home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / virus / 4888 < prev    next >
Encoding:
Internet Message Format  |  1993-01-12  |  2.3 KB
  1. Path: sparky!uunet!spool.mu.edu!howland.reston.ans.net!zaphod.mps.ohio-state.edu!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: Clearing out old signatures (PC)
  5. Message-ID: <0017.9301121242.AA22066@barnabas.cert.org>
  6. Date: 7 Jan 93 19:46:14 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 37
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. riordan@tmxmelb.mhs.oz.au (Roger Riordan) writes:
  12.  
  13. > To guard against possible unknown viruses like to Chinese Fish, 
  14. > which install themselves in high memory, but do not set the top of 
  15. > memory down, we recently added a feature to VET to fill unused 
  16. > memory with a diagnostic procedure which gives a warning message, 
  17. > and locks the PC, if anything attempts to execute unused memory.  So 
  18. > if you run VET, and an unknown virus of this type is already in 
  19. > memory, you get the warning as soon as VET calls an interrupt the 
  20. > virus has trapped.
  21.  
  22. Hmmm... How do you achieve that? One could fill the free memory with
  23. INT xx instructions and intercept interrupt number xx, but
  24. nevertheless chances are that the "something" that has been active in
  25. the unmarked memory will be called in the middle of the INT
  26. instrcution... The chances for this to happen are 50%... Ahh, I think
  27. I guessed it - you use interrupt number 0CDh? :-)
  28.  
  29. > We investigated, & found that they were using Microsoft Lan Manager.  
  30. > When PROTMAN was run from CONFIG.SYS a block of code was installed 
  31. > at 7000:7800, but top of memory (as recorded at offset 2 in the PSP) 
  32. > remained 9FFF:0000.  If this code was overwritten by running VET (or 
  33. > anything else) before the user logged in, the system would crash 
  34. > when the program NBP.EXE was run as part of the log in procedure.
  35.  
  36. Hmmm, that's a serious bug in the Lan Manager, IMHO... If it indeed
  37. keeps active code at that segment, then it could be overwritten by
  38. ANYTHING! A large program, multiple copies of the command interpreter,
  39. anything...
  40.  
  41. Regards,
  42. Vesselin
  43. - -- 
  44. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  45. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  46. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  47. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  48.