home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.11 < prev    next >
Encoding:
Text File  |  1995-01-03  |  6.3 KB  |  147 lines
  1. VIRUS-L Digest            Wednesday, 11 Jan 1989        Volume 2 : Issue 11
  2.  
  3. Today's Topics:
  4. Re: proprietary vs pd software
  5. boot sequence (PC)
  6. VIRUS ALERT: possible virus... keywords: CBUG, WEIRD (PC)
  7.  
  8. ---------------------------------------------------------------------------
  9.  
  10. [Ed. While trying to move the editing of VIRUS-L over to a different
  11. machine today, I had a fight with the LISTSERV - it was converting my
  12. address to uppercase, and Xenix wasn't delivering the mail to me.
  13. It's possible that, during the scuffle, one or two messages to the
  14. list were lost, and/or sent back to their author(s).  If this happened
  15. to you, please resubmit your message, and I apologize.]
  16.  
  17. Date:         Wed, 11 Jan 89 13:51:35 EST
  18. From:         Neil Goldman <NG44SPEL@MIAMIU.BITNET>
  19. Subject:      Re: proprietary vs pd software
  20.  
  21. Stan Horwitz writes that Fred Cohen has determined that proprietary
  22. software is a more common source of viruses than public domain (and
  23. shareware?) software is.  This seems contrary to all the discussion I
  24. have read and participated in on this list as well as in published
  25. reports (for whatever they are worth).
  26.  
  27. I am very interested in how Dr. Cohen has determined this.
  28.  
  29. Comment?
  30.  
  31. Neil A. Goldman                        NG44SPEL@MIAMIU.BITNET
  32.  
  33. Replies, Concerns, Disagreements, and Flames expected.
  34. Mastercard, Visa, and American Express not accepted.
  35. Acknowledge-To: <NG44SPEL@MIAMIU>
  36.  
  37. ------------------------------
  38.  
  39. Date:        11 January 89, 20:00:17 +0100 (MEZ)
  40. From:        Otto Stolz         +49 7531 88 2645     RZOTTO   at DKNKURZ1
  41. Subject:     boot sequence (PC)
  42.  
  43. > When a user presses ctl-alt-del, the keyboard code in BIOS [...]
  44. > redirects interrupt vectors to their default values, then boots. A
  45. > worm sitting in memory (not a _virus_) would have to duplicate all the
  46. > machine-specific stuff for various possible machines
  47.  
  48. What if the virus (why not?), or worm, simply hooks Int 9?
  49.  
  50. Then it could fake the warm boot by resetting the interrupt vectors
  51. in a non-standard way that allowed itself to survive in memory and then
  52. jumping to the booting code.  The machine-specific stuff would only be
  53. the default values of the interrupt vectors (may be, even they are rather
  54. standard, or can be derived from the memory contents -- I don't know).
  55.  
  56. Or it could infect the disk/diskette to be booted from, and then rely
  57. on BIOS to be installed again;  the machine specific stuff would be nil,
  58. and if it was a boot-sector virus, all required subroutines would already
  59. be part of it.
  60.  
  61. Just a thought...
  62.  
  63. O, I just remember some expert told me that the Yale virus did redefine
  64. Ctrl-alt-Sequences.  Hence I guess, my thought is not so far off from
  65. what virus-inventors might consider.  So, be prepared!
  66.  
  67. Conclusion: Never, ever, warm-boot an infected computer.
  68.  
  69. Best wishes
  70.             Otto
  71.  
  72. ------------------------------
  73.  
  74. Date:         Wed, 11 Jan 89 16:04:00 EST
  75. Sender:       Virus Alert List <VALERT-L@IBM1.CC.Lehigh.Edu>
  76. From:         Michael Brown <BROWN@CMR001.BITNET>
  77. Subject:      VIRUS ALERT: possible virus... keywords: CBUG, WEIRD (PC)
  78.  
  79.     *Something a bit strange has appeared in one of our IBM PC labs.*
  80.  
  81.      One of our AT clones has a file called C:\CBUG.COM. Running CBUG.COM
  82. has the following effect: The first time the Y key is pressed, it
  83. prints the message "YOUR COMPUTER IS NOW INFECTED WITH SOME WEIRD VIRUSES",
  84. and it hangs the system. A warm boot will restore the system to normal.
  85.  
  86. I looked at the file with PCTOOLS. It is a normal .COM file with a
  87. length of 149 bytes. The message is clearly embedded in the beginning of
  88. the file. The rest of the file contains  a block of 00h then a irregular
  89. pattern of 00h 0Fh and FFh. The file is dated 1/01/80 (which is unusual,
  90. because that machine has a clock, and usually get the date right) and
  91. the machine is running PCDOS 3.3.
  92.  
  93. I checked the disk for other occurrences of the message, but it seems
  94. to only be there once.
  95.  
  96. If I cold start the system:
  97.  - run CBUG once, and type a Y, I get the message and the system hangs
  98.  - run CBUG twice, and type a Y, I get the message and the system hangs
  99.  - either time the system will warm boot
  100.  - run CBUG three times, and type a Y, I get the message, the next time
  101.    I type a Y it displays the message again and again until the fourth time
  102.    the Y key is typed, then the system hangs and I cannot do a warm boot.
  103. - - something similar happens if I run CBUG four times.
  104. - - If I run CBUG five times, the number of time before the system hangs
  105.   is irregular, but it always displays the message.
  106.  
  107. Enough said.
  108.  
  109. 1) Has anyone seen this before????
  110. 2) Any suggestions????
  111.  
  112. I am planning on working on it tonight, using the following procedure...
  113. - - Installing FSP 1.4 on the machine. (I have never used FluShot+, but from
  114.   my understanding it is reliable).
  115. - - Running all of the software packages installed on the machine to find
  116.   out if any of the programs on the hard disk call it.
  117. - - I will ask the people that used the machine in the last few days
  118.   to use all of the software (on floppies) that they used while
  119.   the machine is running under FSP.
  120. - - I am *not* sure this is a virus, but I don't understand how the
  121.   file got into the root directory of the disk, as most of the users
  122.   use the software on the hard disk or if they use floppies, it is to
  123.   play games. (There are only 3 files in c:\ , command.com, config.sys and
  124.   CBUG.COM and there are 4 subdirectories with utilities that we purchased)
  125.  
  126. I am assuming that this procedure will help me find out 1) if it is a virus,
  127. and 2) the source of the virus if such a beast exists. There is always
  128. a possiblilty of this being a prank done by someone, but I cannot see
  129. it being one of our student or staff as none of them know enough about
  130. the IBM PC to create such a program. (we are a small college of 600
  131. students with a small percentage in computer related studies).
  132.  
  133.  
  134. Thanx for your time,
  135. Any help/suggestions/flames would be appreciated.
  136. Please reply directly to me, I will summarize to the list appropriately.
  137.  
  138.                   CP6-Mail: Michael Brown @CMR
  139.                   NET-Mail: <brownm@cmr001.bitnet>
  140. Michael Brown   Snail-Mail: Service Informatique CMR, St-Jean, Que. J0J 1R0
  141.  
  142. ------------------------------
  143.  
  144. End of VIRUS-L Digest
  145. *********************
  146.  
  147. Downloaded From P-80 International Information Systems 304-744-2253
  148.