home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / virusl / vl04_056.txt < prev    next >
Encoding:
Internet Message Format  |  1996-09-04  |  21.2 KB
  1. From:       Kenneth R. van Wyk (The Moderator) <krvw@CERT.SEI.CMU.EDU>
  2. Errors-To: krvw@CERT.SEI.CMU.EDU
  3. To:       VIRUS-L@IBM1.CC.LEHIGH.EDU
  4. Path:      cert.sei.cmu.edu!krvw
  5. Subject:   VIRUS-L Digest V4 #56
  6. Reply-To:  VIRUS-L@IBM1.CC.LEHIGH.EDU
  7. --------
  8. VIRUS-L Digest   Tuesday,  9 Apr 1991    Volume 4 : Issue 56
  9.  
  10. Today's Topics:
  11.  
  12. UNIX & Viruses (UNIX)
  13. Partitions without hidden sectors (PC)
  14. Mac virus question (relayed) (Mac)
  15. Am I subject to viruses?
  16. Re: F-PROT 1.13 vs. 1.14 Bug? (PC)
  17. Re: MDC questions
  18. How big is the virus problem ??
  19. Re: F-DRIVER.SYS (v 1.14) problems & questions (PC)
  20. Re: Unix viruses and damaging programs (UNIX)
  21. Need help with Beijing Virus (PC)
  22. My final comments on the six-byte method (PC)
  23.  
  24. VIRUS-L is a moderated, digested mail forum for discussing computer
  25. virus issues; comp.virus is a non-digested Usenet counterpart.
  26. Discussions are not limited to any one hardware/software platform -
  27. diversity is welcomed.  Contributions should be relevant, concise,
  28. polite, etc.  Please sign submissions with your real name.  Send
  29. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
  30. VIRUS-L at LEHIIBM1 for you BITNET folks).  Information on accessing
  31. anti-virus, documentation, and back-issue archives is distributed
  32. periodically on the list.  Administrative mail (comments, suggestions,
  33. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
  34.  
  35.    Ken van Wyk
  36.  
  37. ---------------------------------------------------------------------------
  38.  
  39. Date:    Wed, 03 Apr 91 13:34:30 -0500
  40. From:    padgett%tccslr.dnet@uvs1.orl.mmc.com (A. Padgett Peterson)
  41. Subject: UNIX & Viruses (UNIX)
  42.  
  43. >From:    micor!esleng!esleng.ocunix.on.ca!dag@uunet.UU.NET (Dave Gilmour)
  44.  
  45. Basically, the sheer diversity of UNIX platforms provides the best
  46. defense against malicious software. Mix in the user/kernel and
  47. "rights" requirements and you have the basis for a good protection
  48. scheme.
  49.  
  50. Mr. Morris's worm was directed at only two platforms: DEC Ultrix and
  51. Sun/OS as I recall and it had to carry separate code modules along for
  52. each.
  53.  
  54. Viruses are remarkably sucessful on PCs, not because of the operating
  55. system, though DOS certainly does nothing to stop a virus, but because
  56. every machine from the lowliest 8088 to the mightiest 486 runs the
  57. basic 8086 instruction set at startup. Add in the fact that every
  58. function and every entry address defined in the 27 October, 1982 BIOS
  59. specification still exists and you have the key to the spread of
  60. malicious software.
  61.  
  62. With UNIX on the other hand, not only is a certain amount of integrity
  63. checking built in to the O/S, but malicious software (and many users)
  64. have no idea if the architecture is based on an Intel 80386, a
  65. Motorola 680x0, the CVAX chipset, or some other RISC or CISC
  66. architecture. To the user, the biggest question is usually whether it
  67. is a C or Bourne shell.
  68.  
  69. When we talk about "portability" in the UNIX world, we are usually
  70. referring to the fact that ASCII is ASCII and that source code that
  71. compiles on an Apollo can also compile on a VAX. That they use wildly
  72. different run-time-libraries is unimportant at the source-code level.
  73.  
  74. In comparison, writing a virus that can attack both an IBM-PC and a
  75. MacIntosh would be simpler than one that could affect just the
  76. different varieties of Sun microsystems - no I am not picking on Sun,
  77. I just happen to have those manuals on hand.
  78.  
