home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / pirate2.008 < prev    next >
Encoding:
Text File  |  2003-06-11  |  60.6 KB  |  1,308 lines
  1.  
  2.    *******************************************************
  3.    *  PHILE 8: VIRUSES                                   *
  4.    *******************************************************
  5.  
  6. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  7.  
  8. There has been a lot of concern about viruses, even though
  9. they still seem to be relatively rare. Forewarned is forearmed,
  10. as they say, and we've come across a pretty useful anti-virus
  11. newsletter called VIRUS-L that gives info on all the latest
  12. bugs, vaccines, and general gossip. It's called VIRUS-L, and
  13. we've found it helpful, so we've extracted some of the best
  14. of the stuff and passed it along. Thanks to FLINT (of the
  15. UNDERGROUND) and CHRIS ROBIN for pulling some of the stuff
  16. together.
  17.  
  18.  
  19. * * *
  20. VIRUS-L is a moderated, digested mail forum for discussing computer
  21. virus issues; comp.virus is a non-digested Usenet counterpart.
  22. Discussions are not limited to any one hardware/software platform -
  23. diversity is welcomed.  Contributions should be relevant, concise,
  24. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU.  Information on
  25. accessing anti-virus, document, and back-issue archives is distributed
  26. periodically on the list.  Administrative mail (comments, suggestions,
  27. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  28.  - Ken van Wyk
  29.  
  30. ---------------------------------------------------------------------------
  31.  
  32. Date:    Wed, 06 Sep 89 11:54:00 -0400
  33. From:    Peter W. Day <OSPWD%EMUVM1.BITNET@IBM1.CC.Lehigh.Edu>
  34. Subject: Re: Appleshare and viruses
  35.  
  36. >Date:    04 Sep 89 01:18:53 +0000
  37. >From:    gilbertd@silver.bacs.indiana.edu (Don Gilbert)
  38. >Subject: Appleshare and viruses ?
  39. >
  40. >What are the conditions under which current Mac viruses can
  41. >infect files on Appleshare volumes?
  42.  
  43. I have not attempted to infect any files with a virus, whether on an
  44. AppleShare volume or otherwise, but based on what I know about
  45. Macintosh, AppleShare and viruses, here is what I think is true.
  46.  
  47. A Mac virus can infect a file only if it can write to the file, no matter
  48. where the file is located. A micro cannot access an AppleShare volume
  49. directly: it must ask the server to access the AppleShare volume on its
  50. behalf.  As a result, the server can enforce access privileges.
  51.  
  52. Access privileges apply only to FOLDERS. For the benefit of other
  53. readers, the privileges are See Files, See folders and Make Changes.
  54. They apply individually to the owner, a group, and everyone.
  55.  
  56. I experimented writing directly to files and folders on an AppleShare
  57. volume using Microsoft Word, typing the explicit file path in a
  58. Save As... dialog box.  For a file to be changeable, the volume and
  59. folders in the file path must have See Folders privilege, and the final
  60. folder must have See Files and Make Changes privilege. The virus would
  61. probably need to search for files to infect, and would only find files
  62. along paths with See Folders privs for the volume and folders in the
  63. path, and See Files in the final folder.
  64.  
  65. Macintoshes used with shared files are subject to trojans, and the trojan
  66. could be infected with a virus.  Consider the following scenario: A user
  67. has a private folder on a volume shared with others using (say)
  68. AppleShare. The volume has a folder containing a shared application
  69. named, say, Prog1, and the folder has everyone See Files and
  70. See Folders but not Make Changes (i.e. it is read-only). The user makes
  71. a private copy of Prog1, and later runs a virus-infected program locally
  72. while the shared volume is mounted, and the copy of Prog1 becomes
  73. infected. The user now makes his AppleShare folder sharable (See Files,
  74. See Folders) to everyone (so that someone can copy a file he has,
  75. say). Another user double-clicks on a document created by Prog1,
  76. and the Mac Finder happens to find the infected copy of Prog1 before
  77. finding the other copy. As a result, the second user's files become
  78. infected.
  79.  
  80. Thus I recommend that private folders be readable only by the owner as a
  81. matter of policy.  Allowing everyone Make Changes creates drop folders
  82. so that users can exchange files. Drop Folders are safe enough in that
  83. AppleShare does not allow you to overwrite a file when you only have
  84. Make Changes priv. However, users should be told to run a virus check
  85. on any files that others drop in their folders.
  86.  
  87. ------------------------------
  88.  
  89. ---------------------------------------------------------------------------
  90.  
  91. Date:    04 Sep 89 16:41:39 +0000
  92. From:    jwright@atanasoff.cs.iastate.edu (Jim Wright)
  93. Subject: New Amiga virus ?
  94.  
  95.  
  96. This was recently posted to comp.sys.amiga...
  97.  
  98. In article <716@mathrt0.math.chalmers.se> d8forma@dtek.chalmers.se (Martin Fors
  99. sen) writes:
  100. |
  101. |  Last night a friend called me, since he suspected he had a virus.
  102. |  I gladly grabbed my copy of VirusX (3.20) and drove over, but VirusX
  103. |  reported no virus. However I saw the text from the virus myself, and
  104. |  a closer look at the diskette showed that the file c/addbuffers had grown,
  105. |  furthermore a file with a blank name had appeared in devs.
  106. |
  107. |  The main symptom of this virus is that every fourth time you reboots the tex
  108. |
  109. |            A Computer virus is a disease
  110. |
  111. |             Terrorism is a transgession
  112. |
  113. |             Software piracy is a crime
  114. |
  115. |                  this is the cure
  116. |
  117. |         BGS9  Bundesgrensschutz sektion 9
  118. |               sonderkommando "EDV"
  119. |
  120. |  On this disk the virus had replaced the file c/addbuffers, the size of this
  121. |  new file was 2608 bytes. The above text is encoded in the program, but the
  122. |  graphics.library :-)  The orginal addbuffers command was stored in a "blank"
  123. |  file in the devs directory.
  124. |  The addbuffers command was the second in the startup sequence on this disk.
  125. |  I think the virus looks in the startup-sequence for somthing (probably
  126. |  files to infect), since I found the string sys:s/startup-sequence coded
  127. |  in the virus.
  128. |  I don't know if this virus does any damage, but the person first infected
  129. |  hasn't noticed anything.
  130. |
  131. |  The questions I now ask me is:
  132. |
  133. |  Is this a known virus?
  134. |
  135. |  and if the answer is no,
  136. |
  137. |  What is Steve Tibbets mail adress?
  138. |
  139. |
  140. |                             MaF
  141. |
  142. |   Chalmers  |USENET:d8forma@dtek.chalmers.se | " Of course I'm not lost,
  143. |  University |SNAIL:  Martin Forssen          |   I just haven't pinpointed
  144. |      of     |        Marielundsgatan 9       |   exactly where we are at the
  145. |  Technology |SWEDEN  431 67 Molndal          |   moment " (David Eddings)
  146.  
  147. - --
  148. Jim Wright
  149. jwright@atanasoff.cs.iastate.edu
  150.  
  151. ------------------------------
  152.  
  153. Date:    Fri, 01 Sep 00 11:51:00 -0400
  154. From:    Bob Babcock <PEPRBV%CFAAMP.BITNET@IBM1.CC.Lehigh.Edu>
  155. Subject: Re: Is this a virus? (PC)
  156.  
  157. >When I copy some
  158. >files to a floppy but I misput a write protected diskette, I find the
  159. >error massage "retry, ...". At this time, if I answer "r" to the
  160. >massage and puting a non-protected diskette, then the FAT and
  161. >DIRECTORY of the protected diskette is transfered to the second non
  162. >protected diskette(and the files that I copied to). Is this a DOS's
  163. >bug or a virus?
  164.  
  165. This is a known behavior of MS-DOS.  The directory and FAT have
  166. already been read before the write protect error is sensed, and
  167. when you say retry, DOS doesn't know that you have changed disks,
  168. so it doesn't reread the directory info.
  169.  
  170. ------------------------------
  171.  
  172. Date:    Fri, 01 Sep 89 16:55:59 -0500
  173. From:    Joe Simpson <JS05STAF@MIAMIU.BITNET>
  174. Subject: Re: is this a virus? (PC)
  175.  
