home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_041.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  20.7 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #41
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Friday,  8 Mar 1991    Volume 4 : Issue 41
  9.  
  10. Today's Topics:
  11.  
  12. Looking for software
  13. PC-cillin Info (PC)
  14. PC MS-DOS vs BIOS protection (PC)
  15. Re: Weird Stuff Happening to Pc's Here At Ohio Univ. (PC)
  16. What does Compucilina do? (PC)
  17. Unknown Malicious Code Message Writer (PC)
  18. Integrated Drive Electronics, Flopticals, and Freddy
  19. computer security research
  20. Virus V2000 (PC)
  21. File format for virus signatures (PC)
  22. False alarms using scan (PC)
  23.  
  24. VIRUS-L is a moderated, digested mail forum for discussing computer
  25. virus issues; comp.virus is a non-digested Usenet counterpart.
  26. Discussions are not limited to any one hardware/software platform -
  27. diversity is welcomed.  Contributions should be relevant, concise,
  28. polite, etc.  Please sign submissions with your real name.  Send
  29. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  30. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  31. anti-virus, documentation, and back-issue archives is distributed
  32. periodically on the list.  Administrative mail (comments, suggestions,
  33. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  34.  
  35.    Ken van Wyk
  36.  
  37. ---------------------------------------------------------------------------
  38.  
  39. Date:    07 Mar 91 13:58:44 +0000
  40. From:    andreap@ms.uky.edu (Peach)
  41. Subject: Looking for software
  42.  
  43. We are looking for a good virus detection package that can be
  44. purchased on a site license.  Periodic updates would be nice and we
  45. would like something that does not charge on a per-machine basis.
  46.  
  47. Please direct reply to:  rfehr@ca.uky.edu  (128.163.192.1)
  48.  
  49. ------------------------------
  50.  
  51. Date:    Thu, 07 Mar 91 16:38:22 +0000
  52. From:    patel@mwunix.mitre.org (Anup C. Patel)
  53. Subject: PC-cillin Info (PC)
  54.  
  55. Has anyone heard of a anti-virus package called PC-cillin?  I am in
  56. the process of evaluating it, and wish to share my experience with it.
  57.  
  58. PC-cillin is a combination of hardware and software solution.  The
  59. package consists of an "Immunizer Box".  The purpose of the box is "to
  60. preserve a record of your computer's boot sector and partition table."
  61. Whenever the system is turned on , the current partition is compared
  62. with the record stored in the Box.  The Immunizer Box gets attached to
  63. the parallel port.
  64.  
  65. The software portion consists of a program called PCCILLIN and PCC.
  66. PCC is used to install the software, scan the system, and create a
  67. rescue diskette.  One noticable feature of PCC is that it checks high
  68. memory as well as conventinal memory.  ALthough I'm not sure how many
  69. viruses hide themselves in memory above 1MB.  PCCILLIN is a TSR that
  70. gets installed at boot time from the AUTOEXEC.BAT file.
  71.  
  72. Upon bootup, PC-cillin compares information in the Immunizer Box with
  73. the current partition table and boot sector.  It also installs a TSR
  74. that is supposed to monitor system activity.
  75.  
  76. I ran an application infected with the 4096 virus while PCCILLIN was
  77. memory resident.  PCCILLIN should have intercepted this infection, but
  78. did not report anything abnormal.  However, PCC reported the infection
  79. when I performed a memory scan.
  80.  
  81. I know this may not be enough information to make a final judgement,
  82. but how do others feel about virus protection scheme such as this.
  83.  
  84. Loading PCCILLIN from AUTOEXEC.BAT is obviously a bad idea.  I'm not
  85. too confident on its ability to check for viruses either, when
  86. PCCILLIN is resident.
  87.  
  88. Thanks for listening!!
  89.  
  90. ------------------------------
  91.  
  92. Date:    7 March, 1991 
  93. From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  94. Subject: PC MS-DOS vs BIOS protection (PC)
  95.  
  96. (The following is my opinion only and has nothing to do with anyone else)
  97.  
  98.     I think it is time stand back from the PC and take a fresh
  99. look at how protection can be placed on the system. Too many products
  100. today rely on MS-DOS and its documentation to protect PCs. Since many
  101. functions of DOS and Windows are either mis-documented or
  102. un-documented and since there exist many opportunities for malicious
  103. software to attack before DOS, this is obviously not the place to
  104. start.
  105.  
  106.     Consequently, I must question any protection scheme that
  107. becomes active only with CONFIG.SYS or AUTOEXEC.BAT, this is too late.