  79. In addition, UNIX being a "real" multi-user operating system has had
  80. to layer in many integrity checks to protect users from each other.
  81. These same checks make it much more difficult to spread a virus
  82. without notice.
  83.  
  84. I am not saying that it cannot be done, just that it would be first,
  85. difficult, and second, would have to be targetted to a particular
  86. platform or platforms.
  87.  
  88. As yet, we have not seen any real threat to the UNIX platforms that
  89. cannot be countered with effective use of the tools built in. The
  90. biggest danger is still an "accident" by someone with root privilege
  91. and a managerial lack of proper training of system administrators.
  92. (off the soapbox, Padgett)
  93.  
  94. ------------------------------
  95.  
  96. Date: Wed, 3 Apr 91 13:34:30 -0500
  97. From: Padgett Peterson <padgett%tccslr.dnet@uvs1.orl.mmc.com>
  98. Subject: Partitions without hidden sectors (PC)
  99.  
  100. >From:    con_jdc@selway.umt.edu (John-David Childs)
  101. >Subject: FDISK; partitions starting at 0,0,2; Stoned virus; (PC)
  102.  
  103. >When used in conjunction with F-DRIVER.SYS at startup, I've had no trouble
  104. >with removing the virus.  If F-DRIVER.SYS or some other detection utility
  105. >was not loaded at startup (F-DRIVER.SYS halts the PC if a virus is
  106. >detected), then Nick's and Padgett's comments about corrupted FAT's
  107. >etc. would be apropos.
  108.  
  109. I would still recommend that people having disks formatted without "hidden"
  110. sectors whose machines are at risk, do a thorough backup and re-partition the
  111. disk using a version that does provide this added protection. The STONED is
  112. not the only virus that is liable to corrupt a FAT in this manner.
  113.  
  114. An easy way to check is with DEBUG: load the logical boot sector of the
  115. fixed disk ( L 100 2 0 1 ) and the number of "hidden sectors" is contained
  116. in a double word at offset 11Ch (just the first byte is enough unless someone
  117. has more than 255 "hidden sectors" & that would surprise me). For an MFM drive,
  118. the value should be 11h or 17 "hidden sectors", I think an RLL drive will
  119. report 1Ah (26) and a large disk might report 3Fh (63), but if 0 or 1, I
  120. would expect that the FAT might be at risk.
  121.  
  122. One of the difficulties of restoring a fixed disk infected with the MusicBug
  123. is that this "hidden sector" value is lost and must be restored (DOS SYS won't)
  124. before the disk will boot properly.
  125.  
  126.                         Padgett
  127.  
  128. ------------------------------
  129.  
  130. Date:    Sat, 06 Apr 91 09:11:00 -0500
  131. From:    LEAVITDG@snyplava.bitnet
  132. Subject: Mac virus question (relayed) (Mac)
  133.  
  134. Date sent:  6-APR-1991 09:08:52
  135.   a friend of mine has asked a question regarding a mac virus.  I do
  136. not use the mac and know very little about it.  I will relay an answer
  137. if anyone has one. (my friend is on amateur packet radio, and does not
  138. have access to bitnet)
  139.        --------original msg-----------------------
  140. >Date: 05 Apr 91 17:37:52 EST (Fri)
  141. >From: ka2bqe@ka2bqe.#nwvt.vt.usa.na (Brian Riley)
  142. >To: n2ixl@kd2aj.#nny.ny.usa.na
  143. >Subject: mac virus
  144. >
  145. >Daryll, had troubles with a Mac VIRUS over at Smuggs. Could you see if what
  146. >nfo you can find on BitNet on the mac Virus known as "nVIR B" . I have
  147. >removed it from 3 machines so far - it came to us apparently tucked into
  148. >a copy of STUFFIT whihc is kind of PKZIP for Mac's. I am not sure how
  149. >far it has spread on the mountain yet but want to get a handle on its
  150. >potential for trouble .. ie.e is itw orth panicking the place and cleaning
  151. >house or is it sufficiently harmelss that I can quietly take two weeks
  152. >going from machine to machine and clean it out.
