home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.183 < prev    next >
Encoding:
Text File  |  1995-01-03  |  16.8 KB  |  383 lines
  1. VIRUS-L Digest   Thursday, 31 Aug 1989    Volume 2 : Issue 183
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Ping-Pong variants (PC)
  17. Virus Report from Brazil
  18. PC virus list; Swap virus; Israeli virus; Disassemblies
  19. CVIA reports new virus at Ohio State (PC)
  20. VirusScan updated for New Ohio Virus (PC)
  21. nVIR A and nVIR B explained (Mac)
  22. VACSINA ... why we called it so (PC)
  23. Virus Collection (Mac)
  24. Virus Collecting (Mac)
  25.  
  26. ---------------------------------------------------------------------------
  27.  
  28. Date:    28 Aug 89 14:09:10 +0000
  29. From:    mcvax!rhi.hi.is!frisk@uunet.uu.net (Fridrik Skulason)
  30. Subject: Ping-Pong variants (PC)
  31.  
  32. I have now seen three different variants of the ping-pong virus. The
  33. only difference is the character that bounces around the screen.
  34.  
  35. The (original ?) version where the character is a dot is the most
  36. common one, but a version that uses the "diamond" (character number 4)
  37. is also fairly common here. Finally, I have seen a version that
  38. displays a "smiley" (character number 2) at one site.
  39.  
  40. Are the two modified versions known elsewhere in the world or are they
  41. just local mutations ?
  42.  
  43.          Fridrik Skulason          University of Iceland
  44.          frisk@rhi.hi.is
  45.  
  46.          Guvf yvar vagragvbanyyl yrsg oynax .................
  47.     [Ed. ^(the above sentence) Huh?  :-) ]
  48.  
  49. ------------------------------
  50.  
  51. Date:    Tue, 29 Aug 89 10:44:26 +0300
  52. From:    Geraldo Xexeo <COS20001@UFRJ.BITNET>
  53. Subject: Virus Report from Brazil
  54.  
  55. I think that the netland could be interested in a Virus Report
  56. from Brazil. It is important to say that in Brazil there aren't
  57. big networks or lots of Lan's. Most of the virus are distributed
  58. by disks.
  59.  
  60. Source: O Globo (nation-wide newspaper) from a research of Modulo
  61. Consultants.(21/8/89)
  62.  
  63. Number of micro-computers researched: 550.
  64.  
  65. Viruses detected : disease
  66.   Brain, Israely : lost of files
  67.   Ping Pong      : a bouncing ball in the video , no harm
  68.   sUMsDos        : slows machine, uses memory, no harm detected
  69.   Alameda        : harm winchester
  70.   Lehigh         : harm any disks (Why Lehigh?)
  71.   Madonna        : While Madonna sings in your video, you looseyour disk
  72.   Cookie         : Shows "Give me a cookie" in the video
  73.   Water fall     : fallof characters(translated from Cascata)
  74.   Mailson        : inversion of characters in video and printer
  75.                  : named after a Brazilian politician
  76.  
  77. Number of detections:
  78.   Jan: 2
  79.   Feb: 4
  80.   Mar: 6
  81.   Apr: 12
  82.   May: 22
  83.   Jun: 41
  84.   Jul: 66
  85.  
  86. Avaliation:
  87.   Most of the virus are harmfull, thenames could not be right but
  88. are the used in Brazil.More than 10% are infected. Exponencial growing.
  89.  
  90.                   From Brazil,
  91.                               Geraldo Xexeo
  92.  
  93. ------------------------------
  94.  
  95. Date:    Tue, 29 Aug 89 16:05:44 +0300
  96. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
  97. Subject: PC virus list; Swap virus; Israeli virus; Disassemblies
  98.  
  99.   For several reasons, one of which is very irregular receipt of
  100. VIRUS-L, I've been out of touch with it for several weeks now.  So
  101. please forgive me if some of the postings referred to below are a few
  102. weeks old.
  103.  
  104.   PC Virus List
  105.   -------------
  106.   Lan Nguyen asks whether a list of PC viruses, incl. date first dis-
  107. covered and source(s), exists.  I will soon be submitting to VIRUS-L a
  108. considerably updated version of the list I first posted on May 16.
  109. Meanwhile, Lan, I'm sending you my list as it currently stands (29
  110. viruses, 70 strains).
  111.  
