home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.205 < prev    next >
Encoding:
Text File  |  1995-01-03  |  17.7 KB  |  422 lines
  1. VIRUS-L Digest   Wednesday, 27 Sep 1989    Volume 2 : Issue 205
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Re: Is this a virus? (PC)
  17. Anti-virus virus
  18. re: IBM Virus (from EXPERT-L list) (PC)
  19. LAN boot disks. (PC)
  20. ACS Demo - is it a virus? (Apple)
  21. Information wanted about Selftest (tm)
  22. notchless disks (PC)
  23. Atari ST VIRUS ALERT!!
  24. Lotus Virus
  25. Re: IBM Virus (from EXPERT-L list) (PC)
  26. Tiger Teams
  27. Re: Software company distributing viruses (PC)
  28. Tiger Teams & Viruses
  29. Disk Killer Virus (PC)
  30. Re: SCANV38 (PC)
  31.  
  32. ---------------------------------------------------------------------------
  33.  
  34. Date:    26 Sep 89 16:13:44 +0000
  35. From:    carroll1!dnewton@uunet.UU.NET (Dave Newton)
  36. Subject: Re: Is this a virus? (PC)
  37.  
  38. In article <0008.8909251230.AA29228@ge.sei.cmu.edu> Christoph.Fischer.RY15@DKAU
  39. NI11 writes:
  40. >Hi,
  41. >  we just had an inquiery about 4 strange files that appeared on a
  42. >Microsoft WORD installation. All 4 files are hidden system and readonly.
  43. >
  44. >The file MWA is text and contains:
  45. >
  46. >Copyright   1984 by Microsoft
  47. >Word Freedom Fighters:
  48.  [names deleted]
  49. >Charles Simonyi
  50.  
  51.  ^^^^^^^^^^^^^^^ I only recognize this name as being a guy who worked/works
  52.  at microsoft, he was profiled in the microsoft press book _Porgrammers at
  53.  Work_.
  54.  
  55.  Plus it's pretty unlikely that microsoft would copyright a virus.
  56.  
  57.  Of course, it could just be a ruse...
  58.  
  59. David L. Newton       |      dnewton@carroll1.UUCP     | Quote courtesy of
  60. (414) 524-7343 (work) |     dnewton@carroll1.cc.edu    | Marie Niechwiadowicz,
  61. (414) 524-6809 (home) | 100 NE Ave, Waukesha, WI 53186 | Boston College.
  62. [Q]: How many surrealists does it take to screw in a light bulb? [A]: The fish.
  63.  
  64. ------------------------------
  65.  
  66. Date:    26 Sep 89 16:40:00 +0000
  67. From:    carroll1!dnewton@uunet.UU.NET (Dave Newton)
  68. Subject: Anti-virus virus
  69.  
  70.    One of the arguments raised against AVV's is the possible escalation of
  71. of viral warfare.  It seems to me that this has already happened with the
  72. vaccine programs.
  73.    I'd be almost certain that most virus writers will try to circumvent
  74. detection by writing (perhaps) a self-modifying virus, or a resident virus
  75. that will attempt to detect detection.
  76.    If any comp.virus readers have read any of William Gibson's "Cyperpunk"
  77. novels, in which software protection (ICE) is handled by AI, the concept
  78. of AVV's will be nothing new.
  79.    From a technological standpoint, they provide an interesting challenge,
  80. both for the virus writer and anti-virus virus writer.
  81.  
  82. David L. Newton       |      dnewton@carroll1.UUCP     | Quote courtesy of
  83. (414) 524-7343 (work) |     dnewton@carroll1.cc.edu    | Marie Niechwiadowicz,
  84. (414) 524-6809 (home) | 100 NE Ave, Waukesha, WI 53186 | Boston College.
  85. [Q]: How many surrealists does it take to screw in a light bulb? [A]: The fish.
  86.  
  87. ------------------------------
  88.  
  89. Date:    26 Sep 89 00:00:00 +0000
  90. From:    David.M..Chess.CHESS@YKTVMV
  91. Subject: re: IBM Virus (from EXPERT-L list) (PC)
  92.  
