home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / misc / v05i015.txt

< prev

next >

Wrap

Internet Message Format  |  1992-09-27  |  21KB

---

1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
2. Errors-To: krvw@CERT.SEI.CMU.EDU
3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
4. Path:      cert.sei.cmu.edu!krvw
5. Subject:   VIRUS-L Digest V5 #15
6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
7. --------
8. VIRUS-L Digest   Monday, 27 Jan 1992    Volume 5 : Issue 15
9.  
10. Today's Topics:
11.  
12. Leading Edge distributes Michaelangelo virus (PC)
13. New virus????? (PC)
14. Re: 1575/1591 Virus (PC)
15. Re: i/o ports (was re: Iraqi virus) (PC)
16. Pentagon and Keypress virus found (PC)
17. Trojan program collects passwords
18. vsum info... (PC)
19. Green Caterpillar Virus (PC)
20. Total memory available to DOS less than 655360 (PC)
21. Re: Reviews and request (PC + Amiga)
22. FAQ: benign use of viri...
23. Re: Signature viruses
24. Re: Signature viruses
25. Re: Signature viruses
26. Iraqi Virus Question?
27. CCC91.ZIP on risc (text)
28.  
29. VIRUS-L is a moderated, digested mail forum for discussing computer
30. virus issues; comp.virus is a non-digested Usenet counterpart.
31. Discussions are not limited to any one hardware/software platform -
32. diversity is welcomed.  Contributions should be relevant, concise,
33. polite, etc.  (The complete set of posting guidelines is available by
34. FTP on cert.sei.cmu.edu or upon request.)  Please sign submissions
35. with your real name.  Send contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU
36. (that's equivalent to VIRUS-L at LEHIIBM1 for you BITNET folks).
37. Information on accessing anti-virus, documentation, and back-issue
38. archives is distributed periodically on the list.  Administrative mail
39. (comments, suggestions, and so forth) should be sent to me at:
40. krvw@CERT.SEI.CMU.EDU.
41.  
42.    Ken van Wyk
43.  
44. ----------------------------------------------------------------------
45.  
46. Date:    Mon, 27 Jan 92 07:42:00 -0600
47. From:    Ken De Cruyenaere <KDC@ccm.UManitoba.CA>
48. Subject: Leading Edge distributes Michaelangelo virus (PC)
49.  
50.    This is from the latest RISKS digest:
51. - ------------------------------
52. Date: Sat, 25 Jan 92 14:14:47 PST
53. From: "Peter G. Neumann" <neumann@csl.sri.com>
54. Subject: Leading Edge distributes Michaelangelo virus
55.  
56. Between 10 and 27 December 1991, Leading Edge Products shipped up to 6000
57. IBM-compatible personal computer systems each of which included among the
58. hard-disk software the Michaelangelo virus -- which wipes the hard disk on the
59. artist's 6 March birthday, although it also has some earlier destructive
60. effects as well.  [See San Francisco Chronicle, 25 Jan 1992, p. B1]
61.  
62. ------------------------------
63.  
64. Date:    Thu, 23 Jan 92 21:51:22 +0000
65. From:    diaz@leland.stanford.edu (Kathy Diaz)
66. Subject: New virus????? (PC)
67.  
68. I have a question it seems that I have come across some sort of virus.
69. My Dos Machine has in every directory a file called aux. It seems also
70. that you can't find it by normal means. I guess the best way to find
71. it is to use any editor(edlin, edit, vi, etc..) to look at it, but
72. what you actually get is a computer freeze.
73.  
74. You could also try to rename a file to aux and you will some sort of
75. duplicate file error.
76.  
77. Each aux file is about 112 bytes long.
78.  
79. It doesn't seem to be malicious aside from taking up space but I can't
80. even look in the file and try to dump the contents onto a file or
81. something. And scanv85 doesn't find it.  Same thing with CPAV. If
82. anybody knows something about this all your help will be greatly
83. appreciated.
84.  
85. diaz@neon.stanford.edu
86. Katherine Salas Diaz 
87.  
88. ------------------------------
89.  
90. Date:    24 Jan 92 13:55:58 +0000
91. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
92. Subject: Re: 1575/1591 Virus (PC)
93.  
94. frisk@complex.is (Fridrik Skulason) writes:
95.  
96. > >There are 6-7 variants of this virus, but they are essentially the
97. > >same.
98.  
99. > Eh, no...Alan Solomon discovered he was wrong - he included one variable
100. > byte in his checksumming range.  There seem to be at most two variants.
101.  
102. We sorted this out with him yesterday. The final result is: 3
103. different variants.
