home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.222 < prev    next >
Encoding:
Text File  |  1995-01-03  |  22.3 KB  |  478 lines
  1. VIRUS-L Digest   Wednesday, 25 Oct 1989    Volume 2 : Issue 222
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. VIRUSCAN/VIRSCAN Issues (PC)
  17. Free Catalog Disk Infected (PC)
  18. Protecting Your User's Disks (Mac)
  19. New virus in Israel (PC)
  20. You're not alone; DataCrime infection report (PC)
  21. possible virus infection (PC)
  22. Re: 0 bytes in 1 hidden file, virus? (PC)
  23. The not-so-new virus (Mac)
  24. Re: VIRUSCAN test (IBM PC)
  25. Jerusalem Virus Version B detected (PC)
  26.  
  27. ---------------------------------------------------------------------------
  28.  
  29. Date:    Tue, 24 Oct 89 11:12:03 -0700
  30. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  31. Subject: VIRUSCAN/VIRSCAN Issues (PC)
  32.  
  33. The following is a forwarded message from John McAfee:
  34.  
  35. =============================================================================
  36.  
  37.     A number of people have commented on the "closed" architecture of
  38. VIRUSCAN and the encryption of the individual search strings used for
  39. virus identification.  Some users feel that this is done in order to
  40. maintain a "monopoly" in the scanning industry and to keep competitors
  41. from using the same strings.  I would like to put that concern to
  42. rest, if possible.  First, as many users will have noticed, the
  43. earlier versions of SCAN had all strings available for anyone who
  44. cared to look at them.  The users who wished merely to scan for
  45. viruses merely noticed them, shrugged (really - what value is it to
  46. the average user?), and went on.  The folks who seemed to take notice
  47. of the strings were those few crackers who used the strings to change
  48. the virus segments referenced by the strings.  This has happened seven
  49. times in three months, the most recent being the New Jerusalem virus
  50. discovered by Jan Terpstra and Ernst Baedecker in the Netherlands.
  51. The virus is identical to the Jerusalem-B, with the exception of the
  52. string changes that SCAN originally referenced.  What this does is
  53. invalidate all of the work done to date on identification of the
  54. Jerusalem-B.  To make it more difficult for crackers to get around the
  55. scanning process, I've done two things: 1. encrypt the strings (I know
  56. that this merely slows down the determined cracker, but it does deter
  57. the casual cracker - of which there are many). and 2. I use multiple
  58. strings for the more mutable viruses.  In addition, I have taken to
  59. randomly changing strings for different versions of scan.  None of
  60. this was done to deter competition.  In fact, as Art Gilbert and Bill
  61. Vance at IBM should agree, I co-operate fully with competitors in
  62. providing virus samples, infection trends, market information and
  63. (possibly unwelcome) suggestions for improvements and points to watch
  64. out for in the more troublesome viruses.  I even provide my string
  65. lists to any legitimate competitor who asks for them.  I just don't
  66. provide them to the public, and I'm not sure the public really would
  67. be served by knowing the binary string sequences I use to identify a
  68. given virus.
  69.     I response to the comments that IBM's open string list will make
  70. it easier for users to update the files themselves - I absolutely
  71. agree.  There's a lot to be said for the flexibility and control that
  72. such an approach brings.  But, ignoring the problem crackers for the
  73. moment, we will have to ask - who is going to update the string files?