  176. In response to the question about the FAT from a locked disk being
  177. written to another disk this is a feature of MS-DOS, not a virus.
  178.  
  179. Another chilling scenario conserns running an application such as a
  180. word processor, opening a document, exchangeing data diskettes, and
  181. saving a "backup" of the file.  This often hoses the "backup" disk and
  182. sometines affects the origional file.
  183.  
  184. ------------------------------
  185.  
  186. Date:    01 Sep 89 15:41:00 -0400
  187. From:    "Damon Kelley; (RJE)" <damon@umbc2.umbc.edu>
  188. Subject: Kim's question concerning FATs (PC)
  189.  
  190. In response to Kim:
  191.     I'm no expert at MS-DOS or software-stuff, but I've been poking
  192. around in my computer's memory long enough to believe that what you
  193. are describing may be normal with MS-DOS.  Often I see that within
  194. memory, data stays in its assigned spot until something moves or
  195. writes over it.  I notice this effect with a certain software
  196. word-processing/graphing/spreadsheet package I have.  Sometimes when I
  197. am retreiving data with my package, I place a data disk first before
  198. putting in the main program disk. The program needs to do something
  199. with the disk with the main program first, so the package asks for the
  200. main program disk.  Whe the directory pops up for the main program
  201. disk, it shows a conglomeration of the files on the curent disk PLUS
  202. the files that were on the removed data disk and some random garbage.
  203. Nothing grave has happened to my files with this package (It came with
  204. my computer.  It wasn't PD/Shareware, either.), so I feel that this
  205. may be either a DOS bug (not writing over completely the FAT) or
  206. something normal.  Of course, I've never really had an opportunity to
  207. look at the directory track on any disks, so I can't confirm that this
  208. is absolutely true.  I can find out.  Has anyone out there found mixed
  209. FATs affecting the performance of their disks?
  210.  
  211. ------------------------------
  212.  
  213. Date:    Wed, 30 Aug 89 14:41:53 -0000
  214. From:    LBA002%PRIME-A.TEES-POLY.AC.UK@IBM1.CC.Lehigh.Edu
  215. Subject: nVIR A and nVIR B explained (Mac)
  216.  
  217. I spotted this in the August issue of Apple2000 (a UK Mac user
  218. group magazine.) It first appeared on the Infomac network and the
  219. author is John Norstad of Academic Computing & Network Services,
  220. Northwestern University (hope it's OK with you to reproduce this
  221. John?) It may be old-hast to all the virus experts but I found it
  222. interesting & informative.
  223.  
  224. nVIR A & B
  225.  
  226. There has been some confusion over exactly what the nVIR A & nVIRB
  227. viruses actually do. In fact, I don't believe the details have
  228. ever been published. I just finished spending a few days
  229. researching the two nVIR viruses. This report presents my
  230. findings.  As with all viruses, nVIR A & B replicate. When you
  231. run an infected application on  a clean system the infection
  232. spreads from the application to the system file. After rebooting
  233. the infection in turn spreads from the system to other
  234. applications, as they are run.  At first nVIR A & B only
  235. replicate. When the system file is first infected a counter is
  236. initialized to 1000. The counter is decremented by 1 each time
  237. the system is booted, and  it is decremented by 2 each time an
  238. infected application is run.  When the counter reaches 0 nVIR A
  239. will sometimes either say "Don't Panic" (if MacinTalk is
  240. installed in the system folder) or beep (if MacinTalk is not
  241. installed in the system folder.) This will happen on a system
  242. boot with a probability of 1/16. It will also happen when an
  243. infected application is launched with a probability of 31/256. In
  244. addition when an infected application is launched nVIR A may say
  245. "Don't Panic" twice or beep twice with a probability of 1/256.
  246. When the counter reaches 0 nVIR B will sometimes beep. nVIR B
  247. does not call MacinTalk. The beep will happen on a system boot
  248. with a probability of 1/8. A single beep will happen when an
  249. infected application is launched with a probability of 15/64. A
  250. double beep will happen when an application is launched with a
  251. probability of 1/64.  I've discovered that it is possible for
  252. nVIRA and nVIRB to mate and sexually reproduce, resulting in new
  253. viruses combining parts of their parents.  For example if a
  254. system is infected with nVIRA and if an application infected with
  255. nVIRB is tun on that system, part of the nVIRB infection is
  256. replaced by part of the nVIRA infection from the system.  The
  257. resulting offspring contains parts from each of its parents, and
  258. behaves like nVIRA.  Similarly if a system is infected with nVIRB
  259. and if an application infected with nVIRA is run on that system,
  260. part of the nVIRA infection in the application is replaced by
  261. part of the nVIRB infection from the system. The resulting
  262. offspring is very similar to its sibling described in the
  263. previous paragraph except that it has the opposite "sex" - each
  264. part is from the opposite parent. it behaves like nVIRB.  These
  265. offspring are new viruses. if they are taken to a clean system
  266. they will infect that system, which will in turn infect other
  267. applications. The descendents are identical to the original
  268. offspring.  I've also investigated some of the possibly incestual
  269. matings of these two kinds of children with each other and with
  270. their parents. Again the result is infections that contain
  271. various combinations of parts from their parents.
  272.  
  273. (Hot stuff!)
  274.  
  275. Rgds,
  276.  
  277. Iain Noble
  278.  
  279. ------------------------------
  280.  
  281. Date:    Tue, 29 Aug 89 16:05:44 +0300
  282. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
  283. Subject: PC virus list; Swap virus; Israeli virus; Disassemblies
  284.  
  285.   For several reasons, one of which is very irregular receipt of
  286. VIRUS-L, I've been out of touch with it for several weeks now.  So
  287. please forgive me if some of the postings referred to below are a few
  288. weeks old.
  289.  
  290.   PC Virus List
  291.   -------------
  292.   Lan Nguyen asks whether a list of PC viruses, incl. date first dis-
  293. covered and source(s), exists.  I will soon be submitting to VIRUS-L a
  294. considerably updated version of the list I first posted on May 16.
  295. Meanwhile, Lan, I'm sending you my list as it currently stands (29
  296. viruses, 70 strains).
  297.  
  298.   The Swap Virus
  299.   --------------
  300.   Yuval Tal writes:
  301. >I don't think that it is so important how we call the virus.  I've
  302. >decided to call it the swap virus becuase the message "The Swapping-
  303. >Virus...' appears in it!  .......  I think that calling it "The
  304. >Dropping Letter Virus" will be just fine.
  305.  
  306.   Well, "The Dropping Letter Virus" would be a poor choice since (as I
  307. mentioned in an earlier posting) this also describes the Cascade and
  308. Traceback viruses.
  309.   Yuval has explained that he originally called it the Swap virus
  310. because it writes the following string into bytes B7-E4 of track 39,
  311. sector 7 (if sectors 6 and 7 are empty):
  312.           The Swapping-Virus. (C) June, 1989 by the CIA
  313. However, he has not publicly explained how the words SWAP VIRUS FAT12
  314. got into the boot sector of some of the diskettes infected by this
  315. virus, so let me fill in the details.  As David Chess and John McAfee
  316. both pointed out quite correctly, these words are not part of the
  317. virus.  What happened was that Yuval wrote a volume label SWAP VIRUS
  318. onto each infected diskette for identification.  Had his system been
  319. DOS 3 the label would have been written only into the root directory.
  320. But since he was apparently using DOS 4, it was also written into
  321. bytes 2Bh-35h of the boot sector.  (That still leaves the string FAT12
  322. in bytes 36h-3Ah to be explained.  Under DOS4, the field 36h-3Dh is
  323. supposed to be "reserved".  Anyone got any comments on that?)  So
  324. although I didn't know at the time that the words SWAP VIRUS came from
  325. Yuval, it seems that my (and his original) suggestion to call it the
  326. Swap virus is still the best choice.
  327.  
  328.   The Israeli/Friday-13/Jerusalem Virus
  329.   -------------------------------------
  330.   In response to a query from Andrew Berman, David Rehbein gave a
  331. quite accurate description of the virus, except for one small point:
  332. >(It will infect and replicate itself in ANY executible, no matter
  333. >the extension..check especially .OVL and .SYS)
  334.  
