home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.239 < prev    next >
Encoding:
Text File  |  1995-01-03  |  12.3 KB  |  297 lines
  1. VIRUS-L Digest   Monday, 13 Nov 1989    Volume 2 : Issue 239
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. New Virus (PC)
  17. Interferon & The Vision Fund (Mac)
  18. "The Cuckoo's Egg," Cliff Stoll, Doubleday, New York ($18.95),
  19. Virus trivia (PC)
  20. Re: MacWight? (Mac)
  21. Re: Where are the Sophisticated Viruses? (PC)
  22. Previous Incorrect Attribution
  23. New Virus (PC)
  24. Re: Identify Ashar Virus (PC)
  25.  
  26. ---------------------------------------------------------------------------
  27.  
  28. Date:    Fri, 10 Nov 89 09:32:38 -0800
  29. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  30. Subject: New Virus (PC)
  31.  
  32.      A new COM infector was submitted to the HomeBase board this
  33. evening by Jean Luz of Lisbon, Portugal.  The virus is in many
  34. respects similar to the Vienna virus - the size increase is 648 bytes,
  35. and instead of overwriting every eigth file (on the average) with the
  36. re-boot sequence, it overwrites with the characters "AIDS", thus
  37. crippling those applications.  This virus shoulkd not be confused with
  38. the original AIDS virus (very dissimilar).  Asside from the mentioned
  39. similarities with Vienna, the virus appears to be written from
  40. scratch.  The 648 length seems to be a chance result.  No effects of
  41. the virus have been observed other than the above mentioned.  The
  42. virus has been in Portugal at least two months according to the
  43. submitter.  Alan
  44.  
  45. P.S.  The following presumably straight-faced request was posted on
  46. HomeBase by John McAfee.  Thought it might be of interest to Virus-L
  47. readers:
  48.  
  49. To: All Users
  50. From: John McAfee
  51. Subject: Reported Possible Virus
  52.  
  53.     I received an unusual call from a Mr. Fred Hankel of Fargo, North
  54. Dakota this morning.  Mr. Hankel was highly agitated and after hearing his
  55. long and involved story, I was moved to pass on this condensed summary to
  56. all who might be interested:  Mr. Hankel reports, and I have no grounds for
  57. doubting, that a computer virus invaded his system from a bingo game he
  58. purchased in mid-October.  The virus activated at 11:00 A.M yesterday and
  59. promply melted his power supply and mother board.  As he reached for the
  60. power switch to turn off the machine, the virus blasted a perfectly circular
  61. hole in the front panel of his AT clone and left a three foot oval scorch
  62. mark on the back wall of his den.  I had not heard of this virus before
  63. and felt that an alert might be in order.  Anyone experiencing similar
  64. symptoms should contact us immediately.
  65. Thank you.
  66.  
  67. [Ed. Sounds (to me) like paranoia strikes deep.  I trust that everyone
  68. will have the good sense to take this report with a large grain of
  69. salt...]
  70.  
  71. ------------------------------
  72.  
  73. Date:    Fri, 10 Nov 89 22:17:27 +0000
  74. From:    biar!trebor@uunet.uu.net (Robert J Woodhead)
  75. Subject: Interferon & The Vision Fund (Mac)
  76.  
  77. On behalf of the Vision Fund, I would like to thank everyone who has sent
  78. in a Shareware donation for use of the Interferon program.  We have
  79. collected a substantial amount of money that has gone to good use.
  80.  
  81. Now I have a request:  Please don't send in any more money!  Interferon
  82. is now an obsolete program; Shareware programs like Disinfectant and
  83. commercial programs like (plug, I wrote it) Virex are faster and better.
  84. In addition, I've been told by my accountants that the informal structure
  85. of the Vision Fund can cause me some tax problems if too much more money
  86. comes in.
  87.  
  88. Therefore, I declare both Interferon and MandelColor (another Vision Fund
  89. program) to be Freeware.  After a certain date, any cheques received made
  90. out to the Vision Fund will be returned.  Any cash sent in, or cheques made
  91. out to Yours Truly, will be spent on wooing women.
  92.  
  93. - --
  94. Robert J Woodhead, Biar Games, Inc.   !uunet!biar!trebor | trebor@biar.UUCP
  95. Announcing TEMPORAL EXPRESS.  For only $999,999.95 (per page), your message
  96. will be carefully stored, then sent back in time as soon as technologically
  97. possible.  TEMEX - when it absolutely, postively has to be there yesterday!
  98.  
  99.  