  74. Is it each user?  If so then chaos will ensue.  I can categorically
  75. say that the average user is incapable of taking a live virus sample
  76. and creating a valid search string for that virus.  The problems are
  77. immense.  First, many viruses are written in C, PASCAL or other higher
  78. level language.  Unless you are familiar with the actual code
  79. generated by the compiler runtime library and the canned compiler
  80. output sequences, you will have dificulty separating the origin virus
  81. code from the same code that you will find in hundreds or maybe
  82. thousands of other similarly compiled programs.  Second, the string
  83. segments must have a unique "style" that will avoid false alarms with
  84. similar styled programs.  For example, choosing a long string of
  85. register saves as an identifier will guarantee false alarms with other
  86. programs.  The user will also have to know something about the
  87. infective characteristics of the virus as well.  Does it only infect
  88. the partition record, or the boot sector?  Does it infect overly
  89. files?  Which ones? etc.  All in all it is a task that most user
  90. shouldn't have to face.  So we can agree, I think, that the strings
  91. will havee to be done by competent programmers with a fair amount of
  92. virus experience if it is to work.  The question then is - which
  93. programmers?  Who will set the standard.  If there is no standard,
  94. then again, chaos results and which version of the strings swhould we
  95. use?  My feeling is that the IBM approach works well for researchers,
  96. but that the general public should use only the strings that IBM
  97. produces (or someone that IBM should designate).  So much for my
  98. soap-box for the day.
  99.     We survived the earthquake out here.  We were 6 miles from the
  100. epicenter, but we must have been on a standing wave since we suffered
  101. only moderate damage.  My cat slept through the entire event (though,
  102. admittedly, he only normally wakes for 15 minutes at breakfast and 20
  103. minutes at dinnertime).
  104.     Have a good day.
  105.  
  106. John McAfee
  107.  
  108. ------------------------------
  109.  
  110. Date:    Mon, 23 Oct 89 19:21:00 -0500
  111. From:    IA96000 <IA96%PACE.BITNET@VMA.CC.CMU.EDU>
  112. Subject: Free Catalog Disk Infected (PC)
  113.  
  114.   My friend just received, and I now have in my posession a free
  115. disk from a Shareware copying company, which he received after
  116. he sent in a "bingo" card from a popular computer magazine.
  117.  
  118.   The disk has three infected files on it:
  119.  
  120.   1) GETKEY.COM  3074 bytes  01-01-80  12:35a
  121.   2) CL.COM      3457 bytes  08-01-86  02:39p
  122.   3) LIST.COM    7871 bytes  06-17-86  02:37p
  123.  
  124.   SCAN version 0.7V42 reports as follows:
  125.  
  126.   GETKEY.COM - 3066/2930 TRACEBACK VIRUS
  127.       CL.COM - 3066/2930 TRACEBACK VIRUS
  128.     LIST.COM - FU MANCHU VERSION A
  129.  
  130. GETKEY.COM and CL.COM are in the disks ROOT directory. CL.COM
  131. appears to a hidden file, as it is not seen when you do a DIR from
  132. the DOS prompt. LIST.COM is in the subdirectory \ORD.
  133.  
  134. To be fair to the company which sent the disk, I will mention their
  135. name here, as in all probability, they do not know the disk is
  136. infected. No sense creating another major problem...
  137.  
  138. The disk label is designed as follows:
  139.  
  140.                        1989 COMPANY NAME CATALOG
  141.                       ***************************
  142.                      P.O. xxxx HESPERIA, CA 92345
  143.                MAY VIEW OR PRINT CATALOG & ORDERFORM
  144.                      TO START CATALOG . . . A>START
  145.  
  146. The disk has one subdirectory on it named \ORD which contains 8 files.
  147. The ROOT directory contains 25 files.
  148.  
  149. My friend spotted the fact that LIST.COM is in both the ROOT and the
  150. sub-directory and the file sizes differ. Also, since he did not know
  151. the company, he ran SCAN as a precaution.
  152.  
  153. If Dave Chess at IBM or Mr. McAfee wants a copy of this disk, please
  154. let me know...by EMAIL. I have gone to great lengths to not identify the
  155. company to avoid any problems.
  156.  
  157. Also..please note this disk WAS NOT sent to the university, nor was any
  158. damage done to any of the university equipment.
  159.  
  160. I hope I have given you all enough information to identify the disk,
  161. if you happen to receive one. The disk was not unsolicited, in other
  162. words, the disk was requested by my friend and the magazine has nothing
  163. to do with this issue, at this point in time.
  164.  
