home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.67 < prev    next >
Encoding:
Text File  |  1995-01-03  |  16.6 KB  |  412 lines
  1. VIRUS-L Digest              Monday, 20 Mar 1989         Volume 2 : Issue 67
  2.  
  3. Today's Topics:
  4. A New VIRUS Conference
  5. (Mac) nVIR by Association
  6. Re: nVIR2 (??) (Mac)
  7. I need help with viruses (Mac)
  8. File lock protection (Mac)
  9. nVir2 on the Mac
  10. Viruses in media
  11.  
  12. ---------------------------------------------------------------------------
  13.  
  14. Date:    Fri, 17 Mar 89 07:46 CST
  15. From:    Ken  De Cruyenaere <KDC@UOFMCC.BITNET> 204-474-8340
  16. Subject: A New VIRUS Conference
  17.  
  18.    The Computer Security Institute has put together a pretty interesting
  19.    sounding conference in early May.  Details follow:
  20.  
  21.            COMPUTER VIRUSES '89 at the IBM & DEC Users Conference
  22.                May 1-3, 1989 * Hyatt Regency O'Hare * Chicago
  23.                   Sponsored by Computer Security Institute
  24.  
  25.                               PROGRAM OVERVIEW
  26.  
  27. * Partial list of speakers addressing virus-related topics:
  28.  
  29.      Eugene H. Spafford, Purdue University, will present an in-depth
  30.           analysis of the Internet worm incident.
  31.  
  32.      Michael Karels, head of UNIX development at UC Berkeley and an
  33.           Internet worm "swat team" member, will discuss how UNIX is
  34.           meeting the virus challenge.
  35.  
  36.      Kenneth R. van Wyk, creator of Lehigh University's VIRUS-L bulletin
  37.           board, who led the fight against the Lehigh virus, will talk
  38.           about lessons learned.
  39.  
  40.      Richard D. Pethia, Carnegie Mellon University, will describe the
  41.           first DARPA CERT (Computer Emergency Response Team), which he
  42.           heads.
  43.  
  44.      Davis McCown, prosecutor in the "Texas Virus Trial" which
  45.           convicted Donald Gene Burleson in September 1988, will
  46.           recount the investigation, the trial, and what was learned.
  47.  
  48. - -----------------------------------------------------------------------------
  49. * "Live" demonstrations of viruses, hacking, bulletin boards:
  50.  
  51.      Ross Greenberg, author of FLU_SHOT+, will demo viruses and describe
  52.           PC Magazine's evaluation of 11 anti-virus products.
  53.  
  54.      Thomas V. Sobczak of Application Configured Computers will
  55.           demonstrate hacking, underground bulletin boards, virus
  56.           behavior, and public domain solutions.
  57.  
  58.      John McAfee, Computer Virus Industry Association, will demonstrate
  59.           virus and anti-virus programs and present new statistical
  60.           information on viruses.
  61.  
  62. - -----------------------------------------------------------------------------
  63. * Information on new security-related products:
  64.  
  65.      CA-ACF2/VAX and CA-Top Secret/VAX, which can help unify security and
  66.           access control in mixed IBM-DEC shops.
  67.  
  68.      ClydeSentry, LJK/Security, Secure Pak, and The Security Toolkit,
  69.           for assessing and monitoring security in DEC environments.
  70.  
  71. - -----------------------------------------------------------------------------
  72. * Exhibition -- A wide range of computer security products will be
  73. displayed during this two-day show.
  74.  
  75. * Workshop Orientation -- 42 half-day sessions
  76.  
  77. * Discounts:  40% air travel discounts with United
  78.              35-40% discount on Hyatt Regency O'Hare room rates
  79.  
  80.  
  81. For more information, Contact:
  82.                    Van McGuirk
  83.                    Computer Security Institute
  84.                    360 Church Street
  85.                    Northborough, MA 01532
  86.                    (508) 393-2600
  87. - ---------------------------------------------------------------------
  88. Ken De Cruyenaere - Computer Security Coordinator
  89. Computer Services - University of Manitoba - Winnipeg, Manitoba, Canada
  90. Bitnet: KDC@CCM.UManitoba.CA               (204)474-8340
  91.  
  92. ------------------------------
  93.  
  94. Date:         Fri, 17 Mar 89 09:17:08 EST
  95. From:         Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  96. Subject:      (Mac) nVIR by Association
  97.  
  98. The nVIR virus must be executed in SOME way for it to infect a system.
  99. Inserting a disk causes SYSTEM code to be executed, but none from the
  100. inserted disk. I suggest you track this person down, and have him/her
  101. do it again, with you watching. See if there are any funky INITs or
  102. suchlike that s/he's using.