  93. Sounds basically like the Jerusalem Virus; in particular, the
  94. little signature string given occurs in the JV.   Not sure
  95. why they aren't seeing files change in size when they're
  96. infected.   Perhaps the fact that a file gets infected when
  97. it executes (rather than when the original infected file executes)
  98. is causing confusion.  The multiple infections that they're
  99. seeing (and attributing to disk fragmentation) are also
  100. characteristic of the JV.  Or, of course, it could be some
  101. Brand New nasty...                    DC
  102.  
  103. ------------------------------
  104.  
  105. Date:    Tue, 26 Sep 89 14:39:00 -0500
  106. From:    Reality is not an Industry Standard <PETERSON@LIUVAX.BITNET>
  107. Subject: LAN boot disks. (PC)
  108.  
  109. If your LAN o/s and cards support the function - try auto boot roms.
  110. We run Novell nets with various cards that all autoboot from a server.
  111. (Novell 2.1x allows you to have multiple boot files for different pcs)
  112.  
  113. This method keeps the boot code very safe, allows for global changes,
  114. and the students just need a blank formatted disk.
  115.  
  116. In addition, any new software gets installed from an account that does
  117. *not* have supervisor's (operator) status - one dept. forund that out
  118. the hard way.
  119.  
  120. J. Peterson/Sys Eng
  121. LIU-Southampton
  122. PETERSON@LIUVAX.BITNET
  123.  
  124. ------------------------------
  125.  
  126. Date:    26 Sep 89 18:22:15 +0000
  127. From:    carroll1!dtroup@uunet.UU.NET (Dave Troup)
  128. Subject: ACS Demo - is it a virus? (Apple)
  129.  
  130. I was just looking at the disk (just unpacked) of the ACS Demo. Should
  131. the Catalog of the disk be :
  132.  
  133.         WHAT
  134.         ARE.YOU
  135.         LOOKING
  136.         FOR
  137.  
  138.         END OF DATA
  139.  
  140.         ]
  141.  
  142. Im just a little leary, someone wanna check on this for me.
  143.  
  144. thanks...
  145.  
  146. "We got computers, we're tapping phone lines, knowin' that ain't allowed"
  147.      _______  _______________    |David C. Troup / Surf Rat
  148.      _______)(______   |         |dtroup@carroll1.cc.edu : mail
  149.   _______________________________|414-524-6809______________________________
  150.  
  151. ------------------------------
  152.  
  153. Date:    Tue, 26 Sep 89 14:27:35 -0400
  154. From:    wayner@svax.cs.cornell.edu (Peter Wayner)
  155. Subject: Information wanted about Selftest (tm)
  156.  
  157. Someone recently mentioned a shareware product called "selftest." Can
  158. anyone provide me with any information about how to find the selftest
  159. program or perhaps something about its design?
  160.  
  161. Thank you,
  162.  
  163. Peter Wayner
  164. (wayner@cs.cornell.edu)
  165.  
  166. ------------------------------
  167.  
  168. Date:    Tue, 26 Sep 89 15:15:38 -0400
  169. From:    Marcus J. Ranum <mjr@cthulhu.welch.jhu.edu>
  170. Subject: notchless disks (PC)
  171.  
  172.         Don't let notchless disks give you a sense of false
  173. confidence!  I have a drive on my system at home with the notch detect
  174. jumpered off on one of the drives from when I used to be a student at
  175. a place where they used exactly the protection scheme you describe.
  176.  
  177. - --mjr();
  178.  
  179. ------------------------------
  180.  
  181. Date:    Tue, 26 Sep 89 13:23:00 -0500
  182. From:    Holly Lee Stowe <IHLS400%INDYCMS.BITNET@VMA.CC.CMU.EDU>
  183. Subject: Atari ST VIRUS ALERT!!
  184.  
  185. At least 2 instances of the "Key" virus have been found on ORIGINAL
  186. WordUp 2.0 disks from Neocept for the Atari ST and Mega computers.
  187.  
  188. If you have WordUp 2.0, please use Virus Killer 2.2 or some other
  189. virus checking program to check your disks!
  190.  
