home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.212 < prev    next >
Encoding:
Text File  |  1995-01-03  |  20.8 KB  |  486 lines

  1. VIRUS-L Digest   Wednesday,  4 Oct 1989    Volume 2 : Issue 212
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Virus Commentary
  17. Re: Virus Commentary
  18. The invincible virus (Ghost virus) (Atari ST)
  19. Information wanted
  20. Re: New virus? (Mac)
  21. nVIR B Details (Mac)
  22. Submission for comp-virus
  23. New Mac Virus - Further Diagnostic Help
  24. Where to Get Mac Anti-Virals
  25. datacrime II antidote (PC)
  26. OGRE virus in Arizona (PC)
  27.  
  28. ---------------------------------------------------------------------------
  29.  
  30. Date:    Sun, 24 Sep 89 15:12:00 -0600
  31. From:    Frank Starr <55srwlgs@sacemnet.af.mil>
  32. Subject: Virus Commentary
  33.  
  34.           Sabotaged Program Reactions - An Editorial Review
  35.           by Frank Starr
  36.  
  37.      The continuing threat of virus and Trojan Horse programs - which
  38. I prefer to call sabotaged programs, has begun to spark some reaction
  39. from the upper levels of the Department of Defense. Concurrent with
  40. the discovery of the so-called "Columbus Day Time Bomb", previously
  41. known as the Datacrime Virus, has come a series of directives which
  42. may serve to eliminate the use of all forms of shareware by D.O.D.
  43. personnel on D.O.D.  microcomputers.
  44.      Air Force users first received word of the Columbus virus from a
  45. message published by the USAF Office of Special Investigation,
  46. republished and mass mailed through MILNET/DDN, the D.O.D. e-mail
  47. system. Two suspected sources have been listed - a European extremist
  48. group in the spiritual sway of Bader Meinhoff, and a Norwegian group
  49. displeased with celebrations honoring Columbus, while ignoring Norse
  50. discoveries preceeding those of European explorers.
  51.      Later communiques identified the virus as the Datacrime variety,
  52. capable of trashing the FAT area of a hard drive. From the first
  53. message to all others received to date, a prevailing directive has
  54. been to cease using all software downloaded from private bulletin
  55. boards. Various interpretations have gone so far as to conclude that
  56. only vendor supplied software should be used, to the absolute
  57. exclusion of everything else, whether shareware available for purchase
  58. after an initial test period, or freeware for which no fee or donation
  59. is ever asked.
  60.      All of this confusion promises to cause a lot of D.O.D. micro
  61. users to cut themselves off from anything except commercial software,
  62. purchased through government contracting channels. This in spite of
  63. the fact that there have even been reports about commercial software
  64. occasionally being sabotaged by temporary employees (as reported in an
  65. issue of Government Computer news about a year ago. Sorry, specific
  66. issue forgotten). There are a number of micro bulletin boards in
  67. D.O.D., some of which offer shareware software for evaluation to
  68. potential customers. Some of the SYSOPs of these systems forsee a call
  69. to close down operations, based on reactions to sabotaged software
  70. threats, and rough drafts of official regulations to control software
  71. on D.O.D. micros (see the September/October C2MUG bulletin, page 5).
  72.      Although there are some advisories for users to back up all
  73. software on D.O.D. micros, more attention seems to be going towards
  74. the elimination of all non-contract software on D.O.D. micros. Since
  75. sabotaged programs are more often reported in connection with
  76. softwaree downloaded from public RBBS systems, this game plan can be
  77. understood, if not readily supported.  However, with micro user
  78. education still a lower priority object in many areas, and software
  79. backup not a widespread practice, it seems that, especially with
  80. funding cuts a now and future reality, more attention would better be
  81. given to how to defend against sabotaged programs, and perhaps the
  82. avoidance of all forms of shareware could be reevaluated.
  83.  
  84. Frank Starr
  85.  
  86. ------------------------------
  87.  
  88. Date:    Sun, 24 Sep 89 18:03:00 -0600
  89. From:    "Frank J. Wancho" <WANCHO@WSMR-SIMTEL20.ARMY.MIL>
  90. Subject: Re: Virus Commentary
  91.  
  92. Frank,
  93.  
  94. I just read and reread your editorial.  I fear that possibly many
  95. people will misread it, overlooking certain key words and phrases,
  96. such as "may" in "may serve to eliminate," "various interpretations,"
  97. "foresee," "seems" in "more attention seems to be," etc.
  98.  