  100. ------------------------------
  101.  
  102. Date:    Sat, 11 Nov 89 07:41:00 -0500
  103. From:    WHMurray@DOCKMASTER.ARPA
  104. Subject: "The Cuckoo's Egg," Cliff Stoll, Doubleday, New York ($18.95),
  105.  
  106. >(In my personal opinion, by
  107. >the way, "The Cuckoo's Egg" should be considered required reading by
  108. >anyone who runs, or is interested in, computers - *highly*
  109. >recommended.) -- Ken Van Wyk
  110.  
  111. As much as I like Cliff Stoll, I still hate to be forced to sell his
  112. book.  Nonetheless, I am force to agree with Ken on this: the book is
  113. required reading.  It is so much so, that I do not even harbor any
  114. qualms about saying so on the network.
  115.  
  116. William Hugh Murray, Fellow, Information System Security, Ernst & Young
  117. 2000 National City Center Cleveland, Ohio 44114
  118. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
  119.  
  120. ------------------------------
  121.  
  122. Date:    Sat, 11 Nov 89 12:34:24 +0000
  123. From:    frisk@rhi.hi.is (Fridrik Skulason)
  124. Subject: Virus trivia (PC)
  125.  
  126. Just a few random bits of information....
  127.  
  128.         * A diskette infected with the Ohio virus will be immune to
  129.           infection by the Brain and Den Zuk viruses, since it contains
  130.           the signature of those two viruses.
  131.  
  132.         * The Vacsina virus can only properly infect a .COM file, so
  133.           when it infects a .EXE file it will do so in two steps, first
  134.           change it into a .COM file by overwriting the 4D 5A signature
  135.           with a JMP instruction and placing a 132 byte loader program
  136.           at the end of the file. The next time this program gets infected
  137.           it will be infected just like any other .COM file.
  138.  
  139.         * Almost all .EXE infecting viruses place the virus code at the end
  140.           of the infected file. One virus, sURIV 2.0 does not. It will insert
  141.           itself just after the header of the program it infects.
  142.  
  143. And one question.. What language is "Den Zuk" ? I thought it was Dutch for
  144. "The search", but I have been told that it is not.
  145.  
  146. - -frisk
  147.  
  148. ------------------------------
  149.  
  150. Date:    10 Nov 89 16:46:36 +0000
  151. From:    ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
  152. Subject: Re: MacWight? (Mac)
  153.  
  154. XRJDM@SCFVM.BITNET (Joe McMahon) writes:
  155. >You may (or may not :-) remember the discussions we had here on the
  156. >list about this. As far as I remember, there was never a specific
  157. >demonstration that there was a virus involved. That doesn't mean that
  158. >there wasn't; it just means that there were never quite enough facts
  159. >presented to make a case either way. I'd leave it off for now, or
  160. >mention it as a "rumored sighting" or whetever. Safest not to mention
  161. >it, especially since it was never pinned down and analyzed.
  162. >
  163. > --- Joe M.
  164.  
  165. I agree whole-heartedly!  Please *do*not* mention this alleged virus -
  166. the paranoia the initial reports of this alleged virus have given way
  167. to is damage enough.  There is still *no* evidence that this virus
  168. ever existed.
  169.  
  170. Since my initial postings on this subject, I have received a couple of
  171. files that, it was thought, might have been infected by this alleged
  172. virus.  I found no indication of any virus (or anything at all out of
  173. the ordinary) in those files.
  174.  
  175. Once again, there is still *no* evidence that this virus ever existed.
  176. If new evidence surfaces, this disucssion can continue, but at the
  177. moment there's no evidence and, consequently, nothing to discuss.  The
  178. end.
  179.  
  180. "The onus of proof is on he who asserts the positive."
  181.  
  182. Cheers,
  183. - ----Chris
  184. - ----chrisj@emx.utexas.edu
  185.  
  186. ------------------------------
  187.  
  188. Date:    Sat, 11 Nov 89 19:52:07 +0000
  189. From:    madd@world.std.com (jim frost)
  190. Subject: Re: Where are the Sophisticated Viruses? (PC)
  191.  
  192. frisk@rhi.hi.is (Fridrik Skulason) writes:
  193. >jim frost writes:
  194. >>Given the limited resources of PC environments, it's
  195. >>unlikely that you'll get a very sophisticated virus.
  196.  
  197. >I must disagree. In the PC environment it is not a question of limited
  198. >resources, but rather the fact that any user process has full access to
  199. >ALL resources and can even directly manipulate the hardware if required.