  335.   To the best of my knowledge, no strain of this virus (or, for that
  336. matter, of any other virus that I know of) infects overlay or SYS
  337. files.
  338.  
  339.   Andrew Berman writes concerning this virus:
  340. >                                                          She think's
  341. >she's cleaned it out by copying only the source codes to new disks,
  342. >zapping the hard drives, and recompiling everything on the clean hard
  343. >disks.
  344.  
  345.   It's a pity that so many people try to eradicate the virus by such
  346. difficult means when (as has been mentioned on this list and else-
  347. where) there is a file named UNVIR6.ARC on SIMTEL20 (in <MSDOS.TROJAN-
  348. PRO>) containing a program called UNVIRUS which will easily eradicate
  349. this virus and 5-6 others as well, plus a program IMMUNE to prevent
  350. further infection.
  351.  
  352.   Disassembling of Viruses
  353.   ------------------------
  354.  In response to a posting by Alan Roberts, David Chess replied:
  355.  
  356. >I think it's probably a Good Thing if at least two or three people do
  357. >independant disassemblies of each virus, just to make it less likely
  358. >that something subtle will be missed.  I know my disassemblies (except
  359. >the ones I've spent lots of time on) always contain sections marked
  360. >with vaguenesses like "Does something subtle with the EXE file header
  361. >here".  ....  I probably tend to lean towards "the more the merrier"!
  362.  
  363.   I can appreciate David's point.  However, I would like to point out
  364. that the quality of (commented) disassemblies differs greatly from one
  365. person to another.  As Joe Hirst of the British Computer Virus Re-
  366. search Centre writes (V2 #174):
  367. >Our aim will be to produce disassemblies which cannot be improved upon.
  368.  
  369. And this isn't merely an aim.  In my opinion, his disassemblies are an
  370. order of magnitude better than any others I've seen.  He figures out
  371. and comments on the purpose of *every* instruction, and vagueness or
  372. doubt in his comments is extremely rare.
  373.   What I'm suggesting is this: If you have the desire, ability, time
  374. and patience to disassemble a virus yourself, then have fun.  But
  375. unless you're sure it's a brand new virus, you may be wasting your
  376. time from the point of view of practical value to the virus-busting
  377. community.  And even if you are sure that it's a new virus, take into
  378. account that there are pros like Joe who can probably do the job much
  379. better than you.
  380.   So what about David's point that any given disassembler may miss
  381. something subtle?  Well, I'm not saying that Joe Hirst should be the
  382. *only* person to disassemble viruses.  Even he is only human, so there
  383. should be one or two other good disassemblers to do the job indepen-
  384. dently.  But no more than 1 or 2; I can't accept David's position of
  385. "the more the merrier".
  386.   Btw, disassemblers don't always get the full picture.  Take, for
  387. example, the Merritt-Alameda-Yale virus, of which I have seen three
  388. disassemblies.  They all mentioned that the POP CS instruction is
  389. invalid on 286 machines, yet none of them mentioned the important fact
  390. that when such a machine hangs the virus has already installed itself
  391. in high RAM and hooked the keyboard interrupt, so that the infection
  392. can spread if a warm boot is then performed!  That fact seems to have
  393. been noticed only by ordinary humans.
  394.  
  395.                                            Y. Radai
  396.                                            Hebrew Univ. of Jerusalem
  397.  
  398.  
  399. Date:    Thu, 24 Aug 89 08:36:01 -0700
  400. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  401. Subject: V-REMOVE (PC)
  402.  
  403.     The HomeBase group is releasing a new disinfector program that is
  404. able to remove all known viruses, repair all infected COM files, repair most
  405. infected EXE files, replace infected partition tables and boot sectors, and
  406. generally make life easier for people with infected IBM PCs.  Our previous
  407. practice of releasing one disinfector program per virus has given us a
  408. terrific maintenance headache, and so V-REMOVE (which does them all) is our
  409. next step on the path.  What we need now are beta testers with Large virus
  410. libraries.  Interested parties please contact John McAfee or Colin Haynes at
  411. 408 727 4559.
  412. Alan
  413.  
  414. ------------------------------
  415.  
  416. Date:    25 Aug 89 22:42:33 +0000
  417. From:    trebor@biar.UUCP (Robert J Woodhead)
  418. Subject: Re: Locking Macintosh disks
  419.  
  420.  
  421. DANIEL%NCSUVM.BITNET@IBM1.CC.Lehigh.Edu (Daniel Carr) writes:
  422.  
  423. >i bet this question has been asked before, so please excuse me, but
  424. >is it possible for a virus to infect a locked macintosh disk?
  425.  
  426. If the diskette is hardware locked (ie: the little slide is slid so
  427. that you can see a hole) then the hardware won't write onto that
  428. disk, so if you stick it into an infected machine it won't get
  429. infected.  If, on the other hand, files on an unlocked disk are
  430. locked in _software_, they may be fair game to a persnickety virus.
  431.  
  432.  
  433. Date:    Fri, 25 Aug 89 07:45:00 -0400
  434. From:    WHMurray@DOCKMASTER.ARPA
  435. Subject: (Hardware) Destructive Virus (Story)
  436.  
  437. >Does anyone on the list have some information about an alleged virus
  438. >that caused monitors on either older PCs, Ataris, or Amigas (I forgot which
  439. >platform....
  440.  
  441. The story is apocryphal.  Roots are as follows:
  442.  
  443. 1. Anything a computer can be programmed to do, a virus can do.  Thus,
  444. if a computer can be programmed for behavior that will damage the
  445. hardware, then it can be destroyed by a virus.
  446.  
  447. 2. Early IBM PC Monochrome Adapter had a flaw under which a certain set
  448. of instructions could interfere with the normal sweep circuit operation,
  449. causing camage to the monitor.
  450.  
  451. 3. Based upon this combination of facts, there has been speculation
  452. about the possibility of a virus exploiting this, or similar, flaws.
  453. Much of it has been in this list.
  454.  
  455. To my knowledge, no such virus has ever been detected.  The number of
  456. such PCs is vanishingly small but larger than the ones that such a virus
  457. might find.  Those that exist are so old that a monitor failure would be
  458. attributed to old age.  A virus would likely go unnoticed.
  459.  
  460. Of course, it is a little silly to build a computer such that it can be
  461. programmed to perform hardware damaging behavior.  Such damage is likely
  462. to occur by error.  That is how the flaw in the IBM's was discovered.
  463.  
  464. William Hugh Murray, Fellow, Information System Security, Ernst & Young
  465. 2000 National City Center Cleveland, Ohio 44114
  466. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
  467.  
  468. ------------------------------
  469.  
  470. Date:    Fri, 25 Aug 89 08:19:02 -0400
  471. From:    dmg@lid.mitre.org (David Gursky)
  472. Subject: Infecting applications on locked Mac disks...
  473.  
  474. No.  If the write-protect mechanism is working properly, any software operation
  475. will be unable to change the contents of the disk.  If the write-protect
  476. mechanism is somehow faulty, all bets are off.  Note:  The write-protect
  477. mechanism on Mac disks is done in hardware.
  478.  
  479. David Gursky
  480. Member of the Technical Staff, W-143
  481. Special Projects Department
  482. The MITRE Corporation
  483.  
  484. ------------------------------
  485.  
  486. Date:    Thu, 24 Aug 89 17:05:47 -0700
  487. From:    Steve Clancy <SLCLANCY@UCI.BITNET>
  488. Subject: vaccine source (PC)
  489.  
  490. I would like to offer our bulletin board system once again to the
  491. readers of Virus-L as a source of VIRUSCAN and other
  492. "vaccine/scanner" programs that are occasionally mentioned here.
  493. I attempt to keep up with the most recent versions I can locate
  494. of the various programs, and usually also have the current
  495. version of the Dirty Dozen trojan horse/list.
  496.  
  497. The Wellspring RBBS is located in the Biomedical Library of the
  498. University of California, Irvine (U.S.A).  Numbers and settings
  499. are as follows:
  500.  
  501.     Line # 1 -  (714) 856-7996 300-9600  (HST) N81 - 24 hours
  502.     Line # 2 -  (714) 856-5087 300-1200 baud N81   - Evenings & Weekends
  503.  
