home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.121 < prev    next >
Encoding:
Text File  |  1995-01-03  |  15.4 KB  |  387 lines
  1.  
  2.  
  3. VIRUS-L Digest             Tuesday, 30 May 1989        Volume 2 : Issue 121
  4.  
  5. Today's Topics:
  6. boot sector vaccine (PC)
  7. RE: blown floppy disk (PC)
  8. New virus? (PC)
  9. Virus writing - crime?
  10. Comp.virus Submission
  11. Potential nVIR infection (Virus-L v2 i120) (Mac)
  12. Macintosh Virus forum now on FIDOnet...
  13. Summary of problem posted to VALERT-L (5/19) (Mac)
  14. Virus Maker (PC)
  15. New Virus for the PC
  16. Stop a BOOT virus at BOOT time (PC)
  17.  
  18. [Ed. The moderator is in.  Anyone out there considering a vacation -
  19. consider the Virgin Islands (imho).]
  20.  
  21. ---------------------------------------------------------------------------
  22.  
  23. Date:    Fri, 19 May 89 16:16:01 CDT
  24. From:    "Rich Winkel    UMC Math Department" <MATHRICH@UMCVMB.BITNET>
  25. Subject: boot sector vaccine (PC)
  26.  
  27. I liked Mr. Fragakis' idea of filling memory with CLI and HLT
  28. instructions, but the offsets in the boot sector which he mentioned
  29. seem to be occupied by active code on my DOS 3.3 disk, so I wrote my
  30. own patch for 3.3.  I used a different method though: when the boot
  31. sector gets control, the only other active code in the machine should
  32. be ROM code, so ALL the active interrupt vectors should be pointing
  33. into ROM.  (As far as I can see, INTs are the only way for a boot
  34. virus to get periodic, transparent control of the machine, right?)  So
  35. what the patch does is scan interrupt vectors in the range 0H to 1CH,
  36. and 40H, which point to addresses between 0 and C8000.  (If such a
  37. vector exists when the boot sector gets control, the machine is
  38. infected) If it finds such a vector, it prints the message VIRUS
  39. ALERT!! and halts the machine.  I had to rearrange some strings in the
  40. sector to get things to fit.  This has been run on two true blue IBM
  41. XT's and seems to work fine.  I'd be interested in reports from other
  42. machines, particularly the IBM AT, where the bios might set up the
  43. vector table differently at bootup.  Run the following batch file with
  44. a dos 3.3 boot disk in drive A:
  45. - --------------------
  46. rem This will patch the boot sector of a dos 3.3 disk to detect
  47. rem interrupt redirection for interrupts 0H through 1CH, and 40H.
  48. pause Be sure you have an IBM DOS 3.3 bootable diskette in A: and ...
  49.  
  50. debug < %0.bat >nul
  51. goto end
  52.  
  53. L 7C00 0 0 1
  54. A 7C00
  55. JMP 7DC0                ; JUMP TO VECTOR CHECK ROUTINE FIRST
  56.  
  57. A 7C6C
  58. JB 7CC2                 ; REDIRECT 'BOOT FAILURE' TO 'DISK BOOT ERR'
  59.  
  60. A 7D0D
  61. JB 7CC2                 ; DITTO
  62.  
  63. A 7CB5
  64. JMP 7CDA                ; BYPASS CHECK FOR 'IBMDOS COM'
  65.  
  66. A 7CAB
  67. MOV CX,6                ; REDUCE SCAN FROM 'IBMBIO COM' TO 'IBMBIO'
  68.  
  69. A 7CAE
  70. MOV SI,7DBA             ; ADJUST POINTER TO NEW POSITION OF 'IBMBIO'
  71.  
