home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.200 < prev    next >
Encoding:
Text File  |  1995-01-03  |  19.6 KB  |  445 lines
  1. VIRUS-L Digest   Monday, 25 Sep 1989    Volume 2 : Issue 200
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. More on the CUPLVX Virus (VAX/VMS)
  17. Virus humour
  18. RE: McAfee Posting
  19. Viruscan (PC)
  20. re: datacrime & fdisk (PC)
  21. Re: October 12/13 (PC)
  22. correction to NOCRIME.DOC (PC)
  23. Is this a virus? (PC)
  24. should we fight fire with fire?
  25. safety protocols
  26. Write-protecting Disinfectant (Mac) (Was Re: disinfecting nVIR...
  27. Latest V-Alert on a "good virus"
  28.  
  29. ---------------------------------------------------------------------------
  30.  
  31. Date:    Thu, 21 Sep 89 09:27:00 -0400
  32. From:    John McMahon - NASA GSFC ADFTO - 301-286-2045
  33.          <FASTEDDY@DFTBIT>
  34. Subject: More on the CUPLVX Virus (VAX/VMS)
  35.  
  36. The following mail messages were posted to the INFO-VAX mailing list
  37. in response to the message "Virus or Coincidence" posted by Tom Ivers
  38. at the Columbia U. Plasma Physics Lab (IVERS@CUPLVX.APNE.COLUMBIA.EDU).
  39. The message was posted to VIRUS-L in a previous isse.
  40.  
  41. Tom Ivers original mail message indicated that the VAX that had the
  42. problem was running VMS 4.5.  VMS 4.4 through 4.7 had a fairly nasty
  43. security hole in it that DEC has subsequently patched.  Perhaps this
  44. system wasn't patched ?
  45.  
  46. Assuming the security hole wasn't patched, and LOGINOUT.EXE was
  47. replaced then this type of attack has occurred before.  The last major
  48. outbreak was when the Chaos Computer Club broke into machines on the
  49. "World DECnet" (SPAN/HEPnet/Etc...) during the Summer of 1987.
  50.  
  51. ***> From:         "FIDLER::LEVINE" <levine%fidler.decnet@NWC.NAVY.MIL>
  52. ***>
  53. ***>    I got your message from info-vax, and passed it on to other
  54. ***> system managers at NWC. One of them just called and said he had part of
  55. ***> your problem once. The user limit message is a micro VMS message only,
  56. ***> and he told me that the login problem was due to a bad floating point
  57. ***> unit on his 750. Apparently the password hashing suborutine (HPWD) uses
  58. ***> some Floating point instructions. He will be sending me a full
  59. ***> desription of the problem next week which I will pass on to you.
  60. ***> As for the VIRUS stuff, he had no trace of that.
  61. ***> Michael N. LeVine  Naval Weapons Center, China Lake, Ca 93555, USA
  62.  
  63. ***> From:         "Richard B. Gilbert" <dragon@NSCVAX.PRINCETON.EDU>
  64. ***>
  65. ***> I think you've been well and truly screwed.  The safest thing to do is
  66. ***> to scrub your disk and restore from a backup that you are certain is
  67. ***> clean.
  68. ***>
  69. ***> I have this horrible feeling that SYS$SYSTEM:LOGINOUT.EXE has been
  70. ***> patched or replaced.  Only extensive checking would reveal what else has
  71. ***> been tampered with.  You had better assume that any sensitive
  72. ***> information on your system has been compromised and that _anything_ may
  73. ***> have been tampered with!
  74. ***>
  75. ***> Even after you restore your system, you will still be vulnerable to a
  76. ***> repetion of the same attack!  You will need to read and heed the "Guide
  77. ***> to VMS Security".  You should probably have security alarm ACLs on
  78. ***> SYS$SYSTEM:SYSUAF.DAT, SYS$MANAGER:SYSTARTUP.COM or SYSTARTUP_V5.COM,
  79. ***> SY$MANAGER:SYLOGIN.COM and perhaps a couple of other things.  This will
  80. ***> not prevent a breakin but it will make it tougher to do it tracelessly.
  81. ***> Check your modem lines if any.  Are they all set /MODEM /HANGUP /DIALUP?
  82. ***> If not, they provide a potential entry point for a cracker.
  83. ***>
  84. ***> Priveleged accounts such as FIELD, and SYSTEST should be kept turned off
  85. ***> with /FLAGS=DISUSER and enabled only when needed.
