home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_027.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  19.4 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #27
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Wednesday, 13 Feb 1991    Volume 4 : Issue 27
  9.  
  10. Today's Topics:
  11.  
  12. Observation On An Observation
  13. BOOTCOMP.ZIP - Use BIOS-ints to compare bootsector with saved (PC)
  14. Translation of POLIMER VIRUS (PC)
  15. Is this a virus? (PC)
  16. Re: Boot Sector/Partition Table Protection (PC)
  17. Viruses Via Radio
  18. IBM Virus Scanner. (PC)
  19. Observations & Comments
  20. Request for info on the Ohio virus (PC)
  21. Disinfecting an Appleshare fileserver (Mac)
  22. Leprosy virus signature error (PC)
  23. University Lab Protection (PC)
  24. Viruses in text files
  25. MSDOS built in anti-viral for 40 meg or up hard drive (PC)
  26.  
  27. VIRUS-L is a moderated, digested mail forum for discussing computer
  28. virus issues; comp.virus is a non-digested Usenet counterpart.
  29. Discussions are not limited to any one hardware/software platform -
  30. diversity is welcomed.  Contributions should be relevant, concise,
  31. polite, etc.  Please sign submissions with your real name.  Send
  32. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  33. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  34. anti-virus, documentation, and back-issue archives is distributed
  35. periodically on the list.  Administrative mail (comments, suggestions,
  36. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  37.  
  38.    Ken van Wyk
  39.  
  40. ---------------------------------------------------------------------------
  41.  
  42. Date:    Mon, 11 Feb 91 15:47:42 -0700
  43. From:    rtravsky@CORRAL.UWyo.Edu (Richard W Travsky)
  44. Subject: Observation On An Observation
  45.  
  46. An observation on an observation...
  47. David Gursky    dg@titanium.mitre.org writes
  48.  
  49. > Observation 2: Mac viruses are not easier to write than PC viruses for
  50. > [...various reasons deleted...]
  51. > that infect each platform.  When I last checked (and this was awhile
  52. > ago), there were some 5 different Mac viruses, with no more than five
  53. > variations on a particular strain: total of about a dozen Mac viruses.
  54. > At the time, the number of PC viruses numbered 23 distinct strains and
  55. > over a 100 total viruses.  Alot of has to do with the number of
  56. > vandals writing viruses for the Mac vs. DOS, but it also has to do the
  57. > relative ease with which viruses can be written for DOS vs.  the Mac.
  58.  
  59. There are possibly more practical reasons as to why there are more pc viruses
  60. than mac viruses:  There are MORE pcs than macs,  not just more "vandals
  61. writing",  tho the two quantities are clearly related.  I saw a blurb a while
  62. back in PC Week saying there were around 45 million pcs in the US (apparently
  63. not counting Europe and elsewhere).  Unfortunately,  there was not a
  64. corresponding figure for macs.  Be that as it may,  more pcs means more people
  65. working on them (for one reason or another - some to do work, some to write
  66. viruses).  Something else of note that I've learned from this list is that most
  67. recent viruses have been written in (eastern) Europe.  What is the ratio of pcs
  68. to macs in Europe?  Predominance of the platform easily leads to more viruses.
  69. And if it's easier to do on a pc...well,  it's a frightening scenario.
  70. Richard Travsky                        Bitnet:   RTRAVSKY @ UWYO
  71. Division of Information Technology     Internet: RTRAVSKY @ CORRAL.UWYO.EDU
  72. University of Wyoming                  (307) 766 - 3663 / 3668
  73.  
  74. ------------------------------
  75.  
  76. Date:    Mon, 11 Feb 91 11:36:00 +0700
  77. From:    AMBASE%RUG.NL@CUNYVM.CUNY.EDU
  78. Subject: BOOTCOMP.ZIP - Use BIOS-ints to compare bootsector with saved (PC)
  79.  
  80. Summary: Reposted by Keith Petersen
  81.  
  82. I have uploaded to SIMTEL20:
  83.  
  84. pd1:<msdos.virus>
  85. BOOTCOMP.ZIP    Use BIOS-ints to compare bootsector with saved
  86.  
  87. This package uses the original BIOS interrupts to get the "current"
  88. bootsector and partitiontable and compare it with a previously saved copy.
  89. Since the original interrupts are used, no virus can mislead the program.
  90.  
  91. Arjen Merckens (ambase@rugr86.rug.nl)
  92.  