  108. This is not to say that a program that goes resident earlier is going
  109. to be a cure-all, just that it is necessary to have even a chance at
  110. being effective.
  111.  
  112.     Hardware, in the form of a custom BIOS or ROM-extension, is
  113. the best solution, but in many cases, may not be a cost-effective one.
  114. For most machines, software alone is probably sufficient. It may not
  115. be able to stop everything, but it should be able to at least detect
  116. an exception before MS-DOS loads and stop anything thereafter.
  117.  
  118.     There are a number of good products out today to fill various
  119. functions (I use several, both home-built and commercial) but as yet I
  120. know of none that do everything necessary.
  121.  
  122.     Quite often, complaints are made about compatability with
  123. MicroSoft products, that certain functions may be "hidden" from
  124. detection. Again, this is a problem experienced from being layered on
  125. top of DOS or Windows that goes away if operation is performed "under
  126. the rainbow" (no reference to the ex-DEC product, either express or
  127. implied, is intended).
  128.  
  129.     It is understood that it is somewhat more difficult to
  130. determine from a sector write request at the BIOS level, exactly what
  131. is being written to, than interception of a DOS Int 21 would require,
  132. but requires no knowlege of any windowing, multi-tasking, or
  133. networking software to do so. Even if a program has established an
  134. application interrupt (and there are many available) to handle disk
  135. functions outside of DOS, they still go through the BIOS to do so and
  136. this is both detectable and re-directable.
  137.  
  138.     There are simply too many ways to "get around" what is
  139. published about MS-DOS (not to mention DR-DOS and several others) for
  140. their calls to be used as a first line of detection, this must be done
  141. at the "choke point" of the BIOS. Certainly DOS or any other O/S can
  142. be used to determine the cause of an exception, once it has been
  143. determined that an exception has occurred (wish I could use italics),
  144. but the important thing is to know that something has occurred (I
  145. can't fix it if I don't know its broke).
  146.  
  147.     Given this, intelligence can be applied to determine if what
  148. happened was permitted or to be disallowed.
  149.  
  150.     It is time that some ground rules be established for any
  151. protection scenario. I tried to make a "first pass" with the model a
  152. few issues ago, but it is up to the population to decide what (if
  153. anything) the vendors will produce. Just do not accept any claim that
  154. "it cannot be done". For me, if it does not start with the BIOS, it is
  155. not enough.
  156.  
  157.             See you in New York folks,
  158.  
  159.                         Padgett
  160.  
  161. ------------------------------
  162.  
  163. Date:    Thu, 07 Mar 91 11:34:16 +0000
  164. From:    Anthony Appleyard <XPUM04@prime-a.central-services.umist.ac.uk>
  165. Subject: Re: Weird Stuff Happening to Pc's Here At Ohio Univ. (PC)
  166.  
  167. from: {A.Appleyard} (email: APPLEYARD@UK.AC.UMIST), Thu, 07 Mar 91 11:19:20 GMT
  168. On 05 Mar 91 20:29:08 +0000 smash@oucsace.cs.ohiou.edu (Scott Mash) wrote:
  169. (1) "....Most of the computers will not recognize  the  printers.  We  have
  170. tried  everything short of formating the hard drive and rebuilding it.... "
  171. (2) "....Last week one of our lab guardians  came  up  to  the  office  and
  172. reported  that  he  scanned someone's disk and found a virus called "ohio".
  173. When he tried to clean it V72 couldn't recognize or clean it....".
  174. ........................................
  175. There may or may not be a connection between these two events. There  is  a
  176. PC  virus  called 'Ohio' which has been known of for quite a time. It could
  177. be that why Version 72 (of which  antiviral  please?)  found  it  and  then
  178. couldn't  clean it, is that a file on that PC contained an innocent program
  179. containing a section of code that accidentally duplicated the part  of  the
  180. Ohio virus used as a search signature. That sort of thing happens from time
  181. to time, e.g. these messages in Virus-L vol4:-                        ISSUE
  182. ["Virus" story] hard disk crash?;
  183.   antiviral thought that TOPS network software was a virus (longish)    025
  184. [SCANv74B false positive (PC)] thought that KILLER.COM (a small Stoned
  185.   remover) had/was Invader virus                                        032
  186. F-FCHK with [New Leprosy signiture? (PC)] thought that Turbo Debugger 1.0
  187.   TD.OVL & Turbo C++ 1.0 TCLASSS.LIB had or were Leprosy virus          025
  188.  
  189. ------------------------------
  190.  
