home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.259 < prev    next >
Encoding:
Text File  |  1995-01-03  |  16.1 KB  |  386 lines
  1. VIRUS-L Digest   Wednesday, 13 Dec 1989    Volume 2 : Issue 259
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. Preventative measure for DIR exec (VM/CMS)
  17. AIDS Disk sent in UK
  18. Wdef at UKCC (Mac)
  19. re: Poland Viruses/Oropax (PC)
  20. Re: Seeking Gatekeeper (Mac)
  21. Never say die
  22. Major Trojan Warning (PC)
  23. Update on AIDS Trojan (PC)
  24. Yet Another EAGLE Appears (PC)
  25.  
  26. ---------------------------------------------------------------------------
  27.  
  28. Date:    Tue, 12 Dec 89 09:58:06 -0500
  29. From:    Lee Miller (Gonzo) <LPM102@PSUVM.PSU.EDU>
  30. Subject: Preventative measure for DIR exec (VM/CMS)
  31.  
  32.   Just a suggestion but anyone who wants to take an extra
  33. precautionary measure towards the dir exec or any virus erasing files
  34. meeting certain time date criteria could use the touch exec and module
  35. available from the listserver at BLEKUL11 to change the time date of
  36. your files. Thus before running any exec that you don't know what it
  37. it you change all time dates to before 1990 so the deletion that dir
  38. does wont find anything to erase. If you have any inquiries to this
  39. exec e-mail me.
  40.                                      Lee Miller
  41.                                      LPM102@PSUVM.psu.edu.Bitnet
  42.  
  43. ------------------------------
  44.  
  45. Date:    Tue, 12 Dec 89 14:53:34 +0000
  46. From:    Alan Jay <alanj@ibmpcug.co.uk>
  47. Subject: AIDS Disk sent in UK
  48.  
  49.                         AIDS DISK -- PC Cyborg Corporation
  50.  
  51. This disk was mailed to many people on a major magazine mailing list today
  52. 12-DEC-1989.
  53.  
  54. If you recived a copy DO **NOT** RUN it -- We do NOT know what it does.
  55.  
  56. This disk implies that it may cause harm to your PC -- DO NOT RUN IT!!!!
  57.  
  58.  
  59. If you have run it -- DO NOT PANIC!!!!
  60.  
  61. Currently we have NO proof that the disk is harmful.
  62.  
  63. DO NOT RUN THE PROGRAM AGAIN.
  64.  
  65. The program renames your "autoexec.bat" so you will have to reconstitute your
  66. old one.  "Autoexec.bat" has been hidden by setting the 'hidden' attribute
  67. you may need NORTON or similar to delete the new "Autoexec.bat".
  68.  
  69. There are also a number of other hidden subdirectories.
  70.  
  71. Currently we do not kenow the purpose of this disk and so can not say what
  72. damage that it may do, if any, or what you should do about it.
  73.  
  74. Warn other users not to run the program.
  75.  
  76. Currently the only 100% safe course of action is to boot of the original
  77. DOS system disk and perfrm a reformat of your disk -- We DO NOT recommend
  78. you do this unless you have a recent backup that you are happy with --
  79. We have no proof of any malicious nature in this disk.
  80.  
  81. We hope to update this bulletin later today or tomorrow as more information
  82. becomes available.
  83.  
  84. [Ed. See more information below.]
  85.  
  86. Alan Jay @ The IBM PC User Group, PO Box 360, Harrow HA1 4LQ ENGLAND
  87. Phone:  +44 -1- 863 1191                        Email:  alanj@ibmpcug.CO.UK
  88. Path:   ...!ukc!slxsys!ibmpcug!alanj            Fax: +44 -1- 863 6095
  89. Disclaimer: All statements made in good faith for information only.
  90.  
  91. ------------------------------
  92.  
  93. Date:    Mon, 11 Dec 89 17:28:00 -0500
  94. From:    someone please stop the bunny <ACSAZ@SEMASSU.BITNET>
  95. Subject: Wdef at UKCC (Mac)
  96.  
  97.     Guess what?!  I just talked to someone at UKCC (University of
  98. Kentucky) with a finder slowdown problem.  He checked and it was WDEF.
  99. So now we have another site for WDEF infection.  To date Southeastern
  100. Mass U is clean (of WDEF that is).  This is not nice.  Anyone know
  101. where this one came from?
