home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.243 < prev    next >
Encoding:
Text File  |  1995-01-03  |  8.9 KB  |  221 lines
  1. VIRUS-L Digest   Friday, 17 Nov 1989    Volume 2 : Issue 243
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. eagle update (PC)
  17. Help...Virus Attack (Mac)
  18. Re: New Virus (PC) / Reported Possible Virus
  19. Re: Virus or just hardware/software problem? (Mac)
  20. Write protect tabs (was Re: CRC's)
  21. RE: on CRCs
  22.  
  23. ---------------------------------------------------------------------------
  24.  
  25. Date:    Thu, 16 Nov 89 19:06:00 -0500
  26. From:    IA96000 <IA96@PACE.BITNET>
  27. Subject: eagle update (PC)
  28.  
  29. Update on the virus contained in the file EAGLE.EXE.
  30.  
  31. 1) It IS NOT new! It is Jerusalem B.
  32. 2) It IS infectious and will spread.
  33. 3) Scan WILL NOT detect the virus UNTIL EAGLE.EXE is run, at
  34.    which time the /M command line switch for Scan picks up
  35.    the virus during the memory check.
  36. 4) IF COMMAND.COM IS FOUND in the root directory of the drive
  37.    EAGLE.EXE is executed from, the BOOT and FAT sectors are
  38.    completely destroyed with the Hex 246 character! Several other
  39.    sectors get destroyed at the same time. Jerusalem B is loaded
  40.    into memory and waits silently.
  41.  
  42. 5) If COMMAND.COM is notfound in the root directory, Jerusalem
  43.    B loads into memory. No damage is done to the disk.
  44.  
  45. 6) KISS AN EAGLE TODAY! is then printed to the screen.
  46.  
  47.    Not only is   the program EAGLE.EXE contain a live virus, it
  48. is also a trojan in disguise, waiting to wipe the BOOT & FAT areas
  49. clean.
  50.  
  51.    We are now checking to see if the trojan part of the program
  52. is passed along when Jerusalem B is loaded into memory. In any
  53. event, the file is DANGEROUS and care should be taken.
  54.  
  55. ------------------------------
  56.  
  57. Date:    Fri, 17 Nov 89 10:37:00 -0500
  58. From:    <FELDMAN_@CTSTATEU.BITNET>
  59. Subject: Help...Virus Attack (Mac)
  60.  
  61. Please help!!
  62.  
  63. I work in an Apple computer lab at Central Connecticut State
  64. University, and lately we've been having an outbreak of viruses (nVir
  65. A).  I figured it out by using Disinfectant Ver. 1.1.
  66.  
  67. What should I do??  It is a public lab, so people are in and out all
  68. the time some with their own disks.  We have all Mac SE's with 20 meg
  69. HD hooked up through appletalk.  I tried using gatekeeper, but
  70. programs such as Excel would not work.  I tried initializing all the
  71. hard drives, and replacing them with the original software, but the
  72. viruses keep coming back.  Also some of the people come in with their
  73. own software that could be infected.
  74.  
  75. Any information on how I can control this problem would be greatly
  76. appreciated.  You can contact me at: FELDMAN_GAL@CTSTATEU
  77.  
  78. Thanks,
  79.  
  80. Garry Feldman
  81. Supervisor, CCSU Apple Computer Lab
  82.  
  83. ------------------------------
  84.  
  85. Date:    16 Nov 89 10:13:00 -0500
  86. From:    TomZ@DDN1.DCA.MIL
  87. Subject: Re: New Virus (PC) / Reported Possible Virus
  88.  
  89. Comment: About that "virus" reported to John McAfee [Virus-L Digest V2
  90. #239] by Fred Hankel of Fargo, North Dakota, that
  91.  
  92. >> ... promply melted his power supply and mother board ... [and]
  93. >> ... blasted a perfectly circular
  94. >> hole in the front panel of his AT clone and left a three foot oval scorch
  95. >> mark on the back wall of his den.
  96.  
  97. Er, doesn't anyone recognize a *L*I*G*H*T*N*I*N*G* strike?  The effects
  98. Mr. Hankel reported are classic, only the assumption of a computer
  99. virus is paranoia.
  100.  
  101. Maybe McAfee should submit this to the RISKS forum.
  102. /s/:
  103. Tom Zmudzinski             |      "The above does not constitute a policy
  104. DCS Data Systems           |       statement from DCS Data Systems or its
  105. McLean, Virginia           |       parent organization" - Zmudzinski
  106. - ---------------------------+---------------------------------------------
  107. (703) 285-5459             |      "But it does from Me!" - GOD
  108.  
  109.  
  110. ------------------------------
  111.  
  112. Date:    Fri, 17 Nov 89 13:05:43 -0500
  113. From:    dmg@lid.mitre.org (David Gursky)
  114. Subject: Re: Virus or just hardware/software problem? (Mac)
  115.  
