home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.221 < prev    next >
Encoding:
Text File  |  1995-01-03  |  22.5 KB  |  488 lines
  1. VIRUS-L Digest   Tuesday, 24 Oct 1989    Volume 2 : Issue 221
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Re: Gatekeeper false alarm? (Mac)
  17. Re: SAM vs. Gatekeeper (Mac)
  18. RE: Superclock non-virus... (Mac)
  19. Re: INIT 29 question from Jim Bradley...
  20. IBM Virus Scan program (PC)
  21. Virus source available in Toronto
  22. IBM's Virscan Program (PC)
  23. VIRUSCAN test (IBM PC)
  24.  
  25. ---------------------------------------------------------------------------
  26.  
  27. Date:    23 Oct 89 21:27:20 +0000
  28. From:    ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
  29. Subject: Re: Gatekeeper false alarm? (Mac)
  30.  
  31. In VIRUS-L Digest V2 #217, Richard Kennaway (kennaway@sys.uea.ac.uk) writes:
  32.  
  33. >Paranoid speculation follows.
  34.  
  35. Paranoia, being a disease, is an inherently bad thing.  What follows is, I
  36. believe, an unfortunate illustration.
  37.  
  38. >Maybe someone is using the Joker's trick.  There could be several
  39. >infected applications out there, all quietly spreading harmless-looking
  40. >things like STR 801 that dont ring GateKeeper's alarms, but when they
  41. >all come together in one application, the real virus is triggered...
  42.  
  43. More likely, there's no virus *at*all*.  I do believe this is pure paranoia.
  44. Further, there's a good reason that things like STR resources look harmless:
  45. they are.  Period.  They aren't executable, so they don't get executed.  In
  46. and of themsleves they are *utterly* harmless.  The end.
  47.  
  48. For a virus to spread executable code has to move.  Although *no* anti-virus
  49. scheme is perfect, that is exactly the kind of thing that Gatekeeper watches
  50. for.  There's no such dichotomy as "real virus" versus un-real virus - either
  51. it is a virus, or it isn't.
  52.  
  53. That means that this "Jocker's trick" is essentially nonsense - in order for
  54. the "harmless-looking things like STR 801" to spread there has to be a real-
  55. live virus *doing* the spreading - a virus which, in all probability, systems
  56. like Gatekeeper will stop.
  57.  
  58. >Plug for Virus Detective: with this it was easy to search for all files
  59. >containing STR 700 (legitimate MacWrite resource) or STR 801.  All the
  60. >other virus detectors I've seen have the symptoms to look for
  61. >hard-wired.  I have no relationship with the author other than being a
  62. >satisfied customer.
  63.  
  64. Philosophical Point:  The problem with tools is that the users have to under-
  65. stand how they work, what they do, and how to use them.  A failure of the
  66. user on any of these points results in the tool being unable to accomplish its
  67. intended purpose.
  68.  
  69. Virus Detective is a fine tool, but it's not being correctly employed here.
  70. Sure enough, most MacWrite files have STR 700 and 801 resources, but just
  71. because Virus Detective will allow a person to discover this, *doesn't*
  72. in any way indicate the presence or involvement of a virus.
  73.  
  74. Like any tool Virus Detective can be used correctly or incorrectly -- in this
  75. case it is being used in an incorrect manner, since the key issue,
  76. whether or not there is any reason to believe a virus is involved, has
  77. been sidestepped.  Virus Detective is now merely serving as a tool to "confirm"
  78. baseless fears and assertions.
  79.  
  80. Gatekeeper being more a "system" than a "tool", is less prone to feeding
  81. wild speculation, since it has its own means of identifying the presense of
  82. a virus and, as a result, does not require that the user be a skilled Mac
  83. programmer capable of searching out and analyzing would-be new viruses.  Of
  84. course, Gatekeeper is fallible... but that usually means that users are merely
  85. required to tell it what *isn't* a virus, rather than having to search out
  86. new viruses from scratch like searching for needles that may-or-may-not be
  87. hidden in hay stacks.