  504. Callers from Virus-L should use the following passwords to allow
  505. immediate access to downloading of files:
  506.  
  507.     First name     Last name     Password
  508.     ----------     ---------     --------
  509.     VL1            BITNET        BIT1
  510.  
  511.     VL2            BITNET        BIT2
  512.  
  513. All files are located in the VIR files directory.  The system
  514. uses standard RBBS commands.
  515.  
  516. I attempt to get my files from the original source whenever possible.
  517.  
  518. %   Steve Clancy, Biomedical Library  %  WELLSPRING RBBS            %
  519. %   University of California, Irvine  %  714-856-7996 300-9600 24hrs%
  520. %   P.O. Box 19556                    %  714-856-5087 300-1200      %
  521. %   Irvine, CA  92713   U.S.A.        %                             %
  522. %   SLCLANCY@UCI                      % "Are we having fun yet?"    %
  523.  
  524. ------------------------------
  525.  
  526. Date:    Mon, 28 Aug 89 13:45:10 -0700
  527. From:    fu@unix.sri.com (Christina Fu)
  528. Subject: Antidotes for the DATACRIME family (PC)
  529.  
  530.     Recently, I have had a chance to investigate the 1280, 1168 and
  531. DATACRIME II viruses, and found some interesting differences between
  532. the first two versions and DATACRIME II.  As a result, I have
  533. developed an antidote for both 1280 and 1168, and an antidote for the
  534. DATACRIME II.  Among the differences between these viruses, the most
  535. significant one for developing antidotes is that the DATACRIME II
  536. virus generates a mutually exclusive signature set than the other two.
  537. Because of the said difference, the antidote for the 1280 and 1168
  538. becomes a de-antidote for the DATACRIME II, and vice versa.  Which
  539. means, if a file is infected with either 1280 or 1168, it is still
  540. vulnerable of contracting DATACRIME II, and vice versa (this situation
  541. does not exist between 1280 and 1168, however).  If we view these
  542. viruses as two different strains, then these antidotes make more
  543. sense, otherwise, they can be useless.
  544.  
  545.     Another interesting thing is that the DATACRIME II purposely
  546. avoids infecting files with a "b" as the second character in the name
  547. (such as IBMBIO.COM and IBMDOS.COM), while the other two avoids to
  548. infect files with a "d" as the seventh character in the name (such as
  549. COMMAND.COM), and aside from that, the DATACRIME II virus can also
  550. infect EXE files, unlike the other two.
  551.  
  552.     I am looking into providing them to the public free of charge (I
  553. do not claim responsibility or ask for donation).  Any interested
  554. archive sites please let me know.
  555.  
  556.     By the way, I need a sample disclaimer for programs distributed in
  557. this manner.
  558.  
  559. ------------------------------
  560.  
  561. Date:    Mon, 21 Aug 89 13:36:00 -0400
  562. From:    WHMurray@DOCKMASTER.ARPA
  563. Subject: Hygeine Questions
  564.  
  565.  
  566. >1) Is the possibility of virus infection limited to executable
  567. >   programs (.com or .exe extensions)? Or can an operating system be
  568. >   infected from reading a document file or graphic image?
  569.  
  570. While a virus must succeed in getting itself executed, there are a
  571. number of solutions to this problem besides infecting .exe and .com.
  572. While it will always be sufficient for a virus to dupe the user, the
  573. most successful ones are relying upon bootstrap programs and loaders
  574. to get control.
  575.  
  576. >2) Are there generic "symptoms" to watch for which would indicate a
  577. virus?
  578.  
  579. Any unusual behavior may signal the presence of a virus.  Of course
  580. most such unusual behavior is simply an indication of user error.
  581. Since there is not much satisfaction to writing a virus if no one
  582. notices, most are not very subtle.  However, the mandatory behavior
  583. for a successful virus is to write to shared media, e.g., floppy,
  584. diskette, network, or server.  (While it may be useful to the virus or
  585. disruptive to the victim to write to a dedicated hard disk, this is
  586. not sufficient for the success of the virus.)
  587.  
  588. >3) Any suggestions on guidelines for handling system archiving
  589. >   procedures so that an infected system can be "cleaned up"?
  590.  
  591. WRITE PROTECT all media.  Preserve vendor media indefinitely.  Never
  592. use the backup taken on one system on any other.  Be patient when
  593. recovering; be careful not to reinfect.  (Computer viruses are
  594. persistent on media.)
  595.  
  596. Quarantine systems manifesting strange behavior.  Never try to
  597. reproduce symptoms on a second machine.  Never share media
  598. gratuitously.  (Note that most PC viruses are traveling on shared
  599. MEDIA rather than on shared PROGRAMS.)
  600.  
  601. ____________________________________________________________________
  602. William Hugh Murray                     216-861-5000
  603. Fellow,                                 203-966-4769
  604. Information System Security             203-964-7348 (CELLULAR)
  605.                                         ARPA: WHMurray@DOCKMASTER
  606. Ernst & Young                           MCI-Mail: 315-8580
  607. 2000 National City Center               TELEX: 6503158580
  608. Cleveland, Ohio 44114                   FAX: 203-966-8612
  609.                                         Compu-Serve: 75126,1722
  610.                                         INET: WH.MURRAY/EWINET.USA
  611. 21 Locust Avenue, Suite 2D              DASnet: [DCM1WM]WMURRAY
  612. New Canaan, Connecticut 06840           PRODIGY: DXBM57A
  613. - --------------------------------------------------------------------
  614.  
  615.  
  616. ------------------------------
  617.  
  618. Date:    Fri, 18 Aug 89 19:07:11 -0500
  619. From:    Christoph Fischer <RY15%DKAUNI11.BITNET@IBM1.CC.Lehigh.Edu>
  620. Subject: NEW VIRUS DICOVERED AND DISASSEMBLED
  621.  
  622. We just finished to disassemble a new virus, it was sent to us by the
  623. university of Cologne. We haven't found any clue that this virus showed
  624. up before.
  625. Here are the facts we found:
  626.    0. It works on PC/MS-DOS ver. 2.0 or higher
  627.    1. It infects COM files increasing them by 1206 to 1221 bytes
  628.       (placing the viruscode on a pragraph start)
  629.    2. It infects EXE files in two passes: After the first pass the EXE
  630.       file is 132 bytes longer; after the second pass its size increased
  631.       by an aditional 1206 to 1221 bytes (see 1.)
  632.    3. The virus installs a TSR in memory wich will infect executable
  633.       files upon loading them (INT 21 subfunction 4B00) using 8208 bytes
  634.       of memory
  635.    4. The only "function" we found, was an audible alarm(BELL character)
  636.       whenever another file was successfully infected.
  637.    5. It infects COM files that are bigger than 04B6h bytes and smaller
  638.       than F593h bytes and start with a JMP (E9h)
  639.    6. It infects EXE files if they are smaller than FDB3 bytes (no
  640.       lower limit)
  641.    7. It opens a file named "VACSINA.   " without checking the return
  642.       value. At the end it closes this file without ever touching it.
  643.  
  644.  The facts 4 and 7 make us belive it is a "Beta-Test" virus that might
  645.  have escaped prematurely by accident.
  646.  The word VACSINA is really odd beause of its spelling. All languages I
  647.  checked (12) spell it VACC... only Norwegians write VAKSINE. Has anybod
  648.  an idea?
  649.  We produced an desinfectant and a guardian.
  650.  The PC room at Cologne (28 PCs) was also infected by DOS62 (Vienna)|
  651.  We call the virus VACSINA because of the unique filename it uses|
  652.  
  653.        Chris & Tobi & Rainer
  654. *****************************************************************
  655. * TORSTEN BOERSTLER AND CHRISTOPH FISCHER AND RAINER STOBER     *
  656. * Micro-BIT Virus Team / University of Karlsruhe / West-Germany *
  657. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067   *
  658. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET    *
  659. *****************************************************************
  660.  
  661. ------------------------------
  662.  
  663. Date:    Wed, 16 Aug 89 11:46:06 -0400
  664. From:    "Computer Emergency Response Team" <cert@SEI.CMU.EDU>
  665. Subject: CERT Internet Security Advisory
  666.  
