home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.234 < prev    next >
Encoding:
Text File  |  1995-01-03  |  19.9 KB  |  447 lines
  1. VIRUS-L Digest   Tuesday,  7 Nov 1989    Volume 2 : Issue 234
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Datacrime report at ERIM followup (PC)
  17. Re: Where are the Sophisticated Viruses?
  18. Re: Imbeded virus detection
  19. Re: 2608- possible virus? (AMIGA)
  20. Re: Macintosh Virus List (Mac)
  21. dBase and Typo-COM viruses (PC)
  22. Re: CRC's
  23. SCANV42 and ASHAR Virus (Mac)
  24.  
  25. ---------------------------------------------------------------------------
  26.  
  27. Date:    Mon, 06 Nov 89 13:46:07 -0500
  28. From:    Arthur Gutowski <AGUTOWS%WAYNEST1.BITNET@VMA.CC.CMU.EDU>
  29. Subject: Datacrime report at ERIM followup (PC)
  30.  
  31. A couple of weeks back, I posted an article concerning a Datacrime hit
  32. at the Environmental Research Institute of Michigan (ERIM).  More
  33. recent info precludes any correlation of the hit with the discovery of
  34. the name Siegmar Schmidt in the partition table.  I recieved a message
  35. from Leo Stephens (also a subscriber to Virus-L), in which he said
  36. that a friend of his had also discovered this name in the partition
  37. table.  He also had found the name David Litton on some of his
  38. machines at work, and others had no name at all.  A couple of people
  39. who know more about partition tables and editors than I do suggested
  40. that it was just the author of the editor taking credit for the
  41. program by placing his name there (there is enough unused space in the
  42. partition sector to do this harmlessly).  All of the other occurences
  43. of names have come without any disk problems associated with a virus
  44. (McAfee's Scanv46 and IBM's Virscan was used on on the above disks).
  45. I guess the moral of the story is to just make sure pertinent data
  46. does not change.  But, if anyone else can confirm that these names
  47. aren't anything too out of the ordinary, it would set my mind (and
  48. computer) at ease.
  49.  
  50. Again, my friend at ERIM did get hit by a Datacrime version either by
  51. an bum copy of PKZ102.EXE or his FDISK program became
  52. infected...Siegmar is innocent.
  53.  
  54. +--------------------------------------------------------------------+
  55. | Arthur J. Gutowski                                                 |
  56. | Antiviral Group / Tech Support / WSU University Computing Center   |
  57. | 5925 Woodward; Detroit MI  48202; PH#: (313) 577-0718              |
  58. | Bitnet: AGUTOWS@WAYNEST1   Internet: AGUTOWS@WAYNEST1.BITNET       |
  59. +====================================================================+
  60. | "To do is to be."  -Socrates  "To be is to do."  -Plato            |
  61. | "Do-bee do-bee do."  -Sinatra  "Yabba dabba doo."  -Fred Flintstone|
  62. +--------------------------------------------------------------------+
  63.  
  64. ------------------------------
  65.  
  66. Date:    Mon, 06 Nov 89 20:54:24 +0000
  67. From:    madd@world.std.com (jim frost)
  68. Subject: Re: Where are the Sophisticated Viruses?
  69.  
  70. CHESS@YKTVMV.BITNET (David.M..Chess) writes:
  71. >You're forgetting one important kind of virus detector: a
  72. >general modification-detector that does a check-code of some
  73. >kind (CRC, MDC, or whatever), and alerts the user when
  74. >a file's *contents* (not the date) change.
  75. >I think even
  76. >a virus that talked straight to the hardware to avoid
  77. >"suspicious activity" detectors wouldn't get far before
  78. >it was detected.                        DC
  79.  
  80. Sigh.  We're lucky that no very competent programmer has tried to
  81. write a virus, all right.  Consider that there are three phases to any
  82. virus, not including side-effects such as damaging data:
  83.  
  84.         1) infection
  85.         2) propagation
  86.         3) survival
  87.  
  88. A sophisticated virus spends almost all of its time surviving, so it's
  89. the most interesting stage.  Survival traits include:
  90.  
