home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.261 < prev    next >
Encoding:
Text File  |  1995-01-03  |  21.1 KB  |  497 lines
  1. VIRUS-L Digest   Monday, 18 Dec 1989    Volume 2 : Issue 261
  2.  
  3. VIRUS-L is a moderated, digested mail forum for discussing computer
  4. virus issues; comp.virus is a non-digested Usenet counterpart.
  5. Discussions are not limited to any one hardware/software platform -
  6. diversity is welcomed.  Contributions should be relevant, concise,
  7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  9. anti-virus, document, and back-issue archives is distributed
  10. periodically on the list.  Administrative mail (comments, suggestions,
  11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  12.  - Ken van Wyk
  13.  
  14. Today's Topics:
  15.  
  16. re: 1813 Virus Info Needed (PC)
  17. Aids disk information (PC)
  18. Re AIDS disk (PC)
  19. What does the WDEF virus do? (Mac)
  20. Re: Update on AIDS Trojan (PC)
  21. Disinfectant 1.5 (Mac)
  22. WDEF found at University of Vermont (Mac)
  23. AIDS TROJAN (PC)
  24. Gatekeeper Aid 1.0 Released (Mac)
  25.  
  26. ---------------------------------------------------------------------------
  27.  
  28. Date:    14 Dec 89 00:00:00 +0000
  29. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
  30. Subject: re: 1813 Virus Info Needed (PC)
  31.  
  32. The 1813 virus is the same virus that is commonly called "the
  33. Jerusalem virus".  It is the most widespread of a number that
  34. activate on Friday the 13th, so it's sometimes called the
  35. "Friday the 13th" virus.   That's not a very good name, though,
  36. since there's more than one virus that it fits.   Stick with
  37. "1813" or "Jerusalem"!   *8)              DC
  38.  
  39. ------------------------------
  40.  
  41. Date:    Thu, 14 Dec 89 11:14:39 +0000
  42. From:    Alan Jay <alanj@IBMPCUG.CO.UK>
  43. Subject: AIDS disk information (PC)
  44.  
  45. The following, written by Alan Solomon, gives details of the AIDS
  46. Information Disk sent out by PC-CYBORG and gives a method for
  47. restoring your disk to its former state.  Remember if you have not run
  48. this disk DO NOT run it.
  49.  
  50. This information is believed to be correct BUT the program appears to be
  51. very clever and therefore we suggest that you must be very careful in
  52. carring out any of the followig instructions.
  53.  
  54. Alan Jay  -- IBM PC User Group -- 01-863 1191
  55.  
  56.  
  57. PRELIMINARY INFORMATION ON THE "AIDS" DISKETTE FROM PC
  58. CYBORG CORPORATION.
  59.  
  60. This is bulletin number AS/3
  61.  
  62.  
  63. You will probably have read in the press about the AIDS diskette, a
  64. diskette that was mailed out to a great subscribers to PC Business
  65. World (through absolutely no fault of the magazine's).  This diskette
  66. is a trojan - DO NOT RUN IT.
  67.  
  68. It is a diskette that was sent through the post, unsolicited, and
  69. claiming to be a program that gave you useful information about the
  70. AIDS disease.  The accompanying licence was abit suspicious, so many
  71. people didn't run it (it threatened to do dire things to your computer
  72. if you didn't pay for the software).
  73.  
  74. We've done a preliminary analysis on it, and it works like this.  If
  75. you run the INSTALL program, it creates two subdirectories with
  76. "impossible" names on the hard disk - one of these has a one-character
  77. name, and that character is [Alt-255] (hexadecimal FF).  In that
  78. subdirectory , it puts a program called REM[Alt-255] .EXE.  The
  79. [Alt-255] character is invisible.  It copies your AUTOEXEC to a file
  80. called AUTO.BAT, and puts an Echo off and a REM statement in front.
