home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.73 < prev    next >
Encoding:
Text File  |  1995-01-03  |  12.0 KB  |  284 lines
  1. VIRUS-L Digest             Tuesday, 28 Mar 1989         Volume 2 : Issue 73
  2.  
  3. Today's Topics:
  4. KillVirus Init (Mac)
  5. Transposing Virus (PC)
  6. Re: anti-virus recommendations
  7. UK Computer threat research association
  8.  
  9. ---------------------------------------------------------------------------
  10.  
  11. Date: Sun, 26 Mar 89 00:38:49 +0100
  12. From: David Stodolsky <stodol@diku.dk>
  13. Subject: KillVirus Init (Mac)
  14.  
  15. KillVirus Init for Mac
  16. "KillVirus", a startup document for the Mac, was found to be
  17. infected with "nVIR" by Interferon 3.1. The infection was
  18. confirmed by Virus Rx. The information box indicated its size
  19. to be "979 bytes used, 1K on disk". The creations date was
  20. "Tue, Sep 10, 1985, 10:08 AM", Modified "Tue, Mar 22, 1988,
  21. 9:14 AM". Version indicated "not available". The icon was a
  22. generic document.
  23.  
  24. The document was never used, just placed in my "Anti-virus"
  25. folder. I have deleted the document from my hard disk and
  26. taken no further action. I ran the checks after an attempt to
  27. start a shareware program "Concentration", which I thought
  28. was a game, caused a screen disruption, a buzz from speaker,
  29. and a system restart (Mac SE, System 6.0.2, Multi-finder
  30. 6.0.1. I had Vaccine version 1.0, without expert mode on.)
  31. When I tried to copy "Concentration" to a folder on
  32. the hard disk, I got an error, but my copy of the original (a
  33. whole disk copy) to another floppy disk had worked. An
  34. attempt to recopy the original back to the same floppy after
  35. deleting the game (and emptying the trash) gave a error
  36. indicating a failure on the target disk! Checking this disk
  37. with "Disk First Aid" found it to be OK. This made me think
  38. that a virus check of the disk was in order, but no virus was
  39. found on it. Later I tried another whole disk copy to the same
  40. target disk that failed with an "unknown error" message.
  41. After reinitializing the target disk a whole disk copy worked,
  42. and it was possible to move the Concentration application to
  43. a folder on the hard disk. An attempt to execute it again led to
  44. the system hanging, and I had to do a restart manually ( by
  45. pressing the programmer's key). I had rebuilt the desktop after
  46. the initial crash, so that might explain the different behavior.
  47. Or maybe it was because the Concentration application was run
  48. before any other application the last time I tried it.
  49.  
  50. Is this really an infection, or is "KillVirus" an init that
  51. happens to trigger both of these anti-virus programs?
  52.  
  53. ****************** Interferon Report *****************
  54.  
  55. Interferon 3.1 - Version of 16 May 88 - 1988 Robert
  56. Woodhead, Inc. - All Rights Reserved
  57.  
  58. - ------------ lines deleted----------------
  59.  
  60. (002) 04/07/88 "nVIR" Virus
  61.  
  62. - --------------lines deleted-------------------
  63.  
  64. Checking for viral infections on volume "HD0"
  65.  
  66. INFECTION: Type 002 virus detected in file:
  67. HD0:
  68. applications:
  69. Anti-viral:
  70. KillVirus
  71.  
  72. ALERT! Volume "HD0" may be infected!
  73. Consult listing to determine the details.
  74.  
  75. Interferon run completed!
  76. 2197 files were scanned, of which 207 had resource forks.
  77.  
  78. ******************** Virus Rx report **********************
  79.  
  80. Volume:    HD0
  81. Thursday, March 23, 1989   8:30 PM
  82. User:
  83. Virus Rx - v1.4a1
  84.  
  85. These files are infected with a known virus
  86. Remove these files from your disk
  87.  
  88. INIT ????  KillVirus  :applications:Anti-viral:
  89.   Last modified Tuesday, March 22, 1988 9:14 AM
  90.  
  91.  
  92. SUMMARY:
  93. ***** FATAL infected files: 1
  94.  
  95. !!!!! You appear to have a virus !!!!
  96. !!!!! Clean this volume          !!!!
  97. !!!!! See Virus Rx README        !!!!
  98.  
  99. ******************************************************
  100.  