  667. Many computers connected to the Internet have recently experienced
  668. unauthorized system activity.  Investigation shows that the activity
  669. has occurred for several months and is spreading.  Several UNIX
  670. computers have had their "telnet" programs illicitly replaced with
  671. versions of "telnet" which log outgoing login sessions (including
  672. usernames and passwords to remote systems).  It appears that access
  673. has been gained to many of the machines which have appeared in some of
  674. these session logs.  (As a first step, frequent telnet users should
  675. change their passwords immediately.)  While there is no cause for
  676. panic, there are a number of things that system administrators can do
  677. to detect whether the security on their machines has been compromised
  678. using this approach and to tighten security on their systems where
  679. necessary.  At a minimum, all UNIX site administrators should do the
  680. following:
  681.  
  682. o Test telnet for unauthorized changes by using the UNIX "strings"
  683.   command to search for path/filenames of possible log files.  Affected
  684.   sites have noticed that their telnet programs were logging information
  685.   in user accounts under directory names such as "..." and ".mail".
  686.  
  687. In general, we suggest that site administrators be attentive to
  688. configuration management issues.  These include the following:
  689.  
  690. o Test authenticity of critical programs - Any program with access to
  691.   the network (e.g., the TCP/IP suite) or with access to usernames and
  692.   passwords should be periodically tested for unauthorized changes.
  693.   Such a test can be done by comparing checksums of on-line copies of
  694.   these programs to checksums of original copies.  (Checksums can be
  695.   calculated with the UNIX "sum" command.)  Alternatively, these
  696.   programs can be periodically reloaded from original tapes.
  697.  
  698. o Privileged programs - Programs that grant privileges to users (e.g.,
  699.   setuid root programs/shells in UNIX) can be exploited to gain
  700.   unrestricted access to systems.  System administrators should watch
  701.   for such programs being placed in places such as /tmp and /usr/tmp (on
  702.   UNIX systems).  A common malicious practice is to place a setuid shell
  703.   (sh or csh) in the /tmp directory, thus creating a "back door" whereby
  704.   any user can gain privileged system access.
  705.  
  706. o Monitor system logs - System access logs should be periodically
  707.   scanned (e.g., via UNIX "last" command) for suspicious or unlikely
  708.   system activity.
  709.  
  710. o Terminal servers - Terminal servers with unrestricted network access
  711.   (that is, terminal servers which allow users to connect to and from
  712.   any system on the Internet) are frequently used to camouflage network
  713.   connections, making it difficult to track unauthorized activity.
  714.   Most popular terminal servers can be configured to restrict network
  715.   access to and from local hosts.
  716.  
  717. o Passwords - Guest accounts and accounts with trivial passwords
  718.   (e.g., username=password, password=none) are common targets.  System
  719.   administrators should make sure that all accounts are password
  720.   protected and encourage users to use acceptable passwords as well as
  721.   to change their passwords periodically, as a general practice.  For
  722.   more information on passwords, see Federal Information Processing
  723.   Standard Publication (FIPS PUB) 112, available from the National
  724.   Technical Information Service, U.S. Department of Commerce,
  725.   Springfield, VA 22161.
  726.  
  727. o Anonymous file transfer - Unrestricted file transfer access to a
  728.   system can be exploited to obtain sensitive files such as the UNIX
  729.   /etc/passwd file.  If used, TFTP (Trivial File Transfer Protocol -
  730.   which requires no username/password authentication) should always be
  731.   configured to run as a non-privileged user and "chroot" to a file
  732.   structure where the remote user cannot transfer the system /etc/passwd
  733.   file.  Anonymous FTP, too, should not allow the remote user to access
  734.   this file, or any other critical system file.  Configuring these
  735.   facilities to "chroot" limits file access to a localized directory
  736.   structure.
  737.  
  738. o Apply fixes - Many of the old "holes" in UNIX have been closed.
  739.   Check with your vendor and install all of the latest fixes.
  740.  
  741. If system administrators do discover any unauthorized system activity,
  742. they are urged to contact the Computer Emergency Response Team (CERT).
  743.  
  744. Date:    Tue, 15 Aug 89 20:36:50 +0300
  745. From:    "Yuval Tal (972)-8-474592" <NYYUVAL@WEIZMANN.BITNET>
  746. Subject: Swapping Virus (PC)
  747.  
  748.         +------------------------------------------------------+
  749.         |                The "Swapping" virus                  |
  750.         +------------------------------------------------------+
  751.         |                                                      |
  752.         | Disassembled on: August, 1989                        |
  753.         |                                                      |
  754.         | Disassembled by: Yuval Tal                           |
  755.         |                                                      |
  756.         | Disassembled using: ASMGEN and DEBUG                 |
  757.         |                                                      |
  758.         +------------------------------------------------------+
  759.  
  760. Important note: If you find *ANYTHING* that you think I wrote
  761. incorrectly or is-understood something, please let me know ASAP.
  762. You can reach me:
  763.  
  764.  Bitnet:   NYYUVAL@WEIZMANN
  765.  InterNet: NYYUVAL%WEIZMANN.BITNET@CUNYVM.CUNY.EDU
  766.  
  767. This text is divided into theree parts:
  768.  
  769.     1) A report about the Swap Virus.
  770.     2) A disassembly of the Swap Virus.
  771.     3) How to install this virus?
  772.  
  773. - ------------------------------------------------------------------------------
  774. -
  775.                             R  E  P  O  R  T
  776. - ------------------------------------------------------------------------------
  777. -
  778.  
  779. Virus Name..............: The Swap Virus
  780. Attacks.................: Floppy-disks only
  781. Virus Detection when....: June, 1989
  782.                 at......: Israel
  783. Length of virus.........: 1. The virus itself is 740 bytes.
  784.                           2. 2048 bytes in RAM.
  785. Operating system(s).....: PC/MS DOS version 2.0 or later
  786. Identifications.........: A) Boot-sector:
  787.                              1) Bytes from $16A in the boot sector are:
  788.                                    31 C0 CD 13 B8 02 02 B9 06 27 BA 00 01 CD 13
  789.                                    9A 00 01 00 20 E9 XX XX
  790.                              2) The first three bytes in the boot sector are:
  791.                                 JMP 0196 (This is, if the boot sector was
  792.                                           loaded to CS:0).
  793.                           B) FAT: Track 39 sectors 6-7 are marked as bad.
  794.                           C) The message:
  795.                                 "The Swapping-Virus. (C) June, by the CIA"
  796.                              is located in bytes 02B5-02E4 on track 39,
  797.                              sector 7.
  798. Type of infection.......: Stays in RAM, hooks int $8 and int $13.
  799.                           A diskette is infected when it is inserted into the
  800.                           drive and ANY command that reads or writes from/to
  801.                           the diskette is executed. Hard disks are NOT infected
  802. !
  803. Infection trigger.......: The virus starts to work after 10 minutes.
  804. Interrupt hooked........: $8 (Timer-Tick - Responsible for the letter dropping)
  805.                           $13 (Disk Drive - Infects!)
  806. Damage..................: Track 39 sectors 6-7 will be marked as bad in the
  807.                           FAT.
  808. Damage trigger..........: The damage is done whenever a diskette is infected.
  809. Particularities.........: A diskette will be infected only if track 39 sectors
  810.                           6-7 are empty.
  811.  
  812. +-----------------------------------------------------------------------+
  813. | BitNet:   NYYUVL@WEIZMANN              CSNet: NYYUVAL@WEIZMANN.BITNET |
  814. | InterNet: NYYUVAL%WEIZMANN.BITNET@CUNYVM.CUNY.EDU                     |
  815. |                                                                       |
  816. | Yuval Tal                                                             |
  817. | The Weizmann Institute Of Science     "To be of not to be" -- Hamlet  |
  818. | Rehovot, Israel                       "Oo-bee-oo-bee-oo" -- Sinatra   |
  819. +-----------------------------------------------------------------------+
  820.  
  821. ------------------------------
  822.  
  823.  
  824. Date:    Mon, 14 Aug 89 10:18:16 +0100
  825. From:    J.Holley@MASSEY.AC.NZ
  826. Subject: Marijuana Virus wreaks havoc in Australian Defence Department (PC)
  827.  