  81. It creates a new AUTOEXEC.BAT file, and makes it hidden and readonly.
  82. In that AUTOEXEC, it does a "CD \[Alt255]" and then "REM[Alt-255]"
  83. followed by a plausible-looking remark.
  84.  
  85. After you run the AUTOEXEC, and therefore the REM [Alt-255] program, a
  86. number of times (we triggered it with 90, but this is only a
  87. preliminary result, and it may be triggerable with fewer or more), the
  88. damage routine is triggered.  This would usually happen when the
  89. machine has been booted that many times.  A series of messages are put
  90. up on the screen, aimed at persuading you not to switch off, and the
  91. trojan then encrypts your directory and makes all the files hidden
  92. except one called CYBORG.DOC.
  93.  
  94. If you then boot from the hard disk, it tells you that a software
  95. licence has expired, and tells you to renew it - another request for
  96. money.  If you do a Ctrl-Alt-Del, it fakes a reboot, and pretends to
  97. be running the Dos prompt - actually, a program is now running which
  98. fakes Dos.  If you do a DIR, it shows you the unencrypted filenames,
  99. followed by a warning not to use the computer.  it tells you that you
  100. must renew the lease in the software.  Any other command, it also
  101. fakes a response to, and shows you the same message.
  102.  
  103. It also has a routine that could be called the SHARE routine.  When
  104. this runs, it tells you that you can have 30 more applications of the
  105. program if you follow it's instructions.  It tells you to put a blank
  106. formatted floppy in drive A, and it then copies files onto it.  Then
  107. you are asked to put the diskette in another computer and type
  108. A:SHARE.  We're still pursing this path.
  109.  
  110. It may also do other damage - we're still investigating, but what
  111. we've found so far is enough to make me want to issue an urgent
  112. warning.
  113.  
  114. If you've already installed it, remove it.  You can do this
  115. temporarily by making the AUTOEXEC.BAT file (in the root directory)
  116. read/write, and non-hidden, which you can do using one of a number of
  117. utilities.  Then delete the AUTOEXEC.BAT.  This disables the trojan
  118. lines that the install program put in.  This APPEARS to deal with the
  119. trojan, but since there is a lot of deep stuff going on, we would not
  120. assume that it actually does fully deal with it.
  121.  
  122. Our recommendation at this point in time, is based on the fact that
  123. this thing is doing some pretty deep work on the disk, and since it
  124. contains a lot of code, it will be a long time before it is completely
  125. understood.  So as of now, our suggestion is:
  126.  
  127. First, switch off the computer, put a known CLEAN DOS diskette in
  128. drive A, and switch on again.  This makes sure that the trojan has no
  129. control.  Back up all your data files using a file-by-file backup.
  130. Format the disk, reload all your executables from known clean
  131. diskettes, and restore the data files.  You should take two backups,
  132. in case the first one fails to restore.
  133.  
  134. If you haven't installed it, don't and tell everyone else not to.  The
  135. police have been brought into this case; if you wish to make a formal
  136. complaint to the Computer crime unit, please contact Detective
  137. Sergeant Donovan on 01-725 2434.  Also, contact him if you have any
  138. useful information.
  139.  
  140. If you want more information about this trojan, it will be covered in
  141. full in Virus Fax International - please call if you want to know more
  142. about this.
  143.  
  144. Please note that the information has been got out quickly as possible,
  145. and is therefore subject to change in the details.
  146.  
  147. ALAN SOLOMON
  148.  
  149. ------------------------------
  150.  
  151. Date:    Thu, 14 Dec 89 13:31:49 +0000
  152. From:    Martin Ward <martin@EASBY.DURHAM.AC.UK>
  153. Subject: Re AIDS disk (PC)
  154.  
  155. I feel that I should point out that the effects of this disk are
  156. entirely in accordance with the standard warrenty used by most
  157. commercial software developers (the ones which disclaim that the
  158. programs are fit for any purpose at all, that XXX will disclaims all
  159. responsibility for any damage or loss caused etc.) Either these
  160. warrenties are ILLEGAL or the perpetrators of this disk are entirely
  161. within their legal rights to do what they have done. Does anyone (eg a
  162. lawyer) know which is the case?