104.  
105. In my original posting I also forgot to say that the virus does not
106. infect files with 8-character names, due to a bug...
107.  
108. Regards,
109. Vesselin
110. - -- 
111. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
112. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
113. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
114.  
115. ------------------------------
116.  
117. Date:    24 Jan 92 14:51:45 +0000
118. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
119. Subject: Re: i/o ports (was re: Iraqi virus) (PC)
120.  
121. stus5239@mary.cs.fredonia.edu (Kevin Stussman) writes:
122.  
123. > >Nonsense, complete nonsense. If it is in the printer, it cannot force
124.                                    ^^^^^
125. > >you to execute it. It cannot copy itself to the computer. It cannot
126. > >exist. Period.
127.  
128. >     This brings up an interesting problem. Can it happen via a
129. > serial / parallel port? This would mean there has to be direct control
130.  
131. No. And for the same reason.
132.  
133. > over the CPU from a device attached to the port. Usually there is
134. > software driving the IO of the port, but can an device sieze control
135. > and send instructions without driving software? Now if this isn't
136.  
137. No, it can't. Actually, data can be transmitted in both direction
138. through both ports (serial and paralel), but an external device has no
139. way to -FORCE- the computer to accept any data the latter is not
140. willing to. It would be possible, if a special program already runs on
141. the computer. Say, a software device driver for the printer, which
142. secretly downloads a virus from the printer's ROM. This is possible,
143. but just useless - why not imbedding the virus in the device driver in
144. the first place? No, there is no way an external device to force your
145. computer to accept data, unless there it a program already running,
146. which plays the active part.
147.  
148. > possible then I can see that it would be impossible.  But just saying
149. > NO because it's on a chip is nonsense. There is nothing saying I cant
150.  
151. I didn't say NO because it's on a chip. I said NO, because it is
152. introduced by an external device.
153.  
154. > place an EPROM in a strategic place that will place a virus of my
155. > choice on a hard drive or floppy, OR DO ANYTHING without even striking
156. > a key. If that chip has code to blank the screen, it will be blank
157. > before any control is given the user.  (how do you think a PC knows
158.  
159. Right. You just don't have a way to make the computer download all
160. this nasty code. No way from the printer, that is.
161.  
162. > Where is this article? And it seems strange to me that CNN wouldn't
163. > have known this. Then again, don't believe everything you hear.
164.  
165. As several people already mentioned, it has been published in the
166. Aprit 1st issue of InfoWorld (1991). Even the virus there is called
167. AF/91, that is April's Fool / 1991. As you can see, even CNN can get
168. cought... And it was not alone in this case, believe me... :-)
169.  
170. Regards,
171. Vesselin
172. - -- 
173. Vesselin Vladimirov Bontchev        Virus Test Center, University of Hamburg
174. Bontchev@Informatik.Uni-Hamburg.De  Fachbereich Informatik - AGN, rm. 107 C
175. Tel.:+49-40-54715-224, Fax: -226    Vogt-Koelln-Strasse 30, D-2000, Hamburg 54
176.  
177. ------------------------------
178.  
179. Date:    Fri, 24 Jan 92 11:51:55 -0500
180. From:    Eric Carlson <NVCARLE@VCCSCENT.BITNET>
181. Subject: Pentagon and Keypress virus found (PC)
182.  
183. Pentagon and Keypress viruses were found on floppys in one of our labs.
184.  
185. Pentagon virus was NOT FOUND by SCANv84, but it was found with SCANv69.
186.  
187. This could be a problem. We did not allow that person to use his disk in
188. the lab.
189.  
190. I wasn't there, so I didn't analize it further.
191.  
192.   - Eric Carlson - Microcomputer Software Support -
193.    - Northern Virginia Community College System -
194.        - NOVA BBS 703-323-3321 - 14,400 BPS -
195.  
196. ------------------------------
197.  
198. Date:    Fri, 24 Jan 92 17:55:38 -0600
199. From:    Ellen Brewer <ebrewer@ux1.cso.uiuc.edu>
200. Subject: Trojan program collects passwords
201.  
202. A program that collects logins and passwords by masquerading as a
203. telnet connection to either of two local computers was found this
204. week at the University of Illinois on PCs at sites used by large
205. numbers of students. The information below was posted by the CCSO
206. Site Manager to a local newsgroup and is forwarded to VALERT-L
207. with his consent.
208.  
