home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.249 < prev    next >
Encoding:
Text File  |  1995-01-03  |  29.3 KB  |  696 lines
  1. VIRUS-L Digest   Tuesday, 28 Nov 1989    Volume 2 : Issue 249
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Re: Sophisticated Viruses (Mac)
  17. seeking Gatekeeper (Mac)
  18. 'Tis the season
  19. 2600 VAX Virus (VMS) ?
  20. Re: 80386 and viruses (PC & UNIX)
  21. Re: Potential Virus? (Mac)
  22. More on Signature Progs
  23. More on the DIR.EXEC problem
  24. EAGLE.EXE Trojan (PC)
  25. Possible DIR EXEC Remedy (VM/CMS)
  26. Questioning Netscan (PC - Novell)
  27. Re: DIR EXEC (VM/CMS)
  28. DIR EXEC revisited... (VM/CMS)
  29. Linkable virus modules
  30. stoned virus in partition table
  31. Traceback (PC)
  32. Re: Where did they come from ? (PC)
  33. Re: Non-executable viruses
  34. Eddie ? (PC)
  35.  
  36. ---------------------------------------------------------------------------
  37.  
  38. Date:    Sun, 26 Nov 89 17:03:22 +0100
  39. From:    christer@cs.umu.se
  40. Subject: Re: Sophisticated Viruses (Mac)
  41.  
  42. chrisj@cs.utexas.edu (Chris Johnson) writes:
  43.  
  44. >There would be crashes because it's very common for software that
  45. >patches traps to have interdependencies between its patches, i.e. one
  46. >patch depends on data discovered and stored for later use by another
  47. >patch.  Removing only a portion of such patches will be likely to kill
  48. >the machine sooner or later.
  49. > . . .
  50. >Further, restoring traps to their original values is going to remove
  51. >all of the patches put in place by the System itself - the patches
  52. >that keep that machine running inspite of bugs in the ROMs, etc.
  53. >Also, whole portions of the OS and Toolbox will be removed by
  54. >restoring traps to their initial values (as taken from the ROM) - this
  55. >will kill the machine for sure.
  56. > . . .
  57.  
  58. So what if I remove system patches? You seem to think that I need to
  59. call every little routine in ROM to do my dirty stuff. What I need is
  60. say, ChangedResource, WriteResource and perhaps AddResource. What do
  61. these traps have to do with OS traps? How many system patches are
  62. there for these traps?  Do you *really* think that the ROM is truly
  63. and utterly worthless without the system patches? Do you think they
  64. wrote routines that didn't work at all and then patched them into
  65. working? Why would I care if there is some small and obscure bug in
  66. the ROM that could make my virus crash with prob. .000001%, after all
  67. that is probably the whole idea with the virus after all!!
  68.  
  69. I don't claim that the ROM is bug free, but your indirect claim that
  70. every trap is buggy is pretty heavy. (I got that from the "fact" that
  71. everything will kill the machine "for sure", in case you wonder).
  72.  
  73. > . . .
  74. >Writing well behaved patches is a black art on the best of days -
  75. >writing the sort of un-patching patches discussed here would make that
  76. >"black art" look like a carefree romp in the sunlit countryside.  I
  77. >don't think such patches could be implemented safely, and I don't
  78. >think anyone clever enough to do so would be wasting his time working
  79. >on viruses in the first place.
  80.  
  81. This proves you've missed the point entirely. We're not talking about well
  82. behaved viruses here. And just because you think no one would write one isn't
  83. exactly proof that no one will...
  84.  
  85. >All in all, I don't think the techniques dealt with in this discussion
  86. >are significant simply because there are too many reliability and
  87. >compatibility problems intrinsically linked to them.
  88.  
  89. I do think they are significant though. The whole point with my post in the
  90. first place was to make people realize that a virus could bypass the
  91. protective fences of all anti-viral programs (including Gatekeeper) pretty
  92. easily (theoretically anyway). What if a virus changed the resource map
  93. directly without going through the ROM at all? We can't just rely on the
  94. trivial and obvious protection that Gatekeeper et al. provies. What we need
  95. is sophisticated protection schemes, and unless there's no discussion of
  96. potential viruses we might never come up with these schemes in time.