  191. Date:    Thu, 07 Mar 91 11:46:12 +0000
  192. From:    Anthony Appleyard <XPUM04@prime-a.central-services.umist.ac.uk>
  193. Subject: What does Compucilina do? (PC)
  194.  
  195. The new  antiviral  called  Compucilina  has  caused  discussion  in  these
  196. messages in Virus-L vol4:-                                            ISSUE
  197. [non-sacaning anti-virus techniques] preventing infection (sacan = scan)
  198.   I have a program vaccinater called COMPUCILINA                        028
  199. info re [Compucilina (PC)]                                              030
  200. [non-scanin anti-virus techniques] (scanin=scanning) How Compucilina works
  201.   is a commercial secret. It does not scan for particular viruses       034
  202. [Re: Compucilina (PC)] will not prevent infection                       034
  203.  
  204. If Compucilina doesn't scan for each known virus, how does  it  distinguish
  205. between viruses and valid programs? Ref a long discussion on possibility or
  206. impossibility  of  a  'general  virus detector', that took place in Virus-L
  207. vol3. I mistrust 'black boxes', and it seems that how Compucilina works  is
  208. a  commercial  secret.  It  seems  that  someone should print out a copy of
  209. Compucilina and go through its code, to find what it does.
  210. {A.Appleyard} (email: APPLEYARD@UK.AC.UMIST), Thu, 07 Mar 91 11:35:56 GMT
  211.  
  212. ------------------------------
  213.  
  214. Date:    Thu, 07 Mar 91 13:57:44 -0700
  215. From:    Peter Johnston <USERGOLD%UALTAMTS.BITNET@vm.ucs.UAlberta.CA>
  216. Subject: Unknown Malicious Code Message Writer (PC)
  217.  
  218. We have observed in one of our PC computer labs in the last few days a
  219. piece of malicious code that places a message on the screen
  220. overwriting whatever is there. The text (in part) reads:
  221.  
  222. "If we paid attention, if we cared, we would realize just how
  223. unethical this impending war with Iraq is, and how impure the American
  224. motives are for wanting to force it. I'm becoming a little confused as
  225. to where the "evil amoire" is these days."
  226.  
  227. There is more but I do not have a complete printout of the text in
  228. front of me. Because of the way it overwrites things, it quite often
  229. overwrites itself. Other than displaying the message, we have not
  230. detected that the code performs any other function or causes any other
  231. damage. we do not know whether it reproduces or not, nor how it got on
  232. the machines. In fact, we have not yet been able to find it.
  233.  
  234. Investigation of the hard disks of the affected machines via Norton
  235. Utilities Explore function yielded no matches to the actual wording,
  236. which suggests that the text has been enciphered or otherwise hidden.
  237.  
  238. The message appears at random times, overwriting whatever is on the
  239. screen (including Norton Anti-Virus). My programmer feels that the
  240. periodicity is tied somehow to the number of sector accesses, and has
  241. clocked it at approcimately once every 700 accesses. However, this is
  242. not an exact number.
  243.  
  244. None of the PC anti-viral packages we have (and we try to obtain a
  245. copy of the latest version of every package we can find) report or
  246. detect this malicious code.
  247.  
  248. Is this something new? Is it home grown? Has anyone else seen anything
  249. like this? Any suggestions or assistance would be appreciated.
  250.  
  251. Thanks for the help. If/when we get this beastie nailed down I'll
  252. forward appropriate info...
  253.  
  254.  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  255.  Peter Johnston            | Voice    : 403/492-2462
  256.  University Comput Systems | FAX      : 403/492-1729
  257.  352 GenSvcBldg,           | BitNET   : usergold@ualtamts
  258.  The University of Alberta | Internet : usergold@mts.ucs.ualberta.ca
  259.  Edmonton, Alberta         | QuickMail: Peter_Johnston@
  260.  Canada   T6G 2H1          |            quest.ucs.ualberta.ca
  261.  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  262.  
  263. ------------------------------
  264.  
  265. Date:    7 March, 1991 
  266. From:    Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  267. Subject: Integrated Drive Electronics, Flopticals, and Freddy
  268.  
  269.     Recently I have talked to a number of people who have been on
  270. the receiving end of viruses and other malicious activities who have
  271. the idea that the one true solution is a low-level format of the fixed
  272. disk involved. Loss of all data/programs is considered an acceptable
  273. risk.
  274.  
  275.     There also seem to be a number of management types who feel
  276. that rather than invest in any protection software, if attacked, a
  277. low-level format is acceptable to their disaster plan.
  278.  