  88.  
  89. STRs 801 and 700 are good examples of strands of hay mistaken for needles.
  90.  
  91. Returning to Gatekeeper, the symptoms are not quite "hard-wired".  Gatekeeper's
  92. philosophy is, basically, that if a virus can't move, add, modify or delete
  93. executable resources (there are about 24 types), then it can't spread.
  94. And a virus that can't spread isn't really a virus anymore.  Of course, you'll
  95. still want something like Disinfectant to remove the effectively sterilized
  96. virus.
  97.  
  98. The list of executable resources is certainly not hard-wired - it's easily
  99. edited by following the instructions in the on-line help.  The type of
  100. monitoring that Gatekeeper does *is* hard-wired, but in order to establish
  101. that this is a problem, a way must first be found to spread a virus without
  102. moving, adding, modifying or deleting executable resources.
  103.  
  104. In short, the hard-wired aspects of Gatekeeper are not a problem - they are
  105. *fundamental* protections.  This is why Gatekeeper has been able to stop
  106. every Mac virus discovered to date, including totally new viruses like
  107. ANTI and INIT 29 which were developed *after* Gatekeeper was written.
  108. I should add that Gatekeeper's security system has not had to change since
  109. it was first released on 2-Jan-89, precisely because it is such a fundamental
  110. approach to stopping viruses.
  111.  
  112. Gatekeeper isn't perfect - no anti-virus system is - but it's very good.
  113.  
  114. I, personally, tend to be a bit defensive with regard to Gatekeeper because
  115. I've observed a number of misconceptions that do it sad injustices, while
  116. johnny-come-lately packages like SAM and the Virex INIT, etc. are heralded
  117. as the first and only fundamental solutions to the Macintosh virus problem.
  118.  
  119. Since Gatekeeper was discussed here in a misleading manner I thought it was
  120. important to try to put an end to, at least, the misconceptions illustrated
  121. here.
  122.  
  123. As to the alleged MacWrite virus - paranoia tends to spread... and I've
  124. seen a number of postings to other newsgroups from people scared because
  125. they've discovered perfectly normal STR resources in their MacWrite documents.
  126.  
  127. This never should have happened.
  128.  
  129. The fact is, the burden of proof is on he who asserts the positive.  Yet, for
  130. all the talk about this new virus, there's still been no offer of proof of
  131. the virus's existence.  Nonetheless, the paranoia spreads due to these
  132. baseless assertions.  If there's some proof, we *need* it and blessings upon
  133. whoever provides it, but, for lack of that proof, this discussion should
  134. have been terminated long ago.
  135.  
  136. Given that there's been a delay in the VIRUS-L news recently, maybe this
  137. discussion has already died, and I've ranted on needlessly.  I certainly
  138. hope that's the case.
  139.  
  140. - ----Chris (Johnson)
  141. - ----Author of Gatekeeper
  142. - ----chrisj@emx.utexas.edu
  143.  
  144. ------------------------------
  145.  
  146. Date:    23 Oct 89 22:09:00 +0000
  147. From:    ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
  148. Subject: Re: SAM vs. Gatekeeper (Mac)
  149.  
  150. In VIRUS-L Digest V2 #216, Henry C. Schmitt writes:
  151.  
  152. >I have used both GateKeeper and SAM Intercept and I prefer the
  153. >latter.  The main reason?  When "something suspicious" happens,
  154. >GateKeeper says "you can't do that!" then if you want to override,
  155. >you must open the Control Panel select GateKeeper and set up the
  156. >permission; with SAM Intercept, at the time of the happening you can
  157. >allow the action once or LEARN the action then and there!
  158.  
  159. The reason Gatekeeper does not bring up a custom dialog that would
  160. let the user allow an operation, is neither sloth, nor indifference to
  161. the plight of the user.  The reason is *compatibility*.  Apple will
  162. guarantee that the Notification Manager, which Gatekeeper uses to display
  163. its alerts, will be compatible with virtually all software and will certainly
  164. be compatible with all future versions of the System.  SAM's custom dialog
  165. may break in future releases of the System - or it may not.  For myself,
  166. I can't think of any method that's worth the risk.
  167.  
