home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / misc / v05i001.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  20KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #1
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Friday,  3 Jan 1992    Volume 5 : Issue 1
9.  
10. Today's Topics:
11.  
12. Novell Inadvertantly distributes virus with update (PC)
13. Re: password program (PC)
14. Central-Point Anti-Virus Question (PC)
15. Re: DOS 5.0 FDISK, UNFORMAT and the wily MBR (PC)
16. Re: PC problem - possible virus? (PC)
17. Re: virus outbreak in central Virginia (PC)
18. TBScan v3.1 (PC)
19. Unknown Mac virus? (Mac)
20. General questions about viruses
21. Virus capable of infecting Mainframes and PCs
22. New files on Risc (PC)
23. VIRx v1.9 Is Released ! (PC)
24.  
25. VIRUS-L is a moderated, digested mail forum for discussing computer
26. virus issues; comp.virus is a non-digested Usenet counterpart.
27. Discussions are not limited to any one hardware/software platform -
28. diversity is welcomed.  Contributions should be relevant, concise,
29. polite, etc.  (The complete set of posting guidelines is available by
30. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
31. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
32. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
33. Information on accessing anti-virus, documentation, and back-issue
34. archives is distributed periodically on the list.  Administrative mail
35. (comments, suggestions, and so forth) should be sent to me at:
36. krvw@CERT.SEI.CMU.EDU.
37.  
38.    Ken van Wyk
39.  
40. ----------------------------------------------------------------------
41.  
42. Date:    Fri, 20 Dec 91 12:02:34 -0800
43. From:    karyn@cheetah.llnl.gov (Karyn Pichnarczyk)
44. Subject: Novell Inadvertantly distributes virus with update (PC)
45.  
46. The following is an excerpt from CIAC bulletin C-11.  The infected
47. distribution occurred ONLY on 5 1/4 inch diskettes.
48.  
49. Karyn Pichnarczyk
50. - ---------------------
51.  
52. CIAC has learned that Novell, Inc. has inadvertently sent diskettes
53. infected with the Stoned-3 virus to Novell Netware customers.  These
54. diskettes are labelled "Network Support Encyclopedia - Standard Volume
55. Update."  The Novell part number for these disks is 883-001495-004.
56. Infected diskettes were distributed from December 9 - 16, 1991.
57.  
58. The Stoned-3 virus is a minor variation of the Stoned virus.  This
59. virus infects the boot sector of a hard disk or diskette and will
60. sometimes display the message:
61.  
62.     "Your PC is now Stoned!.....LEGALISE MARIJUANA!"
63.  
64. This virus becomes memory resident and will infect any other disks
65. accessed by the PC while the virus is memory resident.  For additional
66. information, please see CIAC bulletins A-28 for more information on
67. the Stoned virus family, and B-16 for a summary of known viruses.
68.  
69. If you discover that the Stoned virus has infected your PC, it may be
70. removed using the VIRHUNT package. CIAC also recommends that you
71. follow a policy of scanning all new software before using or
72. installing it on your PC.  This policy should be followed for all
73. vendor-supplied shrink-wrapped software as well as bulletin board or
74. shareware software, since a few other vendors have inadvertently
75. distributed viruses with packaged software in the past.  CIAC
76. recommends that if you are from a DOE site and are not already using
77. an effective anti-viral scanner, you should contact your site's
78. computer security department to obtain one. In addition, since new
79. viruses are constantly being discovered, we recommend that you ensure
80. that your anti-viral scanner has been updated to the most recent
81. version.
82.  
83. For additional information or assistance, please contact CIAC:
84.  
85. Karen Pichnarczyk            Tom Longstaff
86. (510)422-1779** or (FTS) 532-1779    (510)423-4416** or (FTS) 543-4416
87. karyn@cheetah.llnl.gov            longstaf@llnl.gov
88.  
89. (FAX) (510) 423-8002** or (FTS) 543-8002
90.  
91. Send e-mail to ciac@llnl.gov or call CIAC at (510) 422-8193**/(FTS)532-8193.
92.  
93. **Note area code has changed from 415, although the 415 area code will
94. work until Jan. 1992.
95.  