  91.         * limiting propagation rates
  92.         * limiting re-infections
  93.         * detecting and avoiding "virus-protected" hosts
  94.         * staying within normal system activity boundaries
  95.         * hiding from standard system utilities
  96.         * modifying hosts to make them more susceptible to
  97.           re-infection
  98.  
  99. There are a lot more things that a sophisticated virus can do, but
  100. these are food for thought.  Let's examine them in more detail.
  101.  
  102. Limiting Propagation Rates.  Simple viruses, and often not-so-simple
  103. ones, will proliferate without bounds.  Rampant proliferation will
  104. cause the virus to be noticed early in its lifetime and will probably
  105. lead to its early demise.  The internet worm did not do this.
  106.  
  107. Limiting Re-Infections.  Most simple viruses don't detect systems
  108. which have already been infected and will re-infect them.  Such
  109. viruses will incrementally eat system resources until they are
  110. noticed.  The internet worm did not do this.
  111.  
  112. Detecting and Avoiding "Virus-Protected" Hosts.  I have yet to see a
  113. virus which looked at the state of a system to detect virus detection
  114. mechanisms to nullify them and/or avoid infecting them.  There are a
  115. variety of simple ways which a virus could do this, especially on
  116. PC-based systems where hardware and software is extremely standard.  A
  117. virus which did this might go undetected forever.  Of course it's
  118. possible that such a beastie exists and is undetected.  Even CRC
  119. detectors will not detect a properly written virus which avoids
  120. systems with CRC detection mechanisms!
  121.  
  122. Staying Within Normal System Activity Boundaries.  Some viruses will
  123. actively search devices which a user did not request activity from;
  124. this activity will often be noticed.  A good many Apple II viruses had
  125. this trait, and so did the internet worm.  It leads to early
  126. detection.
  127.  
  128. Hiding From Standard System Utilities.  A sophisticated virus would
  129. avoid showing anomalies when the system is perused with standard
  130. system utilities such as those which display currently active
  131. processes, memory or disk usage, etc.  Given the primitive state of
  132. many PC operating systems, this capability is seldom needed, and it's
  133. easy to remain unnoticed on larger systems without any effort at all.
  134. The internet worm had some of these avoidance techniques which made it
  135. much harder to track down.
  136.  
  137. Modifying Hosts To Make Them More Susceptible To Re-Infection.  A very
  138. sophisticated virus could make subtle changes to an operating system
  139. or operating system environment to make it easier to re-infect.  This
  140. capability is generally useless amongst PCs but it's extremely easy to
  141. make small modifications to many multiuser systems -- particularly
  142. UNIX -- to make re-infection trivial.  I believe a recent VMS virus
  143. did this by adding a user, although I'm not certain of that.
  144.  
  145. [Ed. The DECnet WANK worm did indeed add (or alter an existing)
  146. username, FIELD.  It also modified .COM files (which are shell scripts
  147. on VMS, similar to MS-DOS .BAT files) to do the same if run from a
  148. privileged account.  Making any such changes to MS-DOS PCs would seem
  149. redundant, IMHO.]
  150.  
  151. By now you should get the idea that almost every virus we've seen is
  152. primitive, although several showed some of the survival traits which I
  153. outline above.  Given the limited resources of PC environments, it's
  154. unlikely that you'll get a very sophisticated virus.  The internet worm
  155. was itself only sophisticated at infection; propagation and survival
  156. techniques were woefully inadequate, although they need not have been
  157. because the infected hosts could have supported a much more
  158. sophisticated virus.
  159.  
  160. This is food for thought, but should give you an idea of just how
  161. tough a virus could actually be.  Count our blessings now because you
  162. won't believe how bad tomorrow's nightmares will be unless we start
  163. teaching ethics to tomorrow's programmers!
  164.  
  165. jim frost
  166. madd@std.com
  167.  
  168. ------------------------------
  169.  
  170. Date:    Sat, 03 Nov 89 14:47:35 +0000
  171. From:    rwallace@vax1.tcd.ie
  172. Subject: Re: Imbeded virus detection
  173.  
  174. PSYMCCAB@UOGUELPH.BITNET (Bob McCabe) writes:
  175. >   As a consultant who writes software for the PC I am worried
  176. > about the possibility of my programs getting infected and
  177. > becoming vectors by which viri are spread.