  97.  
  98. >- ----Chris (Johnson)
  99.  
  100. /Christer
  101.  
  102. | Christer Ericson                            Internet: christer@cs.umu.se |
  103. | Department of Computer Science, University of Umea, S-90187 UMEA, Sweden |
  104. | "Track 0 sector 0 must *always* load into page 8!" -Krakowicz' first law |
  105.  
  106. ------------------------------
  107.  
  108. Date:    Sun, 26 Nov 89 03:05:08 -0700
  109. From:    Ben Goren <AUBXG@ASUACAD.BITNET>
  110. Subject: seeking Gatekeeper (Mac)
  111.  
  112. What's the easiest way to get a copy of Gatekeeper?  I haven't seen
  113. any copies floating around campus here at Arizona State University.
  114.  
  115. Ben Goren
  116. Bitnet:  AUBXG@ASUACAD
  117.  
  118. ------------------------------
  119.  
  120. Date:    Mon, 27 Nov 89 08:36:29 -0500
  121. From:    Kenneth R. van Wyk <krvw@SEI.CMU.EDU>
  122. Subject: 'Tis the season (yes 'tis)
  123.  
  124. This just heard on a local Pittsburgh radio station:
  125.  
  126. A company is selling a product called 'Safe Disks' (or some such)
  127. which is a floppy disk condom.  The company is marketing it as a gag
  128. gift for the holiday season.
  129.  
  130. Heavy sigh...
  131.  
  132. Ken
  133.  
  134. ------------------------------
  135.  
  136. Date:    Mon, 27 Nov 89 14:56:52 +0000
  137. From:    ZDEE699@ELM.CC.KCL.AC.UK
  138. Subject: 2600 VAX Virus (VMS) ?
  139.  
  140. I have just read "The complete Computer Virus Handbook" (issue 1)
  141. written by David Frost.
  142.  
  143. In it, is described a virus called 2600 VAX virus. Basically a
  144. programm which replicates itself and sends job requests to the batch
  145. queue, which is a list of jobs awaiting execution. The so-called
  146. "virus" caused the queue to overflow...
  147.  
  148. This was reported in a 1986 edition of the magazine 2600, a hacker
  149. journal.
  150.  
  151. Well, to me it looks just like a recursive batch program. A two-liner.
  152. We've often had students at our site writing this simple piece of
  153. code, and submitting it to the queue. It surely wastes a lot of paper
  154. (when printing the log files of the program), especially if run at
  155. night, with no operator finding-out that the whole stack of paper
  156. feeding the printer will be printed with garbage !
  157.  
  158. But does this simple piece of code really need to be mentioned in a
  159. "Virus handbook" ? Did the next issues of this manual still mention
  160. this ?
  161.  
  162. Olivier Crepin-Leblond, Computer Systems & Electronics,
  163. Electrical & Electronic Eng., King's College London, UK.
  164.  
  165. ------------------------------
  166.  
  167. Date:    27 Nov 89 19:55:29 +0000
  168. From:    kelly@uts.amdahl.com (Kelly Goen)
  169. Subject: Re: 80386 and viruses (PC & UNIX)
  170.  
  171. Actually DOS/MERGE or VPIX is a somewhat cheap way to explore and test
  172. viruses compared with the cost of some other environments that are
  173. supposedly virus proof ... and you get unix to run along with
  174. it!!!what a deal!! actually however you do have to make sure you leave
  175. the permissions pretty much as distributed as peter has pointed out...
  176. if dos programs are allowed to read and write normally(i.e. DOS) then
  177. com and exe infectors can still infect...  int 13 and other
  178. skul-duggery will be disallowed by the dos under *nix environment (you
  179. wont get much in the way of system damage but you can look at the damn
  180. things somewhat safely...I have done some experiments as to the
  181. various possibilities for propagation and they do seem to be minimal
  182. in this environment for general viruses(that does not preclude viruses
  183. written to attack through 386 protected mode anomalys or COFF/*nix
  184. based viruses....(and no I dont want to start a flame war about
  185. whether those are possible or not...I am not speaking theoretically
  186. here...))