  828. [Ed. This is from RISKS...]
  829.  
  830. Quoted from The Dominion, Monday August 14 :
  831.  
  832. A computer virus call marijuana has wreaked havoc in the Australian
  833. Defence Department and New Zealand is getting the blame.
  834.  
  835. Data in a sensitive security area in Canberra was destroyed and when
  836. officers tried to use their terminals a message appeared : "Your PC is
  837. stoned - Legalise marijuana".
  838.  
  839. Viruses are [guff on viruses] The New Zealand spawned marijunana has
  840. managed to spread itself widely throughout the region.
  841.  
  842. Its presence in Australia has been known for the past two months. The
  843. problem was highlighted two weeks ago when a Mellbourne man was
  844. charged with computer trespass and attempted criminal damage for
  845. allegedly loading it into a computer at the Swinbourne Institute of
  846. Technology.
  847.  
  848. The virus invaded the Defence Department earlier this month - hitting
  849. a security division repsonsible for the prevention of computer viruses.
  850.  
  851. A director in the information systems division, Geoff Walker said an
  852. investigation was under way and the infection was possibly an
  853. embarrassing accident arising from virus prevention activities.
  854.  
  855. New personal computers installed in the section gobbled data from
  856. their hard disk, then disabled them.
  857.  
  858. Initially it was believed the virus was intoduced by a subcontractor
  859. installing the new computer system but that possibility has been ruled out.
  860.  
  861. One more outlandish theory suggested New Zealnd, piqued at its
  862. exclusion from Kangaroo 89 military exercises under way in northern
  863. Australia, was showing its ability to infiltrate the Canberra citadel.
  864.  
  865. New Zealand was not invited to take part in Kangaroo because of United
  866. States' policy of not taking part in exercises with New Zealand forces
  867. since Labour's antinuclear legislation. However, New Zealand observers
  868. were invited.
  869.  
  870. New Zealand Defence Department spokesmand Lieutenant Colonel Peter Fry
  871. categorically denied the claim. "It would be totally irresponsible to
  872. do this kind of thing."
  873.  
  874. In fact, New Zealand's Defence Department already had problems with
  875. the virus, he said.
  876.  
  877. ------------------------------
  878.  
  879. Date:    Mon, 14 Aug 89 18:12:37 -0700
  880. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  881. Subject: Posting VIRUSCAN (PC)
  882.  
  883.     In yesterday's Virus-L, Jim Wright stated:
  884. >(Posting VIRUSCAN to comp.binaries)... is not a good idea.  Since it is
  885. >frequently updated it would be long out of date by the time it got through
  886. >c.b.i.p.
  887.  
  888.     I'd like to point out that, while ViruScan is indeed updated as
  889. soon as a new virus is discovered, even the first version of ViruScan
  890. is still statistically current.  We need to differentiate between the
  891. NUMBER of viruse out there and the statistical PROBABILITY of
  892. infection from any given virus.  Viruses are not created on one day
  893. and the next become major infection problems.  It take many months,
  894. and in some cases - years, before a given virus becomes a
  895. statistically valid threat to the average computer user.  A case in
  896. point is the Jerusalem virus.  It's nearly 2 years old and was first
  897. reported in the States (other than by a researcher) in February of
  898. 1988.  In August of '88 the reported infection rate was 3 infections
  899. per week.  In July of '89, the rate was over 30 reports per day.
  900. Today the Jerusalem virus is a valid threat.  Another more current
  901. case is the Icelandic virus.  It's over 2 months old and we've had no
  902. reported infections in the U.S.
  903.     Given even the limited information we have about virus
  904. epidemiology, any product that can identify 99% of the infection
  905. ocurrences today, will be able to identify close to the same
  906. percentage 5 to 6 months from now, irrespective of the number of new
  907. viruses created in the interim.  For those that insist on the 100%
  908. figure, I suggest you bite the bullet and download the current version
  909. of ViruScan from HomeBase every month.
  910.  
  911.     P.S.  Some people have suggested that the CVIA statistics are
  912. inaccurate or incomplete.  The numbers come from a reporting network
  913. composed of member companies.  These companies include such
  914. multinationals as Fujitsu, Phillips N.A., Amdahl, Arthur Anderson and
  915. Co., the Japan Trade Center, Weyerhauser, Amex Assurance and others
  916. whose combined PC base, either internal or through client
  917. responsibility, totals over 2 million computers.  It is highly
  918. unlikely that a major virus problem could exist and not be reported by
  919. one or another of these agencies.
  920.  
  921. ------------------------------
  922.  
  923. Date:    Sun, 13 Aug 89 09:48:20 -0700
  924. From:    portal!cup.portal.com!Charles_M_Preston@Sun.COM
  925. Subject: Viruscan test (PC)
  926.  
  927.     For the past couple weeks I have been testing the latest
  928. versions of John McAfee's virus scanning program, Viruscan,
  929. downloaded as SCANV29.ARC, SCANV33.ARC, etc., and very briefly
  930. the resident version archived as SCANRES4.ARC.
  931.  
  932.     While I have not completed the testing protocol with each
  933. virus, perhaps an interim report will be of interest.
  934.  
  935.     The testing protocol is:
  936.       1. Scan a disk containing a copy of a virus in some form;
  937.       2. Have the virus infect at least one other program (for
  938.          .COM and .EXE infectors) or  disk (for boot infectors)
  939.          so Viruscan must locate the virus signature as it would
  940.          normally be found in an infected machine;
  941.       3. Modify the virus in the most common ways people change
  942.          them (cosmetic changes to ASCII text messages or small
  943.          modifications to the code and try Viruscan again.
  944.  
  945.     Step 2 arises from testing another PC anti-virus product
  946. which was supposed to scan for viruses.  When I found that it
  947. would not detect a particular boot virus on an infected floppy,
  948. I asked the software vendor about it.  I was told that it would
  949. detect a .COM program which would produce an infected disk - not
  950. useful to most people with infected disks, the common way this
  951. virus is seen  Even though the viruses tested are not technically
  952. self-mutating, my intent is to test Viruscan against later
  953. generation infections, as they would be found in a normal
  954. computing environment.
  955.  
  956.     Naturally, there is a problem knowing which virus is actually
  957. being found, since they go under different names and are
  958. frequently modified.  The viruses are currently identified by
  959. their length, method of infection, symptoms of activity or
  960. trigger, and any imbedded text strings, based on virus
  961. descriptions from a variety of sources. These include Computers &
  962. Security journal, and articles which have been on Virus-L, such
  963. as Jim Goodwin's descriptions modified by Dave Ferbrache, and
  964. reports by Joe Hirst from the British Computer Virus Research
  965. Centre.
  966.  
  967.     There is  a proposal for  checksumming of viruses in the June
  968. Computers & Security, which would allow confirmation that a found
  969. virus is the identical one already disassembled and described by
  970. someone.  In the meantime, identification has been made as
  971. mentioned.
  972.  
  973.     So far, Viruscan has detected the following viruses:
  974.  
  975.     Boot infectors - Brain, Alameda/Yale, Ping-Pong, Den Zuk,
  976.       Stoned, Israeli virus that causes characters to fall down
  977.       the screen;
  978.  
  979.     .COM or .EXE infectors - Jerusalem -several versions
  980.       including sURIV variants, 1701-1704-several versions,
  981.       Lehigh, 1168, 1280, DOS62-Vienna, Saratoga, Icelandic,
  982.       Icelandic 2, April First, and Fu Manchu.
  983.  
  984.     SCANV33 has a byte string to check for the 405.com virus, but
  985. does not detect it.  SCANV34 has been modified to allow proper
  986. detection.
  987.  
  988.     SCANRES 0.7V34, the resident version of Viruscan, correctly
  989. detects the 405 virus when an infected program is run.
  990.  
  991.     I have not had any false positives on other commercial or
  992. shareware programs that have been scanned.  Viruscan appears to
  993. check for viruses only in reasonable locations for those
  994. particular strains.  If there is a virus that infects only .COM
  995. files, and an infected file has a .VOM or other extension, it
  996. will not be reported.  Of course, it is not immediately
  997. executable, either.
  998.  
