home *** CD-ROM | disk | FTP | other *** search
/ Club Amiga de Montreal - CAM / CAM_CD_1.iso / files / 198.lha / VirusX_v3.1 / IRQ.doc < prev    next >
Encoding:
Text File  |  1988-12-28  |  10.9 KB  |  248 lines
  1. JAN 1, 1989
  2.  
  3. The following is a compilation of several messages posted on USENET and BIX
  4. regarding the new IRQ-Virus. The first messages assume it is not too 
  5. dangerous, however the comments by Bob Page in the last sequence show that 
  6. this is potentially the most lethal virus yet. Read this and LISTEN to the 
  7. warnings. This is a VERY dangerous virus because it propogates faster than 
  8. any other virus to date, and by a new method. With little modification this 
  9. could become an extremely dangerous virus. It already will modify the DIR
  10. command under certain circumstances and WILL crash a machine running
  11. KickStart 1.3 either in ROM or from disk.  
  12.  
  13. I have included in this PAK file the UnHunk program from Fish #26. This 
  14. can be used to examine the HUNK structure of any program. In order to use 
  15. UnHunk, use this syntax;
  16.  
  17.                   UnHunk filename ram:FOO
  18.  
  19. This will do 2 things. Since UnHunk is a programmers tool, it will create a
  20. file useless to most of you called ram:FOO. Delete this. It will also print
  21. to the screen a HUNK structure listing of the program you are checking. If 
  22. you UnHunk UnHunk itself, you get this;
  23.  
  24. Section    Origin      Size(bytes)
  25.  CODE       0x0          16556 (0x40AC)
  26.  DATA       0x40AC       2560 (0xA00)
  27.  BSS        0x4AAC       812 (0x32C)
  28. Done
  29. 0 errors encountered
  30.  
  31. The important information is the size of the CODE and DATA hunks. If the
  32. CODE hunk is about 1.1k and the DATA hunk is the size of the normal version
  33. of the program, then the program is likely infected with the IRQ-Virus and 
  34. MUST be replaced with an uninfected version. The program which has been 
  35. confirmed to be infected is BlitzFonts, a text speedup program. Old 
  36. versions are OK, but several copies which have been infected are already 
  37. circulating. CHECK IT BEFORE USING IT!! The basic rules for survival seem 
  38. to be;
  39.  
  40. 1.  KEEP YOUR DISKS WRITE PROTECTED!!
  41. 2.  TURN OFF YOUR MACHINE FOR 1 MINUTE BEFORE BOOTING PROTECTED SOFTWARE!!
  42. 3.  DO NOT MAKE ANY DISK BOOTABLE (by INSTALL-ing it) UNLESS ITS A         
  43.     WORKBENCH!! Data disks which have been INSTALL-ed CAN spread viruses!!
  44. 4.  Use the command "LIST >PRT: dirname" to print out listings of ALL the  
  45.     C, Systems and Utilities directories of ALL your Workbench disks. I 
  46.     KNOW its going to be inconvenient, but the change in file size is the 
  47.     KEY to SURE protection. You MUST know the NORMAL sizes of ALL the 
  48.     executable programs you own to know if the virus has modified them!!
  49.     REMEMBER: ANYTHING you can run from the CLI or click from the Workbench
  50.     is a possible carrier of the IRQ-Virus!! 
  51. 5.  Place a <TAB> before the first command on your Startup-Sequence. This
  52.     is the first command the virus tries to modify. This MUST be done to   
  53.     ALL Startup-Sequences on your Workbenches!!
  54. 6.  Be cautious of the C:DIR command since the IRQ-Virus will write itself 
  55.     to this if it can't get past the <TAB> at the beginning of the 
  56.     Startup-Sequence. Perhaps you could rename it?? (WORTH a TRY!!) 
  57. 7.  Check ALL executable programs you get BEFORE you run them with UnHunk.
  58. 8.  Get the LATEST version of VIRUSX (currently 2.1) and run it first in
  59.     your Startup-Sequence (WITH a <TAB> in front of it, of course!).
  60. 9.  Be extremely cautious of any graphic demo which doesn't use a "display"
  61.     program to show it. I have seen MANY such demos which have destructive 
  62.     IRQ-like "Trojan Horse" programs attached to them. While you're
  63.     watching the neat animation or nude picture, it can plant a virus or 
  64.     format disks!!
