home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / misc / v05i007.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  20KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #7
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Tuesday, 14 Jan 1992    Volume 5 : Issue 7
9.  
10. Today's Topics:
11.  
12. Re: Novell Inadvertantly distributes virus with update (PC)
13. Stoned III / CIAC adv. 11 (PC)
14. Re: Michellangelo & HD's (PC)
15. More Stoned virus questions (PC)
16. Re: Norton Anty Virus (PC)
17. Norton's AV (PC)
18. 1575/1591 Virus (PC)
19. VIRUS at AT286 in SCAN85 (PC)
20. help! Jersusalem in MY PC (PC)
21. Untouchable (PC)
22. re: What Does Michael Angelo Do? (PC)
23. Re: Macs Running Soft PC (Mac) (PC)
24. PC virus infects UNIX system (UNIX) (PC)
25. New to the forum - question
26. Gulf War "virus"
27. Viruses against Iraq??????
28. The modem virus myth
29.  
30. VIRUS-L is a moderated, digested mail forum for discussing computer
31. virus issues; comp.virus is a non-digested Usenet counterpart.
32. Discussions are not limited to any one hardware/software platform -
33. diversity is welcomed.  Contributions should be relevant, concise,
34. polite, etc.  (The complete set of posting guidelines is available by
35. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
36. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
37. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
38. Information on accessing anti-virus, documentation, and back-issue
39. archives is distributed periodically on the list.  Administrative mail
40. (comments, suggestions, and so forth) should be sent to me at:
41. krvw@CERT.SEI.CMU.EDU.
42.  
43.    Ken van Wyk
44.  
45. ----------------------------------------------------------------------
46.  
47. Date:    Fri, 10 Jan 92 16:30:25 +0000
48. From:    trent@rock.concert.net (C. Glenn Jordan -- Microcom)
49. Subject: Re: Novell Inadvertantly distributes virus with update (PC)
50.  
51.     We at Microcom want to make sure we know what virus this
52. "STONED3" is, exactly.  Novell will not provide us with a sample,
53. but we are pretty sure this is the virus we originally called
54. "LastDirSect" and then later (when we found out what others were
55. calling it) renamed to "NOINT".  Anybody have a sample of the virus
56. Novell is reported to have inadvertantly distributed ?  If so, could
57. you run our VIRx v1.9 against it, to check our theory ?
58.  
59.     We would sure appreciate it.
60.  
61. C. Glenn Jordan  - Virex for the PC Development  (919) 490-1277 vw
62.  
63. Virex Support BBS - (919) 419-1602 V.32bis
64.  
65. ------------------------------
66.  
67. Date:    09 Jan 92 14:59:12 +0100
68. From:    Carl Bretteville <Cab@oscar.bbb.no>
69. Subject: Stoned III / CIAC adv. 11 (PC)
70.  
71. Alan Fedeli writes in VIRUS-L 5/002:
72. - ->We also know Stoned-3 as NOINT.  NOINT may be a useful addition to further
73. - ->correspondence on this advisory.
74.  
75. And even more input on this:
76. The virus was named "NoInt" by Micke McCune when he isolated it in
77. MAY91 as the virus dosen't use interrupts to send commands to BIOS.
78. McAffe calls it "Stoned III" for some reason or another and Norton
79. AntiVirus calls it "Bloomington" - the city of it's discovery.
80.  
81. Carl Bretteville
82. Arcen Data AS, Norway
83.  
84. ------------------------------
85.  
86. Date:    09 Jan 92 15:01:27 +0100
87. From:    Carl Bretteville <Cab@oscar.bbb.no>
88. Subject: Re: Michellangelo & HD's (PC)
89.  
90. homan@envmsa.eas.asu.edu (Thomas H. Homan (aka Bit Bucket Bandit)) writes in
91. VIRUS-L 5/002
92.  
93. >Is there some other program for removing the michaelangelo virus from
94. >a stricken hard drive....I have a Seagate 3120A (IDE) drive that I
95. >cannot remove this virus from.  Here's what I have tried so far:
96. >1 - Fprot 2.01 - nope
97. >2 - Scan V80 - nope
98. >3 - Scan v84 - nada
99. >4 - Repartition drive as 40m and format - nope
100. >5 - Return partition size to 100m and format - still there
101. >what can be done?
102.  
103. Yes indeed!  If you can handle physical sector editors like Norton
104. Utilities or PCTools you can do it your self by copying Head 0 Track 0
105. Sector 7 to Head 0 Track 0 Sector 1.  This will copy the original
106. Master Boot Sector back where it belongs and radicate the virus in the
107. process.
