home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / v05i009.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  33.2 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V5 #9
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Wednesday, 15 Jan 1992    Volume 5 : Issue 9
  9.  
  10. Today's Topics:
  11.  
  12. Re: More Stoned virus questions (PC)
  13. Dir-II/Other Stuff (PC)
  14. Information on the 109 Virus (PC)
  15. Making DIR of a contaminated floppy (PC)
  16. Re: Looking for info on "Friday the 13th" virus (PC)
  17. Re: 1575/1591 Virus (PC)
  18. Re: VIRUS at AT286 in SCAN85 (PC)
  19. Re: Joshi Virus and IDE Hard Drives (PC)
  20. VSHIELD and MS WORD - incompatible ??? (PC)
  21. re: DOS Virus Infects UNIX box (PC) (UNIX)
  22. Re: New Antivirus Organization Announced
  23. Re: New to the forum - question
  24. Re: Gulf War "virus"
  25. updated version of Padget's FixMBR (PC)
  26. Report: 8th Chaos Computer Congress
  27.  
  28. VIRUS-L is a moderated, digested mail forum for discussing computer
  29. virus issues; comp.virus is a non-digested Usenet counterpart.
  30. Discussions are not limited to any one hardware/software platform -
  31. diversity is welcomed.  Contributions should be relevant, concise,
  32. polite, etc.  (The complete set of posting guidelines is available by
  33. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
  34. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
  35. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
  36. Information on accessing anti-virus, documentation, and back-issue
  37. archives is distributed periodically on the list.  Administrative mail
  38. (comments, suggestions, and so forth) should be sent to me at:
  39. krvw@CERT.SEI.CMU.EDU.
  40.  
  41.    Ken van Wyk
  42.  
  43. ----------------------------------------------------------------------
  44.  
  45. Date:    Wed, 15 Jan 92 15:30:00 +1300
  46. From:    "Nick FitzGerald" <CCTR132@csc.canterbury.ac.nz>
  47. Subject: Re: More Stoned virus questions (PC)
  48.  
  49. JGUNDERSON@cudnvr.denver.colorado.edu writes:
  50. >
  51. >     Another  quick Stoned 3 question.  At the University of Colorado
  52. > (Denver) we got hit hard by the inadvertant mass release of the FORM virus
  53. > last year.  I found myself spearheading the process of cleaning up and
  54. > hardening the defenses of one of our computer labs.  I would like to be
  55. > ahead of the game if the Stoned 3 release hits us.
  56. >     We have been relying on Simon McAuliffe's NoStone as an ongoing
  57. > defense against Stoned, however I notice that the Stoned 3 variant is
  58. > listed a stealthed variety.  Does anyone know if NoStone v4.1 (released
  59. > June 1990) will do any good?
  60.  
  61. Can't say for sure, but I suspect not.  As several better-qualified than
  62. I have already mentioned, what McAfee calls Stoned-III, others know as the
  63. NoINT virus.
  64.  
  65. A further word of warning about NoStone - if you are at all likely to
  66. run up against a virus from the Empire family, be very cautious in your
  67. use of NoStone.  In my tests with Empire A, NoStone reports a Stoned-II
  68. infection.  If you tell NoStone to disinfect it writes Empire's
  69. "encrypted" message to your HD's MBR sector (Empire stores original MBR
  70. at 0,0,6 and message at 0,0,7 - Stoned puts MBR at 0,0,7).  Similar
  71. problems occur with NoStone and Empire A on floppies.  Other members of
  72. Empire family _may_ have similar effects.
  73.  
  74. +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  75.  Nick FitzGerald, PC Applications Consultant, CSC, Uni of Canterbury, N.Z. 
  76.  Internet: n.fitzgerald@csc.canterbury.ac.nz        Phone: (64)(3) 642-337 
  77.  
  78. ------------------------------
  79.  
  80. Date:    Tue, 14 Jan 92 22:41:00 -0500
  81. From:    <RUTSTEIN@HWS.BITNET>
  82. Subject: Dir-II/Other Stuff (PC)
  83.  
  84. For those of you still attempting to track the spread of the DIR-II, I
  85. had a configmed report yesterday of a single machine infected in the
  86. country of Jordan.  The actual path of infection is unknown at this
  87. time.  As most should know by now, DIR-II is not at all dangerous (
  88. (relatively), but does spread rapidly and is a bit of a curiosity.
  89. Removal is simple using only DOS commands....
  90.  
  91. In other news, the National Computer Security Association (NCSA) BBS
  92. is now fully operational with 5 lines up and running. Number is (202)
  93. 364-1304, with the first four lines 9600 V.32, fifth at 2400 MNP.
