home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / v05i003.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  29.9 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V5 #3
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday,  7 Jan 1992    Volume 5 : Issue 3
  9.  
  10. Today's Topics:
  11.  
  12. Re: Novell distributes Stoned-3 (PC)
  13. F-PROT 2.x and Cascade (PC)
  14. Question re Stoned (PC)
  15. Latest version of F-Prot? (PC)
  16. List of Viruses (PC)
  17. DOS 5.0 FDISK & older O/Ses (PC)
  18. New strain of Murphy? Amilia (PC)
  19. Help with virus (PC)
  20. Re: Macs Running Soft PC (Mac) (PC)
  21. General questions about viruses
  22. theoretical literature on viruses?
  23. Re: Virus capable of infecting Mainframes and PCs
  24. Re: Hardware damage
  25. Re: General questions about viruses
  26. WSCAN85.ZIP - Windows 3.0 version of VIRUSCAN V85 (PC)
  27.  
  28. VIRUS-L is a moderated, digested mail forum for discussing computer
  29. virus issues; comp.virus is a non-digested Usenet counterpart.
  30. Discussions are not limited to any one hardware/software platform -
  31. diversity is welcomed.  Contributions should be relevant, concise,
  32. polite, etc.  (The complete set of posting guidelines is available by
  33. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
  34. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
  35. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
  36. Information on accessing anti-virus, documentation, and back-issue
  37. archives is distributed periodically on the list.  Administrative mail
  38. (comments, suggestions, and so forth) should be sent to me at:
  39. krvw@CERT.SEI.CMU.EDU.
  40.  
  41.    Ken van Wyk
  42.  
  43. ----------------------------------------------------------------------
  44.  
  45. Date:    Mon, 06 Jan 92 11:55:00 +1300
  46. From:    "Nick FitzGerald" <CCTR132@csc.canterbury.ac.nz>
  47. Subject: Re: Novell distributes Stoned-3 (PC)
  48.  
  49. Further to postings from Karyn Pichnarczyk (karyn@cheetah.llnl.gov) and
  50. James Ford <JFORD@UA1VM.BITNET> in VL 5 #1 on Novell's distribution of
  51. the Stoned-3 virus, the following article was posted (way off-charter)
  52. in Usenet newsgroup comp.binaries.ibm.pc.archives.
  53.  
  54. Note the interesting number of mis-conceptions and/or poorly described
  55. pieces of "information".  The article only describes how file infecting
  56. viruses work, implying that they are the only kind (and getting it
  57. mostly wrong!), yet the incident it reports involved a boot sector
  58. virus.  Finding the other gaffs is left as an exercise to the reader.
  59.  
  60. :-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:-:
  61.  Nick FitzGerald, PC Applications Consultant, CSC, Uni of Canterbury, N.Z.
  62.  Internet: n.fitzgerald@csc.canterbury.ac.nz        Phone: (64)(3) 642-337
  63.  
  64. :::::::::::::::::::::  Begin included message  :::::::::::::::::::::
  65.  
  66. From: markoff@nyt.com (John Markoff)
  67. Date: 31 Dec 91 20:03:40 GMT
  68.  
  69. By JOHN MARKOFF  (from the New York Times, 20 Dec 1991)
  70.  
  71.   The nation's largest supplier of office-network software for
  72. personal computers has sent a letter to approximately 3,800 customers
  73. warning that it inadvertently allowed a software virus to invade
  74. copies of a disk shipped earlier this month.
  75.   The letter, sent on Wednesday to customers of Novell Inc., a Provo,
  76. Utah, software publisher, said the diskette, which was mailed on Dec.
  77. 11, had been accidentally infected with a virus known by computer
  78. experts as "Stoned 111."
  79.   A company official said yesterday that Novell had received a number
  80. of reports from customers that the virus had invaded their systems,
  81. although there had been no reports of damage.
  82.   But a California-based computer virus expert said that the potential
  83. for damage was significant and that the virus on the Novell diskette
  84. frequently disabled computers that it infected.
  85.  
  86.  'Massive Potential Liabilities'
  87.  