  187.     As to the environment its GREAT!!
  188.      cheers
  189.      kelly
  190.                                     Kelly Goen
  191.                                     CSS Inc.
  192.  
  193. DISCLAIMER: I Dont represent Amdahl Corp or Onsite consulting. Any
  194. statements ,opinions or additional data are solely my opinion and mine
  195. alone...
  196.  
  197. ------------------------------
  198.  
  199. Date:    27 Nov 89 16:47:56 +0000
  200. From:    oxtrap.oxtrap!time@uunet.UU.NET (Tim Endres)
  201. Subject: Re: Potential Virus? (Mac)
  202.  
  203. joel_glickman@MTS.RPI.EDU writes:
  204.  
  205.    My question is: Should these programs modify themselves when I just
  206.    run them.  All I do is run them and quit immediately and they are
  207.    modified??? Do you think I have a virus problem???
  208.  
  209.    Joel Glickman
  210.    Rensselaer Polytechnic Institute.
  211.  
  212. Many Macintosh programs modify their resource forks!
  213. All of mine do. If the program saves any "state" for you it is most
  214. likely storing the data in the RF. Rest easy. For now.
  215.  
  216. ------------------------------
  217.  
  218. Date:    27 Nov 89 16:48:40 -0500
  219. From:    Bob Bosen <71435.1777@CompuServe.COM>
  220. Subject: More on Signature Progs
  221.  
  222. My epistle of several days ago regarding ANSI and ISO Message
  223. Authentication Code (digital signature) standards generated quite a
  224. few follow-up responses and other questions. Several people asked me
  225. about my internet address. Most of you guessed correctly. I can get to
  226. internet either via NCSC's "dockmaster" or through CompuServe.
  227. Although CompuServe is more expensive, it is a lot more convenient for
  228. me because I've got a "user-friendly" application for my PC that
  229. automates most of my interaction with CompuServe.
  230.  
  231. What this means to internet users is that you can send electronic mail
  232. to and receive mail from CompuServe subscribers IF both of the
  233. following conditions are true:
  234.  
  235. 1- You must know the CompuServe account (subscriber) number
  236.  
  237. 2- The CompuServe subscriber must actively access CompuServe and
  238. send/receive mail.
  239.  
  240. CompuServe subscriber numbers generally look a lot like mine
  241. (71435,1777) and consist of two numeric fields separated by a comma.
  242. In order to convert a CompuServe subscriber number into an internet
  243. address, replace the comma with a period, and append the suffix
  244. "@COMPUSERVE.COM". Thus, when addressing me through CompuServe, my
  245. internet address is:
  246.  
  247. 71435.1777@COMPUSERVE.COM
  248.  
  249. A lot of other people sent me mail requesting ways to get hold of the
  250. ANSI and ISO standards I referenced.
  251.  
  252. Copies of ANSI standard X9.9 can be obtained by sending $2.00 to:
  253.  
  254. ANSI X9 Secretariat
  255.  
  256. I am less familiar with ISO than with ANSI. I got my copy of ISO
  257. 8731-2 from ANSI because I am a member of the X9E9 working group. But
  258. I believe you can get a copy of ISO standard 8731-2 by writing to:
  259.  
  260. Steve Wornick commented on the value of sophisticated,
  261. cryptographically based signature programs as follows:
  262.  
  263. >  Bob Bosen brings up some interesting points, asking why programmers
  264. >  writing authentification (sic) programs are utilizing CRC and
  265. >  checksum algorithms rather than more sophisticated algorithms like
  266. >  ANSI X9.9, ISO 8731-2, or DES. I think it depends on what you are
  267. >  trying to do. If your plan is to encrypt your program and rely on
  268. >  difficulties in decryption for protection against infection,
  269. >  then it probably makes sense to use something very sophisticated,
  270. >  because you want to make certain that no one but yourself can do
  271. >  the decryption....  On the other hand, if you are not encrypting
  272. >  your program but are simply trying to generate a number.... for
  273. >  authentification (sic) purposes, I don't see that it is necessary
  274. >  to use anything more sophisticated than a polynomial. If the virus
  275. >  doesn't know your polynomial, then it's chances of guessing a
  276. >  sequence of characters with which to "pad" your program file in
  277. >  order to generate the same CRC value as the original unaltered
  278. >  program is quite small. Of course, everyone ought to be using a
  279. >  slightly different algorithm (i.e. different polynomials) and
  280. >  ought to be hiding the authentication algorithm.