  178. >   In particular I am developing an application that will be hand
  179. > carried from site to site to gather data by a number of users. If
  180. > this program were to get infected it could cause wide spread loss
  181. > of data to an important research project, not to mention other
  182. > programs and data on affected systems. I am looking at including
  183. > a check to see if there has been any change in the EXE files.
  184. > Failure on such a check would cause the program to disable it's
  185. > self and report a possible infection.
  186.  
  187. Easy enough to do: just have something like this (in C):
  188.  
  189. main (argc,argv)
  190. {
  191.         if (crc_check (argv[0])!=ORIGINAL_CRC_VALUE)
  192.         {
  193.                 printf ("Virus infection - now committing suicide!\n");
  194.                 unlink (argv[0]);
  195.                 exit (20);
  196.         }
  197.         ...
  198. }
  199.  
  200. ok so you probably wouldn't want the program to actually commit
  201. suicide but it looks good. Only problem is entering the original CRC
  202. value as a constant because putting in the value into the program
  203. would change the executable file and thereby the value ... maybe have
  204. some unused static data you change the value of to compensate and make
  205. the total CRC unchanged.
  206.  
  207. "To summarize the summary of the summary: people are a problem"
  208. Russell Wallace, Trinity College, Dublin
  209. rwallace@vax1.tcd.ie
  210.  
  211. ------------------------------
  212.  
  213. Date:    Mon, 06 Nov 89 12:05:32 +0000
  214. From:    rwallace@vax1.tcd.ie
  215. Subject: Re: 2608- possible virus? (AMIGA)
  216.  
  217. n8735053@unicorn.wwu.edu (Iain Davidson) writes:
  218. > Well, while up in Vancouver, BC at an Amiga Users Group meeting, a
  219. > interesting thing was demostrated.....
  220. >
  221. > I call it the "2608" virus. (don't know the offical name).
  222. >
  223. > It worked like the IRQ virus attaching itself to the first executable in
  224. >   the startup-sequence.  But with a slight twist.  It would copy the
  225. >   found executable to devs:"    " and copy itself into the old name in
  226. >   the "C" directory (size 2608 bytes).
  227.  
  228. Sounds like BGS-9. Make sure you don't leave any copies on any working
  229. disks because the version of BGS-9 I found trashes sectors of your
  230. floppies.
  231.  
  232. "To summarize the summary of the summary: people are a problem"
  233. Russell Wallace, Trinity College, Dublin
  234. rwallace@vax1.tcd.ie
  235.  
  236. ------------------------------
  237.  
  238. Date:    Sun, 06 Nov 89 04:28:04 +0000
  239. From:    <polari!robert@beaver.cs.washington.edu>,
  240.          robert@polari.UUCP (robert)
  241. Subject: Re: Macintosh Virus List (Mac)
  242.  
  243.  > Recently I have been writing an article on Macintosh infections.  In
  244.  > writing the article I tried to compile an exhaustive list of Macintosh
  245.  > viruses. Below is the list.  If anyone has anything to add to the list
  246.  > I would appreciate them notifying me so I can update the list.  Thanks
  247.  > much!
  248.  
  249.  Your list includes "SNEAK" and "San Jose Flu". I've never heard of the
  250.  "San Jose Flu". Could you furnish more information about this one?
  251.  
  252.  The "SNEAK" is not a Macintosh virus. This is apparently a generic term
  253.  (like "Trojan Horse" or "Time Bomb") for a type of virus. All uses of
  254.  the term "SNEAK" that I have seen trace back to Robert Woodhead, the
  255.  author of the Macintosh anti-virus program Interferon, and I suspect
  256.  that Robert coined the term himself. The documentation for Interferon
  257.  defines a "SNEAK" as follows:
  258.  
  259.  003    A SNEAK virus.  This is a virus that adds it's code to a
  260.         common System folder file and changes it's type to INIT so
  261.         that it is run at boot time.  Type 003 is a generic "Virus
  262.         sniffer" that detects if common System folder files have
  263.         been adulterated in this way.  If you get a type 003 virus,
  264.         please get in contact, you may have discovered a new strain.
  265.  