  88.   "If this was to get into an organization and spread to 1,500 to
  89. 2,000 machines, you are looking at millions of dollars of cleanup
  90. costs," said John McAfee, president of McAfee & Associates, a Santa
  91. Clara, Calif. antivirus consulting firm. "It doesn't matter that only
  92. a few are infected," he said.  "You can't tell. You have to take the
  93. network down and there are massive potential liabilities."
  94.   Mr. McAfee said he had received several dozen calls from Novell
  95. users, some of whom were outraged.
  96.  
  97.   The Novell incident is the second such case this month. On Dec. 6,
  98. Konami Inc., a software game manufacturer based in Buffalo Grove, 111.
  99. wrote customers that disks of its Spacewrecked game had also become
  100. infected with an earlier version of the Stoned virus. The company said
  101. in the letter that it had identified the virus before a large volume
  102. of disks had been shipped to dealers.
  103.  
  104. Source of Virus Unknown
  105.  
  106.   Novell officials said that after the company began getting calls
  107. earlier this week, they traced the source of the infection to a
  108. particular part of their manufacturing process. But the officials said
  109. they had not been able to determine how the virus had infected their
  110. software initially.
  111.  
  112.   Novell's customers include some of nation's largest corporations.
  113. The software, called Netware, controls office networks ranging from
  114. just two or three machines to a thousand systems.
  115.   "Viruses are a challenge for the marketplace," said John Edwards,
  116. director of marketing for Netware systems at Novell. "But we'll keep
  117. up our vigilance. He said the virus had attacked a disk that contained
  118. a help encyclopedia that the company had distributed to its customers.
  119.  
  120. Servers Said to Be Unaffected
  121.  
  122.   Computer viruses are small programs that are passed from computer to
  123. computer by secretly attaching themselves to data files that are then
  124. copied either by diskette or via a computer network. The programs can
  125. be written to perform malicious tasks after infecting a new computer,
  126. or do no more than copy themselves from machine to machine.
  127.   In its letter to customers the company said that the Stoned 111
  128. virus would not spread over computer networks to infect the file
  129. servers that are the foundation of networks. File servers are special
  130. computers with large disks that store and distribute data to a network
  131. of desktop computers.
  132.   The Stoned 111 virus works by attaching itself to a special area on
  133. a floppy diskette and then copying itself into the computer's memory
  134. to infect other diskettes.
  135.   But Mr. McAfee said the program also copied itself to the hard disk
  136. of a computer where it could occasionally disable a system. In this
  137. case it is possible to lose data if the virus writes information over
  138. the area where a special directory is stored.
  139.  
  140.   Mr. McAfee said that the Stoned 111 virus had first been reported in
  141. Europe just three months ago. The new virus is representative of a
  142. class of programs known as "stealth" viruses, because they mask their
  143. location and are difficult to identify. Mr. McAfee speculated that
  144. this was why the program had escaped detection by the company.
  145.  
  146. Steps Toward Detection
  147.  
  148.   Novell has been moving toward adding new technology to its software
  149. to make it more difficult for viruses to invade it, Mr. Edwards said.
  150. Recently, the company licensed special digital-signature software that
  151. makes it difficult for viruses to spread undetected. Novell plans to
  152. add this new technology to the next major release of its software, due
  153. out at the end of 1992.
  154.  
  155.   In the past, courts have generally not held companies liable for
  156. damages in cases where a third party is responsible, said Susan Nycum, a
  157. Palo Alto, Calif., lawyer who is an expert on computer issues.  "If they
  158. have been prudent it wouldn't be fair to hold them liable," she said.
  159. "But ultimately it may be a question for a jury."
  160.  
  161. ------------------------------
  162.  
  163. Date:    Mon, 16 Dec 91 11:29:03 +0000
  164. From:    "Vaughan.Bell" <vaughan@computing-department.poly-south-west.ac.uk>
  165. Subject: F-PROT 2.x and Cascade (PC)
  166.  
  167. I have been testing F-PROT 2.01 with various virus samples and I have
  168. found that I didn't detect cascade in memory (identified as cascade
  169. 1701-A) although it does detect the infection in a .COM file. Pre 2.x
  170. versions did detect the virus in memory and as a .COM infection.
