home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.13 < prev    next >
Encoding:
Text File  |  1995-01-03  |  7.8 KB  |  177 lines
  1. VIRUS-L Digest              Friday, 13 Jan 1989         Volume 2 : Issue 13
  2.  
  3. Today's Topics:
  4. Re: cbug (PC)
  5. encrypting code.
  6. nVIR in European beta of MS Word 4 (confirmation) (Mac)
  7. How a worm/virus can trap ctl-alt-del (PC)
  8.  
  9. ---------------------------------------------------------------------------
  10.  
  11. Date:         Thu, 12 Jan 89 09:21:57 EST
  12. From:         "Homer W. Smith" <CTM@CORNELLC.BITNET>
  13. Subject:      Re: cbug (PC)
  14.  
  15. The 1.1.80 date on the cbug is the default date on a pc without its
  16. time/date stamp set.  If you never set them that is what they come up
  17. as.
  18.  
  19. ------------------------------
  20.  
  21. Date:         Thu, 12 Jan 89 09:23:45 EST
  22. From:         "Homer W. Smith" <CTM@CORNELLC.BITNET>
  23. Subject:      encrypting code.
  24.  
  25.      I have read an interesting article in a magazine called Reality
  26. Hackers.  It is very drug and counter culture oriented, trying to give
  27. these things respectability, but it had a good article on viruses.
  28. (What the hell does CYBER mean anyhow!)
  29.  
  30.      One of the things it said that might be done to protect programs
  31. from viruses is to make the operating system store all programs in a
  32. scrambled state (encryption).  Then just before running them, decrypt
  33. them.
  34.  
  35.      When and if a virus attaches to an encrypted program, it will get
  36. scrambled when the program is decrypted and cause a crash.
  37.  
  38.      Seems like a very very good idea.  How say you all?
  39.  
  40. ------------------------------
  41.  
  42. Date:     Thu, 12 Jan 89 11:35 EST
  43. From:     JEFF WASILKO--MEMBER OF PRINTER'S DEVILS-LOCAL #47
  44.           <JJW7384@RITVAX.BITNET>
  45. Subject:  nVIR in European beta of MS Word 4 (confirmation) (Mac)
  46.  
  47. The following is being forwarded from the Mac-User distribution list
  48. in Europe.  It is a confirmation (although by the same person who
  49. reported it initially).
  50.  
  51. - ----------------------cut here--------------------------------
  52. Date: Thu, 12 Jan 89 11:04:49 GMT
  53. From: UDUS010@OAK.CC.KCL.AC.UK
  54. Subject: Confirmation of nVIR infection
  55. Sender: EARN Macintosh Users List <MAC-USER@IRLEARN.BITNET>
  56.  
  57. I received confirmation from Text 100 (Microsoft's publicity people in
  58. the UK) that Microsoft's own machine has been infected by nVIR!  Would
  59. anyone who has received a beta copy of WORD 4 (Version 4b10) please
  60. check that they have not infected their systems? it appears that not
  61. all copies were infected for some reason... so don't panic until you
  62. know for sure!  Meanwhile if anyone has Vaccine ine their System
  63. folder and a program either hangs up on loading, or causes the machine
  64. to do a full 'BOMB' with dialog box then suspect nVIR immediately!
  65. Vaccine does not give it's standard report for an attempted infection
  66. by nVIR, but don't ignore what it is doing its best to report!  David
  67. Riddle Editor "Wheels for the Mind (UK)" King's College London
  68.  
  69. - --------------------------------end of forwarded message---------------------
  70. -
  71.  
  72. forwarded by:
  73.  
  74. Jeff Wasilko
  75. BITNET:     jjw7384@ritvax
  76. INTERNET:   jjw7384%ritvax.bitnet@cunyvm.cuny.edu
  77. UUCP:       {psuvax1, mcvax}!ritvax.bitnet!JJW7384
  78. Disclaimer: Nobody ever cares what I say...
  79.  
  80. ------------------------------
  81.  
  82. Date:     Thu, 12 Jan 89 23:56 EST
  83. From:     Dimitri Vulis <DLV@CUNYVMS1.BITNET>
  84. Subject:  How a worm/virus can trap ctl-alt-del (PC)
  85.  
  86. >Date:        11 January 89, 20:00:17 +0100 (MEZ)
  87. >From:        Otto Stolz         +49 7531 88 2645     RZOTTO   at DKNKURZ1
  88. >> When a user presses ctl-alt-del, the keyboard code in BIOS [...]