  94. On-line is virus and security info of all types, latest copies of
  95. anti-virus sharware and P/D software, info on NCSA and other
  96. anti-virus organizations, etc.  {In the interest of full disclosure, I
  97. should mention that I've been working on the BBS for NCSA for several
  98. weeks now and pouring blood, sweat, and tears into it :) }
  99.  
  100. Is anyone out there using a disassembler other than sourcer which you
  101. feel is superior in some way?  If so, how about passing along some
  102. info?ou feel
  103.                                     Charles
  104.  
  105. ***************************************************************************
  106. Rutstein@HWS.BITNET (Charles Rutstein)
  107. ****************************************************************************
  108.  
  109. ------------------------------
  110.  
  111. Date:    Sat, 11 Oct 80 06:50:11 -0800
  112. From:    Oliver.Steudler@p109.f121.n7102.z5.fidonet.org (Oliver Steudler)
  113. Subject: Information on the 109 Virus (PC)
  114.  
  115.    Virus Name : 109 Virus
  116.       Aliases : None
  117.     Discovery : January 1992
  118.          Type : File Virus
  119.        Origin : Unknown
  120.  
  121.  
  122. General Comments :
  123.  
  124.    The 109 Virus is a non-resident, direct  action .COM file
  125.    infector isolated by the Virus Resource Centre in January
  126.    1992. It contains no text or payload and is a simple, yet
  127.    very effective replicater.
  128.  
  129.  
  130. Infection :
  131.  
  132.    When an infected program is executed, the 109  virus will
  133.    infect all .COM files in the  current directory (this may
  134.    include COMMAND.COM), that meet the following conditions,
  135.    adding 109 bytes to the beginning of infected programs.
  136.  
  137.    a) The file must be a .COM file with a file  size between
  138.       2 bytes and 64 Kb.
  139.  
  140.    b) If the 1st byte is BEh,assume that the file is already
  141.       infected and proceed with the next file.
  142.  
  143.    c) The file must has normal attributes,so if it is marked
  144.       hidden  or  read-only, the  virus  will not infect the
  145.       program.
  146.  
  147.  
  148.    No critical error  handling is done and the file time and
  149.    date  stamps  will be  changed when the virus infects the
  150.    program.
  151.  
  152.  
  153. Damage :
  154.  
  155.    The 109 virus contains no malicious code and was designed
  156.    as a simple replicater.
  157.  
  158.    The virus may  however  do  damage  to  a program that is
  159.    larger  than  65427  bytes. Because the infected  program
  160.    would then  be larger than 64 Kb, the end of the infected
  161.    program will be lost.
  162.  
  163.  
  164. Detection :
  165.  
  166.    The 109 virus  can  be found using a simple hex signature
  167.    string :
  168.  
  169.  
  170.    BE 00 01 56 8C C8 80 C4 10 8E C0 33 FF
  171.  
  172. Oliver Steudler, Virus Resource Centre (CT)
  173. Mail     : P.O.Box 4397, Cape Town, 8000, South Africa
  174. Internet : Oliver.Steudler@p109.f121.n7102.z5.fidonet.org
  175. Fidonet  : 5:7102/121.109
  176. Phone    : +27 (021) 24-9504 (GMT +2)
  177. Fax      : +27 (021) 26-1911
  178.  
  179. Peter Stoffberg, Virus Resource Centre (JHB)
  180. Mail     : P.O.Box 1081, Northriding, 2162, South Africa
  181. Fidonet  : 5:7101/32
  182. Phone    : +27 (011) 787-7521 (GMT +2)
  183. - --
  184. uucp: uunet!m2xenix!puddle!5!7102!121.109!Oliver.Steudler
  185. Internet: Oliver.Steudler@p109.f121.n7102.z5.fidonet.org
  186.  
  187. ------------------------------
  188.  
  189. Date:    Wed, 15 Jan 92 11:26:50 +0700
  190. From:    Josep Fortiana Gregori <UBAESQ01@EBCESCA1.BITNET>
  191. Subject: Making DIR of a contaminated floppy (PC)
  192.  
  193.     Can someone explain the following sequence of events:
  194.  
  195.      1. Boot from a clean write-protected floppy
  196.      2. SCAN C:\ /m /chkhi
  197.         >> No viruses found
  198.      3. SCAN B:\
  199.         >> Found Anti-Tel Virus A-Vir! in boot sector
  200.      4. DIR B:
  201.      5. SCAN C:\ /m /chkhi
  202.         >> Found Anti-Tel Virus A-Vir!
  203.            active in memory
  204.  
