home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.116 < prev    next >
Encoding:
Text File  |  1995-01-03  |  11.9 KB  |  241 lines
  1. VIRUS-L Digest             Tuesday, 16 May 1989        Volume 2 : Issue 116
  2.  
  3. Today's Topics:
  4. "Virus-Proof" PC - an oxymoron?
  5. Certus (PC) disagreement
  6. Comment on Stop a BOOT virus at boot time (PC)
  7. Certus (PC)
  8. PC Virus List
  9.  
  10. ---------------------------------------------------------------------------
  11.  
  12. Date:    Mon, 15 May 89 10:26:04 EDT
  13. From:    luken@ubu.cc.lehigh.edu (Kenneth R. van Wyk)
  14. Subject: "Virus-Proof" PC - an oxymoron?
  15.  
  16. I just saw this in the May 1989 Byte magazine (page 65):
  17.  
  18. "The Immune System, a DOS-based 80286 computer, is designed for
  19. security by one of the largest computer security companies in the
  20. nation.
  21.  
  22. Along with some things you'd expect on a standard clone, such as 1 Mb
  23. of RAM, a 1.2 Mb 5 1/4 inch floppy disk drive, and a 40 Mb hard disk
  24. drive, there's a 'virus-proof' feature that keeps unauthorized .EXE
  25. and .COM files from entering or running on the system.
  26.  
  27. There's also a modem package that purports to secure and encrypt
  28. real-time conversations, as well as provide a system-use audit trail,
  29. a system-access audit trail, and nearly 25 more security features.
  30. American Computer Security Industries has even gone so far as to
  31. secure the clock so only specified users can set or change the time."
  32.  
  33. Sounds like quite a claim.  Anyone have any more specific information
  34. or comments?
  35.  
  36. Ken
  37.  
  38. ------------------------------
  39.  
  40. Date:    Mon, 15 May 89 13:42:52 EDT
  41. From:    "W. K. (Bill) Gorman" <34AEJ7D@CMUVM.BITNET>
  42. Subject: Certus (PC) disagreement
  43.  
  44. Disagree? With what? I reported precisely what happened when this
  45. routine was evaluated here. One installation went flawlessly, the
  46. next produced the events previously reported. I am certainly glad
  47. to hear of the experiences of others with this package - but since
  48. I was not with tham at the time, I cannot "disagree" with their re-
  49. sults any more than they can "disagree" with mine. We each report
  50. the results of our investigations, be they convergent or divergent,
  51. according to our perceptions at the time. :-)
  52. ^^^^^^^^^ ^^ ^^^ ^^^^^^^^^^^ ^^ ^^^ ^^^^
  53. .........................................................................
  54. |W. K. "Bill" Gorman                              Foust Hall # 5        |
  55. |PROFS System Administrator   E-Mail & Message    Computer Services     |
  56. |Central Michigan University Encryption/Security  Mt. Pleasant, MI 48859|
  57. |34AEJ7D@CMUVM.BITNET       Virus Countermeasures (517) 774-3183        |
  58. |_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_|
  59. These comments reflect personal opinions held at the time this was written.
  60. Copyright (C) 1989 W. K. Gorman. All rights reserved.
  61.  
  62. ------------------------------
  63.  
  64. Date:    Mon, 15 May 1989 13:47:12 EDT
  65. From:    Steven C. Woronick <XRAYSROK@SBCCVM.BITNET>
  66. Subject: Comment on Stop a BOOT virus at boot time (PC)
  67.  
  68.    Stanley Fragakis suggests altering boot sectors so that the boot
  69. program over-writes everything in memory with F4FA, but this of course
  70. kills the machine, should you attempt to boot from such a disk(ette).
  71. So I must assume that the intention is to do this only to non-system
  72. diskettes which nobody in their right mind would want to boot from
  73. anyway (although some of us try).  Hence, the penalty for trying to
  74. boot a non-system diskette is no longer the usual message, but a
  75. (temporarily) dead computer which must be powered down and back up
  76. again.  Of course, going through this a few times ought to be good
  77. memory-training for remembering to remove non-system diskettes before
  78. re-booting (ironically, if you remembered not to do this, all the
  79. time, then it would be entirely unnecessary).  I don't however
  80. understand the concern over halting the PC in a proper manner if it's
  81. dead anyway.  Correct me if I'm wrong.