  281.  
  282. Industry-standard authentication algorithms such as X9.9 (DES based)
  283. and ISO 8731-2 are NOT intended to encrypt files. They produce a short
  284. "digest" or signature of information (in this case a program file).
  285. Steve's suggestion that CRC algorithms can be sophisticated enough to
  286. make guessing virtually impossible (if the algorithm itself is hidden)
  287. MAY or MAY NOT be true. The risk that this assumption MAY NOT be true
  288. is fairly high, especially if programmers rely on their own resources
  289. on how to write a bunch of different yet "good" CRC algorithms. This
  290. is even more true if the test is "on-line", because on-line
  291. authentication implies on-line presence of the authentication
  292. algorithm, where a sophisticated virus could determine the CRC
  293. algorithm and/or associated initialization vectors (keys).
  294.  
  295. Today, in late 1989, Steve can make and defend the position that CRC
  296. algorithms are good enough, especially if programmers are
  297. knowledgeable about the security considerations, and if the signature
  298. is calculated and verified "off-line" in environments where no virally
  299. contaminated programs have a chance of grabbing executional control.
  300. But in my opinion, this position is short-sighted. Who can say whether
  301. the more sophisticated viruses of the future will attempt to analyze
  302. CRC signatures or target specific products that rely on CRC methods?
  303. Why not base today's protection on the best available and best
  304. documented facts?  The newly emerging science of authentication
  305. technology has clearly revealed that it is easier to compromise even
  306. sophisticated authentication algorithms than previously thought.
  307.  
  308. David Paul Hoyt says:
  309.  
  310. >  Mr. Bosen points to very good documents that will point the serious
  311. >  anti-viral minded software developers to an excellent method of
  312. >  defending their software.... However, I would like to add a comment.
  313. >  Any of these auth-check schemes rely on a small number (1 to n) of
  314. >  of programmed checks to see if the software has been corrupted.
  315. >  While this will defend against a general-purpose or unsophisticated
  316. >  virus, it has little value against a malicious attack against
  317. >  your product.
  318.  
  319. What kind of "malicious attack against your product" are you talking
  320. about? Whatever it is, I'm sure the other members of the ANSI
  321. standards (X9E9) working group and I would be very interested in
  322. learning about it, because if this assertion is true, it could
  323. possibly compromise the entire banking wire-funds transfer mechanism
  324. that transfers billions of dollars every day. Are you saying you could
  325. write or describe a virus that could infect a program but avoid
  326. detection by an off-line ANSI X9.9-based message authentication code?
  327. I'll acknowledge that this is possible with an on-line ANSI X9.9 MAC,
  328. but it would take a lot of blind luck and something on the order of a
  329. billion guesses. The consensus among standards organizations has been
  330. that this is an acceptable risk in the case of the authentication
  331. algorithms that have been studied and standardized.  As I said in my
  332. earlier message, in my experience both on-line and off-line checks
  333. have advantages and disadvantages, and a sophisticated defense must
  334. allow users to pick and choose from all of these techniques according
  335. to his needs. A heirarchy of interlocking defenses must be put
  336. together, with on-line tests acting as the first line of defense, and
  337. with periodic off-line checks. The on-line checks can detect the
  338. viruses known today, and the off-line checks verify the integrity of
  339. the on-line defenses and also protect against sophisticated future
  340. viruses.
  341.  
  342. Bob Bosen
  343. Vice President
  344. Enigma Logic Inc.
  345.  
  346. ------------------------------
  347.  
  348. Date:    Mon, 27 Nov 89 16:47:00 -0500
  349. From:    <GATEH@CONNCOLL.BITNET>
  350. Subject: More on the DIR.EXEC problem
  351.  
  352. Apologies if this info on DIR.EXEC has already been posted (I hadn't seen
  353. it before, though).
  354.  