  266. Interferon was one of the first Mac anti-virus programs and was, at the
  267. time, an excellent (and free) virus detection program (though it should
  268. NOT be used for virus removal!). The intent of the author was, apparently,
  269. to provide checks for possible future viruses. Unfortunately, some software
  270. that was released after Interferon tended to trigger this generic virus
  271. check. The result was that Interferon would report a "SNEAK virus" in cases
  272. where no virus actually existed. Early versions of Interferon found "SNEAK
  273. virus" in the LaserWriter and LaserPrep files that were part of later system
  274. software releases from Apple. Even Interferon 3.1, which is the latest
  275. version of Interferon I have seen (dated May 16, 1988), reported the "SNEAK
  276. virus" in TOPS version 2.1.
  277.  
  278. These early attempts by Interferon to detect unknown viruses with generic
  279. checks bring out the dangers of such an approach. I get the impression
  280. that the author of Disinfectant, John Norstad, has taken a more conservative
  281. approach and checks only for KNOWN virus entities (resources and files).
  282. I imagine that Robert Woodhead has taken a similar approach with Virex,
  283. his newer commercial anti-virus program (replacing Interferon), though I
  284. haven't had an opportunity to see Virex.
  285.  
  286.  ---------------------------------------
  287.     Robert Riebman
  288.     robert@polari
  289.     Northwest Information Technology
  290.     P.O. Box 3156
  291.     Redmond, WA   98073
  292.  ========================================
  293.  
  294. ------------------------------
  295.  
  296. Date:    06 Nov 89 20:45:07 +0000
  297. From:    frisk@rhi.hi.is (Fridrik Skulason)
  298. Subject: dBase and Typo-COM viruses (PC)
  299.  
  300. Alan J Roberts writes:
  301. >
  302. >        A number of folks have looked at the DBASE virus (Ross
  303. >Greenberg's discovery), including Joe Hirst, Steffan Campbell and T.B.
  304. >Allen, and the general consensus is that the virus is very similar in
  305. >style to the TYPO virus (The COM version).  If the author of these two
  306. >viruses is one and the same person, then perhaps the DBASE author has
  307. >not completely been "re-habilitated" as Ross Greenberg has suggested.
  308.  
  309. I must disagree. The dBase and Typo-COM viruses are similar in some ways,
  310. but there are also quite a few differences.
  311.  
  312. Similarities:
  313.  
  314. 1) Both viruses use an identical, but very unusual, method to transfer control
  315.    back to the original program:
  316.  
  317.                 MOV        AX,100
  318.                 JMP        AX
  319.  
  320. 2) Both viruses infect files with names ending in .COM, instead of checking
  321.    the first two bytes to determine the type of the file. They will not
  322.    infect .EXE files.
  323.  
  324. 3) The viruses use similar methods to determine if the system is alredy
  325.    infected - defining new interrupt subfunctions.
  326.  
  327.                 dBase:                               Typo-COM:
  328.  
  329.                 MOV        AX,FB0A                   XOR        AL,AL
  330.                 INT        21                        MOV        AH,DD
  331.                 CMP        AX,0AFB                   INT        16
  332.                 JE         infected                  CMP        AL,AH
  333.                                                      JE         not_infected
  334.  
  335. Differences:
  336.  
  337. 1) Typo-COM will search for programs to infect, looking for *.COM files
  338.    in the current directory. The dBase virus will infect a program when
  339.    it is executed.
  340.  
  341. 2) Typo-COM will install itself in memory when the infected program
  342.    terminates, (by using DOS functions 0 or 4C, or by a INT 20 call).
  343.    dBase will install itself as soon as it has determined that it is not
  344.    already present in memory.
  345.  
  346. 3) The code used to hook INT 21 is very dissimilar, the dBase virus using
  347.    DOS functions, but Typo-COM using direct manipulation.
  348.  
  349.                 dBase:                           Typo-COM:
  350.  
  351.                 MOV AX,3521                      MOV AX,[84]
  352.                 INT 21                           :
  353.                 :                                MOV [84],SI
  354.                 :                                SUB [84],98
  355.                 MOV DS,DX                        :
  356.                 MOV DX,new_21                    MOV AX,[86]
  357.                 MOV AX,2521                      :
  358.                 INT 21                           PUSH CS
  359.                                                  POP [86]
  360.  
