home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.230 < prev    next >
Encoding:
Text File  |  1995-01-03  |  9.0 KB  |  213 lines
  1. VIRUS-L Digest   Friday,  3 Nov 1989    Volume 2 : Issue 230
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. CRC checking
  17. Re: Checksum programs
  18. Re: Self-checking programs (PC)
  19. Re:Virus source available in Toronto
  20. DBASE Virus and SCANV47 (PC)
  21. decompiling a virus
  22.  
  23. ---------------------------------------------------------------------------
  24.  
  25. Date:    Wed, 01 Nov 89 00:00:00 +0000
  26. From:    "Prof Arthur I. Larky" <AIL0@LEHIGH.BITNET>
  27. Subject: CRC checking
  28.  
  29.              A CRC will work if you:
  30.  
  31.              (1) Keep the polynomial secret and personal.
  32.  
  33.              (2)   Keep   the  comparison  information  secret  and
  34.              personal.
  35.  
  36.              You can accomplish (1) by having the checker  ask  for  the
  37.         polynomial  (or  some  portion of it) when you boot up and start
  38.         the checking.  The checker should NOT store  the  polynomial  on
  39.         disk anywhere.
  40.  
  41.              You  can  accomplish  (2) by having the checker ask for the
  42.         check file name and/or path when  you  boot  up  and  start  the
  43.         checking.
  44.  
  45.              Both  of  these  are a pain to do, but losing everything on
  46.         your hard drive is much more of a pain.  Of course,  you  should
  47.         still do regular backups (I do lots of program development, so I
  48.         back  up  everything  on floppy as soon as I create it) and have
  49.         someone's program watching your disk for you.
  50.  
  51.              The basic rule  is:  Be  Different!   MSDOS  is  vulnerable
  52.         because  it is so well-known how to write lethal things to disk.
  53.         If you name your checksum file "Checksum.fil", you  are  looking
  54.         for  trouble!   I know I can find a name and a sub-directory for
  55.         it that I wouldn't recognize a month later.
  56.  
  57.                                       Art
  58.                                    CSEE Dept
  59.                                Lehigh University
  60.                                  Bethlehem, PA
  61.  
  62.  
  63.         Disclaimer, disclaimer, disclaimer
  64.  
  65. ------------------------------
  66.  
  67. Date:    01 Nov 89 20:53:10 +0000
  68. From:    len@csd4.csd.uwm.edu (Leonard P Levine)
  69. Subject: Re: Checksum programs
  70.  
  71. kerchen@iris.ucdavis.edu (Paul Kerchen) writes:
  72. > This point brings up a problem which is common to most checksumming
  73. > solutions: where does one store these checksums and their keys?  If
  74. > they are stored on disk, they are vulnerable to attack just like
  75. > programs.  That is, a virus could infect the program and then update
  76. > its checksum, since the key must be somewhere on disk as well (unless
  77. > the user enters it every time they compute a checksum--yecch!) and one
  78. > must assume that the checksum algorithm is known.
  79.  
  80. The checksum program and the checksum should be stored in a place that is
  81. different on each machine.  Furthermore, there is no special "best"
  82. crc or testing algorithm, many will do with varying polynomials.
  83.  
  84. A satisfactory system is one in which each user can use a polynomial
  85. of his/her choice and where the list of files and their crc's
  86. (for example) is stored in some arbitrary location.  No virus writer
  87. will be looking for YOU, rather just a collection of systems that
  88. are alike enough to infect.
  89.  
  90. When dutch elm disease comes around, you should look like an oak tree.
  91. Be different enough so that only a specific attack can defeat your
  92. defences, not just some attempt to infiltrate command.com.
  93.  
  94. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  95. | Leonard P. Levine                  e-mail len@evax.cs.uwm.edu |
  96. | Professor, Computer Science             Office (414) 229-5170 |
  97. | University of Wisconsin-Milwaukee       Home   (414) 962-4719 |
  98. | Milwaukee, WI 53201 U.S.A.              FAX    (414) 229-6958 |
  99. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  100.  
  101. ------------------------------
  102.  
  103. Date:    02 Nov 89 02:02:35 +0000
  104. From:    berman-andrew@YALE.EDU (Andrew P. Berman)
  105. Subject: Re: Self-checking programs (PC anti-virus protection)
  106.  
  107. In article <0006.8911011255.AA25780@ge.sei.cmu.edu> leif@ambra.dk (Leif Andrew
  108. Rump) writes:
  109. >If a virus killer can patch a program so can a virus! Exactly as virus
  110. >detectors is able to find a virus by looking at the code so is the
  111. >virus able to detect the virus killer and disable it! That's life!!
  112.  
