home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.105 < prev    next >
Encoding:
Text File  |  1995-01-03  |  13.1 KB  |  297 lines
  1. VIRUS-L Digest             Thursday, 4 May 1989        Volume 2 : Issue 105
  2.  
  3. Today's Topics:
  4. Virus - worm combinations: A future trend?
  5. Virus Plurals
  6. Chroma trojan horse (PC)
  7. checksum algorythm
  8. (c) Brain  ?????????? (PC)
  9. old question - AV software info request (PC)
  10. Possible virus, info request (PC)
  11. Boot viruses - forwarded from HomeBase (PC)
  12.  
  13. ---------------------------------------------------------------------------
  14.  
  15. Date:    Sun, 30 Apr 89 16:02:48 +0200
  16. From:    David Stodolsky <stodol@diku.dk>
  17. Subject: Virus - worm combinations: A future trend?
  18.  
  19. Joe Sieczkowski <joes@scarecrow.csee.Lehigh.EDU> in "RE: Review of THE
  20. COMPUTER VIRUS CRISIS," Virus-L Digest, 2(93), points out that the
  21. definition offered distinguishing between virii and worms in "Review
  22. of THE COMPUTER VIRUS CRISIS" (Mark Paulk <mcp@SEI.CMU.EDU> Virus-L
  23. Digest, 2(92)) is not that accurate. Joe adds "If the [worm] program
  24. had modified the actual sendmail and fingerd (sic) executables in such
  25. a way that they would in turn modify other machines S&F executables,
  26. then it could be called a virus."
  27.  
  28. The threat posed by virus - worm combinations was previously mentioned
  29. in "Net hormones: Part 1 - Infection control assuming cooperation
  30. among computers."  The relevant paragraph reads:
  31.  
  32. "An inapparent infection could spread rapidly, with damage noted only
  33. much later. Consider a worm that is constructed to carry a virus. The
  34. worm infects a system, installs the virus and then infects other
  35. nearby systems on the net. Finally, it terminates erasing evidence of
  36. its existence on the first system. The virus is also inapparent, it
  37. waits for the right moment writes some bits and then terminates
  38. destroying evidence of its existence. Later the worm retraces its path
  39. reads some bits, then writes some bits and exits. The point is that an
  40. inapparent infection could spread quite widely before it was noticed.
  41. It also might be so hard to determine whether a system was infected or
  42. not, that it would not be done until damage was either immanent or
  43. apparent. This analysis suggests response to network-wide problems
  44. would best be on a network level." (Citation: Stodolsky, D. (1989).
  45. Net hormones: Part 1 - Infection control assuming cooperation among
  46. computers [Machine- readable file]. van Wyk, K. R. (1989, March 30).
  47. Several reports available via anonymous FTP. Virus-L Digest, 2(77,
  48. Article 1). Abstract republished in van Wyk, K. R. (1989, April 24).
  49. Virus papers (finally) available on Lehigh LISTSERV. Virus-L Digest,
  50. 2(98, Article 4). (Available via anonymous file transfer protocol from
  51. LLL-WINKEN.LLNL.GOV: File name "~ftp/virus-l/docs/net.hormones" and
  52. IBM1.CC.LEHIGH.EDU: File name "HORMONES NET". And by electronic mail
  53. from LISTSERV@LEHIIBM1.BITNET: File name "HORMONES NET")).
  54.  
  55. In January I started writing a paper, "Virus infected worms in
  56. information machines." The virus - worm combination has both negative
  57. and positive implications. In the biological world, virii have been
  58. very effective in controlling bacteria that cause disease in farm
  59. animals, etc. So far, the only thing I have seen like this for
  60. computers is the "KillVirus" init. As discussed earlier, it is a
  61. "virus" that overwrites and thereby destroys an invading one. The key
  62. problem seems to be how to develop a virus that has no negative
  63. affects, except on an invading agent. Are there any wizards, virus
  64. writers, etc. who will accept this challenge?
  65.  
  66. - --------
  67. David Stodolsky              Routing: <@uunet.uu.net:stodol@diku.dk>
  68. Department of Psychology                  Internet: <stodol@diku.dk>
  69. Copenhagen Univ., Njalsg. 88                   Voice + 45 1 58 48 86
  70. DK-2300 Copenhagen S, Denmark                   Fax. + 45 1 54 32 11
  71.  
  72. ------------------------------
  73.  
  74. Date:    Tue, 02 May 89 12:15:45 EDT
  75. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM.BITNET>
  76. Subject: Virus Plurals
  77.  
  78. For all of you out there who might be confused between:
  79.  
  80. viruses
  81. viri  or
  82. virii.
  83.  
  84. According to the Second College Edition of The American Heritage
  85. Dictionary the correct plural form of virus (drum roll please.......)
  86.  
  87. viruses   .
  88.  
  89. Please note that I will not be offended if any of the others are used,
  90. nor should this message be conceived as snobby or condescending, I was
  91. curious as to which is the "preferred" plural form and thought that
  92. others out there in virusland (or is that viriland, viriiland,
  93. virusesland ?????) might want to know also.