  103.  
  104.   --- Joe M.
  105.  
  106. ------------------------------
  107.  
  108. Date:     Fri, 17 Mar 89 12:20:05 PST
  109. From:     SPOCK@CALSTATE.BITNET  (Commander Spock)
  110. Subject:  Re: nVIR2 (??) (Mac)
  111.  
  112. Chances are you have nVIR, Type B, and someone who has a cute sense of
  113. humor has simply renamed the resource ID.  If you can afford to spend
  114. about $70, go out to a retail store and purchase a copy of "Virex" by
  115. HJC Software.  It should alleviate the problem.
  116.  
  117. Hope this helps!
  118.  
  119. Robert S. Radvanovsky      spock%calstate.bitnet@cunyvm.cuny.edu (Internet)
  120. California Polytechnic Univ. spock@calstate.bitnet                 (BITNET)
  121. Pomona, California
  122.  
  123. P.S. Any questions?  Send them to me!  I'll try to help you as much as
  124. possible.
  125.  
  126. ------------------------------
  127.  
  128. Date:    Fri, 17 Mar 89 18:07 EST
  129. From:    "Sonja Kueppers (814)862-8079" <SEK101@PSUVM.BITNET>
  130. Subject: I need help with viruses (Mac)
  131.  
  132. I am a lowly student employee of the Center for Academic Computing at
  133. Penn State University, and I need help in convincing my bosses that it
  134. is NOT necessary to add any other search strings to Virus Detective
  135. 2.1.1.  Everyone here seems convinced that search strings like DATA ID
  136. - -4001 and atpl ID 128, both of which are redundant to CODE JStart 7026
  137. for our purposes-all we are trying to do is find the viruses anywhere
  138. on the system disk so that we know to recopy the disk.
  139.  
  140. If you have any information which would help me convince my bosses of
  141. this, please send it to me!  Thanks!
  142. - -Sonja
  143.  
  144. ------------------------------
  145.  
  146. Date: Sat, 18 Mar 89 13:56:48 EST
  147. From: joes@dorothy.csee.lehigh.edu (Joe Sieczkowski)
  148. Subject: File lock protection (Mac)
  149.  
  150.  
  151. >Set the file locked bit will prevent a virus from using the high level
  152. >write routines to change the file.
  153. >...
  154. >To write to the locked file the virus writer on the Mac would probably
  155. >have to use low level routines and do sector read/writes with manual
  156. >update of the catalog.
  157.  
  158. I'm no MAC expert but I don't even think low level routines are necessary.
  159. ie,
  160.   if file locked then
  161.       unlock file
  162.       infect/change file
  163.       lock file
  164.   else
  165.       infect/change file
  166.  
  167. Joe
  168.  
  169. ------------------------------
  170.  
  171. Date: 18 Mar 89 20:37 +0100
  172. From: Markus Mueller <muellerm%inf.ethz.ch@RELAY.CS.NET>
  173. Subject: nVir2 on the Mac
  174.  
  175. > is infected by a form
  176. > of the nVir virus which we have not previously encountered.  We have
  177. > numerous public domain virus programs (AntiPan, Interfereon, VirusRX,
  178. > VirusDetectve, Ferret, KillScoresUs, AntiVirus, and Vaccine) but none
  179. > of them has been able to adequately deal with the strain of nVir we
  180.  
  181. Looks like the same strain of nVIR that we have seen a couple of times
  182. at ETH Zurich. Unlike the regular vNIR, this strain does not maintain
  183. an nVIR 2 resource but hides that information somewhere else, causing
  184. all disinfection programs to fail. The only way to get rid of this
  185. nVIR strain is to reload all infected applications from clean copies.
  186.  
  187.    Markus Mueller
  188.    Communications Systems Group
  189.    Eidgenoessische Technische Hochschule
  190.    CH-8092 Zurich
  191.    Switzerland
  192.  
  193.    Switch : muellerm@inf.ethz.ch
  194.    ARPA   : muellerm%inf.ethz.ch@relay.cs.net
  195.    UUCP   : muellerm%inf.ethz.ch@cernvax.uucp
  196.    X.400  : G=markus;S=mueller;OU=inf;O=ethz;P=ethz;A=arcom;C=ch
  197.  
  198. ------------------------------
  199.  
  200. Date:     Sat, 18 Mar 89 17:42 EST
  201. From:     Dimitri Vulis <DLV@CUNYVMS1.BITNET>
  202. Subject:  Viruses in media
  203.  
  204. Reprinted without permission from _The Office: Magazine of Information
  205. Systems and Management_, March 1988. I have omitted about 50% of the
  206. paper (that was not false and/or misleading):
  207.  