  355. - --- Forwarded mail from Joachim Lohoff-Werner <C0030006@DBSTU1>
  356.  
  357. >From GAMES-L@BROWNVM.BITNET Mon Nov 27 16:08:24 1989
  358. Sender: Computer Games List <GAMES-L@BROWNVM>
  359. From: Joachim Lohoff-Werner <C0030006@DBSTU1.BITNET>
  360.  
  361. Hello *.*,
  362.  
  363. I have also received DIR EXEC and looked into it. After reading the
  364. NAMES and NETLOG files and shipping multiple copies to the people listed
  365. in these files it does something very bad:
  366.  
  367. The DIR EXEC asks for the system date (QUERY TIME) and erases all files
  368. if the system date is greater then 89, i.e. next year.
  369.  
  370. Please discard all copies of DIR EXEC in your system RDR queue.
  371.  
  372. Kind regards, amicales salutations, cordiali saluti, shalom u'bracha,
  373. freundliche Gruesse          Joachim Lohoff-Werner
  374.  
  375.  
  376. - --- End of forwarded message from Joachim Lohoff-Werner <C0030006@DBSTU1>
  377.  
  378. ------------------------------
  379.  
  380. Date:    Mon, 27 Nov 89 12:00:11 -0800
  381. From:    <Tim_G_Curry@cup.portal.com>
  382. Subject: EAGLE.EXE Trojan (PC)
  383.  
  384.     The Jerusalem and AIDS viruses reported inside AXE'd files are
  385. similar to dozens of other AXE'd viruses reported on Bulletin Boards
  386. in the past 5 months.  Viruses discovered compressed in such files
  387. have included 1701, 1704, AIDS, Jerusalem (over 20 samples), Vienna,
  388. 3066, Alabama, Dark Avenger, Yankee Doodle, Vacsina, Fu Manchu and
  389. Datacrime I.  I'm not sure that developing identifiers for these AXE'd
  390. files is the appropriate thing to do, since there are a virtually
  391. unlimited number of hosts that may be included insidecompressed files.
  392. Also, each version of AXE will produce different strings for the same
  393. executable target.  So far, files like EAGLE.EXE have been treated as
  394. trojans (even though they may contain replicating code) since the
  395. compressed file itself cannot replicate.  Any string that identifies
  396. the virus in the compressed form will not identify it in the free
  397. form, and each virus has an uncountable number of potential compressed
  398. identification strings, since each compressed infected host will be
  399. different.  A thorny problem if we try to tackle it.  I don't believe
  400. we should treat EAGLE any differently than GUNSHIP, BADGIRL or the
  401. dozens of other compressed files that contain previously well known
  402. viruses.
  403. Tim Grant Curry
  404. ICVI BBS Co-ordinator
  405.  
  406. ------------------------------
  407.  
  408. Date:    Mon, 27 Nov 89 16:18:33 -0500
  409. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM.BITNET>
  410. Subject: Possible DIR EXEC Remedy (VM/CMS)
  411.  
  412. I adapted the following EXEC to help, possibly, in slowing the DIR
  413. EXEC if it is still a problem.  Please note that I am unaware of any
  414. problems with the EXEC, but it has not been what I would call
  415. "extensively tested" (about 30 minutes in the making) so please do not
  416. be upset at me if it does anything really nasty to some files.  It did
  417. not do anything to my files.  (Above should be read "disclaimer".)
  418.  
  419.  ------------------------Chop Here if you wish--------------------------
  420. /*  This EXEC was written by Karen Maloney and modified by Greg     */
  421. /*  Gilbert to change any files with the filename of DIR and the    */
  422. /*  filetype of EXEC to a new filename and filetype of TROJAN HORSE */
  423. /*                                                                  */
  424. /*  One can place "EXEC ANTIDIR" (quotes included) in one's         */
  425. /*  PROFILE EXEC and have this EXEC executed upon loggin on.        */
  426. /*                                                                  */
  427. /* ------------------------------------------------------------------
  428.   Note: Though we are unaware of any problems with this macro, we don't
  429.   guarantee it in any way whatsoever and we assume
  430.   no responsibility for any damage you may do with it.  ALWAYS HAVE
  431.   BACKUP COPIES OF IMPORTANT FILES!!!!!
  432.                                            - Greg Gilbert -
  433. - -------------------------------------------------------------------- */
  434. /*                                                                   */
  435. "EXECIO * CP (STRING Q RDR ALL"
  436.  if queued() = 1 then exit
  437.  do i = 1 to queued()
  438.  pull . spid . . . . . . . fname type .