  82.  
  83. Steven C. Woronick     | Disclaimer:  These are my own opinions.
  84. Physics Dept.          |              Check it out for yourself!
  85. SUNY at Stony Brook    |
  86. Stony Brook, NY  11794 |
  87. Acknowledge-To: <XRAYSROK@SBCCVM>
  88.  
  89. ------------------------------
  90.  
  91. Date:    Mon, 15 May 89 16:29 EDT
  92. From:    "J. D. Abolins" <OJA@NCCIBM1.BITNET>
  93. Subject: Certus (PC)
  94.  
  95. While I have not tested FoudationWare's CERTUS package, I have tested
  96. two versions of its predecessors (VACCINE and CORPORATE VACCINE).
  97.  
  98. With each version improvements were definitely made. When I tested
  99. VACCINE, I had it crash during installation due to insufficient disk
  100. space. When that happens, one cannot move forward nor backwards, so to
  101. say. Regular software will not run because VACCINE has not approved it
  102. and VACCINE could not be uninstall using its uninstall utility unless
  103. it was properly installed. In CORPORATE VACCINE, the manual addresses
  104. this and other problems.
  105.  
  106. My overall impression of FoundationWare's products is that they are
  107. dealing with various methods of protection (fine) but they are very
  108. strict and require much "fine-tuning". They are best used on systems
  109. that need the special security feautures, that are intended for
  110. limited functionality (a word processing/database workstation) and
  111. that are stable (not undergoing constant change).
  112.  
  113. NOTE: This is my last week at this ID. I am transferring to another
  114. position, one that doesn't entail working with NCC. Although I may
  115. have an alternate BITNET access later on, little is known now. Should
  116. anybody need ot contact me-
  117.  
  118. By post: J. D. Abolins
  119.          301 N. Harrison Street; # 197
  120.          Princeton, NJ 08540
  121. By phone: (609) 448-7814
  122. By BITNET via Ralph Mortensen:  RMX@NCCIBM1
  123. Thank you.
  124.  
  125. ------------------------------
  126.  
  127. Date:    Tue,  16 May 89 15:08:24 +0300
  128. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
  129. Subject: PC Virus List
  130.  
  131.   With the exponential increase in the frequency of new PC virus re-
  132. ports, I've come to feel that I'm getting lost without a catalog of
  133. such viruses.  Evidently several others have felt the same way, for
  134. they have prepared, or are in the process of preparing, catalogs which
  135. include descriptions of each of the viruses.  My goal is more modest:
  136. to simply *list* them.  And that's far from easy considering that
  137. lately I hear of at least one new virus every week (and, of course,
  138. there may be many which I haven't heard of).  Anyway, here's what I've
  139. got so far, arranged in (hopefully) chronological order.
  140.  
  141.                          PC-DOS/MS-DOS Viruses
  142.                          =====================
  143.  
  144.                                 Min # of
  145.     Names                       Strains  Type         First Appearance
  146.     -----                       -------  ----         ----------------
  147.  1. Brain, Pakistani                  7  Boot sector         Jan  86
  148.  2. Merritt, Alameda, Yale            7  Boot sector         Apr? 87
  149.  3. South African, Friday 13th        2  COM D                    87
  150.  4. Lehigh                            2  COMMAND.COM         Nov  87
  151.  5. Vienna, Austrian                  2  COM D 648           Dec? 87
  152.  6. Israeli, Friday-13, Jerusalem     9  COM/EXE R 1813/1808 Dec  87
  153.  7. April-1-Com                       1  COM R 897           Jan  88
  154.  8. April-1-Exe                       1  EXE R 1488          Jan  88
  155.  9. Ping-Pong, Bouncing-Ball, Italian 2  Boot sector         Mar  88
  156. 10. Dos-62, Unesco                    2  COM D               Apr  88
  157. 11. Marijuana, Stoned, New Zealand,   2  Boot sector;       Early 88
  158.                            Australian    partition record on hard disk
  159. 12. Cascade, Autumn, Blackjack        6  COM R 1701/1704  Sep 88 (87?)
  160. 13. Agiplan                           1  COM 1536            Oct  88
  161. 14. Oropax, Music                     1  COM RD 2756 to 2806 Feb  89
  162. 15. Venezuelan, Den Zuk, Search       6  Boot sector        Early 89?
