home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.220 < prev    next >
Encoding:
Text File  |  1995-01-03  |  16.7 KB  |  421 lines
  1. VIRUS-L Digest   Tuesday, 24 Oct 1989    Volume 2 : Issue 220
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. The Power to Look Your Stupidest... (Mac)
  17. Not-equals VIR Resource (Mac)
  18. RE: IBM-PC virus scanning program from IBM (PC)
  19. Dark Avenger and scanners (PC)
  20. Re: 0 bytes in 1 hidden file, virus?? (PC)
  21. Viruses in archives (PC)
  22. init29: data->application?(Mac)
  23. Viral susceptivity of UNIX vrs MS-DOS
  24. Ohio Virus (no system given)
  25. Creating a virus free boot disk (PC)
  26. Re: /VIR ([not-equal-to-sign]VIR) App Signature (Mac)
  27. Re: The DataCrime viruses (PC)
  28. It can happen to anyone :-( (PC)
  29.  
  30. ---------------------------------------------------------------------------
  31.  
  32. Date:    Mon, 23 Oct 89 11:17:31 -0400
  33. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  34. Subject: The Power to Look Your Stupidest... (Mac)
  35.  
  36.  
  37. Some significant facts:
  38.  
  39. 1) Careful testing of SuperClock 3.5 (including dissection via ResEdit)
  40.    turns up no - repeat, NO - viruses of any kind from any source I can
  41.    get it from.
  42.  
  43. 2) STR 801 in a MacWrite file is OK and is in fact normal.
  44.  
  45. 3) No further developments have been heard. Can you please tell us more,
  46.    if anything?
  47.  
  48. 4) Has anyone actually gotten to see this supposed virus? If you have
  49.    a copy, will you PLEASE send it to John Norstad, or your favorite
  50.    author of anti-virals?
  51.  
  52. I apologize abjectly to those who may have been misled by *my* contributions.
  53. Networking means having to say you're sorry to LOTS of people :-(.
  54.  
  55.  --- Joe M.
  56.  
  57. ------------------------------
  58.  
  59. Date:    Mon, 23 Oct 89 11:24:14 -0400
  60. From:    Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  61. Subject: Not-equals VIR Resource (Mac)
  62.  
  63. A Not-equals-VIR resource on your disk or in your Desktop file just
  64. means that you ran the Interferon program at some point and haven't
  65. removed it or rebuilt your Desktop file lately. Nothing to worry about.
  66.  
  67.  --- Joe M.
  68.  
  69. ------------------------------
  70.  
  71. Date:    23 Oct 89 00:00:00 +0000
  72. From:    CHESS@YKTVMV.BITNET
  73. Subject: RE: IBM-PC virus scanning program from IBM (PC)
  74.  
  75. Thomas Lapp <thomas@mvac23.uucp> writes:
  76.  
  77. >            Since it reports the number of files searched and number of
  78. > disks checked, I suspect that this program would not be able to find
  79. > those viruses which reside on sectors which are then marked bad.
  80.  
  81. All the viruses that I've heard of that live even partially in bad
  82. sectors are boot-sector viruses; the "initial hook" of the virus
  83. is written to the boot sector, and that hook then reads the rest
  84. of the virus off of some sector elsewhere on the disk (which was
  85. marked bad in the FAT at initial infection).   The IBM virus
  86. scanner (and the McAfee one, and probably others) scans boot
  87. records to detect this type of virus.
  88.  
  89. In general, a virus has to arrange to get executed; the viruses
  90. we've seen so far do this either by modifying executable files,
  91. or by modifying the boot record of a disk or diskette.   So
  92. scanners for known viruses that scan executable files and
  93. boot records are looking in the right places!   A "virus"
  94. that just marked a sector as bad and wrote itself there,
  95. without altering the boot sector or any other executable
  96. object, would never get executed...
  97.  
  98. DC
  99.  
  100. ------------------------------
  101.  
  102. Date:    23 Oct 89 00:00:00 +0000
  103. From:    CHESS@YKTVMV.BITNET
  104. Subject: Dark Avenger and scanners (PC)
  105.  
  106. (This is in reply to Alan Roberts' warning about the Dark Avenger
  107.  and scanners in VALERT-L.)
  108.  
  109. The recommended procedure for using the IBM Virus Scanning Program
  110. includes, I'm pretty sure, cold-booting the machine from a trusted
  111. boot diskette before running the scanner.   This will keep the
  112. "spreads to all files on the disk" from happening, since it will
  113. mean that the virus isn't in control when the scanner runs.  It's
  114. also a bit of a pain, but it may be worth it.   If another virus
  115. like the Dark Avenger appears, and you run a scanner that doesn't
  116. know about it, without cold-booting first, you could end up
  117. with an entire disk full of infected files, and not even know it!
  118.  