  165. ------------------------------
  166.  
  167. Date:    Tue, 24 Oct 89 15:32:00 -0500
  168. From:    "Thomas R. Blake" <TBLAKE%BINGVAXA.BITNET@VMA.CC.CMU.EDU>
  169. Subject: Protecting Your User's Disks (Mac)
  170.  
  171. >(Prior to INIT29,  I had been advising my users that if they go
  172. >to Kinko's they would be safe if they took only their data diskette.
  173. >But if a data infection  can spread to their application disks,
  174. >this would not be good advice.)
  175. >
  176. >Anyone got the REAL answer?
  177.  
  178. Well, I assume they're going to Kinko's to print.  (Yes/No?)  I'd say
  179. if they write-protect their diskettes they have no need to worry.
  180.  
  181. Macintosh viruses will not spread to write-protected diskettes.
  182.  
  183.                                                 Thomas R. Blake
  184.                                                 SUNY-Binghamton
  185.  
  186. ------------------------------
  187.  
  188. Date:    Tue, 24 Oct 89 19:32:37 +0200
  189. From:    "Yuval Tal (972)-8-474592" <NYYUVAL@WEIZMANN.BITNET>
  190. Subject: New virus in Israel (PC)
  191.  
  192. A new virus was found here in Israel. I didn't know whether to call
  193. it: The Do Nothing Virus or The Stupid Virus.
  194.  
  195. The author (which is as usually known) put an infected program on one
  196. of the BBSs in Israel. The program was an infected program which my
  197. friend wrote BUT it claimed to be a new version (eg. my friend's
  198. latest version was 3.4 and the one on the BBS was 4.0). He quickly
  199. downloaded this file and he found out that it is infected with a
  200. virus. After checking this virus he and I got to one big conclusion.
  201. The author of this virus probably doesn't know assembly so good. You
  202. can see this quite clear:
  203.    -The virus tries to push only one byte into the stack.
  204.    -The virus is copied always to location 9800:100h this means that it will
  205.     work only on computers 640KB. The virus doesn't reduce the amount of
  206.     memory (like other viruses such as Denzuk, Ping-Pong etc'). The virus is
  207.     copied and that's it! Turbo Pascal, for instance, may use this location
  208.     as heap and the virus may be erased from memory.
  209. Another thing, this virus infects only the first .COM file on the
  210. directory.  It doesn't check if the file is already infected or not,
  211. it just infects it.  This virus does nothing besides infecting the
  212. file, no damage at all! This is why I called it The Do Nothing Virus.
  213.  
  214. Here is a report I made. I may change it a bit here and there..
  215.  
  216. - --------------------------------------------------------------------------
  217. Entry................: The Do Nothing Virus
  218. Alias(es)............: The Stupid Virus
  219. Virus detection when.: 22-October-1989
  220.                where.: Israel
  221. Classifications......:.COM file infecting virus/extending.
  222. Length of virus......: 583 bytes add to file.
  223. Operating system(s)..: MS-DOS
  224. Version/release......: 2.0 or higher
  225. Computer model(s)....: IBM PC,XT,AT and compatibles
  226. Identification.......: .COM files: The first 3 bytes of the infected files
  227.                        are changed.
  228.                        System: The virus copies itself to 9800h:100h.
  229. Type of infection....: Extends .COM files. Adds 583 bytes to the end of
  230.                        the file. The virus copies itself to 9800:100h. This
  231.                        means that only computers with 640KB may be infected,
  232.                        hooks int 21 and infects other programs by scanning the
  233.                        directory until it finds a .COM file. It is infected
  234.                        upon function Fh and 3Dh. .EXE files are not infected.
  235. Infection trigger....: The first .COM file of the current directory is
  236.                        infected whether the file is infected or not.
