home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / v05i001.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  19.6 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V5 #1
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Friday,  3 Jan 1992    Volume 5 : Issue 1
  9.  
  10. Today's Topics:
  11.  
  12. Novell Inadvertantly distributes virus with update (PC)
  13. Re: password program (PC)
  14. Central-Point Anti-Virus Question (PC)
  15. Re: DOS 5.0 FDISK, UNFORMAT and the wily MBR (PC)
  16. Re: PC problem - possible virus? (PC)
  17. Re: virus outbreak in central Virginia (PC)
  18. TBScan v3.1 (PC)
  19. Unknown Mac virus? (Mac)
  20. General questions about viruses
  21. Virus capable of infecting Mainframes and PCs
  22. New files on Risc (PC)
  23. VIRx v1.9 Is Released ! (PC)
  24.  
  25. VIRUS-L is a moderated, digested mail forum for discussing computer
  26. virus issues; comp.virus is a non-digested Usenet counterpart.
  27. Discussions are not limited to any one hardware/software platform -
  28. diversity is welcomed.  Contributions should be relevant, concise,
  29. polite, etc.  (The complete set of posting guidelines is available by
  30. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
  31. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
  32. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
  33. Information on accessing anti-virus, documentation, and back-issue
  34. archives is distributed periodically on the list.  Administrative mail
  35. (comments, suggestions, and so forth) should be sent to me at:
  36. krvw@CERT.SEI.CMU.EDU.
  37.  
  38.    Ken van Wyk
  39.  
  40. ----------------------------------------------------------------------
  41.  
  42. Date:    Fri, 20 Dec 91 12:02:34 -0800
  43. From:    karyn@cheetah.llnl.gov (Karyn Pichnarczyk)
  44. Subject: Novell Inadvertantly distributes virus with update (PC)
  45.  
  46. The following is an excerpt from CIAC bulletin C-11.  The infected
  47. distribution occurred ONLY on 5 1/4 inch diskettes.
  48.  
  49. Karyn Pichnarczyk
  50. - ---------------------
  51.  
  52. CIAC has learned that Novell, Inc. has inadvertently sent diskettes
  53. infected with the Stoned-3 virus to Novell Netware customers.  These
  54. diskettes are labelled "Network Support Encyclopedia - Standard Volume
  55. Update."  The Novell part number for these disks is 883-001495-004.
  56. Infected diskettes were distributed from December 9 - 16, 1991.
  57.  
  58. The Stoned-3 virus is a minor variation of the Stoned virus.  This
  59. virus infects the boot sector of a hard disk or diskette and will
  60. sometimes display the message:
  61.  
  62.     "Your PC is now Stoned!.....LEGALISE MARIJUANA!"
  63.  
  64. This virus becomes memory resident and will infect any other disks
  65. accessed by the PC while the virus is memory resident.  For additional
  66. information, please see CIAC bulletins A-28 for more information on
  67. the Stoned virus family, and B-16 for a summary of known viruses.
  68.  
  69. If you discover that the Stoned virus has infected your PC, it may be
  70. removed using the VIRHUNT package. CIAC also recommends that you
  71. follow a policy of scanning all new software before using or
  72. installing it on your PC.  This policy should be followed for all
  73. vendor-supplied shrink-wrapped software as well as bulletin board or
  74. shareware software, since a few other vendors have inadvertently
  75. distributed viruses with packaged software in the past.  CIAC
  76. recommends that if you are from a DOE site and are not already using
  77. an effective anti-viral scanner, you should contact your site's
  78. computer security department to obtain one. In addition, since new
  79. viruses are constantly being discovered, we recommend that you ensure
  80. that your anti-viral scanner has been updated to the most recent
  81. version.
  82.  
  83. For additional information or assistance, please contact CIAC:
  84.  
  85. Karen Pichnarczyk            Tom Longstaff
  86. (510)422-1779** or (FTS) 532-1779    (510)423-4416** or (FTS) 543-4416
  87. karyn@cheetah.llnl.gov            longstaf@llnl.gov
  88.  
  89. (FAX) (510) 423-8002** or (FTS) 543-8002
  90.  
  91. Send e-mail to ciac@llnl.gov or call CIAC at (510) 422-8193**/(FTS)532-8193.
  92.  
  93. **Note area code has changed from 415, although the 415 area code will
  94. work until Jan. 1992.
  95.  