  101. David Stodolsky                          diku.dk!stodol@uunet.UU.NET
  102. Department of Psychology                       Voice + 45 1 58 48 86
  103. Copenhagen Univ., Njalsg. 88                    Fax. + 45 1 54 32 11
  104. DK-2300 Copenhagen S, Denmark                         stodol@DIKU.DK
  105.  
  106. ------------------------------
  107.  
  108. Date:         Sun, 26 Mar 1989 00:52:18 EST
  109. From:         Steve <XRAYSROK@SBCCVM.BITNET>
  110. Subject:      Transposing Virus (PC)
  111.  
  112. Ross M. Greenberg wrote about a virus that randomly tranposed
  113. characters but kept track of all the transpositions in a hidden file
  114. called BUG.DAT:
  115.  
  116. >                                .
  117. >                                .
  118. >                                .
  119. >The virus, after spreading to all .COM and .EXE files in the current
  120. >directory, would look for an open operation on a .DBF file.  All
  121. >writes to the file would have two bytes transposed at random. These
  122. >bytes' offsets were stored in a file called "BUG.DAT" (a hidden file)
  123. >in the .DBF's directory.  Subsequent reads of this data would cause
  124. >the transposition of the same data, and everything would look nifty.
  125. >After this code had run for 90 days (after the BUG.DAT file was 90
  126. >days old), it would trash the disk (eat the FAT and root directory).
  127. >
  128. >Getting rid of the virus wasn't difficult: just copy in new
  129. >executables from your backup.  However! If you did this, your data is
  130. >history - nothing to transpose it back into "real" form.
  131.  
  132. Just some comments:
  133.  
  134.    So the virus must keep all the .DBF file names and all their
  135. transposed characters in the file called BUG.DAT?  It seems to me that
  136. if you made the mistake of getting rid of the infected *.EXE file it
  137. wouldn't be a disaster because you'd probably still have the hidden
  138. file BUG.DAT somewhere and could always recreate the infected file
  139. (provided you had or could import another file infected with the
  140. virus).
  141.  
  142.    All this brings up a good point: If one day I found that my
  143. computer was infected with a virus, *before doing anything*, I'd first
  144. make a backup of all the files on my disk (hidden files too!).  Then
  145. I'd try to verify that all my data files (anything that wasn't an .exe
  146. or .com file) on the backup were identical to the originals on the
  147. main disk and hopefully intact.  Then I'd go to work trying to
  148. eliminate the infection.  If something went wrong, then I'd still have
  149. my backup.  This is reasonably safe unless one encounters a virus like
  150. the one Ross describes, only which hides the transposed-character
  151. information in a file in a sector marked bad (even though it isn't
  152. bad), and then (for example) you reformat the original disk (a
  153. disaster because you'd lose BUG.DAT).  So, though it's more trouble,
  154. it's always safer to "uninfect" a copy of your infected disk if
  155. possible.
  156.  
  157.    Finally, if you're really unlucky and the virus contains a bomb, it
  158. could blow still blow up before you get all your files "un-transposed"
  159.  
  160.  
  161.  
  162. Steven C. Woronick     | Disclaimer:  Always check it out for yourself...
  163. Physics Dept.          |
  164. SUNY at                |
  165. Stony Brook, NY  11794 |
  166. Acknowledge-To: <XRAYSROK@SBCCVM>
  167.  
  168. ------------------------------
  169.  
  170. Date:         Mon, 27 Mar 89 14:17:59 EST
  171. From:         Neil Goldman <NG44SPEL@MIAMIU.BITNET>
  172. Subject:      Re: anti-virus recommendations
  173.  
  174. Roman Olynyk provides us with the anti-virus recommendations from
  175. Computer World.  There is one with which I disagree (to an extent).
  176.  
  177. In regard to shareware and PD software, I do believe that users should
  178. be cautioned that they are the primary (though not exclusive) source
  179. of viruses do to their widespread availability.  As you are all aware,
  180. users will obtain a copy from a friend, business associate, or even a
  181. bulletin board.  Since in the first two, and periodically in the
  182. third, no controls exist to prevent the corruption of the product from
  183. its original form (which for the sake of argument I assume did not
  184. have any malicious intent).
  185.  
  186. However, I do not believe that an end to PD and shareware is called
  187. for.  In the vast majority of cases, they are excellent products,
  188. often rivaling their industry-marketed counterparts.