  168. Since the author of SAM probably had support from Apple DTS, he may have
  169. been provided with techniques that would make a safe implementation possible.
  170. I, regrettably, have no real access to DTS (becoming a registered developer
  171. requires money I just don't have).  If anyone at DTS would be willing to
  172. offer some advice on safe ways of approaching the custom-alert problem, I'd
  173. *love* to hear it.  (Hint, hint.)  :-)
  174.  
  175. One other point though (and please correct me if I'm wrong), I've been told
  176. that SAM doesn't provide a way to view all of the privileges that have been
  177. granted to various applications, let alone a method of editing them.  If this
  178. is the case, I have to view it as a far greater problem with SAM, than on-the-
  179. fly configuration is with Gatekeeper.  If someone using your machine inadvert-
  180. antly or unwittingly clicks on the LEARN button when a virus attack is
  181. detected, your copy of SAM will have been programmed to let a virus attack
  182. succed in that case, and you'll probably never find out.
  183.  
  184. Like I said, though, please correct me if I'm mistaken.
  185.  
  186. On the subject of the Gatekeeper Log file:
  187.  
  188. >I only see this as being useful if you're trying to track the
  189. >propagation of a virus, but then you have to allow the "suspicious
  190. >action" which GateKeeper doesn't do (unless you gave permission, in
  191. >which case it isn't logged!)
  192.  
  193. Depends what you mean by "propagation."  If you mean the successful spread
  194. of a virus, then yes, Gatekeeper won't tell you much simply because it won't
  195. permit the spreading to occur in the first place. :-)
  196.  
  197. But consider what the log file *does* do for you... it will tell you where
  198. all of the infection attempts originated from, when they started, what
  199. characterized the infection attempt, and it'll even tell you whether or not
  200. your machine was booted on a floppy disk and infected that way.  Furthermore,
  201. if you're a person attempting to quickly gain an understanding of a virus'
  202. infection mechanism, running Gatekeeper on a test machine in its "notify only"
  203. mode will give you an immediate run-down on how the virus works.
  204.  
  205. Also, each virus has its own "signature" - even when Gatekeeper stops the
  206. virus' spread - in the log file.  It is easy, for instance, to tell INIT 29
  207. from Scores merely by looking at the records of their failed attempts at
  208. infection as recorded in the Gatekeeper Log.  This makes it equally easy
  209. to indentify both new strains of existing viruses, and totally new
  210. viruses.
  211.  
  212. The log file provides an incredible amount of documentation that can be,
  213. I believe, extremely useful in protecting an individual or an entire
  214. corporation from the influx of viruses.
  215.  
  216. >I'm not trying to put down GateKeeper, if you want to fight viruses
  217. >cheaply, it's a must!  Keep up the good work Chris!
  218. >
  219. >                        Henry C. Schmitt
  220.  
  221. Thanks!  Gatekeeper 1.2 is in the works.
  222.  
  223. In the same spirit, I'm not trying to put down SAM - I'm just trying to make
  224. sure that Gatekeeper gets full credit where it's due.
  225.  
  226. - ----Chris (Johnson)
  227. - ----Author of Gatekeeper
  228. - ----chrisj@emx.utexas.edu
  229.  
  230. ------------------------------
  231.  
  232. Date:    Tue, 24 Oct 89 08:32:07 -0400
  233. From:    dmg@lid.mitre.org (David Gursky)
  234. Subject: RE: Superclock non-virus... (Mac)
  235.  
  236. Superclock (in the general case) is not a virus.  It is a legitimate
  237. cdev that displays the current time-of-day in the upper right hand
  238. corner of your Mac's screen.  The current version is 3.5 (although I
  239. thought I saw a 3.6 yesterday).
