home *** CD-ROM | disk | FTP | other *** search

---

/ Almathera Ten Pack 3: CDPD 3 / Almathera Ten on Ten - Disc 3: CDPD3.iso / scope / 026-050 / scopedisk47 / virusx31 / irq.doc

< prev

next >

Wrap

Text File  |  1995-03-18  |  11KB  |  248 lines

---

1. JAN 1, 1989
2.  
3. The following is a compilation of several messages posted on USENET and BIX
4. regarding the new IRQ-Virus. The first messages assume it is not too 
5. dangerous, however the comments by Bob Page in the last sequence show that 
6. this is potentially the most lethal virus yet. Read this and LISTEN to the 
7. warnings. This is a VERY dangerous virus because it propogates faster than 
8. any other virus to date, and by a new method. With little modification this 
9. could become an extremely dangerous virus. It already will modify the DIR
10. command under certain circumstances and WILL crash a machine running
11. KickStart 1.3 either in ROM or from disk.  
12.  
13. I have included in this PAK file the UnHunk program from Fish #26. This 
14. can be used to examine the HUNK structure of any program. In order to use 
15. UnHunk, use this syntax;
16.  
17.                   UnHunk filename ram:FOO
18.  
19. This will do 2 things. Since UnHunk is a programmers tool, it will create a
20. file useless to most of you called ram:FOO. Delete this. It will also print
21. to the screen a HUNK structure listing of the program you are checking. If 
22. you UnHunk UnHunk itself, you get this;
23.  
24. Section    Origin      Size(bytes)
25.  CODE       0x0          16556 (0x40AC)
26.  DATA       0x40AC       2560 (0xA00)
27.  BSS        0x4AAC       812 (0x32C)
28. Done
29. 0 errors encountered
30.  
31. The important information is the size of the CODE and DATA hunks. If the
32. CODE hunk is about 1.1k and the DATA hunk is the size of the normal version
33. of the program, then the program is likely infected with the IRQ-Virus and 
34. MUST be replaced with an uninfected version. The program which has been 
35. confirmed to be infected is BlitzFonts, a text speedup program. Old 
36. versions are OK, but several copies which have been infected are already 
37. circulating. CHECK IT BEFORE USING IT!! The basic rules for survival seem 
38. to be;
39.  
40. 1.  KEEP YOUR DISKS WRITE PROTECTED!!
41. 2.  TURN OFF YOUR MACHINE FOR 1 MINUTE BEFORE BOOTING PROTECTED SOFTWARE!!
42. 3.  DO NOT MAKE ANY DISK BOOTABLE (by INSTALL-ing it) UNLESS ITS A         
43.     WORKBENCH!! Data disks which have been INSTALL-ed CAN spread viruses!!
44. 4.  Use the command "LIST >PRT: dirname" to print out listings of ALL the  
45.     C, Systems and Utilities directories of ALL your Workbench disks. I 
46.     KNOW its going to be inconvenient, but the change in file size is the 
47.     KEY to SURE protection. You MUST know the NORMAL sizes of ALL the 
48.     executable programs you own to know if the virus has modified them!!
49.     REMEMBER: ANYTHING you can run from the CLI or click from the Workbench
50.     is a possible carrier of the IRQ-Virus!! 
51. 5.  Place a <TAB> before the first command on your Startup-Sequence. This
52.     is the first command the virus tries to modify. This MUST be done to   
53.     ALL Startup-Sequences on your Workbenches!!
54. 6.  Be cautious of the C:DIR command since the IRQ-Virus will write itself 
55.     to this if it can't get past the <TAB> at the beginning of the 
56.     Startup-Sequence. Perhaps you could rename it?? (WORTH a TRY!!) 
57. 7.  Check ALL executable programs you get BEFORE you run them with UnHunk.
58. 8.  Get the LATEST version of VIRUSX (currently 2.1) and run it first in
59.     your Startup-Sequence (WITH a <TAB> in front of it, of course!).
60. 9.  Be extremely cautious of any graphic demo which doesn't use a "display"
61.     program to show it. I have seen MANY such demos which have destructive 
62.     IRQ-like "Trojan Horse" programs attached to them. While you're
63.     watching the neat animation or nude picture, it can plant a virus or 
64.     format disks!!
65. 10. DO NOT GET COMPLACENT BECAUSE YOU HAVE DONE 1 - 9!!! BE CAREFUL!!!!
66.     
67. BEWARE! 
68.  
69.                                      Terry Stetler