  237. Interrupts hooked....: Int 21
  238. Damage...............: None.
  239. Damage trigger.......: Whenever a file is opened.
  240. Standard means.......: Lots of programs such as Turbo Pascal use this area
  241.                        And the virus may be erased...
  242. Acknowledgment:
  243. Location.............: The Weizmann Institute Of Science, Rehovot, Israel
  244. Documented by........: Yuval Tal (NYYUVAL@WEIZMANN.BITNET).
  245. Date.................: 25-October-1989
  246. -
  247.  -------------------------------------------------------------------------------
  248.  
  249. - -Yvual Tal
  250.  
  251. ------------------------------
  252.  
  253. Date:    Tue, 24 Oct 89 17:45:48 -0400
  254. From:    Arthur Gutowski <AGUTOWS%WAYNEST1.BITNET@VMA.CC.CMU.EDU>
  255. Subject: You're not alone; DataCrime infection report (PC)
  256.  
  257. >From Virus-L Digest v2.220, frisk writes:
  258.  
  259. > Well - now I know of one victim of the Datacrime-II virus .....
  260. > myself. :-(
  261.  
  262. Well, you shouldn't feel alone.  A friend of mine who works for
  263. ERIM (Environmental Research Institute of Michigan) got hit too.
  264. His quotes sounded something like this (before being hit):
  265.  
  266.     "Oh, I'm not worried, I don't do much software trading,
  267.      and what I do is straight from BBSs and buying from vendors."
  268.  
  269. That was until he turned on a computer at work on Saturday 10/14.
  270. He had recently DLed a copy of PKZ102.EXE (PKZIP v1.02, self-extracting)
  271. from CompuServe and decided to try it out.  Although I can't be sure
  272. that this was the source of the infection, eh told me it was the first
  273. time he had had a chance to run the program (hence, strong implication).
  274.  
  275. Then it was showtime.  Bye bye hard drive, low level format (F6) to
  276. cylinder 0.  Effectively wiped out all access to the hard drive.
  277. Even a large chunk of the 2d copy of the FAT was duly destroyed because
  278. of this.  He admitted to me that rebuilding a FAT, even with Mr. Norton's
  279. help, is not much fun.
  280.  
  281. Needless to say, he has grudgingly accepted from me a disk containing
  282. several acrhives of antiviral tools to help him along in the battle.
  283. This disk is soon to be out in our Consulting center and student labs.
  284. Hopefully we can make enough people aware of things like this before
  285. more have to pay the awful price.  Thankfully, it's already happening...
  286.  
  287. One final note, I'm not POSITIVE it was DC that hit him, it may have
  288. been some variant.  He is currently trying to see if he can get the
  289. infected program to me so I can look at it using info I've gained
  290. from watching here.  Two strane things that made me question my
  291. assumption:
  292.          1)  No "DATACRIME" message was thrown up on the screen
  293.              that he remembers;
  294.          2)  A name, Siegmar Schmidt, was written to the partition
  295.              record.
  296. Now again, it DID format cyl0 and only cyl0...can anyone say for sure?
  297. Please e-mail me to the bitnet address above, 'twould be much appreciated.
  298.  
  299. It CAN happen to anyone!
  300.  
  301. Art
  302.  
  303. +------------------------------------------------------------------+
  304. | Arthur J. Gutowski, Student Assistant                            |
  305. | Antiviral Group / Tech Support / WSU University Computing Center |
  306. | 5925 Woodward; Detroit MI  48202; PH#: (313) 577-0718            |
  307. | Bitnet: AGUTOWS@WAYNEST1   Internet: AGUTOWS@WAYNEST1.BITNET     |
  308. +==================================================================+
  309. | "OOPS, what OOPS?!?...No, I diSTINCTly heard you say 'OOPS'!"    |
  310. +------------------------------------------------------------------+
  311.  
  312. ------------------------------
  313.  
  314. Date:    Tue, 24 Oct 89 19:34:21 -0400
  315. From:    flanders@grebyn.com (Dennis Flanders)
  316. Subject: possible virus infection (PC)
  317.  