108.  
109. But, remember to boot the PC off a clean floppy disk before you start.
110.  
111. Hope this helps.
112. Carl Bretteville
113. Arcen Data AS
114.  
115. ------------------------------
116.  
117. Date:    Fri, 10 Jan 92 13:40:00 -0700
118. From:    JGUNDERSON@cudnvr.denver.colorado.edu
119. Subject: More Stoned virus questions (PC)
120.  
121.     Another  quick Stoned 3 question.  At the University of Colorado
122. (Denver) we got hit hard by the inadvertant mass release of the FORM virus
123. last year.  I found myself spearheading the process of cleaning up and 
124. hardening the defenses of one of our computer labs.  I would like to be
125. ahead of the game if the Stoned 3 release hits us.
126.     We have been relying on Simon McAuliffe's NoStone as an ongoing
127. defense against Stoned, however I notice that the Stoned 3 variant is
128. listed a stealthed variety.  Does anyone know if NoStone v4.1 (released
129. June 1990) will do any good?
130.     By the way, thanks for all the help.  What reputation I have as a
131. virucidal maniac is due mostly to what I have gleaned from this news group.
132.             Thanks
133.  
134. No signature, just a name.    JIM
135.  
136. ------------------------------
137.  
138. Date:    Fri, 10 Jan 92 20:14:33 +0000
139. From:    keithm@norton.com (Keith Mund)
140. Subject: Re: Norton Anty Virus (PC)
141.  
142. This is no shareware version the The Norton AntiVirus available. What
143. do you wish to know about the product?
144.  
145. Keith Mund
146.  
147. ------------------------------
148.  
149. Date:    Fri, 10 Jan 92 17:55:52 -0400
150. From:    Andrew Brennan <BRENNAAA@DUVM.BITNET>
151. Subject: Norton's AV (PC)
152.  
153.       Question for anyone:
154.  
155.       We have been using the latest (I think) version of NAV at
156.    the center I work in.  We scan disks when people enter, and also
157.    run a scan of the machines a couple of nights a week just to be
158.    on the safe side.  (ok, maybe the paranoid side ... :^)
159.  
160.       We have had a re-occurring problem with NAV crashing after
161.    scanning a single 5.25 disk.  It's not terrible when a person is
162.    only intending to use 1 5.25, but people who come in with 5 or 6
163.    disks means that you either have to enter NAV, scan one, exit,
164.    start NAV again ...  OR enter NAV, scan one, attempt again (with
165.    a high chance of crashing and needing a re-boot).  Sometimes (?!)
166.    the disk goes through w/out a hitch and we are able to scan more
167.    than one 5.25 at a time.  It's not happened (to my knowledge) on
168.    3.5 scans, and it's not a memory-resident conflict - the machine
169.    can have the same problem on the second run, other machines have
170.    this problem with different memory loads, etc.
171.  
172.       Someone was in the other day and mentioned that Norton had
173.    had a problem with that version and that a letter had been sent
174.    to people, but we haven't seen anything along those lines ...
175.  
176.       Anyone know about this?
177.  
178.       Andrew.  (brennaaa@duvm.ocs.drexel.edu)
179.  
180. ------------------------------
181.  
182. Date:    11 Jan 92 13:53:58 +0000
183. From:    harvey@oasys.dt.navy.mil (Betty Harvey)
184. Subject: 1575/1591 Virus (PC)
185.  
186.     Our facility has been infected by virus 1575/1591 virus.  The
187. virus had infected an entire building.  I am not sure how long the
188. virus had been traveling around and I suspect that I will see this
189. virus again.  However, none of the infected machines showed any signs
190. of being infected except for one.  This machine was obviously the most
191. used and the most infected.
192.  
193.     A green catepiller with a yellow head crawled across the
194. screen and munched the letters then shifted the margins to the right.
195. I was able to clean-up the disks using McAfee's CLEAN (ver. 85)
196. without any damage to the files (except it destroyed versions of SCAN
197. and CLEAN that were on the hard drive).
198.  
199. QUESTION:  Does anyone have any information on this virus?  I am interested
200.        in finding more about this virus since the odds are I will see
201.        this little green fellow again.  Thanks!
202.  