  99. The actual point of your editorial, with which I agree, is in your
  100. last sentence, which should have been a paragraph by itself (starting
  101. with the word, "However," and broken into several sentences:
  102.  
  103.     Micro user education is still a low priority activity in many
  104.     areas, and software backup not a widespread practice.  With
  105.     funding cuts a now and future reality, more attention should be
  106.     given to defending against sabotaged programs.  Then, perhaps, the
  107.     trend toward avoiding all forms of shareware could be reevaluated.
  108.  
  109. - --Frank
  110.  
  111. ------------------------------
  112.  
  113. Date:    03 Oct 89 14:17:35 +0000
  114. From:    erwinh@solist.htsa.aha.nl (Erwin d'Hont)
  115. Subject: The invincible virus (Ghost virus) (Atari ST)
  116.  
  117. First I would like to make my excuse for not giving enough information
  118. in my last (and first in my career) message to usenet.
  119.  
  120. I asked some information about the Ghost Virus on the Atari ST, well I
  121. forgot to mention the computersystem and the kind of information I
  122. requested Well here goes all or nothing :
  123.  
  124. Since a few months I'm being bugged by a virus that inverses the
  125. mousepointer.  So after I figured that it could be a virus, I pulled
  126. out my trusty Viruskiller (VDU - Virus Destruction Utility V1.4) and
  127. became aware of this "Ghost Virus".  After wiping the virus from all
  128. my disks I thought I would be save, but none could be more true. This
  129. virus returned every time.
  130.  
  131. Maybe it is a link-virus that somehow manages to copy itself into the
  132. bootsector so that it can begin it's faul work again. But the VDU
  133. doesn't reconize any link-virus on any of my disks, so my question to
  134. all of you is :
  135.  
  136. Is there some way to get rid of this virus without formatting all my
  137. disks ??
  138.  
  139. Erwin
  140.  
  141. WARNING : Never crunch a file or disk without checking it !!!!!!!!!!!!!!
  142.  
  143. ------------------------------
  144.  
  145. Date:    04 Oct 89 02:50:40 +0000
  146. From:    cvl!cvl!umabco!bgoldfar@uunet.UU.NET (Bruce Goldfarb)
  147. Subject: Information wanted
  148.  
  149. I am looking for addresses (phone numbers ideal) for the Computer Virus
  150. Industry Association and the National Bulletin Board Society.  Any and
  151. all help is deeply appreciated.
  152.  
  153. Bruce Goldfarb
  154. umabco!bgoldfar@cvl.umd.edu (or)
  155. cvl!umabco!bgoldfar
  156.  
  157. ------------------------------
  158.  
  159. Date:    Mon, 02 Oct 89 16:05:35 -0400
  160. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  161. Subject: Re: New virus? (Mac)
  162.  
  163. >Subject: New virus? (Mac)
  164.  
  165. I'm afraid so...
  166.  
  167. >We here at the University of Rochester may have discovered a new
  168. >virus, or a variation on a theme.  What it does is infect Macwrite ...
  169.  (sundry details omitted)
  170. >             ... Disinfectant 1.1 doesn't work, so please email me the
  171. >latest version of disinfectant to try...
  172.  
  173. I'm afraid it won't help. You should send some mail to John Norstad
  174. *immediately* and let him know about it. He may request a copy of your
  175. infected files. His net address is in the Disinfectant documentation.
  176.  
  177. >The virus definitely attacks Macwrite.  It adds a str ID 801 and
  178. >modifies the icon to say Macwite instead of the standard application
  179. >icon.  The application increases in size by 104 bytes, 56 in the
  180. >string.  they are added in sector 014F, according to Fedit Plus 1.0.
  181.  
  182. Actually, you should check it out with ResEdit and see what resource
  183. they get added to. Ditto for the System; look for INIT resources.
  184. There are a few that are supposed to be there, but the virus may add
  185. new ones.
  186.  (more details omitted)
  187.  
  188. This sounds very much like a new virus. Have you Vaccine or GateKeeper
  189. installed? Either should keep infections from spreading, unless the
  190. virus is doing its own disk I/O at the driver level (very dangerous
  191. and could lead to screwed-up disks).
  192.  
  193. Things to try:
  194.   - Write-protect a known-clean version of MacWrite and try running
  195.     it on the infected system.
  196.   - Change another application's signature (type/creator) to MacWrite's
  197.     and see if the virus tries to infect it.
  198.   - Name MacWrite something else and see if it is attacked.