  318. I am a new user on VIRUS-L.  I am a communication engineer on the
  319. FTS2000 project at Boeing Computer Services and we run a large
  320. client/server data network.  It now serves over 800 PC's, Sun
  321. Workstations and is served by several host machines from mainframes to
  322. micros.  I said all that to say this:
  323.  
  324. In the process of "de lousing" our network for Columbus day and Friday
  325. the 13th, using a program called VScan, we discovered seven programs
  326. that showed as possible infected programs or carrier programs.  In
  327. disassembling them only one proved to be dangerous.  The others
  328. contained code sequences to totally lock the keyboard and triggered
  329. warnings.  It may have had the infection passed on by another virus as
  330. the first three bytes in the .com file were 909090h. The following
  331. bytes (I believe 19) simply blitzed track 0.
  332.  
  333. The infected file was a brief program (217 bytes) called KEYLOCK.COM
  334. which comes with a set of utilities distributed by PC Magazine.  We
  335. could find no infected distribution disks.  Only versions found on two
  336. PCs were found to contain this bomb.
  337.  
  338. Curiously enough a couple of programs (ie NORTON.COM) popped a warning
  339. due to 1Fh found in the Seconds field of the directory.  We also found
  340. several programs with a value >60 (ie 62) in the same location.  All
  341. but one turned out to be harmless, we are still looking at the one.
  342.  
  343. +-------------------------------------------------+----------------------+
  344. |Dennis M. Flanders                               |                      |
  345. |AT&T Mail:  !DFLANDERS                           | If at first you      |
  346. |MCI Mail:   DFLANDERS                            |   don't succeed get  |
  347. |INTERNET:   flanders@grebyn.com                  |     a bigger hammer! |
  348. |CompuServe: 73507,1771                           |                      |
  349. +-------------------------------------------------+----------------------+
  350.  
  351. ------------------------------
  352.  
  353. Date:    Tue, 24 Oct 89 14:56:02 -0400
  354. From:    rjs@moss.ATT.COM (Robert Snyder)
  355. Subject: Re: 0 bytes in 1 hidden file, virus? (PC)
  356.  
  357. In volume 2 issue 217 of the virus list, Tasos notes that CHKDSK
  358. report "0 bytes in 1 hidden files" and wonders if he has a virus.
  359. This seems to come up fairly often when new people join the list so
  360. maybe an automatic answer is needed.  In any case, Tasos probably ran
  361. CHKDSK on a disk with a volume label as that will exhibit his
  362. symptoms.  I.e. it's not likely that Tasos has a virus.
  363.  
  364.     Robert Snyder
  365.     {att|clyde}!moss!rjs
  366.     rjs@moss.ATT.COM
  367.     (201) 386-4467
  368.  
  369. The above statements are my own thoughts and observations and are not
  370. intended to represent my employer's position on the subject(s).
  371.  
  372. ------------------------------
  373.  
  374. Date:    25 Oct 89 03:02:34 +0000
  375. From:    jap2_ss@uhura.cc.rochester.edu (The Mad Mathematician)
  376. Subject: The not-so-new virus (Mac)
  377.  
  378. I am the one who first posted about the possibly new virus.  I will
  379. give all the information I have here.  I believe I hae finally gotten
  380. some infected software.
  381.  
  382. There was a great deal of confusion at first as what exactly was
  383. happening.  I was a consultant once, and as such am called upon to
  384. assist the present consultants with tasks they are new at.  We had
  385. been having a problem with disks crashing at an alarming rate, all
  386. showing identical symptoms.  They are these:
  387.  
  388. The Chooser becomes unable to find any printer resources.
  389. The System and most system software gets writeen to, in an as yet
  390. unknown manner.  Their sizes may or may not change.
  391. Other applications are written to, and documents created with them
  392. become unreadable.
  393. The Desktop gets damaged, causing the message "This disk needs minor
  394. repairs.  Do you want to fix it?" to come up on bootup.  By this stage
  395. the only recourse is to copy documents off with something like Deskzap
  396. and reformat the disk, replacing all the software.
