home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / VIRUSL3 / VIRUSL3.62 < prev    next >
Encoding:
Text File  |  1994-07-17  |  17.6 KB  |  420 lines
  1. VIRUS-L Digest   Friday, 23 Mar 1990    Volume 3 : Issue 62
  2.  
  3. Today's Topics:
  4.  
  5. Re: Stoned disinfection information (PC)
  6. Ping Pong Virus Question (PC)
  7. McAfee anti-virals updated on SIMTEL20 (PC)
  8. Virus Replication Rates
  9. Harper's Article
  10. Jerusalem B infection fixed (PC)
  11. Viruses and Copyrights (Part 3)
  12. Stoned Virus Removal (PC)
  13. Re: Low level format
  14. Re: Utilities?
  15. New Mac Virus?
  16.  
  17. VIRUS-L is a moderated, digested mail forum for discussing computer
  18. virus issues; comp.virus is a non-digested Usenet counterpart.
  19. Discussions are not limited to any one hardware/software platform -
  20. diversity is welcomed.  Contributions should be relevant, concise,
  21. polite, etc.  Please sign submissions with your real name.  Send
  22. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  23. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  24. anti-virus, documentation, and back-issue archives is distributed
  25. periodically on the list.  Administrative mail (comments, suggestions,
  26. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  27.  
  28.    Ken van Wyk
  29.  
  30. ---------------------------------------------------------------------------
  31.  
  32. Date:    21 Mar 90 00:00:00 -0500
  33. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
  34. Subject: Re: Stoned disinfection information (PC)
  35.  
  36. gm@cunixb.cc.columbia.edu (Gary Mathews) writes:
  37. > You could remove the stoned virus with McAfee's clean program or more
  38. > simply, by booting off a clean dos disk and use the sys command to
  39. > transfer a new copy of the MS-DOS system onto the hard disk.
  40. >
  41. >         1) boot system on a clean disk
  42. >         2) sys c:
  43. >         3) "Stoned" virus is gone !
  44.  
  45. That's wrong, I'm afraid.  The Stoned virus infects the master boot
  46. sector of the hard disk (the sector that contains the partition
  47. table).  The DOS command "SYS" doesn't touch that sector, it only
  48. restores the DOS (or "system") boot sector.  Removing the Stoned
  49. requires a low-level format, or the use of some program that fixes the
  50. master boot sector (unlike SYS).  (SYS generally -will- remove the
  51. Stoned from -floppies-, because they have only one boot sector, and
  52. SYS fixes it; but SYS doesn't remove the Stoned from hard disks.)
  53.  
  54. DC
  55.  
  56. ------------------------------
  57.  
  58. Date:    Wed, 21 Mar 90 10:29:26 -0500
  59. From:    ag541@cleveland.Freenet.Edu (John Zola)
  60. Subject: Ping Pong Virus Question (PC)
  61.  
  62. FACTS REGARDING THE PING PONG VIRUS INFECTION OF MARCH 1990
  63.  
  64. History -------------------------------
  65.  
  66.      The PC virus I received is known as the Ping Pong-B Virus.
  67. It is also known as the Bouncing Ball, the Bouncing Dot, the
  68. Italian, the Vera Cruz, the Falling Letters, and the Boot Virus.
  69.      The original Ping Pong Virus is a boot sector virus first
  70. reported in March 1988.  The original virus could only infect
  71. floppy diskettes.
  72.      The virus found at my company is a derivative of the
  73. original Ping Pong Virus called Ping Pong-B.  The Ping Pong-B
  74. Virus has the ability to infect fixed disk drives as well as
  75. floppy diskettes. The virus is a resident boot sector infector,
  76. meaning that the virus overwrites part of the disk boot sector
  77. with a copy of itself and when RAM resident, occupies the high
  78. end of active RAM.  The virus hasn't been reported to damage or
  79. corrupt stored files.
  80.  
  81. What it did ---------------------------
  82.  