  163.  
  164.                         Martin.
  165.  
  166. My ARPANET address is:  martin%EASBY.DUR.AC.UK@CUNYVM.CUNY.EDU
  167. OR: martin%uk.ac.dur.easby@nfsnet-relay.ac.uk  UUCP:...!mcvax!ukc!easby!martin
  168. JANET: martin@uk.ac.dur.easby    BITNET: martin%dur.easby@ac.uk
  169.  
  170. ------------------------------
  171.  
  172. Date:    Thu, 14 Dec 89 10:05:36 -0500
  173. From:    Jeff_Spitulnik@um.cc.umich.edu
  174. Subject: What does the WDEF virus do? (Mac)
  175.  
  176. I just discovered that a scribes disk (one that is used by many different
  177. typists at different times to compile class notes) that crashed was
  178. infected with the WDEF virus.  The Mac SE FDHD that I am using now had
  179. trouble reading the disk and MacTools confirmed that there were many
  180. damaged blocks.  After using Symantec's utilities to recover the files on
  181. the disk, including the desktop, I checked to see if the file had the WDEF
  182. virus.  It did.
  183. I reformatted the scribe disk with no problems and verified that it was ok
  184. after the reformatting.  Did it crash because of WDEF?  What's the latest
  185. on what WDEF does?
  186. Thanks!
  187.    --Jeff
  188.  
  189. ------------------------------
  190.  
  191. Date:    Thu, 14 Dec 89 18:02:03 +0000
  192. From:    Matthew Moore <teexmmo@isis.educ.lon.ac.uk>
  193. Subject: Re: Update on AIDS Trojan (PC)
  194.  
  195. This afternoon I was one of a small team which successfully tracked
  196. down the method of invocation of the Aids trojan, on a pc clone which
  197. was infected, but not devastated.
  198.  
  199. Definition : <255> = the ascii character 255 , aka  hex FF
  200.  
  201. The program is called:                     rem<255>.exe
  202. (ie 4 char filename which shows as 3)
  203.  
  204. It resides in a hidden directory called:   \<255>
  205. (ie a 1 char filename)
  206.  
  207. It is invoked by two lines in the autoexec.bat file :-
  208.  
  209. cd \<255>                    (which if course usually looks like : cd \ )
  210. rem<255> some statement      (which looks like : rem  some statement)
  211.  
  212. There two additional features worth noting:-
  213.  
  214. i)  there is another root level hidden directory, also using a nonprintable
  215.     character (I dont know which), containing further hidden subdirectories
  216.     to four levels down, and at the bottom are files which appear to contain
  217.     data from elsewhere on the disk, and sundry other info.
  218.  
  219. ii) there is a red herring in the autoexec.bat file.
  220.     Underneath the two statements listed above, the line 'auto.bat'
  221.     followed by an EOF (^Z).
  222.     The file \auto.bat contains the original autoexec.bat
  223.  
  224. Presumably, it would be stopped by removing or renaming \<255>\rem<255>.exe
  225. and reverting to a clean auotexec.bat .
  226.  
  227. (Corrections to this presumption welcome!)
  228.  
  229. - --
  230. mjm@cu.neur.lon.ac.uk                   | Post: Computing & Statistics Unit
  231. JANET   :  mjm@uk.ac.lon.neur.cu        |       Institute of Neurology
  232. INTERNET: try mjm%cu.neur.lon.ac.uk     |       Queen Square, London, WC1
  233. Phone   : 01-837-5141                   |       London   WC1 3BG
  234.  
  235. ------------------------------
  236.  
  237. Date:    Thu, 14 Dec 89 16:20:56 -0500
  238. From:    jln@acns.nwu.edu
  239. Subject: Disinfectant 1.5 (Mac)
  240.  
  241. Disinfectant 1.5
  242. ================
  243.  