  171. Various other anti-virus programs do detect it in memory includin
  172. McAfee SCAN, Dr Solomons AVTK, VISCAN and IBM's Virscan.
  173.  
  174. Also is it possible to get the virus info supplied with F-PROT 2.01 as
  175. an ASCII text file (like FILVIR-1.TXT etc) ???
  176.  
  177. Thanks in advance . . .
  178.  
  179. ***************************************************************************
  180. * Vaughan Bell - Polytechnic South West - U.K. - vaughan@cd.psw.ac.uk     *
  181. ***************************************************************************
  182. *   You can take a horse to water, but if you can make it float on it's   *
  183. *                     back you've got something !                         *
  184. ***************************************************************************
  185.  
  186. ------------------------------
  187.  
  188. Date:    Thu, 02 Jan 92 20:45:00 -0500
  189. From:    HAYES@urvax.urich.edu
  190. Subject: Question re Stoned (PC)
  191.  
  192. Hello.
  193.  
  194. As a co-sysop of the virus discussion board I received the following
  195. message.  I thought it was interesting enough, and asked more details
  196. which will show in the second forwarded message (in fact, long
  197. excerpts of both messages).
  198.  
  199. I myself came with no good reason why the system (details in msg #2)
  200. does not get infected.  Any guru out there with some explanation(s)?
  201.  
  202. Best, Claude.
  203.  
  204. - ----- begin forwarded messages --
  205.  
  206. Message #1
  207.  
  208. More of a curiosity than an emergency here: Our academic PC lab had a
  209. protracted battle with the Stoned virus last Summer and Fall, which we
  210. dealt with fairly aggressively and with good success.  [...]
  211.  
  212. At any rate, "Stoned" seems to be history in our lab, if only because
  213. it does not seem to infect 3.5" diskettes (which we've recently
  214. switched to).
  215.  
  216. My question is this.  For the benefit of many users who only have
  217. 5.25" drives at home and want to use one of our 3.5" PC's, we set up a
  218. 3-floppy PC with menu-driven software for file copying and diskette
  219. formatting.  A: & B: drives are 360K and 1.2M (respectively); C: is
  220. 1.44M.  D: is the hard drive.  If ever a PC would be succeptable to
  221. "Stoned" it would be this one, considering the amount and nature of
  222. its use--or so it would seem!  Periodic checks for the virus on the
  223. hard drive have always been negative over four months of heavy use.
  224. (Like I say--I know "Stoned" is still around here.)  Is there
  225. something about the four-disk controller setup (or the drive name
  226. "D:") that creates an immunity to "Stoned"?  Or have we been
  227. incredibly lucky?
  228.  
  229. - -----
  230.  
  231. Message #2
  232.  
  233. [...]
  234.  
  235. The format-copy box I referred to was an old IBM-PC (8088) outfitted
  236. with 2 5.25 floppy drives (one for ea. density) and 1 3.5" high
  237. density drive (A,B & C).  The hard drive is a 40 meg.  (brand or type
  238. unknown--I'm not that familiar with the types), and as I said, it was
  239. designated D: as per the requirements of the JDR (or is it JRD?)
  240. Microdevices 4-floppy controller card I used.  I wrote a snazzy
  241. menu-driven batch program (with BATMAN and ANSWER enhancements)
  242. walking users through any of the 4 floppy formats and permitting
  243. copying of files ("All" or selected) between any two of the floppy
  244. drives.  The "selected" copying option would list the directory of the
  245. source floppy before copying (prime infection activity!)  No virus
  246. protection installed.  (I'd check it periodically by running Clean-Up
  247. on the D: drive.
  248.  
  249. As I mentioned, Clean-Up never found Stoned when I ran it on this
  250. drive, and I haven't been getting the kind of complaints I would get
  251. if users were getting re-infected at home.  (So I think Clean-Up is
  252. checking properly.)  I might add that this hard drive in this computer
  253. had picked up Stoned more than once when it was an office machine with
  254. just a 5.25" A: drive (and the hard drive was C:).  So there's nothing
  255. inherantly immune about the drive.  Oh, DOS is 3.30, and the hard
  256. drive is not segmented.
  257.  