209.   > Date: Mon, 20 Jan 1992 13:43:15 -0600
210.   > From: "Declan J. Fleming" <declan@ux1.cso.uiuc.edu>
211.   > Subject: Trojan Horse - Your uxa & ux1 password may be known
212.   >
213.   > One of my Site Consultants found a program at the Illini Union
214.   > Site that looks just like Telnet (the software used to access
215.   > mainframes) BUT is actually a password and login recorder.
216.   > It will prompt you for your login: and Password: then tell you
217.   > that the host is unreachable.
218.   >
219.   > So far this has only been found on DOS machines.
220.   >
221.   > What to look for:
222.   >
223.   > REAL Telnet doesn't leave a login screen up on the screen for an
224.   > extended period of time - it will time out back to the menu screen.
225.   > If you sit down at the computer and see a login screen already
226.   > present, contact a Site Consultant right away!  We'd like to track
227.   > this software and see how far it gets.  DO NOT try logging in until
228.   > the Site Consultant has been notified and you have re-booted your
229.   > machine with the Control-Alt-Delete keys.
230.   >
231.   > We have no idea how long this software has been around, so your
232.   > present password may already be known.  It is advised that you
233.   > change it right away.
234.   >
235.   > We've seen the software in two versions - one that looks like a
236.   > uxa login screen and one that looks like a ux1 login screen.
237.   > There may be others.
238.  
239. Ellen Brewer (ebrewer@ux1.cso.uiuc.edu)
240. "Non ignara mali, miseris succurrere disco."
241.  
242. ------------------------------
243.  
244. Date:    Sat, 25 Jan 92 19:29:32 -0800
245. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
246. Subject: vsum info... (PC)
247.  
248. hobbit@vax.ftp.com (*Hobbit*) writes:
249.  
250. > there a plaintext version of vsumx.h! that is readable by humans
251.  
252. Unfortunately, VSUM is not longer provided in this form.  You may, 
253. however, wish to get the Brunnstein Virus Catalogue, the various files of 
254. which are ftpable from cert.sei.cmu.edu.
255.  
256. ==============
257. Vancouver      p1@arkham.wimsey.bc.ca   | "A ship in a harbour
258. Institute for  Robert_Slade@sfu.ca      |  is safe, but that is
259. Research into  CyberStore Dpac 85301030 |  not what ships are
260. User           rslade@cue.bc.ca         |  built for."
261. Security       Canada V7K 2G6           |           John Parks
262.  
263. ------------------------------
264.  
265. Date:    Sun, 26 Jan 92 18:38:56 +0000
266. From:    Crispi <cjw1@ukc.ac.uk>
267. Subject: Green Caterpillar Virus (PC)
268.  
269. Dear all,
270.  
271. I have just found the Green Caterpillar virus (1575/1591), and would like
272. some information about it.
273. Firstly, which machines are vulnerable to infection, and on which machines
274. does the payload work? How many strains are there?
275. Secondly, and more generally, I tried to activate the virus on a PC running
276. DR-DOS 6 (with a compressed disk). I wasn't able to infect any files. I know
277. the virus spreads via the Findfirst and Findnext calls. Is DR-DOS immune in
278. some way?
279.  
280. Many thanks,
281.  
282. Christopher J. Wells.
283.  
284. %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
285. % cjw1@merlin.ukc.ac.uk |  disclaimer: Since UKC do not represent my views,    %
286. %   University of Kent  |              I do not represent theirs.              %
287. %------------------------------------------------------------------------------%
288. % "I seem to be having this tremendous difficulty with MY lifestyle" - A. Dent %
289. %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
290.  
291. ------------------------------
292.  
293. Date:    Mon, 27 Jan 92 09:27:20 +0700
294. From:    Josep Fortiana Gregori <UBAESQ01@EBCESCA1.BITNET>
295. Subject: Total memory available to DOS less than 655360 (PC)
296.  
297.     After reading the note by Padgett Peterson about the
298.     Michelangelo virus, I checked my machines and found
299.     that one of them (a 486/33MHz clone AT with 8M ram)
300.     reports total memory = 654336 = 655360 - 1024 when
301.     booted from drive C: and 655360 when booted from A:
302.  
303.     No other symptom of infection can be observed. (and
304.     SCAN '85 reports "no viruses found")
305.  
306.     Does someone know if there is a possible cause of this
307.     behaviour, other than infection?
308.  
309.                                      Josep
310. ......................................................................
311. Josep Fortiana
312. Departament d'Estadistica
313. (Facultat de Biologia)            Phone : 34 - 3 - 4021561
314. Universitat de Barcelona          E-mail: ubaesq01@ebcesca1.bitnet
315. Av. Diagonal 645
316. 08028 - Barcelona                  (also  ubaesq01@puigmal.cesca.es)
317. SPAIN
318.  