  439.  if fname = "DIR" & type  = "EXEC" then
  440.  "CP CHANGE RDR" spid "NAME TROJAN  HORSE"
  441. else nop
  442. end
  443. exit
  444.  
  445.  ------------------------------And Here---------------------------------
  446.  
  447. Gregory E. Gilbert
  448. Computer Services Division
  449. University of South Carolina
  450. Columbia, South Carolina   USA   29208
  451. (803) 777-6015
  452. Acknowledge-To: <C0195@UNIVSCVM>
  453.  
  454. ------------------------------
  455.  
  456. Date:    Mon, 27 Nov 89 15:40:00 -0600
  457. From:    "David D. Grisham" <DAVE@UNMB.BITNET>
  458. Subject: Questioning Netscan (PC - Novell)
  459.  
  460.         Has anyone bought and implemented the Novell scanning
  461. program "netscan"?  We (UNM) are purchasing VIRUSCAN for a
  462. few machines, at $15 per this is reasonable.  However, $1000
  463. for a site license of NETSCAN is a bit steep.  We won't buy it
  464. unless it is working at other institutions with great results.
  465. Can you who do, please write me or post?
  466.         I'd also like to hear if anyone can suggest a better
  467. product.  Thanks in advance.
  468. dave
  469.  
  470.   Dave Grisham, Security Administrator, CIRT      Phone (505) 277-8148
  471.   University of New Mexico                        USENET DAVE@hydra.UNM.EDU
  472.   Albuquerque, New Mexico  87131                  BITNET DAVE@UNMB
  473.  
  474. my comment for the day-
  475.      It is to bad that the DOS world can't put out a product like
  476.      Disinfectant (Damn good and free).  Do all the nice guys
  477.      wear Macs?
  478.  
  479. ------------------------------
  480.  
  481. Date:    Mon, 27 Nov 89 15:56:31 -0500
  482. From:    Arthur Gutowski <AGUTOWS@WAYNEST1.BITNET>
  483. Subject: Re: DIR EXEC (VM/CMS)
  484.  
  485. In Virus-L, v2i248, the following warning was posted:
  486.  
  487. >>Date:         Sat, 25 Nov 89 19:15:31 EDT
  488. >>Sender:       Revised LISTSERV forum <LSTSRV-L@RUTVM1>
  489. >>From:         "Juan M. Courcoul" <POSTMAST@TECMTYVM.BITNET>
  490. >>Subject:      IMPORTANT WARNING: CHRISTMA workalike on the loose on the links
  491. ...
  492. >>A dangerous REXX exec named DIR EXEC has been detected on our node, thanks
  493. >>to a watchful recipient. This exec purports to be able produce a directory
  494. >>listing of the user's disks in a MS/DOS (PC) format.
  495. >>
  496. >>However, when the exec is run, it will produce the promised listing BUT it
  497. >>will also send a copy of itself to all net addresses found in the user's
  498. >>NAMES and NETLOG files.
  499.  
  500. From the cross-posting I got from IBM-MAIN@AKRONVM (IBM Mainframe
  501. List), this EXEC also contains a timebomb: if the EXEC is run in 1990,
  502. it will erase all A0 and A1 files from your account's A-disk.
  503.  
  504. I don't know if this thing has spread as fast as the warnings have,
  505. but it may be worth the added info.
  506.  
  507.  Arthur J. Gutowski
  508.  Antiviral Group / Tech Support / WSU University Computing Center
  509.  5925 Woodward; Detroit MI  48202; PH#: (313) 577-0718
  510.  Bitnet: AGUTOWS@WAYNEST1   Internet: AGUTOWS@WAYNEST1.BITNET
  511. =====================================================================
  512.  Disclaimer:  If VM is Virtual Machine, then I'm not really logged on,
  513.               hence, I cannot have sent this message.