  240.  
  241. It is more likely that the "Superclock" virus is simply an occurance
  242. of (if I have to pick one) the INIT 29 virus, or a strain therof.
  243.  
  244. Superclock is not a stand-alone application; it is a "control panel
  245. device" that is loaded into RAM at start-up.  In the MS-DOS world,
  246. Superclock would belong to the class of applications called "TSR"s
  247. (Terminate and Stay Resident).  In the Macintosh world however, cdev's
  248. (and their sister's RDEVs (Chooser devices) and INITs (classic TSRs))
  249. contain their code in resources called (appropriately) INIT.  Classic
  250. Macintosh viruses (such as nVIR and strains, Scores, Peace, and ANTI)
  251. infect code in CODE resources.  Only INIT 29 infects code stored in
  252. INIT resources.
  253.  
  254. Another possibility is that the "Superclock" virus is a wholly new
  255. strain.  While this is not impossible, I find this less likely.  The
  256. Mac is a not as easy a machine to program and acquire expertise on as
  257. MS-DOS platforms.  Consequently, there is simply a smaller number of
  258. potential virus-writers (proportionally) than in the MS-DOS world.
  259.  
  260. David M. Gursky
  261. Member of the Technical Staff
  262. Special Projects Department, W-143
  263. The MITRE Corporation
  264.  
  265. ------------------------------
  266.  
  267. Date:    Tue, 24 Oct 89 08:50:37 -0400
  268. From:    dmg@lid.mitre.org (David Gursky)
  269. Subject: Re: INIT 29 question from Jim Bradley...
  270.  
  271. In Virus-L V2 #220, Jim Bradley asked if an application on a clean
  272. disk opened a data file infected with INIT 29, would the application
  273. then become infected.
  274.  
  275. No.  While INIT 29 is capable of infecting data files, the virus is
  276. "dormant" essentially.  Code in INIT resources is only executed at
  277. startup, and no other point.  Data files infected with INIT 29 only
  278. represent a threat to your system if they are kept in the same folder
  279. as your System and Finder files.
  280.  
  281. ------------------------------
  282.  
  283. Date:    Tue, 24 Oct 89 11:09:00 -0400
  284. From:    "Gerry Santoro - CAC/PSU 814-863-4356" <GMS@PSUVM.BITNET>
  285. Subject: IBM Virus Scan program (PC)
  286.  
  287. I like the fact that the IBM virus scanning program reads its strings
  288. from an ASCII file provides the capability for updating this program
  289. for new viruses.  (I still like McAfee's SCAN program too, and would
  290. recommend that a user have BOTH, just to be safe.)
  291.  
  292. My question, are there any plans to add updated virus scan strings to
  293. the IBM virus scan data file and have this string file available on
  294. one of the anti-virus servers?  This could help a lot of people avoid
  295. duplication of effort.
  296. - -----------------------------------------------------------------------------
  297. gerry santoro, ph.d.                         *** STANDARD DISCLAIMER ***
  298. center for academic computing              This  posting   is  intended  to
  299. penn state university              |       represent  my personal opinions.
  300. gms @ psuvm.psu.edu              -(*)-     It is not representative  of the
  301. gms @ psuvm.bitnet                 |       thoughts or policies  of  anyone
  302. ...!psuvax1!psuvm.bitnet!gms               else here or of the organization.
  303. (814) 863-4356                               ---- "I yam what I yam!" ----
  304. - -----------------------------------------------------------------------------
  305.  
  306. ------------------------------
  307.  
  308. Date:    Tue, 24 Oct 89 12:01:49 -0400
  309. From:    Russell Herman <rwh@me.utoronto.ca>
  310. Subject: Virus source available in Toronto
  311.  
  312. Disassembled source code for the PC virus producing a bouncing ball
  313. onscreen just appeared on a major Toronto BBS.  It does not appear to
  314. be quite correct, nor will it assemble nonfatally with either MASM 5.1
  315. or TASM 1.0.1 (small comforts).  Furthermore, the comments are in
  316. Portugese, although the file was dubbed "italiano.asm".
  317.  
