home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.140 < prev    next >
Encoding:
Text File  |  1995-01-03  |  13.8 KB  |  327 lines
  1. VIRUS-L Digest             Tuesday, 20 Jun 1989        Volume 2 : Issue 140
  2.  
  3. Today's Topics:
  4. Re: The strange story of the WordPerfect virus (PC)
  5. More on the WordPerfect Virus [PC]
  6. virus spreading modes
  7. Virus policy
  8. Mainframe Vulnerability
  9. Large computer problems...
  10. Saveinfo.exe (PC)
  11. Robert T. Morris suspended from Cornell
  12.  
  13. ---------------------------------------------------------------------------
  14.  
  15. Date:    Fri, 16 Jun 89 12:34:07 PDT
  16. From:    Rob Dixon <robd%jumbo.wv.tek.com@RELAY.CS.NET>
  17. Subject: Re: The strange story of the WordPerfect virus (PC)
  18.  
  19. Greetings Mr. Radai,
  20.  
  21. I would greatly appreciate a copy of your UnVirus routine in uuencode
  22. format. While we have not absolutly identified an infection, we do
  23. seem to have some of the anomolys you documented.
  24.  
  25.  
  26. Best regards,
  27.  
  28. Robert Dixon
  29. robd@orca.WV.TEK.COM
  30. [503]685-2811
  31.  
  32. ------------------------------
  33.  
  34. Date:    Fri, 16 Jun 89 23:00 EST
  35. From:    Ron Kiener <RKIENER@TRINCC.BITNET>
  36. Subject: More on the WordPerfect Virus [PC]
  37.  
  38. I today received the following message from Israel concerning the reported
  39. WordPerfect virus.  This letter is in response to the original VALERT
  40. message which I passed on to friends in Israel.  The following message
  41. includes instructions for using UNVIRUS.EXE.
  42. Here is the message:
  43.  
  44. > Date: Fri, 16 Jun 89 19:22:01 IST
  45. > From: Shlomo <BIDERMAN@TAUNIVM.BITNET>
  46. > Subject: Virus
  47. >
  48. > Dear Ron,
  49. > Yoav sent me your Virus-letters. I read it and had a good laugh:
  50. > almost half of the pc users in our advanced country have encountered
  51. > the described virus more than 6 months ago (I had it too!!). And a
  52. > remedy was found by two wizards from Jerusalem. I am sending it
  53. > to you. It is called UNVIRUS.EXE. This is what you should do:
  54. >
  55. > 1) Put it on a *floppy* (NOT on HD), together with Command.Com (i.e.,
  56. > the DOS system)
  57. > 2) Boot up your pc with the Diskette (Don't write-protect it, since
  58. > UNVIRUS.EXE creates a temporary file while operating)
  59. > 3) Type
  60. >
  61. > unvirus c:<cr>
  62. >
  63. > 4) And boom ... out went the virus!!
  64. > The program is free of charge, as you can see in the introduction
  65. > Bye.  Shlomo
  66.  
  67. Since I know nothing about viruses, and a bit about WordPerfect, I cannot
  68. vouch for the UNVIRUS program.  I did decode it and run it according to
  69. instructions, but since I do not have the virus, the UNVIRUS program
  70. reported my hard drive was clean.  During operation, I noted that the
  71. UNVIRUS program examined all subdirectories of my drive and quickly
  72. flashed through all .EXE files.
  73. In a separate file I am also posting the UNVIRUS.UUE file which I received
  74. from my friend at Tel Aviv University, a user of WordPerfect 4.2.  He is
  75. also not a virus "maven." I take no responsibility for the outcome of
  76. UNVIRUS.EXE, but I do hope it solves this problem.
  77.  
  78. Ronald Kiener                                RKIENER@TRINCC.BITNET
  79. Trinity College, Hartford, CT
  80.  
  81. ------------------------------
  82.  
  83. Date: Sat, 17 Jun 89  10:50:06 CST
  84. From: Acrc014@UNLCDC3
  85. Subject: virus spreading modes
  86.  