  205.     My conjecture is that the boot sector is read in one of the
  206.     DOS buffers, so that the virus is present in memory as data,
  207.     not code (so it is not active).
  208.     Is that correct?
  209.                               Josep
  210. ......................................................................
  211. Josep Fortiana
  212. Departament d'Estadistica
  213. (Facultat de Biologia)            Phone : 34 - 3 - 4021561
  214. Universitat de Barcelona          E-mail: ubaesq01@ebcesca1.bitnet
  215. Av. Diagonal 645
  216. 08028 - Barcelona                  (also  ubaesq01@puigmal.cesca.es)
  217. SPAIN
  218.  
  219. ------------------------------
  220.  
  221. Date:    15 Jan 92 09:10:39 +0000
  222. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  223. Subject: Re: Looking for info on "Friday the 13th" virus (PC)
  224.  
  225. frisk@complex.is (Fridrik Skulason) writes:
  226.  
  227. > There are around 20 viruses which activate on Friday the 13th, such as
  228. > "South African" (which may not be South African at all), Jerusalem (with a
  229. > bunch of variants), Datacrime (well, sort of...), Relzfu (Fake-VirX),
  230. > Monxla, Leningrad and Omega.
  231.  
  232. > Unfortunately the available information is not specific enough to determine
  233. > which virus is the cause in this case.
  234.  
  235. Yes, but the original poster said that his disk was formatted on
  236. 13-Dec-1991. This excludes the Jerusalems and the South Africans, and
  237. also Datacrime. If I remember correctly, Monxla, Leningrad, and Omega
  238. do not format the disk... Or am I wrong? Does any of it at least
  239. overwrite it? Maybe this has been misinterpretted as formatting... And
  240. I can't remember what Relzfu does when it activates... :-(
  241.  
  242. Regards,
  243. Vesselin
  244. - -- 
  245. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  246. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  247. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  248.  
  249. ------------------------------
  250.  
  251. Date:    15 Jan 92 11:20:06 +0000
  252. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  253. Subject: Re: 1575/1591 Virus (PC)
  254.  
  255. harvey@oasys.dt.navy.mil (Betty Harvey) writes:
  256.  
  257. > QUESTION:  Does anyone have any information on this virus?  I am interested
  258. >        in finding more about this virus since the odds are I will see
  259. >        this little green fellow again.  Thanks!
  260.  
  261. The virus is a resident COM and EXE files infector. When an infected
  262. file is run, the virus in it first checks for a file, named
  263. C:\COMMAND.COM and if it exists, infects it. (If the file does not
  264. exist, the computer just hangs.) Once the virus is resident in memory,
  265. it infects on FindFirstFCB and FindNextFCB (INT 21h/AH=11h, INT
  266. 21h/AH=12h) functions. Therefore, it infects file during the DIR
  267. command. Only files in the directory being examined are infected. The
  268. executable files and their types (COM or EXE) are recognized by their
  269. extensions, and not by the magic number in the first two bytes (MZ or
  270. ZM for EXE files, anything else means a COM file). The files that are
  271. already infected have the last two bytes equal to 0Ch, 0Ah.
  272.  
  273. The "show" with the green caterpillar is activated when a file which
  274. has been infected for over two months is run, COMMAND.COM is already
  275. infected, and there is a copy of the virus already resident in memory.
  276.  
  277. Some infected EXE files may refuse to run due to a bug in the virus.
  278.  
  279. There are 6-7 variants of this virus, but they are essentially the
  280. same.
  281.  
  282. Hope the above helps.
  283.  
  284. Regards,
  285. Vesselin
  286. - -- 
  287. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  288. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  289. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  290.  
  291. ------------------------------
  292.  
  293. Date:    15 Jan 92 11:49:58 +0000
  294. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  295. Subject: Re: VIRUS at AT286 in SCAN85 (PC)
  296.  
  297. DVORACEK@CSEARN.BITNET (Jarda Dvoracek) writes:
  298.  
  299. > In Czechoslovakia, I got some new virus with the SCANV85.ZIP from some
  300. > BBS. It makes all .COM, .EXE and .ASM files 10 bytes longer, the first
  301. > 6 bytes are:
  302. >           F0 FD C5 AA FF F0
  303. > No antivirus program has i detected, except from those watching files'
  304. > length.
  305.  
  306. :-))) C'mon, calm down, it's not a virus! Just you (or somebody else)
  307. are running SCAN with the /AV switch. This means to add checksum
  308. information to the files and the F0FDC5AAFFF0 is just the identifier
  309. that SCAN usues to tell whether the file is already "certified" or
  310. not.
  311.  