96. PLEASE NOTE:  Many users outside of the DOE and ESnet computing
97. communities receive CIAC bulletins.  If you are not part of these
98. communities, please contact your agency's response team to report
99. incidents.  Some of the other teams include the NASA NSI response team,
100. DARPA's CERT/CC, NAVCIRT, and the Air Force response team.  Your
101. agency's team will coordinate with CIAC.
102.  
103. Neither the United States Government nor the University of California
104. nor any of their employees, makes any warranty, expressed or implied,
105. or assumes any legal liability or responsibility for the accuracy,
106. completeness, or usefulness of any information, product, or process
107. disclosed, or represents that its use would not infringe privately
108. owned rights.  Reference herein to any specific commercial products,
109. process, or service by trade name, trademark manufacturer, or
110. otherwise, does not necessarily constitute or imply its endorsement,
111. recommendation, or favoring by the United States Government or the
112. University of California.  The views and opinions of authors expressed
113. herein do not necessarily state or reflect those of the United States
114. Government nor the University of California, and shall not be used for
115. advertising or product endorsement purposes.
116.  
117. ------------------------------
118.  
119. Date:    19 Dec 91 17:54:38 +0000
120. From:    bdrake@oxy.edu (Barry T. Drake)
121. Subject: Re: password program (PC)
122.  
123. Another way to reset the CMOS is to disconnect the battery.
124.  
125. If it's a soldered-in NiCad, try draining it completely with a light bulb
126. or other load (unless you *really* want to unsolder it).
127.  
128. - --Barry (bdrake@oxy.edu)
129.  
130. ------------------------------
131.  
132. Date:    Thu, 19 Dec 91 22:17:54 -0700
133. From:    martin@cs.ualberta.ca (Tim Martin; FSO; Soil Sciences)
134. Subject: Central-Point Anti-Virus Question (PC)
135.  
136. I gather that CPAV includes a "self-integrity check" routine that can
137. be appended to files.  My question: is the size of this appendix
138. constant, or does it vary?  I suspect it varies, in the range of 700 -
139. 1000 bytes.  Can someone who knows the product please confirm or
140. refute this?
141.  
142. Tim.
143.  -------------------------------------------------------------
144.   Tim Martin                 *
145.   Soil Science               *     These opinions are my own:
146.   University of Alberta      *        My employer has none!
147.   martin@cs.ualberta.ca      *
148.  -------------------------------------------------------------
149.  
150. ------------------------------
151.  
152. Date:    Fri, 20 Dec 91 18:34:00 +0200
153. From:    Y. Radai <RADAI@HUJIVMS.BITNET>
154. Subject: Re: DOS 5.0 FDISK, UNFORMAT and the wily MBR (PC)
155.  
156.   Padgett Peterson writes:
157. >The new FDISK is not so well known but is just as effective for the
158. >MBR if the cunningly named /MBR switch is used however you will not
159. >find mention of this by typing FDISK /? or HELP FDISK. Nor could I
160. >find it in the hologram-equipped manual that came with the software
161. >from EggHead but it does seem to work in replacing the MBR code
162. >section while maintaining the Partition-Table.
163.  
164. The /MBR parameter of FDISK is an undocumented feature of DOS 5 (both
165. PC-DOS and MS-DOS) which replaces the code in the Master Boot Record
166. with a clean copy, but leaves the Partition Table as is.  It is there-
167. fore effective in removing MBR infections (provided that the virus has
168. not modified the Partition Table). Although this feature was mentioned
169. by Bill Arnold in Virus-L/comp.virus half a year ago and in the Virus
170. Bulletin in its November issue, my experience is that very few people,
171. even experienced virus fighters, know of its existence, and those who
172. do  seem to be unaware that it can also be used on machines running
173. DOS *prior to Ver. 5*.  All that is necessary is to find a (clean) DOS
174. 5 system diskette, to copy FDISK.EXE from DOS 5 onto that diskette, to
175. cold boot the infected machine from the diskette, and then to perform
176. FDISK /MBR .  Works beautifully.
177.  
178.                                      Y. Radai
179.                                      Hebrew Univ. of Jerusalem, Israel
180.                                      RADAI@HUJIVMS.BITNET
181.                                      RADAI@VMS.HUJI.AC.IL
182.  
183. ------------------------------
184.  
185. Date:    Sat, 21 Dec 91 23:10:50 -0800
186. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
187. Subject: Re: PC problem - possible virus? (PC)
188.  