  244. December 14, 1989
  245.  
  246. Disinfectant 1.5 is a new release of our free Macintosh virus
  247. detection and repair utility.
  248.  
  249. Shortly after the release of version 1.4, a new strain of the WDEF
  250. virus was discovered.  Version 1.5 has been configured to recognize
  251. the new strain.  Version 1.5 also contains code to detect and repair
  252. other strains of WDEF which may exist but have not yet been reported.
  253.  
  254. Disinfectant 1.5 is available now via anonymous FTP from site
  255. acns.nwu.edu [129.105.49.1].  It will also be available soon on
  256. sumex-aim, comp.binaries.mac, ComuServe, Genie, Delphi, BIX, MacNet,
  257. America Online, Calvacom, and other popular sources for free and
  258. shareware software.
  259.  
  260. The following text is extracted from the new section on WDEF in
  261. Disinfectant's online document.  It describes what we know to date
  262. about this new virus.  The description has been expanded to include
  263. new information that has recently become available.
  264.  
  265. The WDEF virus was first discovered in December, 1989 in Belgium
  266. and in one of our labs at Northwestern University. Since the
  267. initial discovery, it has also been reported at many other
  268. locations throughout the United States, so we fear that it is
  269. widespread. We have reason to believe that the virus has been in
  270. existence since at least mid-October of 1989. We know of two
  271. strains, which we call "WDEF A" and "WDEF B."
  272.  
  273. WDEF only infects the invisible "Desktop" files used by the
  274. Finder. With a few exceptions, every Macintosh disk (hard drives
  275. and floppies) contains one of these files. WDEF does not infect
  276. applications, document files, or other system files. Unlike the
  277. other viruses, it is not spread through the sharing of
  278. applications, but rather through the sharing and distribution of
  279. disks, usually floppy disks.
  280.  
  281. WDEF may have been introduced initially via a Trojan Horse
  282. application, in a fashion similar to the way the MacMag virus was
  283. first introduced via a Trojan Horse HyperCard stack. We do not yet
  284. know if this is indeed the case, and we may never know.
  285.  
  286. WDEF spreads from disk to disk very rapidly. It is not necessary
  287. to run a program for the virus to spread.
  288.  
  289. The WDEF A and WDEF B strains are very similar.  The only
  290. significant difference is that WDEF B beeps every time it infects
  291. a new Desktop file, while WDEF A does not beep.
  292.  
  293. Although the virus does not intentionally try to do any damage,
  294. WDEF contains bugs which can cause very serious problems. We have
  295. received reports of the following problems:
  296.  
  297. * The virus causes both the Mac IIci and the portable to crash.
  298. * Under some circumstances the virus can cause severe performance
  299. problems on AppleTalk networks with AppleShare servers.
  300. * Many people have reported frequent crashes when trying to save
  301. files in applications under MultiFinder.
  302. * The virus causes problems with the proper display of font styles
  303. (the outline style in particular).
  304. * We have two reports that the virus can damage disks.
  305. * We have a report that the virus causes Macs with 8 megabytes of
  306. memory to crash.
  307. * We have a report that the virus is incompatible with the
  308. "Virtual" INIT from Connectix.
  309.  
  310. Even though AppleShare servers do not use the normal Finder
  311. Desktop file, many servers have an unused copy of this file
  312. anyway. If the AppleShare administrator has granted the "make
  313. changes" privilege to the root directory on the server, then any
  314. infected user of the server can infect the Desktop file on the
  315. server. This is one of the situations which can lead to the severe
  316. performance problems mentioned above. For this reason,
  317. administrators should never grant the "make changes" privilege on
  318. server root directories. We also recommend deleting the Desktop
  319. file if it exists. It does not appear that the virus can spread
  320. from an AppleShare server to other Macs on the network, however.
  321.  
  322. When using Disinfectant to repair WDEF infections, you must use
  323. Finder instead of MultiFinder. Under MultiFinder the Desktop files
  324. are always "busy," and Disinfectant is not able to repair them. If
  325. you try to repair using MultiFinder, you will get an error
  326. message.