  102.                                    - Zav
  103.                             "ACS - Never a dull moment"
  104.  
  105. ------------------------------
  106.  
  107. Date:    12 Dec 89 00:00:00 +0000
  108. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
  109. Subject: re: Poland Viruses/Oropax (PC)
  110.  
  111. Alan_J_Roberts@cup.portal.com:
  112.  
  113. >         One of the five viruses submitted to McAfee by Andrzej Kadlof
  114. > appears to be the long-lost Oropax virus, at least according to Dave
  115. > Chess at IBM.
  116.  
  117. Just to be as timid as possible, I didn't say "this is the Oropax
  118. virus"; I said "this seems to match the description of the 'Oropax'
  119. given in the MSDOSVIR.A89 document from Hamburg".  For all I know,
  120. this is a brand-new virus, written by some unimaginative virus author
  121. who heard the Oropax rumors, and decided it was a good idea!  *8)
  122.  
  123. DC
  124.  
  125. ------------------------------
  126.  
  127. Date:    Mon, 11 Dec 89 19:41:41 -0700
  128. From:    Ben Goren <AUBXG@ASUACAD.BITNET>
  129. Subject: Re: Seeking Gatekeeper (Mac)
  130.  
  131. Thanks to all those who replied.  Here's a summary of what people reccomended:
  132.  
  133. Gatekeeper is avaible
  134.  
  135. 1) through the Info-Mac archives.  These can be accesed (as I did) through
  136.    Macserve (tell Macserve at PUCC help for instructions) or FTP at
  137.    sumex-aim.stanford.edu or Rice University (I no longer have their
  138.    complete address).  There also is a relay in Ireland, and I believe others;
  139.  
  140. 2) through FTP at Simtel-20.
  141.  
  142. 3) through many individuals, including myself, if all else fails.  Just ask!
  143.  
  144. The Info-Mac archives have several other virus protection programs, as well as
  145. a large collection of other free-, shareware, and public domain files.  I
  146. imagine that Simtel-20 also has a similar collection, if it is not another
  147. copy of Info-Mac.
  148.  
  149. Now, one more question:  is there a complete list of resources one shoul
  150. configure VirusDetective with?
  151.  
  152. Thanks again,
  153.  
  154. ..............................................................
  155. Ben Goren                              T T T        /
  156. Trumpet Performance Major       )------+-+-+--====*0
  157. Arizona State University           ( --|-| |---)
  158. Bitnet:  AUBXG@ASUACAD               --+-+-+--
  159. ..............................................................
  160.  
  161. ------------------------------
  162.  
  163. Date:    Thu, 07 Dec 89 21:42:23 -0800
  164. From:    cpreston@cup.portal.com
  165. Subject: Never say die
  166.  
  167. Virus Immortality
  168.  
  169.    There is a growing trend, not just in portable computers, to save
  170. the state of the machine when the computer is "turned off".
  171.  
  172.    This is a consideration for fault-tolerant or semi-fault-tolerant
  173. systems, where there has been great attention paid to saving all
  174. files and system state no matter what, but probably these system
  175. administrators will be knowledgeable enough to work through the
  176. problems created by system design.
  177.  
  178.    There will, however, be users who don't understand what is
  179. happening when they put a computer to sleep or turn it off, or even
  180. remove the battery.  In some cases, even removal of the power supply
  181. (battery) does not kill the contents of RAM due to a "keep-alive"
  182. smaller battery backup.
  183.  
  184.    Leaving aside the other security implications of always
  185. preserving RAM, (such as password retention or decrypted file
  186. retention) virus detection and removal will certainly be more
  187. confusing.
  188.  
  189.    In other words, the current practice of telling computer users to
  190. be sure their machine has been turned off during virus removal will
  191. no longer be sufficient.  Even the people who think they are being
  192. extra careful by removing the battery for a minute or two will be
  193. fooled.
  194.  
  195.    Cases in point:
  196.  
  197.    1. Macintosh Portable.  The normal "off" mode is really a sleep
  198.       mode, with all RAM contents retained.  At the touch of a key,
  199.       the user is able to continue with any operations in progress
  200.       at the time the machine was left.  The running program (s) are
  201.       still running, data files open, etc.  Removal of the main
  202.       battery will not erase RAM due to a 9 volt backup, designed to
  203.       ensure continuity during battery switches.