  200. >So, my opinion is that it is even easier to write a sophisticated virus on
  201. >the PC than in most other environments.
  202.  
  203. No, it's harder.  Most of the items which I consider sophisticated
  204. require fairly fancy programming which requires code space, data
  205. space, and CPU time, each of which is at a premium in most PCs.  A
  206. really sophisticated virus, one targeted for UNIX, for instance, could
  207. easily approach or exceed a megabyte in size.  You just can't do that
  208. on most PCs, and users would notice even if you could.
  209.  
  210. On the other hand you don't need to.  MS-DOS systems are so trivial
  211. that it's difficult to build a good virus detector and there are no
  212. inherent security systems.  Viruses don't need to be sophisticated.
  213.  
  214. >Finally, I want to add one "feature" to the description of a sophisticated
  215. >virus:
  216.  
  217. >"Bypass protection programs and jump directly to the hardware, DOS or
  218. >BIOS routines."
  219.  
  220. I didn't add that because that's not usually one of the "survival"
  221. traits, but rather is used in propagation and/or infection.  I have a
  222. fairly lengthy document on the kinds of things a real sophisticated
  223. virus might do in each stage (what I showed before was a subset of
  224. this document).  I consider the document sensitive so I am wary of
  225. posting it.
  226.  
  227. jim frost
  228. madd@std.com
  229.  
  230. ------------------------------
  231.  
  232. Date:    11 Nov 89 21:56:43 +0000
  233. From:    kelly@uts.amdahl.com (Kelly Goen)
  234. Subject: Previous Incorrect Attribution
  235.  
  236. Hi all,
  237.       Well it seems I have been guilty of incorrect attribution
  238. of an article I forwarded for Aryeh Goretsky... The forward was NOT
  239. officially from the CVIA nor does it represent an official opinion
  240. of th CVIA. The forward was from Aryeh Goretsky who was not acting
  241. in any official capacity for the CVIA. Here I am redfaced indeed!!
  242. my fault only in the incorrect attribution...
  243.            cheers
  244.            kelly
  245.  
  246.  
  247. ------------------------------
  248.  
  249. Date:    Sat, 11 Nov 89 14:39:50 -0800
  250. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  251. Subject: New Virus (PC)
  252.  
  253.     Yet another virus has been reported and sampled in the Seattle
  254. area.  The virus is a COM, EXE and Overlay infector that increases the
  255. size of infected files by 1644 bytes.  It activates on Sundays and
  256. displays the message: "Today is Sunday!  Why do you work so hard?  All
  257. work and no play make you a dull boy."  File allocation table damage
  258. has been reported in two instances, although we could not dupliacte
  259. the FAT problem on our test systems.
  260.     McAfee is planning to put SCAN49 out on Tuesday.  49 will detect
  261. this Sunday virus, the Lisbon Virus and Yuval Tal's Do Nothing virus
  262. (He sounds pretty haggard over the phone and begins to snarl if the
  263. words "new virus" are mentioned).
  264. Alan
  265.  
  266. ------------------------------
  267.  
  268. Date:    13 Nov 89 03:40:48 +0000
  269. From:    munnari!stcns3.stc.oz.AU!dave@uunet.UU.NET (Dave Horsfall)
  270. Subject: Re: Identify Ashar Virus (PC)
  271.  
  272. It has been pointed out to me (hello Kelly!) that I may have been less
  273. than gracious in my response to the report of "ld viruses found."
  274. Certainly no offence was meant to John McAfee, and I hope none was
  275. taken.
  276.  
  277. However, actual bug details aside, the point I was making that the
  278. user of a virus-detector has to have absolute trust in it, and any
  279. errant behaviour by the program can only weaken that trust, no matter
  280. who the author is.  Certainly, a failure to correctly report the
  281. number of viruses found would seem to imply a lack of testing.
  282.  
  283. Virus detectors must not only be above reproach, they must be SEEN to
  284. be above reproach.
  285.  
  286. Anyone here read comp.risks/RISKS-L ?
  287.  
  288. - --
  289. Dave Horsfall (VK2KFU),  Alcatel STC Australia,  dave@stcns3.stc.oz.AU
  290. dave%stcns3.stc.oz.AU@uunet.UU.NET,  ...munnari!stcns3.stc.oz.AU!dave
  291.  
  292. ------------------------------
  293.  
  294. End of VIRUS-L Digest
  295. *********************
  296. Downloaded From P-80 International Information Systems 304-744-2253
  297.