home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.225 < prev    next >
Encoding:
Text File  |  1995-01-03  |  15.9 KB  |  348 lines
  1. VIRUS-L Digest   Friday, 27 Oct 1989    Volume 2 : Issue 225
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. A lesson involving 'CRACKERS' (APPLE II)
  17. Virus infection in commercial package (PC)
  18. How to get start to be an anti-virus worker for Mac?
  19. re: Jerusalem virus infects boot sector ? No! (PC)
  20. "THIS_1S_NEXT" virus? (PC)
  21. re: Jerusalem virus infects boot sector ? No! (PC)
  22. Imbeded virus detection
  23. A new virus from Iceland (PC)
  24.  
  25. ---------------------------------------------------------------------------
  26.  
  27. Date:    Thu, 26 Oct 89 18:43:55 +0000
  28. From:    ZDEE699@ELM.CC.KCL.AC.UK
  29. Subject: A lesson involving 'CRACKERS' (APPLE II)
  30.  
  31. This message is being sent to both RISKS and VIRUS lists.
  32. Apologies to those who receive both digests.
  33.  
  34.     I was well shocked in finding-out that there was actually a virus
  35. running on the Apple II family of computers ! Where could the
  36. LODE RUNNER virus have infected such a small machine, with no
  37. integrated hard disk, and the possibility of rebooting the machine
  38. quickly by using a simple sequence of control codes ? (open-apple-ctrl-
  39. reset ). In FRANCE, of course !
  40.  
  41.     The Apple II did very well in France. It is very widely used
  42. over there. This success, like in the U.S.A., triggered a large
  43. market for pirated copies of programs.
  44.  
  45.     I have been an Apple II owner since 1982. It is absolutely amazing
  46. how many copies of programs went around since that time. I guess that
  47. virtually every program for this type of computer was available as a
  48. pirated copy in France. This is because of the following:
  49.  
  50. 1. There are laws about unlawful software copying, but they are very hard to
  51.    enforce. In addition to that, it is extremely difficult to find the
  52.    originators of the software. ie: The "top" pirates are well hidden,
  53.    and if the police was to catch every person who copies a program,
  54.    then they'd probably have to prosecute virtually *any* computer user !
  55. 2. Most software was copied and "exchanged" against other software, a bit
  56.    like a one to one swap. Commercial pirate factories were discovered in
  57.    Lyons a few years ago. There, the programs were deprotected, copied, and
  58.    then protected again, and sold to customers for a fraction of the price.
  59.    The pirates were arrested and heavily fined (and given a prison sentence).
  60.  
  61. SOME SORT OF COMPETITION
  62.  
  63.     There were many independent groups of pirates. The average age was
  64. 16-22 years old. All of them were experts at Apple II's Disk Operating
  65. System. The most "advanced" of these "crackers" were the CCB.  CCB for
  66. "Clean Crack Band". From the number of programs that they have
  67. cracked, they seemed to spend their days and nights cracking games and
  68. software. Some French magazines and newspapers wrote articles and
  69. interviews with them. They even went on national French TV. Of course,
  70. they were in hiding; a bit like drug dealers, really. The quality of
  71. their "work" was unbelievable. The program was as good as new, only it
  72. had their name in the presentation page. Often, they added pretty
  73. graphics, and additional options in some cases. In fact, it looked as
  74. though they had completely re-written the program entirely.  At the
  75. end of 1985, I think, they renamed themselves, the SHC, "Solex Hack
  76. Band". (A Solex used to be a cheap moped at the time) They hacked a
  77. few French Computers by using dial lines; they did one "Hacking"
  78. direct, on TV, showing the journalists how vulnerable computers were.
  79. Since that time, I don't know what happened to them.
  80.  
  81. OTHER GROUPS
  82.  
  83.     There are a lot of other groups of pirates around France. The CCB
  84. were based in Paris (according to the press), and the two most famous
  85. members of this group called themselves: Aldo Reset, and Laurent Rueil.
  86. Other groups include:
  87.  
  88. - - Johnny Diskette: this name was used by many anonymous pirates who had
  89.   formed some kind of club in Paris, where they had competitions (!)