  327.  
  328. Unfortunately, when the WDEF virus first appeared, none of the
  329. current versions of the most popular virus prevention tools were
  330. able to detect or prevent WDEF infections. This includes Vaccine
  331. 1.0.1, GateKeeper 1.1.1, Symantec's SAM Intercept 1.10, and HJC's
  332. Virex INIT 1.12.
  333.  
  334. Chris Johnson, the author of Gatekeeper, has released "GateKeeper
  335. Aid," a free system startup document (INIT) that detects and
  336. automatically removes WDEF infections and notifies the user of the
  337. infection. GateKeeper Aid can be used together with GateKeeper or
  338. together with Vaccine to provide protection against WDEF.
  339.  
  340. New versions of the commercial tools should also be released soon,
  341. and we expect that at least one other free protection tool will
  342. also be available soon.
  343.  
  344. It is very important that all Mac users obtain and install
  345. GateKeeper Aid or some other WDEF protection tool. You can use
  346. Disinfectant to remove an existing infection, but if you do not
  347. install a protection tool you may very likely become infected
  348. again.
  349.  
  350. In addition to the two known strains of the WDEF virus,
  351. Disinfectant will also detect and repair other strains which may
  352. exist but have not yet been reported. If an unknown strain is
  353. detected, Disinfectant places the following message in the report:
  354.  
  355.    ### File infected by an unknown strain of WDEF
  356.  
  357. If you see this message, and if you have not already repaired the
  358. file, we would appreciate it if you would send a copy to the
  359. author. The author's addresses are at the end of this document.
  360. You may need the assistance of an expert, since the Desktop files
  361. that are infected by the WDEF virus are normally invisible. You
  362. should use ResEdit or some other file editing tool to make the
  363. file visible, then make a copy to send to us, then use the same
  364. tool to make the original file invisible again, and use
  365. Disinfectant to repair it. Send the copy to the author, then
  366. delete the copy.
  367.  
  368. Please do not worry if you are not comfortable with these
  369. instructions and you do not have access to an expert. Go ahead and
  370. repair the infected file. It is more important that you rid your
  371. system of the virus than it is for us to get a copy of the unknown
  372. strain.
  373.  
  374. This version of Disinfectant is being released only one week after
  375. the discovery of the WDEF virus. We do not yet understand it as
  376. thoroughly as we do the other older viruses. We have disassembled
  377. it completely, and we understand the basic replication mechanism.
  378. We know that it can cause serious problems, and we know why it
  379. causes some of the problems. Research into the behavior and
  380. adverse effects of this virus will continue for some time.
  381.  
  382. You should keep in touch with your local Mac user group or
  383. bulletin board for more information about this new virus as it
  384. becomes available. Commercial online services like CompuServe and
  385. Genie and the Macintosh trade press publications like MacWeek are
  386. also good sources of information.
  387.  
  388. When the WDEF virus was first discovered, the authors of most of
  389. the popular virus-fighting programs and other experts immediately
  390. began working together to analyze and test the virus. The
  391. information presented here is a compilation of our joint
  392. discoveries. The author would like to thank everybody who helped
  393. in the investigation. Particular thanks to Chris Johnson
  394. (GateKeeper), Jeff Shulman (VirusDetective), Paul Cozza (SAM),
  395. Robert Woodhead (Virex), Dave Platt, Werner Uhrig, and the Apple
  396. Virus Rx team. Thanks also to the many Mac users who sent reports
  397. of WDEF sightings and problems caused by the virus.
  398.  
  399. John Norstad
  400. Academic Computing and Network Services
  401. Northwestern University
  402. 2129 Sheridan Road
  403. Evanston, IL 60208
  404.  
  405. Bitnet: jln@nuacc
  406. Internet: jln@acns.nwu.edu
  407. CompuServe: 76666,573
  408. AppleLink: A0173
  409.  