  113. I wonder if that's actually the case.  Consider that most of the virus'
  114. created so far have been under 3 kilobytes.  A virus must be somewhat
  115. small to avoid detection- a 40k patch to every program could be detected
  116. visually by the user with a 1 meg floppy disk.  Perhaps a very complex
  117. virus killer could patch a program in such a way that only a very complex
  118. virus could unpatch it-  a patching algorithm X with a proof on the order of
  119. "patch algorithm X cannot be unpatched by a program with less than 100k" or
  120. something like that might do some good.
  121.   Or, perhaps we could design patches that might be unpatchable by a
  122. short virus, but would take a great deal of time. We're not really too
  123. concerned about length of time it takes to patch, since that only would
  124. occur once for each program.  Thus, a patching algorithm X which can
  125. be proven to be computationally-hard to unpatch would be effective because
  126. the virus might be required to take up a great deal of computer time,
  127. again providing a means to alert the user.
  128.  
  129. Frankly, I find the stuff fascinating... I think there's some
  130. theoretical computing issues involved here, but hey, what do I know, I'm
  131. only a grad student.
  132.  
  133.  
  134. Andrew P. Berman
  135. berman@yale.edu
  136.  
  137. ------------------------------
  138.  
  139. Date:    Thu, 02 Nov 89 18:47:07 +0100
  140. From:    fbihh!swimmer@uunet.UU.NET (Morton Swimmer)
  141. Subject: Re:Virus source available in Toronto
  142.  
  143. kelly@uts.amdahl.com (Kelly Goen) writes:
  144.  
  145. >Yes it is indeed true that viral sources are published in several
  146. >areas... however "Viruses , A high Tech disease" published only
  147. >overwriting viruses!! more similar to a logic bomb as when they infect
  148. >the target executable the file is immediately destroyed(VERY EASY to
  149. >detect) by the overwriting process. However any COMPETANT Assembly
  150. >coder can manufacture far more unobtrusive viruses if he just thinks
  151. >about it!! the published sources working or non working are really not
  152. >that much of a threat...
  153.  
  154. Oh yes they are!
  155. It is very much easier to start from a working source
  156. than to start from scratch. Irrespective if you are
  157. "competant" or not. Just take the source, think of
  158. something and implement it. It will take you far less
  159. time, and the inhibition is far less. This is exactly
  160. what happened to one of the viruses published in
  161. R**** B*****'s book. Not long afterwards, presto! we
  162. had the Vienna (648) virus!
  163. Granted, its just a small chip off the block, but
  164. you must try everything to win this war.
  165.  
  166. Cheers, Morton
  167.  
  168. ------------------------------
  169.  
  170. Date:    Thu, 02 Nov 89 15:09:50 -0800
  171. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  172. Subject: DBASE Virus and SCANV47 (PC)
  173.  
  174.         A number of folks have looked at the DBASE virus (Ross
  175. Greenberg's discovery), including Joe Hirst, Steffan Campbell and T.B.
  176. Allen, and the general consensus is that the virus is very similar in
  177. style to the TYPO virus (The COM version).  If the author of these two
  178. viruses is one and the same person, then perhaps the DBASE author has
  179. not completely been "re-habilitated" as Ross Greenberg has suggested.
  180. If this is the case, then the DBASE virus may have been placed into
  181. the public domain (and would indeed account for the inexplicable DBASE
  182. problem reports that have been received over many months by the CVIA).
  183. Accordingly, SCAN V47 has been updated to include a check for this
  184. virus.  Better safe than sorry.
  185.  
  186. Alan
  187.  
  188. ------------------------------
  189.  
  190. Date:    Thu, 02 Nov 89 22:30:19 -0800
  191. From:    ames!dhw68k.cts.com!stein@apple.com (Rick 'Transputer' Stein)
  192. Subject: decompiling a virus
  193.  
  194. I just finished reading "With Microscope and Tweezers: An Analysis of
  195. the Internet Virus of Nov. 1988" by Eichin and Rochlis in the
  196. Proceedings of the 1989 IEEE Symposium on Security and Privacy.  They
  197. discuss the decompilation process but only in a vague sense.  What is
  198. decompilation?
  199.  
  200. Do you actually have to take apart a core dump, find the opcodes,
  201. operands, and build a hi-level pseudocode from this?  Is there an
  202. automated tool, or hunk of software which decompiles images for you?
  203. How do you detect a virus in core with a "process interagator" if
  204. something like this exists.
  205.  
  206. - --rick
  207.  
  208. ------------------------------
  209.  
  210. End of VIRUS-L Digest
  211. *********************
  212. Downloaded From P-80 International Information Systems 304-744-2253
  213.