  199.   - Look at the system healp with Macsbug and and try to identify all
  200.     of the resources loaded into it. This may help in tracking down
  201.     the infection mechanism.
  202.  
  203. I'd appreciate hearing further details; post them to me personally
  204. if you'd like.
  205.  
  206.  --- Joe M.
  207.  
  208. ------------------------------
  209.  
  210. Date:    Tue, 03 Oct 89 10:16:41 -0400
  211. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  212. Subject: nVIR B Details (Mac)
  213.  
  214. <CTDONATH@SUNRISE.BITNET> asks:
  215. >I recently came across the nVIR B virus on a cluster of Macs. I removed
  216. >it using Disinfecant 1.5 and appears to be gone.
  217. >
  218. >What problems does nVIR B cause? Does it delete files, do annoying things,
  219. >or simply spread? Being a semi-public cluster, how much of a concern
  220. >is its presence?
  221.  
  222. It does annoying things (beeps or says "Don't Panic"). Since it also grabs
  223. space in the system heap AND installs a VBL task, it can cause memory
  224. problems and timing problems, causing printing failures and crashes.
  225.  
  226. Its presence is always a concern. Think of it as a public health problem.
  227. Your cluster, if left infected, would be a reservoir of infection and a
  228. potential source of spread, no matter how much time other clusters spent
  229. cleaning themselves up.
  230.  
  231. Get Vaccine or GateKeeper installed on those Macs. Now. You must have
  232. either not had them installed, or someone has been turning them off. If
  233. you suspect that someone is deliberately infecting the cluster, you might
  234. want to set up a virus-scanning station that all disks must be passed
  235. through before they are used on your cluster. The Disinfectant
  236. documentation will tell you how to do this.
  237.  
  238.  --- Joe M.
  239.  
  240. ------------------------------
  241.  
  242. Date:    04 Oct 89 13:08:50 +0000
  243. From:    kkk@ohdake.uta.fi (Kimmo Kauranen)
  244. Subject: Submission for comp-virus Where could I get a copy of "Proceedings..."
  245.  
  246.         Hey!
  247.  
  248. There is been in some articles a mention about the book "Stephen J.
  249. Ross (ed.)  Computer Viruses - Proceedings of an Invitational
  250. Symposium, Oct 10-11,1988. New York: Deloitte, Haskings & Sells,
  251. 1989."
  252.  
  253. I 'd like to get it, but where could I order it?
  254.  
  255. Thanks beforehand
  256. Kimmo Kauranen
  257.  
  258. ------------------------------
  259.  
  260. Date:    Wed, 04 Oct 89 09:51:17 -0400
  261. From:    Joe McMahon <XRJDM%SCFVM.BITNET@VMA.CC.CMU.EDU>
  262. Subject: New Mac Virus - Further Diagnostic Help
  263.  
  264. Try using GateKeeper and shutting down ALL accesses to files. See if
  265. that will show you what's being copied into the files. It should be
  266. in the GateKeeper Log.
  267.  
  268.  --- Joe M.
  269.  
  270. ------------------------------
  271.  
  272. Date:    Wed, 04 Oct 89 09:46:05 -0400
  273. From:    Joe McMahon <XRJDM@SCFVM.BITNET>
  274. Subject: Where to Get Mac Anti-Virals
  275.  
  276. CTDONATH@SUNRISE.BITNET asks:
  277.  
  278. ...where can we get the most recent versions {of anti-viral software} ?
  279.  
  280. On BITNet, the LISTSERV at our node (SCFVM) has a virus-removal package
  281. consisting of Disinfectant, Virus Rx, Vaccine, GateKeeper, and some
  282. other files. You can subscribe to this package and receive updates
  283. automatically by obtaining a LISTSERV password and AFD ADDing the
  284. package.
  285.  
  286. On Internet, sumex-aim.stanford.edu has anti-virals in the
  287. /info-mac/virus directory. apple.apple.com in the pub/dts/mac/tools
  288. directory has the newset version of Virus Rx.
  289.  
  290. Hope this helps.
  291.  
  292.  --- Joe M.
  293.  
  294. ------------------------------
  295.  
  296. Date:    04 Oct 89 18:14:00 +0700
  297. From:    NOAM@SARA.NL
  298. Subject: datacrime II antidote (PC)
  299.  
  300. On or after the 12th of October, an undetermined number of computer
  301. 'viruses' are scheduled to start erasing the data of their
  302. unsuspecting hosts. One virus in particular, known as 'DATACRIME II',
  303. is an especially nasty specimen, as it not only spreads very rapidly,
  304. but also formats the hard disk of any computer it infests, permanently
  305. destroying all of the contents.