  119. This isn't really a bug in the scanners that needs to be "fixed".
  120. Any program that opens many many files can have the same effect
  121. when an infect-on-open virus is active.   This includes virus
  122. scanners, anti-virus programs that compute check-values for your
  123. executables to let you know what's changed, backup programs,
  124. GREP-like programs, and so on.  It would certainly be a nice
  125. enhancement if the scanners also scanned RAM before going to
  126. the disk, but even that won't solve the general problem (since
  127. an infect-on-open virus not known to the scanner can still be
  128. spread to the entire disk, unless you cold-boot before
  129. scanning).
  130.  
  131. DC
  132.  
  133. ------------------------------
  134.  
  135. Date:    Mon, 23 Oct 89 11:09:00 -0500
  136. From:    <ACSJNF%DEPAUL.BITNET@VMA.CC.CMU.EDU>
  137. Subject: Re: 0 bytes in 1 hidden file, virus?? (PC)
  138.  
  139.         In reference to CHKDSK's message about 0 bytes in 1 hidden file,
  140.         if I remember correctly, CHKDSK is probably registering the
  141.         volume label, in which case PCTOOLS does show it (at the top of
  142.         the screen, instead of in the file listing).
  143.  
  144.         Try installing the system onto the disk (i.e. SYS A:), and then
  145.         run a CHKDSK.  It should register xxxxxx bytes in 3 hidden files,
  146.         where xxxxxx depends on the version of the system that you are
  147.         using.  Respectively, the hidden files should be:
  148.  
  149.                 IBMBIO.COM -- Contains the BIOS routines
  150.                 IBMDOS.COM -- Contains the DOS routines
  151.                 (volume label)
  152.  
  153.         IBMBIO.COM and IBMDOS.COM will appear in the PCTOOLS window.  They
  154.         will probably have the HIDDEN, SYSTEM, and READ-ONLY bits on.
  155.         It may also have the ARCHIVE bit on.
  156.  
  157.                                         Joel N. Fischoff
  158.                                         Software Support/Technician
  159.                                         DePaul University, Chicago, IL
  160.  
  161. ------------------------------
  162.  
  163. Date:    Mon, 23 Oct 89 14:25:00 -0600
  164. From:    CHRISTOPHER%GACVAX1.BITNET@VMA.CC.CMU.EDU
  165. Subject: Viruses in archives (PC)
  166.  
  167.      Are there any programs currently available that will check for
  168. viruses within an archive file?  I am familiar with the SHEZ program
  169. and how it can be used with VIRUSCAN to scan archives, but SHEZ
  170. un-arcs the archive file before running VIRUSCAN.  My question is,
  171. does a program exist or could one be developed that searched for signs
  172. of an archived and infected program?
  173.  
  174.      I can see two big problems with this immediately.  First, each
  175. different archiving algorithm will archive a virus (call it X)
  176. differently.  An ARCed X will be different from a ZIPed X will be
  177. different from a ZOOed X, etc.  Secondly, say that virus X attaches
  178. itself to the end of COM files.  Will the output (archived file) of an
  179. archiving algorithm translate virus X into the same byte sequence
  180. every time?  For example, program A is infected and becomes AX.  Is
  181. arc(AX) (archived AX) the same as arc(A) + arc(X) and is arc(BX) the
  182. same as arc(B) + arc(X)?
  183.  
  184.      I inquire because I have archived programs/software, and I would
  185. like to know if programs in archives are infected without de-archiving
  186. them (at last count I had over 100 .ARC files) and then SCANing them
  187. as SHEZ does.
  188.  
  189. Christopher Kane
  190.  <CHRISTOP@GACVAX1.BITNET>
  191.  
  192.  
  193. ------------------------------
  194.  
  195. Date:    Mon, 23 Oct 89 10:55:45 -0700
  196. From:    jim@insect.Berkeley.Edu
  197. Subject: init29: data->application?(Mac)
  198.  
  199. INIT29 is a "popular" :-) new Macintosh virus that has
  200. the unusual property of being able to infect data files,
  201. as well as applications.
  202.  
  203. QUESTION:  If a diskette that CONTAINS ONLY DATA FILES, which
  204. are infected by INIT29, is accessed by an uninfected application
  205. residing on a clean diskette,  can the virus spread to the clean disk?
  206.  
  207. (Prior to INIT29,  I had been advising my users that if they go
  208. to Kinko's they would be safe if they took only their data diskette.
  209. But if a data infection  can spread to their application disks,
  210. this would not be good advice.)
  211.  
  212. Anyone got the REAL answer?
  213.  
  214. Jim Bradley, CNR Computer Facility, UC Berkeley
  215.  
  216. ------------------------------
  217.  
  218. Date:    Mon, 23 Oct 89 16:15:00 -0800
  219. From:    Steve Albrecht <ALBRECHT@CALIPH>
  220. Subject: Viral susceptivity of UNIX vrs MS-DOS
  221.  