  312. You can remove those by running SCAN again, this time with the /RV
  313. switch instead.
  314.  
  315. To the McAfee people: I have always said that messing with other
  316. people's files is a VERY BAD idea! Don't touch them! (And, of course,
  317. don't create hundreds of tiny hidden files, as Norton's anti-virus
  318. does...) The checksums MUST be kept separately in a database, the name
  319. of which must be selectable by the user.
  320.  
  321. > During 3 days it has infected all files but COMMAND.COM, some of them
  322.  
  323. Yeah, I think that SCAN is "clever enough" not to touch this file...
  324.  
  325. > worked normally, several terminated just after calling them.
  326.  
  327. Ha, this is not normal. They should run (unless they perform some kind
  328. of self-check themselves, but I don'T believe that this is your case).
  329. Maybe they are damaged by something else. Anyway, the problem that you
  330. are reporting, is caused by SCAN, not by a virus.
  331.  
  332. > It is possible that it writes in FAT1 - into last sectors.
  333.  
  334. Well, at least SCAN doesn't... :-) Check it's validation codes to make
  335. sure that it has not been tampered with (although not modified
  336. validation codes does not prove anything).
  337.  
  338. Hope the above helps.
  339.  
  340. Regards,
  341. Vesselin
  342. - -- 
  343. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  344. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  345. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  346.  
  347. ------------------------------
  348.  
  349. Date:    15 Jan 92 08:13:55 +0000
  350. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  351. Subject: Re: Joshi Virus and IDE Hard Drives (PC)
  352.  
  353. mcafee@netcom.netcom.com (McAfee Associates) writes:
  354.  
  355. > In any case, if CLEAN-UP says that a virus cannot safely be removed from
  356. > the partition table, you have several options available to you other
  357. > then doing a low-level format.
  358.  
  359. > 1.    If you're so inclined, you can copy the partition table off of
  360. >     an identically partitioned hard disk and copy it over the PT of
  361. >     the infected hard disk.
  362.  
  363. Don't do that, unless you perfectly know what you are doing! It is
  364. dangerous; you can destroy all your information on the disk. The
  365. keyword here is "identically". If the other disk is not really
  366. IDENTICALLY partitioned (and with the same size/type/etc.), then
  367. copying it's partition table may have unpredictable rezults. The
  368. problem is that you might not recognize that the partition is not
  369. perfectly identical if you are not knowledgeable enough, so better
  370. don't try it!
  371.  
  372. > 2.    If you have MS-DOS 5.00, you can run the DOS FDISK command with
  373. >     the /MBR option.  This is an undocumented switch in the FDISK
  374. >     command that replaces the Master Boot Record code (alias partition
  375. >     table) while leaving the data portion intact.
  376.  
  377. This is the best solution. However, it requires a DOS 5.0 system
  378. diskette.
  379.  
  380. > 3.    Use a sector editor to change the last two bytes of the partition
  381. >     table, which are "55 AA" to anything else.  This will invalidate
  382. >     the partition table information, and you can then re-FDISK and
  383. >     FORMAT the disk.
  384.  
  385. This is no better than low-level formatting the disk - you'll still
  386. lose the whole information on it.
  387.  
  388. An alternative is to use a sector editor (like Norton Utitlities), to
  389. look at track 0, side 0, sector 9 (this is where Joshi stores the
  390. original master boot sector), and if it contains a valid
  391. partition table and a master boot program, to copy it over track 0,
  392. side 0, sector 1. Again, this is dangerous and should be done ONLY if
  393. you know what you are doing!
  394.  
  395. Of course, all this must be done ONLY after booting from a
  396. non-infected, write-protected system diskette, since Joshi is a
  397. stealth virus.
  398.  
  399. > Naturally, there is always a small amount of risk in doing any of this, so
  400.  
  401. One can argue about the actual amount of risk, but as you say
  402.  
  403. > it's always a good idea to make a backup of the hard disk before proceeding.
  404.  
  405. This is really a good idea.
  406.  
  407. > Another possibility is that you do not have the virus at all and instead are
  408. > experiencing a "ghost" effect, that is, when a fragment of viral code is left
  409. > at the end of a file somewhere on the disk that is loaded into memory with
  410. > the file and causes a false alarm.  This can be fixed by running a disk
  411. > optimizing program to defragment the disk, or there's a program somwhere in
  412. > the simtel archives called COVERUP or COVERUP1 that will null-out the ends
  413. > of files.
  414.  