  163. 16. dBASE                             1  COM/EXE R           Mar  89
  164. 17. DataCrime                         2? COM D 1168 (1280?)  Mar  89
  165. 18. Missouri                          1  ?                   Apr  89
  166. 19. Nichols                           2? Boot sector             ?
  167. 20. 405                               1  COM DO 405          Apr? 89
  168.                                      --
  169. Total # of strains                   58
  170.  
  171. Notes:
  172.   1. In the "Type" column, "COM" or "EXE" indicates the type of files
  173. infected.  "R" stands for "resident", meaning that when an infected
  174. program is run the virus makes itself RAM-resident (hooking one or
  175. more interrupts); usually such a virus infects each subsequently
  176. executed program (of the appropriate type, e.g. COM files). "D" stands
  177. for "direct", meaning that it searches the disk for an uninfected file
  178. and infects it; normally such a virus does not stay resident.  (How-
  179. ever, it is possible for a virus to be both resident and direct in
  180. this sense, as in the case of the Oropax.)  "O" indicates that the
  181. virus overwrites the beginning of the file instead of appending or
  182. prepending itself to it.  The number(s) after the "R" or "D" indicate
  183. the number of bytes by which the virus extends files which it infects;
  184. the number after the "O" is the number of bytes overwritten.
  185.   2. I include only those viruses which have spread publicly, as
  186. opposed to localized test viruses (of which there may be hundreds).
  187.   3. Questionable cases: (a) Although I have included the dBASE virus
  188. reported by Ross Greenberg, Jim Goodwin claims that it does not repli-
  189. cate and hence is not a virus.  But it's possible that Jim and Ross
  190. are talking about two different things.  (b) Similarly, I have heard
  191. of spreadsheet viruses which occasionally change a value by a small
  192. amount, but I have not included them in the table.  Jim says that the
  193. Lotus 123 virus does not replicate either, but again it's possible
  194. that he's speaking of something else.
  195.  
  196.   A difficult question is when to say that two given viruses are
  197. (a) distinct viruses, (b) different strains of the same virus, or (c)
  198. the same strain of the same virus.  I have adopted the following rule:
  199. If one virus has apparently been obtained from the other by improving
  200. the code in some sense, then we have case (b).  If the code is the
  201. same, and the only differences are messages or other strings, then we
  202. have case (c).  However, if something which makes a more important
  203. difference in the behavior, such as the target date or the triggering
  204. value of the number of infections, has been changed, then I classify
  205. it as case (b).  Otherwise (i.e. if the code is significantly differ-
  206. ent), we have case (a).
  207.  
  208.   I'm sure there will be disagreements with my table on certain points,
  209. particularly the dates.  In any case, corrections and additions are
  210. welcome.  (Please send your corrections directly to me; I'll post an
  211. updated version of this table whenever the need arises.)
  212.  
  213.   For those interested in descriptions of these viruses, 11 of them
  214. are described in Jim Goodwin's catalog.  (He says that his catalog
  215. describes 48 viruses, but he is counting each strain of each virus
  216. separately.)  Dave Ferbrache has rearranged Jim's catalog so that all
  217. strains of the same virus are grouped together.  He has also added a
  218. few more viruses and made the resulting document available on the
  219. Heriot-Watt server.
  220.   There are several additional catalogs in existence or in prepara-
  221. tion.  One is currently being prepared by the Virus Test Center at the
  222. Univ. of Hamburg under the direction of Prof. Klaus Brunnstein.  An-
  223. other is being prepared by David Ferbrache (his will include algo-
  224. rithms or pseudo-code for each of the viruses).
  225.  
  226.   Finally, acknowledgments:  Since I have only 7 viruses in my posses-
  227. sion at present, I have obviously had to draw on information provided
  228. by others.  Postings in VIRUS-L are too numerous to mention individual
  229. names, but among those who have corresponded with me personally, I
  230. would like to thank Dave Ferbrache, Alan Solomon, Klaus Brunnstein,
  231. Bernd Fix, and Otto Stolz.
  232.  
  233.                                            Y. Radai
  234.                                            Hebrew Univ. of Jerusalem
  235.  
  236. ------------------------------
  237.  
  238. End of VIRUS-L Digest
  239. *********************
  240.  
  241. Downloaded From P-80 International Information Systems 304-744-2253
  242.