203. /\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/
204. Betty Harvey  <harvey@oasys.dt.navy.mil>   | Maybe I was absent or
205. David Taylor Research Center               |   or was listening too  
206. Office Automation Systems Branch           |   fast.
207. Bethesda, Md.  20084-5000                  | Catching all the words
208.                                            |   but then the meaning
209. (301)227-4901                              |   going past.  D. Gates
210. /\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\\/\/
211.  
212. ------------------------------
213.  
214. Date:    Sat, 11 Jan 92 23:36:23 -0600
215. From:    Jarda Dvoracek <DVORACEK@CSEARN.BITNET>
216. Subject: VIRUS at AT286 in SCAN85 (PC)
217.  
218.       !!!             AT 286  USERS              !!!
219.       !!!   WARNING  !!!  WARNING  !!!  WARNING  !!!
220.       !!!   SCANV85 INFECTED, CLEAR85 MAYBE TOO  !!!
221.  
222. In Czechoslovakia, I got some new virus with the SCANV85.ZIP from some
223. BBS. It makes all .COM, .EXE and .ASM files 10 bytes longer, the first
224. 6 bytes are:
225.           F0 FD C5 AA FF F0
226. No antivirus program has i detected, except from those watching files'
227. length.
228. During 3 days it has infected all files but COMMAND.COM, some of them
229. worked normally, several terminated just after calling them.
230. It is possible that it writes in FAT1 - into last sectors.
231. The same string was in: CLEAN85.ZIP, there in CLEAN.EXE and VALIDATE.COM,
232. uploaded from BBS
233.  
234.            #####                           adresa: AEC Ltd., Sumavska 33,
235.          ###  ###     ################             61264 Brno, Czechoslovakia
236.        ###     ###  ###     ###               Tel: +42-5-7112 linka 502
237.      ###################   ###                Fax: +42-5-744984
238.    ###          ####      ##########          BBS: +42-5-749889
239.                ##########                 FidoNet: 2:421/16
240.  Association for Electronics & Computers   VirNet: 9:421/101
241.            authorized agent of           InterCom: 83:425/1  (NCN mail)
242.             McAFEE ASSOCIATES
243.  
244. SCANV85 was not from this BBS.
245. If I detect something more, I  will report.
246. If there are some questions, please be patient, I have 2 big obstacles:
247. 1) I can reach my E-mail box only rarely (by modem, always "line busy")
248. 2) as I am physician only,
249.  
250. Jarda Dvoracek, M.D.
251. 1st.Internal Clinic
252. Faculty Hospital
253. I.P.Pavlova 6
254. 772 00  Olomouc
255. Czechoslovakia
256. E-mail(bitnet): dvoracek @ csearn
257. Phone: 0042 68 474, ext. 3201(secretary)
258.  
259. ------------------------------
260.  
261. Date:    13 Jan 92 18:18:25 -0500
262. From:    x90yahya2@gw.wmich.edu
263. Subject: help! Jersusalem in MY PC (PC)
264.  
265. hi,
266.  
267. My PC 386 been infected by Jursusalem virus.  How can I get rid of
268. this virus ?  Please send step-by-step instruction to remove this
269. beast.
270.  
271. Mazlan 
272. P.O. Box 19501-9501
273. Kalamazoo
274.  
275. EMAIL: X90YAHYA2@GW.WMICH.EDU
276.  
277. ------------------------------
278.  
279. Date:    Mon, 13 Jan 92 07:14:56 -0800
280. From:    dusty.henr801e@xerox.com
281. Subject: Untouchable (PC)
282.  
283. Can anyone comment on the anti-virus package 'Untouchable' by Fifth
284. Generation Systems, Inc?  It claims to be able to detect both known
285. and future viruses without upgrades.
286.  
287. I received a mailing offering for $99 (normally $165) until 2/1/92.
288. Is it worth it?
289.  
290. dusty
291.  
292.     Dominic G. Flory
293.     dusty:henr801e:xerox
294.     Eastern Time Zone
295.     801-15A
296.      8-227-5082
297.     160.25220610241.0
298.  
299. ------------------------------
300.  
301. Date:    13 Jan 92 16:20:45 -0500
302. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
303. Subject: re: What Does Michael Angelo Do? (PC)
304.  
305. > From:    "21478, SCHILLIG,JR., LAWRENCE K" <schilligl@astro.pc.ab.com>
306.  
307. > Does anyone know what this virus can do to a IBM system?
308.  
309. If you have the same "Michelangelo" virus that I've analyzed, it will
310. overwrite the bottom of the boot disk (the first floppy or the first
311. hard disk) with trash if booted on March 6th.  You probably want to
312. make sure you've cleaned it up well before then!