  258. Because this box is the only one we have that does this job in a busy
  259. lab and a lot of our users on 5.25-only PC's, it gets a lot of use.
  260. So I would have considered frequent infection a near certainty, it
  261. only takes one careless user or one old neglected floppy.  (Don't ask
  262. me why I didn't install protection on this one.  I guess I was
  263. concerned about the slowness of the 8088 processor.)
  264.  
  265. At any rate, I hope this is enough information.  (Watch!  As soon as I
  266. report this, the PC will turn up "stoned"!)  Any clues?
  267.  
  268. - ---- end forwarded messages --
  269.  
  270. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  271. Claude Bersano-Hayes     HAYES @ URVAX                 (Vanilla BITNET)
  272. University of Richmond   hayes@urvax.urich.edu     (Bitnet or Internet)
  273. Richmond, VA  23173
  274.  
  275. ------------------------------
  276.  
  277. Date:    Thu, 02 Jan 92 19:38:10
  278. From:    hoisve@Public.Access.CC.UTAH.EDU (David Hoisve)
  279. Subject: Latest version of F-Prot? (PC)
  280.  
  281. Where can I find the latest version of F-Prot?
  282.  
  283. The version on beach.gal.utexas.edu now displays something like "This
  284. version is rather old.  You should get a new one.".
  285.  
  286. I also noticed that this version does not include license information.
  287. Is the F-Prot "site license" still available?  (The terms were
  288. something like $0.75 per machine for non-profit orgs.  Very
  289. reasonable!)
  290.  
  291. Thanks!
  292.  
  293. - -- Dave.
  294. Dave Hoisve, HOISVE@XANADU.CC.UTAH.EDU
  295.  
  296. ------------------------------
  297.  
  298. Date:    Fri, 03 Jan 92 14:09:42 -0600
  299. From:    THE GAR <GLWARNER@SAMFORD.BITNET>
  300. Subject: List of Viruses (PC)
  301.  
  302. Someone faxed me a list of viruses, that I believe he got from Center
  303. Point, with codes for him to enter to update his virus information for
  304. the package.  He sent it to me to show how many viruses Center Point
  305. protected him from that McAfee fails to protect me from.
  306.  
  307. My question (McAfee rep?) is whether these are actually detected by
  308. McAfee but called something else.
  309.  
  310. Also, can anyone identify any of the following that are especially
  311. prevalent?  Or are these mostly "laboratory" viruses?
  312.  
  313. In case anyone out there cares, the only viruses I have SEEN in
  314. Birmingham AL are Stoned, Ping-Pong, Ping-Pong B, Dark Avenger,
  315. and Jerusalem, with Stoned and Ping being the only ones that really
  316. seem to have staying power.
  317.  
  318. 1590                         Golden Gate 1
  319. 740                          Golden Gate 2
  320. 805                          HIV
  321. Amoeba 2                     Horse II
  322. Anarkia                      Justice
  323. Anthrax PT                   Kylie
  324. April 15                     Lunch
  325. Beast C                      Omicron PT
  326. Beast D                      PC Bandit
  327. Cascade YAP                  Phoenix
  328. Dark Lord                    Stoned III
  329. Decide                       Suomi
  330. Den-Zuk 2                    Tequila
  331. Diamond                      Twelve Tricks
  332. Doctor                       Vienna 656
  333. Drug                         Virdem 792
  334. Faggot                       Vriest
  335. France                       Zapper
  336.  
  337.  
  338.  /++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++\
  339. !  Later        +   Systems Programmer                                 !
  340. !  Gary Warner  +   Samford University Computer Services               !
  341. !               +   II TIMOTHY 2:15                                    !
  342.  \+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++/
  343.  
  344. ------------------------------
  345.  
  346. Date:    Fri, 03 Jan 92 15:12:42 -0500
  347. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  348. Subject: DOS 5.0 FDISK & older O/Ses (PC)
  349.  
  350. Y. Radai <RADAI@HUJIVMS.BITNET> writes:
  351.  