189. cci632!sjfc!od9425@ccicpg.irv.icl.com (Ogden Dumas) writes:
190.  
191. >     Question for all:  Is there a virus that can infect BOTH  PCs and
192. > Mainframes?  The place where I am working is networking and I am trying to
193. > find out what possible threats can arise from this.  Thanx.
194.  
195. The answer to your question is: yes and no.
196.  
197. No, there is no current PC virus which would "infect" mainframes in the 
198. sense of being active in them.
199.  
200. However, in a networking situation, viral infections can spread "through" 
201. the medium of a mainframe being used as a server.
202.  
203. Mainframe and network viri or worms may be able to infect PC's in the 
204. net.  This is due to the more complex nature of mainframe viri, and the 
205. use of "interpreters" in network machines.  One example is the 
206. Morris/Internet?UNIX worm which contained "source" code in the most basic 
207. form which would be interepretted by a number of different machines, as 
208. well as "object" code for different machines it expected to encounter.  
209. The CHRISTMA EXEC of a few years back relied strictly upon a common 
210. interpretted language, REXX.  A PC version of REXX is available, and is 
211. used in IBM based networks in order to assist in automating 
212. communications between machines.
213.  
214. However, at present this type of situation is relatively rare.  For the 
215. moment, infections crossing OS lines are extremely unlikely.
216.  
217.  
218. ============= 
219. Vancouver      p1@arkham.wimsey.bc.ca   | "Remember, by the
220. Institute for  Robert_Slade@mtsg.sfu.ca |  rules of the game, I
221. Research into  CyberStore               |  *must* lie.  *Now* do
222. User            (Datapac 3020 8530 1030)|  you believe me?"
223. Security       Canada V7K 2G6           |    Margaret Atwood
224.  
225. ------------------------------
226.  
227. Date:    23 Dec 91 09:48:39 +0000
228. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
229. Subject: Re: virus outbreak in central Virginia (PC)
230.  
231. HAYES@urvax.urich.edu writes:
232.  
233. > Msg #:  3005                      MAIN
234. >  From:  TOM HUFFMAN               Sent: 12-18-91 22:23
235. >    To:  ALL                       Rcvd: 12-19-91 05:23
236. >    Re:  DIR-2 WARNING!!!
237.  
238. > We have had a "slight" attack of the DIR-2 virus in the School of
239. > Business at VCU.  We found the virus on almost 10-15 computers...  two
240.  
241. Sigh... :-(( It began to happen... With the source of this incredibly
242. infectious virus published world-wide, what else do you expect?...
243.  
244. > We have McAfee's VSHIELD v84 on all the machines, but they never
245. > detected the infections!  The virus was however found with version 85.
246.  
247. Hmm, strange... The original, as posted, was for a quite weird and
248. unpopular assembler... (No, -not- A86.) If assembled with MASM/TASM,
249. it will generate a variant of the virus (perfectly working, though).
250. Maybe somebody already did this?
251.  
252. > This virus has already trashed several hard disks, which need to be
253. > formatted because they're beyond help!!  Since this virus is
254.  
255. He must be kidding! No reformatting is necessary! Just reboot from a
256. non-infected diskette; delete all executable files; and run CHKDSK/F
257. on the infected machine. This way you'll lose only the executables,
258. which you can restore from a clean backup...
259.  
260. Regards,
261. Vesselin
262. - -- 
263. Vesselin Vladimirov Bontchev         Virus Test Center, University of Hamburg
264. Bontchev@Informatik.Uni-Hamburg.De   Fachbereich Informatik - AGN, rm. 107 C
265. Tel.:+49-40-54715-224, Fax: -246     Vogt-Koeln-Strasse 30, D-2000, Hamburg 54
266.  
267. ------------------------------
268.  
269. Date:    Thu, 01 Jan 70 00:00:00 +0000
270. From:    djonge@isis.cs.du.edu (Denny de Jonge)
271. Subject: TBScan v3.1 (PC)
272.  
273. I'm using Thunderbyte's TBScan v3.1, with virussignatures dated
274. 14-nov-1991. If someone is interested I can post it here.
275.  
276.                     Denny
277.  
278. ------------------------------
279.  
280. Date:    Sun, 22 Dec 91 19:12:00 -0500
281. From:    "dholland@husc10.harvard.edu"@HUSC3.HARVARD.EDU
282. Subject: Unknown Mac virus? (Mac)
283.  