  72. E 7D77 'Disk boot error' D A 'Replace and strike a key when ready' 0
  73. E 7DAC 'VIRUS ALERT!!' 0 'IBMBIO'
  74. A 7DC0
  75. CLD                     ; SCAN FORWARD
  76. XOR SI,SI
  77. MOV DS,SI               ; DS:SI = START OF VECTOR TABLE
  78. MOV CX,1D               ; CHECK FIRST 1DH VECTORS (0H THROUGH 1CH)
  79. LODSW                   ; GET OFFSET
  80. MOV BX,AX               ; SAVE IT IN BX
  81. LODSW                   ; GET SEGMENT INTO AX
  82. OR BX,AX                ; ARE THEY BOTH 0?
  83. JZ 7DD5                 ; IF 0, GET NEXT ONE
  84. CMP AX,C800             ; CHECK SEGMENT, IS IT <C800?
  85. JB 7DEA                 ; IF <C800, IT'S BAD. PRINT MSG & LOCK UP
  86. LOOP 7DC8               ; BACK TO FIRST 'LODSW'
  87. MOV SI,100              ; POINT TO INT 40H
  88. LODSW                   ; GET OFFSET
  89. MOV BX,AX               ; SAVE IT IN BX
  90. LODSW                   ; GET SEGMENT INTO AX
  91. OR BX,AX                ; BOTH 0?
  92. JZ 7DE7                 ; IF 0, ALL'S WELL, CONTINUE WITH BOOT
  93. CMP AX,C800             ; NOT 0, IS SEGMENT <C800?
  94. JB 7DEA                 ; YES, IT'S BAD. PRINT MSG & LOCK UP
  95. JMP 7C36                ; ALL'S WELL, CONTINUE WITH BOOT
  96. MOV SI,7DAC             ; POINT TO 'VIRUS ALERT!!' WARNING AND
  97. CALL 7D32               ; PRINT IT OUT
  98. CLI                     ; HANG IT UP!
  99. HLT
  100.  
  101. W 7C00 0 0 1
  102. Q
  103.  
  104. :end
  105. - -----------------------------------
  106. Rich
  107.  
  108. ------------------------------
  109.  
  110. Date:    Sat, 20 May 1989 13:54:11  +0200
  111. From:    "UBMJS2::RMEYER"  <U0018@DGOGWDG5.BITNET>
  112. Subject: RE: blown floppy disk (PC)
  113.  
  114. >     I have a 5-1/4" floppy disk under examination for possible virus
  115. >damage, and have run into an interesting problem. The disk acts like
  116. >it is totally unformatted; neither CHKDSK, RECOVER, the Norton stuff,
  117. >or anything else seems to be able to access it. The result of this is
  118. >that I cannot see anything about what has happened to the disk. What I
  119. >need is a good pd or shareware sector editor that can get at the
  120. >absolute sectors w/o trying to read the directory (or else a
  121. >reasonably cheap commercial one), although I am not sure that will do
  122. >any good, since I cannot write to the disk (no, it is not write
  123. >protected) either.
  124.  
  125. The same happens to some of our students every year. If this happens
  126. here, it's no virus! The students don't listen to us, if we tell them
  127. how to use floppy disks. Everytime someone comes to me with an
  128. unreadable floppy, I look (with my eyes) at it and find a fingerprint
  129. of the user on the floppy.  Maybe you have the same problem
  130.  
  131. Reinhold Meyer
  132. Abt. Forstliche Biometrie u. Informatik
  133. Buesgenweg 5
  134. D-3400 Goettingen
  135. BITNET: U0018@DGOGWDG5
  136.  
  137. ------------------------------
  138.  
  139. Date:    Sat, 20 May 89 18:00:28 +0300
  140. From:    "Yuval Tal (972)-8-474592" <NYYUVAL@WEIZMANN.BITNET>
  141. Subject: New virus? (PC)
  142.  
  143. I have worked with a program that uses the graphic mode of my EGA.
  144. After some time the picture started to move to all the directions...
  145. Did anyone have heared about this virus (if it is one...)?
  146.  
  147. Yuval
  148.  
  149. - -------------------------------------------------------------------------
  150. Yuval Tal                             Home phone: +972-8-474592
  151. The Weizmann Institute Of Science
  152. Rehovot, Israel                       "Only fools are quoted" - Anonymous
  153. - -------------------------------------------------------------------------
  154. Acknowledge-To: <NYYUVAL@WEIZMANN>
  155.  
  156. ------------------------------
  157.  
  158. Date:    Sat, 20 May 89 18:06:35 +0300
  159. From:    Nir Zuk <NYZUK@WEIZMANN.BITNET>
  160. Subject: Virus writing - crime?
  161.  
  162. I am new on this discussion and i think that the topic that i am
  163. discussing have probly discussed before.
  164.  
  165. My question is if virus writing is a crime. I have thought of this
  166. question a lot. At the begining i thought that it must be a crime
  167. because people write this program in order to erase data to other
  168. people but then i thought that if you do not copy diskettes you do not
  169. have viruses. Diskette copying is a crime, ofcourse, so virus writing
  170. is not a crime because people wouldn't had them unless they copy
  171. diskettes.
  172.  
  173. Does any one know the law aspects about this matter?
  174.  
  175. Feel free to answer!
  176.  
  177. ------------------------------
  178.  
  179. Date:    Mon, 22 May 89 08:50:05 EDT
  180. From:    kweeder@sun.soe.clarkson.edu
  181. Subject: Comp.virus Submission
  182.  