  361. 4) dBase hooks INT 21 when it is first executed. Typo-COM hooks INT 21,
  362.    INT 20 and INT 16 at the same time, but when it installs itself in memory
  363.    it restores INT 21 and INT 20.
  364.  
  365. 5) The "install in memory" procedure is VERY different. The dBase virus
  366.    manipulates the MCB directly, in a way similar to the method used
  367.    by the Icelandic virus. It will then transfer itself upwards in memory.
  368.    Typo-COM will transfer itself down, overwriting the original infected
  369.    program, as soon as the program exits (see [2] above.)
  370.  
  371. 6) Finally:  The Typo-COM is a "harmless" virus, meaning that it does no
  372.    direct, permanent damage, like destroying data or formatting the hard
  373.    disk. It contains a generation counter, but it does not seem to be used
  374.    (reserved for future expansion ?) All it does is to produce a "typing
  375.    error" every now and then. It is therefore in the "joke" category,
  376.    along with Cascade, Ping-Pong and a few other viruses.
  377.  
  378.    The dBase virus is quite different. It will garble data when it is written
  379.    and restore it when it is read back. If the system is not infected at the
  380.    time, the data will be useless. This also applies if the virus is removed.
  381.    But, if the file has not been written to for three months when it is
  382.    read, the virus will do serious damage, erasing the first 100H sectors on
  383.    drive D: E: .... Z: - or at least it was designed to do so. The author
  384.    forgot one small detail, which will make the destruction rather
  385.    unpredictable.
  386.  
  387.    This is a clear difference in attitude, which does not support the
  388.    theory that the viruses have the same author
  389.  
  390. Comments, anyone ?
  391.  
  392. - -frisk
  393.  
  394.          Fridrik Skulason          University of Iceland
  395.          frisk@rhi.hi.is           Computing Sevices
  396.  
  397.           Guvf yvar vagragvbanyyl yrsg oynax .................
  398.  
  399. ------------------------------
  400.  
  401. Date:    Mon, 06 Nov 89 22:48:39 +0000
  402. From:    kichler@harris.cis.ksu.edu (Charles Kichler)
  403. Subject: Re: CRC's
  404.  
  405. > A CRC will work if you:
  406. > (1) Keep the polynomial secret and personal.
  407. > (2) Keep   the  comparison  information  secret  and
  408. >     personal.
  409.  
  410. I don't think this is fool-proof.  The problem is that the polynomial
  411. and the comparison information must be known to the program.  Therefore,
  412. if you know where to look IN THE PROGRAM, then you could find the
  413. information.
  414.  
  415. I believe the only iron-clad method might be a hardware device which
  416. could verify a programs "health".  I imagine it to be device akin to
  417. those that attach to the serial port of a computer for copy protection.
  418. The advantage is hardware is difficult to modify via software.  As of yet,
  419. I haven't seen a program that can beat a write protect tab.
  420.  
  421. Charles "chuck" E. Kichler,        Intro. to PC Instructor/Co-ordinator
  422. Computer & Info. Science    Kansas State Univ. * Yesterday,
  423. Internet: kichler@harris.cis.ksu.edu           |  I knew the answers.
  424. BITNET: kichler@ksuvax1.bitnet                 * Today,
  425. UUCP: {rutgers,texbell}!harris!kichler         |  they changed the questions.
  426.  
  427. ------------------------------
  428.  
  429. Date:    Mon, 06 Nov 89 16:33:01 -0800
  430. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  431. Subject: SCANV42 and ASHAR Virus (Mac)
  432.  
  433.     Tom Sheriff noted in a recent Virus-L listing that SCANV42
  434. displays an unusual virus number and appears to show both the ASHAR
  435. and the BRAIN virus whenever the BRAIN virus is encountered.  The
  436. duplicate virus messages were caused by new strings added to version
  437. 42, fixed in V44.  The "1d viruses found" message has also been fixed
  438. in version 44.  (The "d" was an extraneous character caused by the
  439. duplicate strings).
  440. Alan
  441.  
  442. ------------------------------
  443.  
  444. End of VIRUS-L Digest
  445. *********************
  446. Downloaded From P-80 International Information Systems 304-744-2253
  447.