  204.          According to an Apple representative, use of the reset
  205.       switch (not the interrupt) will force an immediate power-off
  206.       to RAM, and a start-up with clean RAM.
  207.  
  208.    2. Zenith MinisPort.  Part of RAM can be configured as a non-
  209.       volatile RAM disk.  A number of other machines have this
  210.       feature also. This shouldn't cause as much problem, since
  211.       people are used to permanent storage on disks and know that
  212.       it needs to be checked and purged.  Extra RAM can also be
  213.       configured as EMS memory, probably also non-volatile.
  214.  
  215.    3  Poqet pocket MS-DOS PC.  Memory is powered all the time.  Even
  216.       when the batteries are changed, a capacitor will keep the
  217.       system going for 10 to 15 minutes.  The keyboard I/O "on/off"
  218.       switch merely puts the machine to sleep.  There is a recessed
  219.       reset button which will purge RAM.
  220.  
  221.    4  Toshiba portables.  New portables, such as the T1000SE, have
  222.       an "auto-resume" feature to allow the computer to be turned
  223.       "off", including changing the battery, while RAM contents are
  224.       preserved.
  225.  
  226.    5  Emerson Accucard.  This is an IBM PC hardware card with its
  227.       own battery.  It is designed to detect a power failure, and
  228.       save the state of the machine to disk before shutting down.
  229.       When I called both the company and their national distributor,
  230.       nobody could tell me whether there was any way to defeat this
  231.       system, such as cold booting from a floppy disk, without
  232.       physically removing the card.  They promised to call back with
  233.       more information.
  234.  
  235. ------------------------------
  236.  
  237. Date:    Tue, 12 Dec 89 11:26:29 -0800
  238. From:    Alan_J_Roberts@cup.portal.com
  239. Subject: Major Trojan Warning (PC)
  240.  
  241. This is an urgent forward from John McAfee:
  242.  
  243.      A distribution diskette from a corporation calling itself
  244. PC Cyborg has been widely distributed to major corporations and
  245. PC user groups around the world and the diskette contains a
  246. highly destructive trojan.  The Chase Manhattan Bank and ICL
  247. Computers were the first to report problems with the software.
  248. All systems that ran the enclosed programs had all data on the
  249. hard disks destroyed.  Hundreds of systems were affected.
  250. Other reports have come in from user groups, small businesses and
  251. individuals with similar problems.  The professionally prepared
  252. documentation that comes with the diskette  purports that the
  253. software provides a data base of AIDS information.  The flyer
  254. heading reads - "AIDS Information - An Introductory Diskette".
  255. The license agreement on the back of the same flyer reads:
  256.  
  257. "In case of breach of license, PC Cyborg Corporation reserves the
  258. right to use program mechanisms to ensure termination of the use
  259. of these programs.  These program mechanisms will adversely
  260. affect other program applications on microcomputers.  You are
  261. hereby advised of the most serious consequences of your failure
  262. to abide by the terms of this license agreement."
  263.  
  264. Further in the license is the sentence: "Warning:  Do not use
  265. these programs unless you are prepared to pay for them".
  266.  
  267. If the software is installed using the included INSTALL program,
  268. the first thing that the program does is print out an invoice
  269. for the software.  Then, whenever the system is re-booted, or
  270. powered down and then re-booted from the hard disk, the system
  271. self destructs.
  272.  
  273. Whoever has perpetrated this monstrosity has gone to a great deal
  274. of time, and more expense, and they have clearly perpetrated the
  275. largest single targeting of destructive code yet reported.  The
  276. mailings are professionally done, and the style of the mailing
  277. labels indicate the lists were purchased from professional
  278. mailing organizations.  The estimated costs for printing,
  279. diskette, label and mailing is over $3.00 per package.  The
  280. volume of reports imply that many thousands may have been mailed.
  281. In addition, the British magazine "PC Business World" has
  282. included a copy of the diskette with its most recent publication
  283. - - another expensive avenue of distribution.  The only indication
  284. of who the perpetrator(s) may be is the address on the invoice to
  285. which they ask that $378.00 be mailed:
  286.  
  287.           PC Cyborg Corporation
  288.           P.O. Box 871744
  289.           Panama 7, Panama
  290.  
  291. Needless to say, a check for a registered PC Cyborg Corporation
  292. in Panama turned up negative.
  293.  