  999.     On the other side of the coin, if a disk has been infected by
  1000. a boot infector, and still has a modified boot record, it will be
  1001. reported by Viruscan.  This is true even if the rest of the virus
  1002. code normally hidden in other sectors has been destroyed, thus
  1003. making the disk non-bootable and non infectious.  This is a
  1004. desirable warning, however, since the boot record is not
  1005. original, and since other disks may be still infected.
  1006.  
  1007. Disclaimer:  I am a computer security consultant and have been
  1008. working with PC and Macintosh microcomputer viruses and anti-
  1009. virus products for about 18 months. I have no obligation to John
  1010. McAfee except to report the outcome of the tests.  I am a member
  1011. of the Computer Virus Industry Association, which is operated by
  1012. John McAfee.
  1013.  
  1014. Charles M. Preston                       907-344-5164
  1015. Information Integrity                    MCI Mail  214-1369
  1016. Box 240027                               BIX  cpreston
  1017. Anchorage, AK  99524                     cpreston@cup.portal.com
  1018.  
  1019. ------------------------------
  1020.  
  1021. Date:    01 Aug 89 21:18:49 +0000
  1022. From:    kelly@uts.amdahl.com (Kelly Goen)
  1023. Subject: Re: "Computer Condom" (from Risks digest)...
  1024.  
  1025. hahahahahahahahah!!!!!!! right chief just like swamp land in them thar
  1026. everglades... seriously though things will not improve until vendors
  1027. start going for protected mode and other tricks...I am talking about
  1028. 386's and 68030's here... maybe something could be done in this area
  1029. with charge cars on a 286 but I doubt it... your need that virtual
  1030. 8086 partition on the 386 to have any real safety and have to be
  1031. operating protected mode to take advantage of it(DESQVIEW 386,
  1032. THD386.sys etc) after that then there are still so many ways to get
  1033. in!!
  1034.                          cheers
  1035.                          kelly
  1036.  
  1037. ------------------------------
  1038.  
  1039. Date:    Thu, 03 Aug 89 12:15:52 -0500
  1040. From:    kichler@ksuvax1.cis.ksu.edu (Charles Kichler)
  1041. Subject: New FTP source for anti-virals (PC) - Internet access required
  1042.  
  1043. The following files dealing with computer viruses are now available by
  1044. anonymous ftp (file transfer protocol) from 'hotel.cis.ksu.edu' [Ed.
  1045. IP number is 129.130.10.12] located in Computer Science Dept. at
  1046. Kansas State University, Manhattan, KS.  The files have been and will
  1047. be collected in the future from reliable sources, although no warranty
  1048. is implied or stated.  I will attempt to update the files as often as
  1049. possible.  If anyone becomes aware of new updates or new anti-viral
  1050. programs, let me know.  All files are in the /ftp/pub/Virus-L
  1051. sub-directory.
  1052.  
  1053. /               DETECT2.ARC.1    GREENBRG.ARC.1   VACCINE.ARC.1
  1054. ./              DIRTYDZ9.ARC.1   IBMPAPER.ARC.1   VACCINEA.ARC.1
  1055. 00-Index.doc     DPROT102.ARC.1   IBMPROT.DOC.1    VACI13.ARC.1
  1056. ALERT13U.ARC.1   DPROTECT.ARC.1   INOCULAT.ARC.1   VCHECK11.ARC.1
  1057. BOMBCHEK.ARC.1   DPROTECT.CRC.1   MD40.ARC.1       VDETECT.ARC.1
  1058. BOMBSQAD.ARC.1   DVIR1701.EXE.1   NOVIRUS.ARC.1    VIRUS.ARC.1
  1059. CAWARE.ARC.1     EARLY.ARC.1      PROVECRC.ARC.1   VIRUSCK.ARC.1
  1060. CHECK-OS.ARC.1   EPW.ARC.1        READ.ME.FIRST    VIRUSGRD.ARC.1
  1061. CHK4BOMB.ARC.1   F-PROT.ARC.1     SCANV30.ARC.1    pk36.exe
  1062. CHKLHARC.ARC.1   FILE-CRC.ARC.2   SENTRY02.ARC.1   pk361.exe
  1063. CHKSUM.ARC.1     FILECRC.ARC.2    SYSCHK1.ARC.1    uu213.arc
  1064. CHKUP36.ARC.1    FILETEST.ARC.1   TRAPDISK.ARC.1
  1065. CONDOM.ARC.1     FIND1701.ARC.1   TROJ2.ARC.1
  1066. DELOUSE1.ARC.1   FSP_16.ARC.1     UNVIR6.ARC.1
  1067.  
  1068. The current list only includes programs for MS/PC-DOS computers.  I will
  1069. continue to expand the collection to include some worthwhile textual
  1070. documents and possible programs for other machines and operating systems.
  1071.  
  1072. The procedure is to first ftp to the hotel.cis.ksu.edu.  [Ed. type:
  1073. ftp hotel.cis.ksu.edu (or ftp 129.130.10.12).  Enter "anonymous"
  1074. (without the quotes) as a username and "your id" as a password.]  Then
  1075. use 'cd pub/Virus-L'.  Next get the files you would like.  You will
  1076. need the 'pk361.exe' to expand the ARChived programs.  Be sure to
  1077. place ftp in a binary or tenex mode [Ed. type "bin" at ftp> prompt].
  1078. Please note that the highly recommended VirusScan program
  1079. (SCANV30.ARC.1) is available.
  1080.  
  1081. If there are any questions, send mail to me and I will make every effort
  1082. to help you as soon as time allows.
  1083.  
  1084. ------------------------------
  1085.  
  1086. Date:    Tue, 01 Aug 89 12:33:15 -0400
  1087. From:    Barry D. Hassler <hassler@nap1.arpa>
  1088. Subject: Re: "Computer Condom" (from Risks digest)...
  1089.  
  1090. In article <0003.8907311200.AA25265@ge.sei.cmu.edu> dmg@lid.mitre.org (David Gu
  1091. rsky) writes:
  1092. >[From the Seattle Weekly, 5/3/89]
  1093. >
  1094. >PUT A CONDOM ON YOUR COMPUTER
  1095. >
  1096. >...
  1097. >Cummings, the company's president, says the system "stops all viruses" by
  1098. >monitoring the user network, the keyboard, and the program in use.  He notes
  1099. >that the system is programmable to alter the parameters of its control on
  1100. >any given machine, but he guarantees that, "when programmed to your
  1101. >requirements, it will not allow viruses to enter."
  1102.  
  1103. Pardon me for my opinions (and lack of expertise in viral control),  but  I
  1104. think  these  types  of products are dangerous to the purchaser, while most
  1105. likely being especially profitable for the seller. I just  saw  a  copy  of
  1106. this  floating around to some senior management-types after being forwarded
  1107. several times, and dug up this copy to bounce my two cents off.
  1108.  
  1109. First of all, I don't see any method which can  be  guaranteed  to  protect
  1110. against  all  viruses (of course the "when programmed to your requirements"
  1111. pretty well covers all bases, doesn't it?). Naturally, specific viruses  or
  1112. methods   of   attach  can  be  covered  with  various  types  of  watchdog
  1113. software/hardware, but I don't think  it  is  possible  to  cover  all  the
  1114. avenues in any way.
  1115.  
  1116. - -----
  1117. Barry D. Hassler                hassler@asd.wpafb.af.mil
  1118. System Software Analyst                (513) 427-6369
  1119. Control Data Corporation
  1120.  
  1121. ------------------------------
  1122.  
  1123. Date:    Tue, 01 Aug 89 16:37:00 -0400
  1124. From:    IA96000 <IA96@PACE.BITNET>
  1125. Subject: axe by sea (PC)
  1126.  
  1127. we have been testing various ways to help prevent a file from
  1128. becoming infected and have stunbled on an interesting fact.
  1129.  
  1130. system enhancement associates (the people who wrote arc) have also
  1131. released axe, a program compression utility. basically axe reads
  1132. a .exe or .com file, compresses it as much as possible, tacks a
  1133. dos loader on the front of the file and then saves the new file.
  1134.  
  1135. in many instances, the resulting file is from 15% to 50% smaller
  1136. than the original file and loads and runs just like a regular dos
  1137. file.
  1138.  