  208. >                The Computer Virus: is There a Real Panacea?
  209. >
  210. >What first began as a prank has since reached the point where everyone
  211. >has cause to worry.
  212. >
  213. >                             By Scott W. Cullen
  214. >
  215. >You are sitting at your computer, working on an important report.
  216. >Suddenly, the information on screen disappears and is replaced by the
  217. >word ``Goodbye.''  Within seconds, this message vanishes from your
  218. >view. You try to retrieve data only to discover it is gone, along with
  219. >all the other files stored on that disk. You have just been attacked
  220. >by a computer virus, and you are not alone.  It is estimated that
  221. >nearly 350,000 computers were infected by some type of virus last
  222. >year.
  223.  
  224. The introduction, and the accompanying cartoon, are a rip-off of the
  225. Time magazine article.
  226.  
  227. >...
  228. >
  229. >A virus is a self-replicating block of code that enters a computer via
  230. >diskette, over telephone lines, or manually. The one characteristic of
  231. >a virus that distinguishes it from other codes is that it spreads the
  232. >infection just as humans spread a biological virus---by contact. As
  233. >healthy diskettes and programs come in contact with the disk drive of
  234. >an infected computer, the virus, in the form of a format code, merges
  235. >into that disk causing an infection.
  236.  
  237. A meaningless use of buzzwords.
  238.  
  239. >According to Jon David, a Tappan, N.Y.-based computer consultant,
  240. >``Viruses usually affect specific operating environments. When those
  241. >environments change, a virus may act differently. It may pose no
  242. >danger in one but wreak havoc in another.''
  243. >
  244. >A virus may destroy data, reformat a disk, weak out its drive, or
  245. >flash a harmless message on screen. ``The most insidious problem is a
  246. >virus that spreads itself and causes occasional errors,'' says Larry
  247. >DeMartin, president of Computer Integrity Corp.
  248. >
  249. >Many viruses are self-replicating, often consuming significant space
  250. >in a computer's memory and eventually jamming the machine. Even
  251. >computers utilizing voice synthesizers have been stricken with audible
  252. >disturbances. A virus not only affects PCs; it can attack mainframes
  253. >and minicomputers.
  254.  
  255. That is, the same virus infects PCs, minis and mainframes?
  256.  
  257. >Most viruses have what is described as a Trojan Horse feature or
  258. >trigger that instructs it to act at a predetermined time or event such
  259. >as a specific number of program executions. This may happen the same
  260. >day or years later.
  261.  
  262. That's not what I mean by a Trojan horse...
  263.  
  264. >...
  265. >
  266. >The first virus was created in the 1960s as a game. Kept secret for
  267. >nearly 20 years, the formula was reveled in a 1983 speech by Ken
  268. >Thompson, a software engineer who wrote the first version of the Unix
  269. >computer operating system.  One year later, a columnist for a
  270. >scientific journal mailed readers, who sent in a $2 postage fee,
  271. >guidelines for creating their own viruses. Since that time, malicious
  272. >hackers have been hovering over keyboards honing unhealthy programs.
  273.  
  274. I don't think I have to comment on this...
  275.  
  276. >One of the first destructive viruses to gain notoriety was the
  277. >``Pakistani Virus,'' which first appeared in early 1986. Created by a
  278. >computer store owner in Lahore, Pakistan, as retribution against users
  279. >who made illegal copies of his customized programs, the virus was
  280. >inserted in brand-name software and later sold to American tourists.
  281. >Because these customers often exchanged disks or made bootleg copies
  282. >for friends, the virus spread to nearly 100,000 floppy disks, often
  283. >wiping out data.
  284.  
  285. I don't know where the number came from. The story differs
  286. significantly from what has been reported by others.
  287.  
  288. >...
  289. >
  290. >The media blitz following the November 1988 epidemic affecting users
  291. >of the low-security InterNet message exchange network turned a hacker
  292. >into a celebrity and spawned a score of imitators. Some of these
  293. >hackers even broke into the same network less than a month after the
  294. >earlier incident. Apparently network users were circulating
  295. >information on methods to prevent unauthorized access, and
  296. >inadvertently tipped off hackers to the formula for plugging into
  297. >unprotected networks.
  298. >
  299. >Shared information networks such a InterNet are designed for easy
  300. >access and are more susceptible to a virus that those providing
  301. >sensitive information.  Even though these networks are harder to
  302. >penetrate because of the complex series of access codes or passwords,
  303. >computer experts believe that no system or network is virus-proof.
