home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.98 < prev    next >
Encoding:
Text File  |  1995-01-03  |  8.5 KB  |  209 lines
  1. VIRUS-L Digest              Monday, 24 Apr 1989         Volume 2 : Issue 98
  2.  
  3. Today's Topics:
  4. Re: CheckSum Methods of Virus Detection (PC)
  5. re: Information wanted on "Stoned" virus (PC)
  6. Write protecting a hard disk (Mac)
  7. Virus papers (finally) available on Lehigh LISTSERV
  8.  
  9. ---------------------------------------------------------------------------
  10.  
  11. Date:    Mon,  24 Apr 89 15:37:13 +0200
  12. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
  13. Subject: Re: CheckSum Methods of Virus Detection (PC)
  14.  
  15.   Peter Jaspers-Fayer (in Issue 93) mentioned that CHECKOUT does not
  16. checksum the boot sector.  It's strange, but despite the abundance of
  17. boot sector viruses, few checksum programs are any better in this
  18. respect than CHECKOUT.  In fact, of the over 20 such programs I have
  19. heard of for the PC, none of the freeware/shareware ones and not too
  20. many of the commercial ones checksum the boot sector.
  21.  
  22.   And even of those who are aware of the need to checksum the boot
  23. sector in addition to files, most seem to miss the fact that the
  24. *partition record* also contains code which is executed when booting
  25. from a hard disk.  And there's at least one virus (the "Stoned" or
  26. "Marijuana" virus, which apparently originated in New Zealand) which
  27. exploits this fact.  Note, by the way, that Len Levine's method (in
  28. Issue 95) of copying the content of the boot block to a file won't
  29. work in the case of the partition record since DEBUG can't access it.
  30.  
  31.   Concerning Len's solution for the boot block, he writes:
  32. >Note that a virus that affects every read made from the disk,
  33. >detects an attempt to read the boot block, and passes you a copy
  34. >of the good boot block instead of the infected one, will defeat
  35. >this.
  36.  
  37.   But that's only if the virus is already in memory.  You can avoid
  38. this problem by running the checksum program immediately after cold
  39. booting from a system which is known to be clean (as was mentioned
  40. recently by David Chess).
  41.  
  42.                                           Y. Radai
  43.                                           Hebrew Univ. of Jerusalem
  44.  
  45. ------------------------------
  46.  
  47. Date:    24 April 1989, 11:26:40 EDT
  48. From:    David M. Chess   <CHESS@YKTVMV.BITNET>
  49. Subject: re: Information wanted on "Stoned" virus (PC)
  50.  
  51. Tom Sheriff asked about this virus back on 4/17.  I've seen it, and
  52. done a certain amount of analysis.  It seems to infect both floppies
  53. and hard disks.  It captures INT13, and uses that to try to infect any
  54. floppies read or written in drive A: (BIOS 00).  If an infected floppy
  55. is used to boot a machine with a C: drive (BIOS 80), the c: drive will
  56. become infected.  If an infected floppy is booted at just the right
  57. time (it tests the system clock), the message (or at least the first
  58. sentence) is displayed on the screen before the boot occurs.  The
  59. message will not be displayed when booting from an infected hard disk.
  60.  
  61. The virus is rather lazy, and uses hard-wired locations to store the
  62. original boot record.  So it will overlay possibly-in-use tracks when
  63. it infects a new disk or diskette.  That's the only "destructive"
  64. behavior that I saw.  It makes no attempt to hide, and an infected
  65. boot record can be visually identified by the presence of the message.
  66. Automatic programs that watch for changes to boot sectors should have
  67. no trouble spotting it, either.
  68.  
  69. Usual disclaimers: the virus that I'm describing here may not be the
  70. same one you're infected with!!  Get a guru to analyze yours
  71. thoroughly before deciding that you're clean.  (If it *is* the same
  72. one I've seen, it'll be pretty simple to analyze...)
  73.  
  74. Dave Chess
  75. Watson Research
  76.  
  77. ------------------------------
  78.  
  79. Date:    Mon, 24 Apr 89 15:21:50 EDT
  80. From:    "Gregory E. Gilbert" <C0195@UNIVSCVM.BITNET>
  81. Subject: Write protecting a hard disk (Mac)
  82.  
  83. Is it possible to lock a Macintosh hard disk so as to protect it from
  84. an infection?
  85.  
  86. ------------------------------
  87.  
  88. Date:    Mon, 24 Apr 89 15:32:19 EDT
  89. From:    luken@ubu.cc.lehigh.edu (Kenneth R. van Wyk)
  90. Subject: Virus papers (finally) available on Lehigh LISTSERV
  91.  