  94.  
  95. ------------------------------
  96.  
  97. Date:    Tue, 02 May 89 14:21:51 -0700
  98. From:    Steve Clancy <SLCLANCY@UCI.BITNET>
  99. Subject: Chroma trojan horse (PC)
  100.  
  101. This is a short bulletin that I recently posted on our BBS.  I want to
  102. emphasize that I DO NOT have all the facts, and am not trying to start
  103. a wild rumor.  The user who informed me of this possible trojan horse
  104. (as opposed to a virus) is reliable. -- Steve Clancy
  105.  
  106. Original-April, 19th, 1989.  Irvine, CA.
  107.  
  108. TROJAN HORSE ALERT!
  109.  
  110. John Cook of the French Connection BBS, just informed me of a possible
  111. Trojan Horse that has surfaced in this area.  Details are sketchy.
  112. All I have to go on is what he told me.
  113.  
  114. Evidently, someone downloaded a file called "HARDCORE.ARC" which
  115. contained a file called either "CHROMA.EXE" or "CHROMA.COM."  This
  116. person ran the program, and it displayed something approximating the
  117. following message on the screen:
  118.  
  119.         "The worst possible thing has just happened to your hard disk!"
  120.  
  121. I don't have details on exactly what happened to this person's hard
  122. disk, but at very least the TH seems to have erased all files.
  123.  
  124. Again, details are very sketchy at this point, but John is a reliable
  125. source.  As more info becomes available, I will update this bulletin.
  126.  
  127. Steve Clancy, Wellspring RBBS, 714-856-7996, 714-856-5087
  128. U.C. Irvine, California, USA.
  129.  
  130. ------------------------------
  131.  
  132. Date:    Tue, 2 May 89 11:01:45 CDT
  133. From:    "Len Levine" <len@evax.milw.wisc.EDU>
  134. Subject: checksum algorythm
  135.  
  136. In an earlier Virus-l dmg@mwunix.mitre.org states:
  137.  
  138. >I believe it is possible to use a checkfunction in a constructive
  139. >manner to detect even the most advanced computer viruses, and it
  140. >involves a technique called a "cryptographic checkfunction".
  141.  
  142. It is fairly easy to use a even simple CRC with a non-standard
  143. polynomial to fool any arbitrary virus.  There is no way that a virus
  144. writer can determine what polynomial you are using, as the program
  145. that does the ckecking need not be stored in any special place on the
  146. system for the virus to check against.  As long as you use a
  147. polynomial for the CRC that is not published, no virus can match it.
  148.  
  149. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  150. | Leonard P. Levine               e-mail len@evax.milw.wisc.edu |
  151. | Professor, Computer Science             Office (414) 229-5170 |
  152. | University of Wisconsin-Milwaukee       Home   (414) 962-4719 |
  153. | Milwaukee, WI 53201 U.S.A.              Modem  (414) 962-6228 |
  154. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  155.  
  156. ------------------------------
  157.  
  158. Date:    Wed, 03 May 89 13:12:35 CDT
  159. From:    Michael K. Blackstock <ELTRUT@MSSTATE.BITNET>
  160. Subject: (c) Brain  ?????????? (PC)
  161.  
  162. I am a student at Mississippi State Univ. and some of the computer
  163. disks around here are getting odd data on them.  All of the disk that
  164. I have seen have the label (c)Brain.  Doen any one out there know what
  165. this is, is it a anti-virus or is it a virus itself?
  166.  
  167. I look at the disk with a program called Master Key and I found this
  168. in sector number 0.
  169.  
  170. <   J.4    Welcome to the Dungeon    (c) 1986 Brain. & Amjads  (pvt)
  171. <   Ltd     VIRUS_SHOE  RECORD       v9.0    Dedicated to the dynamic
  172. <   memories of millions of virus who are no longer with us today -
  173. <   Thanks GOODNESS!!     BEWARE OF THE er..VIRUS
  174. <   \this program is catching    program follows after these messeges...
  175.  
  176. If anyone knows what this is infecting the disks on campus please let
  177. me know.
  178.  
  179. Michael K. Blackstock                          ELTRUT@MSSTATE
  180.  
  181. P.S.   Thanks...................
  182.  
  183. [Ed. Sure sounds like the Pakistani (aka Brain) virus to me.  There
  184. have been some excellent technical descriptions of the Brain published
  185. on VIRUS-L.  Does someone have one of these handy that they could send
  186. to Mr. Blackstock (directly)?]
  187.  
  188. ------------------------------
  189.  
  190. Date:    Wed, 3 May 89 17:00 EST
  191. From:    "Shawn V. Hernan" <VALENTIN@pittvms.BITNET>
  192. Subject: old question - AV software info request (PC)
  193.  