  306.  
  307. DATACRIME was first detected in the Netherlands, and the leading
  308. computer publication of that country, PERSONAL COMPUTER MAGAZINE,
  309. commissioned computer expert Rikki Cate to write an 'antidote' program
  310. for its readers.  Cate, an American who lives in the Netherlands, is a
  311. programmer specialized in this kind of work.
  312.  
  313. Cate's Cure was an overnight sensation.  Featured on radio, television
  314. and in Holland's leading newspapers, thousands of copies were
  315. distributed within the first few days and it has already inspired a
  316. number of hastily composed imitations. Even the Dutch police have
  317. begun distributing a version of their own.  Cate's Cure, however,
  318. claims superiority to all of these.  It is much faster, it actually
  319. removes the virus, it repairs damaged programs, it automatically
  320. searches all the directories on the hard disk, and it provides
  321. permanent protection against formating of the hard disk or new
  322. infections by the virus.  None of the other programs released have any
  323. of these features.  This is believed to have been confirmed in an
  324. independent test carried out by the Dutch Railways.
  325.  
  326. In view of the huge demand and the clear anxiety indicated by that,
  327. Cate has decided, with the approval of PCM, to make the antidote more
  328. widely available at a cost of $10 per disk.  Additional information
  329. can be obtained from her directly by calling 31-20-981963 in
  330. Amsterdam.  Fax: 31-20-763706, telex 12969 neabs nl, Fido 2:280/2,
  331. electronic mail 31-20-717666, all marked to her attention.
  332.  
  333. [Ed. Any chance of getting a copy of Catee's Cure on this side of The
  334. Pond, for electronic distribution?]
  335.  
  336. ------------------------------
  337.  
  338. Date:    Wed, 04 Oct 89 10:18:00 -0700
  339. From:    <WIER@NAUVAX.BITNET>
  340. Subject: OGRE virus in Arizona (PC)
  341.  
  342. Original_From: Paul Balyoz
  343.  
  344. A new, extremely nasty virus has been discovered on some IBM PCs in
  345. the state of Arizona.  This virus, known as OGRE, has been found on
  346. some disks in Flagstaff and nearby areas.  This is the first
  347. recognition of said virus that has come to my attention.  This memo
  348. gives a description of the virus and possible ways of recognizing and
  349. removing it.
  350.  
  351. DESCRIPTION
  352.  
  353. The OGRE virus tries to infect any disks it sees that haven't yet been
  354. infected with itself.  It counts the number of disks it has infected
  355. as it goes along.  It does no harm until after it has infected a
  356. certain number of disks.  After that point it will display a message
  357. on the screen at boot time identifying itself as the COMPUTER OGRE
  358. dated April 1, and telling you to leave your machine alone as it
  359. begins "stomping" blocks on the disk randomly, by writing blocks full
  360. of one character all over the disk.  This holds true for both floppy
  361. disks and hard disks.  The damage done in this manner is virtually
  362. irrepairable.  Once this happens the hard disk usually needs to be
  363. reformatted (which effectively erases everything on on disk).  If
  364. backup copies of the files from that disk were made, it can be
  365. restored back onto the reformatted disk, and all is well again (until
  366. the next time).
  367.  
  368. If you see this message appear on your screen, ignore the warning and
  369. TURN YOUR COMPUTER OFF IMMEDIATELY!  The quicker you turn it off, the
  370. less damage it will have done.  The first blocks it destroys are the
  371. boot blocks and file and directory information; files go after that.
  372. If stopped in time, the files on the disk may be retrieved using
  373. various disk utility programs.
  374.  
  375. TECHNICAL DETAILS
  376.  
  377. The OGRE virus spreads by writing copies of itself onto 3 unused
  378. blocks on the disk.  It then marks those blocks as being "bad," so
  379. that normal disk usage won't ever choose those blocks for storing
  380. ordinary data.  Thus the virus can stay on the disk without being
  381. bothered.  The important step is when it modifies the boot blocks of
  382. the disk so that next time the disk is booted, the special code on
  383. those three blocks is executed, and the virus can try to infect new
  384. disks.  Thus, every time the disk is booted thereafter, the OGRE code
  385. is executed, and can do what it has been programmed to do.
  386.  