70.  
71.                                      See Ya in the BitStream :->
72.  
73. P.S. I have included the entire UnHunk.ZOO file in case anyone needs it for
74. its intended purpose. Later.
75.  
76.         Call the CHESS BOARD BBS 1-(313)-255-2456. 
77.  
78. ===========================================================================
79.  
80. New Year's Virus Report
81. Date: 1 Jan 89 00:08:28 GMT
82. Reply-To: grr@cbmvax.UUCP (George Robbins)
83. Organization: Commodore Technology, West Chester, PA
84.  
85. The following Virus report was posted on BIX today. My recollection is that
86. Steve is English, so perhaps this virus hasn't arrived here.  Still, be
87. warned and take the usual care with suspicious disks...
88.  
89. TITLE: New Virus
90. While I'm not 100% certain of all the details of what this virus does,
91. (I got it yesterday), I figure I should post this anyway.
92.  
93. (What I do say here, I'm quite certain of).
94.  
95. I recieved in the mail a new virus, from 2 different continents on the
96. same day.  This one's NOT just another bootblock virus.
97.  
98. This one affects executable programs.  It attaches itself to them.
99. But not just any executable (thankfully), what it does, is it parses
100. your startup-sequence looking for the first executable program there.
101. That's the one it hits.
102.  
103. It doesn't seem to be malicious in any way, though it will crash
104. your machine under KS 1.3.  It intercepts the OpenLibrary() call
105. (that's how it stays around- whenever OpenLibrary is called,
106. it again checks the startup sequence (thinking maybe a disk has
107. changed - it uses ":S/Startup-sequence" so it will go after any
108. SS on the current disk).  It also uses a KickTagPtr, but I'm
109. not sure what for yet.  Seems to take about 10 seconds longer
110. to boot, though.
111.  
112. Easy way to protect yourself from it:  Change your startup sequence on
113. any disk in any drive, so that the first character before the first
114. executable filename is a TAB.  The virus tries to Open() the whole line,
115. parses out a few characters, but not the tab.  Note that if you use a
116. pathname as in DH0:C/BLAH, and you put a tab in front, you'll get a
117. requester for [TAB]DH0:.  Just use [TAB]C/BLAH or whatever.
118.  
119. For those out there who have been safe from boot block viruses thus
120. far, well, this one you can get from a downloaded program.  Ick.
121. I'll be posting a little utility soon to check a program for this
122. specific virus.
123.  
124. (Also, last thing it does:  On it's first invocation in a session,
125. it will set the title bar of the ActiveWindow to it's name
126. (IRQ virus), and since it's running as the first thing in your
127. startup sequence, it's changing the intial CLI window's title.
128.  
129.       ...Steve
130.  
131. George Robbins - now working for,   uucp: {uunet|pyramid|rutgers}!cbmvax!grr
132. but no way officially representing  arpa: cbmvax!grr@uunet.uu.net
133. Commodore, Engineering Department   fone: 215-431-9255 (only by moonlite)
134.  
135. ============================================================================
136.  
137. Re: New Year's Virus Report
138. Date: 1 Jan 89 07:30:17 GMT
139. Reply-To: grr@cbmvax.UUCP (George Robbins)
140. Organization: Commodore Technology, West Chester, PA
141.  
142. More info from Steve Tibbett and co. and on the New Year's virus this 
143. evening:
144.  
145. From BIX:
146.  
147. ==========
148.  
149. One more item on the IRQ virus.  If it can't attack your Startup-Sequence
150. it will home in on C:DIR just to be sure that it gets executed.
151. This is a benign intruder that can mutate to something real nasty in the
152. hands of a sicko.  We have the start of a real problem here.
153. Djj
154.  
155. [ which is to say it will modify the dir command if it can't mess
156.   with the startup-sequence... ]
157.  
158. ==========
159.  
160. No, (I'm a bit rusty on this hunk stuff) I believe it sticks another code
161. hunk at the beginning of your program, about 1.1K, and when it's done
162. it's job, it calls your original program.
163.  