  352. >.., and those who
  353. >do  seem to be unaware that it can also be used on machines running
  354. >DOS *prior to Ver. 5*.  All that is necessary is to find a (clean) DOS
  355. >5 system diskette, to copy FDISK.EXE from DOS 5 onto that diskette, to
  356. >cold boot the infected machine from the diskette, and then to perform
  357. >FDISK /MBR .  Works beautifully.
  358.  
  359. One caveat: Certain older Zenith DOS versions (think 3.0 3.1 & 3.2) &
  360. possibly some others have boot records that seem to expect some
  361. registers to be passed intact from the MBR to the BR code. After using
  362. a "generic" MBR replacement I have occasionally encountered an
  363. "Unformatted Partition" message & lockup from the BR on these machines
  364. when booting from the fixed disk. In this case booting from a floppy
  365. executes ok & the C: drive is then accessable.
  366.  
  367. Should this occur you will need to either SYS the fixed disk, patch in
  368. a new "generic" Boot Record (not that difficult - five minutes with a
  369. bootable floppy & debug)), FDISK the fixed disk with the original O/S
  370. (lose all data, do not pass Go), replace the MBR with the original (if
  371. you have a back-up), or upgrade to a different O/S version.
  372.  
  373. Or you could use FixMBR.
  374.                         Warmly,
  375.                             Padgett
  376.  
  377.         <padgett%tccslr.dnet@mmc.com>
  378.                   Isn't diversity wonderful ?
  379.  
  380. ------------------------------
  381.  
  382. Date:    Fri, 03 Jan 92 20:28:41 -0800
  383. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  384. Subject: New strain of Murphy? Amilia (PC)
  385.  
  386. I have received a new virus, originally reported to Delta Base 
  387. Enterprises here.  I have not been able to examine it in detail, but 
  388. telephone reports indicate it is unidentified by any scanners except 
  389. FPROT 2.01, which identifies it as Murphy HIV.
  390.  
  391. Delta Base has already done fairly extensive testing of the virus.  It 
  392. appears to be a "fast file infector", infecting every file that is 
  393. opened.  (A sweep of the system with a commercial antivirus product was 
  394. apparently responsible for the infection of all 361 program files.)  It 
  395. appears to infect both .COM and .EXE files.  To this point, no bounds 
  396. have been found on the size of programs infected.
  397.  
  398. The text string "AmiLia I Viri  -  [NukE] i99i" appears at the beginning 
  399. of the infection.  The text section also refers to "Released Dec91 
  400. Montreal".  This indicates that the virus has spread extensively since 
  401. its release.  In Vancouver, it appears to have been obtained, in one 
  402. instance, from a BBS known as Abyss.  Notification to the sysop revealed 
  403. that he had had trouble with the infected file and subsequently deleted 
  404. it.  However, there are other indications that the infection may have 
  405. come from several sources in Vancouver.
  406.  
  407. ============= 
  408. Vancouver      p1@arkham.wimsey.bc.ca   | "Remember, by the
  409. Institute for  Robert_Slade@mtsg.sfu.ca |  rules of the game, I
  410. Research into  CyberStore               |  *must* lie.  *Now* do
  411. User            (Datapac 3020 8530 1030)|  you believe me?"
  412. Security       Canada V7K 2G6           |    Margaret Atwood
  413.  
  414. ------------------------------
  415.  
  416. Date:    05 Jan 92 08:03:13 -0700
  417. From:    "Taisir.Jawberah" <CCA3607@SAKAAU03.BITNET>
  418. Subject: Help with virus (PC)
  419.  
  420. I found new virus called "Amobiaii" I formated my hrddisk but still
  421. their i try with scan&clean84 but didnt clean it How can i remove this
  422. virus please more information about this virus
  423.  
  424. Any help appreciated
  425.  
  426. Taisir  Jawberah
  427. king abdul aziz unversity
  428. jeddah
  429.  
  430. ------------------------------
  431.  
  432. Date:    Tue, 07 Jan 92 00:57:00 +0000
  433. From:    lev@amarna.gsfc.nasa.gov (Brian S. Lev)
  434. Subject: Re: Macs Running Soft PC (Mac) (PC)
  435.  
  436. fprice@itsmail1.hamilton.edu (Frank Price) writes...