  410. ------------------------------
  411.  
  412. Date:    Thu, 14 Dec 89 17:31:10 -0500
  413. From:    Lynne Meeks <LZM@UVMVM.BITNET>
  414. Subject: WDEF found at University of Vermont (Mac)
  415.  
  416. We discovered we have at least one Mac with the WDEF virus. The most
  417. likely source is a disk brought here from Dartmouth by a student.
  418. although there is another (unknown) potential source.  The virus was
  419. discovered (and successfully removed) by Virus Detective 3.1 which we
  420. were trying out. We did not have any indication we had a virus.  Guess
  421. this one travels fast...
  422.  
  423. ------------------------------
  424.  
  425. Date:    Thu, 14 Dec 89 19:08:00 -0500
  426. From:    IA96000 <IA96@PACE.BITNET>
  427. Subject: AIDS TROJAN (PC)
  428.  
  429. The AIDS trojan does bring up some interesting questions. Political
  430. issues aside for a second, what makes anyone think that the company or
  431. individuals behind this are in Panama?
  432.  
  433. Just because the mail goes to Panama does not mean a thing. There
  434. are also more lax regulations (I would assume) about renting post
  435. office boxes outside of the United States.
  436.  
  437. Has anyone considered that this might be work of the people who
  438. introduced BRAIN to the world? Other than the address, it might
  439. well be the same culprits.
  440.  
  441. Rather than worry about who did it, perhaps it would be a better
  442. idea to figure out what to do about? After all the potential for
  443. damage is quite high, and little seems to be know about what is
  444. happening, so far.
  445.  
  446. ------------------------------
  447.  
  448. Date:    14 Dec 89 23:32:14 +0000
  449. From:    emx.utexas.edu!ut-emx!chrisj@cs.utexas.edu (Chris Johnson)
  450. Subject: Gatekeeper Aid 1.0 Released (Mac)
  451.  
  452. Gatekeeper Aid 1.0 of 13-Dec-89
  453. by Chris Johnson (c) 1989
  454.  
  455. Gatekeeper Aid is a supplement to version 1.1.1 of the Gatekeeper
  456. Anti-Virus System.  Gatekeeper Aid is a new component designed to
  457. locate and remove the WDEF viruses that have recently appeared
  458. and which are not hindered by Gatekeeper's existing security
  459. system.  Gatekeeper Aid also checks for possible future variants
  460. of WDEF.
  461.  
  462. Gatekeeper Aid automatically checks files as they are used for
  463. the presence of specific viruses and, if viruses are found, it
  464. removes them.  Like Gatekeeper, Gatekeeper Aid runs continuously
  465. without the attention (and usually without the awareness) of the
  466. user.
  467.  
  468. Unlike Gatekeeper, Gatekeeper Aid requires no configuration by
  469. the user -- it's objectives are specific enough that there's
  470. simply no need for configuration at this point.
  471.  
  472. Although Gatekeeper Aid is designed to supplement Gatekeeper,
  473. it does not require that Gatekeeper be present in order to
  474. operate.
  475.  
  476. Gatekeeper Aid has been posted to comp.binaries.mac, and is
  477. immediately available for anonymous ftp from ix1.cc.texas.edu
  478. and ix2.cc.utexas.edu.  You'll find it (and Disinfectant 1.5)
  479. in the ~microlib/mac/virus directory.
  480.  
  481. The IP addresses of ix1 and ix2 are, respectively, 128.83.1.21
  482. and 128.83.1.29.
  483.  
  484. Gatekeeper Aid will should be available from sumex and simtel
  485. in the near future.
  486.  
  487. Cheers,
  488. - ----Chris Johnson
  489. - ----Author of Gatekeeper
  490. - ----chrisj@emx.utexas.edu
  491.  
  492. ------------------------------
  493.  
  494. End of VIRUS-L Digest
  495. *********************
  496. Downloaded From P-80 International Information Systems 304-744-2253
  497.