  86. ***>
  87. ***> The default DECnet account also provides a potential point of entry.
  88. ***>
  89. ***> I'm real glad I'm not in your shoes.
  90.  
  91. ***> From:         "Kevin V. Carosso" <KVC%FRIDAY.A-T.COM@CUNYVM.CUNY.EDU>
  92. ***>
  93. ***> The fact that you are running VMS V4.5 and getting the "USERS EXCEEDED"
  94. ***> message is an important clue.  User limits for MicroVMS were enforced by
  95. ***> code in LOGINOUT.EXE.  When you upgraded your license on your MicroVAX,
  96. ***> say from 2 users to 8, DEC sent you a VMSINTAL kit which patched
  97. ***> LOGINOUT.
  98. ***>
  99. ***> The fact that your 750 suddenly has a user limit of 2 (indeed any limit
  100. ***> at all) and is not running VMS V5 means that you may be running with a
  101. ***> LOGINOUT.EXE copied from a MicroVMS system.  One distinct possibility is
  102. ***> that someone took the LOGINOUT.EXE from a MicroVMS system, possibly
  103. ***> patched in their own trapdoor, and copied it to your 750 replacing the
  104. ***> standard SYS$SYSTEM:LOGINOUT.EXE.
  105. ***>
  106. ***> A couple of years ago there were a rash of breakins to VMS machines
  107. ***> characterized, in part, by patched LOGINOUT.EXE's being left behind.
  108. ***>
  109. ***> You should consider restoring LOGINOUT.EXE from tape.  You also might
  110. ***> want to save the suspicious one and check it out with ANALYZE/IMAGE
  111. ***> (which will report PATCH information unless the image was patched
  112. ***> without using the standard VMS PATCH utility).
  113. ***>
  114. ***>         /Kevin Carosso                        kvc@friday.a-t.com
  115. ***>          Innosoft                             kvc@ymir.bitnet
  116.  
  117. /------------------------------------+---------------------------------------\
  118. |John "Fast Eddie" McMahon           |    Span: SDCDCL::FASTEDDY (Node 6.9)  |
  119. |Advanced Data Flow Technology Office|    Arpa: FASTEDDY@DFTNIC.GSFC.NASA.GOV|
  120. |Code 630.4 - Building 28/W255       |  Bitnet: FASTEDDY@DFTBIT              |
  121. |NASA Goddard Space Flight Center    |GSFCmail: JMCMAHON                     |
  122. |Greenbelt, Maryland 20771           |   Phone: 301-286-2045 (FTS: 888-2045) |
  123. +------------------------------------+---------------------------------------+
  124. |Invest heavily in SPAM futures...                                           |
  125. \----------------------------------------------------------------------------/
  126.  
  127. ------------------------------
  128.  
  129. Date:    Thu, 21 Sep 89 08:08:10 -0700
  130. From:    Robert Slade <USERQBPP%SFU.BITNET@VMA.CC.CMU.EDU>
  131. Subject: Virus humour
  132.  
  133. Bit of trivia here.  I recently received a copy of issue 6 of the now
  134. (unfortunately) defunct humour digest 'NutWorks'.  It contains an
  135. article on a computer virus - a real organic virus that (supposedly)
  136. attacked the latest development in computer memory, BRAM, Bacterial
  137. Reproducible Active Memory.
  138.  
  139. The article was written in 1984.
  140.  
  141. ------------------------------
  142.  
  143. Date:    Thu, 21 Sep 89 11:57:45 -0400
  144. From:    dmg@cornea.mitre.org (David Gursky)
  145. Subject: RE: McAfee Posting
  146.  
  147. [Caveat Emptor: My copy of Virus-L V2 #198 seems to have been eaten by
  148. the net, so I do not have my original message in front of me as a source.]
  149.  
  150. I believe both Chris McDonald and Kelly Goen missed the point of my
  151. message about John's message, (which message? who? what?  ;-)
  152.  
  153. I agree wholeheartedly with Chris' characterization of Centel.  If
  154. they are indeed purporting to be selling Viruscan for $25, they are in
  155. flagrant violation of the law.  I deliberately tempered my remarks
  156. about Centel as the only source of information I have about their
  157. "offer" comes from a Washington Post article, and is consequently at
  158. least third-hand (whereas my comments about John's posting were based
  159. directly on his message).  For example, we know Viruscan is on the
  160. disk, but how do any of us know that other utilities that Centel may
  161. have developed are on the disk??  I could carry on these arguments for
  162. awhile, but I suspect I've made my point here.  Relating this back to
  163. my message about John McAfee's posting, I found his language
  164. confrontational in the extreme, with no explanation as to why such a
  165. tone needed to be adopted.