  437. >SoftPC does such a good job of emulating an MS-DOS machine that many
  438. >(most?  virtually all?) viruses WILL infect it. SoftPC uses a (big)
  439. >data file for the contents of the simulated PC's hard drive. I believe
  440. >Mac antiviral programs consider this to be a data file and do not
  441. >check it. Even if they did, they would not know how to recognize
  442. >MS-DOS viral code.
  443.  
  444. Ummm... I'm not 100% positive, but I seem to remember the more recent
  445. versions of the Mac's "Big 4" (Disinfectant, Virex, SAM, SUM) all _do_
  446. look at data files if you tell 'em to scan your disk...
  447.  
  448. - -- Brian Lev
  449.  
  450. +----------------------------------------------------------------------------+
  451. |  Brian Lev/Hughes STX Task Leader        301-286-9514                      |
  452. |  NASA Goddard Space Flight Center        DECnet: SDCDCL::LEV               |
  453. |  Advanced Data Flow Technology Office    TCP/IP: lev@dftnic.gsfc.nasa.gov  |
  454. |  Code 930.4                              BITNET: LEV@DFTBIT                |
  455. |  Greenbelt, MD  20771                    TELENET: [BLEV/GSFCMAIL]          |
  456. |     X.400 Address: (C:USA,ADMD:TELEMAIL,PRMD:GSFC,O:GSFCMAIL,UN:BLEV)      |
  457. +----------------------------------------------------------------------------+
  458.  
  459. ------------------------------
  460.  
  461. Date:    Fri, 03 Jan 92 20:06:15 -0800
  462. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  463. Subject: General questions about viruses
  464.  
  465. nkjle@locus.com (John Elghani) writes:
  466.  
  467. > Can someone help me with the following questions:
  468.  
  469. Perhaps, but you seem to be confusing the types of operations that go
  470. on in a microcomputer, and those which are more common in "linked
  471. mainframes".
  472.  
  473. > 1- A virus obviously is a program that is CPU bound, io bound, ..etc.
  474. >   i.e. it occupies system's resources.  Some could probably delete
  475. >   all files on a system? right?
  476.  
  477. Once a virus has been invoked on a system, it can do anything that is
  478. possible through software.  It is possible to delete all the files on
  479. a system through software, therefore it is possible for a virus to do
  480. it.
  481.  
  482. > 2- How does it transfer across networks.  How does it know a phone number
  483. >    (modem #) of a remote node.
  484.  
  485. In a PC situation, a virus is transfered by some (usually unknowing)
  486. person.  This can be through a file transfer, email, or simple disk
  487. swapping.  Mainframe networks, such as Usenet or the Internet, have
  488. procedures whereby programs can be automatically transferred from one
  489. machine to another, and started on the remote machines.  Network viri
  490. (sometimes referred to more specifically as worms) use these
  491. functions.  Some, such as the CHRISTMA EXEC, rely on advanced email
  492. functions and high level language interpretters.  These use the
  493. "directorie files" to "find" other machines.
  494.  
  495. > 3- How does it get tracked down.  By program name? if so, then what if
  496. >    this virus changes its name? are we in trouble?
  497.  
  498. Viri get tracked down in a number of ways.  Program names have little
  499. to do with it, since viri "attach" to existing programs.
  500.  
  501. > 4- When it makes it to disk, how does it tell the Kernel that it wants
  502. >   to run the system.  It it something like a daemon tht sleeps and
  503. >   wakes up?
  504.  
  505. How it wakes up depends upon what type of system it is in and how it
  506. got there.
  507.  
  508. These answers were done quickly, and are simplistic to the point of
  509. inaccuracy.  They are only meant as a starting point.  (Ken, are the
  510. CVP files available yet?)
  511.  
  512. ============= 
  513. Vancouver      p1@arkham.wimsey.bc.ca   | "Remember, by the
  514. Institute for  Robert_Slade@mtsg.sfu.ca |  rules of the game, I
  515. Research into  CyberStore               |  *must* lie.  *Now* do
  516. User            (Datapac 3020 8530 1030)|  you believe me?"
  517. Security       Canada V7K 2G6           |    Margaret Atwood
  518.  
  519. ------------------------------
  520.  