313.  
314. As usual, your mileage may vary: the virus you have may have little or
315. nothing in common with the virus I've examined.  Have a local guru
316. disassemble it if you want to be sure; it's quite small!
317.  
318. DC
319.  
320. ------------------------------
321.  
322. Date:    Sun, 12 Jan 92 08:10:29 +0000
323. From:    plains!umn-cs!LOCAL!aslakson@uunet.uu.net (Brian Excarnate)
324. Subject: Re: Macs Running Soft PC (Mac) (PC)
325.  
326. lev@amarna.gsfc.nasa.gov (Brian S. Lev) writes:
327. >fprice@itsmail1.hamilton.edu (Frank Price) writes...
328. >>SoftPC does such a good job of emulating an MS-DOS machine that many
329. >>(most?  virtually all?) viruses WILL infect it. SoftPC uses a (big)
330. >>data file for the contents of the simulated PC's hard drive. I believe
331. >>Mac antiviral programs consider this to be a data file and do not
332. >>check it. Even if they did, they would not know how to recognize
333. >>MS-DOS viral code.
334. >Ummm... I'm not 100% positive, but I seem to remember the more recent
335. >versions of the Mac's "Big 4" (Disinfectant, Virex, SAM, SUM) all _do_
336. >look at data files if you tell 'em to scan your disk...
337.  
338. They scan for Mac viruses, Frank is talking about MS-DOS viruses.
339.  
340. Brian
341. - -- 
342. Suspecious mind
343.  
344. ------------------------------
345.  
346. Date:    Fri, 10 Jan 92 09:40:56 -0700
347. From:    bear@fsl.noaa.gov (Bear Giles 271 X-6076)
348. Subject: PC virus infects UNIX system (UNIX) (PC)
349.  
350. Forwarded to VIRUS-L by Keith Peterson <w8sdz@rigel.acs.oakland.edu>
351.  
352. We were configuring the ethernet card on our new 486 UNIX (SVR5) box
353. when we determined that we needed to boot and run DOS to run the
354. ethernet configuration program.  (Or possibly the EISA configuration --
355. this happened in my office but I was not involved).
356.  
357. No problem: simply create a boot disk from the DOS system across the
358. hall and reboot DOS.
359.  
360. Unfortunately, that system had been infected with the 'Stoned' virus.
361. This virus overwrote the UNIX BOOT TRACK when the infected DOS was
362. booted.
363.  
364. Result -- no more SVR5.  We will probably have to perform a low-level
365. format of the disk and rebuild the UNIX from original media.
366.  
367. Morals: 1) don't ignore DOS viruses simply because you run UNIX unless
368. you NEVER need to use DOS.  2) Pound on DOS users to note and report
369. strange behavior because some infections are very costly (several
370. person-days to rebuild this system -- at least it was new and had no
371. work-in-progress on it!)
372.  
373. Bear Giles   bear@fsl.noaa.gov
374.  
375. ------------------------------
376.  
377. Date:    10 Jan 92 14:33:00 -0800
378. From:    "LUSTIG, ROB L." <LUSTIG@wsmc-mis.af.mil>
379. Subject: New to the forum - question
380.  
381. Greetings, I am new to this area and wonder how often people actually
382. come across virui?  I have found only a couple per year crop up and
383. haven't had one actually do any real damage (except to people's egos).
384.  
385. Rob Lustig
386.  
387. ------------------------------
388.  
389. Date:    Sat, 11 Jan 92 21:55:05 -0600
390. From:    fstuart@eng.auburn.edu (Frank Stuart)
391. Subject: Gulf War "virus"
392.  
393. [Moderator's note: I've received several (!) postings about this
394. topic, but I'm only including two here.  Relevant, substantiated
395. follow-ups will be posted as well.]
396.  
397. CNN is reporting that a computer "virus" was used during the Gulf War.
398. Reportedly, the virus was used to blank the screens of Iraq's air
399. defense computers.  The alleged virus was supposed to have been hidden
400. in a printer chip that was smuggled in from Jordan.  I (and many
401. others, I'm sure) would be very interested if anyone has further
402. information.
403.  
404.                        |  'A man in love is incomplete until he has marrried.
405. Frank Stuart           |   Then he's finished.'
406. fstuart@eng.auburn.edu |                             --Zsa Zsa Gabor
407.  
408. ------------------------------
409.  
410. Date:    Sun, 12 Jan 92 00:32:41 -0500
411. From:    stus5239@mary.cs.fredonia.edu (Kevin Stussman)
412. Subject: Viruses against Iraq??????
413.  