  93. ------------------------------
  94.  
  95. Date:    Mon, 11 Feb 91 00:00:00
  96. From:    "Richard Budd" <KLUB@MARISTB.BITNET>
  97. Subject: Translation of POLIMER VIRUS (PC)
  98.  
  99. In answer to Fridrik Skulason's request in VIRUS-L last month for a
  100. translation of a sentence appearing on the POLIMER Virus:
  101.  
  102. A le' jobb kazetta a POLIMER kazetta!  Vegye ezt!
  103.  
  104. I. Szarka at IBM's Budapest office confirmed to me today that the
  105. sentence is in Magyar.  It translates as:
  106.  
  107. The best cassette is the POLIMER cassette!  Buy this!
  108.  
  109. As a systems engineer with our Budapest office, he is very interested in
  110. knowing as much information about this POLIMER virus as possible.  Could
  111. Mr. Skulason please forward details of the POLIMER virus to klub@maristb
  112. on BITNET.  At this time, my IBM account is unfortunately not connected
  113. with any outside networks.
  114.  
  115. ======================================================================
  116. Richard Budd              | E-Mail: IBMers    - rcbudd@rhqvm19.ibm
  117. VM Systems Programmer     |         All Others- klub@maristb.bitnet
  118. IBM - Sterling Forest, NY | Phone:              (914) 578-3746
  119. - ----------------------------------------------------------------------
  120. IBM and Marist College don't ask me for my opinions.  They just let me
  121. play with their computers.
  122.  
  123. ------------------------------
  124.  
  125. Date:    Tue, 12 Feb 91 09:33:00 +0700
  126. From:    MIKAEL LINDBERG MORTENSEN <MIKAEL@vax.psl.ku.dk>
  127. Subject: Is this a virus? (PC)
  128.  
  129.   I Would like some good advice on VIRUS. I am trying to figure out
  130. whether a computer has a virus or the computer is just sick, here
  131. goes:
  132.  
  133.       While being inside a word processor (MS-Word 5.0) the computer
  134. suddenly hung up, at least the keyboard was disabled. The speaker
  135. started pipping realy madly. The mouse still worked though.
  136.   If the computer was hung the mouse would not work, if the computer
  137. was hung the speaker would not be beeping, but just make a tone,
  138. Have I got a known Virus on my hand or what?
  139.   Any suggestions are welcomed.
  140.                     *******************************************
  141.                     *      Mikael Lindberg Mortensen          *
  142.                     *      University of Copenhagen  DDBD?    *
  143.                     *      Psychological Laboratory    @EY    *
  144.                     *      Denmark.                     @D    *
  145.                     *       mikael@vax.psl.ku.dk              *
  146.                     *******************************************
  147.  
  148. ------------------------------
  149.  
  150. Date:    12 Feb 91 12:01:30 +0000
  151. From:    frisk@rhi.hi.is (Fridrik Skulason)
  152. Subject: Re: Boot Sector/Partition Table Protection (PC)
  153.  
  154. Regarding the subject of automatically detecting infections by boot
  155. sector viruses, I just wanted to point out that F-DRIVER.SYS (a part
  156. of my F-PROT package) will detect all known boot sector viruses, and
  157. is also designed to detect new/unknown boot sector and partition table
  158. viruses.  I will, however include an option in version 1.15 to disable
  159. this check, as it may cause problems on machines with network boot
  160. ROMs.
  161.  
  162. - -frisk
  163.  
  164. ------------------------------
  165.  
  166. Date:    Mon, 11 Feb 91 11:41:04 -0700
  167. From:    rtravsky@CORRAL.UWyo.Edu (Richard W Travsky)
  168. Subject: Viruses Via Radio
  169.  
  170. The January 28th edition of Computer World has an article in the
  171. viewpoint section entitled "Fighting Terminal Terroism".  The appears
  172. within:
  173.  
  174.    Radio frequency interception is a nearly trivial task today.  Using an
  175.    "intercept/transmit" model,  viruses can be injected into communications
  176.    systems with relative ease.  The U.S. government has issued contracts
  177.    for studies on methods of infecting enemy military computers with
  178.    viruses...
  179.  
  180. I was not aware virus transmission by radio had been accomplished.  I
  181. recall a news blurb a few months or so ago about the contracts for
  182. radio transmission of viruses, but I also vaguely remember that the
  183. general conscensus was that it was not possible ('course, that
  184. wouldn't stop the government! ;).  So, fact or hype?  Anyone have any
  185. information?