  387. Because the OGRE virus operates at such a "low level," none of the
  388. existing virus detection/elimination programs currently in existence
  389. for the IBM PC will work.  Note that OGRE doesn't create or modify any
  390. of the files on the disk at the time of infection, nor does it effect
  391. the FAT in any way.  Thus it is virtually undetectable by present
  392. means, until special programs are developed to detect and remove it.
  393.  
  394. RECOGNIZING THE VIRUS
  395.  
  396. If you have a "disk zap" or "sector edit" type of program, you can use
  397. that to see if the OGRE virus has infected each of your disks.  You'll
  398. want to search the disk for the string "OGRE" (those four upper-case
  399. ascii characters) or "COMPUTER OGRE" to be sure.  You will know by the
  400. surrounding text if each occurrance of the string is truly the virus
  401. or not.
  402.  
  403. The software package "Norton Utilities" has a program that can do this
  404. sort of disk-searching function.  The most important place to look are
  405. the boot- blocks on the disk.  If the string exists in that area, your
  406. disk is probably infected.
  407.  
  408. Note: It is possible for normal information on the disk to spell out
  409. the string "OGRE" just by chance.  As I understand it, that string
  410. being found in the boot-blocks nearly guarantees infection.  The text
  411. before and after the string must be viewed to be sure.  There is a
  412. date of April 1, and a copy- right notice, as well as the English text
  413. that it can display.  You will know from the context whether your disk
  414. is infected or not.
  415.  
  416. CLEANING AN INFECTED DISK
  417.  
  418. File copying will "clean" an infected disk.
  419.  
  420. Because OGRE doesn't effect any files, per se, a good method for
  421. cleaning up an infected disk that hasn't been "stomped on" yet would
  422. be to copy all of the files off that disk onto a freshly formatted
  423. one.  Of course you'll want to be sure that the virus isn't running
  424. while you do this, or it will quickly infect the new disk as well!
  425. Boot your computer from an original system disk that was distributed
  426. with your computer.  Make sure it is write-protected before booting.
  427. If this disk has never been un-write-protected, then it can't ever
  428. have been infected.  Then go ahead and format the new disk, and copy
  429. your files to it.
  430.  
  431. The infected disk you just copied all the files off of can now be
  432. formatted to clean it up, and files copied back onto it again.
  433.  
  434. FUTURE VIRUS DETECTION IDEA
  435.  
  436. Checksum the boot blocks.
  437.  
  438. A program should be written to run a set of checksums on the boot
  439. blocks of your disk, and remember the number somewhere.  When run
  440. thereafter it can recompute the checksum and compare it to the one
  441. recorded previously.  If the two checksums do not match exactly then
  442. the boot blocks have been modified, which is not a normal thing to
  443. have happen.  The program can then notify the user that,
  444.  
  445.      "The boot blocks on this disk have changed; you may have a virus."
  446.  
  447. If this program were written and launched from the AUTOEXEC.BAT file
  448. on all bootable disks, then the user would know immediately if they
  449. were infected.  Of course, the OGRE virus would have already been
  450. executed once by then, since the disk was booted before the
  451. AUTOEXEC.BAT file was read, so it may have infected another disk; but
  452. it won't have gone on the rampage yet.  The user would thus have
  453. pre-knowledge of the infection, and can combat it before any damage is
  454. done.
  455.  
  456. DISCLAIMER
  457.  
  458. I have not personally seen the virus nor any disks damaged by it.
  459.  
  460. SOURCE INFORMATION
  461.  
  462. This new virus was discovered by members of the staff at Computer
  463. Solutions here in Flagstaff Arizona.  They are working on
  464. disassembling the virus and will hopefully come up with a virus
  465. removal procedure or program.  The current theory is that it
  466. originated somewhere in the Phoenix area, but nothing is sure yet.
  467. Computer Solutions is trying to contact as many people as they can to
  468. warn them about this new problem.  You are encouraged to make copies
  469. of this memo in any form and distribute them to anyone who might need
  470. to know this information.
  471.  
  472. You can contact Computer Solutions at 602-774-1272 during the day.
  473.  
  474. submitted by:
  475.                      *usual disclaimers*
  476.  ---------------------------------------------------------------------
  477.   - Bob Wier                             Northern Arizona University
  478.    Ouray, Colorado            &                Flagstaff, Arizona
  479.   ...arizona!naucse!rrw |  BITNET: WIER@NAUVAX |      WB5KXH
  480.  
  481. ------------------------------
  482.  
  483. End of VIRUS-L Digest
  484. *********************
  485. Downloaded From P-80 International Information Systems 304-744-2253
  486.