  83.      The virus becomes RAM resident when booted from an infected
  84. drive.  The use of "CHKDSK.COM" shows that exactly 2048 bytes have
  85. been taken from total memory available.  When the virus is booted
  86. from an infected diskette, it immediately infects the other disk
  87. drives without the user having to access them through DOS.  The
  88. virus will overwrite the boot sector at sector 0, track 0, head 1,
  89. offset 37.  The virus will also write to the first available
  90. cluster on the data portion of the disk and mark it as bad.  This
  91. particular feature of the virus doesn't seem to be documented.  I
  92. would like to find out whether this so-called bad sector is a
  93. duplicate of the virus or possible a data segment that the virus
  94. uses.
  95.  
  96. Detection -----------------------------
  97.  
  98.      The active monitor program reported no virus activity because
  99. most of the virus activity occurred during boot up, before the
  100. active monitor program could be loaded and executed from DOS.
  101.      The virus cannot stay memory resident when the computer is
  102. turned off and booted from a clean system disk.  The virus is
  103. destroyed when the DOS "SYS.COM" is used to overwrite the boot
  104. sector of the infected disk.  The disk sector the virus marked
  105. "bad" was rewritten to be usable by DOS and the information
  106. contained in it was zeroed out three times.
  107.  
  108. Equipment -----------------------------
  109.  
  110.      The virus was examined on a Panasonic FT-70 portable personal
  111. computer.  The FT-70 is an IBM XT compatible featuring 640K of RAM
  112. using an Intel 8086 microprocessor.  The FT-70 does not feature a
  113. fixed disk drive.  All disks used in the examination of this virus
  114. were magnetized after use, to prevent further contamination.
  115.  
  116.  
  117.                                                      John C. Zola
  118.                                      Technical Support Specialist
  119.                                    Information Management Section
  120.  
  121. ------------------------------
  122.  
  123. Date:    Wed, 21 Mar 90 11:09:00 -0700
  124. From:    Keith Petersen <w8sdz@WSMR-SIMTEL20.ARMY.MIL>
  125. Subject: McAfee anti-virals updated on SIMTEL20 (PC)
  126.  
  127. I have uploaded the latest McAfee anti-virals to SIMTEL20:
  128.  
  129. pd1:<msdos.trojan-pro>
  130. CLEANP60.ZIP    Universal virus disinfector, heals/removes
  131. NETSCN60.ZIP    Network compatible - scan for 77 viruses, v60
  132. SCANRS60.ZIP    Resident virus infection prevention program
  133. SCANV60.ZIP     VirusScan, scans disk files for 77 viruses
  134.  
  135. These files were obtained from McAfee's Homebase BBS.
  136.  
  137. Keith
  138. - --
  139. Keith Petersen
  140. Maintainer of SIMTEL20's MSDOS, MISC & CP/M archives [IP address 26.2.0.74]
  141. Internet: w8sdz@WSMR-SIMTEL20.Army.Mil, w8sdz@brl.mil  BITNET: w8sdz@NDSUVM1
  142. Uucp: {ames,decwrl,harvard,rutgers,ucbvax,uunet}!wsmr-simtel20.army.mil!w8sdz
  143.  
  144. ------------------------------
  145.  
  146. Date:    Mon, 05 Mar 90 12:04:00 -0500
  147. From:    WHMurray@DOCKMASTER.NCSC.MIL
  148. Subject: Virus Replication Rates
  149.  
  150. >Are these infections (with an old virus) an indication of what will
  151. >happen when the large number of new viruses have had time to spread far
  152. >enough?
  153.  
  154. I am previewing a paper by Peter Tippett, M.D., Ph.D., which deals
  155. with this issue.  Dr. Tippett believes that the doubling time for
  156. Jerusalem and Brain is about 2 months.  By his calculations, the
  157. population of these viruses has not yet gotten "interesting."  He
  158. believes that the growth curves exhibit marked knees in the 30-40
  159. month time frame.  For example, if a virus were to reach a million
  160. copies in month 36, it would see two million by month 38.
  161.  