  279.     Just to help those of you who may think the same way, consider
  280. that many current PCs (I think Compaq started it all) come with nice,
  281. small, power-sipping IDE drives. Consider that these now provide the
  282. size and speed of the best conventional drives at the cost of a bare
  283. MFM (ST06) drive. This is now a selling point for many manufacturers
  284. and a plus for power users who do not have to give up any high memory
  285. (potential RAM for TSRs) to a disk controller.
  286.  
  287.     Now consider that these drives arrive pre-formatted from the
  288. manufacturer and many CANNOT be low-level formatted (the same goes for
  289. the new 20 Mb 3 1/2 flopticals).
  290.  
  291.     It is time that users like these realize that there are
  292. alternatives (most of them have been discussed on Virus-L) and that
  293. viral protection/removal/recovery does not have to include brute force
  294. formatting, high or low level, rather the application of some
  295. intelligence is appropriate.
  296.  
  297.                            Pleasant dreams,
  298.  
  299.                                            Padgett
  300.  
  301. ------------------------------
  302.  
  303. Date:    07 Mar 91 16:30:22 +0000
  304. From:    P.A.Taylor@edinburgh.ac.uk
  305. Subject: computer security research
  306.  
  307. Can anyone help?
  308. I'm in the second year of a PhD dealing with the rise of the computer
  309. security industry along with system break-ins, browsing and virus
  310. incidents.
  311.  
  312. 1. Is anyone out there prepared to answer a questionnaire for me and
  313. perhaps if they have the time discuss with me by e-mail some of the
  314. issues?
  315.  
  316. 2. I'm planning a jaunt into The Netherlands and Germany in approx 4
  317. weeks time. Would any digest readers from either of those countries be
  318. prepared to have a face-to-face interview with me? Do you know of
  319. anyone who would?  The request also stands with anyone from the United
  320. Kingdom.
  321.  
  322. Verification of my academic status can be sought from my supervisors
  323. here at the University of Edinburgh, at the same mail site as myself
  324. with the names Charles Raab and R.Williams.
  325.  
  326.  
  327. ALL MY WORK IS FOR STRICTLY ACADEMIC PURPOSES AND TOTAL
  328. CONFIDENTIALITY IS GUARANTEED FOR ANY RESPONDENTS.
  329.  
  330. Hope to hear from some of you soon,
  331. Best Wishes,
  332.  
  333. Paul A. Taylor
  334.  
  335. ------------------------------
  336.  
  337. Date:    Fri, 08 Mar 91 12:07:09 +0000
  338. From:    k-krag@newshost.hsr.no (Kjetil Krag)
  339. Subject: Virus V2000 (PC) 
  340.  
  341.  
  342. HELP!!! My PC is infected by the V2000 virus.
  343.  
  344. I have a problem. Sometimes when I starts McAffee's PRO-SCAN.EXE there
  345. comes a message that tells me that the memory is infected with the
  346. V2000 virus and tells me that the program can't remove the virus and
  347. tells me the turn the machine off and reboot from a clean diskett.
  348. Then I turn the machine off and starts up with a clean boot-diskette.
  349. I starts up the PRO-SCAN.EXE and scan all drives on my harddisk, but
  350. the harddisk are clean! The programs can't find any viruses. Later
  351. when I start up PRO-SCAN again the V2000-virus is back! I've also
  352. tried McAffe's SCANV75 and VSHIELD75, but none of them can find the
  353. virus!
  354.  
  355. If you can help me. Please tell!
  356.  
  357. Thanks!
  358.  
  359. Kjetil Krag
  360. (k-krag@broremann.hsr.no)
  361.  
  362. ------------------------------
  363.  
  364. Date:    Fri, 08 Mar 91 11:23:00 +0700
  365. From:    "Jeroen W. Pluimers" <FTHSMULD%rulgl.LeidenUniv.nl@CUNYVM.CUNY.EDU>
  366. Subject: File format for virus signatures (PC)
  367.  
  368. Dear readers,
  369.  
  370. A few digests agi, there was a question about standard formats of
  371. data files for virus signatures. VIRSCAN and TBSCAN/TBSCANX use
  372. the format below.
  373.  
  374. It has been copied from the documentation that was with TBSCANX v 2.1.
  375. The format may be spread freely and is fully public domain.
  376.  
  377. Jeroen W. Pluimers - Gorlaeus labs, Leiden University
  378.  
  379.  
  380. - -=-=-=-=-=-=-=-=- VIRSCAN.DAT / TBSCAN.DAT format -=-=-=-=-=-=-=-=-=-
  381.  