  90.   on who would be the fastest to unprotect a disk.
  91. - - BCG (Baby Crack Gang): funny name. They seemed to like Karateka games.
  92. - - CES (Cracking Elite Software): They added features to games from time
  93.   to time.
  94. - - Chip Select and the Softman: These pirates went as far as including a
  95.   digitised picture of themselves wearing dark glasses and saying:
  96.   "I am Chip Select". A Certain Eric IRQ (Interrupt Request) was also
  97.   part of this group.
  98. - - Mister Z (Geneva): These were Swiss pirates, but for some reason, they
  99.   were sending copies to French crackers, telling them to change the
  100.   title page that they had made-up. It was some kind of competition of:
  101.   "We can protect this program; can you unprotect it ?"
  102. - - MAC (Marseilles Association of Crackers): group based in Marseilles.
  103. - - P.Avenue Nice: and this one is in Nice...
  104.  
  105. These groups deprotect the software. Once deprotected, it can be
  106. copied very easily using a normal copy program.  Most copying goes-on
  107. in large computer centres, where machines can be used free of charge.
  108. There is no supervision there, and no control on what goes-on. Somes
  109. places are popular just because it is such an easy way to get hold of
  110. any program for no charge (well... just the cost of a diskette). Since
  111. 1987, though, the shops are more careful since they could be held
  112. responsible for what happens on their machines.
  113.  
  114. HIDDEN INFO
  115.  
  116. If you use a track/sector disassembler, you can see the information on
  117. the tracks of the disk displayed as ASCII characters. Often crackers would
  118. converse between themselves in this way. Software is copied through a
  119. string of intermediaries, and the messages can therefore be passed this way.
  120. It is impossible to know if there is some hidden information on the
  121. disk if it is not analysed by using a track/sector disassembler.
  122. It is therefore very easy to hide other programs within the disk, whether
  123. they are games, or even viruses !
  124.  
  125. IN CONCLUSION
  126.  
  127. So in fact, considering the level of expertise that these crackers have,
  128. it would be very easy for them to hide a virus within a floppy disk,
  129. which would be triggered by the actual program. I am talking here about
  130. the APPLE II computer, but I am sure that other computers (including PC's)
  131. have their "expert" crackers, who no doubt, would be very happy to write
  132. viruses/worms/trojan horses/time bombs etc.
  133. Why do they do it ?
  134. My idea is that they do it for "fame", just to see other people talk
  135. about "their" virus. Any suggestions ?
  136.  
  137. Olivier Crepin-Leblond, Computer Systems & Electronics,
  138. Electrical & Electronic Eng., King's College London
  139.  
  140. Disclaimer: My own views. Any comments/flames/congratulations welcome !
  141.  
  142. ------------------------------
  143.  
  144. Date:    Thu, 26 Oct 89 16:42:57 -0400
  145. From:    TENCATI@NSSDCA.GSFC.NASA.GOV (SPAN Security Manager (301)286-5223)
  146. Subject: Virus infection in commercial package (PC)
  147.  
  148.          AI32                                        October 23, 1989
  149.  
  150.          FROM:     AI32/Fred A. Rodrigue
  151.  
  152.          SUBJECT:  Personal Computer Virus
  153.  
  154.  
  155.          Attention:  Personnel responsible for personal computers.
  156.  
  157.          Kennedy  Space  Center  (KSC)  has  discovered  a  virus  in  a
  158.          commercially purchased software package, Unlock Masterkey.  The
  159.          HELP.COM file contained the 648 virus, also known as the Vienna
  160.          virus,  Austrian  virus,  DOS-68  virus  and  the  One-in-Eight
  161.          virus.  Fortunately, the virus was not active because there was
  162.          no "jump" to the malicious code.
  163.  
  164.          The  virus was discovered by Lockheed Space Operations Company,
  165.          a  KSC  contractor,  using  a  commercially   available   virus
  166.          detection  program.   The  infected  diskette was marketed by a
  167.          company, Transec Systems, Inc., that has gone out of  business.
  168.          PCEasy,  Inc.,  Unlock  Masterkey's  developer,  learned of the
  169.          virus several months ago and notified its  customers.   PCEasy,
  170.          Inc., has no knowledge of Transec Systems, Inc., customers.
  171.  