  162. >Or will the increasing availability of virus scanning tools and
  163. >self-checking programs (like MS Works) intersect the "infected systems
  164. >curve" soon?
  165.  
  166. Dr. Tippett believes that everything that we have done to date is
  167. factored into that doubling time.
  168.  
  169. There is no auto-immune function in computers.  An infected one will
  170. remain infected and keep infecting others until intervention.
  171. Computers do not die, they either remain in or rejoin the population.
  172. (John McAfee asserts that a once infected computer runs a fifty-fifty
  173. chance of being re-infected in ninety days.  While viruses replicate
  174. only in computers, where they are not persistent, they reside and move
  175. on floppies, where they are extremely peristent.
  176.  
  177. If Dr. Tippett is correct, we will soon stop dealing with computer
  178. viruses on a clinical (case-by-case, system-by-system) basis and begin
  179. to deal with it on an epidemiologic one.
  180. ____________________________________________________________________
  181. William Hugh Murray                     216-861-5000
  182. Fellow,                                 203-966-4769
  183. Information System Security             203-326-1833 (CELLULAR)
  184.                                         ARPA: WHMurray@DOCKMASTER
  185. Ernst & Young                           MCI-Mail: 315-8580
  186. 2000 National City Center               TELEX: 6503158580
  187. Cleveland, Ohio 44114                   FAX: 203-966-8612
  188.                                         Compu-Serve: 75126,1722
  189.                                         Telemail: WH.MURRAY/EWINET.USA
  190. 21 Locust Avenue, Suite 2D              DASnet: [DCM1WM]WMURRAY
  191. New Canaan, Connecticut 06840           PRODIGY: DXBM57A
  192.  
  193. ------------------------------
  194.  
  195. Date:    Wed, 21 Mar 90 10:10:35 -0700
  196. From:    Don Pirot <DPIROT@UALTAVM.BITNET>
  197. Subject: Harper's Article
  198.  
  199. I haven't seen it mentioned on VIRUS-L so I'll mention it: In the
  200. March issue of Harper's there is a forum on hacking entitled 'Is
  201. Computer Hacking a Crime?'. It is actually the transcript of an e-mail
  202. forum that took place over an 11 day period. Among the participants
  203. are Cliff Stoll, John Perry Barlow, Jim Gasperini, and a few anonymous
  204. hackers.
  205.  
  206. ------------------------------
  207.  
  208. Date:    Wed, 21 Mar 90 12:16:26 +0700
  209. From:    Chuck Martin <MARTINCH@WSUVM1.BITNET>
  210. Subject: Jerusalem B infection fixed (PC)
  211.  
  212. Our PC got hit by Jerusalem B yesterday (via a customer's disk).  With the
  213. aid of SCAN and CLEAN, we were able to eradicate the infection in both PCs
  214. with little effort.  Thank you, John McAfee!!  Thank God for shareware.
  215. The registration fee is well worth it.
  216.  
  217. -
  218.  ------------------------------------------------------------------------------
  219. \c-
  220.                            Chuck Martin, Consultant
  221.             Computer Information Center, Washington State University
  222.        MARTINCH @ WSUVM1.BITNET                      (509) 335-0411
  223. -
  224.  ------------------------------------------------------------------------------
  225. \c-
  226.               To iterate is human, to recurse divine. - Don Stokes
  227. -
  228.  ------------------------------------------------------------------------------
  229. \c-
  230.  
  231. ------------------------------
  232.  
  233. Date:    Wed, 21 Mar 90 21:52:17 -0500
  234. From:    davidbrierley@lynx.northeastern.edu
  235. Subject: Viruses and Copyrights (Part 3)
  236.  
  237.      Sorry for the delay in posting - final exams, you know.
  238.  
  239.     By copyrighting a work the author protects the following rights:
  240.  
  241. 1) The exclusive right to make copies of the work.  This right is waived
  242.    when viruses are involved since they self-replicate.
  243.  