  222. in: VIRUS-L Digest V2 #217
  223. Subject: Operating System virus protection (DOS & UNIX) Re: UNIX virus proof?!
  224.       (UNIX)
  225. jlg@lanl.gov (Jim Giles) writes:
  226. >>I wouldn't say UNIX is virus-proof (I posted a hoax article about a
  227. >>UNIX virus over a year ago, just before the Internet Worm incident),
  228. >>but it's sure a hell of a lot more virus-resistant than DOS.
  229. >
  230. >How do you know?  The only machines DOS runs on are PCs and compatibles.
  231. >UNIX implemented on these machines would be just as vulnerable as DOS.
  232. >The most obvious weaknesses of DOS are unimportant compared to the fact
  233. >that the hardware itself has no protection mechanisms.
  234.  
  235. Assuming everyone means "MS-DOS" when using the common acronym "DOS"...
  236.  
  237. Every UNIX implementation on 80286/386 processors that I've seen uses
  238. the Intel Protected Mode.  If used properly, this provides process
  239. isolation.  This alone is a great security improvement over MS-DOS.
  240. File system security can be provided similarly by using memory-mapped
  241. rather than i/o mapped devices.
  242.  
  243. Their are a few UNIX implementations which run on 8088-based PCs.  It
  244. is true that hardware support for process isolation and file security
  245. are lacking in off-the shelf IBM PC and PC/XT-type machines.  The
  246. rarity of such machines running UNIX is a wonderful defense against
  247. viruses, however.
  248.  
  249. The fact remains that most users of PC/AT and 386-based machines use
  250. MS-DOS which, now in its 4th major version, is still incapable of
  251. using Intel Protected Mode.  Thus, Peter's original statement is fully
  252. justified.
  253.  
  254. MS-DOS is (also) an easier target than UNIX because of its simplicity
  255. and easy access to technical information.  While UNIX internals are
  256. also widely available, they are written for more sophisticated
  257. readers.  The multitudinous flavors of UNIX also inhibits low level
  258. attacks.  MS-DOS is is a sitting duck (such being the price of
  259. standardization).
  260.  
  261. As an aside, I abhor the idea of anyone promulating "virus hoaxes" or
  262. other forms of terrorism.  As I lack complete understanding of Peter's
  263. claim to have "posted a hoax article about a UNIX virus over a year
  264. ago", I will resist further comment on this distasteful subject.
  265.  
  266. (::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::)
  267. ) Steve Albrecht - IntelliCorp, Inc. - Knowledge Systems Product Development (
  268. ( "Opinions expressed here are my own, if anyone's, and not my employer's."  )
  269. ) DDS   albrecht@intellicorp.com         :     COMPUSERVE  73657,1342        (
  270. ( UUCP  ...!sun!intellicorp.com!albrecht :     public bbs  (415)969-5643     )
  271. )   or  ...!sun!icmv!albrecht            :                "c"omment to sysop (
  272. (::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::)
  273.  
  274. ------------------------------
  275.  
  276. Date:    23 Oct 89 14:13:01 +0000
  277. From:    wsinrn@urc.tue.nl (Rob J. Nauta)
  278. Subject: Ohio Virus (no system given)
  279.  
  280. Hello everybody
  281.  
  282. I'm back on a new usercode. If you still have my old one
  283. (RCSTRN@HEITUE51.BITNET) please replace it by this one, as my bitnet
  284. account expired sept.  1st.
  285.  
  286. I have a question. I recently found the Ohio Virus on a disk. I've
  287. never heard of it, who knows more about it?
  288.  
  289. Thanks in advance
  290.  
  291. Rob J. Nauta
  292. wsinrn@eutrc3.UUCP
  293. wsinrn@urc.tue.nl
  294.  
  295. ------------------------------
  296.  
  297. Date:    Mon, 23 Oct 89 22:24:09 -0400
  298. From:    Dave <consp12@bingvaxu.cc.binghamton.edu>
  299. Subject: Creating a virus free boot disk (PC)
  300.  
  301. In regards to the already-resident-virus problem(disinfecting), I follow
  302. a fairly easy procedure...  Do a low-level format of a new disk..  Take
  303. your original(Write-protected, of course) dos and sys the disk..  add
  304. command.com and your favorite virus scanner..  This is something that
  305. you should do BEFORE you are infected...  You have to be sure that your
  306. scanner is clean..
  307.   Now write protect the disk and tuck it away somewhere..  If you think
  308. you're infected, shut down and boot from your floppy..  Now you have no
  309. resident virus's..  I don't trust mem-res scanners, myself..
  310.  
  311. Dave Hoelzer @sunyB..
  312.           CONSP12@bingvaxa
  313.  
  314. ------------------------------
  315.  