  304. >``There is always an entry point, even in a diskless system with no
  305. >outside connection,'' explains Del Jones, president, National LAN
  306. >Laboratory...
  307.  
  308. No comment.
  309.  
  310. >...
  311. >
  312. >Computer security methods vary. Perhaps the most drastic is turning
  313. >off a machine and leaving it off. Another alternative is disconnecting
  314. >it from telephone lines. Securing operations by restricting or
  315. >monitoring computers and their facilities access is a more reasonable
  316. >means of protection which many organizations have adopted. ``Companies
  317. >are not afraid of virus attack, but of using system use,'' said Mr.
  318. >David.
  319. >
  320. >An infected computer can be costly. According to the Computer Virus
  321. >Industry Assn., an organization made up of software manufacturers who
  322. >make anti-virus products, the cost to clean up last November's
  323. >InterNet virus was estimated at about $96 million. Of 50,000 possible
  324. >computers, 6200 were infected and shut down for nearly 16 hours. The
  325. >group says it took an average of 12 programmers at each site some 36
  326. >hours to evaluate every compute that may have been infected. The cost
  327. >of each immobilized computer was put at $372 per hour, the association
  328. >reported.
  329.  
  330. Somebody ought to do something about this CVIA. As far as I know, 6000
  331. was a very rough estimate. All these exact numbers look very
  332. suspicious.
  333.  
  334. >...
  335. >
  336. >The past five months have seen heavy interest in anti-viral products.
  337. >After last year's highly-publicized incident, manufacturers of these
  338. >programs experiences as much as a 50% sales increase.
  339. >
  340. >Some 30 products are available, ranging from detective programs which
  341. >screen software for viruses, to recovery/corrective products which
  342. >help a system recover from a virus attack by purging it. These
  343. >programs cost from $10 to several hundred dollars.
  344.  
  345. That's unfortunate, since most of them are worthless/harmful.
  346.  
  347. >...
  348. >
  349. >Some programs require users to boot-up once in the morning, others
  350. >require this more frequently. ``The more checking you do, the more
  351. >secure you are,'' said Mr. David, ''and if you get protection that
  352. >costs five minutes of time in the morning, it's worth it.''
  353. >
  354. >According to Mr. DeMartin, programs used the most often should be
  355. >checked frequently. One such product checks for any program
  356. >modification and also indicates direct human tampering, hard disk
  357. >errors and operating system failures. Mr. DeMartin believes that a
  358. >virus deserves its own protection mechanism because all previous
  359. >computer diseases could be cured by yesterdays back-up tape.
  360.  
  361. Again, meaningless use of buzzwords.
  362.  
  363. >...
  364. >
  365. >                Sidebar: How to Reduce the Risk of Infection
  366. >
  367. >All software should be purchased from known, reputable sources and be
  368. >in its original shrink-wrap or sealed diskette containers when
  369. >received.
  370. >
  371. >New software should be reviewed carefully by a system manager and
  372. >quarantined on an isolated computer before installation on a
  373. >distributed system. This will reduce the risk of contamination.
  374. >
  375. >A back-up copy of software and data should be made at least one a
  376. >month, with the back-up copy stored for at least one year before
  377. >reuse. This will allow restoration of a system that has been
  378. >contaminated by a ``time-released'' virus. A plan that includes
  379. >``grandfathered'' rotation of back-up copies will further reduce risk.
  380. >
  381. >System administrators should restrict access to programs and data on a
  382. >``need-to-use'' basis. This isolates problems and facilitates
  383. >diagnosis.
  384. >
  385. >Many ``shareware'' and ``freeware'' programs are invaluable
  386. >applications.  However, they are the prime entry point for system
  387. >viruses. Skeptical review of such programs is prudent. Also, extended
  388. >preliminary quarantine is essential before introducing these programs
  389. >on a distributed system
  390. >
  391. >System managers should make plans for quick removal from service of
  392. >all copies of a suspect program, and immediately back up all related
  393. >data. These plans should be made known to users.
  394.  
  395. Meaningless buzzwords; apparently, this refers to networks rather than
  396. PCs.
  397.  
  398. I am not aware of any reliable statistics comparing the number of
  399. virus infections via shrink-wrapped software with that via software
  400. downloaded from bulletin boards. My personal estimate is that a
  401. shrink-wrapped disk, especially one from a large, badly managed
  402. company, is approximately 3 times as likely to be infected with a
  403. virus than a program picked at random from a reputable BBS.
  404.  
  405. - -DV
  406.  
  407. ------------------------------
  408.  
  409. End of VIRUS-L Digest
  410. *********************
  411.  
  412. Downloaded From P-80 International Information Systems 304-744-2253
  413.