  153. >  tnx for any help you can get me.
  154.  
  155. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  156. Darrell G. Leavitt
  157. SUNY Empire State College (ESC)   ESC VAX: DLEAVITT
  158. 403 Sibley Hall                   SUNYNET: SESCVA::DLEAVITT
  159. Plattsburgh, New York, 12901      INTERNET: LEAVITDG@SPLAVA.CC.PLATTSBURGH.EDU
  160. PHONE    : (518) 564-2837         AMATEUR
  161. BitNet   : LEAVITDG@SNYPLAVA      PACKET:  N2IXL @ KD2AJ.NY.USA.NA
  162. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  163.  
  164. ------------------------------
  165.  
  166. Date:    Sat, 06 Apr 91 07:42:41
  167. From:    pcsbbs!fff@uunet.uu.net
  168. Subject: Am I subject to viruses?
  169.  
  170. I know that this is the kind of question that only a novice would ask.
  171. Well, I am a *rank* novice in Usenet, UUCP, and telecommunications in
  172. general.  Please bear with me.  The question is:
  173.  
  174. If I connect to a site where I always initiate the call, only exchange
  175. email and receive netnews, am I subject to receiving a virus.  My
  176. modem is never left on and the port is not enabled for a login.
  177.  
  178. If the answer to the above is yes, how can I protect my system.  Any
  179. help would be greatly appreciated.
  180.  
  181. Frank Fiamingo
  182.  
  183. ------------------------------
  184.  
  185. Date:    07 Apr 91 13:45:46 +0000
  186. From:    frisk@rhi.hi.is (Fridrik Skulason)
  187. Subject: Re: F-PROT 1.13 vs. 1.14 Bug? (PC)
  188.  
  189. rtravsky@CORRAL.UWyo.Edu (Richard W Travsky) writes:
  190. >I have an older version of the Jerusalem virus (2 years or so) I use
  191. >for testing.  F-Prot version 1.13 detects and removes it, version
  192. >1.14a detects it but doesn't remove it, saying it's an unknown
  193. >variant.
  194.  
  195. You are right, it is a bug in version 1.14 - It will not remove some
  196. of the Jerusalem variants, athough it detects and stops them all.
  197. This has been fixed in 1.15, which will pe distributed in just a few
  198. days.
  199.  
  200. - -frisk
  201.  
  202. ------------------------------
  203.  
  204. Date:    Mon, 08 Apr 91 15:22:00 +0300
  205. From:    Y. Radai <RADAI@HUJIVMS.BITNET>
  206. Subject: Re: MDC questions
  207.  
  208.   In answer to some of Jim Kirkpatrick's questions:
  209.  
  210. >-SNEFRU was discussed on this list, but I was dismayed to find it
  211. > had been broken, and that Merkle's response was to increase the
  212. > number of passes.
  213.  
  214.   Yes, 2-pass Snefru was broken, but I think only in the sense that it
  215. is computationally feasible to find *some* pairs x1, x2 (x1 != x2)
  216. such that Snefru(x1) = Snefru(x2).  I'm not sure in what context this
  217. type of breaking is significant.  It does not imply that for a *given*
  218. x it is feasible to find an x' != x such that Snefru(x') = Snefru(x)
  219. (unless one collects an enormous number of such pairs (x1,x2), which
  220. hardly seems practical).
  221.   (Btw, 3-pass Snefru is also weaker than expected, but apparently not
  222. by enough to make it breakable in the way that 2-pass Snefru was
  223. broken.)
  224.  
  225. > .......  Does the multi-pass version slow down the whole process
  226. > (or is it still acceptably quick)?
  227.  
  228.   Increasing the number of passes slows down Snefru considerably.
  229. Here are some relative times that I once obtained:
  230.                    MD4                         7.9
  231.                    Snefru, 2 passes           17.5
  232.                    Snefru, 4 passes           27.7
  233.  
  234.   Btw, the source code for Snefru which Merkle supplies does *not*
  235. give correct results on a PC (it ignores 0Dh bytes and halts on a 1Ah
  236. byte).  This is because he neglected to perform his reads in binary
  237. mode.