  87.   This is my first posting on VIRUS-L and these are some of my scattered
  88. thoughts.  They may have been discusses before, but I have not read all
  89. of the back issues as of yet.
  90.   The Trojan horse approach can be triggered by dates.  Has there ever
  91. been one that activated by finding a seperate program.
  92. An example of this would be a GIF shower triggered by a certain GIF
  93. picture.
  94.   Has there ever been code written so that the same effect (harmful or not)
  95. appeared on more then one type of machine (I know it would take different
  96. programs).  There has been discussion of hos >[Dw
  97. a software company would "never" write a virus to be activated by a
  98. competitor's program.  This I agree with, but with the reservation
  99. that an individual might try and duplicate the effect.  If they were
  100. ambitious and knowledgable, they could try and do it on a program that
  101. had become popular enough to spread across machine boundaries.
  102.   On the issue of legality, how vulnerable are the people who put up
  103. technical information about bugs in systems.  A hacker (virus writer)
  104. might by hard to find and prosecute.  But if a virus is based on such
  105. information, the source author would be east to find (easy to find).
  106.  
  107. ------------------------------
  108.  
  109. Date:    Mon, 19 Jun 89 09:59:38 EST
  110. From:    Margie Rogis <MDR100T@ODUVM.BITNET>
  111. Subject: Virus policy
  112.  
  113. Here at Old Dominion University, our internal auditors have asked that a
  114. virus policy be adopted.  We are forming a working group, composed of a
  115. mainframe systems person, pc/lab person, and academic services person.
  116.  
  117. I joined this list in the hopes of learning from those who have gone
  118. before!  I am seeking any advice, or policies set up by other
  119. institutions which could help us define our own.
  120.  
  121. I suppose we would like to address prevention, detection, and recovery, as
  122. well as procedures for dealing with anyone caught trying to infect any
  123. of our systems.
  124.  
  125. Any responses would be GREATLY appreciated.
  126.  
  127. ------------------------------
  128.  
  129. Date:  Mon, 19 Jun 89 10:55 EDT
  130. From:  WHMurray@DOCKMASTER.ARPA
  131. Subject:  Mainframe Vulnerability
  132.  
  133. >  He [Harold Joseph Highland] indicated large systems could be
  134. >infected more easily than was
  135. >commonly believed.  In particular, he said a glaring weakness existed
  136. >in Communications Monitoring System (CMS) version 4 for IBM's MVS
  137. >operating system where a dangerous virus could be introduced by simply
  138. >programming 16 lines of code.
  139.  
  140. Since this problem has been referred to several times, a little
  141. background might be useful.
  142.  
  143. The "weakness" referred to was in a spool handling program shipped
  144. as part of VM/SP, not MVS.  In early VM systems, spool objects were
  145. "card images" containing only one CMS named object per spool object.
  146. Later a "disk image" spool object was added.  This disk image could
  147. contain more than one CMS object per spool object.
  148.  
  149. A user, looking at his in-spool queue, or READER, would see as the
  150. name of the spool object only the name of the first CMS object in
  151. the spool object.  Unless he scanned, or PEEKed, the object in the
  152. spool before reading it in, he might read in a CMS object that he
  153. did not know about.
  154.  
  155. HJH may call it a glaring weakness if he likes.  It seems to me that
  156. the problem was that it did not "glare" enough.  Indeed, it was
  157. quite subtle, but it might have made it likely for someone to read
  158. into his virtual machine a named data object that he had not seen in
  159. his reader.  Such an object could have been "an armed warrior" in a
  160. gift horse.
  161.  
  162. I call it a reasonable design choice, at least at the time that the
  163. choice was made.
  164.  