284.    A friend of mine was cleaning up his sister's Mac Classic today,
285. and discovered and removed the CDEF virus using Disinfectant (2.5.1).
286. He also installed Gatekeeper. Now, later on, we discovered that
287. starting Microsoft Word generated a Gatekeeper alert; plus, the menus
288. were printed in the wrong font. Furthermore, the System file was over
289. 1 megabyte, with no DAs or fonts or anything else installed except for
290. the standard ones that come with every Mac. Worst of all, the Grouch
291. was deleted without warning from the System Folder while we were
292. looking around.
293.    Disinfectant still reported the system clean.
294.  
295.    I haven't been reading this group very regularly of late; is there a new
296. Mac virus around? (The Mac in question has been at Brown lately.)
297.  
298.    Unfortunately, I don't have a sample: the computer is needed, so we did
299. a low-level format and reinstalled everything from clean copies.
300. - --
301.    - David A. Holland            dholland@husc.harvard.edu
302.  
303.              Just say NO to vi.
304.  
305. ------------------------------
306.  
307. Date:    Sun, 22 Dec 91 02:56:48 +0000
308. From:    nkjle@locus.com (John Elghani)
309. Subject: General questions about viruses
310.  
311. Can someone help me with the following questions:
312.  
313. 1- A virus obviously is a program that is CPU bound, io bound, ..etc.
314.   i.e. it occupies system's resources.  Some could probably delete
315.   all files on a system? right?
316. 2- How does it transfer across networks.  How does it know a phone number
317.    (modem #) of a remote node.
318. 3- How does it get tracked down.  By program name? if so, then what if
319.    this virus changes its name? are we in trouble?
320. 4- When it makes it to disk, how does it tell the Kernel that it wants
321.   to run the system.  It it something like a daemon tht sleeps and
322.   wakes up?
323.  
324.   Thanks in advance 
325.  
326.   jle
327. - -- 
328.  -----------------------------------------------------------------------------
329.     The above is my own posting and has nothing to do with the opinion of
330.             Locus Computing Corporation.
331.  
332. ------------------------------
333.  
334. Date:    Fri, 20 Dec 91 16:46:37 -0500
335. From:    Arthur Gutowski <AGUTOWS@WAYNEST1.BITNET>
336. Subject: Virus capable of infecting Mainframes and PCs
337.  
338. >Date:    Wed, 18 Dec 91 16:44:47 -0500
339. >From:    cci632!sjfc!od9425@ccicpg.irv.icl.com (Ogden Dumas)
340. >   Question for all:  Is there a virus that can infect BOTH  PCs and
341. >Mainframes?  The place where I am working is networking and I am trying
342. >to find out what possible threats can arise from this.
343.  
344. Not yet.  And I don't think there could be.  Not with the major differences
345. between program execution, and for that matter, operation codes on these
346. different platforms.  For example, X'D20750006000' in MVS translates to
347. MVC 0(8,R5),0(,R6) which moves 8 bytes from a location pointed to by
348. register 6 into a location pointed to by R5.  This hex string, even if
349. it could be downloaded to a PC in its origional form without get translated
350. by whatever protocol you happen to be using, is *probably* (I'm not a PC
351. assembler guru) meaningless once it gets there.  The effort expended in
352. trying to get something on a mainframe downloaded to a PC and executed there
353. would be wasted.
354.  
355. Disclaimer:  Then again, I may have no idea what I'm talking about.
356.  
357. Arthur J. Gutowski
358. MVS System Programmer and Virus Research Dabbler
359. Wayne State University
360. - ----------------------
361. "We come into the world and take our chances
362.  Fate is just the way of circumstances
363.  That's the way that Lady Luck dances...
364.  Roll the Bones..."                       -Neil Peart
365.  
366. ------------------------------
367.  
368. Date:    Fri, 20 Dec 91 09:37:07 -0600
369. From:    James Ford <JFORD@UA1VM.BITNET>
370. Subject: New files on Risc (PC)
371.  
372. The following files have been placed on risc.ua.edu (130.160.4.7) in the
373. directory pub/ibm-antivirus:
374.  
375.         bootid.zip   - Identify a diskette's boot sector type ("hashcode")
376.         checkout.zip - Display or check a diskette or Hashcode
377.  