  183. Call For Discussion:  The Usenet Virus Handbook  (With apologies to the
  184.                                              mailing list people, please
  185.                                              feel free to join in.)
  186.  
  187. With the advent of comp.virus and the establishment of virus tool
  188. archives, I think it appropriate to organize a Handbook from
  189. information available from the network.  The goal I have in mind is to
  190. provide a *one-stop* source on what a virus (or trojan horse, etc.)
  191. is, how they work and spread, and what can be done to prevent
  192. infection and/or cure infections.  I don't have the virus guru's who
  193. read this group in mind, but rather the average user who needs to be
  194. educated if virii and other nasties are ever to be snuffed out.
  195.  
  196. Much of the information to accomplish this is already out there
  197. (pointing to the info that Norstad et al. supplies with Disinfectant
  198. and the virus 101 series as examples).  Thus, what I propose is to
  199. form an editor *staff* to accumulate and organize the information and
  200. keep it upto date.  My current concept is to have a general guide
  201. (which sticks to general information) and then a number of supplements
  202. each covering a different computing system.  This way, an interested
  203. party can get the general guide and the particular supplement he/she
  204. desires.  This information can then be carried in archives for easy
  205. access.
  206.  
  207. The get the ball rolling, here are some discussion questions (besides
  208. the obvious this is a good/bad idea one):
  209.  
  210. (1) How much information should be provided in the general guide?
  211. Many users haven't the slightest idea what is a boot sector or what
  212. use is ResEdit.  Perhaps the general section should have three
  213. chapters: Beginner, Advanced, and a Secret chapter distributed only to
  214. trusted individuals (although I suspect the latter one already
  215. exists!).
  216.  
  217. (2) How best do we handle duplicate effort?  I would like any person
  218. who can contribute to participate and I wouldn't want to put anyone in
  219. the position of having to decide that X is preferable over Y.  We'll
  220. need an equitable way to deal deserving people into the action.
  221.  
  222. (3) How do we assemble the editor staff?  Certainly, some of the
  223. people who are now writing/collection things are natural choices (but
  224. it's not my place to volunteer their time).  I think we should take
  225. volunteers and then settle any races preferably by discussion or by
  226. vote.
  227.  
  228. (4) How much staff do we need?  One or two for each supplement? One
  229. for each general chapter? Should we have a chief editor or two to
  230. oversee the whole effort and help to assure that project goals are
  231. being met?  How about a temporary peer review group to evaluate each
  232. section as the guide is being built for the first time?
  233.  
  234. (5) How about a different name for the effort?
  235.  
  236. Since a moderated group isn't the most convienent for this discussion,
  237. can anyone suggest a group we could use (invade) to hash-out these
  238. details to assemble a formal proposal?
  239.  
  240. I would appreciate some feedback (if you want to comment on my genetic
  241. or moral backgroud, fine but please use e-mail :-) ).
  242.  
  243. Jim Kweeder
  244. kweeder@sun.soe.clarkson.edu
  245.  
  246. ------------------------------
  247.  
  248. Date:    Mon, 22 May 89 11:52:50 EDT
  249. From:    dmg@mwunix.mitre.org
  250. Subject: Potential nVIR infection (Virus-L v2 i120) (Mac)
  251.  
  252. Sounds more like the disk dropped a few bits rather than a virus
  253. infection Gregg.
  254.  
  255. (not =)VIR is a resource added to a Desktop file by Woodhead's
  256. Interferon application.  It is nothing to worry about.
  257.  
  258. David Gursky
  259. Member of the Technical Staff, W-143
  260. Special Projects Department
  261. The MITRE Corporation
  262.  
  263. ------------------------------
  264.  
  265. Date:    Mon, 22 May 89 15:28:22 EDT
  266. From:    dmg@mwunix.mitre.org
  267. Subject: Macintosh Virus forum now on FIDOnet...
  268.  
  269. Garner Miller has started a Macintosh Virus forum over FIDOnet called
  270. "MacVIR".  If you use a FIDOnet BBS, you may wish to ask the Sysop to
  271. pick up this conference (I do not believe it is on the FIDO backbone
  272. yet; if enough people ask for it though, the backbone will pick it up
  273. though).
  274.  
  275. This does not constitute an endorsement of anything or anyone.
  276.  
  277. ------------------------------
  278.  
  279. From:    gateh@conncoll.bitnet
  280. Date:    Fri, 26 May 89 13:23:39 edt
  281. Subject: Summary of problem posted to VALERT-L (5/19) (Mac)
  282.  
  283. I posted to VALERT-L on Friday, May 19, concerning a possible Mac virus
  284. problem.
  285.  