  165. IBM made a change in Rel.  5 to protect a naive user from his own
  166. behavior.  It did so at the expense of a performance hit and a
  167. useability hit to all users.  It made the change on its own
  168. initiative.  If memory serves me correctly, there were no complaints
  169. from customers about the the condition.  On the other hand, there
  170. were a number of questions raised about the performance implications
  171. of the change.  Had IBM not made the change, it is unlikely that HJH
  172. would know anything of the exposure.
  173.  
  174.  
  175. [I am retired from IBM and receive a small income from them.  In return
  176. for that income, I owe them nothing in comparison to what I owe the
  177. truth.]
  178.  
  179. William Hugh Murray, Fellow, Information System Security, Ernst & Whinney
  180. 2000 National City Center Cleveland, Ohio 44114
  181. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
  182.  
  183. ------------------------------
  184.  
  185. Date:     Mon, 19 Jun 89 11:51 EDT
  186. From:     John McMahon - NASA GSFC ADFTO - <FASTEDDY@DFTBIT.BITNET>
  187. Subject:  Large computer problems...
  188.  
  189. A few comments on the latest issue of VIRUS-L...
  190.  
  191. ***> From:    Ken  De Cruyenaere <KDC%ccm.UManitoba.CA@CUNYVM.CUNY.EDU>
  192. ***>
  193. ***> He indicated large systems could be infected more easily than was
  194. ***> commonly believed.  In particular, he said a glaring weakness existed in
  195. ***> Communications Monitoring System (CMS) version 4 for IBM's MVS operating
  196. ***> system where a dangerous virus could be introduced by simply programming
  197. ***> 16 lines of code.
  198.  
  199. Well, the problem I see here (although I may be wrong also) is the
  200. perennial problem of the media getting their facts straight (or lack of
  201. proper verification).  I thought CMS was the "Conversational Monitor
  202. System" and ran under the IBM VM (Virtual Machine) operating system, not
  203. MVS.
  204.  
  205. My favorite media confusion story is when a newspaper in a college town
  206. near here blamed the failure of the local ATMs on the release of a
  207. computer virus...  The virus in question was the Internet Worm.  What
  208. really happened ?  Backhoe Bill plowed through one of the main phone
  209. circuits into town, and the ATMs couldn't reach their home offices to
  210. verify transactions.
  211.  
  212. I think there is a need to promote computer literacy in the media...
  213.  
  214. ***> From:    ZDEE699@ELM.CC.KCL.AC.UK
  215. ***>
  216. ***> I agree with Ken that there should be more discussions on network
  217. ***> security issues. I joined the discussion list in November 88, on the
  218. ***> exact day when the RTM virus struck the internet community, and most of
  219. ***> the talk was about networks. Nowadays, it looks like the list has gone
  220. ***> to microcomputer-based viruses discussions...
  221.  
  222. I too joined the discussion after a major "big machine" event.  In my
  223. case it was the SPAN/HEPnet Father Xmas Worm.  The PC stuff is nice, and
  224. I find a few raw bits in their that is useable...  but I am more
  225. concerned about my big machines, and the WANs they are connected to.
  226.  
  227. ***> Coming back to network security, here is the question:
  228. ***> " Would another major disaster like the November 1988 Internet Worm be
  229. ***> possible now, more than 6 months later ? "
  230.  
  231. Probably...  but I doubt we will see another "big" event real soon.
  232. However, there are probably "small" events which happen every day out on
  233. the network that noone ever catches.
  234.  
  235. For example...  This mail message claims to be from
  236. FASTEDDY@DFTBIT.BITNET... but did I (being the owner of that account)
  237. really write it ?  Could you verify it if you had to ?  If I didn't
  238. write it, could you figure out who did ?  What is the risk of having an
  239. unsecured network mail system ?
  240.  
  241. Just some food for thought...
  242. +------------------------------------+----------------------------------------+
  243. |John "Fast Eddie" McMahon           |    Span: SDCDCL::FASTEDDY (Node 6.9)   |
  244. |Advanced Data Flow Technology Office|    Arpa: FASTEDDY@DFTNIC.GSFC.NASA.GOV |
  245. |Code 630.4 - Building 28/W255       |  Bitnet: FASTEDDY@DFTBIT               |
  246. |NASA Goddard Space Flight Center    |GSFCmail: JMCMAHON                      |
  247. |Greenbelt, Maryland 20771           |   Phone: x6-2045                       |
  248. +------------------------------------+----------------------------------------+
  249.  
