 4606 < prev    next >
Encoding:
Text File  |  1993-01-12  |  17.4 KB  |  352 lines
  1. Newsgroups: comp.compression
  2. Path: sparky!uunet!math.fu-berlin.de!Sirius.dfn.de!news.DKRZ-Hamburg.DE!rzsun2.informatik.uni-hamburg.de!fbihh!bontchev
  3. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  4. Subject: Re: pkzip204c--virus activity?
  5. Message-ID: <bontchev.726871363@fbihh>
  6. Sender: news@informatik.uni-hamburg.de (Mr. News)
  7. Reply-To: bontchev@fbihh.informatik.uni-hamburg.de
  8. Organization: Virus Test Center, University of Hamburg
  9. References: <8476@news.duke.edu>
  10. Date: 12 Jan 93 20:42:43 GMT
  11. Lines: 339
  12.  
  13. machteme@acpub.duke.edu (Mark Achtemeier) writes:
  14.  
  15. > The following is a report of an incident of virus-like activity which
  16. > appeared recently on my system, possibly in connection with the use
  17. > of the new version 2.04c of PKZIP.  I confess that I do not understand
  18.  
  19. My final conclusion (see below) is that even if the activity observed
  20. by you is caused by a virus, it is NOT in connection with the use of
  21. the new version 2.04c of PKZIP.
  22.  
  23. > how all the pieces of the puzzle fit together, but I am recording the
  24. > events as accurately and completely as I possibly can so that others
  25. > can be on the lookout for similar phenomena.
  26.  
  27. You did a pretty good job; I'll try to point out a few minor mistakes,
  28. so that you could do even better the next time.
  29.  
  30. > I FTP'd the file 'pkz204c.exe' from the archive at garbo.uwasa.fi on
  31. > the Internet at approx. 2:00pm est on Thursday, January 7.  The file
  32.  
  33. You should post a better identification of the file, so that we are
  34. certain to talk about one and the same thing. However, Prof. Salmi
  35. already posted both VALIDATE and CRC-32 checksums of the file there,
  36. and I am convinced that it is exactly the same as the file I
  37. inspected. Therefore, I guarantee you that the file on garbo is NOT
  38. infected.
  39.  
  40. > was copied first to my storage area on the DEC terminals at Duke
  41. > University, and from their FTP'd to an IBM compatible terminal on a
  42. > public cluster in the Duke library.  The public terminal had been
  43. > turned on when I began to use it, but its associated directories
  44. > showed no files present.
  45.  
  46. Uhm, I am not familiar with DEC terminals... You are speaking about
  47. directories - are some kind of PCs used as terminals? Or are you
  48. speaking about the directories on the machine to which your terminal
  49. provides you access?
  50.  
  51. If an IBM PC compatible machine is used as a terminal, if you have
  52. found it turned on, and if you have used it to transfer the executable
  53. on diskette, then if this machine was infected with a certain type of
  54. virus (a fast infector), they your downloaded executable would be
  55. infected. This has nothing to do with garbo or PKWare - the file gets
  56. infected due to bad computer hygiene...
  57.  
  58. In general, it is always dangerous to use an unknown PC to transfer
  59. executable code, because the PC might be infected and this will cause
  60. infection of the transfered executable code. On the other side, it is
  61. also a bad practice to use self-extracting archives, because they can
  62. get infected.
  63.  
  64. > On the public terminal, I ran pkz204c.exe to extract the various
  65. > program and documentation files, consulted these and ran some tests
  66. > comparing the performance of the new version against PKZIP 1.1 (I was
  67.  
  68. So, the "terminal" is some kind of PC. Note that if it is infected,
  69. all your executables might be infected by now...
  70.  
  71. > Since I had read the discussion about the "maltese amoeba" alarms
  72. > associated with this program, I ran the 'scan.exe' program in McAfee
  73. > Associates' SCAN 8.6V93 package on both the original and the extracted
  74. > archive files.  The program reported no viruses found.
  75.  
  76. A few remarks:
  77.  
  78. 1) The latest version of SCAN is 99 - yours is a bit out-of-date.
  79.  
  80. 2) A scanner is able to detect only known viruses. If that terminal PC
  81. was infected by a new virus (unknown to SCAN), then nothing would be
  82. detected.
  83.  