  116. I've seen this problem before, and it is not a symptom of any of the
  117. known Mac viruses.  While I never found what the specific problem was,
  118. my speculation was that it was some defect in the media.  I suggest
  119. you backup the data files on your disk, reformat it, and reinstall the
  120. software.
  121.  
  122. ------------------------------
  123.  
  124. Date:    Fri, 17 Nov 89 09:51:38 -0600
  125. From:    "Craig Finseth" <fin%uf.msc.umn.edu@vma.cc.cmu.edu>
  126. Subject: Write protect tabs (was Re: CRC's)
  127.  
  128.    kichler@harris.cis.ksu.edu (Charles Kichler) writes:
  129.  
  130.    ...
  131.  
  132.    Do you _know_ your write-protect tab really works?
  133.  
  134.    [Ed. This question was discussed a few times on VIRUS-L/comp.virus;
  135.    the consensus was (after reviewing schematic diagrams) that the write
  136.    protect mechanism on PCs (and clones thereof) and Macs is implemented
  137.    in hardware and is thus not circumventable without hardware
  138.    modifications.  Unless someone can produce a definitive, reproducable
  139.    piece of code that can prove otherwise, lets all please consider this
  140.    to be the case.]
  141.  
  142. I would like to confirm the "Ed." tack-on for IBM PCs, clones, and
  143. Macs.  However, early Apple ][s *did* implement this feature in
  144. software.
  145.  
  146. I don't know for sure, but believe that later (=current) Apple ][s,
  147. Ataris, and Amigas perform this function in hardware.
  148.  
  149. Craig A. Finseth            fin@msc.umn.edu [CAF13]
  150. Minnesota Supercomputer Center, Inc.    (612) 624-3375
  151.  
  152. ------------------------------
  153.  
  154. Date:    Fri, 17 Nov 89 10:40:00 -0600
  155. From:    david paul hoyt <YZE6041@vx.acss.umn.edu>
  156. Subject: RE: on CRCs
  157.  
  158.   This is really in response to the CRC auto-diagnosis letters
  159. recently, but it was prompted by Bob Bosen's November 16th article.
  160.  
  161.  Mr. Bosen points to very good documents that will point the serious
  162. anti-viral minded software developers to an excellent method of
  163. defending their software (and customers) from viruses.  I would
  164. suggest that software developers should at least review these
  165. documents.
  166.  
  167.   However, I would like to add a comment.  Any of these auto-check
  168. schemes rely on a small number (1 to n) of programmed checks to see if
  169. the software has been corrupted.  While this will defend against a
  170. general purpose or unsophisticated virus, it has little value against
  171. a malicious attack against your product.
  172.  
  173.   About ten years ago, there was a game called dungeon, that ran under
  174. VMS and perhaps other machines as well.  Dungeon had something called
  175. 'game master mode.' You could rearrange things (cheat) to your heart's
  176. content.  Figuring out how to use 'game master mode', figuring out its
  177. data structures, parsers and whatnot was much more interesting and
  178. educational than the game it self.  But I digress.
  179.  
  180.   You entered it by saying something (incant?) and it would issue you
  181. a challenge. It gave you a word, and you had to decrypt it.  Knowing
  182. nothing about cryptanalysis, I might of been out of luck.  But rather
  183. than figuring out the cipher, I merely found the routine that checked
  184. to see if your response was correct and patched it to always return
  185. true.
  186.  
  187.   If I could figure this out as a complete novice (that was the first
  188. year I had seen a computer) think what a disgruntled employee might be
  189. able to do.
  190.  
  191.   The solution is, of course, to put part of the check someplace other
  192. than in the computer.  The user can, even without his knowledge, be an
  193. integral part of the check.  In the Mac world, and probably other
  194. worlds as well, when you first open an application, it asks you your
  195. name and your company. It then stores that data someplace, and each
  196. subsequent time you open the program it proclaims "This program is
  197. licensed to My Favorite Person."  Or what ever else you happened to
  198. answer.
  199.  
  200.   The long and the short of it, is this: that name can be used as the
  201. key, along with the checksum, signature or whatever else you use, to
  202. encrypt itself. The CRC, exclusive or'ed with the odd bytes of the
  203. name can be used to create a key to to decode the even bytes of the
  204. name.  Or any other like method.  The individual's name will then be
  205. part of the correct 'signature' for the program.  And the best part of
  206. it is that it will be the user, not the program, that performs the
  207. final authentication.  If the user see's
  208.  
  209.    "This program is licensed to M# Fpv9r`ta.eas*n"
  210.  
  211. Then she will know something's afoot.  And there is nothing the
  212. vandals can do about it.  The virus will be detected.
  213.  
  214. david hoyt | dhoyt@vx.acs.umn.edu | dhoyt@umnacvx.bitnet
  215.  
  216. ------------------------------
  217.  
  218. End of VIRUS-L Digest
  219. *********************
  220. Downloaded From P-80 International Information Systems 304-744-2253
  221.