  318. Now the world has been given the template for an infector (sigh).
  319.  
  320. [Ed. The book "Computer Viruses: A High Tech Disease", published by
  321. Abacus, contains several (functional) source code examples, in various
  322. languages on various hardware/software platforms, of viruses.  This
  323. book is readily available in bookstores and from the publisher.]
  324.  
  325. - -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
  326. Russ Herman     | Internet: rwh@me.utoronto.ca    | University of Toronto
  327. Comp. Sys. Mgr. | UUCP:     uunet!utai!me!rwh     | Dept. of Mech. Eng.
  328. (416)978-4987   |                | 5 King's College Rd.
  329. (416)978-7753fax|                | Toronto, ON M5S 1A4 Canada
  330.  
  331. ------------------------------
  332.  
  333. Date:    Tue, 24 Oct 89 12:38:00 -0400
  334. From:    <90_PENNYPAB@UNION.BITNET>
  335. Subject: IBM's Virscan Program (PC)
  336.  
  337. I just subscribed to this list, so this posting may be redundant.
  338. Bear with me...
  339.  
  340.   I worked for IBM over the summer and had a chance to take a look at
  341. their VIRSCAN program, which others have discussed on this list.
  342. Unfortunately the version I used is listed as "IBM Internal Use Only",
  343. meaning that It is only to be used for IBM related purposes.
  344. According to the Forums I read on the IBM network while working there,
  345. VIRSCAN is supposed to be one of the better programs for detecting
  346. known viruses.  What I would like to know is if there is a similar
  347. version of this program available to the general public, and if so how
  348. to get a copy of it.  Also, if a public version of this program is
  349. available, how are updates to the virus signature files (SIGFILE.LST
  350. and SIGBOOT.LST for VIRSCAN) kept up to date, if they are at all?
  351.  
  352.   Bruce Pennypacker
  353.   90_PENNY@UNION.BITNET
  354.   90_PENNYPAB@GAR.UNION.EDU
  355.  
  356. ------------------------------
  357.  
  358. Date:    Tue, 24 Oct 89 07:41:08 -0700
  359. From:    portal!cup.portal.com!cpreston@Sun.COM
  360. Subject: VIRUSCAN test (IBM PC)
  361.  
  362. These results apply to versions through V38.  The current version at
  363. this time is V45.  Changes are made at least once per week, it seems,
  364. to keep up with new viruses, and I finished the work about the time
  365. this digest went off for a couple weeks.
  366.  
  367. VIRUSCAN, for the IBM PC, from McAfee Associates, was tested using 23
  368. actual viruses or strains of virus.  These included boot or partition
  369. viruses such as Stoned, Ping Pong, and Brain, and .COM or .EXE viruses
  370. such as Datacrime (1168, 1280, Datacrime II) Jerusalem, Icelandic
  371. (several varieties) and Fu Manchu.
  372.  
  373. In each case, with two exceptions (noted below) VIRUSCAN correctly
  374. identified the viruses after they had infected programs or disks, and
  375. located all instances of infection in all subdirectories of the hard
  376. disks.
  377.  
  378. One version of the program, before V35, failed to detect the 405
  379. virus, but this was corrected in later versions.  Suriv 300, a
  380. Jerusalem variant, was not detected in an .EXE file, but was caught in
  381. a .COM file.
  382.  
  383. Based on the testing I did, VIRUSCAN appears to be a well-written and
  384. effective program for locating specific known viruses, and is a very
  385. useful part of an anti-virus program.
  386.  
  387. Next question:  How good are scanning programs?
  388.  
  389. There seems to be a perception, at least as written in several sources, that
  390. scanning for known viruses is the weakest method of detecting viruses.  This
  391. is probably based partly on the assumption that the slightest change in a
  392. virus will defeat the effort to detect it using byte strings.  Experience
  393. shows that minor changes are frequently made to microcomputer viruses.