319. ------------------------------
320.  
321. Date:    Sat, 25 Jan 92 16:40:03 +0000
322. From:    d90mb@efd.lth.se (Maarten Berggren)
323. Subject: Re: Reviews and request (PC + Amiga)
324.  
325. p1@arkham.wimsey.bc.ca (Rob Slade) writes:
326. >per recent requests for reviews, the following is my current list (in
327. >order):
328. >EliaShim's ViruSafe
329. >Worldwide's Vaccine
330. >Solomon AntiVirus Toolkit
331. >Sophos Vaccine
332. >Fifth Generation's Untouchable
333. >
334. >(Of course, any more rumours like this past week, and this could be
335. >delayed a long time.)
336. >
337. >Now, a request.  We haven't heard much from the Amiga people lately.  Can
338. >I get some feedback on the top Amiga antiviral shareware of recent date?
339.  
340. I more or less write this to prove that Amiga-owners read this channel,
341. although there isn't much amiga-related stuff here.
342.  
343. I havn't had much problems with viruses recently. The only virus got last
344. year was a lamer-exterminator, and I think I used BootX to remove it.
345.  
346. I think that more Amiga-owner ought to write to this channel, to share
347. the latest info. about viruses.
348.  
349. Merten Berggren (d90mb@efd.lth.se)
350.  
351. ------------------------------
352.  
353. Date:    Fri, 24 Jan 92 19:11:08 +0000
354. From:    euzebio%dcc.unicamp.ansp.br@UICVM.UIC.EDU (Marcos J. C. Euzebio)
355. Subject: FAQ: benign use of viri...
356.  
357. Does anybody have any experience/references/etc. on
358. the use of viri/worms as a paradigm for distributed applications?
359.  
360. Thanks,
361.  
362. Marcos Euzebio.
363. - --
364. euzebio@dcc.unicamp.ansp.br
365.  
366. ------------------------------
367.  
368. Date:    Sat, 25 Jan 92 19:26:00 -0800
369. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
370. Subject: Re: Signature viruses
371.  
372. willimsa@unix1.tcd.ie (alastair gavi williams) writes:
373.  
374. >     So, what's a signature virus?  Does it require the file to be
375. > written to an acc before it will infect it?
376.  
377. After having sent my last response to this, I had second thoughts.  I am 
378. still not sure that I understand the question, but the poster may be 
379. referring to virus signatures, the specific sections of code used to 
380. identify a virus or infection.
381.  
382. ==============
383. Vancouver      p1@arkham.wimsey.bc.ca   | "A ship in a harbour
384. Institute for  Robert_Slade@sfu.ca      |  is safe, but that is
385. Research into  CyberStore Dpac 85301030 |  not what ships are
386. User           rslade@cue.bc.ca         |  built for."
387. Security       Canada V7K 2G6           |           John Parks
388.  
389. ------------------------------
390.  
391. Date:    Sat, 25 Jan 92 23:05:19 +0700
392. From:    swimmer@stage.hanse.de (Morton Swimmer)
393. Subject: Re: Signature viruses
394.  
395. willimsa@unix1.tcd.ie (alastair gavi williams) writes:
396.  
397. >
398. >     So, what's a signature virus?  Does it require the file to be
399. > written to an acc before it will infect it?
400.  
401. Was this meant as a joke? I was missing the ":-)"
402. Just in case this was not a joke, the "signature" virus is nothing
403. but a joke. Many people are putting a text like "This is a .signature
404. virus. Please copy me into your .signature file" or the likes. A
405. .signature file is of course the signature that is appended to e-mail.
406.  
407. BTW, as a joke I devised an anti-signature-virus: "rm -i .signature".
408. It's just about as intellegent as doing a low-level format to cure
409. a file virus.
410.  
411. Cheers, Morton
412. PS: :-)
413.  
414. ..............................................................................
415. .morton swimmer..odenwaldstr.9..2000 hamburg 20..germany..tel: +49 40 4910247.
416. .internet: swimmer@stage.hanse.de or swimmer@rzsun1.informatik.uni-hamburg.de.
417. ..............to leave only footprints, and take only memories................
418.  
419. ------------------------------
420.  
421. Date:    Fri, 24 Jan 92 00:32:38 +0000
422. From:    mcafee@netcom.netcom.com (Morgan Schweers)
423. Subject: Re: Signature viruses
424.  
425. Some time ago willimsa@unix1.tcd.ie (alastair gavi williams) happily mumbled: 
426. >
427. >    So, what's a signature virus?  Does it require the file to be
428. >written to an acc before it will infect it?