  112.   The Swap Virus
  113.   --------------
  114.   Yuval Tal writes:
  115. >I don't think that it is so important how we call the virus.  I've
  116. >decided to call it the swap virus becuase the message "The Swapping-
  117. >Virus...' appears in it!  .......  I think that calling it "The
  118. >Dropping Letter Virus" will be just fine.
  119.  
  120.   Well, "The Dropping Letter Virus" would be a poor choice since (as I
  121. mentioned in an earlier posting) this also describes the Cascade and
  122. Traceback viruses.
  123.   Yuval has explained that he originally called it the Swap virus
  124. because it writes the following string into bytes B7-E4 of track 39,
  125. sector 7 (if sectors 6 and 7 are empty):
  126.           The Swapping-Virus. (C) June, 1989 by the CIA
  127. However, he has not publicly explained how the words SWAP VIRUS FAT12
  128. got into the boot sector of some of the diskettes infected by this
  129. virus, so let me fill in the details.  As David Chess and John McAfee
  130. both pointed out quite correctly, these words are not part of the
  131. virus.  What happened was that Yuval wrote a volume label SWAP VIRUS
  132. onto each infected diskette for identification.  Had his system been
  133. DOS 3 the label would have been written only into the root directory.
  134. But since he was apparently using DOS 4, it was also written into
  135. bytes 2Bh-35h of the boot sector.  (That still leaves the string FAT12
  136. in bytes 36h-3Ah to be explained.  Under DOS4, the field 36h-3Dh is
  137. supposed to be "reserved".  Anyone got any comments on that?)  So
  138. although I didn't know at the time that the words SWAP VIRUS came from
  139. Yuval, it seems that my (and his original) suggestion to call it the
  140. Swap virus is still the best choice.
  141.  
  142.   The Israeli/Friday-13/Jerusalem Virus
  143.   -------------------------------------
  144.   In response to a query from Andrew Berman, David Rehbein gave a
  145. quite accurate description of the virus, except for one small point:
  146. >(It will infect and replicate itself in ANY executible, no matter
  147. >the extension..check especially .OVL and .SYS)
  148.  
  149.   To the best of my knowledge, no strain of this virus (or, for that
  150. matter, of any other virus that I know of) infects overlay or SYS
  151. files.
  152.  
  153.   Andrew Berman writes concerning this virus:
  154. >                                                          She think's
  155. >she's cleaned it out by copying only the source codes to new disks,
  156. >zapping the hard drives, and recompiling everything on the clean hard
  157. >disks.
  158.  
  159.   It's a pity that so many people try to eradicate the virus by such
  160. difficult means when (as has been mentioned on this list and else-
  161. where) there is a file named UNVIR6.ARC on SIMTEL20 (in <MSDOS.TROJAN-
  162. PRO>) containing a program called UNVIRUS which will easily eradicate
  163. this virus and 5-6 others as well, plus a program IMMUNE to prevent
  164. further infection.
  165.  
  166.   Disassembling of Viruses
  167.   ------------------------
  168.  In response to a posting by Alan Roberts, David Chess replied:
  169.  
  170. >I think it's probably a Good Thing if at least two or three people do
  171. >independant disassemblies of each virus, just to make it less likely
  172. >that something subtle will be missed.  I know my disassemblies (except
  173. >the ones I've spent lots of time on) always contain sections marked
  174. >with vaguenesses like "Does something subtle with the EXE file header
  175. >here".  ....  I probably tend to lean towards "the more the merrier"!
  176.  
  177.   I can appreciate David's point.  However, I would like to point out
  178. that the quality of (commented) disassemblies differs greatly from one
  179. person to another.  As Joe Hirst of the British Computer Virus Re-
  180. search Centre writes (V2 #174):
  181. >Our aim will be to produce disassemblies which cannot be improved upon.
  182.  
  183. And this isn't merely an aim.  In my opinion, his disassemblies are an
  184. order of magnitude better than any others I've seen.  He figures out
  185. and comments on the purpose of *every* instruction, and vagueness or
  186. doubt in his comments is extremely rare.
  187.   What I'm suggesting is this: If you have the desire, ability, time
  188. and patience to disassemble a virus yourself, then have fun.  But
  189. unless you're sure it's a brand new virus, you may be wasting your
  190. time from the point of view of practical value to the virus-busting
  191. community.  And even if you are sure that it's a new virus, take into
  192. account that there are pros like Joe who can probably do the job much
  193. better than you.