  166.  
  167. Kelly is levelling a rather serious charge at Centel.  If indeed
  168. Centel was suggesting to purchasers of the disk with Viruscan that
  169. they were buying the application, rather than covering distribution
  170. costs, he is absolutely right, but as I suggest above, we do not have
  171. enough information present to make this judgement.  Again, John's
  172. message had no information backing this up.
  173.  
  174. The question has also been raised about charging for the distribution
  175. of software.  I'm no lawyer, but I have the strong suspicion this is
  176. perfectly legal (although as I stated about, a $25 distribution charge
  177. "smells", to quote Chris).  Consider that several companies in the
  178. United States sell disks full of public-domain, freeware, and
  179. shareware applications.  When shareware is involved, these companies
  180. (at least the better ones) explicitly state that a seperate payment is
  181. needed.  Also remember that this is how many user groups generate
  182. revenue (through the charge of a nominal distribution fee for a disk
  183. of pd/fw/sw software.
  184.  
  185. Another question was raised about what say the author has in the
  186. distribution of his or her work, when done under the auspices of the
  187. "Shareware" label.  There is no question that when a piece of
  188. shareware code is included in a commercial application or disk, the
  189. author is fully within their right to demand payment, or place
  190. restrictions on dissemination, or a host of other things.  I am not
  191. aware of a precedent that allows a shareware offer to say in the
  192. general case that a piece of shareware can be available from source A,
  193. but not source B.  Furthermore, such an example (you can get the
  194. software from source A, but not B) appears contrary to the philosophy
  195. behind shareware.
  196.  
  197. ------------------------------
  198.  
  199. Date:    Thu, 21 Sep 89 12:10:40 -0400
  200. From:    dmg@cornea.mitre.org (David Gursky)
  201. Subject: Viruscan (PC)
  202.  
  203. The recent discussions of Viruscan have reminded me of something.  The
  204. Computer Center folks recently asked me about Anti-virus packages for
  205. PCs.  I wanted to pass on to them information about Ross Greenberg's
  206. "FluShot Plus" and John McAffee's "Viruscan".  Anyone out there care
  207. to synopsize these two (please include information about finding out
  208. about site licensing...
  209.  
  210. Thanks!
  211.  
  212. David Gursky
  213. Member of the Technical Staff, W-143
  214. Special Projects Department
  215. The MITRE Corporation
  216.  
  217.  
  218. ------------------------------
  219.  
  220. Date:    Thu, 21 Sep 89 13:18:42 -0500
  221. From:    "Rich Winkel UMC Math Department" <MATHRICH@UMCVMB.BITNET>
  222. Subject: re: datacrime & fdisk (PC)
  223.  
  224. >From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
  225. >if you use fdisk to create a dummy partition of lets says 2
  226. >cylinders and then create a second normal active dos partition
  227. >will this prevent the virus from destroying track zero?
  228.  
  229. It depends on how it accesses the disk.  If it uses bios calls (INT
  230. 13H), it will still attack physical cyl 0 on the disk.  If it uses the
  231. dos absolute disk write call (INT 26H) it will wipe out whatever the
  232. starting track of the dos partition is.  Even if it uses the bios call
  233. though, and you've partitioned the disk so it doesn't touch dos's FAT
  234. and directory, it will still wipe out the master boot sector where the
  235. partition table is stored.  That wouldn't be so bad if you could make
  236. FDISK simply put a new master boot sector on the disk, but
  237. unfortunately FDISK insists on doing some general housecleaning which
  238. may finish the job that datacrime started.  I'm not sure of the extent
  239. of the housecleaning, so I can't say for sure.
  240.  
  241. Rich
  242.  
  243. ------------------------------
  244.  
  245. Date:    20 Sep 89 19:29:03 +0000
  246. From:    ttidca.TTI.COM!hollombe%sdcsvax@ucsd.edu (The Polymath)
  247. Subject: Re: October 12/13 (PC)
  248.  
  249.  
  250. In article <0003.8909191146.AA07427@ge.sei.cmu.edu> ACS1W@uhvax1.uh.edu (Meesh)
  251.  writes:
  252. }I'm the editor of our university's computing newletter.  I need to
  253. }know how users can detect the October 12/13 virus ahead of time.  Is
  254. }there a way at all?  ...