  514.  
  515. ------------------------------
  516.  
  517. Date:    Mon, 27 Nov 89 18:04:00 -0800
  518. From:    Pseudo Dragon <USERQU0M@SFU.BITNET>
  519. Subject: DIR EXEC revisited... (VM/CMS)
  520.  
  521. Apparently, the DIR EXEC everyone has been receiving is rather nasty.
  522. Not only does it send itself to everyone in the files NAMES and NETLOG,
  523. but also:
  524. >The DIR EXEC asks for the system date (QUERY TIME) and erases all files
  525. >if the system date is greater then 89, i.e. next year.
  526.  
  527. The advice given was:
  528. >Please discard all copies of DIR EXEC in your system RDR queue.
  529. (Quotes from: Joachim Lohoff-Werner)
  530.  
  531. I'd recommend editing this EXEC so that the spreading and damage part
  532. is removed *completely*, make it read-only, and use it.  After all, it
  533. *does* perform a useful function!  The only problem lies in getting a
  534. bad copy again.  You'd be deleting your own files and starting another
  535. outbreak!
  536.  
  537. So, once you've gotten it, *then* delete any more incoming (*bad*)
  538. copies.  Just make @#$% sure your copy isn't going to erase your files
  539. in 1990, or spread.
  540.  
  541. ************ From the desktop computer of Charles Howes, USERQU0M@SFU.BITNET
  542. ***** Mind you, I'm not using VMS myself.  These *are* only opinions.
  543. ***** Simon Fraser University, Vancouver, BC
  544. ***** "Unix is like sex; those who haven't tried it don't know what all the
  545. *****  fuss is about; those who have, can't live without it."
  546.  
  547. ------------------------------
  548.  
  549. Date:    Mon, 27 Nov 89 20:19:00 -0500
  550. From:    IA96000 <IA96@PACE.BITNET>
  551. Subject: Linkable virus modules
  552.  
  553. I have heard of, nor have I ever found any modules which were
  554. specifically linked into a program, but I would like some of the
  555. experts to comment on the following possibility:
  556.  
  557. 1) A new or existing virus is developed and produced as a linkable
  558.    object file.
  559.  
  560. 2) Said object file is then either directly linked into an executable
  561.    file at link time, or placed in a run-time library.
  562.  
  563. Is this even a remote possibility? If so, does anyone have any examples
  564. or know of any examples where this has been done?
  565.  
  566. I would really like to gather opinions and comments on this possibility.
  567.  
  568. ------------------------------
  569.  
  570. Date:    Tue, 28 Nov 89 06:25:28 +0000
  571. From:    Tony Locke <munnari!extro.ucc.su.oz.au!awl@uunet.UU.NET>
  572. Subject: stoned virus in partition table
  573.  
  574. We have the stoned virus in the partition table of one of our hard disks
  575. on an IBM-XT clone.
  576.  
  577. I don't know much about partition tables, but I've tried using
  578. Nortons "WIPEDISK C:" and "SF C:" (low-level format program) both to no
  579. effect. I've even deleted the DOS partition and re-created it.
  580.  
  581. Can I "wipe" this partition table and start again or do I need a program
  582. to kill it ?
  583.  
  584. My floppy disk with dos 3.3 is uninfected and write-protected.
  585.  
  586. Sorry if this is yesterday's news but I'm not a regular reader of this
  587. group.
  588.  
  589. Thanks in advance (email any help direct to me)
  590.  
  591. Tony Locke
  592. Sydney University Computing Centre
  593.  
  594. ------------------------------
  595.  
  596. Date:    Mon, 27 Nov 89 20:46:00 -0500
  597. From:    IA96000 <IA96@PACE.BITNET>
  598. Subject: Traceback (PC)
  599.  
  600. We recently ran into a problem. A user reported that a hard disk
  601. drive in daily use, had only one file on it. The file was named
  602. tracebck.com or another spelling of the virus name.
  603.  
  604. The disk label was @traceback and as mentioned all files were
  605. deleted except the one file mentioned. SCAN.EXE identified the
  606. Traceback virus as being present in the file.
  607.  
