home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4206 < prev    next >
Encoding:
Internet Message Format  |  1992-11-10  |  2.5 KB
  1. Path: sparky!uunet!ukma!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: xrjdm@calvin.gsfc.nasa.gov (Joseph D. McMahon)
  3. Newsgroups: comp.virus
  4. Subject: re: Scores functions (CVP)
  5. Message-ID: <0002.9211101922.AA06969@barnabas.cert.org>
  6. Date: 3 Nov 92 18:37:20 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 43
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. > It starts simply enough.  When an infected application is run on a
  12. > new system, the system folder is infected.  Two invisible folders
  13. > are created, one named Desktop and the other Scores (hence the
  14. > name).  Thus the Scores infection gets to start early and go
  15. > "resident".  (INITs of 6, 10 and 17 are created.  This led to later
  16. > problems with other INITs numbered the same way that were mistakenly
  17. > thought to be infected.)
  18.  
  19. The "Desktop" and "Scores" items are files, not folders. It has been
  20. proposed that semi-sophisticated users with a means of looking at
  21. invisible files would be tricked into thinking that the "Desktop" file
  22. was the Finder's "Desktop" file (the Finder's Desktop file is at the
  23. root level, not in the System folder), and that the "Scores" file
  24. would be dismissed as belonging to some undefined game or another. All
  25. of these files contained enough information to perpetuate the virus,
  26. even if one or more of them was removed.
  27.  
  28. Scores took advantage of a hole which allowed INIT resources to reside
  29. in invisible files. This hole was closed in System 6.0.3, I believe.
  30. Invisible files are no longer eligible to be executed as control panel
  31. (cdev) or system extension (INIT) files. It is definitely closed in
  32. System 6.0.7 and up.
  33.  
  34. > The Note Pad and Scrapbook files, if not already present, are
  35. > created.  The file types for these files are changed, as are the
  36. > normal icons.
  37.  
  38. As well as their contents.
  39.  
  40. > The virus waits two days before it starts to infect applications. 
  41. > Thus the Scores might almost seem to be an early form of the
  42. > multipartite virus, since it "toggles" between system and
  43. > application files.  However, it is only after the infection has
  44. > entered the system folder that the other activities take place.
  45.  
  46. The actual infection mechanism of Scores is nearly identical to that
  47. of the nVIR virus: A modified CODE resource installs an INIT; the INIT
  48. modifies further CODE resources in a _Launch trap. One of the INITs is
  49. the vector; the others are the payload. Blocking access to the System
  50. file and disallowing creation of INIT/cdev files without user
  51. permission disables this mechanism.
  52.  
  53.  --- Joe M.
  54.