  194.   So what about David's point that any given disassembler may miss
  195. something subtle?  Well, I'm not saying that Joe Hirst should be the
  196. *only* person to disassemble viruses.  Even he is only human, so there
  197. should be one or two other good disassemblers to do the job indepen-
  198. dently.  But no more than 1 or 2; I can't accept David's position of
  199. "the more the merrier".
  200.   Btw, disassemblers don't always get the full picture.  Take, for
  201. example, the Merritt-Alameda-Yale virus, of which I have seen three
  202. disassemblies.  They all mentioned that the POP CS instruction is
  203. invalid on 286 machines, yet none of them mentioned the important fact
  204. that when such a machine hangs the virus has already installed itself
  205. in high RAM and hooked the keyboard interrupt, so that the infection
  206. can spread if a warm boot is then performed!  That fact seems to have
  207. been noticed only by ordinary humans.
  208.  
  209.                                            Y. Radai
  210.                                            Hebrew Univ. of Jerusalem
  211.  
  212. ------------------------------
  213.  
  214. Date:    Tue, 29 Aug 89 12:49:52 -0700
  215. From:    portal!cup.portal.com!garyt@Sun.COM
  216. Subject: CVIA reports new virus at Ohio State (PC)
  217.  
  218.  
  219. Forwarded message from John McAfee on the Homebase BBS:
  220.  
  221.    A new boot sector virus has been turned in to the CVIA.  The virus
  222. was first discovered at Ohio State University by Terry Reeves in May
  223. of this year.  It is a floppy-only variety.  It will infect any new
  224. diskette as soon as the diskette is accessed (COPY, DIR, DEL, Program
  225. Load, etc.), similar to the Pakistani Brain.  The virus will freeze
  226. the system if a <ctrl><alt><del> is pressed and a cold boot is then
  227. required.  When the virus activates, the first copy of the FAT becomes
  228. corrupted.  No other sysmptoms have been reported.  More information
  229. will be supplied after a detailed analysis.
  230.  
  231. ------------------------------
  232.  
  233. Date:    Tue, 29 Aug 89 21:24:18 -0700
  234. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  235. Subject: VirusScan updated for New Ohio Virus (PC)
  236.  
  237.     ViruScan V36 now identifies the new virus found at Ohio State
  238. University.  The scanner identifies the virus as the 'Ohio Virus'.  This
  239. name was discussed with Terry Reeves at Ohio State (the discoverer) and
  240. he has assented to its use.
  241. Alan
  242.  
  243. ------------------------------
  244.  
  245. Date:    Wed, 30 Aug 89 14:41:53 -0000
  246. From:    LBA002%PRIME-A.TEES-POLY.AC.UK@IBM1.CC.Lehigh.Edu
  247. Subject: nVIR A and nVIR B explained (Mac)
  248.  
  249. I spotted this in the August issue of Apple2000 (a UK Mac user group
  250. magazine.) It first appeared on the Infomac network and the author is
  251. John Norstad of Academic Computing & Network Services, Northwestern
  252. University (hope it's OK with you to reproduce this John?)
  253.  
  254. It may be old-hast to all the virus experts but I found it
  255. interesting & informative.
  256.  
  257. nVIR A & B
  258.  
  259. There has been some confusion over exactly what the nVIR A & nVIR B
  260. viruses actually do. In fact, I don't believe the details have ever
  261. been published. I just finished spending a few days researching the
  262. two nVIR viruses. This report presents my findings.
  263. As with all viruses, nVIR A & B replicate. When you run an infected
  264. application on  a clean system the infection spreads from the
  265. application to the system file. After rebooting the infection in turn
  266. spreads from the system to other applications, as they are run.
  267. At first nVIR A & B only replicate. When the system file is first
  268. infected a counter is initialized to 1000. The counter is decremented
  269. by 1 each time the system is booted, and  it is decremented by 2 each
  270. time an infected application is run.
  271. When the counter reaches 0 nVIR A will sometimes either say "Don't
  272. Panic" (if MacinTalk is installed in the system folder) or beep (if
  273. MacinTalk is not installed in the system folder.) This will happen on
  274. a system boot with a probability of 1/16. It will also happen when an
  275. infected application is launched with a probability of 31/256. In
  276. addition when an infected application is launched nVIR A may say
  277. "Don't Panic" twice or beep twice with a probability of 1/256.
  278. When the counter reaches 0 nVIR B will sometimes beep. nVIR B does
  279. not call MacinTalk. The beep will happen on a system boot with a
  280. probability of 1/8. A single beep will happen when an infected
  281. application is launched with a probability of 15/64. A double beep
  282. will happen when an application is launched with a probability of
  283. 1/64.