  84. 3) If the virus is using an advanced technology to hide, known as
  85. "stealth", the scanner will not be able to find the virus in the
  86. infected files, if that virus is active in memory. In general, the
  87. scanner should be able to detect the virus in memory and refuse to
  88. run, but don't rely on that. That's why, when you suspect a virus, the
  89. first thing you must do is to ensure that the virus is not in memory.
  90. The ONLY secure way to achieve this is to cold-boot from an uninfected
  91. write-protected system diskette. Such diskette must contain the
  92. operating system (the same your hard disk is formatted with), any
  93. drivers needed to access the disk (such as Stacker, etc.), and the
  94. virus scanning software. In case it does not fit on a single diskette,
  95. you can keep the scanning software on a separate diskette - but again
  96. it must be write protected and not infected. Have you done all this
  97. before running SCAN in your case? If not, the scanner could have
  98. spread the virus (if there is a virus) on every executable it has
  99. scanned.
  100.  
  101. > On my own system, I copied the original archive file to a temporary
  102.  
  103. Are you absolutely certain that your own system was not infected at
  104. that point?
  105.  
  106. > directory.  Before extracting it, I executed my standard batch file
  107. > (hereafter called the "standard scan") for running the McAfee scan
  108. > program--I had used the /AF option some months earlier to create a
  109. > file (called scanval.val, located on the c: drive) of validation codes
  110. > for my program, *.sys and *.ovl files.  My standard scan batch file
  111.  
  112. That's a good idea. Actually, checksumming programs (usually called
  113. "integrity checkers") are a much stronger weapon against viruses than
  114. the known-virus scanners. Unfortunately, the integrity checking
  115. provided in SCAN is not good enough, but this is irrelevant for the
  116. moment.
  117.  
  118. > runs SCAN with the /CF option, checking these validation codes against
  119. > the appropriate files on the disk.  This first run of the standard
  120. > scan produced one alarm: for a file entitled DESKTOP.OVL associated
  121. > with my PCTOOLS 5.0 package.  While it concerned me at the time, I
  122. > have since discovered that this file is written to every time the
  123. > PCTOOLS DESKTOP program is run in resident mode.  Since I had in fact
  124. > done this after creating the file of validation codes, I have no
  125. > reason to believe this file was infected at that time.
  126.  
  127. Your conclusion seems reasonable.
  128.  
  129. > My next step was to execute the pkz014c.exe program in my c:\temp
  130. > directory in order to extract the program files from the archive.  All
  131. > of the files produced -AV validation codes.  Again I ran a standard
  132. > scan, which continued to produce a single alarm for DESKTOP.OVL.
  133.  
  134. This means that at this point either PKZ204C.EXE was not infected, or
  135. it was infected by a stealth virus. In the latter case, it has been
  136. infected on the terminal PC.
  137.  
  138. > Satisfied that the program was virus-free, I proceeded to rename the
  139.  
  140. Note that just because SCAN did not report anything does not
  141. necessarily mean that the program was virus-free. It means that it is
  142. either infected by a new virus, or it is infected by a stealth virus
  143. (probably - a new one), which is already resident in memory (due to
  144. the execution of the program PKZ204C.EXE).
  145.  
  146. > Wanting to be on the safe side, I then decided to do a final run of
  147. > the standard scan.  This scan was done immediately after the PKZIP
  148. > batch job, with no other programs run in the interim. This time, to my
  149. > horror, the program produced alarms for my MSDOS.SYS file, along with
  150. > every file on my disk containing and extension of '.OVL'.  No other
  151. > files were affected.  The overlay files, approximately twelve in all,
  152.  
  153. Are you absolutely certain that the name of your OS file is MSDOS.SYS
  154. and not IBMDOS.COM, for instance? This is important, because very few
  155. viruses attack SYS files.
  156.  
  157. Next, were there other files on your disk with extension SYS? It is
  158. possible that if it is a virus, it applies its stealth abilities to
  159. hide its precense only in COM and/or EXE files, but not in SYS and OVR
  160. files.
  161.  
  162. > resided in three separate directories on my c: drive.  The alarms
  163. > simply said: "File has been modified, a virus infection may have
  164. > occurred".  No indication of the identity of the virus was given, nor
  165.  
  166. Yes, that's the main drawback of integrity checking... It doesn't
  167. tell you whether it is a virus and which virus it is. The user is
  168. usually just notified that the file has been modified... However,
  169. -good- integrity checkers try to tell you -how- the file is modified.
  170. Did its size increase or decrease? Maybe just its file date and time
  171. of last modification or file attributes have changed (e.g., if you
  172. have used PKZIP as a backup program and have told it to turn the
  173. Archive bit off). Knowing -how- the file is changed sometimes helps
  174. you to determine whether the change has been caused by a virus.