  65. 10. DO NOT GET COMPLACENT BECAUSE YOU HAVE DONE 1 - 9!!! BE CAREFUL!!!!
  66.     
  67. BEWARE! 
  68.  
  69.                                      Terry Stetler
  70.  
  71.                                      See Ya in the BitStream :->
  72.  
  73. P.S. I have included the entire UnHunk.ZOO file in case anyone needs it for
  74. its intended purpose. Later.
  75.  
  76.         Call the CHESS BOARD BBS 1-(313)-255-2456. 
  77.  
  78. ===========================================================================
  79.  
  80. New Year's Virus Report
  81. Date: 1 Jan 89 00:08:28 GMT
  82. Reply-To: grr@cbmvax.UUCP (George Robbins)
  83. Organization: Commodore Technology, West Chester, PA
  84.  
  85. The following Virus report was posted on BIX today. My recollection is that
  86. Steve is English, so perhaps this virus hasn't arrived here.  Still, be
  87. warned and take the usual care with suspicious disks...
  88.  
  89. TITLE: New Virus
  90. While I'm not 100% certain of all the details of what this virus does,
  91. (I got it yesterday), I figure I should post this anyway.
  92.  
  93. (What I do say here, I'm quite certain of).
  94.  
  95. I recieved in the mail a new virus, from 2 different continents on the
  96. same day.  This one's NOT just another bootblock virus.
  97.  
  98. This one affects executable programs.  It attaches itself to them.
  99. But not just any executable (thankfully), what it does, is it parses
  100. your startup-sequence looking for the first executable program there.
  101. That's the one it hits.
  102.  
  103. It doesn't seem to be malicious in any way, though it will crash
  104. your machine under KS 1.3.  It intercepts the OpenLibrary() call
  105. (that's how it stays around- whenever OpenLibrary is called,
  106. it again checks the startup sequence (thinking maybe a disk has
  107. changed - it uses ":S/Startup-sequence" so it will go after any
  108. SS on the current disk).  It also uses a KickTagPtr, but I'm
  109. not sure what for yet.  Seems to take about 10 seconds longer
  110. to boot, though.
  111.  
  112. Easy way to protect yourself from it:  Change your startup sequence on
  113. any disk in any drive, so that the first character before the first
  114. executable filename is a TAB.  The virus tries to Open() the whole line,
  115. parses out a few characters, but not the tab.  Note that if you use a
  116. pathname as in DH0:C/BLAH, and you put a tab in front, you'll get a
  117. requester for [TAB]DH0:.  Just use [TAB]C/BLAH or whatever.
  118.  
  119. For those out there who have been safe from boot block viruses thus
  120. far, well, this one you can get from a downloaded program.  Ick.
  121. I'll be posting a little utility soon to check a program for this
  122. specific virus.
  123.  
  124. (Also, last thing it does:  On it's first invocation in a session,
  125. it will set the title bar of the ActiveWindow to it's name
  126. (IRQ virus), and since it's running as the first thing in your
  127. startup sequence, it's changing the intial CLI window's title.
  128.  
  129.       ...Steve
  130.  
  131. George Robbins - now working for,   uucp: {uunet|pyramid|rutgers}!cbmvax!grr
  132. but no way officially representing  arpa: cbmvax!grr@uunet.uu.net
  133. Commodore, Engineering Department   fone: 215-431-9255 (only by moonlite)
  134.  
  135. ============================================================================
  136.  
  137. Re: New Year's Virus Report
  138. Date: 1 Jan 89 07:30:17 GMT
  139. Reply-To: grr@cbmvax.UUCP (George Robbins)
  140. Organization: Commodore Technology, West Chester, PA
  141.  
  142. More info from Steve Tibbett and co. and on the New Year's virus this 
  143. evening:
  144.  
  145. From BIX:
  146.  
  147. ==========
  148.  
  149. One more item on the IRQ virus.  If it can't attack your Startup-Sequence
  150. it will home in on C:DIR just to be sure that it gets executed.
  151. This is a benign intruder that can mutate to something real nasty in the
  152. hands of a sicko.  We have the start of a real problem here.
  153. Djj
  154.  
  155. [ which is to say it will modify the dir command if it can't mess
  156.   with the startup-sequence... ]
  157.  