  194. Please anyone,
  195.         Where can I get virus detection/removal software from some
  196. network? I am looking for MS-DOS stuff, I have all the Macintosh stuff
  197. I need, and I know where to get it. But I run a library of about 500
  198. MS-DOS packages and I need to check for/eliminate viruses. I am hoping
  199. to get public domain or shareware stuff.  Any help is appreciated. If
  200. possible, please respond directly to me, as this is rather urgent.
  201. Thanks....
  202.  
  203. - ------------
  204. Shawn V. Hernan
  205. - --------------------------------------------------------------------------
  206. Computing and Information Systems (Computer Center), Academic Computing
  207. University of Pittsburgh     valentin%VMS.CIS.PITTSBURGH.EDU@VB.CC.CMU.EDU
  208. 4015 O'Hara Street                valentin@PITTVMS.BITNET
  209. Pittsburgh,Pennsylvania 15260     valentin@cisunx.UUCP
  210. (412) 624-9356                    valentin@CISVM{1,2,3}.CCnet
  211. __________________________________________________________________________
  212.  
  213. ------------------------------
  214.  
  215. Date:    Wed, 3 May 89 17:48:55 EDT
  216. From:    vanembur@gauss.rutgers.edu (Bill Van Emburg)
  217. Subject: Possible virus, info request (PC)
  218.  
  219. My friend's PC-compatible seems to have a virus, and I don't have
  220. enough experience with IBM viruses to recognize it.  Does this sound
  221. familiar to anyone??
  222.  
  223.          This virus (if it really is a virus) modifies the command.com
  224.          file.  The result of this the next time you boot the machine
  225.          is that all .exe files are no longer executable.  The machine
  226.          boots just fine, and .bat files run, but the autoexec.bat
  227.          file dies when it tries to execute xtree.exe.  The .exe files
  228.          are still there, they just can't be run.  Diagnostics were
  229.          run on the hard drive, and everything checked out.  When the
  230.          command.com file was re-copied from an original DOS 3.3
  231.          disk, everything started working normally again.
  232.  
  233. The BIG question: Was the virus killed when the command.com was
  234.                   re-copied?  How can we be sure that it isn't
  235.                   residing somewhere else, waiting to try it's little
  236.                   game again?
  237.  
  238. The secondary question: Does anyone recognize this virus?  Does anyone
  239.                         have any additional info (background, how it
  240.                         works, what it does, where it hides, and how
  241.                         to detect it) on it?
  242.  
  243.                                          -Bill Van Emburg
  244.                                          Rutgers University
  245.  
  246. ------------------------------
  247.  
  248. Date:    Sun, 30 Apr 89 05:36:50 EDT
  249. From:    Bruce Burrell <USERW6BL@UMICHUM.BITNET>
  250. Subject: Boot viruses - forwarded from HomeBase (PC)
  251.  
  252. I was asked by Frank Nalls, a user on HomeBase Virus BBS, to forward
  253. this message to VIRUS-L.  I'll forward responses to him there; if you
  254. want to send private mail to him through me, that's fine too
  255. (BPB@um.cc.umich.edu)
  256.  
  257.  -----------------------------------------------------------------------
  258.  
  259. I have just finished reading the Virus-L postings for the past year or
  260. so and found a lot of good information in them.  I'm concerned,
  261. though, about some of the virus product attitudes that I've seen
  262. expressed.  Jim Goodwin, Mark Shaw and Tim Sankary reported on the
  263. most common infections from over 700 corporate occurences and and
  264. found that over 90% of PC infections were caused by one of the
  265. following viruses:
  266.  
  267.  .      Pakistani Brain (Basit and Mjad Original)
  268.  .      Pakistani Brain HD Version
  269.  .      Alameda (Yale)
  270.  .      Alameda (Version - C, Modifies FAT)
  271.  .      Australian (Stoned) - Original Version
  272.  .      Venezuelan (Den Zuk)
  273.  .      Venezuelen-CX (No display)
  274.  .      Ping Pong (Italian)
  275.  .      Nichols (Original Version)
  276.  
  277. The reason I bring this up is that all 9 of these viruses are boot
  278. sector infectors.  Virus filter products (like Flu-Shot+ and C-4)
  279. can't prevent or even detect any boot sector virus.  Yet I see these
  280. products hyped as good virus protection products.  Anyone who claims
  281. these products works either has never seen a boot sector virus or has
  282. never tested these products against them.  The only products that are
  283. even remotely useful against these viruses are logging products like
  284. Virus-Pro, Sentry, Magic Bullets and other detection type products.
  285. I'm not trying to flame Mr. McAfee's C-4 or Mr. Greenberg's Flushot+,
  286. it's just that the products don't match virus realities.  I also have
  287. to strongly disagree with Mr. David Bader's assessment of Sentry.  I
  288. suggest he try some live viruses and check the differences himself.
  289.  
  290. Frank Nalls
  291.  
  292. ------------------------------
  293.  
  294. End of VIRUS-L Digest
  295. *********************
  296.  
  297. Downloaded From P-80 International Information Systems 304-744-2253
  298.