home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.242 < prev    next >
Encoding:
Text File  |  1995-01-03  |  13.2 KB  |  296 lines
  1. VIRUS-L Digest   Friday, 17 Nov 1989    Volume 2 : Issue 242
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. BITFTP confusion of yesterday
  17. Virus or just hardware/software problem? (Mac)
  18. Write protect tabs (was Re: CRC's)
  19. Help needed on Mac virus attack (Mac)
  20. possible bug in scanres46 (PC)
  21. STONED Virus (PC)
  22. Re: Signature Programs
  23.  
  24. ---------------------------------------------------------------------------
  25.  
  26. Date:    Fri, 17 Nov 89 07:27:08 -0500
  27. From:    Kenneth R. van Wyk <krvw@SEI.CMU.EDU>
  28. Subject: BITFTP confusion of yesterday
  29.  
  30. Hi folks,
  31.  
  32. Yes, I accidentally replied to a message yesterday, directly to the
  33. entire list.  Again, I apologize for that.  I did learn that one of
  34. the quickest ways to get help on something is to make a glaring
  35. mistake like this.  :-)  Thanks to all those who sent in the HELP
  36. information for BITFTP.  Allow me to explain...
  37.  
  38. FTP (File Transfer Protocol) is an Internet facility which, as the
  39. name implies, allows users to transfer files between Internet hosts.
  40. This facility is used frequently for making archives, programs, etc.,
  41. available to the general public - the VIRUS-L/comp.virus archives are
  42. available via anonymous FTP.  Traditionally, FTP was only available to
  43. Internet subscribers since it relies directly on the TCP/IP network
  44. protocol used on the Internet.
  45.  
  46. Enter BITFTP...  BITFTP is an email facility provided at PUCC
  47. (Princeton University Computing Center) - perhaps other IBM VM/CMS
  48. sites as well? - which allows users to invoke Internet FTP sessions
  49. via email requests to BITFTP@PUCC.BITNET.  This gives BITNET and other
  50. email networks (Usenet, etc.) access to much of the FTP facilities of
  51. the Internet.  I say "much of" because the facility, in all its
  52. usefulness, cannot currently transfer binary files, though real FTP
  53. can.
  54.  
  55. Rather than include the lengthy HELP information for BITFTP here, I
  56. refer readers who would like this information to obtain it on-line by
  57. sending email to BITFTP@PUCC.BITNET - in the email message, just enter
  58. a line containing "HELP".  You will then receive the actual HELP file
  59. provided by the service.
  60.  
  61. I hope this clears up the confusion.  BITFTP can provide a very useful
  62. service to non-Internet sites.  As a disclaimer - BITFTP is not
  63. provided by VIRUS-L/comp.virus, CERT, or any group that I'm associated
  64. with; I know little more about it than what I've presented here, and
  65. I'm merely pointing its availability out to users who might find it
  66. useful.
  67.  
  68. Regards,
  69.  
  70. Ken
  71.  
  72. ------------------------------
  73.  
  74. Date:    16 Nov 89 13:50:17 +0000
  75. From:    mmccann@hubcap.clemson.edu (Mike McCann)
  76. Subject: Virus or just hardware/software problem? (Mac)
  77.  
  78. I encountered a problem with a Mac Plus (Everex 20Mb HD, 6.0.3, 2.5Mb
  79. RAM, QuickMail, Netway1000, SAM).  The system and finder were not
  80. visible but the machine was still bootable (some software failed to
  81. run or crashed).  When I used ResEdit from a locked disk I found two
  82. DeskTops but no system or finder anywhere.  The person in charge of
  83. Macintoshs for that area said he reinstalled all the software but the
  84. problem reoccurs.  I immediately thought of a virus and scanned all
  85. the disks and the Mac Plus with Disinfectant1.2 but found nothing (I
  86. did find two file with damaged resource forks on the Mac Plus but
  87. these were documents).
  88.  
  89. If anyone can offer any suggestions, I would greatly appreciate it.
  90. (PS- I personally used Everex's HD formatter to erase the drive and
  91. then installed new, known-clean system software on the Mac Plus with
  92. his software (he didn't have known-clean copies of the software) and
  93. I'm now waiting to see if strange things happen again).
  94.  
  95. Thanks
  96. - --
  97. Mike McCann       (803) 656-3714   Internet = mmccann@hubcap.clemson.edu
  98. Poole Computer Center (Box P-21)       UUCP = gatech!hubcap!mmccann
  99. Clemson University                   Bitnet = mmccann@clemson.bitnet
  100. Clemson, S.C. 29634-2803         DISCLAIMER = I speak only for myself.
  101.  
  102. ------------------------------
  103.  