  172.          Additional  information  is  available from Mark Mason, EX-INF,
  173.          Kennedy Space Center, FL  32899, (407)-867-7293, FTS 823-7293.
  174.  
  175.          In case of an incident, contact AI32, Fred  Rodrigue,  544-2843
  176.          or Bob Keasling, 544-1223.
  177.  
  178.  
  179.          original signed by
  180.  
  181.          Fred A. Rodrigue
  182.          Automated Information
  183.          Security Coordinator
  184.  
  185. ------------------------------
  186.  
  187. Date:    24 Oct 89 20:36:35 +0000
  188. From:    wcpl_ltd@uhura.cc.rochester.edu (Wing Leung)
  189. Subject: How to get start to be an anti-virus worker for Mac?
  190.  
  191.         I've been reading this news group for quite a while and I am very
  192. interested to become an anti-virus worker.  I do have the basic antiviral
  193. programs like disinfectant, but I'd like to know more about virus from the
  194. lower level.  I have Fedit and Resedit.  Can anyone recommend me to
  195. a good reference to get start with?  Basically I am focusing on Mac.
  196.         Thanks in advance.
  197.                                                         Peter--
  198.   _    _  ____  ____   _        * Internet:     wcpl_ltd@uhura.cc.rochester.edu
  199.  (/   /  //  / //   ) (/        * BITNET  :     WCPL_LTD@UORDBV
  200.  / / /  //    //___/ _/         * DecNet  :     UORHEP::PETER
  201. /_/_/  //__/ //     _/\___/     * UUCP    :     ...rochester!uhura!wcpl_ltd
  202.  
  203. ------------------------------
  204.  
  205. Date:    27 Oct 89 00:00:00 +0000
  206. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
  207. Subject: re: Jerusalem virus infects boot sector ? No! (PC)
  208.  
  209. No, the only viruses I've ever heard called "Jerusalem" infect
  210. only COM and EXE files.   So either what you were reading just
  211. contains an error (happens to all of us!), or they're using the
  212. name "Jerusalem" to describe some other virus (not a good idea...).
  213.  
  214. DC
  215.  
  216. ------------------------------
  217.  
  218. Date:    Thu, 26 Oct 89 16:24:01 -0500
  219. From:    Dave Boddie <DB06103%UAFSYSB.BITNET@VMA.CC.CMU.EDU>
  220. Subject: "THIS_1S_NEXT" virus? (PC)
  221.  
  222. I need to find some quick information from anyone who knows what type of
  223. virus replaces your harddisk label with the above subject line. I have
  224. just notice this to appear on the label, and I have no idea what it (the
  225. perpetrator) will do, or when it will do its little job.
  226.  
  227. VIRUSCAN v4.2 will not locate any virus on this machine.
  228.  
  229. By the way, can I get a copy of the new version of 'SCAN from someone???
  230.  
  231. Dave Boddie
  232. Computer Operator
  233. Remote4 Lab
  234. University of Arkansas, Fayetteville
  235.  
  236. ------------------------------
  237.  
  238. Date:    27 Oct 89 00:00:00 +0000
  239. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
  240. Subject: re: Jerusalem virus infects boot sector ? No! (PC)
  241.  
  242. I wrote to Jan T. about this, and he confirms that the "Jerusalem"
  243. does *not* infect boot sectors.   His officially-distributed list
  244. of virus signatures doesn't say that it does, so what you were
  245. reading was probably a version that someone else had modified
  246. by inserting wrong information.  Message from Jan follows.
  247.  
  248. (Note that the "Virscan" program that he's talking about is *not*
  249. the IBM Virus Scanning Program, but another program whose
  250. executable is also called VIRSCAN...)
  251.  
  252. " I would appreciate if you could explain that the list that is distributed via
  253. " the "Software Distribution Network" on FIDONET is a *verified* list of virus
  254. " signatures that has been extensively tested by a number of people. The list
  255. " contains a notice not to distribute modified copies of the original file.