  238.  
  239. > Questions:  How does one get MD4?  Has anybody broken it yet or
  240. > even proposed a method?
  241.  
  242.   I have the source code for MD4 and could send it to you.  As far as
  243. its being broken, I'm pretty sure it hasn't (unless someone is keeping
  244. the fact secret).  Maybe that's because Rivest didn't offer a reward,
  245. as Merkle did :-) .  More seriously, the structure of MD4 is quite
  246. different.
  247.  
  248.                                      Y. Radai
  249.                                      Hebrew Univ. of Jerusalem, Israel
  250.                                      RADAI@HUJIVMS.BITNET
  251.                                      RADAI@VMS.HUJI.AC.IL
  252.  
  253. ------------------------------
  254.  
  255. Date:    Mon, 08 Apr 91 14:20:38 +0100
  256. From:    UMCKA04@VAXA.CC.IMPERIAL.AC.UK
  257. Subject: How big is the virus problem ??
  258.  
  259. After reading VIRUS-L for over a year now, I am still getting the
  260. impression that the true magnitude of the problem is unknown. This
  261. would seem to be especially so in the corporate domain, as I suspect
  262. many companies are reluctant to publicise details of their misfortunes
  263. fearing the poor publicity that is often associated with such releases
  264. (ie. Aldus recalling 5000 Freehand packages ...). Sales of anti-viral
  265. software may not be giving a true indication either, as the media
  266. 'hype' may be distorting the true scale of the problem.
  267.  
  268. I am not suggesting that viruses are not a problem (I too have been
  269. hit :-), but I would be very interested in hearing peoples estimates of
  270. the SCALE of the problem, and reading any material that people may
  271. have regarding this. I would be happy to summarise and post to this
  272. board all the feedback that I get.
  273.  
  274. Thanks very much,
  275.  
  276.              Alistair.
  277.  
  278. ------------------------------
  279.  
  280. Date:    08 Apr 91 15:32:53 +0000
  281. From:    frisk@rhi.hi.is (Fridrik Skulason)
  282. Subject: Re: F-DRIVER.SYS (v 1.14) problems & questions (PC)
  283.  
  284. nelson@bolyard.wpd.sgi.com (Nelson Bolyard) writes:
  285. >With F-DRIVER.SYS installed, there is a 24 second delay when I run a
  286. >TSR called PSFX.  NO error message is displayed, and no warning sounds
  287. >are emitted from the speaker during this inexplicable 24 second delay.
  288.  
  289. This is odd - F-DRIVER normally only adds a fraction of a second to
  290. the loading time of each program.  I would very much appreciate a copy
  291. of the PSFX program, so I can determine what the problem is.
  292.  
  293. >In truth, I don't know exactly what protection F-DRIVER.SYS supposedly
  294. >gives me, what types of problems it supposedly prevents, nor what I
  295. >should expect to experience (i.e. what F-DRIVER will do) if and when I
  296. >actually encounter a virus.  
  297.  
  298. The main purpose of F-DRIVER is to prevent the execution of any
  299. program virus on the computer.  If you attempt to run an infected
  300. file, it will not be executed, and a message will appear.  Example:
  301.  
  302.         This program is infected by the Magnitogorsk virus
  303.         Access denied
  304.  
  305. If this happens, just disinfect the affected file, or replace it with
  306. a non-infected copy.
  307.  
  308. I try to keep F-DRIVER.SYS fully up do date, and it is able to stop
  309. around 400 virus variants.  However, unlike F-FCHK, it will not
  310. produce an accurate variant identifiation.
  311.  
  312. F-DRIVER will also attempt to analyze the system on boot-up, in order
  313. to determine if the machine is infected with a boot virus.  If this is
  314. the case, it will display a warning message and hang the computer,
  315. forcing the user to reboot from a (hopefully non-infected) system
  316. floppy.
  317.  
  318. I am adding an option in version 1.15 to disable the second feature,
  319. as it occasionally caused problems on computers with network Boot
  320. ROMs.
  321.  
  322. - -frisk
  323.  
  324. ------------------------------
  325.  