  397. If the disk is repaired, it actually may seem that way, but ususally
  398. is ruined, even to the point of unusability.
  399.  
  400. No virus detection programs identify a virus, except perhaps SAM Anti
  401. Virus Clinic, and even that doesn't always work.  It _may_ be a
  402. NVIR variant that is self-modifying, but it does not create the
  403. nVIR resource.  It does go through Vaccine, but Gatekeeper stops
  404. it cold.
  405.  
  406. The reported STR 801 resource was an error by me.  Please ignore this.
  407.  
  408. There appeared to be a second virus also running around for a while.
  409. The sysmptoms were:
  410. Macwrite had its name changed to Macwite or Macwight.
  411. The ICN resource for the application was changed to show Macwite instead
  412. of the parallel lines.
  413. That's all we could find.  We have found no other examples since the first
  414. three or four disks.  I am of the opinion that someone modified one copy
  415. using something like Resedit, then shared it.
  416.  
  417. That is all the information I can recall at this time.  As I said, I
  418. believe I have found an infected disk, and will be sending copies of
  419. an infected application at the earliest opportunity, hopefully
  420. tommorrow.  Thank you for your patience.
  421.  
  422. Joseph Poutre (The Mad Mathematician)
  423. jap2_ss@uhura.cc.rochester.edu
  424. Understand the power of a single action.  (R.E.M.)
  425.  
  426. ------------------------------
  427.  
  428. Date:    Tue, 24 Oct 89 23:28:15 -0400
  429. From:    dmg@lid.mitre.org (David Gursky)
  430. Subject: Re: VIRUSCAN test (IBM PC)
  431.  
  432. In VIRUS-L Digest V2 #221, Charles Preston wrote a rather long message
  433. about virus scanners vs. more automated virus detection applications.
  434. I would like to point out to him that although there are some
  435. excellent scanning applications on the market, for Macs, PCs, etc., I
  436. prefer recommending that users do not rely on scanners simply because
  437. you must remember to periodically scan the disk.  My experience has
  438. been that users simple do not remember to do this, hence a strategy
  439. that relied solely on a scanner application would not be a strong
  440. defense against electronic vandalism.
  441.  
  442. David Gursky
  443. Member of the Technical Staff
  444. Special Projects Department, W-143
  445. The MITRE Corporation
  446.  
  447. ------------------------------
  448.  
  449. Date:    Tue, 24 Oct 89 23:48:11 -0500
  450. From:    shaynes@lynx.northeastern.edu
  451. Subject: Jerusalem Virus Version B detected (PC)
  452.  
  453. After running Scan 1.1V45 on my hard drive I detected the Jerusalem Virus
  454. Version B on one of my files.  The file that I detected the virus on had
  455. not appeared in earlier runs of Scan.
  456.  
  457. The infected file is UNVIRUS.EXE.  The archive I got it out of was
  458. UNVIRUS.ARC.  I downloaded this file from the SIMTEL20 PD archives.  I
  459. immediately deleted the file.  I have never had a reason to the
  460. program (and I would think that running the program on itself would
  461. have adverse affects).
  462.  
  463. [Ed. Could someone at SIMTEL20 please check into this and confirm or
  464. deny it?  Thanks!]
  465.  
  466. +-----------------------------------------------------------------------------+
  467. | PA_HAYNES@VAXE.COE.NORTHEASTERN.EDU  | Sean A. Haynes |Student Northeastern |
  468. | SHAYNES@LYNX.NORTHEASTERN.EDU        | 46 Udine St.   |University, Boston   |
  469. | PA_HAYNES@NUHUB.BITNET               | Arlington, MA  |MA 02115             |
  470. |                                      | (617) 648-8390 |(617) 437-5422       |
  471. +-----------------------------------------------------------------------------+
  472.  
  473. -----------------------------
  474.  
  475. End of VIRUS-L Digest
  476. *********************
  477. Downloaded From P-80 International Information Systems 304-744-2253
  478.