  104. Date:    15 Nov 89 01:14:28 +0000
  105. From:    munnari!stcns3.stc.oz.AU!dave@uunet.UU.NET (Dave Horsfall)
  106. Subject: Write protect tabs (was Re: CRC's)
  107.  
  108. In article <0007.8911071214.AA17820@ge.sei.cmu.edu>,
  109.     kichler@harris.cis.ksu.edu (Charles Kichler) writes:
  110.  
  111. | The advantage is hardware is difficult to modify via software.  As of yet,
  112. | I haven't seen a program that can beat a write protect tab.
  113.  
  114. I have heard a story, perhaps apocryphal, of a disk controller whose
  115. "write protect" mechanism merely set a bit in a register, which the
  116. software was supposed to check.
  117.  
  118. Do you _know_ your write-protect tab really works?
  119.  
  120. [Ed. This question was discussed a few times on VIRUS-L/comp.virus;
  121. the consensus was (after reviewing schematic diagrams) that the write
  122. protect mechanism on PCs (and clones thereof) and Macs is implemented
  123. in hardware and is thus not circumventable without hardware
  124. modifications.  Unless someone can produce a definitive, reproducable
  125. piece of code that can prove otherwise, lets all please consider this
  126. to be the case.]
  127.  
  128. Dave Horsfall (VK2KFU),  Alcatel STC Australia,  dave@stcns3.stc.oz.AU
  129. dave%stcns3.stc.oz.AU@uunet.UU.NET,  ...munnari!stcns3.stc.oz.AU!dave
  130.  
  131. ------------------------------
  132.  
  133. Date:    Thu, 16 Nov 89 09:19:27 -0500
  134. From:    Tom Southall <SOUTHALL@AUVM.BITNET>
  135. Subject: Help needed on Mac virus attack (Mac)
  136.  
  137. Hello,
  138.  
  139. We are being hit by a Mac virus that is not recognized by our vaccine
  140. programs (Disinfectant, etc.).  The symptoms we see, in order of
  141. severity (age?) of the virus are:
  142.  
  143. 1. System file date changes to current date
  144. 2. All printing services are degraded
  145. 3. File can not be opened - but is visible
  146. 4. Open files can not be saved
  147. 5. Machine freezes in the middle of doing work
  148. 6. Names of infected files are changed to *'s
  149.  
  150. The virus appears to be passed through data files and/or through our
  151. Appletalk network.  We have reformatted all disks and fixed the
  152. server, but the virus re-appears very quickly.
  153.  
  154. Any ideas as to what this might be, and how to get rid of it would be
  155. greatly appreciated.  Thank you,
  156.  
  157. Tom Southall
  158. Manager, User Services
  159. The American University
  160. Washington, DC  20016
  161. (202) 885-2277
  162.  
  163. ------------------------------
  164.  
  165. Date:    Thu, 16 Nov 89 15:55:20 -0600
  166. From:    mitch cottrell <C2852@UMRVMB.UMR.EDU>
  167. Subject: possible bug in scanres46 (PC)
  168.  
  169. To whom it may concern...
  170.  
  171. I do not wish to spread rumors....but??
  172.  
  173. Concerning the McAffee scanres and SCAN program, I am experiencing
  174. unusual hardware problems at undetermined time lengths after
  175. execution of these two programs (version 38 and 46) This problem
  176. affects floppy disk drives only on base PC and XT systems.  The
  177. faults appear to affect the disk drive motor and do not allow it to
  178. run.  This problem does not appear in systems unless the programs a re
  179. executed.  This problem is also cleared by a reboot or power cycle.
  180.  
  181. If anyone else has experienced similar problems please let me know...
  182.  
  183. PS.  I would hate to discover a new virus......
  184.  
  185. [Ed. Has anyone else had similar problems.  I'd suggest being *real*
  186. hesitant to draw a conclusion on this without more similar
  187. occurances.]
  188.  
  189. Reply C2852@UMRVMB.UMR.EDU
  190. Acknowledge-To: <C2852@UMRVMB>
  191.  
  192. ------------------------------
  193.  
  194. Date:    Thu, 16 Nov 89 17:31:32 -0500
  195. From:    Mark Powers <MP14STAF@MIAMIU.BITNET>
  196. Subject: STONED Virus (PC)
  197.  
  198. Two of our PC labs have been infected with the STONED virus.  Is there
  199. anything out there that will fix these machines or are we looking at
  200. rebuilding the infected disks?
  201.  
  202.                           Thanks for any assistance
  203.  
  204.                           Mark Powers
  205.                           Academic Computer Service
  206.                           Miami University
  207.                           513-529-2020
  208.  
  209. ------------------------------
  210.  
  211. Date:    Fri, 17 Nov 89 00:17:27 -0500
  212. From:    Steve Woronick <XRAYSROK@SBCCVM.BITNET>
  213. Subject: Re: Signature Programs
  214.  