  521. Date:    Mon, 06 Jan 92 15:50:17 +0000
  522. From:    ctika01@mailserv.zdv.uni-tuebingen.de (George Kampis)
  523. Subject: theoretical literature on viruses?
  524.  
  525. Is there any work out there on a *theoretical* treatment of
  526. computer viruses?
  527.  
  528. Such as, for instance, description of virus computation, what kind of
  529. viruses are possible etc, how to test them, is there a virus that
  530. escapes every test, or, is there a test that catches every virus, and
  531. so on...
  532.  
  533. I suspect the latter will lead to halting-problem-like questions -
  534. would be interested to see if anybody did work on that (pls don't mix
  535. it with self-reproducing automata a la von Neumann etc)
  536.  
  537. Thanks, George Kampis Tubingen FRG
  538.  
  539. ------------------------------
  540.  
  541. Date:    06 Jan 92 17:14:47 +0000
  542. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  543. Subject: Re: Virus capable of infecting Mainframes and PCs
  544.  
  545. AGUTOWS@WAYNEST1.BITNET (Arthur Gutowski) writes:
  546.  
  547. > >   Question for all:  Is there a virus that can infect BOTH  PCs and
  548. > >Mainframes?  The place where I am working is networking and I am trying
  549. > >to find out what possible threats can arise from this.
  550.  
  551. > Not yet.  And I don't think there could be.  Not with the major differences
  552.  
  553. Sorry to disagree. Such viruses are relatively easy to write and
  554. they'll appear sooner or later.
  555.  
  556. > between program execution, and for that matter, operation codes on these
  557. > different platforms.  For example, X'D20750006000' in MVS translates to
  558. > MVC 0(8,R5),0(,R6) which moves 8 bytes from a location pointed to by
  559. > register 6 into a location pointed to by R5.  This hex string, even if
  560. > it could be downloaded to a PC in its origional form without get translated
  561. > by whatever protocol you happen to be using, is *probably* (I'm not a PC
  562.  
  563. The example you gave might be meaningless indeed, but it is possible
  564. to write a program which runs on two different processors. Anybody who
  565. has installed a CP/M card in an Apple ][ computer probably knows this.
  566. (If not, just think - there are -two- processors present, 6502 and
  567. 8080, but only the first is active on boot-up. So, the boot sector of
  568. a CP/M diskette for such computers -must- contain code which executes
  569. on 6502. Obviously, it has at some time activate the 8080 and transfer
  570. control to it. When the 8080 gets activated, the code which begins to
  571. get interpretted -must- be valid for it. So...) Even the well-known
  572. Internet worm contained code for two different kinds of computers -
  573. SUNs and VAXes... So, it -IS- possible. And, since it is possible, it
  574. - -WILL- be done - sooner or later.
  575.  
  576. > assembler guru) meaningless once it gets there.  The effort expended in
  577. > trying to get something on a mainframe downloaded to a PC and executed there
  578. > would be wasted.
  579.  
  580. Right, but the opposite is not true, and that's what we'll probably
  581. see in the near future. It is possible to design a virus, which
  582. spreads on PCs, and, as soon as it detects that the PC is used as a
  583. terminal to connect to mainframe, releases a virus (or worm) to the
  584. mainframe. It can be done. It will be.
  585.  
  586. Regards,
  587. Vesselin
  588. - -- 
  589. Vesselin Vladimirov Bontchev         Virus Test Center, University of Hamburg
  590. Bontchev@Informatik.Uni-Hamburg.De   Fachbereich Informatik - AGN, rm. 107 C
  591. Tel.:+49-40-54715-224, Fax: -246     Vogt-Koeln-Strasse 30, D-2000, Hamburg 54
  592.  
  593. ------------------------------
  594.  
  595. Date:    20 Dec 91 10:04:40 -0400
  596. From:    wood@covax.commerce.uq.oz.au (Malcolm Wood)
  597. Subject: Re: Hardware damage
  598.  
  599. > There is also a story, likely apocryphal, that one computer
  600. > company set up a "portable" computer, including banks of disk
  601. > drives, in a semi-trailer for demos.  The first time the truck
  602. > took a turn with all the drives running, it flipped over due to
  603. > the enormous stored angular momentum of the spinning platters.)