  394. Perhaps the most freqent change is to imbedded, non-encrypted, text strings.
  395. Changes are also made to the infection trigger or activation conditions or
  396. dates.
  397.  
  398. Obviously, changes can be made to any virus to defeat any particular scan
  399. string.  This has already occurred in the Macintosh world, but most changes
  400. made so far have been on the same level of difficulty as changing ASCII
  401. strings.
  402.  
  403. Inspection of a search string in VIRUSCAN and/or its location in the virus
  404. code can show that a particular search string is not based on imbedded text,
  405. and that changing the text will not interfere with detection.  A number of
  406. viruses were checked for this.
  407.  
  408. Also, it is easy to determine that text added to a boot sector in the
  409. Yale/Alameda virus, for example, to make it look more like a normal boot
  410. sector would not interfere with its detection.  If the search string used in
  411. the scanning program is at a different location than the added text, it
  412. won't interfere.
  413.  
  414. On other changes, I found that with a partial disassembly, or one that was
  415. perhaps incorrectly interpreted by me, changes to what appeared to be an
  416. infection trigger did not replicate with the virus, or did not cause the
  417. anticipated change in virus behavior.
  418.  
  419. For this reason, it seemed more efficient, and probably more accurate, just to
  420. make a common type of change to a virus, and test VIRUSCAN again.
  421.  
  422. Each virus was modified by patching it, making minor changes in the
  423. executable code on the disk.  Each modified  virus was allowed to infect at
  424. least one other program to produce a second generation virus.  The final
  425. infected program was inspected and run to ascertain that the modification
  426. was correctly transmitted  with the virus.  This established that there was
  427. a viable new strain of virus.  VIRUSCAN was run to see if it still found the
  428. modified virus.
  429.  
  430. - --------
  431. Viruses modified and detected by VIRUSCAN version 0.5V34 or later versions
  432. through V38.
  433.  
  434.  
  435.  -Virus name-                        -Type of modification-
  436.  
  437.  
  438.  
  439.  Ping Pong boot Virus (Italian)         Activation window time was
  440.                                         increased
  441.  
  442.  Jerusalem Virus - Version D            Activation date changed
  443.  
  444.  1280 Virus (Datacrime)                 Activation (destruction)
  445.                                         date changed
  446.  
  447.  1168 Virus (Datacrime)                Activation (destruction)
  448.                                         date changed
  449.  
  450.  Vienna (DOS 62) Virus - Version A    Manipulation task to move
  451.                                         5 bytes to corrupt
  452.                                         infected program was
  453.                                         changed.
  454.  
  455.  405 virus                              Changed to seek and infect
  456.                                         hidden files
  457.  
  458. - -------------
  459.  
  460. Conclusion:
  461.  
  462. A well-chosen search string for a virus can survive at least some of the
  463. common changes to viruses that are made as they pass through different
  464. hands.  A good scanning program can provide better protection than it might
  465. appear at first glance.
  466.  
  467. VIRUSCAN is available from BIX, CompuServe, and other sources, including the
  468. Homebase BBS, at 408-988-4004.  On Homebase, the latest version is
  469. SCANV45.ZIP.
  470.  
  471. Disclaimer:  I am a computer security consultant and have been
  472. working with PC and Macintosh microcomputer viruses and anti-
  473. virus products for about 18 months. I have no obligation to John
  474. McAfee except to report the outcome of the tests.  Information Integrity is
  475. a member of the Computer Virus Industry Association, which is operated by
  476. John McAfee.
  477.  
  478. Charles M. Preston                             907-344-5164
  479. Information Integrity                          MCI Mail  214-1369
  480. Box 240027                                     BIX  cpreston
  481. Anchorage, AK  99524                           cpreston@cup.portal.com
  482.  
  483. ------------------------------
  484.  
  485. End of VIRUS-L Digest
  486. *********************
  487. Downloaded From P-80 International Information Systems 304-744-2253
  488.