164. Note that if the first file in your startup sequence is over 100K
165. long, it won't infect it.  (big help, that... 8-)
166.  
167. I'm thinking of having an option in VirusX (or probably a separate
168. standalone utility) that would block any CMD_WRITE operation to a
169. disk device (and something that would just block Write() attempts),
170. and give the user a requester showing who asked for the Write, and
171. a Yes/No option.  Not much good for general use, but it would
172. help when checking out unknown programs.
173.  
174.  ...Steve
175.  
176. George Robbins - now working for,   uucp: {uunet|pyramid|rutgers}!cbmvax!grr
177. but no way officially representing  arpa: cbmvax!grr@uunet.uu.net
178. Commodore, Engineering Department   fone: 215-431-9255 (only by moonlite)
179.  
180. ============================================================================
181.  
182. Re: IRQ Virus -it's out!!!
183. Summary: It's very dangerous.  Please send me a copy.
184. Date: 31 Dec 88 04:58:00 GMT
185. Reply-To: page@swan.ulowell.edu (Bob Page)
186. Organization: University of Lowell, Computer Science Dept.
187.  
188. This one of the two potential methods of virus I was worried about
189. (and it's the worst of the two).
190.  
191. I guarantee this will spread much faster and wider than any other
192. Amiga virus.  This one is a *real* virus.  The only innoculation is to
193. check _every_ write to _every_ disk on your system, and refuse if the
194. block looks like a known pattern.  The only treatment is to check
195. every disk looking for the virus and re-write each infected program
196. to rearrange the hunks.  Time consuming and error-prone, and the
197. next strain will just restart the problem.
198.  
199. The fault with this approach is that you can't easily distribute the
200. antidote.  Since the innoculator program has to contain the virus code
201. pattern, any time you try to copy the program, you will be stopped
202. because the innoculator will detect the pattern!  And think about it -
203. if you can write a program such that you can copy the innoculator
204. program without being detected, anyone can come up with a similar
205. method to disguise the pattern.
206.  
207. Worse, they could go right to the metal and scribble the bits right on
208. the disk.  You can't stop that on the current Amiga.
209.  
210. There is another alternative, although not pretty, and not 100%
211. effective.  Make sure your disks are always 100% full, so any write
212. (that extends the file) will fail.  The problem is if the virus itself
213. can fit in a partial block - if your program takes 18.1 blocks it
214. takes 19 blocks on the disk.  If the virus code is only 0.8 blocks,
215. you can still get infected.
216.  
217. The *only* ways not to get it?
218.  
219.     1. Write protect all your disks and don't give them out. :-(
220.  
221.     2. Don't use any new software, commercial or public, unless
222.        you have source code and you *know* your compiler is OK.
223.  
224.     3. Don't let anyone else use your machine, or your disks.
225.  
226. Once again, we need to know where this is and how it works, if we are
227. to be successful in fighting it.  As a "publisher" of publicly
228. available code, I feel I have a stake in this.  If anyone has a copy
229. of this, please send it to me and I will write a disk scanner.  It's
230. not the ultimate answer but it's a start.  If anyone else has any
231. more info, please send it or post it if you feel it's worthwhile.
232.  
233. I don't want to push the panic button but I'm not happy about this news.
234. I just hope the virus doesn't contain any time bombs.
235.  
236. [I'm going on vacation in a few hours but am still very interested and
237. will be thinking a lot about it while baking in the sun. :-) If you
238. can't e-mail via Usenet/ARPAnet, you can email to 'page' on BIX or
239. 'zoxso' on people link, or surface mail to Bob Page, PO Box 1773,
240. Lowell MA 01853, USA.]
241.  
242. ..Bob
243.  
244. Bob Page, U of Lowell CS Dept.  page@swan.ulowell.edu  ulowell!page
245.  
246. ============================================================================
247.  
248.