  158. ==========
  159.  
  160. No, (I'm a bit rusty on this hunk stuff) I believe it sticks another code
  161. hunk at the beginning of your program, about 1.1K, and when it's done
  162. it's job, it calls your original program.
  163.  
  164. Note that if the first file in your startup sequence is over 100K
  165. long, it won't infect it.  (big help, that... 8-)
  166.  
  167. I'm thinking of having an option in VirusX (or probably a separate
  168. standalone utility) that would block any CMD_WRITE operation to a
  169. disk device (and something that would just block Write() attempts),
  170. and give the user a requester showing who asked for the Write, and
  171. a Yes/No option.  Not much good for general use, but it would
  172. help when checking out unknown programs.
  173.  
  174.  ...Steve
  175.  
  176. George Robbins - now working for,   uucp: {uunet|pyramid|rutgers}!cbmvax!grr
  177. but no way officially representing  arpa: cbmvax!grr@uunet.uu.net
  178. Commodore, Engineering Department   fone: 215-431-9255 (only by moonlite)
  179.  
  180. ============================================================================
  181.  
  182. Re: IRQ Virus -it's out!!!
  183. Summary: It's very dangerous.  Please send me a copy.
  184. Date: 31 Dec 88 04:58:00 GMT
  185. Reply-To: page@swan.ulowell.edu (Bob Page)
  186. Organization: University of Lowell, Computer Science Dept.
  187.  
  188. This one of the two potential methods of virus I was worried about
  189. (and it's the worst of the two).
  190.  
  191. I guarantee this will spread much faster and wider than any other
  192. Amiga virus.  This one is a *real* virus.  The only innoculation is to
  193. check _every_ write to _every_ disk on your system, and refuse if the
  194. block looks like a known pattern.  The only treatment is to check
  195. every disk looking for the virus and re-write each infected program
  196. to rearrange the hunks.  Time consuming and error-prone, and the
  197. next strain will just restart the problem.
  198.  
  199. The fault with this approach is that you can't easily distribute the
  200. antidote.  Since the innoculator program has to contain the virus code
  201. pattern, any time you try to copy the program, you will be stopped
  202. because the innoculator will detect the pattern!  And think about it -
  203. if you can write a program such that you can copy the innoculator
  204. program without being detected, anyone can come up with a similar
  205. method to disguise the pattern.
  206.  
  207. Worse, they could go right to the metal and scribble the bits right on
  208. the disk.  You can't stop that on the current Amiga.
  209.  
  210. There is another alternative, although not pretty, and not 100%
  211. effective.  Make sure your disks are always 100% full, so any write
  212. (that extends the file) will fail.  The problem is if the virus itself
  213. can fit in a partial block - if your program takes 18.1 blocks it
  214. takes 19 blocks on the disk.  If the virus code is only 0.8 blocks,
  215. you can still get infected.
  216.  
  217. The *only* ways not to get it?
  218.  
  219.     1. Write protect all your disks and don't give them out. :-(
  220.  
  221.     2. Don't use any new software, commercial or public, unless
  222.        you have source code and you *know* your compiler is OK.
  223.  
  224.     3. Don't let anyone else use your machine, or your disks.
  225.  
  226. Once again, we need to know where this is and how it works, if we are
  227. to be successful in fighting it.  As a "publisher" of publicly
  228. available code, I feel I have a stake in this.  If anyone has a copy
  229. of this, please send it to me and I will write a disk scanner.  It's
  230. not the ultimate answer but it's a start.  If anyone else has any
  231. more info, please send it or post it if you feel it's worthwhile.
  232.  
  233. I don't want to push the panic button but I'm not happy about this news.
  234. I just hope the virus doesn't contain any time bombs.
  235.  
  236. [I'm going on vacation in a few hours but am still very interested and
  237. will be thinking a lot about it while baking in the sun. :-) If you
  238. can't e-mail via Usenet/ARPAnet, you can email to 'page' on BIX or
  239. 'zoxso' on people link, or surface mail to Bob Page, PO Box 1773,
  240. Lowell MA 01853, USA.]
  241.  
  242. ..Bob
  243.  
  244. Bob Page, U of Lowell CS Dept.  page@swan.ulowell.edu  ulowell!page
  245.  
  246. ============================================================================
  247.  
  248.