  244. 2) The exclusive right to prepare derivative works (works based on the
  245.    original work).  This might also be waived for viruses since they
  246.    attatch themselves to other programs, thus making derivative works
  247.    of the virus.  Of course the infected program is now a derivative
  248.    work of the program before it was infected, violating the copyright of
  249.    that program's author(s).  With this in mind I'd say that true viruses
  250.    are also illegal since they infringe copyrights in addition to all the
  251.    other laws regarding illegal use of a computer, etc.
  252.  
  253. 3) The exclusive right to perform the work (as in plays, music, etc.)
  254.    This right doesn't apply to computer viruses, unless someone writes a
  255.    really weird one!  :-)
  256.  
  257. 4) The exclusive right to display the work in a commercial setting.
  258.    Applicable only if the virus author wants to advertise and sell his
  259.    'product.'  This would, of course, serve as evidence against him/her.
  260.  
  261. 5) The exclusive right to market or distribute the work.  This also
  262.    doesn't apply to viruses since they replicate (distribute) themselves.
  263.  
  264.  
  265.      The above are the only 5 rights that are protected by copyright, at
  266. least according to the book I have read.
  267.  
  268.      Next time, which will be my last posting on viruses and copyrights,
  269. will discuss what constitutes a proper copyright notice.  The information
  270. could surprise you!
  271.  
  272. DISCLAIMER:  As always, the above are my personal interpretations of
  273.              _How to Copyright Software_ (3rd edition) by attorney
  274.              M.J. Salone.  Do not take the above to be sound legal
  275.              advice, if there is such a thing.  ;-)
  276.  
  277. ------------------------------
  278.  
  279. Date:    Wed, 21 Mar 90 23:04:24 -0800
  280. From:    Alan_J_Roberts@cup.portal.com
  281. Subject: Stoned Virus Removal (PC)
  282.  
  283.           McAfee's CLEAN program will remove the Stoned virus as
  284. mentioned in yesterday's posting.  However the DOS SYS command will
  285. NOT remove the virus.  The virus infects the master boot record of
  286. hard disks (Partition Table), and the SYS command does not alter this
  287. area of the disk.  It WILL work on floppies, of course, provided they
  288. are bootable floppies and there is room for the system info.
  289.  
  290. Alan
  291.  
  292. ------------------------------
  293.  
  294. Date:    Thu, 22 Mar 90 09:57:53 +0000
  295. From:    frisk@rhi.hi.is (Fridrik Skulason)
  296. Subject: Re: Low level format
  297.  
  298. LBA002@PRIME-A.TEES-POLY.AC.UK writes:
  299. >Many of the articles I read on recovering from a virus infection
  300. >recommend a "low level format" of the hard disk as part of the
  301. >process.
  302.  
  303. You should not take this recommendation seriously.  Low level formatting
  304. is almost never necessary.  Most viruses only corrupt .EXE or .COM files,
  305. which can usually be restored, by using a disinfection program. The only
  306. viruses that cause problems are:
  307.  
  308.           Taiwan, which sometimes destroys the infected program instead
  309.           of properly infecting it.
  310.  
  311.           Jerusalem, which occasionally corrupts a file while infecting,
  312.           if the header contains incorrect information about the file length.
  313.           I have only seen this twice, however - but one of the programs is
  314.           very common (WordPerfect).
  315.  
  316.           Vienna (and the Lisbon variant), which destroys one out of every
  317.           eight files it infects.
  318.  
  319.           405 and other overwriting viruses.
  320.  
  321. In those (rare) cases you are forced to restore the files from a backup copy,
  322. but in all other cases disinfectors are available that will restore an
  323. infected program to its original state.
  324.  
  325. With boot sectors the story is similar - formatting is not required.  In most
  326. cases the original boot sector (or partition record) can be easily recovered,
  327. with the exception of the Swap (Fallboot) virus.
  328.  
  329. When cleaning up after the Dark Avenger virus, it is strongly advised to
  330. format the disk (an ordinary DOS format is all that is needed) and restore
  331. all programs and data files from backups.  The reason is that the Dark Avenger
  332. may have garbled some sectors on the disk and possibly destroyed data or
  333. program files.  No disinfection tool is able to recover from this.