  189.  
  190. As an alternative to the Computer World suggestion, I recommend that
  191. IF users want to take advantage of this software, they should contact
  192. the ORIGINAL AUTHOR for a copy.  Presumably, his product is
  193. *uncorrupted*.  Then, if a virus does then become introduced into your
  194. system and you have documented the source of all data and programs
  195. existing on your system, the source of the virus is determinable.  Or
  196. rather, no virus *should* infect the system to begin with.
  197.  
  198. ***************************************************************
  199. *Neil A. Goldman                        NG44SPEL@MIAMIU.BITNET*
  200. *                                                             *
  201. *   Replies, Concerns, Disagreements, and Flames expected     *
  202. *    Mastercard, Visa, and American Express not accepted      *
  203. ***************************************************************
  204. Acknowledge-To: <NG44SPEL@MIAMIU>
  205.  
  206. ------------------------------
  207.  
  208. Date:       Tue, 28 Mar 89 10:33:16 BST
  209. From:       David.J.Ferbrache <davidf@CS.HW.AC.UK>
  210. Subject:    UK Computer threat research association
  211.  
  212. For those of you interested an umbrella organisation has been
  213. established in the UK to co-ordinate information on, and research into
  214. all aspects of computer security. In the first instance one of the
  215. organisations primary concerns will be combatting the threat posed by
  216. computer viruses by acting as a clearing house for virus information
  217. and control software.
  218.  
  219. Below is a copy of an initial letter mailed to prospective members:
  220.  
  221.             The Computer Threat Research Association
  222.  
  223. The computer threat research association, CoTra is a non-profit making
  224. organisation that exists to research, analyse, publicise and find
  225. solutions for threats to the integrity and reliability of computer
  226. systems.
  227.  
  228. The issue that caused the formation of CoTra was the rise of the
  229. computer virus. This problem has since become surrounded by fear,
  230. uncertainty and doubt. To the average user the computer virus and its
  231. implications are a worry of an unknown scale. To a few unfortunates
  232. whose systems have become a critical issue.
  233.  
  234. The key advantage of CoTra membership will be access to advice and
  235. information.  Advice will be provided through publications, an
  236. electronic conference (a closed conference for CoTra's members has
  237. been created on the Compulink CIX system) as well as other channels
  238. such as general postings direct to members when a new virus is
  239. discovered.
  240.  
  241. CoTra membership will be available on a student, full or corporate
  242. member basis. All software that is held by CoTra that enhances system
  243. reliability, such as virus detection and removal software, will be
  244. available to all members. It is intended to establish discounts with
  245. suppliers of reliability tools and services. A library of virus
  246. sources and executables and other dangerous research material will be
  247. made available to members who have a demonstrable need.
  248.  
  249. A register of consultants who have specific skills in the systems
  250. reliability field will be published by CoTra and reviews of
  251. reliability enhancing software will be produced.
  252.  
  253. Your support of CoTra will ensure that you have the earliest and most
  254. accurate information about potential threats to your computer systems.
  255.  
  256. CoTra, The computer threat research association,
  257. c/o 144 Sheerstock, Haddenham, Bucks. HP17 8EX
  258.  
  259. - ----------------------------------------------------------------------------
  260.  
  261. Part of the organisations aims is to establish reciprocal links with
  262. other similar organisations worldwide to facilitate the sharing of
  263. experience and rapid flow of information on new threats.
  264.  
  265. To this end if you are involved in, or have contacts with, a similar
  266. organisation in your country, please write to CoTra (or by email to
  267. me, and I will forward your correspondence) outlining your
  268. organisation and its aims.
  269.  
  270. Yours sincerely
  271.  
  272. - -------------------------------------------------------------------------
  273. Dave Ferbrache                         Personal mail to:
  274. Dept of computer science               Internet <davidf@cs.hw.ac.uk>
  275. Heriot-Watt University                 Janet    <davidf@uk.ac.hw.cs>
  276. 79 Grassmarket                         UUCP     ..!mcvax!hwcs!davidf
  277. Edinburgh,UK. EH1 2HJ                  Tel      (UK) 031-225-6465 ext 553
  278.  
  279. ------------------------------
  280.  
  281. End of VIRUS-L Digest
  282. *********************
  283.  
  284. Downloaded From P-80 International Information Systems 304-744-2253
  285.