  96. PLEASE NOTE:  Many users outside of the DOE and ESnet computing
  97. communities receive CIAC bulletins.  If you are not part of these
  98. communities, please contact your agency's response team to report
  99. incidents.  Some of the other teams include the NASA NSI response team,
  100. DARPA's CERT/CC, NAVCIRT, and the Air Force response team.  Your
  101. agency's team will coordinate with CIAC.
  102.  
  103. Neither the United States Government nor the University of California
  104. nor any of their employees, makes any warranty, expressed or implied,
  105. or assumes any legal liability or responsibility for the accuracy,
  106. completeness, or usefulness of any information, product, or process
  107. disclosed, or represents that its use would not infringe privately
  108. owned rights.  Reference herein to any specific commercial products,
  109. process, or service by trade name, trademark manufacturer, or
  110. otherwise, does not necessarily constitute or imply its endorsement,
  111. recommendation, or favoring by the United States Government or the
  112. University of California.  The views and opinions of authors expressed
  113. herein do not necessarily state or reflect those of the United States
  114. Government nor the University of California, and shall not be used for
  115. advertising or product endorsement purposes.
  116.  
  117. ------------------------------
  118.  
  119. Date:    19 Dec 91 17:54:38 +0000
  120. From:    bdrake@oxy.edu (Barry T. Drake)
  121. Subject: Re: password program (PC)
  122.  
  123. Another way to reset the CMOS is to disconnect the battery.
  124.  
  125. If it's a soldered-in NiCad, try draining it completely with a light bulb
  126. or other load (unless you *really* want to unsolder it).
  127.  
  128. - --Barry (bdrake@oxy.edu)
  129.  
  130. ------------------------------
  131.  
  132. Date:    Thu, 19 Dec 91 22:17:54 -0700
  133. From:    martin@cs.ualberta.ca (Tim Martin; FSO; Soil Sciences)
  134. Subject: Central-Point Anti-Virus Question (PC)
  135.  
  136. I gather that CPAV includes a "self-integrity check" routine that can
  137. be appended to files.  My question: is the size of this appendix
  138. constant, or does it vary?  I suspect it varies, in the range of 700 -
  139. 1000 bytes.  Can someone who knows the product please confirm or
  140. refute this?
  141.  
  142. Tim.
  143.  -------------------------------------------------------------
  144.   Tim Martin                 *
  145.   Soil Science               *     These opinions are my own:
  146.   University of Alberta      *        My employer has none!
  147.   martin@cs.ualberta.ca      *
  148.  -------------------------------------------------------------
  149.  
  150. ------------------------------
  151.  
  152. Date:    Fri, 20 Dec 91 18:34:00 +0200
  153. From:    Y. Radai <RADAI@HUJIVMS.BITNET>
  154. Subject: Re: DOS 5.0 FDISK, UNFORMAT and the wily MBR (PC)
  155.  
  156.   Padgett Peterson writes:
  157. >The new FDISK is not so well known but is just as effective for the
  158. >MBR if the cunningly named /MBR switch is used however you will not
  159. >find mention of this by typing FDISK /? or HELP FDISK. Nor could I
  160. >find it in the hologram-equipped manual that came with the software
  161. >from EggHead but it does seem to work in replacing the MBR code
  162. >section while maintaining the Partition-Table.
  163.  
  164. The /MBR parameter of FDISK is an undocumented feature of DOS 5 (both
  165. PC-DOS and MS-DOS) which replaces the code in the Master Boot Record
  166. with a clean copy, but leaves the Partition Table as is.  It is there-
  167. fore effective in removing MBR infections (provided that the virus has
  168. not modified the Partition Table). Although this feature was mentioned
  169. by Bill Arnold in Virus-L/comp.virus half a year ago and in the Virus
  170. Bulletin in its November issue, my experience is that very few people,
  171. even experienced virus fighters, know of its existence, and those who
  172. do  seem to be unaware that it can also be used on machines running
  173. DOS *prior to Ver. 5*.  All that is necessary is to find a (clean) DOS
  174. 5 system diskette, to copy FDISK.EXE from DOS 5 onto that diskette, to
  175. cold boot the infected machine from the diskette, and then to perform
  176. FDISK /MBR .  Works beautifully.
  177.  
  178.                                      Y. Radai
  179.                                      Hebrew Univ. of Jerusalem, Israel
  180.                                      RADAI@HUJIVMS.BITNET
  181.                                      RADAI@VMS.HUJI.AC.IL
  182.  
  183. ------------------------------
  184.  
  185. Date:    Sat, 21 Dec 91 23:10:50 -0800
  186. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  187. Subject: Re: PC problem - possible virus? (PC)
  188.  