  286. First I'd like to thank all those who responded - your suggestions
  287. were helpful.  At this point I think it is safe to say that my problem
  288. was generated by a legitimate disk error, and that there was no virus
  289. activity involved.  While I still do not understand the events fully,
  290. I cannot reproduce any of the activity, and so it would appear that
  291. they were isolated and not the result of execution of code.  I will,
  292. however, keep a close eye on these machines for any indication of
  293. unusual activity.
  294.  
  295. If anyone is interested in a more detailed description of my problems,
  296. please feel free to write.  Once again, thanks for the help.  - Gregg
  297.  
  298. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*
  299. Gregg TeHennepe                  | Academic Computing and User Services
  300. Minicomputer Specialist          | Box 5482
  301. BITNET:  gateh@conncoll          | Connecticut College
  302. Phone:   (203) 447-7681          | New London, CT   06320
  303.  
  304. ------------------------------
  305.  
  306. Date:         Sat, 27 May 89 15:31:03 +0300
  307. From:         "Yuval Tal (972)-8-474592" <NYYUVAL@WEIZMANN.BITNET>
  308. Subject:      Virus Maker (PC)
  309.  
  310. I was shocked when a friend of mine gave me a diskette for the IBM PC
  311. which contains a Virus Maker! I examined the program and this is what
  312. it does: It knows four types of viruses and then, it asks you to
  313. insert a diskette and it will put one of the viruses (the one you
  314. tells her), on you diskette.
  315.  
  316. Did anyone see this kind of program before?? I didn't!
  317.  
  318. Yuval Tal
  319.  
  320. - -------------------------------------------------------------------------
  321. Yuval Tal                             Home phone: +972-8-474592
  322. The Weizmann Institute Of Science
  323. Rehovot, Israel                       "Only fools are quoted" - Anonymous
  324. - -------------------------------------------------------------------------
  325. Acknowledge-To: <NYYUVAL@WEIZMANN>
  326.  
  327. ------------------------------
  328.  
  329. Date:    Sat, 27 May 89 15:35:37 +0300
  330. From:    "Yuval Tal (972)-8-474592" <NYYUVAL@WEIZMANN.BITNET>
  331. Subject: New Virus for the PC
  332.  
  333. Another new virus....
  334.  
  335. This time as far as i understand it doesn't upload it self on a hard disk
  336. but it does load it-self on floppy disks.
  337.  
  338. The thing that you see on the screen it simple....when you work in
  339. text mode, every 5 seconds (something like that), one letter falls
  340. from the screen and a blank character it written instead of her.
  341.  
  342. I made a small research about this virus and it turned out that the
  343. boot record of the diskette with the virus on it, was chnged. The
  344. first JMP command in the boot-record was changed to something else.
  345. This virus marks track 39 sector 8 as bad (it stores the virus there).
  346.  
  347. Has any-one ever seen or heard of this virus?
  348.  
  349. Yuval Tal
  350.  
  351. - -------------------------------------------------------------------------
  352. Yuval Tal                             Home phone: +972-8-474592
  353. The Weizmann Institute Of Science
  354. Rehovot, Israel                       "Only fools are quoted" - Anonymous
  355. - -------------------------------------------------------------------------
  356. Acknowledge-To: <NYYUVAL@WEIZMANN>
  357.  
  358. ------------------------------
  359.  
  360. Date:    Tue, 30 May 1989 00:39:44 EDT
  361. From:    Steve <XRAYSROK@SBCCVM.BITNET>
  362. Subject: Stop a BOOT virus at BOOT time (PC)
  363.  
  364. I just want to correct my recent comments concerning Stanley
  365. Fragakis's alteration of the boot program to stop a boot virus at boot
  366. time by overwriting everything in RAM (except the boot program
  367. itself).  I have actually tried the alterations on a couple floppies
  368. and they seem to work fine (i.e. they do not interfere with normal
  369. operation of the computer).  If the floppy is not a system disk and
  370. you try to boot from it, the computer does not die and you do get the
  371. standard error message, contrary to my previous comment.  Also, the
  372. alterations should work fine with system disks (The boot program
  373. overwrites memory prior to loading the operating system into memory,
  374. so there is no problem).
  375.  
  376. Steven C. Woronick     | Disclaimer:  These are my own opinions.
  377. Physics Dept.          |              Check it out for yourself!
  378. SUNY at Stony Brook    |
  379. Stony Brook, NY  11794 |
  380. Acknowledge-To: <XRAYSROK@SBCCVM>
  381.  
  382. ------------------------------
  383.  
  384. End of VIRUS-L Digest
  385. *********************
  386.  
  387. Downloaded From P-80 International Information Systems 304-744-2253
  388.