  175.  
  176. > That evening I spent some time plotting strategy for ridding my system
  177. > of what I assumed was an infection.  I determined that I would prepare
  178. > a write-protected, bootable floppy disk on my home system, containing
  179. > uninfected copies of the overlay and MSDOS.SYS files, which I would
  180. > use to replace the damaged files.
  181.  
  182. A very good idea. The only problem might be that if it is an infection
  183. by a stealth virus, the executable files might be infected too... The
  184. only way to determine that is to boot from a clean diskette (see
  185. above) and run a clean version of the integrity checker, using a
  186. trusted copy of the database of checksums - usually on a
  187. write-protected diskette.
  188.  
  189. > The next morning, I executed a boot from power-off of the write-
  190. > protected floppy disk.  I had set up the floppy to install a new
  191. > versions of the PCTOOLS SHELL utility to a temporary directory on the
  192. > c: drive.  I then used this utility to delete the MSDOS.SYS and IO.SYS
  193. > files (which I replace using the DOS 'sys' command) and also to
  194. > overwrite all of the .OVL files with the clean versions.
  195.  
  196. Correct.
  197.  
  198. > Having finished this procedure, I powered off the system and did a
  199. > reboot from the c: drive.  I immediately ran the standard scan, and
  200. > was puzzled to find that while the number of alarms had decreased, a
  201. > number were still reported.  The MSDOS.SYS file still registered as
  202. > corrupt, along with three or four of the .OVL files.  After puzzling
  203.  
  204. Hmm... Two possibilities:
  205.  
  206. 1) The .OVL files have had different parameters (date&time,
  207. attributes, etc.) when the checksum has been computed. Regardless
  208. whether they have been infected or not, you have replaced them with
  209. clean copies, but if those copies have different parameters, the
  210. integrity checker will still report a change.
  211.  
  212. 2) You have replaced the (infected) .OVL files, but the virus was a
  213. stealth one and was still present in the COM and EXE files. As soon as
  214. you have run the "standard scan", you have executed the infected scan
  215. program, which has spread the virus to a few .OVL files again.
  216. Probably due to a bug, the virus does not stealth its presence in such
  217. files, so the integrity checker detects the modification. The correct
  218. move would be to run not the "standard scan", but instead run a known
  219. clean copy of the integrity checker, using a known clean copy of the
  220. databases of checksums.
  221.  
  222. > over this awhile, I tried repeating the procedure of powering down the
  223. > system, booting from the floppy, deleting the old files and replacing
  224. > them with with the uninfected versions.  A subsequent run of the
  225. > standard scan continued to produce alarms.
  226.  
  227. At this point it looks pretty much like a virus. It has probably been
  228. transfered from the terminal PC.
  229.  
  230. > {On two occasions during all this--I am fuzzy on just when they were--
  231. > I also noted that an attempt to run a program contained on my utility
  232. > floppy produced an error message of "Write protect error: unable to
  233. > write to floppy disk" or something to that effect.  This struck me as
  234. > highly unusual, since nothing in the command or program involved
  235. > should have called for a write to the diskette.}
  236.  
  237. This is -very- suspect. Most of the viruses are smart enough to avoid
  238. this message when trying to infect something on a write-protected
  239. floppy, but some of them aren't. What puzzles me is the aparent
  240. combination of clever (stealth technology) and dumb (not suppressing
  241. the critical errors) properties of the virus...
  242.  
  243. > Thinking that perhaps the files from my home system were infected, I
  244. > used the temporary version of PCTOOLS on the c: drive to run a
  245. > comparison between the supposedly uninfected files on the floppy disk
  246. > and the which were still producing alarms on the c: drive.  The
  247. > comparison, to my bewilderment, showed that the MSDOS.SYS and overlay
  248. > files in question were, in fact, different from their source files on
  249. > the floppy which I had copied onto the c: drive a few moments earlier.
  250.  
  251. Yes, this is typical for a stealth virus. Your files on the C: drive
  252. are infected, but the virus stealths its presence in EXE files and you
  253. detect the difference only in the other files. It is not your home
  254. system that is infected - it is the system at the office. Could you
  255. tell me (1) how did you compare the files (DIR, COMP, PCTOOLS' file
  256. compare) and (2) how they were different - larger, smaller, same size
  257. but different contents, etc.
  258.  