  255.  
  256. How about backing up the hard disk, then setting the system date ahead to
  257. October 13 and re-booting?
  258.  
  259. [Ed. Sounds (to me) kind of like testing to see if the mines in an
  260. inert minefield are "ert" by having someone walk through it. :-)]
  261.  
  262. - --
  263. The Polymath (aka: Jerry Hollombe, hollombe@ttidca.tti.com)  Illegitimis non
  264. Citicorp(+)TTI                                                 Carborundum
  265. 3100 Ocean Park Blvd.   (213) 452-9191, x2483
  266. Santa Monica, CA  90405 {csun|philabs|psivax}!ttidca!hollombe
  267.  
  268. ------------------------------
  269.  
  270. Date:    Thu, 21 Sep 89 18:29:38 -0700
  271. From:    fu@unix.sri.com (Christina Fu)
  272. Subject: correction to NOCRIME.DOC (PC)
  273.  
  274. I have to thank Jim Wright for pointing out to me the mistake I have
  275. made in the NOCRIME documentation.  I referred to "NOCRIME.DOC" as
  276. "DATACRM.DOC."  Correction has been made, but I do not intend to make
  277. it a new version.  I apologize for the confusion.  Those who receive
  278. copies directly from me starting Sep. 20 will have the corrected copy.
  279.  
  280. Sincerely,
  281. Christina H. Fu
  282.  
  283. p.s. Please try to obtain copies from archive sites.  I have trouble
  284. keeping up with my mail lately.  Thank you very much.
  285.  
  286. ------------------------------
  287.  
  288. Date:    22 Sep 89 00:00:00 +0000
  289. From:    Christoph.Fischer.RY15@DKAUNI11
  290. Subject: Is this a virus? (PC)
  291.  
  292. Hi,
  293.   we just had an inquiery about 4 strange files that appeared on a
  294. Microsoft WORD installation. All 4 files are hidden system and readonly.
  295. The filenames are:
  296.   MWA.      MW.COD    MW.COM    MW.DAT
  297.   256       47296     27902     24442  bytes file length
  298.  
  299. The file MWA is text and contains:
  300.  
  301. Copyright   1984 by Microsoft
  302. Word Freedom Fighters:
  303. Richard Brodie
  304. Jabe Blumenthal
  305. Jeff Harbers
  306. Doug Klunder
  307. Bruce Leak
  308. Frank Liang
  309. Carl McConnell
  310. David Palmer
  311. Chris Peters
  312. Jeff Raikes
  313. Tom Reeve
  314. Ken Shapiro
  315. Charles Simonyi
  316. Greg Cox
  317. Pat Th....
  318.  
  319. File dates showed a 1985 creation date
  320.  
  321. Has anyone seen this before?????? These guys there have a bunch
  322. of problems, but we couldn't find a virus yet|
  323.  
  324. Chris and Torsten
  325.  
  326. *****************************************************************
  327. * Torsten Boerstler and Christoph Fischer and Rainer Stober     *
  328. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
  329. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
  330. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
  331. *****************************************************************
  332.  
  333. ------------------------------
  334.  
  335. Date:    Fri, 22 Sep 89 02:57:00 -0400
  336. From:    CZMUREK%DREW.BITNET@VMA.CC.CMU.EDU
  337. Subject: should we fight fire with fire?
  338.  
  339. [Ed. The following message was sent to VALERT-L, not
  340. VIRUS-L/comp.virus (where it should have gone).  Please send any
  341. follow-ups here to VIRUS-L/comp.virus.  Also, there are already a
  342. number of responses to this message in this (and the next) digest.
  343. I've included most of them since they present different reasons for
  344. vetoing Chris's idea of creating a virus fighting virus.  I will try
  345. to keep the number of redundant messages on this to a minimum.]
  346.  
  347.      It would seem to me, as probably to most of you, that the
  348. creation of yet one more virus would be the last straw.  But the other
  349. day I had an idea that might have occured to the rest of you, or maybe
  350. not.  I began to design a virus algorythm that would eventually serve
  351. as the platform for the destruction of other viruses.  It's purpose
  352. would be to infect single programs, single disks, or multiple disks in
  353. the first, second and third versions respectively.  Before any alarm
  354. sets in here about my intentions, I would like to say that the purpose
  355. here is to aid in the effort to combat these little nasties.