  608. Anyone recognize this? Unfortunately the user INSISTED that a
  609. low level format be done on the disk, and could not wait for
  610. someone with some knowledge to get there. The technician did a
  611. screen dump of the SCAN.EXE report and then formatted the disk.
  612.  
  613. Does this sound familiar to anyone? If so, does the low level format
  614. get rid of the virus? The files were restored from master disks and
  615. as far as we know, the master are not infected.
  616.  
  617. ------------------------------
  618.  
  619. Date:    27 Nov 89 21:19:53 +0000
  620. From:    paul@csnz.co.nz
  621. Subject: Re: Where did they come from ? (PC)
  622.  
  623. In article <0002.8911212031.AA18181@ge.sei.cmu.edu> frisk@rhi.hi.is (Fridrik Sk
  624. ulason) writes:
  625. >I am trying to compile a list showing where the various viruses seem
  626. >to have originated. Here is what I have got so far, but I am sure the
  627. >        Stoned                    New-Zealand/Australia
  628.  
  629. This virus was written two years ago in Wellington, New Zealand.
  630. The author, who has been identified, was a high-school student,
  631. who is now at university.  It seems that another individual
  632. however was responsible for the spreading of the virus.
  633.  
  634. Geographical Note: New Zealand is *not* part of Australia.
  635.  
  636. Paul Gillingwater, Computer Sciences of New Zealand Limited
  637. Domain: paul@csnz.co.nz  Bang: uunet!vuwcomp!dsiramd!csnz!paul
  638. Call Magic Tower BBS V21/23/22/22bis 24 hrs NZ+64 4 767 326
  639. SpringBoard BBS for Greenies! V22/22bis/HST NZ+64 4 896 016
  640.  
  641. ------------------------------
  642.  
  643. Date:    28 Nov 89 06:40:01 +0000
  644. From:    carroll1!dtroup@uunet.UU.NET (David C. Troup)
  645. Subject: Re: Non-executable viruses
  646.  
  647.  
  648. stanton!john@uunet.UU.NET (John Goodman) writes:
  649.     [talk about a non-executable virus]
  650. >Has anyone here seen such a virus?
  651.  
  652. Ive been working on several virus (or worms) for the Apple since I
  653. read about them back in 86. Since all I had was an Apple IIe, I really
  654. had to come up with some weird ideas for implementation for my
  655. experiments.
  656.  
  657. What I came up with (in church one night!) was to use a text file that
  658. could be EXEC'd from BASIC (or from the HELLO [startup] program on the
  659. boot disk) that would execute the commands in that text file. This
  660. text file would write a program to memory, that would go and patch
  661. other startup programs with the text file, or a smaller version of it.
  662. No assembly used (I was ignarant back then), and all of it was done in
  663. BASIC with the EXEC'able text files. The programs were REALY difficult
  664. to follow; commands that were writing commands to do DOS functions.
  665. But it worked, and I infected an entire BASIC.101 class in 2 days. By
  666. having the worms cross checking the copy counter (max==21), they
  667. "knew" when they got everyone, and promtly killed themselves without
  668. anyone knowing.
  669.  
  670. We got computers, we're tapping phone lines, I know that that ain't allowed_
  671.     _______  _______________    |David C. Troup / Surf Rat_2600 hz__________
  672.     _______)(______   |         |dtroup@carroll1.cc.edu : mail______________
  673.  _______________________________|414-524-6809(dorm)/7343(work)______________
  674.  
  675. ------------------------------
  676.  
  677. Date:    Tue, 28 Nov 89 10:18:56 +0000
  678. From:    frisk@rhi.hi.is (Fridrik Skulason)
  679. Subject: Eddie ? (PC)
  680.  
  681. I was wondering about a text string that appears inside the Dark Avenger
  682. virus:
  683.                 Eddie lives...somewhere in time
  684.  
  685. Wasn't there a character named Eddie in a horror movie ? If so, did this
  686. sentence appear there ?
  687.  
  688. - -frisk
  689.  
  690.  
  691. ------------------------------
  692.  
  693. End of VIRUS-L Digest
  694. *********************
  695. Downloaded From P-80 International Information Systems 304-744-2253
  696.