  326. Date:    Mon, 08 Apr 91 01:44:00 -0700
  327. From:    mrs@netcom.com (Morgan Schweers)
  328. Subject: Re: Unix viruses and damaging programs (UNIX)
  329.  
  330. Greetings,
  331.     A few words on "Unix" viruses...  As far as I can tell they are
  332. not very likely.  First off, the 'kernel' is *NOT* comparable to
  333. COMMAND.COM...  The kernel is more comparable to IBMBIO.COM and
  334. IBMDOS.COM.  The '?sh' programs are more comparable to COMMAND.COM.
  335.  
  336.     If you are to assume that 'root' has been breached, then you are
  337. in trouble already.  If a person breaches 'root', they are much less
  338. likely to install a virus as install a trapdoor (patching login.c) or
  339. such.  The reasons are manifold...  A few reasons would be that 1) the
  340. executable file format is (as far as I know, anyone care to correct
  341. me?) not as available.  2) REAL security (as in, file-level access) is
  342. implemented in Unix.  This means that non-prived person <X> can't
  343. modify (usually) prived program <Y>.  3) Most viruses exist from the
  344. binary level, so far.  This is difficult to 'spread' since many
  345. machines can be running Unix, but not be binary compatible.
  346.  
  347.     That generally explains why a virus won't spread too far.  Now let
  348. me take the other side...  I've seen (yes, SEEN) a 'worm' under Unix
  349. that can be very unfortunate.  The example in particular that I saw
  350. involved the PATH statement of most people's .login's, and the fact
  351. that many people put '.'  first in their PATH.  Thus, say you 'cd' to
  352. a directory, and do an 'ls', and there is an 'ls' program in their
  353. directory...  Well, you get the idea.  It was substantially more
  354. complicated than that, but that's the basic idea.  *THIS* (and silly
  355. other security precautions, like proper passwording (or shadowing, or
  356. any of the other miscellaneous topics)) is far more important to deal
  357. with than worrying about viruses under Unix.
  358.  
  359.     Under MS-DOS, it's not possible to close all the security holes
  360. without throwing out the OS and starting anew.  Under Unix, the
  361. features are there and it's just a matter of implementing them.  The
  362. same is true of most multi-user OS's.  If it's made to provide
  363. seperation between users, then it's magnitudes harder to write a
  364. successful virus.
  365.  
  366.     One final note...  I believe it has been done by one Fred Cohen,
  367. but I never learned the details of his experiment.  However, the
  368. likelyhood of it spreading *OFFSITE* is virtually nil, which means
  369. your likelyhood of getting it is equivelant.
  370.  
  371.     I'm *NOT* a Unix guru, however.  I'd *VERY MUCH* like people to
  372. correct me on matters of fact.
  373.  
  374.                                                 --  Morgan Schweers
  375.  
  376. P.S.  It has been pointed out to me that it is possible to spread a BSI over a
  377.     BBS if it's done on purpose.  I apologize.  Anything is possible if it's
  378.     done on purpose.  What I meant to say is getting a BSI off a BBS is far
  379.     less likely than getting a file infector, and that's a pretty small chance
  380.     anyway.  <Sigh>
  381.  
  382. +------------------
  383.    I don't speak for my company, since my company doesn't do Unix work.  I do,
  384. and I love it, but I don't get paid for it, so there.       --  mrs@netcom.com
  385. - ------------------+
  386.  
  387. ------------------------------
  388.  
  389. Date:    Mon, 08 Apr 91 15:01:29 -0500
  390. From:    EMERSON@TURING.SDC.TASC.COM
  391. Subject: Need help with Beijing Virus (PC)
  392.  
  393. Help!
  394.   I have a 286 12MHz IBM clone in my office that has been infected
  395. with the Beijing Virus.  It has disabled my 3 1/2" floppy disk drive
  396. for me and is infecting any diskette I happen to boot with that is not
  397. write-protected.  Our virus guru found that on the 128th boot of my
  398. PC, the message "Bloody!  June 4th 1989" will show up and then every
  399. six times after that.  This virus lives in the boot sector of my hard
  400. disk.