  382.  
  383. FORMAT OF THE DATA FILE
  384. - -----------------------
  385.  
  386.     The data file (called TBSCAN.DAT or VIRSCAN.DAT) can be read  and/or
  387.     modified with every ASCII editor.
  388.  
  389.     All  lines  beginning  with  ";"  are comment lines. TbScanX ignores
  390.     these lines  completely. When  the ";"  character is  followed by  a
  391.     percent-sign the  remaining part  of the  line will  be displayed on
  392.     the screen.  A maximum  of 15  lines can  be printed  on the screen.
  393.     Nice for "HOT NEWS"...
  394.  
  395.     In the first line the name  of a virus is expected. The  second line
  396.     contains one or more of the next words:
  397.                         BOOT SYS EXE COM HIGH LOW
  398.  
  399.     These words may be separated by spaces, tabs or commas.
  400.  
  401.     TbScanX will  only scan  for viruses  with the  keywords COM or EXE.
  402.     The  other  keywords  will  be  ignored,  and  are  only used by the
  403.     non-resident  version:  TBSCAN.  Also  note  that  TbScanX  will not
  404.     distinguish between COM and EXE files. All executable files will  be
  405.     scanned for both EXE and COM viruses. This saves some memory.
  406.  
  407.     BOOT means that the  virus is a bootsector  virus. SYS, EXE and  COM
  408.     indicate the virus  can occur in  files with these  extensions. Also
  409.     overlay files  (with the  extension OV?)  will be  searched for  EXE
  410.     viruses. HIGH shows that the virus  can occur in the memory of  your
  411.     PC, namely in  the memory located  above the TBSCAN  program itself.
  412.     LOW means that the virus can occur in the memory of your PC,  namely
  413.     in the memory located under the TBSCAN program itself.
  414.  
  415.     In the  third line  the signature  is expected  in ASCII-HEX.  Every
  416.     virus character is  described by means  of two characters.   Instead
  417.     of two HEX characters, two question marks (the wild- card) may  also
  418.     occur. The  latter means  that every  byte on  that position matches
  419.     the  signature.  Below  you  will  find  an  example of a signature:
  420.             A5E623CB??CD21??83FF3E
  421.  
  422.     You can also use the asterisk followed by an ASCII-HEX character  to
  423.     skip a  variable amount  of bytes  in the  signature. The  ASCII-HEX
  424.     character specifies the amount of bytes that should be skipped.  The
  425.     signature could be:
  426.             A5E623CB*3CD2155??83FF3E
  427.     The next sequence of bytes will be recognised as a virus:
  428.             A5E623CB142434CD21554583FF3E
  429.  
  430.  
  431.     Instead of a  signature in ASCII-HEX  you can also  specify a normal
  432.     text. This should be put  between double quotation marks. A  correct
  433.     signature is for example:
  434.             "I have got you!"
  435.  
  436.     This  series  of  three  lines  should  be repeated for every virus.
  437.     Between all lines comment lines may occur.
  438.  
  439. ------------------------------
  440.  
  441. Date:    Fri, 08 Mar 91 14:54:19 +0000
  442. From:    martin zejma <8326442@AWIWUW11.BITNET>
  443. Subject: False alarms using scan (PC)
  444.  
  445. Hello hunters |
  446.  
  447. Long time ago, around end of June 90', I posted a question about false
  448. alarms when scanning memory using scan ( happend with all versions I
  449. know ).
  450.  
  451. The solution : Once upon a time... i've been infected with the 170x
  452. virus.  I detected the infection instantly and healed all corrupted
  453. files.  BUT | the viral part behind the EOF of each file naturally
  454. didn't disappear ( filling up the last cluster of the file ) , and
  455. that also happend to command.com , only invoked from within a
  456. different directory when using the Norton Commander, so then scan
  457. reported an active 170x virus in memory.  After watching behind the
  458. EOF with Norton Utilities, I erased the dumb virus part, and voila |
  459. no more false alarms .
  460.                                  Simple solution this time , Martin
  461.  
  462.  
  463. +-----------------------------------------------------------------------+
  464. | Martin Zejma                                8326442 @ AWIWUW11.BITNET |
  465. |                                                                       |
  466. | Wirtschaftsuniversitaet Wien  ---   Univ. of Economics Vienna/Austria |
  467. +-----------------------------------------------------------------------+
  468.  
  469. ------------------------------
  470.  
  471. End of VIRUS-L Digest [Volume 4 Issue 41]
  472. *****************************************
  473.