  189. cci632!sjfc!od9425@ccicpg.irv.icl.com (Ogden Dumas) writes:
  190.  
  191. >     Question for all:  Is there a virus that can infect BOTH  PCs and
  192. > Mainframes?  The place where I am working is networking and I am trying to
  193. > find out what possible threats can arise from this.  Thanx.
  194.  
  195. The answer to your question is: yes and no.
  196.  
  197. No, there is no current PC virus which would "infect" mainframes in the 
  198. sense of being active in them.
  199.  
  200. However, in a networking situation, viral infections can spread "through" 
  201. the medium of a mainframe being used as a server.
  202.  
  203. Mainframe and network viri or worms may be able to infect PC's in the 
  204. net.  This is due to the more complex nature of mainframe viri, and the 
  205. use of "interpreters" in network machines.  One example is the 
  206. Morris/Internet?UNIX worm which contained "source" code in the most basic 
  207. form which would be interepretted by a number of different machines, as 
  208. well as "object" code for different machines it expected to encounter.  
  209. The CHRISTMA EXEC of a few years back relied strictly upon a common 
  210. interpretted language, REXX.  A PC version of REXX is available, and is 
  211. used in IBM based networks in order to assist in automating 
  212. communications between machines.
  213.  
  214. However, at present this type of situation is relatively rare.  For the 
  215. moment, infections crossing OS lines are extremely unlikely.
  216.  
  217.  
  218. ============= 
  219. Vancouver      p1@arkham.wimsey.bc.ca   | "Remember, by the
  220. Institute for  Robert_Slade@mtsg.sfu.ca |  rules of the game, I
  221. Research into  CyberStore               |  *must* lie.  *Now* do
  222. User            (Datapac 3020 8530 1030)|  you believe me?"
  223. Security       Canada V7K 2G6           |    Margaret Atwood
  224.  
  225. ------------------------------
  226.  
  227. Date:    23 Dec 91 09:48:39 +0000
  228. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  229. Subject: Re: virus outbreak in central Virginia (PC)
  230.  
  231. HAYES@urvax.urich.edu writes:
  232.  
  233. > Msg #:  3005                      MAIN
  234. >  From:  TOM HUFFMAN               Sent: 12-18-91 22:23
  235. >    To:  ALL                       Rcvd: 12-19-91 05:23
  236. >    Re:  DIR-2 WARNING!!!
  237.  
  238. > We have had a "slight" attack of the DIR-2 virus in the School of
  239. > Business at VCU.  We found the virus on almost 10-15 computers...  two
  240.  
  241. Sigh... :-(( It began to happen... With the source of this incredibly
  242. infectious virus published world-wide, what else do you expect?...
  243.  
  244. > We have McAfee's VSHIELD v84 on all the machines, but they never
  245. > detected the infections!  The virus was however found with version 85.
  246.  
  247. Hmm, strange... The original, as posted, was for a quite weird and
  248. unpopular assembler... (No, -not- A86.) If assembled with MASM/TASM,
  249. it will generate a variant of the virus (perfectly working, though).
  250. Maybe somebody already did this?
  251.  
  252. > This virus has already trashed several hard disks, which need to be
  253. > formatted because they're beyond help!!  Since this virus is
  254.  
  255. He must be kidding! No reformatting is necessary! Just reboot from a
  256. non-infected diskette; delete all executable files; and run CHKDSK/F
  257. on the infected machine. This way you'll lose only the executables,
  258. which you can restore from a clean backup...
  259.  
  260. Regards,
  261. Vesselin
  262. - -- 
  263. Vesselin Vladimirov Bontchev         Virus Test Center, University of Hamburg
  264. Bontchev@Informatik.Uni-Hamburg.De   Fachbereich Informatik - AGN, rm. 107 C
  265. Tel.:+49-40-54715-224, Fax: -246     Vogt-Koeln-Strasse 30, D-2000, Hamburg 54
  266.  
  267. ------------------------------
  268.  
  269. Date:    Thu, 01 Jan 70 00:00:00 +0000
  270. From:    djonge@isis.cs.du.edu (Denny de Jonge)
  271. Subject: TBScan v3.1 (PC)
  272.  
  273. I'm using Thunderbyte's TBScan v3.1, with virussignatures dated
  274. 14-nov-1991. If someone is interested I can post it here.
  275.  
  276.                     Denny
  277.  
  278. ------------------------------
  279.  
  280. Date:    Sun, 22 Dec 91 19:12:00 -0500
  281. From:    "dholland@husc10.harvard.edu"@HUSC3.HARVARD.EDU
  282. Subject: Unknown Mac virus? (Mac)
  283.  