378.         tbresc15.zip - Thunderbyte Anti-Virus Resque Boot Sector v1.5
379.         tbscan30.zip - Thunderbyte Virus Scan v3.0, need VSyymmdd.ZIP
380.         vs911114.zip - Virus signatures for HTSCAN/TBSCAN date 911114.
381.  
382.  
383. Apparently, Novell has sent out diskettes infected with Stoned 3.  The
384. origional text follows.......
385. - ----------
386.     User: "The mainframe is broke.  I can't get to my account!!"
387. Helpdesk: "What exactly does your computer screen show now?"
388.     User: "Wait a sec...hey, bring the candle over so I can read the screen."
389. - ----------
390.     James Ford - Consultant II, Seebeck Computer Center
391.                  jford@ua1vm.ua.edu, jford@risc.ua.edu
392.                  The University of Alabama in Tuscaloosa
393.  
394. ------------------------------
395.  
396. Date:    Fri, 20 Dec 91 23:37:55 +0000
397. From:    trent@rock.concert.net (C. Glenn Jordan -- Microcom)
398. Subject: VIRx v1.9 Is Released ! (PC)
399.  
400. p1@arkham.wimsey.bc.ca (Rob Slade) writes:
401. >  ...VIRx 1.8 (by the way, Ross, where/when is 1.9?)...
402.  
403. OK, ok, Rob Slade !  Here it is !             :-) 
404.  
405.             VIRx version 1.9
406.                         ----------------
407.  
408.   (Good things come to those who wait !)    :-)
409.  
410. Available on many FTP sites, Compuserve, FIDO-Net
411. and the Virex Support BBS at (919) 419-1602 (V.32bis, MNP-10)
412.  
413. >From the original $TOC file:
414.  
415.  Length  Method   Size  Ratio   Date    Time   CRC-32  Attr  Name
416.  ------  ------   ----- -----   ----    ----   ------  ----  ----
417.     804  Implode    493  39%  12-17-91  00:00  2c496185 --w  $TOC
418.    7129  Implode   2626  64%  12-17-91  00:00  505730b1 --w  VIREX.TXT
419.   13184  Implode   5536  59%  12-17-91  00:00  f79005aa --w  README.VRX
420.   99242  Implode  57351  43%  12-17-91  00:00  9d38dd54 --w  VIRX.EXE
421.   13184  Implode   5135  62%  12-17-91  00:00  3065505b --w  WHATSNEW.19
422.  ------          ------  ---                                 -------
423.  133543           71141  47%                                       5
424.  
425.  
426.            What's New In VIRx Version 1.9
427.            ==============================
428.  
429. Date: 12/17/91
430.  
431.    1.  The licensing agreement for your usage of VIRx has been changed.
432.    Individual and educational users need not concern themselves with the
433.    change. For corporate and business users: VIRx may only be used within
434.    your institution for a 30 day evaluation period.  If you wish to use
435.    VIRx after that period, please contact Microcom, Inc. at (919)-490-1277
436.    for information on a site license.  VIRx may not be bundled with other
437.    products without a written agreement: contact Microcom for details.
438.  
439.    2.  VIRx 1.9 now detects 85 newly discovered viruses, bringing the total
440.    count to 649, plus innumerable variants.
441.  
442.    3.  There is a known problem with occasional V2P6 false positives.  If
443.    you encounter a file that VIRx indicates contains the V2P6 virus, please
444.    leave a message on Microcom's BBS at the number listed below with details
445.    immediately.  If possible, please upload a copy of the file that is
446.    generating the V2P6 alert.
447.  
448.    4.  Our BBS is thriving and awaits your visit!  It runs at up to V.32BIS
449.    speeds.  Please upload suspect files to the BBS, where we'll examine them
450.    and let you know whether the file contains a virus.  The latest copy of 
451.    VIRx is always available on the BBS, and we welcome your suggestions and
452.    comments regarding our products.  You can reach the BBS at (919)-419-1602
453.  
454.    5.  Finally, we are documenting our external signature file.  This allows
455.    new viruses to be detected without having to wait for a new release of
456.    VIRx.  You should be careful: if you use the external signature file and
457.    add a virus signature that we are already using within our internal virus
458.    signature database, VIRx will inform you that it has found a virus in
459.    
460. Downloaded From P-80 International Information Systems 304-744-2253
461.