  401.    Needless to say, I'd like to disinfect my hard disk without having
  402. to re-format it.  I'd like to have a "tool" available to use for the
  403. next time this happens.  Is there anyone who can tell me of a piece of
  404. software (and where to find it), or some method of getting rid of
  405. this?  I have something that may work, but I need a SIGN.TXT file to
  406. run it with.  Could I get a copy of this?  Any help is greatly
  407. appreciated!!!!!
  408.    Please send replies to:
  409.  
  410.         emerson@turing.sdc.tasc.com
  411. or
  412.         Amanda Emerson, phone # (617)942-2000
  413.  
  414. Thanks!
  415.  
  416. ------------------------------
  417.  
  418. Date:    Wed, 03 Apr 91 21:00:54 +0000
  419. From:    frisk@rhi.hi.is (Fridrik Skulason)
  420. Subject: My final comments on the six-byte method (PC)
  421.  
  422. I know that many readers of comp.virus feel this discussion about the
  423. "six-byte method" in just a waste of time, and I apologize - but I still
  424. want to clarify a few issues.
  425.  
  426. I don't mean this to be interpreted as a personal attack on Padgett Peterson,
  427. and I respect his work in the virus area in general, but I just happen to
  428. disagree with how he sometimes presents the "six-byte" check.
  429.  
  430. Padgett Peterson wrote:
  431.  
  432.     While the "stealth" seen so far will defeat a program integrity
  433.     check, it will NOT defeat a system integrity check (the six bytes).
  434.  
  435. I replied: 
  436.     The six-byte check is no sustitute for a full system integrity
  437.     check.
  438.  
  439. Padgett Peterson then wrote:
  440.     I did not think I ever said that it was. In fact in my New York
  441.     paper specific mention was made that it did not detect the 512
  442.     (Number of the Beast). It will also not detect the Alabama,
  443.     Icelandic, EDV, or any virus that does not go resident.
  444.     What was said was that it will detect all currently "common" viruses.
  445.  
  446. I was just replying to your earlier posting - and while I agree that the
  447. currently existing "stealth" viruses should not be able to evade a full
  448. system integrity check, we have at least one "stealth" virus which is
  449. able to evade the "six-byte" check.  And regarding the claim that it will
  450. detect all currently "common" resident viruses, I must disagree - the
  451. Vienna virus and its 30+ variants are quite common, even though they are
  452. not as common as Jerusalem or "Stoned".
  453.  
  454. Hovever, basically we agree. Checking the memory allocation (the six-byte
  455. check) before and after running a program will in most cases tell you if that
  456. program was infected with a virus.  My point is just that "in most cases" is
  457. not good enough.
  458.  
  459. Padgett Peterson wrote:
  460.  
  461.     An effective defense MUST start at the BIOS level, something that
  462.     has nothing to do with the "six bytes". Such a program's major
  463.     difficulty will be to handle every oddball O/S, partitioning scheme,
  464.     and non-compliant application around.
  465.  
  466. I more-or-less agree - with the latest viruses managing to bypass all
  467. interrupt monitors, and accessing the ROM BIOS functions directly, it is
  468. clear that 100% defence needs to be at least partially implemented in the
  469. BIOS itself.
  470.  
  471. >I cannot go into details, but I do have a working program which is
  472. >able to do this - more details next month.
  473.  
  474.     Is this why the "insulting" of the "six bytes" ? I admit to being
  475.     surprised that someone with your well-deserved reputation and many
  476.     contributions would feel it necessary to harp on admitted flaws in
  477.     something that is not a commercial product but merely a technique
  478.     some people find useful.
  479.  
  480. No, certainly not - I respect your work in the virus area, but I disagree
  481. with you presentation of the techique, like:
  482.  
  483.     "it will NOT defeat a system integrity check (the six bytes)"
  484. and
  485.     "What was said was that it will detect all currently "common" viruses."
  486.  
  487. As long as it is just presented as a simple check to detect if some program
  488. has allocated memory in a "standard" way, I have no objections to the
  489. "six-byte" check -  primitive, but sometimes useful.
  490.  
  491. - -frisk
  492.  
  493. ------------------------------
  494.  
  495. End of VIRUS-L Digest [Volume 4 Issue 56]
  496. *****************************************
  497.