  284.    A friend of mine was cleaning up his sister's Mac Classic today,
  285. and discovered and removed the CDEF virus using Disinfectant (2.5.1).
  286. He also installed Gatekeeper. Now, later on, we discovered that
  287. starting Microsoft Word generated a Gatekeeper alert; plus, the menus
  288. were printed in the wrong font. Furthermore, the System file was over
  289. 1 megabyte, with no DAs or fonts or anything else installed except for
  290. the standard ones that come with every Mac. Worst of all, the Grouch
  291. was deleted without warning from the System Folder while we were
  292. looking around.
  293.    Disinfectant still reported the system clean.
  294.  
  295.    I haven't been reading this group very regularly of late; is there a new
  296. Mac virus around? (The Mac in question has been at Brown lately.)
  297.  
  298.    Unfortunately, I don't have a sample: the computer is needed, so we did
  299. a low-level format and reinstalled everything from clean copies.
  300. - --
  301.    - David A. Holland            dholland@husc.harvard.edu
  302.  
  303.              Just say NO to vi.
  304.  
  305. ------------------------------
  306.  
  307. Date:    Sun, 22 Dec 91 02:56:48 +0000
  308. From:    nkjle@locus.com (John Elghani)
  309. Subject: General questions about viruses
  310.  
  311. Can someone help me with the following questions:
  312.  
  313. 1- A virus obviously is a program that is CPU bound, io bound, ..etc.
  314.   i.e. it occupies system's resources.  Some could probably delete
  315.   all files on a system? right?
  316. 2- How does it transfer across networks.  How does it know a phone number
  317.    (modem #) of a remote node.
  318. 3- How does it get tracked down.  By program name? if so, then what if
  319.    this virus changes its name? are we in trouble?
  320. 4- When it makes it to disk, how does it tell the Kernel that it wants
  321.   to run the system.  It it something like a daemon tht sleeps and
  322.   wakes up?
  323.  
  324.   Thanks in advance 
  325.  
  326.   jle
  327. - -- 
  328.  -----------------------------------------------------------------------------
  329.     The above is my own posting and has nothing to do with the opinion of
  330.             Locus Computing Corporation.
  331.  
  332. ------------------------------
  333.  
  334. Date:    Fri, 20 Dec 91 16:46:37 -0500
  335. From:    Arthur Gutowski <AGUTOWS@WAYNEST1.BITNET>
  336. Subject: Virus capable of infecting Mainframes and PCs
  337.  
  338. >Date:    Wed, 18 Dec 91 16:44:47 -0500
  339. >From:    cci632!sjfc!od9425@ccicpg.irv.icl.com (Ogden Dumas)
  340. >   Question for all:  Is there a virus that can infect BOTH  PCs and
  341. >Mainframes?  The place where I am working is networking and I am trying
  342. >to find out what possible threats can arise from this.
  343.  
  344. Not yet.  And I don't think there could be.  Not with the major differences
  345. between program execution, and for that matter, operation codes on these
  346. different platforms.  For example, X'D20750006000' in MVS translates to
  347. MVC 0(8,R5),0(,R6) which moves 8 bytes from a location pointed to by
  348. register 6 into a location pointed to by R5.  This hex string, even if
  349. it could be downloaded to a PC in its origional form without get translated
  350. by whatever protocol you happen to be using, is *probably* (I'm not a PC
  351. assembler guru) meaningless once it gets there.  The effort expended in
  352. trying to get something on a mainframe downloaded to a PC and executed there
  353. would be wasted.
  354.  
  355. Disclaimer:  Then again, I may have no idea what I'm talking about.
  356.  
  357. Arthur J. Gutowski
  358. MVS System Programmer and Virus Research Dabbler
  359. Wayne State University
  360. - ----------------------
  361. "We come into the world and take our chances
  362.  Fate is just the way of circumstances
  363.  That's the way that Lady Luck dances...
  364.  Roll the Bones..."                       -Neil Peart
  365.  
  366. ------------------------------
  367.  
  368. Date:    Fri, 20 Dec 91 09:37:07 -0600
  369. From:    James Ford <JFORD@UA1VM.BITNET>
  370. Subject: New files on Risc (PC)
  371.  
  372. The following files have been placed on risc.ua.edu (130.160.4.7) in the
  373. directory pub/ibm-antivirus:
  374.  
  375.         bootid.zip   - Identify a diskette's boot sector type ("hashcode")
  376.         checkout.zip - Display or check a diskette or Hashcode
  377.  