  186.  
  187. Richard Travsky                        Bitnet:   RTRAVSKY @ UWYO
  188. Division of Information Technology     Internet: RTRAVSKY @ CORRAL.UWYO.EDU
  189. University of Wyoming                  (307) 766 - 3663 / 3668
  190.  
  191. ------------------------------
  192.  
  193. Date:    Tue, 12 Feb 91 11:08:55 +0000
  194. From:    "Pete Lucas" <PJML@ibma.nerc-wallingford.ac.uk>
  195. Subject: IBM Virus Scanner. (PC)
  196.  
  197. Can anyone tell me whether any new signature files have been released
  198. for the IBM Virus Scanner? I currently have release 1.2 of this
  199. program, which is at a guess around 6 months old; has there been any
  200. update of the program??
  201.  
  202.            Pete Lucas PJML@UK.AC.NWL.IA  G6WBJ@GB7SDN.GBR.EU
  203.  
  204. ------------------------------
  205.  
  206. Date:    12 February, 1991 
  207. From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  208. Subject: Observations & Comments
  209.  
  210. From:    millerje@holst.tmc.edu (jeffrey scott miller)
  211.  
  212. >Artifical intelligence?  For what purpose.  99% of scanning for
  213. >viruses just requires looking for a "search string".
  214.  
  215. However, scanners are only one form of integrity protection for a PC.
  216. A good AI program will be able to "learn" a system configuration,
  217. which programs are allowed to do what, and flag the user if something
  218. unusual takes place. The prime problem with such schemes today result
  219. from too many "false positives" to avoid any "false negatives".
  220. Enigma-Logics VIRUS-SAFE, Certus Int'l's CERTUS, and Mr. McAfee's
  221. VSHIELD are good second generation products available today, but the
  222. third generation is going to have to include some form of AI as
  223. described above.
  224.  
  225. - ---------------------------------------------------------------
  226.  
  227. From:    merckens@dbf.kun.nl (Merckens A)
  228.  
  229. >The solution, which can be found in BOOTCOMP.ZIP, is based on methods used
  230. >by these viruses (to catch a thief ....)
  231.  
  232. >After this has been done, the computer should be booted from this floppy.
  233. >The code in the bootsector then catches the original BIOS
  234. >interrupts and patches them to the file BOOTCOMP.exe.
  235.  
  236. >When the program BOOTCOMP.exe is called, it uses the original
  237. >interrupts to get the "current" bootsector and partition table. So even
  238. >if a virus has taken the interrupts, we will indeed get the true
  239. >information, and comparison is correct.
  240.  
  241. This certainly is a better answer than exists under DOS alone but
  242. there are methods that can be used to achieve tha same result with
  243. much less effort.
  244.  
  245. First, the "booting from floppy" requirement was found to be
  246. unacceptable to most users: it was easier to perform the integrity
  247. checking at the BIOS level as suggested and then pass the BIOS "hooks"
  248. in memory. Additional problems are that you will not be notified of an
  249. infection until you run BOOTCOMP after DOS has loaded and each machine
  250. must have its own floppy making maintenance more complicated. Also
  251. this is a difficult proposition when coupled with a "never boot from
  252. floppy" policy or any sort of paswword protection for the hard disk.
  253.  
  254. - -----------------------------------------------------------------------
  255.  
  256. From:    dg@titanium.mitre.org
  257.  
  258. >Observation 2: Mac viruses are not easier to write than PC viruses for
  259. >the same reason Mac application are not easier to write than PC
  260. >applications...Alot of has to do with the number of
  261. >vandals writing viruses for the Mac vs. DOS, but it also has to do the
  262. >relative ease with which viruses can be written for DOS vs the Mac.
  263.  
  264. The real point is not the difficulty of writing the application,
  265. either is simple in comparison to writing a good word processor,
  266. rather it is the total lack of integrity checking in either platform.
  267. Larger systems were forced to design in such systems (and accept the
  268. impact on performance) so that accidental (or malicious) actions by
  269. one user could not take down an entire system. IBM learned this in the
  270. '50s as has every other multi-user system manufacturer, but the
  271. original 4.77 mHz PC could not compete with the CP/M machines if the
  272. overhead of a "real" OS was added. MACs are the same way - performance
  273. takes precidence over protection. This is neither good nor bad, just a
  274. fact.
