home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ciac_c17.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  6.1 KB
  1. From: karyn@cheetah.llnl.gov (Karyn Pichnarczyk)
  2. Newsgroups: comp.virus
  3. Subject: CIAC Bulletin C-17: MBDF A on Macintosh (Mac)
  4.  
  5.  
  6.                NO RESTRICTIONS
  7.         _____________________________________________________
  8.              The Computer Incident Advisory Capability
  9.                          ___  __ __    _     ___
  10.                         /       |     / \   /
  11.                         \___  __|__  /___\  \___
  12.         _____________________________________________________
  13.                            INFORMATION BULLETIN
  14.  
  15.            New Virus on Macintosh Computers: MBDF A
  16.  
  17. February 25, 1992, 1130 PST                    Number C-17
  18.  
  19. ________________________________________________________________________
  20. NAME:     MBDF A virus
  21. PLATFORM: Macintosh computers-except MacPlus and SE (see below)
  22. DAMAGE:   May cause program crashes
  23. SYMPTOMS: Claris applications indicate they have been altered; some
  24.           shareware may not work, unexplained system crashes
  25. DETECTION &
  26. ERADICATION: Disinfectant 2.6,Gatekeeper 1.2.4, Virex 3.6,
  27.              VirusDetective 5.0.2, Rival 1.1.10, SAM 3.0
  28. ________________________________________________________________________
  29.              Critical Facts about MBDF A
  30.  
  31. A new Macintosh virus, MBDF A, (named for the resource it exploits)
  32. has been discovered.  This virus does not appear to maliciously cause
  33. damage, but simply copies itself from one application to another.
  34. MBDF A was discovered at two archive sites in newly posted game
  35. applications, and has a high potential to be very widespread.
  36.  
  37. Infection Mechanism
  38.  
  39. This virus is an "implied loader" virus, and it works in a similar
  40. manner to other implied loader viruses such as CDEF and MDEF.  Once
  41. the virus is active, clean appliacation programs will become infected
  42. as soon as they are executed.  MBDF A infects only applications, and
  43. does not affect data files.  This virus replicates under both System 6
  44. and System 7.  While MBDF A may be present on ALL types of Macintosh
  45. systems, it will not spread if the infected system is a MacPlus or a
  46. Mac SE (although it does spread on an SE/30).
  47.  
  48. Potential Damage
  49.  
  50. The MBDF A virus has no malicious damaging characteristics, however,
  51. it may cause programs to inexplicably crash when an item is selected
  52. from the menu bar.  Some programs, such as the shareware
  53. "BeHierarchic" program, have been reported to not operate correctly
  54. when infected.  Applications written with self-checking code, such as
  55. those written by the Claris corporation, will inform the user that
  56. they have been altered.
  57.  
  58. When MBDF A infects the system file, it must re-write the entire
  59. system file back to disk; this process may take two or three minutes.
  60. If the user assumes the system has hung, and reboots the Macintosh
  61. while this is occuring, the entire system file will be corrupted and
  62. an entire reload of system software must then be performed.
  63.  
  64. This virus can be safely eradicated from most infected programs,
  65. although CIAC recommends that you restore all infected files from an
  66. uninfected backup.
  67.  
  68. Detection and Eradication
  69.  
  70. Because MBDF A has been recently discovered, only anti-viral packages
  71. updated since February 20, 1992 will locate and eradicate this virus.
  72. All the major Macintosh anti-viral product vendors are aware of this
  73. virus and have scheduled updates for their products.  These updates
  74. have all been available since February 24, 1992.  The updated versions
  75. of some products are Disinfectant 2.6, Gatekeeper 1.2.4, Virex 3.6,
  76. SAM 3.0, VirusDetective 5.0.2, and Rival 1.1.10.  Some Macintosh
  77. applications (such as the Claris software mentioned above) may contain
  78. self-verification procedures to ensure the program is valid before
  79. each execution; these programs will note unexpected alterations to
  80. their code and will inform the user.
  81.  
  82. MBDF A has been positively identified as present in two shareware
  83. games distributed by reliable archive sites: "Obnoxious Tetris" and
  84. "Ten Tile Puzzle".  The program "Tetricycle" (sometimes named
  85. "Tetris-rotating") is a Trojan Horse program which installs the virus.
  86. If you have downloaded these or any other software since February 14,
  87. 1992 (the day these programs were loaded to the archive sites), CIAC
  88. recommends that you acquire an updated version of an anti-viral
  89. product and scan your system for the existence of MBDF A.
  90.  
  91. For additional information or assistance, please contact CIAC:
  92.  
  93.     Karyn Pichnarczyk
  94.     (510) 422-1779 or (FTS) 532-1779
  95.     karyn@cheetah.llnl.gov
  96.  
  97. Call CIAC at (510)422-8193/(FTS)532-8193.
  98. Send e-mail to ciac@llnl.gov
  99.  
  100. PLEASE NOTE: Many users outside of the DOE and ESnet computing
  101. communities receive CIAC bulletins.  If you are not part of these
  102. communities, please contact your agency's response team to report
  103. incidents.  Some of the other teams include the NASA NSI response
  104. team, DARPA's CERT/CC, NAVCIRT, and the Air Force response team.  Your
  105. agency's team will coordinate with CIAC.
  106.  
  107. CIAC would like to thank Gene Spafford and John Norstad, who provided
  108. some of the information used in this bulletin.  This document was
  109. prepared as an account of work sponsored by an agency of the United
  110. States Government.  Neither the United States Government nor the
  111. University of California nor any of their employees, makes any
  112. warranty, express or implied, or assumes any legal liability or
  113. responsibility for the accuracy, completeness, or usefulness of any
  114. information, apparatus, product, or process disclosed, or represents
  115. that its use would not infringe privately owned rights.  Reference
  116. herein to any specific commercial products, process, or service by
  117. trade name, trademark, manufacturer, or otherwise, does not
  118. necessarily constitute or imply its endorsement, recommendation or
  119. favoring by the United States Government or the University of
  120. California.  The views and opinions of authors expressed herein do not
  121. necessarily state or reflect those of the United States Government or
  122. the University of California, and shall not be used for advertising or
  123. product endorsement purposes.
  124.  
  125. --- Fred-Uf 1.8(L)[BETA]
  126.  * Origin: Megabyte BBS, UUCP, Fidonet, IMEx, total messaging (1:340/201.0)
  127. SEEN-BY: 340/201 1000 688/13
  128.