  356.      I am posting this info in the hopes that some of you will respond
  357. with your thoughts on the moral, ethical, and legal aspects of such an
  358. act as producing and spawning a virus that is intended to find and/or
  359. kill off other viruses that it comes into contact with without causing
  360. harm to any other software.  I have thought of many ways to detect and
  361. defeat viruses in this manner.  I have not as of yet done any coding
  362. beyond the replication stages.  The two methods that I am using are by
  363. the boot sector and by piggy-backing com and exec files.  There are
  364. others, but for obvious reasons I am not posting the source code or
  365. other more elaborate techniques.
  366.      Please send me your insightful comments on this subject.  I would
  367. also like to know what you think about designing the software to
  368. infect only the original user's system (this can be done) assuming it
  369. was to be sold commercially.
  370.      Thank you in advance for your help in this ethical dilema...
  371. Chris (poet)
  372.  
  373. ------------------------------
  374.  
  375. Date:    Fri, 22 Sep 89 03:08:00 -0400
  376. From:    <CZMUREK%DREW.BITNET@VMA.CC.CMU.EDU>
  377. Subject: safety protocols
  378.  
  379.      In a recent digest, Jim Blakely requested some help in developing a
  380. protocol for the prevention of contamination from outside viruses.  I
  381. would suggest to him and to any of you the following:
  382.   When confronted by the problem of constant disk swapping and usage
  383. of disks from the outside, you should set up a machine that is not
  384. connected in any way to any other.  Then in the event that a new disk
  385. is to be used (one from the outside), this disk should be tested on
  386. the new machine by one or more of the most trusted anti-virus programs
  387. on the market.  This will insure that its introduciton into the
  388. working environment of the facility will not cause any harmful
  389. results.  If a disk were to be found infected, the user can then be
  390. almost certain that his/her home machine was also infected.
  391.      By implementing this policy it would help to insure a safer
  392. environment for all.
  393.  
  394.  
  395. ------------------------------
  396.  
  397. Date:    22 Sep 89 12:29:31 +0000
  398. From:    HUUSKONEN@hylka.Helsinki.FI (TANELI HUUSKONEN, DEPT MATH, HELSINKI, FI
  399.           NLAND)
  400. Subject: Write-protecting Disinfectant (Mac) (Was Re: disinfecting nVIR...
  401.  
  402.  
  403. In article <0008.8909211142.AA16502@ge.sei.cmu.edu>, chinet!henry@att.att.com w
  404. rites:
  405. >>    When you finally get Disinfectant, and de-Binhex it and
  406. >> de-Stuffit, make sure the diskette you keep it on is
  407. >> write-protected!!!  This is very important; a virus cannot infect
  408. >> an application on a write-protected diskette!
  409. >
  410. > This is a good idea, but not entirely necessary with Disinfectant.
  411. > Disinfectant is resistant to all currently known viruses and will
  412. > refuse to run if it has been changed in any way. ...
  413.  
  414. Two objections:
  415. 1)  You need to get a new copy of Disinfectant if a virus attacks it
  416.     and makes it refuse to run.
  417. 2)  Someone _may_ write a Disinfectant-specific virus that prevents it
  418.     from checking itself and from noticing the virus.
  419.  
  420. ------------------------------
  421.  
  422. Date:    Fri, 22 Sep 89 00:00:00 +0000
  423. From:    "David A. Bader" <DAB3%LEHIGH.BITNET@VMA.CC.CMU.EDU>
  424. Subject: Latest V-Alert on a "good virus"
  425.  
  426.   I don't care who you are - good, bad.. it doesn't matter, I don't
  427. want *ANY* viruses!  This is *MY* computer system.  I prefer knowing
  428. what's going on in here.  In order for you to create something that
  429. will detect and erradicate all viruses but not harm any software or
  430. applications - that is just a contradiction... I don't want to see my
  431. files grow in size for any reasons.
  432.    Viruses are sometimes modified by hackers and new strains appear,
  433. so what is stopping someone from modifying your virus into a *bad*
  434. virus that looks JUST LIKE the "good" one with the capability of
  435. replacing the "good" one and wreaking havoc??
  436.    If you started programming... stop.  That's my suggestion.
  437.  
  438.        -David Bader
  439.  
  440. ------------------------------
  441.  
  442. End of VIRUS-L Digest
  443. *********************
  444. Downloaded From P-80 International Information Systems 304-744-2253
  445.