  92. After much prodding, I've placed most of the virus papers that we've
  93. accumulated on the LISTSERV@LEHIIBM1.BITNET.  BITNET users can now
  94. obtain these files from LISTSERV (please don't send your requests to
  95. the list - it won't work).  Note that the series of reports on the
  96. Internet worm are not included on the LISTSERV, primarily for reasons
  97. of size (most of them exceed the BITNET limit of 300000 characters, as
  98. stated in the BITNET Usage Guidelines).
  99.  
  100. These files, as with the ones on lll-winken.llnl.gov, are also
  101. accessible via anonymous FTP to IBM1.CC.Lehigh.EDU.
  102.  
  103. Also, I was asked to include a description (or abstract) of each of
  104. the documents.  Here is what I have (along with filenames in CAPS), in
  105. no particular order:
  106.  
  107.  
  108. "Coping with Computer Viruses and Related Problems"
  109.                 by Steve R. White, David M. Chess, and Chengi Jimmy Kuo
  110.                    of IBM
  111.                 January 1989
  112.                 LISTSERV Filename: IBM PAPER
  113.  
  114. ABSTRACT: We discuss computer viruses and related problems.  Our
  115. intent is to help both executive and technical managers understand the
  116. problems that viruses pose, and to suggest practical steps they can
  117. take to help protect their computing systems.
  118.  
  119.  
  120.  
  121. "Developing Virus Identification Products"
  122.                 by Tim Sankary
  123.                 Copyright (c) 1989, all rights reserved.
  124.                 (April) 1989
  125.                 LISTSERV Filename: IDENTIFY TXT
  126.  
  127. DESCRIPTION: This paper presents techniques for virus identification.
  128.  
  129.  
  130.  
  131. "Net Hormones"
  132.                 by David S. Stodolsky, PhD. of Copenhagen University
  133.                 Copyright (c) 1989, all rights reserved.
  134.                 March 1989
  135.                 LISTSERV Filename: HORMONES NET
  136.  
  137. ABSTRACT: A new type of infection control mechanism based upon contact
  138. tracing is introduced. Detection of an infectious agent triggers an
  139. alerting response that propagates through an affected network. A
  140. result of the alert is containment of the infectious agent as all
  141. hosts at risk respond automatically to restrict further transmission
  142. of the agent.  Individually specified diagnostic and treatment methods
  143. are then activated to identify and destroy the infective agent. The
  144. title "Net Hormones" was chosen to indicate the systemic nature of
  145. this programmed response to infection.
  146.  
  147.  
  148.  
  149. "Computer Viruses: A Rational View"
  150.                 by Raymond M. Glath of RG Software Systems, Inc.
  151.                 April 1988.
  152.                 LISTSERV Filename: VIRUS GLATH
  153.  
  154. DESCRIPTION: This paper presents an overview of viruses and associated
  155. terminology.  It examines such topics as how one might become infected
  156. by a virus, and what to do if one does become infected.  It also sets
  157. guidelines for virus prevention and removal.
  158.  
  159.  
  160.  
  161. "The Infection of PC Compatible Computers"
  162.                 by Stephen E. Kiel and Raymond K. Lee of Georgia Tech
  163.                 Summer 1988.
  164.                 LISTSERV Filename: VIRUS KIEL
  165.  
  166. DESCRIPTION: The recent publicity over computer viruses has produced
  167. mixed reactions and much confusion inside, as well as outside, of the
  168. computing industry.  The conflicting opinions are caused either by a
  169. misunderstanding of what viruses are or a lack of understanding of
  170. their potential problems.  This paper answers those questions and in
  171. addition, gives a description of currently suggested methods for IBM
  172. PC's and compatibles for detecting, preventing, and eliminating
  173. viruses.  A highly technical discussion is not the objective, but
  174. rather a broad overview is given along with sources of additional
  175. information and assistance.
  176.  
  177.  
  178.  
  179. "Potential Virus Attack"
  180.                 by L. P. Levine of University of Wisconsin-Milwaukee
  181.                 September 1988
  182.                 LISTSERV Filename: VIRUS LEVINE
  183.  
  184. DESCRIPTION: This paper examines the vulnerability to viruses of Dr.
  185. Levine's computing environment and suggests methods for reducing its
  186. risk.
  187.  
  188.  
  189.  
  190. "Virus 101" (Chapters 1-4)
  191.                 by George Woodside
  192.                 March 1989
  193.                 LISTSERV Filenames: V101 1   V101 2   V101 3   V101 4
  194.  
  195. DESCRIPTION: This series of papers present an in-depth look at
  196. viruses, in the form of a virus "course" of four chapters.  Note that
  197. many of the author's statements are specific to his ATARI ST.
  198.  
  199.  
  200. Enjoy,
  201.  
  202. Ken
  203.  
  204. ------------------------------
  205.  
  206. End of VIRUS-L Digest
  207. *********************
  208. Downloaded From P-80 International Information Systems 304-744-2253
  209.