  275.  
  276. Today with 40 mHz 68040s and 33 mHz 80386s, the performance it there
  277. to allow effective integrity assurance unnoticably (in fact it can be
  278. done on a 4.77 mHz PC), there just has not been much of a market for
  279. it. MS DOS 5.00 does not seem to have any more than 1.00 did and I
  280. would be surprised to find anything in MAC 7. On both platforms, if
  281. you can write a properly constucted executable file, the CPU will
  282. happily execute it even if it causes self-destruction.
  283.  
  284. Today, what development has been done has largely been by a small
  285. group of dedicated people such as Frisk, Ross Greenberg, Chip Hyde,
  286. Dennis Yelle, Morgan Schweers, Kelly Goen, John Norstad, and Andy
  287. Hopkins (I know this isn't complete) who have taken the time and
  288. trouble to really understand the architecture before making an attempt
  289. at a solution.
  290.  
  291. As far as viruses are concerned, it is difficult to have twenty years
  292. experience in a field that has only existed for four (Yes, Fred C.
  293. wrote one in 1984 on the VAX but I start PCs with the Brain). From one
  294. standpoint, It is amazing that we have come so far in a short time -
  295. the trouble is that we all want more and know that it can be done.
  296.  
  297.                 Warmly,   Padgett
  298.  
  299. ps Have sent a beta copy of DISKSECURE to Ken since my "baroque" system
  300.    prevents binary uploads. This is the partition table replacement experiment
  301.    mentioned earlier. No promises or guarentees nor does it have anything
  302.    to do with my employer. It just seems to work. app
  303.  
  304. ------------------------------
  305.  
  306. Date:    Tue, 12 Feb 91 13:03:16 -0400
  307. From:    BOWMAN@morekypr.bitnet
  308. Subject: Request for info on the Ohio virus (PC)
  309.  
  310. Hello virus-l,
  311.  
  312. I just joined the list and I am interested in finding out information
  313. regarding the "Ohio" virus.
  314.  
  315. I've been told it only hits 360K floppies and it infects the boot sector.
  316.  
  317. What I would like to know is what the virus does.  Does it destroy data?
  318. Does it destroy FATs? etc...
  319.  
  320. We have discovered a large number of floppies infected with this virus and
  321. are in the process of cleaning it up.
  322.  
  323. Please respond directly to me.  I will summarize if appropriate.
  324.  
  325. Thanks in advance.
  326.  
  327. Todd Bowman                       bowman@morekypr.bitnet
  328. Manager of Academic Computing
  329. Morehead State University
  330. Morehead, Kentucky
  331.  
  332. ------------------------------
  333.  
  334. Date:    Tue, 12 Feb 91 11:07:37 -0700
  335. From:    James Fish <ISTJWF@ASUVM.INRE.ASU.EDU>
  336. Subject: Disinfecting an Appleshare fileserver (Mac)
  337.  
  338. Can anyone give me some advice on how to disinfect an Appleshare
  339. fileserver and protect it from further infection?  The machine is a
  340. Mac SE/30, 4MB RAM, 80MB HD that is used in a computer lab open to
  341. general student use.
  342.  
  343. Thanks!
  344.  
  345. Jim Fish
  346. Student Information Systems
  347. Arizona State University
  348. istjwf@asuvm.inre.asu.edu
  349.                               >>*<<
  350. Advice to the Arizona Legislature:  "Beware of things you might step in...
  351. that foot may later wind up in your mouth."
  352.                               >>*<<
  353.  
  354. ------------------------------
  355.  
  356. Date:    Tue, 12 Feb 91 09:48:00 -0500
  357. From:    John Perry KG5RG <PERRY@UTMBEACH.BITNET>
  358. Subject: Leprosy virus signature error (PC)
  359.  
  360.         It has been brought to my attention that the virus signature
  361. in the file VIRUS.NEW on beach.gal.utexas.edu for the Leprosy virus is
  362. in error.  VIRUS.NEW is an addendum to SIGN.TXT used by FPROT114.
  363. Fridrik Skulason has verified that this new signature may cause a
  364. false alarm in some instances. If you have downloaded VIRUS.NEW from
  365. beach.gal.utexas.edu and receive a warning pertaining to the Leprosy
  366. virus it is probably a false alarm. An updated/corrected version of
  367. the file will be available shortly and I will announce it's
  368. availabilty in VIRUS-L.