  250. ------------------------------
  251.  
  252. Date:    MON 19 JUN 1989 19:38:00 EDT
  253. From:    IA96000 <IA96@PACE.BITNET>
  254. Subject: Saveinfo.exe (PC)
  255.  
  256. I just downloaded a program named safeinfo.exe from a bbs
  257. at (201)473-1991. safeinfo (tm) is a trademark of
  258. safeware (TM) incorporated. the program is a clone of norton's
  259. sysinfo with more features.
  260.  
  261. what makes it worthy of mention here is the fact that safeware (TM)
  262. runs an internal test upon itself each and every time it is loaded.
  263.  
  264. this test checks a crc as well as the file length of the particular
  265. safeware (tm) product being run. if  >> any << changes have been
  266. made since it was compiled, execution stops and the user is then
  267. informed of the change that was made.
  268.  
  269. i tested it, and any changes made to the file are picked up and
  270. reported as claimed. The full documentation is not included with
  271. safeinfo (TM) but i managed to speak to the author and the here is
  272. a capsule of what was discussed, with his permission.
  273.  
  274. safeware (TM) is a unique new concept in shareware. all safeware (TM)
  275. products run safeware's (TM) proprietary selftest (TM) module as soon
  276. as they are loaded.
  277.  
  278. selftest (TM) checks the file and only lets execution proceed if the
  279. file has not been altered in any way since it was compiled.
  280.  
  281. any change made is immediately picked up and reported
  282.  
  283. ------------------------------
  284.  
  285. Date:    20-JUN-1989 12:38:20 GMT
  286. From:    ZDEE699@ELM.CC.KCL.AC.UK
  287. Subject: Robert T. Morris suspended from Cornell
  288.  
  289. I was surprised that these news were not forwarded to VIRUS-L.
  290.  
  291. Message forwarded from RISKS-FORUM digest 8.74 with authorisation from
  292. Dave Curry (davy@riacs.edu).
  293.  
  294. forwarded message:
  295.  -------------------------
  296. Original-Date: Thu, 25 May 89 18:49:38 -0700
  297. Original-From: davy@riacs.edu
  298. Original-Subject: Robert T. Morris suspended from Cornell
  299.  
  300. Taken from San Jose Mercury News, 5/25/89 (From the New York Times)
  301.  
  302.   Cornell University has suspended the graduate student identified by school
  303. officials as the author of [the Internet worm].
  304.   In a May 16 letter to Robert Tappan Morris, 23, the dean of the Cornell Uni-
  305. versity Graduate School said a university panel had found him guilty of vio-
  306. lating the school's Code of Academic Integrity.
  307.   He will be suspended until the beginning of the fall semester of 1990, and
  308. then could reapply.
  309.   No criminal charges have been filed against Morris.  A federal grand jury
  310. this year forwarded its recommendations to the Justice Department, which has
  311. not taken any action.   [....]
  312. - -------------------------
  313. end of forwarded message.
  314.  
  315. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  316. |Olivier M.J. Crepin-Leblond                         | - If no-one can do it  |
  317. |JANET   : <zdee699@uk.ac.kcl.cc.elm>                |   then do it yourself  |
  318. |BITNET  : <zdee699%elm.cc.kcl.ac.uk@ukacrl>         | - If you can't do it,  |
  319. |INTERNET: <zdee699%elm.cc.kcl.ac.uk@uk.ac.nsfnet-relay>| then  P A N I C ! ! |
  320. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  321.  
  322. ------------------------------
  323.  
  324. End of VIRUS-L Digest
  325. *********************
  326.  
  327. Downloaded From P-80 International Information Systems 304-744-2253
  328.