  256. " For those without access to other networks, the latest fresh copy of the
  257. " VIRSCAN.DAT file is available on any of the "SDN" nodes in FIDONET within 24
  258. " hours after the master copy on 2:512/10.0 is refreshed. The file is usually
  259. " available as VIRUSSIG.ZIP or VIRUSSIG.PAK
  260. " Anything that is not directly pulled off a "SDN" node is probably not the
  261. " original......
  262. "
  263. " There were several modified versions of the file going round with the wrong
  264. " information and 1 version of the file rendered the Virscan program useless
  265. " because of the info being in the wrong format, pointing to EXE instead of COM
  266. " files, etcetera.
  267. "
  268. " <JT>
  269.  
  270. ------------------------------
  271.  
  272. Date:    Fri, 27 Oct 89 11:51:19 -0400
  273. From:    Bob McCabe <PSYMCCAB%UOGUELPH.BITNET@VMA.CC.CMU.EDU>
  274. Subject: Imbeded virus detection
  275.  
  276.   As a consultant who writes software for the PC I am worried
  277. about the possibility of my programs getting infected and
  278. becoming vectors by which viri are spread.
  279.   In particular I am developing an application that will be hand
  280. carried from site to site to gather data by a number of users. If
  281. this program were to get infected it could cause wide spread loss
  282. of data to an important research project, not to mention other
  283. programs and data on affected systems. I am looking at including
  284. a check to see if there has been any change in the EXE files.
  285. Failure on such a check would cause the program to disable it's
  286. self and report a possible infection.
  287.   While working out the algorithm for this check it struck me
  288. that it should be possible to work out a scheme by which any
  289. program could check itself at load time for infection. In order
  290. to avoid programs using identical checks that a virus writter
  291. could get around, the algorithm would include some form of
  292. encryption parameter that could be 'customized' in each program.
  293. Presently, I am working on a system of prime number coding in
  294. which the CRC check of the EXE file is compared with a encoded
  295. CRC. The coding of the CRC would be done with a large prime
  296. number, chosen at random from a table. If written in assemblier
  297. this scheme would not slow down load time by that much.
  298.   I have not had much time to persue this but hope to get back to
  299. it next month. I would welcome any comments, criticisms and
  300. suggestions.
  301.  
  302. ========================================================================
  303. BITNET     : PSYMCCAB@VM.UOGUELPH.CA                Bob McCabe
  304. CoSy       : bmccabe                                Computer Consultant
  305. Phone      : (519) 821-8982                         University of Guelph
  306.                                                     Guelph, Ont. Canada
  307. =========================================================================
  308.  
  309. ------------------------------
  310.  
  311. Date:    Fri, 27 Oct 89 17:08:16 +0000
  312. From:    Fridrik Skulason <frisk@RHI.HI.IS>
  313. Subject: A new virus from Iceland (PC)
  314.  
  315. New virus - first report......
  316.  
  317. I have just obtained a copy of a new virus, which seems to be of Icelandic
  318. origin, at least a text string inside the virus contains the message
  319.  
  320.         "Ghostballs, Product of Iceland"
  321.  
  322. The virus is a combination of the Vienna virus and the Ping-Pong virus.
  323.  
  324. It infects .COM files, just like "Vienna", but at the same time it
  325. tries to place a copy of Ping-Pong on the boot sector in drive A: This
  326. copy of Ping-Pong has, however, been heavily patched. Actually it can
  327. not be called a virus, since it does not replicate - large parts of
  328. the code have been replaced with NOP instructions. The "Vienna" part
  329. seems to have been only slightly modified, but I have not yet had time
  330. to disassemble it.
  331.  
  332. Infected files grow by 2351 bytes.
  333.  
  334. This virus was discovered when a person I had given an utility to
  335. remove the Ping-Pong virus called back to complain that it did not
  336. work, the virus would simply reappear on all diskettes, even if he
  337. booted from a "clean" diskette. The reason was that most of his .COM
  338. files on the hard disk had been infected.
  339.  
  340. One final note - the patched Ping-Pong virus seems based on the '286
  341. variant reported recently.
  342.  
  343. ------------------------------
  344.  
  345. End of VIRUS-L Digest
  346. *********************
  347. Downloaded From P-80 International Information Systems 304-744-2253
  348.