  604.  
  605. Can I stop this myth before it gets around?  The banks of disk drives 
  606. you refer to would be of the old 'washing-machine' cabinet style, with 
  607. vertical axes.  There would be no strange torque effects while 
  608. cornering because the truck's turn would also be about a vertical 
  609. axis.  
  610.  
  611. Also, even with the old-style drives, the spinning mass is not
  612. 'enormous', they were always thin aluminium platters whose mass is 
  613. negligible compared to, eg, the flywheel of the truck.
  614.  
  615. The most likely problem would be vibration-induced head crashes.
  616.  
  617. "The world's biggest portable computer" is an interesting thought,
  618. though ... power supply? Cooling system? Operator's console? A trailer 
  619. full of TTY's for the users?
  620.  
  621. - -------------------------------------------------------------------------
  622. Malcolm Wood, Faculty of Commerce and Economics, University of Queensland
  623. WOOD@COMMERCE.UQ.OZ.AU
  624. - -------------------------------------------------------------------------
  625.  
  626. ------------------------------
  627.  
  628. Date:    06 Jan 92 22:42:13 +0000
  629. From:    vail@tegra.com (Johnathan Vail)
  630. Subject: Re: General questions about viruses
  631.  
  632. nkjle@locus.com (John Elghani) writes:
  633.  
  634.    1- A virus obviously is a program that is CPU bound, io bound, ..etc.
  635.      i.e. it occupies system's resources.  Some could probably delete
  636.      all files on a system? right?
  637.  
  638. right.  anything that any other program can do can possible be done by
  639. a virus.
  640.  
  641.    2- How does it transfer across networks.  How does it know a phone number
  642.       (modem #) of a remote node.
  643.  
  644. a virus, as opposed to other computer nasties like worms, attach
  645. themselves to other programs.  People transferring programs either by
  646. diskette or modem or networks are the transmission vector for viruses.
  647.  
  648.    3- How does it get tracked down.  By program name? if so, then what if
  649.       this virus changes its name? are we in trouble?
  650.  
  651. Virus scanners typically work by looking for particular "signature"
  652. strings in programs and memory of known viruses.  Some viruses could
  653. try to "mutate" themselves to thwart this and new viruses are not
  654. detected by these kinds of detection programs.  Then there are
  655. "stealth" viruses that attempt to hide their existence by trapping
  656. system calls.
  657.  
  658. To answer specifically: new viruses get "tracked down" when their
  659. symptoms are detected by carefully disassembling the code on infected
  660. files and disks.  Once identified, their signature strings can be
  661. added to the virus scanners.  Since most viruses exist in the system
  662. boot sectors or in executable programs tracking my a particular
  663. program name is not useful.
  664.  
  665.    4- When it makes it to disk, how does it tell the Kernel that it wants
  666.      to run the system.  It it something like a daemon tht sleeps and
  667.      wakes up?
  668.  
  669. viruses get their execution thread when their "host" program is
  670. executed.  they can then install themselves in memory or just do their
  671. work before passing control on to the "host" program.
  672.  
  673. if the virus installs itself in memory it may get executed based on a
  674. timer but more frequently by trapping operating system calls (BIOS and
  675. DOS calls on a PC).
  676.  
  677. hope this helps...
  678.  
  679. jv
  680.  
  681.  
  682. "Always Mount a Scratch Monkey"
  683.  _____
  684. |     | Johnathan Vail     vail@tegra.com     (508) 663-7435
  685. |Tegra| jv@n1dxg.ampr.org    N1DXG@448.625-(WorldNet)
  686.  -----  MEMBER: League for Programming Freedom (league@prep.ai.mit.edu)
  687.  
  688. ------------------------------
  689.  
  690. Date:    Fri, 03 Jan 92 16:20:59 -0800
  691. From:    mcafee@netcom.com (McAfee Associates)
  692. Subject: WSCAN85.ZIP - Windows 3.0 version of VIRUSCAN V85 (PC)
  693.  
  694. I have uploaded to SIMTEL20:
  695.  
  696. pd1:<m
  697.