  334.  
  335. There is one virus that might require a low level format, though.  When the
  336. Disk Killer virus activates, it starts encrypting the hard disk, including
  337. the partition table.  DOS format can not handle this, you would need to run
  338. FDISK first and possibly a low level formatting tool.  On the other hand,
  339. it is possible to write a program to recover the original data, as the
  340. encryption method is easily reversible.
  341.  
  342. - --
  343. Fridrik Skulason      University of Iceland  |
  344. Technical Editor of the Virus Bulletin (UK)  |  Reserved for future expansion
  345. E-Mail: frisk@rhi.hi.is    Fax: 354-1-28801  |
  346.  
  347. ------------------------------
  348.  
  349. Date:    22 Mar 90 19:40:59 +0000
  350. From:    MARCELO@phoenix.princeton.edu (MARCELO)
  351. Subject: Re: Utilities?
  352.  
  353.      Just for everyones information SCAN and CLEAN are now at version
  354. 60.  Best way to ensure good copies are to DL them directly from
  355. McAfee Associates BBS 408-988-4004. He also has the PKZIP programs
  356. available for DLing.
  357.  
  358.      .. Marcelo ..
  359.  
  360. marcelo@pucc.princeton.edu
  361. marcelo@phoenix.princeton.edu
  362.  
  363. ------------------------------
  364.  
  365. Date:    Fri, 23 Mar 90 01:35:10 -0500
  366. From:    Yary Richard Phillip Hluchan <yh0a+@andrew.cmu.edu>
  367. Subject: New Mac Virus?
  368.  
  369. I have started having problems with my Mac that I didn't have two days
  370. ago.  I run a number of memory-resident programs which could have
  371. started interacting in a funny way, but the facts lead me to be wary-
  372.  
  373. in a chronological order
  374.  
  375. a) Infrequently, when I run MacMail 0.5, I cannot type in id or password
  376. information without generating an app(1? 2? 3? 4?)event, which is now
  377. reserved for MultiFinder.  MacMail traps this and doesn't let me
  378. continue.  The ID & PW window is the first one that pops up, so I can't
  379. do anything other than quit... other apps work fine, but reruning
  380. MacMail doesn't fix it.  Rebooting does.
  381.  
  382. I've had that problem long before the others, and MacMail is still in
  383. the development stage, so it may have nothing to do with the "virus."
  384.  
  385. b) I run TeachText and try editing a 1.5 page document.  I can't
  386. backspace over any line breaks without getting a System bomb #10.  Can't
  387. clear or cut a selection containing a line break either, though copy
  388. works.
  389.  
  390. I start up Appleshare, connect to my machine from a remote computer, and
  391. start up TeachText remotely.  My system software should now be out of
  392. the loop.  I try editing a different document.  Now I can't even
  393. backspace over a single character.
  394.  
  395. I should point out these errors only occur while editing in or near the
  396. last screenful.
  397.  
  398. c)  Today I turn on the computer, bootup goes fine until the file window
  399. gets drawn.  The rectangle comes up with the title, but instead of
  400. drawing the icons with titles, I get another System error #10.  Booting
  401. up with a second disc works, but running software off my HD makes the
  402. Mac try to change systems, and I end up with a sys err #2.
  403.  
  404. This could be Appleshare writing where it shouldn't be, or a corrupted
  405. sector map (which forced me to reformat my HD a scant month ago), or
  406. both- who knows?  It could also be a virus.
  407.  
  408. Tomorrow I'd like to binhex my system and teachtext, and mail them to an
  409. expert who can tell me if there is any evidence of a virus.  I've sent
  410. mail to Werner Uhrig, hope he can point me in the right direction.
  411.  
  412. yary
  413.  
  414.  
  415. ------------------------------
  416.  
  417. End of VIRUS-L Digest
  418. *********************
  419. Downloaded From P-80 International Information Systems 304-744-2253
  420.