  191. Holly Lee Stowe,
  192. Faculty/Staff Consulting
  193. .......................................................................
  194. He has all the subtlety and wit of a speed bump.
  195.                              - paraphrased from Oleg Kisilev in alt.flame
  196. +---------------------------------------------------------------------+
  197. |    @@@ @@@   @@@ @@@@@@@@@ @@@   @@@ @@@   Holly Lee Stowe          |
  198. |   @@@ @@@   @@@ @@@   @@@ @@@   @@@ @@@    Bitnet:  IHLS400@INDYCMS |
  199. |  @@@ @@@   @@@ @@@@@@@@@ @@@   @@@ @@@     IUPUI Computing Services |
  200. | @@@  @@@@@@@@ @@@        @@@@@@@@ @@@      799 West Michigan Street |
  201. | Indiana U. - Purdue U. at Indianapolis     Indianapolis, IN   46202 |
  202. +---------------------------------------------------------------------+
  203.  
  204. ------------------------------
  205.  
  206. Date:    Tue, 26 Sep 89 13:50:23 -0700
  207. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  208. Subject: Lotus Virus
  209.  
  210.     The new Lotus 123 virus is being turned over to Lotus Corp (a CVIA
  211. member) for analysis and disassembly.  It is imbedded in an 800K EXE
  212. file and no-one other than Lotus was willing to attempt a disassembly.
  213. The CVIA will publish results as soon as we get them.
  214. Alan
  215.  
  216. ------------------------------
  217.  
  218. Date:    Tue, 26 Sep 89 16:16:10 -0400
  219. From:    Chris Haller <CJH@CORNELLA.cit.cornell.edu>
  220. Subject: Re: IBM Virus (from EXPERT-L list) (PC)
  221.  
  222. >From:    Ken Hoover <consp21@bingvaxu.cc.binghamton.edu>
  223. >Subject: IBM Virus (from EXPERT-L list) (PC)
  224. >
  225. >Original-Date:         Mon, 18 Sep 89 17:38:00 EDT
  226. >Original-From:         Sanjay Hiranandani <GDO@CRNLVAX5.BITNET>
  227. >
  228.  [text omitted]
  229.  
  230. Oh well, I was considering writing to VIRUS-L about this anyway, and
  231. this posting precipitates a response.  Here is the current situation
  232. about the virus that showed up at Sibley Hall at Cornell University.
  233.  
  234. John McAfee's VIRUSCAN v36 identified this virus as Jerusalem B, and
  235. its appearance and behavior correspond with this identification, AS
  236. FAR AS I KNOW.  (Would some kind soul please send me a type
  237. description of "Jerusalem B" so I can verify the identification more
  238. completely?  I think this is the version of the Israeli that attacks
  239. both .COM and .EXE files on both floppy and hard disks, that was
  240. modified (probably in the U.S.) to be less obtrusive, and that
  241. WordPerfect and FoxBase catch in the act because they detect its
  242. alteration of their file.) We are using UNVIRUS, which we retrieved
  243. from the archive at Kansas State, to clean up.
  244.  
  245. Incidentally, we find VIRUSCAN and SCANRES very useful and intend to
  246. ask Mr. McAfee about site licensing arrangements for Cornell
  247. University.  (That's why we haven't sent in our shareware fees yet!
  248. Most of us on the staff here won't use software without paying for it,
  249. except preliminarily.)  However, do not let this kind of endorsement
  250. of one person's (or group's) efforts deter those of you who are
  251. writing other protective software.  No single program, indeed no
  252. single way of addressing the problem, will be sufficient to protect a
  253. diverse computing community like this from the threat of viruses.
  254. This semester we may recommend SCANRES, but we are counting on there
  255. still being a lot of people using FLU_SHOT+ here, and next semester we
  256. may recommend something else, or a newer version of FLU_SHOT, or a
  257. program that checks CRC polynomials to detect altered files or disk
  258. sectors.  The idea is that in a large and diverse community like a
  259. major university, a virus may get started locally but it won't get
  260. very far before it sets off an alarm on someone's system.  If everyone
  261. using PC's were using the same kind of protection, a virus written to
  262. evade that particular protection would spread farther.  This is not a
  263. new idea, it's one I learned from reading this list!  Thank you all.