  415. Wait Aryeh, the original poster speaks about Joshi! And Joshi is a
  416. master boot sector infector, so how can a ghost false positive be
  417. fixed by optimizing the disk?! The ghost (the small amount of inactive
  418. code which was left after the disinfection) resides in the partition
  419. table, not in the files! BTW, when CLEAN disinfects the hard disk,
  420. does it overwrite the whole virus or does it just write a valid master
  421. boot program on it? Maybe this is what is causing the ghost alert?
  422.  
  423. Regards,
  424. Vesselin
  425. - -- 
  426. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  427. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  428. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  429.  
  430. ------------------------------
  431.  
  432. Date:    Wed, 15 Jan 92 15:26:52 +0700
  433. From:    "Christian Fritze ( 'WonkoTheSane' )" <CKVB33@DDOHRZ11.BITNET>
  434. Subject: VSHIELD and MS WORD - incompatible ??? (PC)
  435.  
  436. Hi to everybody!
  437. I'm posting the following for a friend who has no net access.
  438. (I think this is not *quite* a virus problem but related closely
  439. enough...)
  440.  
  441. Virtually yours,
  442. Christian Fritze ( 'WonkoTheSane' )
  443. addresses: ofritze@nyx.cs.du.edu and wonko@m-net.ann-arbor.mi.us
  444. until (and including) feb '92 on ckvb33@ddohrz11.bitnet as well
  445. <fill in your favourite disclaimer here...>
  446.  
  447. ********************** Original MSG follows **********************
  448.  
  449.    We have problems with McAffee's VSHIELD and Microsoft Word 5.0(german)
  450. while using the mouse. When the mouse cursor is moved rapidly, the
  451. system hangs, except for the mouse cursor. We tried on different computers
  452. (286 and 386, both with AMI-BIOS), with different mouse-drivers
  453. (MS 6.25Z/7.04/8.10), different DOS Versions (MS 3.30/5.00) and with
  454. Word 5.0 installed from different sets of installation disks.
  455.    Using DOS 5.00 and MS-mousedriver 8.10 loaded high we at least get the
  456. error-message "Speicherzuordnungsfehler, Command kann nicht geladen
  457. werden, System angehalten", (in english probably: memory usage-error,
  458. command cannot be loaded, system halted).
  459.    Our actual Version of vshield is 4.3V84, but the problem appeared also
  460. using V82. Starting parameters are /cv /chkhi /contact.
  461.    Trying to remove vshield in a batch and then starting word is
  462. possible, vshield gets inactive, but it's not removed completely.
  463. Using mem /c one can see a 34kByte area of free memory which formerly
  464. belonged to vshield.
  465. Does anybody know the reason for this and/or a way to get around it?
  466. Thanx in advance
  467.  
  468. ------------------------------
  469.  
  470. Date:    Wed, 15 Jan 92 08:31:11 -0500
  471. From:    padgett%tccslr.dnet@mmc.com (A. Padgett Peterson)
  472. Subject: re: DOS Virus Infects UNIX box (PC) (UNIX)
  473.  
  474. >From:    bear@fsl.noaa.gov (Bear Giles 271 X-6076)
  475.  
  476. >Unfortunately, that system had been infected with the 'Stoned' virus.
  477. >This virus overwrote the UNIX BOOT TRACK when the infected DOS was
  478. >booted.
  479.  
  480. >Result -- no more SVR5.  We will probably have to perform a low-level
  481. >format of the disk and rebuild the UNIX from original media.
  482.  
  483. I posted an in-depth reply to RISKs so will not bother to do so again
  484. since everyone here knows the difference between file infectors and
  485. MBR infectors (besides I deleted the reply being chronically short of
  486. disk space).
  487.  
  488. In short, while certainly STONED can damage an intel-based UNIX
  489. machine using an IBM-type (what is the proper term anyway ?) BIOS, it
  490. cannot per se infect it since the machine cannot boot properly & so
  491. cannot spread. Whether repair is as simple as booting with DOS and
  492. running my FixMBR (which should be compatable as should SafeMBR)
  493. depends on whether or not there was anything important in absolute
  494. sector seven just like a DOS Stoned recovery depends on the type of
  495. FDISK used to format the disk.
  496.  
  497. The real message though is that while a DOS MBR or BR infector could
  498. DAMAGE SOME intel-based UNIX boxes, at least at the moment, these are
  499. no DOS/Unix viruses that I know of.
  500.  
  501.                         Cooly (43 this morning)
  502.  
  503.                                 Padgett
  504.  
  505. ------------------------------
  506.  
  507. Date:    15 Jan 92 09:15:14 +0000
  508. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  509. Subject: Re: New Antivirus Organization Announced
  510.  