  316. Date:    Tue, 24 Oct 00 19:89:02 +0000
  317. From:    biar!trebor@uunet.UU.NET (Robert J Woodhead)
  318. Subject: Re: /VIR ([not-equal-to-sign]VIR) App Signature (Mac)
  319.  
  320. In: VIRUS-L Digest   Monday, 23 Oct 1989    Volume 2 : Issue 216
  321. prieto@gem.mps.ohio-state.edu (Juan Pablo Prieto-Cox) writes:
  322.  
  323. >I also found a resource of type =/VIR (for
  324. >typographical reasons by =/ I mean the symbol for not equal). Remember
  325. >that I had already ran Disinfectant.  Does anyone have a clue? or a
  326. >similar problem?
  327.  
  328. You may have a new nVIR strain (I would appreciate copies of infected
  329. files), but =/VIR is the application signature of my Interferon
  330. program.  This is not the first time this has come up, and in retrospect
  331. it may have been a bad choice.
  332.  
  333. Just FYI:
  334.  
  335. =/VIR    Interferon
  336. VIRx    Virex (early versions)
  337. VIRy    Virex (more recent versions)
  338.  
  339. Robert J Woodhead, Biar Games, Inc.   !uunet!biar!trebor | trebor@biar.UUCP
  340. Announcing TEMPORAL EXPRESS.  For only $999,999.95 (per page), your message
  341. will be carefully stored, then sent back in time as soon as technologically
  342. possible.  TEMEX - when it absolutely, postively has to be there yesterday!
  343.  
  344. ------------------------------
  345.  
  346. Date:    24 Oct 89 09:13:11 +0000
  347. From:    jr@ncrsecp.Copenhagen.NCR.dk (Jakob Riis)
  348. Subject: Re: The DataCrime viruses (PC)
  349.  
  350. In article <0002.8910062006.AA22699@ge.sei.cmu.edu> David.M..Chess.CHESS@YKTVMV
  351.  writes:
  352. >> DC-2 does it on any day
  353. >> between Jan 1 and Oct 12, except on Sundays!
  354.  
  355. >That's not true for the sample that I've seen.  I suspect someone's
  356. >just misreading the code (it's easy to do; that area is rather
  357. >convoluted).  It could be a new variant, of course, but if it really
  358. >*did* do its damage between Jan 1 and Oct 12, wouldn't it have
  359. >basically Gone Off by now?  I think your source is just misinformed.
  360.  
  361. You might both be right ! The de-assembled code I've seen shows that
  362. its fairly easy to trim DCII to go off anytime you would like it - in
  363. fact you can de-arm it yourself by setting the day check equal 8 !
  364. (but I guess I would rather re-install the original programs). If I
  365. don't remember wrong the newly dreaded Columbus day Virus was such a
  366. re-programming of DCII.
  367.  
  368. Just my 2 cents worth,
  369. _____________________________________________________________________________
  370. Jakob Riis                      |                Jakob.Riis@Copenhagen.NCR.dk
  371. NCR Corporation                 |                               or
  372. Systems Engineering Copenhagen  |     ..!uunet!mcvax!dkuug!ncrsecp!jakob.riis
  373. - ---------------------------------------------------------------------------
  374. !                A plucked goose doesn't lay golden eggs                    !
  375. - ---------------------------------------------------------------------------
  376.  
  377. ------------------------------
  378.  
  379. Date: Tue, 24 Oct 89 11:18:37 GMT
  380. From: frisk@rhi.hi.is (Fridrik Skulason)
  381. Subject: It can happen to anyone :-(  (PC)
  382.  
  383. Well - now I know of one victim of the Datacrime-II virus .....
  384. myself. :-(
  385.  
  386. Last Tuesday I was demonstrating how any known virus could be stopped
  387. with my anti-virus program. Unfortunately I had forgotten that it was
  388. not installed at the time :-(
  389.  
  390. So, when I ran a program infected with DataCrime-II, I just got the
  391. message
  392.  
  393.         DATACRIME II
  394.  
  395. Bye bye hard disk......
  396.  
  397. I turned the computer off, but when I turned it on again the computer
  398. would of course not boot from the hard disk, but instead jumped into
  399. BASIC.
  400.  
  401. When I booted from a diskette, the computer would not even admit that
  402. drive C: existed.
  403.  
  404. It sounds bad, but this took only a few minutes to fix, simply by...
  405.  
  406.     ... formatting track 0 with correct parameters
  407.     ... running NDD
  408.  
  409. and everything was back to normal again.
  410.  
  411. phew !
  412.                         -- frisk
  413.  
  414. [Ed. NDD = Norton Disk Doctor, right?]
  415.  
  416. ------------------------------
  417.  
  418. End of VIRUS-L Digest
  419. *********************
  420. Downloaded From P-80 International Information Systems 304-744-2253
  421.