  284. I've discovered that it is possible for nVIRA and nVIRB to mate and
  285. sexually reproduce, resulting in new viruses combining parts of their
  286. parents.
  287. For example if a system is infected with nVIRA and if an application
  288. infected with nVIRB is tun on that system, part of the nVIRB
  289. infection is replaced by part of the nVIRA infection from the system.
  290. The resulting offspring contains parts from each of its parents,
  291. and behaves like nVIRA.
  292. Similarly if a system is infected with nVIRB and if an application
  293. infected with nVIRA is run on that system, part of the nVIRA
  294. infection in the application is replaced by part of the nVIRB
  295. infection from the system. The resulting offspring is very similar
  296. to its sibling described in the previous paragraph except that it has
  297. the opposite "sex" - each part is from the opposite parent. it
  298. behaves like nVIRB.
  299. These offspring are new viruses. if they are taken to a clean system
  300. they will infect that system, which will in turn infect other
  301. applications. The descendents are identical to the original
  302. offspring.
  303. I've also investigated some of the possibly incestual matings of these
  304. two kinds of children with each other and with their parents. Again
  305. the result is infections that contain various combinations of parts
  306. from their parents.
  307.  
  308. (Hot stuff!)
  309.  
  310. Rgds,
  311.  
  312. Iain Noble
  313.  
  314. ------------------------------
  315.  
  316. Date:    Wed, 30 Aug 89 19:52:23 -0500
  317. From:    Christoph Fischer <RY15%DKAUNI11.BITNET@IBM1.CC.Lehigh.Edu>
  318. Subject: VACSINA ... why we called it so (PC)
  319.  
  320. Hi,
  321.    we called the virus VACSINA because the virus opens a file named VACSINA.
  322. It dosen't check the return status of the open call. It never touches the
  323. file till the end of the virus code, where it closes the file (again
  324. ignoring the return code). We think the virus programmer will add some
  325. code in a later version of the virus. (Remember we presumed that this is
  326. a prematurely escaped virus). The word vaccine comes from the latin word
  327. vacca = cow and is spelled with two c in all languages. Only in Norwegian
  328. we found the word to be spelled vaksine. So VACSINA is rather odd and what
  329. the virus does with the file it opens is odd too, so we decide to name the
  330. virus VACSINA. Anyhow nobody will detect a virus by it's name like cascade
  331. or vienna or whatever. The File length is somewhat ambigous and therefor
  332. not necessarily suitable.
  333. To detect the original virus we found, you can in fact search for the word
  334. VACSINA (all capitals).
  335. I hope this answers those questions about the name.
  336. Chris
  337.  
  338. *****************************************************************
  339. * Torsten Boerstler and Christoph Fischer and Rainer Stober     *
  340. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
  341. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
  342. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
  343. *****************************************************************
  344.  
  345. ------------------------------
  346.  
  347. Date:    Wed, 30 Aug 89 15:35:53 -0400
  348. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM>
  349. Subject: Virus Collection (Mac)
  350.  
  351. Suppose one has a disk infected with nVir B.  How would one go about
  352. "capturing" the virus?
  353.  
  354. ------------------------------
  355.  
  356. Date:    Wed, 30 Aug 89 17:11:34 -0400
  357. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  358. Subject: Virus Collecting (Mac)
  359.  
  360. "Gregory E. Gilbert" <C0195@UNIVSCVM> writes:
  361. >
  362. >How does one go about "capturing" virus code on an infected disk or at
  363. >least view the offending code?  Would one use ResEdit?  Any other
  364. >comments are most welcome.  Thanks much.
  365. >
  366. Very carefully. ResEdit is of course the best way of looking at the
  367. resources in a given file, but it's of little use if you are attempting
  368. do disassemble the code. MacNosy is a good debugger/disassembler
  369. combination, once you know where the code is hiding.
  370.  
  371. My suggestion, of course, is to get rid of any virus you find as fast
  372. as possible. If you're sure it's new, contact John Norstad at the
  373. address in the Disinfectant documentation; he's interested in new
  374. viruses, so that he can keep Disinfectant up to date.
  375.  
  376.  --- Joe M.
  377.  
  378. ------------------------------
  379.  
  380. End of VIRUS-L Digest
  381. *********************
  382.  
  383. Downloaded From P-80 International Information Systems 304-744-2253
  384.