414.     I was watching CNN (Sun Jan 12 00:04:57 EST 1992), and they
415. were talking about things that helped the US defeat Iraq. One of the
416. things they mentioned was a "virus" on a chip which the CIA planted in
417. some printers in Jordan bound for Iraq. Apparently, it blanked out
418. computer screens attached to the printers, and those screens were part
419. of the air defense network over Baghdad.
420.  
421.     Virus on a chip?? How and when did it go off? What type virus?
422. (it probably wasn't a real virus (not self replicating) but nasty
423. screen killing code on a chip) So now hacking is now legal, but only
424. during wartime against an enemy. (goes with killing)
425.  
426. What's the deal here? Am I the last to hear this? (has it been discussed?)
427.  
428. K.
429.  
430. +*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
431.  _    __
432. | |  / /   -=> stus5239%mary.cs.fredonia.edu@cs.buffalo.edu
433. | | / /        stus5239@mary.cs.fredonia.edu
434. | |< <         UUCP:...{ucbvax,rutgers}!sunybcs!mary!stus5239
435. | | \ \
436. |_|  \_\ evin Stussman   -=>Never has so many known so little about so much.<=-
437. +*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
438. Rock climbing Joel...rock climbing.... -- Crow (MST3K)
439.        <<<---- KEEP CIRCULATING THE TAPES ----->>> 
440.          <<<---- Mail Me If Interested And Local ---->>>
441. +*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
442.  
443. ------------------------------
444.  
445. Date:    Fri, 10 Jan 92 19:11:49 -0800
446. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
447. Subject: The modem virus myth
448.  
449. [Moderator's note: Please be sure to read this and the other myth
450. postings as the MYTHS that they are.]
451.  
452. DEFMTH6.CVP   920105
453.  
454.                     The Modem Virus of 1989
455.  
456. Continuing with Padgett's list:
457.  
458. 5) "Modem" virus
459. The first report I got of the modem virus is from VIRUS-L Volume
460. 1, number 42 in early December, 1988.  It came from the JPL, of
461. all places.  The original report was supposed to have come from
462. a telecommunications firm in Seattle, and contained all kinds of
463. technical bafflegab, including the fact that the virus was
464. transmitted via the "sub-carrier" on 2400 bps modems, so you
465. should only use 300 or 1200.  The "subcarrier" was supposed to
466. be some secret frequency that the modem manufacturers used for
467. debugging.  The virus was supposed to do all kinds of changing
468. of the internal registers of the modem.  That first report gave
469. no indication of how the virus got from the modem into the
470. computer.
471.  
472. As people started to raise objections to the possibility of this
473. ridiculous scenario, the initial report was traced back to a
474. posting on Fidonet (the earliest date I have in my records is
475. October 6, 1988) by someone who gave his name as "Mike
476. RoChenle".  Ken later suggested this might be read as
477. "microchannel", the then new bus for IBM's PS/2 machines.
478.  
479. Among the serious researchers, these rumours were dealt with
480. rather quickly, within about two weeks.  We continued, however,
481. to receive reports of the virus for most of 1989.  The facts;
482. that modem manufacturers use all the bandwidth available for
483. transmission, that the internal registers are data rather than
484. programs, that "unused" pins in an RS-232 cable are still
485. "assigned" and can't be used for spurious transmissions, and
486. that terminal emulation programs do not "call" incoming data as
487. programs; only served to spur the reporters to greater flights
488. of fancy in their descriptions of the "modem virus".
489.  
490. With the phenomenon being flat out physically impossible, why
491. did the rumour persist for such a long time?
492.  
493. One reason is that the rumour itself may have prompted a lot of
494. interest in computer viral programs from among computer and
495. modem users.  As these people joined virus discussion groups,
496. and not seen the modem virus being discussed, they continued to
497. post reports of it.  Also, the rumours contained enough "pseudo-
498. technical" language as to seem credible, while remaining
499. essentially incomprehensible to those who, while suing a modem,
500. know little of the technology involved.  One of the major
501. reasons, however, is likely that people were primed to believe
502. it.  BBSes, and, by extension, modems, have had a consistently,
503. and unfairly, bad press over the past few years.  BBSes are seen
504. as the ultimate source of all "evil" programs; viri and trojans;
505. and anything bad said about them is to be believed.
506.  
507. Which is ano
508. Downloaded From P-80 International Information Systems 304-744-2253
509.