429.  
430. Greetings!
431.  
432.     A .signature virus is a voluntary self-inflicted virus, requiring
433. the consent of the to-be-infected to spread.
434.  
435.     It's a Usenet joke.  (IMHO, a pretty funny one.)  After all, it's
436. non-destructive, clearly announced, and requires user intervention to
437. become "infected".  It's easy to scan for, as well!  *grin*
438.  
439.     Removal of a .signature virus under Unix requires the use of an
440. extensively technical Unix virus-removal program, such as 'emacs' or
441. 'vi'.  Less technical methods may be used ('ed', or 'ex'), and in the
442. worst case a low level format of your .signature file may be required.
443. ('cat > .signature').
444.  
445.     .signature viruses are unique in that they can spread to
446. non-similar file systems.  (The only requirement for spreading is a
447. similar user mindset, across which the virus has ease spreading.)
448. Removal under other file systems may require different techniques than
449. under Unix.  For example, VMS comes with a easy-to-use .signature
450. virus removal program named EDIT.  Even old MS-DOS systems have the
451. easy capacity to remove this virus through the use of the arcane
452. 'EDLIN' command.  Modern versions of the MS-DOS .signature virus
453. remover contain a full screen visual interface.
454.  
455.     I'm not certain as to its efficacy spreading to non-text-oriented
456. brainsets (such as Amiga and Mac users), but I'm sure that with a
457. sufficiently interested and consenting user, something could be
458. arranged...
459.  
460.     Enjoy!
461.  
462.                                                    --  Morgan Schweers
463. - -- 
464. Hacker, Furry, SF reader, gamer, art collector, writer.  24 hours isn't enough.
465. mrs@netcom.com   | I'm a practicing furry!  Some day I hope all the practice
466. Freela @ Furry   | will pay off, and I'll grow fur!  --  me
467. K_Balore @ Furry |___________________ CLEAN C:\USR\SPOOL\*.* [SigVir] /SUB
468. Hi! I'm a .signature virus!  Add me to your .signature and join in the fun!
469.  
470. ------------------------------
471.  
472. Date:    25 Jan 92 19:48:00 -0600
473. From:    "379BMWMASQ" <379BMWMASQ@sacemnet.af.mil>
474. Subject: Iraqi Virus Question?
475.  
476. Hello All
477.  
478.  I have been watching in the list the message treads on the Iraqi printer
479. virus, and I have a question to pose to the group.
480.  
481.     1. Postscript printers receive printouts in the form of Postscript
482.        Program Code, which is in turn run by the printer to printout
483.        the Page. Now if that Postscript printer is on a Network and
484.        is capable of sending information to the network, then could
485.        the printer CPU be programmed to access the well known and
486.        some not so well known security features of the network to
487.        plant code or overload the system with bogus traffic.
488.  
489.  I know that this requires the information on the type of network and
490. the types of computing platforms in use, but seems to me that they
491. bought most of thier computers from us, over the last 10 years and it
492. would only be smart for one of the watchers (CIA, FBI, NSA, DIS) to
493. keep track of this.
494.  
495. This is of course is my own ideas, guesses, or what ever.
496.  
497. Chris Cohen
498. 379BMWMASQ@SACEMNET.AF.MIL
499.  
500. ------------------------------
501.  
502. Date:    Sun, 26 Jan 92 14:24:34 -0600
503. From:    James Ford <JFORD@UA1VM.BITNET>
504. Subject: CCC91.ZIP on risc (text)
505.  
506. The file CCC91.ZIP has been placed on risc.ua.edu for anonymous ftp.  This
507. zip file contains various (German?) text mentioned in earlier issues of
508. Virus-L.  (Thanks to the anonymous FTPer who uploaded it!)
509.  
510.           File                          Size
511.           ---------------------------   -----
512.           pub/ibm-antivirus/ccc91.zip   74085
513.  
514.  
515. If someone would like to tackle the translation, I will be more than
516. interested in posting the resulting files on risc.
517.  
518.  
519. Uploading a file:
520. - -----------------
521. If you want to upload a file to risc.ua.edu, you must place the file
522. in /pub/00uploads.  You will not be able to see your uploaded file
523. when you finish.
524.  
525. I have only one rule that I follow when posting a file on risc.ua.edu:
526.  
527.    If the zip contains any sort of executable (COM, EXE, SYS, BIN, etc),
528.    the uploader *MUST* send a message to JFORD@UA1VM.UA.EDU or the address
529.    JFORD@RISC.UA.EDU.  I h
530. Downloaded From P-80 International Information Systems 304-744-2253
531.