  511. RTRAVSKY@corral.uwyo.edu (Rich Travsky 3668 (307) 766-3663/3668) writes:
  512.  
  513. >     Virus Busters Join Hands  --  The Antivirus Methods Congress, a
  514. >     newly formed organization to combat computer viruses, was announced
  515. >     last week with the goal of bringing users, vendors and researchers
  516. >     together to tackle virus attacks on networks in the private and
  517. >     government sectors.
  518.  
  519. >     Dick Lefkon, associate professor at New York University and chair-
  520. >     man of the new group, said the organization already has 50 members,
  521. >     including representatives from Martin Marietta Corp., the
  522. >     insurance industry, the state of Arizona's legal department,
  523.  
  524. Well, I see that they have already got the users... :-)
  525.  
  526. >     Northern Telecom, Inc. and universities in Hamburg, Germany, and
  527. >     Iceland.
  528.  
  529. Aha, here are some researchers... :-)
  530.  
  531. > Any typos are without a doubt mine!  (BTW, anyone have a list/whatever of
  532. > existing antivirus orgs? Just curious.)
  533.  
  534. Well, to be honest, I have never heard about that. But, I can speak
  535. only about myself; I'll ask Prof. Brunnstein whether he knows
  536. something on the subject (he is the head of the Virus Test Center at
  537. the Hamburg University) and will inform you.
  538.  
  539. Regards,
  540. Vesselin
  541. - -- 
  542. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
  543. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
  544. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
  545.  
  546. ------------------------------
  547.  
  548. Date:    Wed, 15 Jan 92 16:11:21 +0000
  549. From:    geoffb@coos.dartmouth.edu (Geoff Bronner)
  550. Subject: Re: New to the forum - question
  551.  
  552. LUSTIG@wsmc-mis.af.mil (LUSTIG, ROB L.) writes:
  553.  
  554. >Greetings, I am new to this area and wonder how often people actually
  555. >come across virui?  I have found only a couple per year crop up and
  556. >haven't had one actually do any real damage (except to people's egos).
  557.  
  558. This is something that varies from site to site, I'm sure.  Dartmouth
  559. is a site that is very prone to viruses, we have many inexperienced
  560. mac users on the campus who have the ability to share files all the
  561. time. Viruses get here very quickly on visitors disks or via ftp and
  562. spread rapidly once they do arrive.  How often you find them depends.
  563. I would say that the avergage user here who is running Disinfectant
  564. INIT (most do) sees viri very rarely. A couple times a year maybe.
  565. Since I run a cluster and support dozens of macs and ibms directly I
  566. see them more often. Even so, things are better. 3 or 4 years ago I
  567. could expect to see an infected disk or hard disk every day.  After
  568. several years of spreading inits like Disinfectant INIT and Gatekeeper
  569. Aid around I see an infected disk maybe once a week. Usually on the
  570. anti-viral scanning station at the entrance to the cluster I run.
  571.  
  572. - -Geoff
  573. - --
  574. geoffb@Dartmouth.EDU  -  Computing Support Technician, Tuck School of Business
  575. "The powers not delegated to the United States by the Consititution, nor
  576.  prohibited by it to the States, are reserved to the States respectively,
  577.  or the people."    - United States Constitution, Amendment X.
  578.  
  579. ------------------------------
  580.  
  581. Date:    Wed, 15 Jan 92 00:04:45 +0000
  582. From:    mcafee@netcom.netcom.com (McAfee Associates)
  583. Subject: Re: Gulf War "virus"
  584.  
  585. fstuart@eng.auburn.edu (Frank Stuart) writes:
  586. <Moderator's note deleted>
  587. >CNN is reporting that a computer "virus" was used during the Gulf War.
  588. >Reportedly, the virus was used to blank the screens of Iraq's air
  589. >defense computers.  The alleged virus was supposed to have been hidden
  590. >in a printer chip that was smuggled in from Jordan.  I (and many
  591. >others, I'm sure) would be very interested if anyone has further
  592. >information.
  593.  
  594. Hi Frank,
  595.  
  596. The original "source" of this virus is an article that appeared in the
  597. April 1st, 1991 (April Fools' Day) issue of InfoWorld Magazine as a
  598. gag.  Maybe a reporter or some other person came across the article
  599. and thought it was serious.
  600.  
  601. Regards,
  602.  
  603. Aryeh Goretsky
  604. McAfee Associates Technical Support
  605.  