  369.  
  370.                               John Perry KG5RG
  371.                               University of Texas Medical Branch
  372.                               Galveston, Texas  77550-2772
  373.  
  374. You can send mail to me at any of the following addresses:
  375.  
  376. DECnet   : BEACH::PERRY
  377. THEnet   : BEACH::PERRY
  378. Internet : perry@beach.gal.utexas.edu
  379. Internet : john.perry@f365.n106.z1.fidonet.org
  380. BITNET   : PERRY@UTMBEACH
  381. SPAN     : UTSPAN::UTADNX::BEACH::PERRY
  382. FIDOnet  : 1:106/365.0
  383.  
  384. ------------------------------
  385.  
  386. Date:    Tue, 12 Feb 91 10:11:51 -0800
  387. From:    p1@arkham.wimsey.bc.ca (Rob Slade)
  388. Subject: University Lab Protection (PC)
  389.  
  390. ACRAY@ECUVM1.BITNET (RAY) writes:
  391.  
  392. > virus protection packages. We have a copy of Virex for our use but
  393. > would like to implement something in the labs. We have look at SCAN
  394. > but McAfee shareware site licences prices are exceptionally high.  The
  395. > minimum purchase is for use on 100 machines for $3250. We would
  396.  
  397. I would suggest you get a copy of F-PROT from one of the server sites
  398. or a local bulletin board.  We just purchased a site license for 100
  399. machines in a government office for $200, the same for your university
  400. would be $100, I believe.
  401.  
  402. Vancouver          p1@arkham.wimsey.bc.ca           _n_
  403. Insitute for       Robert_Slade@mtsg.sfu.ca          H
  404. Research into      (SUZY) INtegrity                 /
  405. User               Canada V7K 2G6                O=C\       
  406. Security                            Radical Dude   | O- /\_ 
  407.                                              /-----+---/ \_\
  408.                                             / |    `  ||/   
  409. "A ship in a harbour is safe, but that     /  ||`----'||    
  410. is not what ships are built for."             ||      ||
  411.                      - John Parks             ``      ``
  412.  
  413. ------------------------------
  414.  
  415. Date:    Tue, 12 Feb 91 11:21:24 +0000
  416. From:    Anthony Appleyard <XPUM04@prime-a.central-services.umist.ac.uk>
  417. Subject: Viruses in text files
  418.  
  419. With reference to this message:-
  420. ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
  421. Date:    11 Feb 91 01:16:47 +0000
  422. From:    millerje@holst.tmc.edu (jeffrey scott miller)
  423. Subject: Re: Virus questions (PC)
  424. ...........
  425. True. Viruses cannot infect text files, as they are never executed. Viruses
  426. CAN look to see if a certain filetype is being accesses  (i.e.  .DBF),  but
  427. since  there  is no executable code in a text file, there is no way a virus
  428. can "latch" onto the file.
  429. ...........
  430. ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
  431. There was a long discussion in Virus-L in the past about viruses  infecting
  432. text  files.  Some  systems and programs when reading text files treat some
  433. character sequences as escape sequences to tell them to obey the  following
  434. characters   specially,   e.g.  reading  them  as  binary  into  store,  or
  435. trojanizing keyboard keys by altering what those keys do. So viruses  <can>
  436. infect or trojanize text files.
  437. {A.Appleyard} (email: APPLEYARD@UK.AC.UMIST), Tue, 12 Feb 91 11:14:56 GMT
  438.  
  439. ------------------------------
  440.  
  441. Date:    13 Feb 91 11:34:04 -0600
  442. From:    cosc13gb@jetson.uh.edu
  443. Subject: MSDOS built in anti-viral for 40 meg or up hard drive (PC)
  444.  
  445. using a well known MSDOS 3.2 problem of not recognize 40 megabytes
  446. hard drives I run suspicous program on floppies only
  447. Now can any know virus infect my hard drive anyway?
  448. thanks in advance
  449.   bye (sp.) the way, University of Houston can disable boot up from 
  450.   drive A: no matter that you has turn the machine off that is pretty
  451.   impressive hu?  But I don't how they do it
  452. please reply to this message or email cosc13gb.jetson.uh.edu
  453.  
  454. ------------------------------
  455.  
  456. End of VIRUS-L Digest [Volume 4 Issue 27]
  457. *****************************************
  458.