  294. An additional note of interest in the license section reads:
  295. "PC Cyborg Corporation does not authorize you to distribute or
  296. use these programs in the United States of America.  If you have
  297. any doubt about your willingness or ability to meet the terms of
  298. this license agreement or if you are not prepared to pay all
  299. amounts due to PC Cyborg Corporation, then do not use these
  300. programs".
  301.  
  302.  
  303. John McAfee
  304.  
  305. ------------------------------
  306.  
  307. Date:    Tue, 12 Dec 89 18:17:04 -0800
  308. From:    Alan_J_Roberts@cup.portal.com
  309. Subject: Update on AIDS Trojan (PC)
  310.  
  311. The following is a posting from John McAfee:
  312.  
  313.         Early reports from people who have disassembled the AIDS
  314. trojan that has been mailed to numerous European corporations indicate
  315. that the trojan may be encrypting information on the disk rather than
  316. destroying it outright.  The results are the same without a decrypting
  317. routine but the possibility is] now raised that the perpetrators do
  318. have and may offer such a decryptor.  The report from Chase Manhattan
  319. Bank that the name and address in the Trojan are bogus may not be
  320. correct.  John Markoff of the New York Times has since stated that his
  321. sources found a real corporation corresponding to the name and address
  322. in the file.  This raises some interesting questions which, I believe,
  323. only time will answer.  Whatever is happening, this much is known: The
  324. trojan will make all data on the hard disk unusable; the change
  325. happens suddenly; and no recovery is yet known.  If you find or have a
  326. copy of this diskette don't use it.
  327.  
  328. John McAfee
  329.  
  330. ------------------------------
  331.  
  332. Date:    Tue, 12 Dec 89 18:09:00 -0500
  333. From:    IA96000 <IA96@PACE.BITNET>
  334. Subject: Yet Another EAGLE Appears (PC)
  335.  
  336. At 03:00 yesterday another version of EAGLE.EXE was discovered and
  337. forwarded to SWE for analysis. Here are the results.
  338.  
  339. See back issues of VIRUS-L and/or VALERT-L for original symptoms.
  340.  
  341. This new version has changed slightly:
  342.  
  343. 1) Contains Jerusalem-D virus. Active and spreads!
  344.  
  345. 2) Seeks out and overwrites the following files and locations:
  346.  
  347.    a) COMMAND.COM (ascii 246 used to overwrite)
  348.    b) BOTH FAT's  (ascii 246 used to overwrite)
  349.    c) BOOT SECTOR (ascii 246 used to overwrite)
  350.    d) EAGLSCAN.EXE (string "F**K YOU" used to overwrite)
  351.    e) SCAN.EXE     (string "F**K YOU" used to overwrite)
  352.    f) VIRUSCAN.EXE ( same as last two above used to overwrite)
  353.  
  354. 3) There seems to be a built in timer. Once the file has been loaded
  355.    it remains dormant for twenty minutes. During this time the VIRUS
  356.    can be detected by SCAN.EXE if you use the /M switch. Once the timer
  357.    has run down, the trojan takes over and does its dirty deed.
  358.  
  359. 4) Unlike previous versions, it DOES NOT matter if the disk is a
  360.    DOS system disk or not. If a file is not found, it just continues
  361.    on down the list. Previously COMMAND.COM had to be in the root to
  362.    trigger the trojan.
  363.  
  364. 5) SWE reports that they feel this WAS NOT written by the same author(s)
  365.    as the first two versions. First, this new version appears to be
  366.    written in Pascal. Second, SCAN.EXE will identify the file. It has
  367.    not been encrypted or compressed like the previous versions.
  368.  
  369. Since SCAN.EXE will detect the virus, and since SWE is closing for their
  370. vacation period, they feel there is NO rush to update EAGLSCAN at this
  371. time. They said it will be done when they get back.
  372.  
  373. One important point needs to be repeated! SCAN.EXE will identify the
  374. virus, in memory when you use the /M switch. It will also detect the
  375. virus in a file. It has no way of knowing if the file also contains a
  376. trojan (understandable, it wasn't designed to) so be wary if you
  377. decide to experiment with this new version of EAGLE.EXE!!!!
  378.  
  379. Thanks to Harriman, New York for sending it for evaluation.
  380.  
  381. ------------------------------
  382.  
  383. End of VIRUS-L Digest
  384. *********************
  385. Downloaded From P-80 International Information Systems 304-744-2253
  386.