  264.  
  265. - -Chris Haller, Research and Analysis Systems, Cornell University
  266. BITNET: <CJH@CORNELLA>  Internet: <CJH@CornellA.CIT.Cornell.edu>
  267. Acknowledge-To: <CJH@CORNELLA>
  268.  
  269. ------------------------------
  270.  
  271. Date:    Tue, 26 Sep 89 18:12:26 -0400
  272. From:    Steve <XRAYSROK%SBCCVM.BITNET@VMA.CC.CMU.EDU>
  273. Subject: Tiger Teams
  274.  
  275.    Maybe I just don't understand, but I personally think the "Tiger Team"
  276. idea put forth (by David Gursky) on this list is a little ridiculous
  277. because:
  278.    1) Most viruses are not spread by someone sneaking in at night and
  279. against your wishes copying something onto your computer.  Rather,
  280. they are usually spread voluntarily (but unknowingly) by the user
  281. exposing the computer to foreign contaminated disks or programs.  If I
  282. always (almost always anyway) operate within a closed system, how is
  283. letting someone *tamper* with my computer going to help me? I'd feel
  284. much safer just scanning for known viruses, which brings up the next
  285. point.
  286.    2) What corporation (or employee for that matter) is willing to
  287. take the risk of letting someone (outsiders or corporation employees)
  288. *tamper* with the computers which the company (and the employee)
  289. depends upon, especially when proper operating procedures (regular
  290. backups, etc.) will offer you very good protection?
  291.    3) Can you guarantee that the "Team" will not do damage?  No, you
  292. cannot.  And if they are introducing live viruses, we already know
  293. that no one can guarantee that the viruses will be benign in every
  294. situation (as has been discussed many times by others on this list),
  295. or that they will not get away.
  296. Acknowledge-To: <XRAYSROK@SBCCVM>
  297.  
  298. ------------------------------
  299.  
  300. Date:    26 Sep 89 21:43:51 +0000
  301. From:    chinet!ignatz@att.att.com
  302. Subject: Re: Software company distributing viruses (PC)
  303.  
  304. In article <0007.8909251241.AA29279@ge.sei.cmu.edu>
  305. bnr-di!borynec@watmath.waterloo.edu (James Borynec) writes:
  306. >Software companies may be the largest source of virus contamination
  307. >around.  After all, they send disks everywhere and no one worries
  308. >about 'shrink wrap' software being 'unclean'.  I have only been hit by
  309. >two viruses - both came from software companies - one of which was
  310. >Texas Instruments.  The guy in the office next door was hit by a copy
  311. >of a virus on his (shrink wrap) copy of WordPerfect.  I think it is
  312. >shocking that people are told just to watch out for viruses when
  313. >engaged in software 'swapping'.  Everyone should regard EVERY disk
  314. >that enters their machine with suspicion.
  315.  
  316. It's probably been mentioned before, but it can't hurt to repeat.
  317. Some software houses--especially discount stores--have a very liberal
  318. return policy.  Unfortunately, it seems that shrinkwrap equipment is
  319. neither very expensive nor difficult to obtain, and some stores will
  320. accept such returned software, repackage and re-shrinkwrap it, and
  321. return it to the store shelf.  Thus, you really can't be certain that
  322. the sealed shrink-wrap you bought *hasn't* been tampered with at some
  323. point along the line.
  324.  
  325. It really is starting to look like either there will have to be
  326. tamper-proof shrinkwrap (as resulted from the Tylenol disaster in the
  327. OTC consumer market), or a general practice of scanning *any*
  328. purchased software for contamination...
  329.  
  330.                 Dave Ihnat
  331.                 ignatz@homebru.chi.il.us (preferred return address)
  332.                 ignatz@chinet.chi.il.us
  333.  
  334. ------------------------------
  335.  
  336. Date:    Tue, 26 Sep 89 20:24:00 -0500
  337. From:    <CTDONATH%SUNRISE.BITNET@VMA.CC.CMU.EDU>
  338. Subject: Tiger Teams & Viruses
  339.  