  259. > In desperation I did a final run of the standard scan.  This time it
  260. > produced *more* alarms--still not for all the overlay files on the
  261. > disk, but for more than had been reported in the run immediately
  262. > preceeding it.
  263.  
  264. Yes, because the virus is still in memory (you didn't reboot from the
  265. clean diskette, did you?), the scanner is infected (you didn't run the
  266. one from the write-protected diskette, did you?) and the virus
  267. continues to infect. Do you see now why it is important that you
  268. ensure a virus-free memory when checking for viruses?
  269.  
  270. > At this point I panicked and decided that drastic action was called
  271. > for.  I used PCTOOLS to make copies of the infected MSDOS.SYS and
  272. > *.OVL file on a clean floppy for future reference.  Alas, I did not
  273. > think to examine them closely at the time.  I then did a power-off
  274. > boot from my write-protected, utility floppy, and used FDISK to delete
  275. > all of my drive partitions.  I proceeded to set up the disk from
  276. > scratch, installing a new operating system (DRDOS 6) which I had been
  277. > meaning to do for some time anyway, and restoring my program and data
  278. > files from a set of backups which (fortunately) I had done only a few
  279. > days before.  I did scans (with new validation files) throughout the
  280. > process and have not encountered any virus alarms since.
  281.  
  282. At this point you felt a bit seized by panic, didn't you? This has
  283. been your second important mistake (the first was that you have failed
  284. to ensure virus-free memory) - you have destroyed the evidence and
  285. possibly lost some data (unless you had a backup).
  286.  
  287. Other mistakes:
  288.  
  289. 1) Just running FDISK and deleting the partitions is not always
  290. sufficient. It will not remove a Master Boot Sector virus like Stoned
  291. or Michelangelo. (This is probably irrelevant in your case, because
  292. you have almost certainly had a file infector.) In order to remove a
  293. MBR virus, you need to boot from a system MS-DOS 5.0 diskette (a lower
  294. DOS version or DR-DOS won't do the job) and execute the command
  295. FDISK/MBR. This will not display anything, but will remove the
  296. eventually present MBR infector.
  297.  
  298. 2) You had also to save copies of a few executable files (COM&EXE),
  299. regardless that they did not show any suspicions for infection.
  300.  
  301. > A puzzling final note:  I have since had the opportunity to examine
  302. > the copies of the infected files which I had copied to floppy disk.
  303. > Compares run against uninfected versions of the same files on my home
  304. > system reveals no difference between the files--this in spite of the
  305. > fact that the differences were clearly evident when they resided on
  306. > the c: drive.
  307.  
  308. Not certain what could cause this... Either your home system is
  309. already infected by the same virus, or the virus has disinfected
  310. itself when your have copied the files on floppies. There is not
  311. enough evidence to support any of those suppositions... I just don't
  312. know. I need a copy of an infected executable file, in order to decide
  313. that. Unfortunately, I understand that all such files have been
  314. destroyed.
  315.  
  316. > If this is a case of virus infestation, there are a lot of aspects of
  317. > it I don't understand--like how a virus could turn up active in a
  318. > system booted from a clean, write-protected floppy, for starters.  The
  319.  
  320. It turned up active when you have started the infected scan program
  321. from the hard disk, in order to perform the "standard scan". During
  322. the scan from the clean floppy, the scanner has not found anything,
  323. because it is certainly a new virus - if it is a virus at all, of
  324. course. And you didn't execute the integrity check from that clean
  325. floppy, did you?
  326.  
  327. > account in order to make the emergent picture a clearer one.  I have
  328. > decided, though, that everyone's best interest will be served by as
  329. > complete and accurate an account as possible, and this is what I have
  330. > struggled to provide.
  331.  
  332. I hope to have helped you make the picture a little bit more clear. If
  333. you have any further questions, feel free to ask. Please note that the
  334. proper newsgroup for virus discussions is comp.virus.
  335.  
  336. > I have available for the asking:  copies of the now mysteriously
  337. > intact files which were copied from the infected c: drive onto floppy.
  338. > Copies of the original pkz204c.exe file which started this whole
  339. > incident (maybe!) to begin with.
  340.  
  341. One thing I am 100% certain - the file pkz204c.exe that you have
  342. obtained from garbo is NOT infected. It is possible that the terminal
  343. PC used for the download is infected - maybe it still is.
  344.  
  345. Regards,
  346. Vesselin
  347. -- 
  348. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  349. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  350. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  351. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  352.