  89. >> redirects interrupt vectors to their default values, then boots. A
  90. >> worm sitting in memory (not a _virus_) would have to duplicate all the
  91. >> machine-specific stuff for various possible machines
  92. >
  93. >What if ... the worm... simply hooks Int 9?
  94.  
  95. Intercepting ctl-alt-del without intercepting INT 9 would be rather hard :)
  96.  
  97. Here's another technical explanation:
  98.  
  99. When a key is hit or released (on an IBM PC or compatible), the
  100. hardware sends an INT 9 to the CPU (I will skip the IRQs, since it's
  101. not relevant). The CPU saves its current instruction pointer on stack
  102. and loads the new one from [4*9]. (Normally, this points to a routine
  103. in ROM BIOS; in some version of DOS intercept this for `stack
  104. management', also many TSRs intercept this interrupt to look for hot
  105. keys; eventually, the control passes to ROM BIOS, or its equivalent
  106. from KEYBxx). The BIOS routine INs a certain port to obtain a 'scan
  107. code' of the key that triggered the interrupt (the scan code has
  108. nothing to do with the ASCII code). If the high bit is set, it's a
  109. break, else it's a make; thus, no more than 128 distinct scan codes
  110. are possible.
  111.  
  112. The code then analyses what `kind' of key this was. Lots of logic is
  113. involved here. For example, shift-like keys, like shift, ctrl, alt
  114. don't put anything into the keyboard buffer, but set/reset certain
  115. bits; caps/num/scroll lock toggle other bits; for other keys, like 'A'
  116. or '8', these bits are examined to see if one should queue, e.g. upper
  117. or lower case 'a', or '8' or '*'.  Everything is done in the software,
  118. and this approach is highly felxible. One can redefine all the keys,
  119. or replace the entire keyboard code with ease. The location of these
  120. bits (set and reset by the software, I should emphasise) is pretty
  121. standard in all BIOSes. When Ins, Del, or a function key scan code is
  122. encountered, the BIOS queues a special code which the application
  123. program interprets as it wishes. However, there's a special check on
  124. Del key: if the 2 bits for Ctrl and Alt are on (indicating those keys
  125. are pressed), the control is passed (via a jump, so this cannot be
  126. hooked) to the reset code. Now, it's trivial to write code to trap
  127. ctl-alt-del and e.g. to inhibit warm boot. I was tempted to write it
  128. and post it, but it's not worth the trouble, I guess.
  129.  
  130. >Then it could fake the warm boot by resetting the interrupt vectors
  131. >in a non-standard way that allowed itself to survive in memory and then
  132. >jumping to the booting code.  The machine-specific stuff would only be
  133. >the default values of the interrupt vectors (may be, even they are rather
  134. >standard, or can be derived from the memory contents -- I don't know).
  135.  
  136. Here's where Otto is dead wrong.  The default interrupt vector values
  137. are, surprisingly, pretty standard across most BIOSes; what you see is
  138. some code, a jump around a 'standard' entry point, and a jump from
  139. there to the relevant routine kilobytes away.
  140.  
  141. However, I encourage Otto to get hold of (any) Technical Reference
  142. Manual with a BIOS listing and to see what `machine-specific code in
  143. reset' is, or to re-read my previous posting about the boot sequence.
  144.  
  145. Certainly, if you are planning to affect a very specific
  146. model/manufacturer (and this makes sense in a college micro lab, with
  147. tens of identical machines), you can copy the machine-specific stuff
  148. from the BIOS and reset the interrupt vectors (modulo the ones you
  149. want, like 13 and 9 then) to their default BIOS values. I guess the
  150. only way around it is to 1) avoid machines without a reset button, 2)
  151. cold boot if you use a machine after someone (what I do, if I have
  152. to).
  153.  
  154. >Or it could infect the disk/diskette to be booted from, and then rely
  155. >on BIOS to be installed again;  the machine specific stuff would be nil,
  156. >and if it was a boot-sector virus, all required subroutines would already
  157. >be part of it.
  158.  
  159. This is certainly very feasible, except that a disk access immediately
  160. after ctl-alt-del is pressed would look very suspicious. In fact,
  161. Brain should have had this feature. Of course, write-protecting the
  162. disk you boot from would prevent the infection, as usual.
  163.  
  164. (I hope I am not too hard on Otto---I do not wish to offend him, but I
  165. do wish to express my strong disapproval of people who represent their
  166. fantasies, conjectures and assumptions as facts. This is not a flame.)
  167.  
  168. - -Dimitri
  169.  
  170. ------------------------------
  171.  
  172. End of VIRUS-L Digest
  173. *********************
  174.  
  175.  
  176.  
  177. Downloaded From P-80 International Information Systems 304-744-2253
  178.