  215.    Bob Bosen <71435.1777@CompuServe.COM> brings up some interesting
  216. points, asking why programmers writing authentification programs are
  217. utilizing CRC and checksum algorithms rather than more sophisticated
  218. algorithms like ANSI X9.9, ISO 8731-2, or DES.  I think it depends on
  219. what you are trying to do.  If your plan is to encrypt your program and
  220. rely on difficulties in decryption for protection against infection, then
  221. it probably makes sense to use something very sophisticated, because you
  222. want to make certain that no one but yourself can do the decryption.
  223. If you are leaving the encrypted form on your disk (where it might be
  224. compared with the unencrypted form which is surely to appear either on
  225. your disk or in memory at some future date if you use it), you don't
  226. want to be using something so simple that it might give your algorithm
  227. away.
  228.  
  229.    On the other hand, if you are not encrypting your program but are
  230. simply trying to generate a number (or maybe several numbers) for
  231. authentification purposes, I don't see that it is necessary to use
  232. anything more sophisticated than a polynomial.  If the virus doesn't
  233. know your polynomial, then it's chances of guessing a sequence of
  234. characters with which to "pad" your program file in order to generate
  235. the same CRC value as the original unaltered program is quite
  236. small.  Of course, everyone ought to be using a slightly different
  237. algorithm (i.e. different polynomials) and ought to be hiding the
  238. authentification algorithm.  Correct me if I'm wrong:  If the algorithm is
  239. sophisticated enough that it is very hard for anyone to guess CRC values,
  240. then there probably is no need to hide the values it calculates for each
  241. of your program files; in principle, one might be able to deduce the
  242. algorithm by comparing program files with the CRC values generated by the
  243. algorithm, but this will work only if there is enough information
  244. available for analysis (which will not be the case for sufficiently
  245. high order polynomials).  The information in a CRC is small compared to
  246. the information in an encrypted file, so CRC programs need not be
  247. terribly sophisticated to foil discovery.
  248.  
  249.    It has been pointed out that doing a cold boot from a clean floppy
  250. assures you that your system is running clean (i.e. there are no viruses
  251. in memory --- there may be some on your hard disk, but these are dormant
  252. until you run an infected program).  If you then run your
  253. authentification program from the clean floppy disk on your clean system
  254. to check your hard disk (or other), you can rest fully assured that no
  255. virus etc. has had the opportunity to intercept your checking program
  256. and fool you into thinking that an infected program is uninfected (unless
  257. you were dumb and previously exposed the clean disk, though write-
  258. protected, to the inquiring eyes of a virus).  And since there are no
  259. viruses in memory, none can steal your checking algorithm or any of the
  260. CRC values (which you probably are keeping on the clean disk; for that
  261. matter you can keep your own personal polynomial coefficients on the
  262. disk also).  You probably will wisely want to keep your clean disk
  263. write-locked to prevent accidents, but infection is not the only threat
  264. (so write protection does not fully protect one from accidents).  If one
  265. runs the authentification program (or even accesses the disk it's on),
  266. without first doing the cold clean boot, then one risks having the
  267. authentification algorithm stolen by a virus.  And as has been stated
  268. before, one cannot be certain of the authentification results if the
  269. cold boot from the clean disk was not done.  Finally, you obviously have
  270. to write to the clean disk once in a while to update the CRC-values list
  271. for new programs/ whatever, but this is no problem because you're not
  272. going access it without first doing the cold clean boot.  One of course
  273. also assumes that your clean disk was really clean to start with.
  274.  
  275.    Any comments?  Here's a question:  What's a good reference for
  276. finding out about ANSI X9.9 and ISO 8731-2?  I can give you one for DES
  277. (Data Encryption Standard):  Numerical Recipes, The Art of Scientific
  278. Computing, by W.H. Press, B.P. Flannery, S.A. Teukolsky, and W.T.
  279. Vetterling, published by Cambridge University Press, (c)1986,
  280. p. 214-220.  Two and one half pages of highly-inefficiently coded FORTRAN
  281. is given which implements the DES algorithm (except that the standard
  282. itself explicitly states that any implementation in software is not
  283. secure and therefore not DES).
  284. - -----------------------------------------------------------------------
  285. Steven C. Woronick     | Disclaimer:  These are my own opinions.
  286. Physics Dept.          |     Always check it out for yourself...
  287. SUNY at Stony Brook    |
  288. Stony Brook, NY  11794 |
  289. Acknowledge-To: <XRAYSROK@SBCCVM>
  290.  
  291. ------------------------------
  292.  
  293. End of VIRUS-L Digest
  294. *********************
  295.  
  296. Downloaded From P-80 International Information Systems 304-744-2253
  297.