  1139. what is interesting is when a virus attacks an axe'd file. the virus
  1140. writes itself into the file as many viruses do. however, when you
  1141. next attempt to load and run the file, it will not load and locks
  1142. up the system. this is not because the viruys has taken control!
  1143.  
  1144. this happens because when an axed file is loaded, it is decompressed and
  1145. the checksum is compared to the original one generated when the file
  1146. was axed.
  1147.  
  1148. I know axe was never designed to be anti-viral, but it sure works well
  1149. in this regard. since the file is actually in encrypted form on the
  1150. disk, it screws up the virus!
  1151.  
  1152. ------------------------------
  1153.  
  1154. Date:    01 Aug 89 00:00:00 +0000
  1155. From:    David M. Chess <CHESS@YKTVMV.BITNET>
  1156. Subject: Fixed-disk infectors (PC)
  1157.  
  1158. Does anyone know of, or has anyone even heard credible rumors of,
  1159. any boot-sector virus that will infect the boot sector (master or
  1160. partition) of IBM-PC-type hard disks, besides the Bouncing Ball and
  1161. the Stoned?  Those are the only two I seem to see that do that; am
  1162. I missing any?                 DC
  1163.  
  1164. ------------------------------
  1165.  
  1166. Date:    01 Aug 89 21:23:30 +0000
  1167. From:    kelly@uts.amdahl.com (Kelly Goen)
  1168. Subject: Re: message virus (was: Computer Virus Research)
  1169.  
  1170. we call those ansi 3.64 control sequences.... vt100 and other
  1171. terminals have similar if not exactly the same features... ansi.sys
  1172. implements a subset of ansi 3.64 without any protection the problem
  1173. has been known at various unix sites for years only now its starting
  1174. to show up on pc's because of the usage of ansi.sys and other programs
  1175. that recognize these sequences....
  1176.                                 cheers
  1177.                                 kelly
  1178.  
  1179. ------------------------------
  1180.  
  1181. Date:    30 Jul 89 17:17:17 +0000
  1182. From:    hutto@attctc.Dallas.TX.US (Jon Hutto)
  1183. Subject: message virus (was: Computer Virus Research)
  1184.  
  1185.  
  1186. redevined keys so as to when the sysop is in dos and hits a key, it starts
  1187. deleting files and directories. The worst thing about this is that people
  1188. have been able to do this for a long time. they are explained in the DOS
  1189. Technical Reference manual.
  1190.  
  1191. There are also rumors of a ZMODEM virus that spreads visa ZMODEM transfers,
  1192. a rumor.
  1193.  
  1194.  
  1195.  
  1196. ------------------------------
  1197.  
  1198. Date:    Sat, 29 Jul 89 15:59:43 -0700
  1199. From:    portal!cup.portal.com!Alan_J_Roberts@Sun.COM
  1200. Subject: Jerusalem Disinfector
  1201.  
  1202. Mark Zinzow asked if there were a public domain program that would restore
  1203. programs infected with the Jerusalem virus to their original, uninfected
  1204. condition.  John McAfee's M-series programs have just been made shareware
  1205. (M-1 removes the Jerusalem from COM and EXE files and restores them), and the
  1206. programs are available on HomeBase - 408 988 4004.
  1207. Alan
  1208.  
  1209. ------------------------------
  1210.  
  1211. Date:    Fri, 28 Jul 89 23:18:17 -0400
  1212. From:    dmg@lid.mitre.org (David Gursky)
  1213. Subject: "Computer Condom" (from Risks digest)...
  1214.  
  1215. [From the Seattle Weekly, 5/3/89]
  1216.  
  1217. PUT A CONDOM ON YOUR COMPUTER
  1218.  
  1219. Every worry that your computer might be hanging out in a network where it
  1220. will pick up some disgusting virus?  Empirical Research Systems of Tacoma
  1221. suggests you supply it with one of their "computer condoms".  This high-tech
  1222. prophylactic is a combination of hardware and software embodied in a
  1223. controller card that simply replaces the one already in the machine.  Rick
  1224. Cummings, the company's president, says the system "stops all viruses" by
  1225. monitoring the user network, the keyboard, and the program in use.  He notes
  1226. that the system is programmable to alter the parameters of its control on
  1227. any given machine, but he guarantees that, "when programmed to your
  1228. requirements, it will not allow viruses to enter."
  1229.  
  1230. The technology was developed through successful efforts to protect a group of
  1231. European banks from the massive virus that penetrated European computer
  1232. networks last autumn.  "Naturally these became our first orders," Cummings
  1233. says.  He has since picked up an additional 2500 firm orders in Europe, with
  1234. 5000 more contingent on inspection of the product.  In the United States, the
  1235. product has been reviewed by Boeing Computer Services and computer technicians
  1236. at the UW.  It will be on the domestic market "early next autumn at a cost of
  1237. under $1000," Cummings says.
  1238.  
  1239. DG -- Pardon me while I laugh uncontrollably.
  1240.  
  1241. ------------------------------
  1242.  
  1243. In our computerviruslab we have been working on the problem of mutants
  1244. of several viruses. Initially we intended to make antiviruspackages more
  1245. secure. Since a single byte added or removed from the virus code will
  1246. cause most antiviruspackages to do erroneous repair attempts which might
  1247. result in even bigger harm than the virus itself will do. Furthermore
  1248. watertight identification leads to a better 'Epidemiology' of the
  1249. different virusstrains.
  1250. Thanks to the kind help of fellow virus researchers all over the world
  1251. we were able to obtain and tryout quite a few viruses and their mutants.
  1252.  
  1253.                               PROPOSAL
  1254.                    VIRUS IDENTIFICATION ALGORITHM
  1255.  
  1256. PURPOSE:   Positive and secure identification of *known* viruses to
  1257.            prevent repair attempts on files infected by unknown
  1258.            mutants of a virus.
  1259.  
  1260. REPLACES:  Identification by a unique string of code. (Which might
  1261.            still be unaltered at the same offset in the code of a
  1262.            new variant of the virus)
  1263.  
  1264. METHOD:    1. Identification of the *known* virusstrain by a unique
  1265.               string or other feature (sUMsDos, (C)Brain, or the 1Fh
  1266.               in the seconds of the filetime)
  1267.            2. Relocation to segmentoffset 0 and possible decryption
  1268.               of the viruscode. (This might be necessary for mutiple
  1269.               parts of the virus)
  1270.            3. Writing zero over sections that contain variant parts
  1271.               like garbage from the last infection attempt or a time-
  1272.               bomb counter.
  1273.            4. Finally a CRC-sum is generated (maybe using more than
  1274.               one polynominal)
  1275.  
  1276.            If this signature matches the one calculated on the virus
  1277.            code for which the removalalgorithm was designed it is
  1278.            safe to apply this antivirusprogram.
  1279.  
  1280. IMPLEMENTATION:   We have done a testimplementation in C and for 2
  1281.            virusstrains (6 viruses yet). Our goal is to prepare a
  1282.            toolset for quick addition of new variants to the set
  1283.            identifyable viruses.
  1284.  
  1285. ADVANTAGE: Antivirus tools can identify exactly a specific virus
  1286.            without encorporating full or partial viruscode in the
  1287.            antivirusprogram. (This would be a security risk if done
  1288.            in comercial or PD software)
  1289.  
  1290. Any comments sugestions welcome respond to VIRUS-L or directly
  1291. we will summarize to the list|
  1292.  
  1293. Currently we are also working on virus behavior in networks. For this
  1294. we have setup a 4 machine Novell network. (PS2/80, PS2/60, Atari386,
  1295. and a good old PC-XT). Here also any sugestions and help are welcome|
  1296.  
  1297. *******************************************************************
  1298. * Christoph Fischer and Torsten Boerstler                         *
  1299. * Micro-BIT Virus Center / University of Karlsruhe / West-Germany *
  1300. * D-7500 Karlsruhe 1, Zirkel 2, Tel.: (0)721-608-4041 or 2067     *
  1301. * E-Mail: RY15 at DKAUNI11.BITNET or RY12 at DKAUNI11.BITNET      *
  1302. *******************************************************************
  1303.  
  1304.                  >--------=====END=====--------<
  1305.  
  1306. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  1307.  
  1308.