  606. - -- 
  607. - - - -
  608. McAfee Associates        | Voice (408) 988-3832 | mcafee@netcom.com  (business)
  609. 4423 Cheeney Street      | FAX   (408) 970-9727 | "Welcome to the alligator 
  610. Santa Clara, California  | BBS   (408) 988-4004 | farm..."
  611. 95054-0253  USA          | v.32  (408) 988-5190 | CompuServe ID: 76702,1714
  612. ViruScan/CleanUp/VShield | HST   (408) 988-5138 | or GO VIRUSFORUM 
  613.  
  614. ------------------------------
  615.  
  616. Date:    Tue, 14 Jan 92 19:12:00 -0500
  617. From:    HAYES@urvax.urich.edu
  618. Subject: updated version of Padget's FixMBR (PC)
  619.  
  620. Hello.
  621. just received and will make available tonight the new version of A. Padgett
  622. Peterson FixMBR.  The archive file is FIXMBR22.ZIP.
  623.  
  624. As usual, the file will be located in:
  625. Site:        urvax.urich.edu, IP# 141.166.1.6
  626. Directory:    msdos.anonymous
  627. User:        anonymous
  628. Password:    your_email_address.
  629.  
  630. As usual, once logged on, the user will be in the anonymous directory.  TYping
  631. cd msdos.antivirus should move you in the directory where FIXMBR22 resides.
  632.  
  633. Thanks to Padgett for another very useful utility.
  634.  
  635. Best, Claude.
  636.  
  637. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  638. Claude Bersano-Hayes     HAYES @ URVAX                 (Vanilla BITNET)
  639. University of Richmond   hayes@urvax.urich.edu     (Bitnet or Internet)
  640. Richmond, VA  23173
  641.  
  642.  
  643. ------------------------------
  644.  
  645. Date:    Tue, 14 Jan 92 06:27:31 -0800
  646. From:    Eric_Florack.Wbst311@xerox.com
  647. Subject: Report: 8th Chaos Computer Congress 
  648.  
  649. The following message was copied from RISKS-L.  Of particular  interest to
  650. VIRUS-L reader will be where the writer inserts 'comment #1'. That such
  651. gatherings are becoming  more sparsely populated is a positive step.  But is
  652. it, perhaps, time for people such as the UN , or perhaps the ITU, to invoke
  653. sanctions against countries that allow such groups to thrive? ( Comments are my
  654. own....I don't expect anyone else to have the guts to agree with me. ) (Grin)
  655. - -=-=-=--=-=-=
  656. Date: 9  Jan 92 16:37 +0100
  657. From: Klaus Brunnstein <brunnstein@rz.informatik.uni-hamburg.dbp.de>
  658. Subject: Chaos Congress 91 Report
  659.  
  660.                  Report: 8th Chaos Computer Congress
  661.  
  662. On occasion of the 10th anniversary of its foundation, Chaos Computer Club
  663. (CCC) organised its 8th Congress in Hamburg (Dec.27-29, 1991). To more than 400
  664. participants (largest participation ever, with growing number of students
  665. rather than teen-age scholars), a rich diversity of PC and network related
  666. themes was offered, with significantly less sessions than before devoted to
  667. critical themes, such as phreaking, hacking or malware construction.  Changes
  668. in the European hacker scene became evident as only few people from Netherlands
  669. (see: Hacktick) and Italy had come to this former hackers' Mecca.
  670. Consequently, Congress news are only documented in German.  As CCC's founding
  671. members develop in age and experience, reflection of CCC's role and growing
  672. diversity (and sometimes visible alienity between leading members) of opinions
  673. indicates that teen-age CCC may produce less spectacular events than ever
  674. before.
  675.  
  676. This year's dominating theme covered presentations of communication techniques
  677. for PCs, Ataris, Amigas and Unix, the development of a local net (mousenet.txt:
  678. 6.9 kByte) as well as description of regional (e.g.  CCC's ZERBERUS;
  679. zerberus.txt: 3.9 kByte) and international networks (internet.txt: 5.4 kBytes),
  680. including a survey (netzwerk.txt: 53.9 kByte).  In comparison, CCC'90 documents
  681. are more detailed on architectures while sessions and demonstrations in CCC'91
  682. (in "Hacker Center" and other rooms) were more concerned with practical
  683. navigation in such nets.
  684.  
  685. Phreaking was covered by the Dutch group HACKTIC which updated its CCC'90
  686. presentation of how to "minimize expenditures for telephone conversations" by
  687. using "blue" boxes (simulating specific sounds used in phone systems to
  688. transmit switching commands) and "red" boxes (using telecom-internal commands
  689. for testing purposes), and describing available software and recent events.
  690. Detailed information on phreaking methods in soecific countries and bugs in
  691. some telecom systems were discussed (phreaking.txt: 7.3 kByte). More
  692. information (in Dutch) was available, including charts of electronic circuits,
  693. in several volumes of Dutch "HACKTIC: Tidschrift voor Techno-Anarchisten"
  694. (=news for techno-anarchists).