  340. Someone has suggested that "Tiger Teams" use (as one of their tests)
  341. viruses. A "controlled" atmosphere is suggested.
  342.  
  343. Like the idea of an anti-virus virus, this usage may run out of
  344. control and cause more damage than expected. If the tiger team fails
  345. to exterminate ALL copies of the virus (which is very likely in the
  346. chaotic user environment), there is the possibility of virus parinoia
  347. (i.e. lawsuits), files that grow in size for no good reason (very
  348. dangerous when a disk is full or nearly so [programs abend or refuse
  349. to run]), and the possibility of lost data thru virus malfunctions.
  350.  
  351. Another problem is the nature of a tiger team using a virus: the virus
  352. would be released in a (probably) unsuspecting work area. The presence
  353. of strangers insisting on checking every disk that leaves the area
  354. (and don't forget the problem of LANs and file transfers) would cause
  355. chaos.
  356.  
  357. Remember, a "good" virus used for a "good" purpose would have to be
  358. working perfectly. And we all know how programs work perfectly under
  359. all conditions all the time :-)
  360.  
  361. ------------------------------
  362.  
  363. Date:    Tue, 26 Sep 89 18:50:40 -0700
  364. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  365. Subject: Disk Killer Virus (PC)
  366.  
  367. The CVIA has isolated the "Disk Killer" virus after 6 months of work
  368. and over three dozen reports.  The virus activates after a random time
  369. period which varies from a few days to a few months, and when it
  370. activates, it performs a low level format of the hard disk - thereby
  371. destroying itself along with everything else.  As it formats, it
  372. displays the message - "Disk Killer -- Version 1.00 by COMPUTER OGRE.
  373. Don't turn off the power or remove the diskettes while Disk Killer is
  374. processing.  I wish you luck."  The first organization to report this
  375. virus was Birchwood systems in San Jose in early Summer.  Additional
  376. reports were received from Washington, Oklahoma, Minnesota and
  377. Arizona.  We finally isolated it at Wedge Systems in Milpitas
  378. California and discovered that it is a boot sector infector that
  379. infects hard disks and floppies.  The internal messages do not appear
  380. in sector zero, but are stored in sector 152 on floppy disks and an as
  381. yet undetermined location on hard disks.  This had always added to the
  382. confusion over the virus because message remnants were sometimes
  383. discovered in the middle of executable files, and it was assumed that
  384. the virus was a COM or EXE infector.  The virus appears to be very
  385. widespread and everyone should watch out for it.  If your boot sector
  386. does not contain the standard DOS error messages, then immediately
  387. power down and clean out the boot.
  388.  
  389. (Infected boot sectors begin with FAEB).  This is a nasty virus and
  390. should be treated cautiously.  ViruScan V39 identifies the virus, but
  391. it will not be posted till the 29th due to major revisions in SCAN's
  392. architecture for version 39.
  393.  
  394. Alan
  395.  
  396. ------------------------------
  397.  
  398. Date:    26 Sep 89 15:30:08 +0000
  399. From:    bnr-fos!bmers58!mlord@watmath.waterloo.edu (Mark Lord)
  400. Subject: Re: SCANV38 (PC)
  401.  
  402. In article <0012.8909251241.AA29279@ge.sei.cmu.edu> portal!cup.portal.com!Alan_
  403. J_Roberts@Sun.COM writes:
  404. >ViruScan V38 is out and has been sent to Compuserve and the
  405. >comp.binary sites.  This version identifies the MIX1, the New Ping
  406.  
  407. ViruScan V37 was recently uploaded to SIMTEL20, and a question about
  408. it's authenticity has been posted to one of the .ibm.pc newsgroups.
  409. Apparently the length of the SCAN program is 34 bytes longer than the
  410. constant (??)  length that the author said would be preserved for all
  411. versions.
  412.  
  413. Is this a valid copy, or might it have a little parasite attached ?
  414.  
  415. - -Mark
  416.  
  417. ------------------------------
  418.  
  419. End of VIRUS-L Digest
  420. *********************
  421. Downloaded From P-80 International Information Systems 304-744-2253
  422.