  378.         tbresc15.zip - Thunderbyte Anti-Virus Resque Boot Sector v1.5
  379.         tbscan30.zip - Thunderbyte Virus Scan v3.0, need VSyymmdd.ZIP
  380.         vs911114.zip - Virus signatures for HTSCAN/TBSCAN date 911114.
  381.  
  382.  
  383. Apparently, Novell has sent out diskettes infected with Stoned 3.  The
  384. origional text follows.......
  385. - ----------
  386.     User: "The mainframe is broke.  I can't get to my account!!"
  387. Helpdesk: "What exactly does your computer screen show now?"
  388.     User: "Wait a sec...hey, bring the candle over so I can read the screen."
  389. - ----------
  390.     James Ford - Consultant II, Seebeck Computer Center
  391.                  jford@ua1vm.ua.edu, jford@risc.ua.edu
  392.                  The University of Alabama in Tuscaloosa
  393.  
  394. ------------------------------
  395.  
  396. Date:    Fri, 20 Dec 91 23:37:55 +0000
  397. From:    trent@rock.concert.net (C. Glenn Jordan -- Microcom)
  398. Subject: VIRx v1.9 Is Released ! (PC)
  399.  
  400. p1@arkham.wimsey.bc.ca (Rob Slade) writes:
  401. >  ...VIRx 1.8 (by the way, Ross, where/when is 1.9?)...
  402.  
  403. OK, ok, Rob Slade !  Here it is !             :-) 
  404.  
  405.             VIRx version 1.9
  406.                         ----------------
  407.  
  408.   (Good things come to those who wait !)    :-)
  409.  
  410. Available on many FTP sites, Compuserve, FIDO-Net
  411. and the Virex Support BBS at (919) 419-1602 (V.32bis, MNP-10)
  412.  
  413. >From the original $TOC file:
  414.  
  415.  Length  Method   Size  Ratio   Date    Time   CRC-32  Attr  Name
  416.  ------  ------   ----- -----   ----    ----   ------  ----  ----
  417.     804  Implode    493  39%  12-17-91  00:00  2c496185 --w  $TOC
  418.    7129  Implode   2626  64%  12-17-91  00:00  505730b1 --w  VIREX.TXT
  419.   13184  Implode   5536  59%  12-17-91  00:00  f79005aa --w  README.VRX
  420.   99242  Implode  57351  43%  12-17-91  00:00  9d38dd54 --w  VIRX.EXE
  421.   13184  Implode   5135  62%  12-17-91  00:00  3065505b --w  WHATSNEW.19
  422.  ------          ------  ---                                 -------
  423.  133543           71141  47%                                       5
  424.  
  425.  
  426.            What's New In VIRx Version 1.9
  427.            ==============================
  428.  
  429. Date: 12/17/91
  430.  
  431.    1.  The licensing agreement for your usage of VIRx has been changed.
  432.    Individual and educational users need not concern themselves with the
  433.    change. For corporate and business users: VIRx may only be used within
  434.    your institution for a 30 day evaluation period.  If you wish to use
  435.    VIRx after that period, please contact Microcom, Inc. at (919)-490-1277
  436.    for information on a site license.  VIRx may not be bundled with other
  437.    products without a written agreement: contact Microcom for details.
  438.  
  439.    2.  VIRx 1.9 now detects 85 newly discovered viruses, bringing the total
  440.    count to 649, plus innumerable variants.
  441.  
  442.    3.  There is a known problem with occasional V2P6 false positives.  If
  443.    you encounter a file that VIRx indicates contains the V2P6 virus, please
  444.    leave a message on Microcom's BBS at the number listed below with details
  445.    immediately.  If possible, please upload a copy of the file that is
  446.    generating the V2P6 alert.
  447.  
  448.    4.  Our BBS is thriving and awaits your visit!  It runs at up to V.32BIS
  449.    speeds.  Please upload suspect files to the BBS, where we'll examine them
  450.    and let you know whether the file contains a virus.  The latest copy of 
  451.    VIRx is always available on the BBS, and we welcome your suggestions and
  452.    comments regarding our products.  You can reach the BBS at (919)-419-1602
  453.  
  454.    5.  Finally, we are documenting our external signature file.  This allows
  455.    new viruses to be detected without having to wait for a new release of
  456.    VIRx.  You should be careful: if you use the external signature file and
  457.    add a virus signature that we are already using within our internal virus
  458.    signature database, VIRx will inform you that it has found a virus in
  459.    
  460.