  695.  
  696.      Remark #1: recent events (e.g. "Gulf hacks") and material presen ted on
  697.  Chaos Congress '91 indicate that Netherland emerges as a new European center of
  698.  malicious attacks on systems and networks.  Among other potentially harmful
  699.  information, HACKTIC #14/15 publishes code of computer viruses (a BAT-virus
  700.  which does not work properly; "world's shortest virus" of 110 bytes, a
  701.  primitive non-resident virus significantly longer than the shortest resident
  702.  Bulgarian virus: 94 Bytes).  While many errors in the analysis show that the
  703.  authors lack deeper insigth into malware technologies (which may change), their
  704.  criminal energy in publishing such code evidently is related to the fact that
  705.  Netherland has no adequate computer crime legislation.  In contrast, the advent
  706.  of German computer crime legislation (1989) may be one reason for CCC's less
  707.  devotion to potentially harmful themes.
  708.  
  709.      Remark #2: while few Netherland universities devote research and teaching
  710.  to in/security, Delft university at least offers introductory courses into data
  711.  protection (an issue of large public interest in NL) and security.  Professors
  712.  Herschberg and Aalders also analyse the "robustness" of networks and systems,
  713.  in the sense that students may try to access connected systems if the adressed
  714.  organisations agree.  According to Prof. Aalders (in a recent telephone
  715.  conversation), they never encourage students to attack systems but they also do
  716.  not punish students who report on such attacks which they undertook on their
  717.  own.  (Herschberg and Alpers deliberately have no email connection.)
  718.  
  719. Different from recent years, a seminar on Computer viruses (presented by Morton
  720. Swimmer of Virus Test Center, Univ. Hamburg) as deliberately devoted to
  721. disseminate non-destructive information (avoiding any presentation of virus
  722. programming).  A survey of legal aspects of inadequate software quality
  723. (including viruses and program errors) was presented by lawyer Freiherr von
  724. Gravenreuth (fehlvir.txt: 5.6 kByte).
  725.  
  726. Some public attention was drawn to the fact that the "city-call" telephone
  727. system radio-transmits information essentially as ASCII.  A demonstration
  728. proved that such transmitted texts may easily be intercepted, analysed and even
  729. manipulated on a PC.  CCC publicly warned that "profiles" of such texts (and
  730. those adressed) may easily be collected, and asked Telecom to inform users
  731. about this insecurity (radioarm.txt: 1.6 kByte); German Telecom did not follow
  732. this advice.
  733.  
  734. Besides discussions of emerging voice mailboxes (voicebox.txt: 2.8 kBytes), an
  735. interesting session presented a C64-based chipcard analysis systems
  736. (chipcard.txt: 3.3 kBytes).  Two students have built a simple mechanism to
  737. analyse (from systematic IO analysis) the protocol of a German telephone card
  738. communicating with the public telephone box; they described, in some detail
  739. (including an elctronmicroscopic photo) the architecture and the system
  740. behaviour, including 100 bytes of communication data stored (for each call, for
  741. 80 days!)  in a central German Telecom computer. Asked for legal implications
  742. of their work, they argued that they just wanted to understand this technology,
  743. and they were not aware of any legal constraint.  They have not analysed
  744. possibilities to reload the telephone account (which is generally possible, due
  745. to the architecture), and they didnot analyse architectures or procedures of
  746. other chipcards (bank cards etc).
  747.  
  748. Following CCC's (10-year old charta), essential discussions were devoted to
  749. social themes.  The "Feminine computer handling" workshop deliberately excluded
  750. men (about 25 women participating), to avoid last year's experience of male
  751. dominancy in related discussions (femin.txt: 4.2 kBytes).  A session (mainly
  752. attended by informatics students) was devoted to "Informatics and Ethics"
  753. (ethik.txt: 3.7 kByte), introducing the international state-of-discussion, and
  754. discussing the value of professional standards in the German case.
  755.  
  756. A discussion about "techno-terrorism" became somewhat symptomatic for CCC's
  757. actual state.  While external participants (von Gravenreuth, Brunnstein) were
  758. invited to this theme, CCC-internal controversies presented the panel
  759. discussion under the technical title "definition questions".  While one
  760. fraction (Wernery, Wieckmann/terror.txt: 7.2 kByte) wanted to discuss
  761. possibilities, examples and dangers of techno-terrorism openly, others (CCC
  762. "ol'man" Wau Holland) wanted to generally define "terrori
  763.